Internet das Coisas e blockchain no Sistema Único de Saúde: a proteção dos dados sensíveis diante da Lei Geral de Proteção de Dados / Internet of Things and blockchain used in the Brazilian Unified Health System: how to protect sensitive data considering the imminence of the Data Protection Law / Internet de las cosas y cadena de bloques utilizado en el Sistema Único de Salud brasileño: cómo proteger los datos confidenciales ante la Ley General de Protección de Datos

RESUMO

Objetivo: O Sistema Único de Saúde (SUS) vem investido nas tecnologias da internet das coisas ­ Internet of Things (IoT), em inglês ­ para coletar dados dos pacientes. Esse artigo aponta as fragilidades quanto à privacidade de usuários do SUS e propor uma solução teórica, ainda a ser testada a partir de uma infraestrutura pautada em armazenamento pessoal de dados ­ personal data stores (PDS), em inglês ­ ou, a partir da segurança da blockchain. Metodologia: realizou-se revisão narrativa da literatura nacional e internacional relacionados a instrumentos, políticas e casos voltados a tecnologias de informação e comunicação na saúde a fim de apontar as fragilidades quanto à privacidade de usuários desse sistema. Resultados: percebeu-se que ainda existe uma falta de transparência no tratamento dos dados pessoais e pouco accountability por parte dos cidadãos, se fazendo necessária uma mudança de estratégia tecnológica e de governança. Conclusão: o PDS, de fato, empodera o usuário na medida que dá maior controle e transparência sobre o tratamento de seus dados. No entanto, essa solução, em um sistema como o utilizado pelo Departamento de Informática do SUS, pode comprometer a precisão dos dados usados nas políticas públicas, ao mesmo tempo que pode comprometer alguns direitos dos cidadãos, pois são dados salvos em registros e os metadados estão disponíveis publicamente. A implementação do PDS ainda não possui perspectiva de resultado ótimo. Ainda existem algumas restrições metodológicas quanto aos direitos dos cidadãos ou à eficiência do Estado, mas é um passo no empoderamento civil e uma melhoria exigida por lei quanto à privacidade e à proteção de dados pessoais.

ABSTRACT

Objective: Brazilian Unified Health System (SUS, in Portuguese) has invested in Internet of Things (IoT) technologies to collect data from patients. This article aims to point out the weaknesses regarding the privacy of users of the SUS and to propose a theoretical solution, yet to be evaluated, and based on a Personal Data Storages (PDS) infrastructure or on blockchain security. Methods: aA narrative review of national and international literature related to instruments, policies, and cases related to information and communication technologies in health was conducted to point out the weaknesses regarding the privacy of users of this system. Results: there is still a lack of transparency in the treatment of personal data and little accountability on the part of citizens, making it necessary to change the technological and governance strategy. Conclusion: PDS empowers users as it gives greater control and transparency over the treatment of data. However, this solution, in a system like the one used by their Computer Department, can compromise the accuracy of the data used in public policies, while it can compromise some citizens' rights, as this data is saved in records and the metadata is publicly available. The implementation of a solution like this does not yet have the prospect of an optimal result, without any methodological restriction on citizens' rights or the efficiency of the State, but it is a step in civil empowerment and an improvement required by law concerning privacy and protection of personal data. The implementation of the PDS does not yet have the prospect of an optimal result. There are still methodological restrictions regarding the rights of citizens or the efficiency of the State. But it is a step in civil empowerment and an improvement required by law in terms of privacy and the protection of personal data.

RESUMEN

Objetivo: el Sistema Único de Salud de Brasil (SUS) ha invertido en tecnologías de Internet de las cosas (IoT) para recopilar datos de los pacientes. Este artículo tiene como objetivo señalar las debilidades con respecto a la privacidad de los usuarios del SUS y proponer una solución teórica, aún por probar basada en una infraestructura basada en Personal Data Storages (PDS) o almacenamiento personal de datos, basado en la seguridad de blockchain. Metodología: se realizó una revisión narrativa de la literatura nacional e internacional relacionada con instrumentos, políticas y casos relacionados con las tecnologías de la información y la comunicación en salud con el fin de señalar las debilidades en cuanto a la privacidad de los usuarios de este sistema. Resultados: se notó, entonces, que aún existe falta de transparencia en el tratamiento de estos datos personales y poca rendición de cuentas por parte de la ciudadanía, por lo que es necesario cambiar la estrategia tecnológica y de gobernanza. Conclusión: se concluye que PDS, de hecho, empodera a los usuarios ya que brinda un mayor control y transparencia sobre el tratamiento de sus datos. Sin embargo, esta solución, en un sistema como el utilizado por el Departamento de Computación del SUS, puede comprometer la precisión de los datos utilizados en las políticas públicas, al mismo tiempo que puede comprometer algunos derechos civiles, ya que estos datos se guardan en registros y metadatos están disponibles públicamente. La implementación de una solución como esta todavía no tiene la perspectiva de un resultado óptimo, sin ninguna restricción metodológica sobre los derechos de los ciudadanos o la eficiencia del Estado, pero es un paso en el empoderamiento civil y una mejora requerida por la ley con respecto a la privacidad y protección de datos personales. La implementación del PDS aún no tiene la perspectiva de un resultado óptimo. Aún existen algunas restricciones metodológicas en cuanto a los derechos de los ciudadanos o la eficiencia del Estado. Pero es un paso en el empoderamiento civil y una mejora requerida por la ley en términos de privacidad y protección de datos personales.