Informações sobre doentes, circulam todos os dias em mensagens do WhatsApp. Esta prática entre equipas de saúde, tem sido assumida com uma naturalidade crescente e uma falsa perceção de legitimidade. Contudo, este atalho pode ser perigoso, pois implica riscos deontológicos, éticos, legais e de cibersegurança. Cada partilha deixa um rasto digital permanente, potencialmente utilizável em processos disciplinares ou ações judiciais futuras. É o paradoxo da modernidade digital que exige uma análise multiprofissional destes riscos complexos.

Um dia um médico partilha um ECG com um colega para validar o seu diagnóstico. Noutro dia um enfermeiro partilha uma fotografia de uma úlcera por pressão com a equipa para avaliar a evolução do tratamento prescrito, cujo consentimento da fotografia não foi obtido por escrito (DGS – Norma nº 15/2013, de 3 de novembro), por mais útil que seja essa informação visual. No final do dia, da semana e do mês, informações clínicas confidenciais que são pertença do utente/doente (Lei n.º 12/2005, de 26 de janeiro), circulam sem controlo e proteção, fora dos sistemas institucionais.

Sendo uma ferramenta democratizada, de fácil instalação e de uso intuitivo, o WhatsApp, não é adequado para fazer passar informações confidenciais, porque não cumpre os requisitos legais e não é seguro do ponto de vista técnico.

O WhatsApp utiliza uma encriptação end-to-end com base no protocolo Signal, tem uma criptografia assimétrica com chaves públicas e privadas, e um forward secrecy, que lhe confere uma aparente robustez técnica. Contudo, também apresenta vulnerabilidades operacionais, uma vez que tem armadilhas técnicas disfarçadas de praticidade. Desde logo, o facto de ser usado por grupos. Tendo em conta que cada membro do grupo tem acesso a todas as mensagens, se o telemóvel de um profissional ou mensagens forem indevidamente acedidas, todo o conteúdo da comunicação e todos os seus elementos ficam vulneráveis. Os backups do WhatsApp, quando armazenados em serviços de cloud não possuem encriptação, exigindo que o utilizador ative manualmente a funcionalidade de encriptação com chave própria, sob pena de os dados permanecerem vulneráveis a acessos não autorizados. O facto de permitir o acesso a todas as mensagens do grupo, mesmo que um dos elementos seja incluído mais tarde, não oferece a necessária rastreabilidade da instituição de saúde. Além disso, a presença de malware, spyware ou o acesso físico não autorizado ao dispositivo, compromete a integridade e a confidencialidade das comunicações, permitindo a extração ou monitorização de dados sensíveis, mesmo em aplicações com encriptação end-to-end.

O uso de dispositivos pessoais com aplicações não certificadas para partilhar informações clínicas confidenciais, cria uma dicotomia entre eficiência operacional e compliance legal, que passamos a enumerar:

A Constituição da República Portuguesa, garante o direito fundamental à identidade pessoal, à vida privada, à reserva da intimidade e ao controlo sobre os dados pessoais, incluindo o conhecimento e o consentimento sobre a sua utilização. O uso do WhatsApp para partilhar informação clínica compromete esses direitos, ao expor dados sensíveis sem mecanismos formais de controlo, rastreabilidade ou possibilidade de gestão informacional por parte do utente.

O Código Civil, estabelece que todas as pessoas têm direito à reserva da intimidade da vida privada e que o uso indevido dessa informação constitui uma violação dos direitos de personalidade. Assim, quando um profissional de saúde utiliza o WhatsApp para partilhar dados clínicos sem autorização formal e segura, está a infringir esse direito, tornando tal prática civilmente ilícita e passível de responsabilidade por danos.

A Lei n.º 12/2005, de 26 de janeiro, reconhece que a informação de saúde é propriedade da pessoa e só pode ser consultada por profissionais de saúde obrigados a sigilo, estritamente dentro do necessário e com controlo rigoroso de acesso. Esta lei impõe às unidades de saúde a obrigação de garantir níveis de segurança adequados e prevenir qualquer forma de acesso não autorizado ou tratamento ilícito dos dados clínicos, reforçando o dever de confidencialidade e a formação deontológica dos profissionais.

A Lei n.º 58/2019, de 8 de agosto, que assegura a execução do RGPD em Portugal, exige que o tratamento de dados pessoais de saúde ocorra com medidas técnicas e organizacionais adequadas, que inclui a utilização de plataformas seguras, auditáveis e sob controlo institucional. O uso do WhatsApp, por não garantir esses requisitos de segurança, rastreabilidade e controlo, torna-se um meio ilícito para a partilha de dados clínicos por profissionais de saúde.

O artigo 195.º do Código Penal tipifica como crime a violação de segredo profissional, punindo quem, sem consentimento, revelar informações confidenciais obtidas no exercício da sua profissão. Assim, ao partilhar dados clínicos através do WhatsApp — uma plataforma não autorizada e sem garantias legais de confidencialidade — o profissional de saúde incorre numa prática potencialmente ilícita e penalmente punível.

A Declaração Universal sobre Bioética e Direitos Humanos (UNESCO, 2005), refere que a confidencialidade dos dados de saúde deve ser protegida por todos os meios disponíveis.

Lei n.º 156/2015, de 16 de setembro, que regula o Código Deontológico da Ordem dos Enfermeiros, exige confidencialidade, mesmo fora do espaço clínico, e o Regulamento n.º 707/2016, de 21 de julho, que regula o Código Deontológico da Ordem dos Médicos, determina que o médico deve guardar segredo sobre todos os factos conhecidos no exercício da profissão, sendo o dever de confidencialidade extensivo a qualquer meio de comunicação. Assim, ao utilizar o WhatsApp os profissionais de saúde violam esse dever deontológico, tornando a prática eticamente inaceitável e suscetível de sanções disciplinares.

O Regulamento Geral sobre a Proteção de Dados – UE 2016/679 – RGPD, refere que dados de saúde são dados sensíveis e requerem medidas de proteção reforçada, e o responsável pelo tratamento deve garantir segurança apropriada, incluindo a pseudoanonimização, encriptação e controlo de acessos.

A Lei n.º 95/2019, de 4 de setembro – Lei de Bases da Saúde, consagra o direito dos utentes à confidencialidade da informação e à proteção da sua vida privada no acesso aos cuidados de saúde. O uso do WhatsApp por profissionais para partilhar dados clínicos, fora de sistemas autorizados e auditáveis, viola este princípio fundamental, configurando uma prática ilegal e contrária à organização ética e legal do sistema de saúde.

Usar aplicações como o WhatsApp sem possibilidade de rastreabilidade, sem controle das instituições e com hipótese de haver um acesso indevido, infringe as obrigações deontológicas e legais que se apresentaram. Independentemente de poder não haver de forma explicita, a identificação dos utentes/doentes, o contexto torna as informações identificáveis, pelo risco real de associar os dados partilhados a uma pessoa singular (Regulamento UE 2016/679).

As consequências das falhas éticas, deontológicas e legais, deste procedimento, mesmo que com boas intenções e com um sentido prático de facilitar as comunicações, viola princípios fundamentais da conduta ética dos profissionais de saúde. Tal prática compromete: o segredo profissional – um dos pilares da relação terapêutica; a confiança – qualquer partilha fora dos canais autorizados compromete a confiança do utente na instituição e no profissional; e, a autonomia – o utente não deu consentimento informado para que os seus dados circulem em redes não institucionais. Proteger a informação clínica, deve ser vista como uma extensão dos cuidados em saúde.

Violar o direito à privacidade de um cidadão partilhando de forma informal os seus dados de saúde, cria para os profissionais, potencias sanções disciplinares pelas respetivas Ordens profissionais, processos administrativos por infração do RGPD, responsabilização criminal em caso de dano efetivo ao doente, perda de confiança da comunidade e deterioração da relação terapêutica.

Partilhar informações confidenciais cujos proprietários são os utentes/doentes, não é uma prática aceitável porque não é neutra. Representa uma falha ética, uma infração deontológica e um potencial crime. Proteger as informações clínicas e fazê-las circular nos meios previstos na lei, é tão importante como proteger a saúde física das pessoas.

As instituições de saúde devem: fazer auditorias internas regulares; disponibilizar plataformas certificadas de comunicação interna; promover uma cultura organizacional cibersegura; e, fazer formação obrigatória e contínua em cibersegurança clínica, ética e responsabilidade jurídica.

Em termos individuais, os profissionais de saúde devem: recusar partilhar informações clínicas em canais tecnicamente pouco seguros; utilizar apenas sistemas autorizados, seguros e auditáveis para partilhar e guardar informações confidenciais; frequentar formações sobre cibersegurança em geral e cibersegurança especifica nos serviços de saúde; e, compreender que a ética profissional também se aplica aos seus dispositivos pessoais.

Profissionais conscientes e responsáveis pelos mais vulneráveis, assim como, instituições bem preparadas, que fazem da cibersegurança um ativo estratégico, são uma porta aberta para o desejável avanço tecnológico, sem que haja um retrocesso ético. Porque cuidar, também é proteger a informação.