A pseudonimização é aplicável na área médica?
O conceito básico da pseudonimização é substituir dados de identificação por pseudônimos, ou seja, é um nome fictício usado por um individuo como uma alternativa para o seu nome real.
Após a realização de alguns trabalhos em empresas prestadoras de serviços na área da saúde, observamos com é crítico a forma de tratar os dados pessoais por estas empresas.
Os registros médicos dos pacientes têm várias finalidades: podem ser usados para informar sobre o histórico médico de uma pessoa, informando as empresas de seguros de saúde para calcular os aspectos financeiros dos tratamentos de doenças, ou ainda usar dados por outros médicos profissionais que precisam aprender rapidamente sobre doenças, tratamentos, progressos relevantes as condições médicas, entre outros. As organizações de pesquisa tem interesse em dados estatísticos sobre diagnósticos e medicamentos e os fabricantes farmacêuticos investem no tratamento e na aquisição destas informações, existindo muitos outros grupos de interesse para dados médicos de pacientes.
Para cada finalidade, as empresas precisam somente do acesso a certas partes de um registro de dados médicos, e não necessariamente o registro completo de uma vez. Um médico precisa de acesso principalmente aos dados médicos relevantes, mas não necessariamente aos dados relacionados ao seguro saúde ou aspectos financeiros. O ideal é que uma seguradora de saúde não tenha acesso a muitos detalhes sobre o diagnóstico exato ou histórico médico, apenas se for algo relevante para pagamentos.
Já as organizações de pesquisas médicas só podem ter acesso às informações necessárias sobre um paciente quando o mesmo é tratado com um determinado medicamento, em combinação com o diagnóstico e, nem os identificadores da pessoa (como nome real) nem histórico médico exato ou dados financeiros.
É nesta fase que a importância da pseudonimização, pode fornecer proteção de informações confidenciais de pacientes contra um acidental ou intencional – acesso por qualquer uma dessas partes. O ato de pseudonimização ajuda em separar os fatos médicos da identidade do paciente, potencialmente permitindo a pesquisa a ser realizada em dados pseudonimizados.
A utilização da pseudonimização, fornece dados hipotéticos em ambiente de troca para tais dados médicos, podendo proteger a privacidade dos pacientes enquanto permite o processamento de dados médicos para finalidades válidas e específicas. É uma medida de proteção de dados estabelecida e aceita que ganhou atenção adicional após a adoção do Regulamento Geral de Proteção de Dados.
A aplicação de pseudonimização a dados pessoais pode reduzir os riscos para os titulares dos dados. Além de ser uma opção “simples” de adotar, exige um nível técnico e organizacional por ser um processo complexo. Colocar em prática uma técnica de pseudonimização robusta, também necessita de uma garantia de que as entidades envolvidas serão capazes de suportá-la.
*Por: Marcelo Creazzo e Caio Corassini – ambos são Consultores da area de GRC da Cipher.
Referência: ENISA. Uma visão geral da pseudonimização de dados: Recomendações sobre modelagem tecnologia de acordo com as disposições do GDPR
0 Comments