Vol. 01, fevereiro/2025.

Gotinhas de Privacidade

Neste primeiro boletim, apresentamos algumas práticas a serem seguidas em relação à proteção de dados em pesquisas acadêmicas, compartilhamos dicas de segurança digital e outras informações pertinentes para você que atua nos serviços de telessaúde. Boa leitura!

Telessaúde UFSC:

Compromisso com a sua proteção

Você sabia que, segundo a Agência Europeia para Cibersegurança (IBM Security / ENISA), em média, 90% dos incidentes de privacidade são decorrentes de erro humano? Para minimizar a ocorrência de erros, o Telessaúde UFSC adota diversas boas práticas para proteger você e a sua
privacidade
ao utilizar os serviços de saúde digital ofertados pelo Núcleo. Algumas dessas boas práticas são:

  • O PRIS-TS: Plano de Resposta a Incidentes de Segurança do Núcleo Saúde Digital UFSC;
  • O RIPD: Relatório de Impacto à Proteção de Dados Pessoais;
  • Capacitação de colaboradores;
  • Oferta de cursos gratuitos aos usuários do STT; entre outras.

Agora, o Núcleo Telessaúde UFSC quer empoderar você, colaborador(a), para fortalecer a sua privacidade no cotidiano de trabalho.

Contextualizando: a LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) é a Lei Nº 13.709, de 14 de agosto de 2018. Tem o intuito de proteger os direitos fundamentais de liberdade e privacidade, além da livre formação da personalidade de cada indivíduo (BRASIL). Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes (MPF, 2019). Ela estabelece regras e boas práticas para o tratamento (uso) dos dados, respeitando o direito à privacidade do titular de dados.

A LGPD é a legislação brasileira que estabelece regras e diretrizes para o tratamento de dados pessoais por empresas, organizações e entidades públicas e privadas, com objetivo principal de proteger a privacidade dos indivíduos e garantir o controle sobre suas informações pessoais (MINGHELLI et al., 2024).

Saiba+

Familiarize-se com alguns termos ou siglas importantes no universo da LGPD no contexto do Saúde Digital UFSC.

Setor Encarregado de Dados

Também chamado de DPO-S, protege os Titulares de Dados que utilizam serviços do Telessaúde UFSC. O DPO-S é o setor que garante a adequação à Lei Geral de Proteção de Dados (LGPD), é a comunicação entre o Titular de Dados e o Núcleo Telessaúde UFSC sobre Tratamento de Dados, além de realizar a comunicação com a Autoridade Nacional de Proteção de Dados (ANPD). As atividades visam atender ao Artigo 41, parágrafo 2º da LGPD, como:
  • Responder solicitações de Titulares de Dados;
  • Adotar providências sobre apontamentos da ANPD;
  • Orientar colaboradores sobre práticas relacionadas a dados pessoais.
É composto pelo Prof. Dr. Marcelo Minghelli, doutor em Direito pela UFPR, professor no Departamento de Ciência da Informação da UFSC, coordenador do Programa Cibercidadania e do Projeto DPO-X; e Bruna Franchini, estudante de 4ª fase de graduação em Ciência da Informação na Universidade Federal de Santa Catarina.
IES

O grupo de Pesquisa Informação, Estado e Sociedade (IES) foi criado em 2022 com linha de pesquisa sobre Regimes de Informação e Proteção de Dados Pessoais. Instagram: @ies.ufsc.

Autoridade Nacional de Proteção de Dados (ANPD)

A Autoridade Nacional de Proteção de Dados é uma autarquia vinculada ao Ministério da Justiça e Segurança Pública, que atua com a missão de zelar pela proteção de dados pessoais, orientar, regulamentar e fiscalizar, em conformidade com a LGPD.

VPN

VPN significa Virtual Private Network (Rede Privativa Virtual) e surgiu da necessidade de se utilizar redes de comunicação não confiáveis para trafegar informações de forma segura. De acordo com a Amazon AWS: uma VPN ou rede privada virtual cria uma conexão de rede privada entre dispositivos através da Internet, sendo usadas para transmitir dados de forma segura e anônima em redes públicas. Elas funcionam mascarando os endereços IP do usuário e criptografando os dados para que se tornem ilegíveis por qualquer pessoa não autorizada a recebê-los. A utilização de uma VPN garante privacidade, segurança e anonimato, sendo ideais para a proteção de banco de dados.

No momento o serviço de VPN da Universidade Federal de Santa Catarina (UFSC) está operando em “Modo Túnel Não Criptografado”, ou seja, tanto os dados quanto o cabeçalho são empacotados e transmitidos segundo um novo endereçamento IP, em um túnel estabelecido entre o ponto de origem e destino (citação). Se você não estiver na instituição, utilize a VPN, mesmo que ela não garanta privacidade total.

Boa prática:

Sua pesquisa em conformidade com a LGPD

A LGPD permite a utilização de dados pessoais e dados pessoais sensíveis para pesquisa na área da saúde mesmo sem consentimento do titular, mas exige que esse acesso seja feito dentro de um órgão de pesquisa público, em ambiente controlado e seguro.

O uso de dados pessoais para estudos em saúde pública está previsto no 13º artigo da LGPD. Veja o que está descrito neste artigo:

Artigo 13 – Lei Geral de Proteção de Dados Pessoais (LGPD)

Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

§ 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.

§ 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.

§ 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.

§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Ao utilizar dados e/ou sistemas do Saúde Digital UFSC, priorize a segurança realizando o acesso em um ambiente seguro, de preferência dentro da instituição. Caso não seja possível, utilize a VPN (Rede Privativa Virtual) da Universidade Federal de Santa Catarina. Para configurar a VPN da UFSC usando Windows, é necessário que você tenha uma matrícula ativa na Universidade (um idUFSC ativo) e siga os passos abaixo:

  1. Pesquise no seu computador por VPN;
  2. Selecione “Configurações de VPN”;
  3. Clique em “Adicionar VPN”;
  4. Responda as caixas de seleção com as respostas abaixo:
    1. Provedor VPN: Windows (interno);
    2. Nome da conexão: VPN UFSC;
    3. Nome ou endereço do servidor: vpn.ufsc.br;
    4. Tipo de VPN: IKEv2;
    5. Tipo de informações de entrada: nome de usuário e senha;
    6. Nome de usuário: seu idUFSC Completo (final com “@ufsc.br” – não usar @grad ou @posgrad para login na VPN);
    7. Senha: mesma senha que seu idUFSC.

Caso sua máquina não utilize Windows, acesse o link de apoio do SETIC para saber como configurar e utilizar a VPN em seu equipamento por meio deste link

Dicas

Não acesse bancos de dados utilizando redes de wi-fi abertas, ou com senhas fracas, como de cafés, aeroportos, hotéis, coworking, etc..

Estabeleça práticas de anonimização ou pseudonimização dos dados, ou seja, organize os bancos de modo a que os dados não possam ser associados a um indivíduo específico.

Certifique-se que você e sua equipe, inclusive estagiários e orientandos, assinaram o termo de confidencialidade e responsabilidade do Saúde Digital UFSC.

Não armazene dados pessoais e dados pessoais sensíveis de usuários ou colaboradores do Saúde Digital UFSC em computadores e smartphones pessoais.

Não “empreste” suas senhas de acesso para ninguém, pois elas são suas.

Não utilize dados pessoais como data de nascimento, CPF, nome, para compor suas senhas.

Certifique-se de ter uma senha forte, com letras, números e caracteres especiais.

Evite comentar casos reais em público.

Não deixe sistemas logados em sua máquina e vá ao banheiro ou tomar café. Quem garante a segurança de eventuais acessos?

Em caso de dúvidas, fale com o setor de Encarregado de Dados do Saúde Digital UFSC, ou simplesmente DPO-S.

A última gota

No ano de 2022, sete das oito instituições sancionadas pela ANPD por descumprimento à LGPD eram do setor público. Essa notícia torna importante a reflexão sobre o trabalho que executamos e a responsabilidade de todos os envolvidos no processo. O Saúde Digital UFSC, enquanto instituição pública, tem atuado para capacitar seus colaboradores, instituindo boas práticas para proteção de dados. O boletim Gotinhas de Privacidade busca tornar mais frequentes e próximas dos nossos colaboradores as discussões e as novidades sobre o assunto. Nos vemos na próxima edição!

Na próxima edição

Vamos abordar a utilização de inteligência artificial (IA) nos serviços de saúde, explicar os conceitos de anonimização e pseudonimização, além compartilhar mais dicas e informações sobre o que são os dados e como devemos manipulá-los corretamente. Não perca!