Telemedicina: porque preciso de um Certificado Digital padrão ICP-Brasil?

Em meio à pandemia do Coronavírus (COVID-19), o Ministério da Saúde publicou a Portaria nº 467 com disposições sobre ações de Telemedicina, o que contempla a emissão de receitas e atestados médicos à distância, desde que assinados com Certificado Digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.

Neste momento surge algumas dúvidas sobre o processo e uma das mais frequentes é: Porque as Prescrições Eletrônicas e o PEP – Prontuário Eletrônico do Paciente (gerado durante a teleconsulta), precisam ser assinados com Certificados Digitais padrão ICP-Brasil?

O objetivo aqui não é explicar o que é um Certificado Digital (para isso leia esse artigo) e nem falar sobre a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), mas sim, explicar de maneira simples a razão pela qual ela está inserida neste contexto.

A ICP-Brasil está inserida no processo de assinaturas digitais como cadeia de confiança estabelecida entre entidades privadas e o governo, sob a direção do ITI – Instituto Nacional de Tecnologia da Informação.

A principal característica no caso da saúde é a autoria, isto é, quem realmente realizou aquela assinatura. E só o Certificado padrão ICP-Brasil que pode garantir validade jurídica ao documento digital.

Quer entender melhor como isso acontece?

Vamos usar como exemplo um sistema de prescrições eletrônicas. Se ele não usa o Certificado padrão ICP-Brasil, o próprio sistema terá que determinar quem realmente está ali assinando as prescrições.

E quem audita, regula e fiscaliza esse sistema? Como ele pode garantir que o documento digital foi realmente assinado pelo médico Dr. José ou não foi alguém que se apropriou da senha do Dr. José?

Você deve estar pensando que este é um problema relativamente simples; é só fazer como os bancos digitais, usar a biometria para assinar (seja ela qual tipo de biometria for).

Então continuemos nosso exemplo.

Se trouxermos a biometria facial, largamente utilizada atualmente, o problema para sua atribuição de autoria é que, cada pessoa é única, essa é justamente a fragilidade do processo. Não são raros os casos em que hackers conseguem capturar a biometria facial de uma pessoa.

Caso isso aconteça com nosso Dr. José, o que faremos então? E todas as prescrições feitas por ele, como saber se foram realmente de sua autoria ou fraude? A quem compete comprovar que não foi ele?

Todas essas perguntas podem ser respondidas se o documento digital foi assinado com um Certificado ICP-Brasil. Ele também possui biometria, contudo, ela está associada a uma chave criptográfica. Se essa chave for comprometida, ela é imediatamente revogada e todos os atos assinados com aquele Certificado Digital podem ser rastreados.

Outra questão importante é que, mantendo nosso exemplo da prescrição usando o Certificado Digital, a responsabilidade em comprovar quem assinou passa do sistema para o titular do Certificado, ou seja, cabe ao titular do Certificado provar que não foi ele quem realizou as operações.

Sendo assim, podemos resumidamente dizer que o Certificado Digital ICP-Brasil, traz para o processo: garantia de autoria (com validade jurídica), inversão do ônus da prova (cabe ao titular dizer que não foi ele quem assinou) e o não repúdio (impossibilidade legal de negar aquela assinatura), tudo isso garantido, auditado, normatizado e fiscalizado por um órgão de confiança, o ITI  (Instituto Nacional de Tecnologia da Informação) que zela pela ICP-Brasil.