No contexto hospitalar, médicos e enfermeiros, facilitam frequentemente o acesso dos estudantes de medicina e enfermagem, aos sistemas informáticos através da partilha das suas passwords profissionais/pessoais. Apesar desta prática aparentar simplicidade operacional, acarreta riscos significativos para a cibersegurança e viola princípios essenciais da proteção de dados pessoais e clínicos. A cedência informal de acessos informáticos no hospital é o elo frágil de uma cadeia que deveria ser inviolável.

O Regulamento Geral sobre a Proteção de Dados (RGPD – Regulamento UE 2016/679), impõe responsabilidades rigorosas às instituições e aos profissionais de saúde no que respeita à proteção das informações pessoais e clínicas dos doentes. Adicionalmente, a Lei n.º 58/2019, de 8 de agosto, que assegura a execução do RGPD em Portugal, determina especificamente que os dados clínicos são considerados sensíveis e determina igualmente, que o acesso a dados pessoais de saúde rege-se pelo princípio da necessidade de conhecer a informação (“need to know”), e sempre com garantia das medidas adequadas de segurança dessa informação.

Adicionalmente, a Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, obriga as entidades do setor da saúde a adotar requisitos de segurança robustos e a notificar o Centro Nacional de Cibersegurança em caso de incidentes com impacto relevante nos sistemas de informação.

Quando os profissionais partilham passwords com estudantes durante os estágios, comprometem a rastreabilidade das ações efetuadas nos sistemas hospitalares, dificultando a identificação de responsabilidades no caso de eventuais incidentes ou violações de dados. Estudantes que recebem acesso através de passwords partilhadas, podem continuar a utilizá-las indevidamente em estágios subsequentes, especialmente quando estes ocorrem dentro do mesmo centro hospitalar que agrupa diferentes unidades de saúde com sistemas informáticos comuns ou semelhantes. Este comportamento aumenta exponencialmente o risco de acesso não autorizado, podendo resultar em exposição ou perda de informações clínicas protegidas, o que constitui uma infração grave às normas de segurança estabelecidas e passível de sanções legais pesadas para as instituições e profissionais envolvidos.

Cada password partilhada, pode ser o início de uma cadeia de eventos que compromete a privacidade, a ética e a segurança de todo o sistema de saúde, e por este motivo, a segurança digital deve ser tão inviolável quanto o próprio segredo profissional.

Não se compreende esta falha de segurança, sobretudo tendo em conta que os hospitais e as unidades de cuidados de saúde primários recebem, com vários meses de antecedência, através das instituições de ensino, a informação sobre as datas de início e de fim dos estágios e ensinos clínicos, os quais são expressamente autorizados pelas próprias instituições de saúde.

A fragilidade das práticas de cibersegurança no setor da saúde, nomeadamente o uso de passwords simples e a sua partilha, tem sido identificada e apresentada nos relatórios de Cibersegurança, do Centro Nacional de Cibersegurança e do Observatório de Cibersegurança, como uma das principais vulnerabilidades exploradas em ataques informáticos a hospitais portugueses, com consequências graves para a continuidade dos serviços e a privacidade dos doentes. A banalização da partilha de passwords em contextos da saúde, é o primeiro sintoma de um sistema que ainda não compreendeu os riscos reais da era digital.

Para mitigar estes riscos, é fundamental que as instituições hospitalares implementem: a atribuição de credenciais únicas e intransmissíveis a cada utilizador, incluindo estudantes, com perfis de acesso adequados às funções desempenhadas; uma autenticação multifatorial e políticas rigorosas de gestão de passwords; monitorização contínua dos acessos e auditorias periódicas aos sistemas de informação; a utilização de ambientes simulados com dados anonimizados para formação, evitando o acesso a registos reais sem necessidade; e, a comunicação imediata de incidentes ou falhas de segurança, conforme previsto na legislação em vigor.

A formação contínua de profissionais e estudantes sobre práticas seguras e legais de cibersegurança, é igualmente essencial para minimizar os riscos inerentes à gestão das informações clínicas, protegendo assim a privacidade dos doentes e assegurando conformidade com as normas jurídicas vigentes.

A adoção destas medidas é não só uma exigência legal, mas também uma obrigação ética, essencial para garantir a confiança dos utentes no sistema de saúde, proteger a sua privacidade e assegurar a integridade dos serviços hospitalares.

A verdadeira literacia digital em saúde começa, quando reconhecemos que cada credencial partilhada pode comprometer anos de confiança, ética e responsabilidade profissional, porque proteger dados é também proteger cuidados.

Em síntese, a partilha de passwords em contexto hospitalar é incompatível com a legislação portuguesa de proteção de dados e de cibersegurança, expondo instituições e profissionais a riscos jurídicos, éticos e operacionais de elevada gravidade.

PS – Texto elaborado por Ana Paula Nunes e corrigido por IA