Serviços   O conteúdo desse portal pode ser acessível em Libras usando o VLibras

O Cidacs e a LGPD

O Cidacs e a LGPD

Bethânia Almeida e Roberto Carrero

A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma lei geral voltada ao estabelecimento de princípios e conceitos norteadores para preservar o equilíbrio entre a necessidade de proteger os direitos dos titulares dos dados, ao mesmo tempo em que permite o tratamento de dados pessoais e sensíveis para determinadas finalidades, desde que sejam seguidas as salvaguardas previstas nesta lei. Dentre estas finalidades constam a pesquisa acadêmica (Art. 4º e Art. 7º) e estudos em saúde pública (Art. 13). No artigo art. 13 a LGPD estabelece que:
“Na realização em estudos de saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudoanonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.”
O Cidacs é um laboratório do Instituto Gonçalo Moniz (IGM), unidade técnico-cientifica da Fiocruz na Bahia, criado em 2016 com a missão de realizar pesquisas sobre os determinantes sociais da saúde a partir da integração de dados (Record Linkage). Ou seja, o intuito é, através do cruzamento de dados, responder a questões em torno de como fatores sociais, econômicos, culturais, ambientais, comportamentais entre outros impactam na vida, no adoecimento e morte de grupos e populações. Assim, o Centro visa contribuir com a ampliação de conhecimentos e evidências científicas para melhorar as condições de vida e de saúde da população brasileira.
No Brasil, a LGPD sancionada em agosto de 2018 e vigência a partir de setembro de 2020 aplica-se a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica de direito público ou privado no território nacional, inclusive nos meios digitais (Brasil, 2018) .
A despeito de ter sido inaugurado em dezembro de 2016, antes da LGPD, a Plataforma de Dados do Cidacs foi criada com o objetivo de priorizar a proteção de direitos dos titulares dos dados através de alto nível de segurança da informação, privacidade e o uso ético dos dados em todos os processos.
As pesquisas conduzidas no Cidacs necessitam, em uma parte do processo da integração das bases de dados, utilizar um conjunto de atributos identificadores (nome, nome da mãe, data e municípios de nascimento e outros), que estejam presentes entre diferentes bases de dados como as de saúde e sociais por exemplo. Ao considerar que a vinculação de registros entre diferentes bases de dados é central para as pesquisas conduzidas no Centro, dados individualizados são necessários para aplicação de técnicas de Record Linkage.
A vinculação de dados, principalmente de registros administrativos para estudos de base populacional, é uma ferramenta valiosa para responder a questões científicas complexas, questões que exigem grandes tamanhos de amostra ou questões relacionadas a populações de difícil acesso. Os estudos, assim gerados, produzem evidências com alto nível de validade externa e, portanto, com maior aplicabilidade para elaboração de políticas públicas. O objetivo não é identificar o indivíduo, mas encontrar padrões ou associações emanadas do conjunto de dados analisados. Os resultados das pesquisas são divulgados de maneira agregada, em forma de tabelas, gráficos, sem necessitar fazer referência a qualquer indivíduo em particular.
Todo processo de integração de dados no Cidacs é realizado em ambiente seguro e controlado. Portanto, em consonância com a LGPD e as boas práticas de segurança da informação, que levam em consideração a transparência, a ética e a privacidade em todas as suas etapas.
Nesta perspectiva foi estruturado um complexo sistema de gerenciamento de dados com métodos, técnicas e protocolos para receber, tratar, processar, integrar e preservar grande volume de dados para responder perguntas de pesquisa relacionadas aos determinantes sociais e impactos de políticas públicas sobre a saúde da população brasileira.
A seguir apresentamos as principais etapas de tratamento de dados no Cidacs, todas em consonância com a LGPD:

Como obtemos os dados

A solicitação de bases de dados pelo Cidacs sempre é baseada nas necessidades de projetos de pesquisa. A partir da necessidade de uma nova base de dados ou atualização de bases existentes, o Controlador dos dados em questão é formalmente contatado com a devida justificativa para o uso dos dados no contexto do estudo proposto. Ao ser deferida a solicitação, um conjunto de documentos é solicitado pelo Controlador, documentos que variam de Controlador para Controlador. Uma vez realizado os tramites documentais, cópias dos dados são preparadas e enviadas ao Cidacs por meios seguros, que inclui o transporte via mídia com criptografia nativa, onde são copiados os dados e cuja senha de acesso somente é enviada para a equipe responsável no Cidacs, após a informação do recebimento do dispositivo.
Ao chegar no Cidacs, um documento de recebimento é elaborado, e imediatamente a base de dados criptografada é transferida para Sala Segura, onde ocorre a verificação da integridade da base recebida. Outros meios seguros, são possíveis como o uso de sistemas específicos com VPN, que codificam os dados na sua transmissão. No ambiente da Sala Segura do Cidacs há monitoramento e controles físico implementados. Todo o ambiente é desconectado da rede do Cidacs e da Internet, possuindo uma rede de dados interna própria. Uma vez validado os dados, estes são catalogados e transferidos para o local de armazenamento de dados na Sala Segura. E as mídias depositadas em um cofre, até a sua destruição e descarte.
Todas as etapas do processo são protocoladas e registradas, e os documentos e termos preservados para rastreamento (Cadeia de Custódia dos dados). O acesso a Sala Segura do Cidacs somente é autorizado a membros específicos da equipe, que não podem utilizar celular, pen drive ou qualquer outro dispositivo eletrônico, havendo ainda controle, monitoramento e auditoria de entrada e saída de quaisquer ativos pela equipe de Segurança da Informação.

Como integramos os dados

As cópias dos dados transferidos para o Cidacs sempre são integradas no ambiente da Sala Segura, para responder a perguntas de projetos de pesquisa. Os dados são integrados em estruturas longitudinais, coortes, para que os pesquisadores observam como as exposições de interesse influenciam no estado de saúde e doença em um grupo específico, que possui características comuns. Os dados integrados sempre são transferidos anonimizados da Sala Segura para o Ambiente de Análise.
As solicitações de transferência dos dados integrados e anonimizados são realizadas pela equipe da Curadoria e executadas pela equipe de Segurança da Informação, mediante registro e protocolo. A transferência é realizada de forma física utilizando disco com criptografia, uma vez que a Sala Segura é desconectada da rede de dados dos demais ambientes. Cada membro autorizado da equipe de pesquisa tem acesso a um espaço próprio e protegido onde são depositados os dados solicitados.

Como disponibilizamos acesso aos dados:

O acesso aos dados integrados e anonimizados produzidos no Cidacs é restrito e ocorre, quando autorizado, em ambiente seguro e controlado. A solicitação de acesso precisa atender aos seguintes requisitos:
• Ser do quadro interno ou colaborador;
• Apresentar projeto de pesquisa detalhado acompanhado de parecer ético favorável do Sistema CEP/Conep;
• Preencher plano de dados fornecido pelo Cidacs para embasar a vinculação e extração das variáveis contidas nas bases de dados disponíveis, que deverão ser restritas as necessárias para responder as perguntas do estudo proposto;
• Assinatura de termos de responsabilidade relacionados ao acesso e uso dos dados;
• Acesso e análise dos datasets (dados integrados e anonimizados produzidos para o estudo em questão) de maneira presencial ou exclusivamente via rede segura (Virtual Private Network – VPN 2F).
Uma vez credenciado e devidamente habilitado, o membro da equipe de pesquisa terá acesso ao Ambiente de Análise do Cidacs. O Ambiente de Análise é separado das demais estruturas computacionais e bloqueia o acesso à Internet dos usuários conectados via VPN. O Ambiente de Análise fornece desktop virtual e ferramentas analíticas previamente instaladas e auditadas para trabalho da equipe de pesquisa. Os dados, mesmo anonimizados, não podem ser baixados. Somente é permitido obter dados agregados, (tabelas, gráficos e indicadores) após registro de solicitação de retirada dos dados do Ambiente de Análise, que são inspecionados com o intuito de mitigar riscos de reidentificação dos titulares dos dados.

Referências

Barreto, M. et al. The Centre for Data and Knowledge Integration for Health (CIDACS): Linking Health and Social Data in Brazil. International Journal of Population Data Science, v. 4, p. 1-12, 2019. Disponível em: https://doi.org/10.23889/ijpds.v4i2.1140
BRASIL. Lei Geral de Proteção de Dados (LGPD). Lei n. 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Doneda, D.; Almeida, B. de A.; Barreto, M. L. Uso e proteção de dados pessoais na pesquisa científica. Revista Direito Público, Brasília, DF, v. 16, n. 90, p. 179-194, 2019. Disponível em: https://www.portaldeperiodicos.idp.edu.br/direitopublico/article/view/3895
Barbosa, G.C.G. et al. CIDACS-RL: a novel indexing search and scoring-based record linkage system for huge datasets with high accuracy and scalability. BMC Med Inform Decis Mak 20, 289 (2020). Disponível em: https://doi.org/10.1186/s12911-020-01285-w
Harron, K., Dibben, C., Boyd, J., Hjern, A., Azimaee, M., Barreto, M. L., & Goldstein, H. (2017). Challenges in administrative data linkage for research. Big Data & Society, 4(2). https://doi.org/10.1177/2053951717745678
Pita, R. et al., “On the Accuracy and Scalability of Probabilistic Data Linkage Over the Brazilian 114 Million Cohort,” in IEEE Journal of Biomedical and Health Informatics, vol. 22, no. 2, p. 346-353, March 2018. Disponível em: https://ieeexplore.ieee.org/document/8293793
NewsletterNovidades Cidacs