Um dos principais centros de saúde do mundo, MD Anderson Cancer Center, da Universidade do Texas, em Houston (EUA), seguidamente conceituado como número 1 global nos cuidados de pacientes oncológicos, foi multado em 4,3 milhões de dólares por violações da Lei HIPAA (Health Insurance Portability and Accountability Act). Esta é a quarta maior multa imposta por violações da referida lei.

Criada em 1996, a HIPAA trata da confidencialidade dos dados clínicos dos pacientes, com o intuito de proteger pacientes de fraudes e violação da privacidade. Os direitos dos consumidores na utilização das informações pelos serviços de saúde e como os mesmos são manejados fazem parte das normas a serem seguidas por hospitais, centros de saúde, clínicas, laboratórios e médicos.

O MD Anderson não é o primeiro estabelecimento a ser multado por não criptografar seus dados, mas evidencia um cenário alarmante para os estabelecimentos de saúde em todo o mundo. A multa foi imposta pelo Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HCR) dos Estados Unidos para três violações de dados (em períodos distintos) que remontam a 2012 e 2013. Os registros de saúde de mais de 35.000 pacientes foram perdidos.

Casos

Um laptop não criptografado foi roubado da casa de um funcionário do MD Anderson e dois pendrive USB – igualmente não criptografados – foram perdidos, contendo as informações de mais de 33.500 pessoas.

De acordo as autoridades, análises de risco do próprio MD Anderson descobriram que as políticas de criptografia escritas (que datam de mais de 10 anos até 2006) e a falta de criptografia no nível do dispositivo “representam um alto risco para a segurança”. Mas, embora essas políticas tenham sido postas em prática e os registros de saúde estivessem em risco, o MD Anderson não implementou ações de criptografia do ePHI (Electronic Protected Health Information) até 2011.

No entanto, embora a adoção da criptografia tenha começado, o Hospital  aparentemente não conseguiu criptografar seu inventário de dispositivos eletrônicos contendo ePHI entre 24 de março de 2011 e 25 de janeiro de 2013, o período em que os registros de saúde dos pacientes foram perdidos.

Um juiz da esfera administrativa decidiu que o centro de câncer violou a HIPAA e concedeu julgamento sumário ao OCR (Escritório de Direitos Civis) em todas as questões. O MD Anderson foi obrigado a pagar 4,3 milhões de multa.

O diretor da OCR, Roger Severino, expôs em um comunicado. “Estamos satisfeitos que o juiz confirmou a imposição de penalidades porque ressalta os riscos que as entidades assumem caso não implementem medidas de segurança eficazes, como a criptografia de dados, quando necessárias para proteger informações confidenciais de pacientes”.

O MD Anderson argumentou que não tinha obrigação de criptografar esses dispositivos e que, como o ePHI era apenas para fins de “pesquisa”, ele não se enquadrava nos critérios da HIPAA. A organização de saúde argumentou que a penalidade não era razoável. Os argumentos foram rejeitados. A “conduta dilatadora do centro [MD Anderson] é chocante dado o alto risco para seus pacientes resultante da divulgação não autorizada do ePHI”, um risco que MD Anderson “não apenas reconheceu, mas que reafirmou muitas vezes”, disse na decisão o juiz.

Riscos

Dentre os principais riscos que a vulnerabilidade de dados pode representar para os centros de saúde – além da perda ou roubo de dados dos pacientes – estão questões como o acesso ao planejamento estratégico do hospital ou de áreas especificas, propriedade intelectual de técnicas, metodologias, equipamentos ou sistemas, bloqueio de acesso às informações, indisponibilidade dos serviços, e até mesmo, o controle de aparelhos médicos remotamente, principalmente com a adoção da IoT (Internet das coisas).

Para os pacientes, os hackers – ou falta de segurança – podem ser prejudiciais ao utilizar informações bancárias, dados pessoais que podem ser vendidos no mercado negro, para fraudes de seguros, usados como insumos para identidades falsas ou ainda para a obtenção ilegal de medicamentos, histórico de consumo de medicamentos e doenças e violação de dados privados sensíveis de pessoas públicas ou políticas – que podem motivar extorsões, por exemplo.

Com informações Medscape EUA e Saude Digital. Edição e tradução Setor Saúde.