Artigo redigido por:
Sara Seabra dos Reis, Coordenadora Grupo de Trabalho de Engenharia Biomédica e Bioengenharia da Região Norte da Ordem dos Engenheiros; Prof. Adjunta – Instituto Superior de Engenharia do Porto
Nuno Nunes, Coordenador do Grupo de Trabalho de Engenharia Informática da Região Norte da Ordem dos Engenheiros; Security Gandalf - Critical Techworks
Os recentes relatos sobre alegados acessos indevidos a processos clínicos de crianças em instituições do Serviço Nacional de Saúde voltaram a colocar no centro do debate público uma questão crítica e frequentemente subestimada: até que ponto estamos verdadeiramente preparados para proteger os dados de saúde dos cidadãos?
Independentemente das conclusões finais das investigações que agora se iniciaram, um princípio deve permanecer inquestionável: a confiança dos cidadãos nos sistemas de saúde. E esta confiança depende, cada vez mais, da sua capacidade de garantir segurança, privacidade e integridade da informação clínica.
Ao longo dos últimos anos, assistimos a uma transformação sem precedentes no setor da saúde.
Num contexto em que hospitais, centros de saúde e laboratórios operam numa realidade profundamente digital, a proteção dos dados clínicos deixou de ser apenas um desafio tecnológico. É um imperativo ético, social e até democrático.
Ao longo dos últimos anos, assistimos a uma transformação sem precedentes no setor da saúde. O processo clínico em papel deu lugar ao registo eletrônico, exames passaram a ser partilhados digitalmente entre instituições, sistemas de telemedicina aproximaram profissionais e utentes, e a inteligência artificial começa a desempenhar um papel crescente na análise e suporte à decisão clínica. Esta evolução representa um enorme ganho para a sociedade. Melhor acesso, maior eficiência, diagnósticos mais rápidos e tratamentos potencialmente mais personalizados são apenas alguns dos benefícios.
Mas existe um reverso inevitável desta transformação: quanto maior a digitalização, maior a área de risco. Os sistemas de saúde tornaram-se alvos prioritários de ciberataques em todo o mundo. Não apenas pela criticidade operacional, mas também pelo enorme valor dos dados que armazenam. Ao contrário de um número de cartão bancário, que pode ser cancelado, um dado clínico é permanente. Não se altera uma condição clínica passada, um histórico genético, um diagnóstico psiquiátrico ou uma predisposição para determinada doença. Uma vez expostos, esses dados podem acompanhar uma pessoa durante toda a vida. E quando falamos de dados clínicos de crianças, a sensibilidade da questão torna-se ainda mais evidente.
A exposição indevida de informação pediátrica não é apenas um problema de privacidade instantânea. Pode representar um risco prolongado no tempo, afetando a vida futura do indivíduo de formas difíceis de antecipar. Questões relacionadas com doenças crónicas, alterações no desenvolvimento, saúde mental, condições genéticas ou vulnerabilidades médicas podem, em cenários extremos, ser utilizadas para discriminação, perfilagem abusiva ou exploração maliciosa. Mais preocupante ainda é o facto de os riscos atuais não serem necessariamente os mesmos de amanhã.
A evolução acelerada da inteligência artificial e da análise avançada de dados cria oportunidades para a medicina personalizada, mas também novos desafios para a proteção da privacidade. A agregação de grandes volumes de dados clínicos pode gerar valor extraordinário para investigação e inovação, mas exige salvaguardas igualmente robustas.
A exposição indevida de informação pediátrica não é apenas um problema de privacidade instantânea. Pode representar um risco prolongado no tempo (...)
Hoje, um conjunto de dados aparentemente fragmentado pode parecer inofensivo. Amanhã, cruzado com outras fontes de informação, poderá permitir inferências profundas sobre a saúde, hábitos, comportamento ou predisposição genética de uma pessoa. É precisamente aqui que a cibersegurança assume um papel central.
Frequentemente, o debate público associa incidentes desta natureza apenas à existência de um “hacker” ou a uma falha técnica isolada. A realidade é significativamente mais complexa. Muitos incidentes de segurança surgem da combinação de fatores: credenciais comprometidas, acessos excessivos, permissões mal definidas, ausência de mecanismos fortes de autenticação, falta de segmentação de sistemas, insuficiente monitorização de acessos ou, simplesmente, ausência de cultura de segurança.
A ameaça interna, intencional ou não, é também uma dimensão frequentemente negligenciada. Um acesso indevido não implica necessariamente uma intrusão externa sofisticada; pode resultar da utilização inadequada de privilégios legítimos, partilha indevida de credenciais ou exploração de vulnerabilidades humanas através de técnicas de engenharia social.
A segurança digital na saúde não se resolve apenas com tecnologia. Resolve-se com governação, processos e cultura organizacional. Significa garantir que cada profissional acede apenas à informação estritamente necessária para o desempenho das suas funções. Significa implementar autenticação multifator, mecanismos robustos de auditoria e monitorização contínua de acessos. Significa aplicar princípios de zero confiança, rever permissões regularmente e investir de forma consistente na capacitação das equipas. Mas significa, sobretudo, compreender que a cibersegurança não é um custo operacional, é uma componente essencial da segurança do doente. Quando um sistema hospitalar é comprometido, o impacto não é apenas digital. Pode traduzir-se em atrasos clínicos, indisponibilidade de informação crítica, interrupção de tratamentos e perda de confiança no sistema.
Na Engenharia Biomédica e Bioengenharia, esta preocupação ganha uma dimensão adicional. A integração crescente de dispositivos médicos conectados, sensores biométricos, equipamentos de monitorização remota e ecossistemas de saúde digital amplia exponencialmente os desafios. Muitos destes equipamentos foram concebidos, originalmente, com forte foco funcional e clínico, mas nem sempre com o mesmo grau de maturidade em matéria de segurança digital.
A segurança digital na saúde não se resolve apenas com tecnologia. Resolve-se com governação, processos e cultura organizacional.
A interligação entre tecnologia médica, dados clínicos e infraestruturas hospitalares obriga a uma abordagem multidisciplinar, onde engenharia informática, engenharia biomédica, gestão de risco e compliance regulatório devem trabalhar em conjunto. Nos dias de hoje, não é possível pensar a saúde digital sem pensar simultaneamente em cibersegurança.
A nova realidade regulatória europeia, incluindo o reforço dos requisitos de cibersegurança para entidades críticas, aponta precisamente nesse sentido: segurança por defeito, proteção contínua, responsabilização organizacional e resiliência operacional.
Ainda assim, importa evitar leituras simplistas ou alarmistas. Portugal possui profissionais altamente qualificados, instituições empenhadas e uma crescente maturidade no setor da saúde digital. Existem bons exemplos de inovação, investimento e preocupação genuína com a proteção dos cidadãos.
Mas casos mediáticos como o recentemente noticiado devem servir como momento de reflexão coletiva. Não para alimentar desconfiança no sistema, mas para reforçar uma consciência essencial: os dados clínicos representam uma das formas mais sensíveis de património pessoal de um cidadão. Na prática, proteger um processo clínico é proteger a dignidade, privacidade e confiança de uma pessoa. E essa responsabilidade não pertence apenas aos departamentos de informática ou às equipas técnicas. É uma responsabilidade institucional, transversal e partilhada entre profissionais de saúde, gestores, engenheiros, reguladores e decisores. Porque, numa sociedade cada vez mais digital, a pergunta já não é se devemos proteger os dados clínicos.
A verdadeira pergunta é: estaremos a protegê-los com a seriedade que merecem?
Na prática, proteger um processo clínico é proteger a dignidade, privacidade e confiança de uma pessoa. E essa responsabilidade não pertence apenas aos departamentos de informática ou às equipas técnicas. É uma responsabilidade institucional (...)
