Dados sensíveis de pacientes de hospitais públicos foram expostos em sites que podem ser acessados sem necessidade de senha. As informações — como nomes dos pacientes e acompanhantes, prontuários e dados pessoais como telefone e CPF, além de senhas e acessos para outros sistemas da saúde — foram inseridas em um servidor por operadores da saúde, como médicos e estudantes de medicina.

O POVO teve acesso a mais de 30 desses documentos. O nome do site não será divulgado para proteger os pacientes. Além de prontuários com anotações sobre pacientes, foram localizadas senhas para outros sistemas hospitalares, como exames laboratoriais, atestados e sistemas de gestão.

As informações são de pessoas que foram atendidas em diversos equipamentos em Fortaleza, como o Hospital Universitário Walter Cantídio (HUWC) e a Maternidade-Escola Assis Chateaubriand (Meac), ambos vinculados à Universidade Federal do Ceará (UFC) e geridos pela Empresa Brasileira de Serviços Hospitalares (Ebserh), responsável por vários hospitais universitários pelo País.

Hospitais estaduais também tiveram informações expostas no sistema, como o Hospital Geral Dr. César Cals (HGCC), o Hospital São José de Doenças Infecciosas (HSJ), o Hospital Regional do Sertão Central (HRSC), em Quixeramobim, o Hospital Geral Dr. Waldemar de Alcântara e o Hospital Universitário do Ceará (HUC), vinculado à Universidade Estadual do Ceará (Uece).

O site funciona como um bloco de notas online, no qual qualquer pessoa pode criar um nome de usuário e fazer anotações. Sabendo o nome de usuário, é possível acessar qualquer espaço de anotações, e inclusive fazer edições no conteúdo.

Além dos prontuários do Ceará, também foram encontrados registros médicos de outros estados, como Piauí, São Paulo, Minas Gerais e Paraíba.

No dia 13 de janeiro, após ser procurada pelo O POVO para comentar a questão, a diretoria da Faculdade de Medicina da UFC publicou um comunicado em que veda o uso de plataformas digitais não homologadas pela instituição.

Veja o comunicado publicado pela instituição:

Uso dessas plataformas é comum entre estudantes de medicina

Um estudante da Faculdade de Medicina (Famed) da UFC e usuário de um desses sites contou ao O POVO que o uso desses portais acontece devido a falhas nos sistemas dos próprios hospitais, em especial o da Ebserh. O POVO ouviu três estudantes, que relataram os mesmos problemas e pediram para não serem identificados, com receio de sanções.

Segundo um dos discentes, a rede desses locais é lenta e constantemente apresenta falhas, como demora para salvar arquivos, perda de informações cadastradas sobre os pacientes, além de sofrerem com problemas externos, como quedas de energia recorrentes.

Por causa disso, os estudantes utilizam as plataformas como uma espécie de "rascunho", onde colocam todas as informações necessárias ao prontuário, e depois só as copiam e colam de forma rápida e prática no sistema do hospital.

"Se cai a internet ou cai o sistema, o que era muito comum no HU, você perde tudo que havia escrito. Então você acaba tendo grande prejuízo nesse sentido. No [nome do site] conforme você vai escrevendo, ele já salva automaticamente. Então, se a energia cai ou falta internet, os dados que você já escreveu já ficam salvos automaticamente, você só copia e cola no sistema da Ebserh", detalha.

Além dos alunos, os professores do curso de Medicina também possuem conhecimento sobre as plataformas. Eles teriam recomendado o uso para os estudantes, mesmo com as baixas camadas de segurança do site, a fim de evitar perda de informações de pacientes decorrentes de problemas nos sistemas dos hospitais.

 Veja exemplos das anotações disponíveis na plataforma

abrir

(Foto: Reprodução)Reprodução de anotações encontradas pela reportagem em um dos sites. Informações que poderiam identificar os pacientes foram tarjadas

(Foto: Reprodução)Reprodução de anotações encontradas pela reportagem em um dos sites. Informações que poderiam identificar os pacientes foram tarjadas

(Foto: Reprodução)Reprodução de anotações encontradas pela reportagem em um dos sites. Informações que poderiam identificar os pacientes foram tarjadas

(Foto: Reprodução)Reprodução de anotações encontradas pela reportagem em um dos sites. Informações que poderiam identificar os pacientes foram tarjadas

(Foto: Reprodução)Reprodução de anotações encontradas pela reportagem em um dos sites. Informações que poderiam identificar os pacientes foram tarjadas

(Foto: Reprodução)Reprodução de anotações encontradas pela reportagem em um dos sites. Informações que poderiam identificar os pacientes foram tarjadas

(Foto: Reprodução.)Reprodução de anotações encontradas pela reportagem em um dos sites. Informações que poderiam identificar os pacientes foram tarjadas

"Quando a gente vai começar nos ambulatórios, tem aquelas orientações iniciais de como funciona o ambulatório, como é que se deve proceder... aí eles recomendam que a gente utilize (a plataforma). Eles falam explicitamente: utilize o [nome do site]. E aí eles explicam 'caso falte energia, falte internet... para ficar salvo e você não perder toda a história clínica do paciente que você coletou'", complementa o aluno.

A plataforma oferece a possibilidade de proteger suas informações com uma senha, mas por meio de uma busca simples é possível encontrar diversos registros sem qualquer tipo de proteção. Esse recurso, entretanto, não é usado pelos estudantes: eles pensam que, por ser necessário saber o nome exato do usuário que cadastrou o bloco de notas, "ninguém vai acessar o perfil".

Maria [nome fictício], médica formada pela UFC, pontua que essa falta de cuidado compromete diretamente a privacidade e a segurança dos dados do paciente. Ao confiarem que as informações sigilosas repassadas por eles ficarão apenas dentro do ambulatório, muitos não imaginam que tudo o que foi dito pode ser acessado online.

"Com certeza é um risco para a privacidade dos pacientes. Se uma pessoa mal intencionada tiver os meios de descobrir, por exemplo, o [nome do site] de quem tá fazendo aqueles atendimentos, ela vai ter acesso. E se aquele médico, ou interno, ou residente estiver sendo descuidado, ela vai ter acesso a informações que são sigilosas", alerta.

Uma das pessoas ouvidas pela reportagem conta que já houve exposição de informações. "Teve um perfil que eu abri aleatoriamente e vi que a última consulta registrada era da cidade natal desse meu amigo, e eu perguntei se ele conhecia. Ele falou 'conheço, é a mãe de um amigo meu', e ele já ficou sabendo que a mãe do amigo era acompanhada no hospital X, e isso já foi um vazamento", relembra.

O POVO também questionou sobre o uso de outras plataformas com maior segurança, como o Google Docs e o Word, que exigem login e senha para acessar os documentos.

Conforme os estudantes ouvidos, os muitos passos de segurança para acessar essas plataformas da Google e Microsoft atrapalhariam a rotina nos ambulatórios, tornando a escolha pelos sites de blocos de notas online uma questão também de praticidade.

Uso de sites online infringe termos da LGPD

Além da questão ética de utilizar sistemas de fora do hospital para salvar informações de pacientes, a prática adotada nos hospitais também infringe artigos da Lei Geral de Proteção de Dados (LGPD).

Um dos artigos desrespeitados é o 46, que obriga os tratadores de dados, ou seja, quem recebe as informações, a tomar medidas de segurança para evitar que as informações pessoais sejam acessadas por terceiros.

A presidente da Comissão sobre a Lei Geral de Proteção de Dados (CLGPD) da OAB Ceará, Thaís Marinho, explica que mesmo sem a intenção de publicizar o conteúdo compartilhado pelos pacientes, quem realiza o atendimento pode ser penalizado por não ter tomado as devidas precauções da administração dessas informações.

"Ainda que esses estudantes não tenham tido a intenção de causar dano, e visivelmente não tinham, a lei adota uma lógica de responsabilidade objetiva nesse dever de segurança. Ou seja, o simples tratamento inseguro já pode configurar, sim, um descumprimento legal. Independente da intenção, do dolo", explica Marinho.

Outro ponto desrespeitado da legislação foi o artigo 49, que trata sobre as plataformas onde dados sensíveis, como os cedidos pelos pacientes, devem ser armazenados.

O texto estabelece que esses sistemas devem seguir medidas padrão de segurança que possam evitar o vazamento dos dados, o que não é o caso dos sites usados nos hospitais.

"Embora a lei não traga uma lista fechada, a própria ANPD Agência Nacional de Proteção de Dados e as boas práticas de mercado apontam requisitos exemplificativos. O controle de acesso em uma autenticação é um requisito, a criptografia ou outra proteção adequada, a gestão de perfis e permissões é outro exemplo, prevenção contra acesso por terceiros não autorizados e a rastreabilidade são apontadas como boas práticas que precisam ser seguidas. No caso, nenhum desses requisitos foram observados", diz a advogada.

De acordo com a advogada, as penalizações não são excludentes, ou seja, pode ser aplicada a professores e aos próprios hospitais, caso comprovado que estes contribuíram de alguma forma para o uso das plataformas online.

As sanções vão desde advertências e sanções acadêmicas, passando por multa financeira, até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

A especialista também reforça que, identificados os vazamentos, é dever das unidades de saúde garantir que esses dados não sejam mais disponibilizados online e que os já fornecidos sejam apagados.

"Os hospitais, enquanto agentes de tratamento, são responsáveis também pela governança dos dados no ambiente assistencial e acadêmico. Eles têm o dever de adotar medidas imediatas para cessar esse risco. Isso inclui solicitar a exclusão desses dados inseridos neste formato irregular nessa plataforma aberta. A manutenção desses dados abertos acessíveis mesmo após a ciência da irregularidade agrava o risco jurídico e regulatório", destaca Marinho.

Entidades de saúde se movem para barrar o uso das plataformas em hospitais

O caso foi levado por estudantes e professores à direção da Famed, por meio de uma nota de preocupação com o uso da plataforma.

No HUWC e Meac, especificamente, um desses sites já foi bloqueado pela Ebserh, não sendo mais possível o acesso pela internet das unidades. O bloqueio teria acontecido no dia 12 de dezembro, após o caso ser identificado pelo Complexo Hospitalar.

"No Hospital Universitário agora, se você quiser entrar no site pela rede do hospital, você não consegue porque é bloqueado. Mas enquanto o [nome do site] foi bloqueado, outros blocos de notas, aplicativos, programas, eles continuam abertos. Então, digamos que a Ebserh tratou um sintoma, mas a doença base continua lá", afirmou um estudante.

Desde a proibição, O POVO recebeu relatos de que as plataformas continuam sendo utilizadas, inclusive a bloqueada na rede hospitalar. Por meio de nota, a instituição informou que poderá responsabilizar os alunos que insistirem em usar o sistema de forma "administrativa, ética e legal, conforme a legislação e os regulamentos aplicáveis".

Questionada também sobre as falhas do sistema relatadas pelos alunos, a Ebserh reforçou que o Aplicativo de Gestão para Hospitais Universitários (AGHU), utilizado no HUWC e na Meac, é o maior prontuário eletrônico público hospitalar do Brasil.

Com cerca de 3,8 milhões de acessos por mês, o sistema tem seu funcionamento monitorado em tempo real pela empresa.

Ainda de acordo com a administração dos hospitais, a taxa de disponibilidade do AGHU no Complexo Hospitalar da UFC foi acima de 99,99%, com poucos incidentes registrados ao longo do ano, e estes sendo resolvidos em questão de minutos.

"Eventuais situações pontuais de lentidão, caso ocorram, devem ser comunicadas imediatamente ao preceptor ou à equipe de TI local, para avaliação e aplicação dos planos de contingência institucionais. Em nenhuma hipótese tais situações autorizam o registro, o armazenamento ou o compartilhamento de dados de pacientes em ferramentas externas, sites de blocos de notas ou soluções não institucionais", diz a nota.

Sobre as interrupções de energia, a Ebserh afirma que o Complexo é 100% coberto por gerador de energia, que entra em ação imediatamente diante de qualquer falha.

Questionada sobre o uso da plataforma pelos estudantes, a UFC ponderou ter como prática buscar garantir o uso ético, legal e seguro de informações assistenciais e acadêmicas, especialmente no âmbito do Complexo Hospitalar, e sinalizou o reforço dessas diretrizes na formação de seus alunos.

"Durante toda a formação acadêmica os estudantes são orientados acerca da importância da proteção de dados pessoais de pacientes, como por exemplo em disciplinas sobre ética, desenvolvimento profissional e saúde digital, sempre abordando aspectos da LGPD. Os docentes são corresponsáveis pela orientação, supervisão e garantia do uso adequado das informações pelos estudantes sob sua supervisão", afirmou, em nota.

O POVO também procurou a Secretaria da Saúde do Ceará (Sesa) sobre a utilização dessas plataformas nos hospitais estaduais. Também em nota, a pasta informou que está tomando as providências cabíveis para coibir práticas que contrariem as normas vigentes na Rede Sesa.

As instituições de ensino do Estado, como a Universidade Estadual do Ceará (Uece), também estão sendo alertadas sobre as condutas e cobradas quanto a adoção de medidas para assegurar a proteção dos dados no âmbito da saúde.

"Todos os profissionais da Rede Sesa, assim como estudantes em processo de aprendizagem, são devidamente orientados quanto ao registro correto de dados e informações exclusivamente em plataformas e sistemas institucionais. A Sesa não autoriza, portanto, a utilização de meios informais para o armazenamento ou compartilhamento de dados", conclui o texto.

No caso de hospitais estaduais, em que o bloco de notas é utilizado também para registro de acessos a plataformas e bancos de dados, ainda existe uma atualização constante das senhas. Até o fechamento desta matéria, as anotações ainda estavam disponíveis na plataforma sem a necessidade de senha.

O POVO também tentou contato com o Conselho Regional de Medicina do Estado do Ceará (Cremec) sobre o assunto, mas não obteve retorno.

Ao todo, foram quatro ligações para a presidente do Conselho, Inês Tavares Vale e Melo, contato com a assessoria via aplicativo de mensagens e demanda feita por e-mail oficial da entidade no dia 15 de janeiro, todas sem resposta.

O POVO solicitou entrevista com a diretoria da Famed para a UFC, com a direção do Complexo Universitário, para a Ebserh e com fonte responsável pela segurança de dados nos hospitais estaduais para a Sesa. Todas optaram por responder por meio de nota.