Blockchain na Saúde
Como Blockchain vem provando o seu valor para a saúde, apresentarei algumas perspectivas sobre os problemas de privacidade e conformidade enfrentados pela tecnologia e como ela se enquadra, ou não, em leis como HIPAA, GDPR e CA CCPA. No próximo abordarei a LGPD brasileira.
Como Blockchain, ao oferecer uma rede distribuída imutável e protegida para o compartilhamento de dados confidenciais, o blockchain é particularmente adequado para uma série de casos de uso na saúde.
Ele fornece muito controle sobre o que acontece com as informações do paciente, ter todos os dados em um formato utilizável e portátil é realmente um grande uso dessa tecnologia.
Mas essa promessa vem com muitos pontos de interrogação. A confusão sobre como a tecnologia deve ser implantada, a incerteza sobre como ela pode combinar com infraestrutura e fluxos de trabalho existentes e, particularmente, algum debate sobre como blockchain se encaixa com as leis de privacidade estaduais, nacionais e internacionais, como HIPAA, Regulamento Geral de Proteção de Dados da UE e o GDPR-como Califórnia Consumer Privacy Act, que foi passado pelo Estado da Califórnia no verão passado. Mas acredito que o blockchain possa, e deve, ser bem adequado para o cumprimento de cada uma dessas leis.
Sob a influência do GDPR, há um fardo para proteger os registros de saúde que não são muito diferentes do HIPAA. O mesmo vale para como isso pode ser compatível com os regs GDPR ainda recentes. Por exemplo, o HIPAA contém uma 'declaração de direitos do paciente'. Então, se eu, como paciente, quiser ver meus registros de saúde, eu apenas levanto minha mão e você tem que dar para mim. Asolução disso no Blochchain é possível, mas necessita de uma abordagem médica, tecnológica e legal estruturada e de confiança.
Da mesma forma, considere o chamado "direito de ser esquecido" do GDPR. Como você "esquece" algo em uma blockchain supostamente imutável? Como podemos ver, existem desafios que precisam ser bem trabalhados nessa questão.
Por exemplo, um dos princípios da boa segurança de dados é o "CIA Triad": integridade, confidencialidade e disponibilidade. A natureza distributiva, e à prova de adulteração da Blockchain, ajuda muito a resolver os aspectos de disponibilidade e integridade e ajuda muito com a confidencialidade.
No caso da saúde, devemos fazer um trabalho adicional no lado da confidencialidade. O fato de um indivíduo poder ter um único registro de toda a sua história médica, desse modo imutável e distribuído, proporciona grande disponibilidade e integridade. Mas o fato de que você precisaria de várias partes diferentes para poder acessar isso de uma maneira significativa, faz com que os desafios de confidencialidade estejam na primeira linha da questão.
Então, é compatível com blockchain HIPAA? No momento, existem algumas dúvidas porque o HIPAA proíbe o uso de criptografia derivada matematicamente de informações de saúde protegidas, porque as informações criptografadas podem ser, no limite, potencialmente re-identificáveis. Minha opinião é que isso é exagero. Pode-se construir a confidencialidade adequada sem risco à identificação de PII ou PHI.
Essa tecnologia emergente poderia e deveria oferecer uma oportunidade para ajudar a repensar alguns aspectos desse regulamento de privacidade de 22 anos de idade - essa discussão parece estar ganhando força em Washington e nós deveríamos estar fazendo o mesmo aqui no Brasil com relação à LGPD e regulamentações gravitarias á LGPD.
Se é imutável, e é um banco de dados distribuído, certamente é uma forma melhor de proteção do que a que temos agora. Mas precisamos ter uma imagem clara de quem é o controlador em relação ao processador. Essas provavelmente serão respostas mais claras no espaço da saúde. Mas ainda há espaço para essa confusão: quem é o controlador do blockchain? E quais são suas responsabilidades em relação a um processador? E ainda temos os problemas do subprocessador.
Acrescente à confusão o fato de termos regulamentações diferentes de governos diferentes, não apenas nos EUA e na UE, mas em todo o mundo. Eles estão em conflito um com o outro? ás vezes sim e ás vezes não. Por causa de como as leis foram escritas, e como elas se aplicam em diferentes países e pelo fato de não termos fronteiras internacionais quando se trata da internet.
Como sabemos, muitas tecnologias lutam com o mesmo problema, que é essencialmente que os reguladores e os desenvolvedores e inovadores de ponta raramente estão na mesma página. Em certos lugares, pode-se levar de dois, três, quatro anos, ou mais, para implementar um regulamento, e isso é uma vida inteira no mundo da tecnologia.
Houve casos em todo o mundo que parecem indicar que a lei em outros países não se aplica. Eu pensaria, do ponto de vista da liderança em TI na Saúde, minha experiência com empreendedores inovadores em saúde, alguns deles são muito agressivos quanto a querer estar em total conformidade com o GDPR. Eles trabalham duro, com razão, para tentar proteger seus dados de saúde.
Já para as organizações de saúde, se elas avançarem com um piloto de blockchain - ou qualquer projeto envolvendo PHI ou PII - verifique se eles fizeram um esforço estruturado e de boa fé para proteger os dados de saúde. O desafio real, será o pessoal que me ligar, depois de já ter feito isso.
Republicação do artigo do Linkedin:
https://www.linkedin.com/pulse/blockchain-na-sa%C3%BAde-miguel-a-s-aguiar-netto/
Autor:
Miguel A. S. Aguiar Netto
https://www.linkedin.com/in/miguelanettomd/
MD,MPH,DHIT,DHA(ScaD), Chief Executive Officer, Healthcare & Life Sciences Ecosystem Architect, AI, Blockchain, Cognitive Solution’s and IT Specialist. Pursuing Excellence in Healthcare with Cutting Edge Technology
Comentários
Postar um comentário