Farmacêuticos não precisam mais comprar certificados digitais para dispensação eletrônica

Farmacêuticos não precisam mais comprar certificados digitais para dispensação eletrônica

O Governo acaba de liberar os farmacêuticos, e outros profissionais de saúde, de terem de adquirir a certificação eletrônica para realizar a prescrição e a dispensação eletrônica, pois a atividade exige apenas assinaturas eletrônicas na versão avançada, que podem ser utilizadas nos atos médicos ou de outros profissionais de saúde, incluindo a telemedicina, liberada em tempos de pandemia.

Isso foi regulamentado pela Medida Provisória (MP) 983, de 16 de junho de 2020, sancionada pelo presidente da República, Jair Bolsonaro. A normativa dispõe sobre novas diretrizes para as assinaturas eletrônicas, que abrangem, inclusive, prescrições digitais, no âmbito das relações de comunicação com entes públicos e em questões de saúde.

A iniciativa estabelece requisitos necessários para a implementação de três tipos de assinatura eletrônica: simples, avançada e qualificada. “A medida é um passo importante no caminho do Brasil mais digital. Estamos ampliando o acesso a serviços e dando mais segurança às transações digitais. Quem ganha é o cidadão, que terá o Estado na palma da sua mão”, explica o secretário de Governo Digital do Ministério da Economia (ME), Luis Felipe Monteiro, em entrevista publicada no portal da pasta.

Atualmente é possível obter a assinatura eletrônica qualificada com os procedimentos definidos por Infraestrutura de Chaves Públicas Brasileiras (ICP-Brasil).

Já para as modalidades simples e avançada, os poderes ou órgãos constitucionalmente autônomos de cada ente federativo estabelecerão o nível mínimo exigido para a assinatura eletrônica. Os requisitos e mecanismos do reconhecimento de assinatura eletrônica avançada serão divulgados posteriormente.

Receba nossas notícias por e-mail: Cadastre aqui seu endereço eletrônico para receber nossas matérias diariamente

O que muda?

Antes da implementação da MP 983/20, somente eram aceitas as prescrições contendo assinaturas eletrônicas realizadas a partir de um certificado digital, que era fornecido dentro do padrão ICP-Brasil. Isso não será mais necessário para a prescrição e dispensação eletrônica.

Conforme alega o ME, “apesar de extremamente seguro, esse tipo de tecnologia tem um custo associado, o que o torna pouco acessível à maioria da população”. Vale lembrar que o custo aproximado de um certificado digital gira em torno de R$ 250 a R$ 500 ao ano.

Com a nova normativa, duas novas opções de assinaturas foram desenvolvidas e somadas ao sistema existente: a simples e a avançada, sendo que os fatores que diferem um modelo do outro estão relacionados com os mecanismos de identificação e autenticação.

Além disso, no que diz respeito à prescrição e dispensação eletrônica, apenas as assinaturas eletrônicas que se enquadram na versão avançada ou qualificada podem ser utilizadas em atos médicos ou de outros profissionais de saúde, como no caso de prescrições e atestados de afastamento.

Segundo o ME, esse padrão pode ser utilizado “desde que os documentos sejam relacionados à área de atuação do profissional e que haja regulamentação específica por parte do Ministério da Saúde (MS) e da Agência Nacional de Vigilância Sanitária (Anvisa)”.

As assinaturas

O ME informa que “a simples é utilizada por meio de conferência de dados pessoais básicos e deve ser aplicada em transações de baixo risco e relevância. Já no caso da avançada, o sistema deverá garantir a vinculação a um indivíduo e usar elementos de segurança para checagem de uso exclusivo pelo titular. Terá, ainda, de permitir que se cheque possíveis alterações posteriores no que for assinado”.

O órgão complementa ressaltando que “a assinatura qualificada continua com validade ampla e irrestrita para todos os atos e transações com um ente público”, pois, essa modalidade continua enquadrada no processo de emissão por meio do certificado ICP-Brasil.

Nesse sentido, é importante ressaltar que empresas de prescrição e dispensação eletrônica que já utilizam esse método de validação, com certificado ICP-Brasil para as assinaturas, não precisam alterar seus respectivos sistemas.

“Neste momento, não existe qualquer impacto nas aplicações que já usam assinaturas padrão ICP-Brasil. As assinaturas eletrônicas possuem plataformas distintas e usos distintos, condicionados ao nível de criticidade e risco dado em ato normativo para cada aplicação. Cabe aos responsáveis por essas aplicações definir qual plataforma tecnológica usar”, explicou o novo diretor-presidente do Instituto Nacional de Tecnologia da Informação (ITI), Carlos Fortner, em entrevista ao portal Cryptoid.

Regulamentação

Contudo, quem vai regular essas regras de certificação? No artigo 5º, a medida estabelece que os serviços de criptografia, assinatura e identificação eletrônica poderão ser aceitos, no âmbito do poder público, pelo ITI.

“Sem prejuízos das demais competências previstas em lei, o ITI poderá atuar em atividades dos órgãos e entidades da administração direta, autárquica e fundacional dos Poderes e órgãos constitucionalmente autônomos dos entes federativos relacionadas à criptografia, às assinaturas e identificações eletrônicas e às tecnologias correlatas, inclusive àquelas relativas às assinaturas eletrônicas simples e avançadas”, define a legislação.

Polêmica recente

Vale ressaltar que a validação do aceite de assinaturas eletrônicas foi alvo de uma recente polêmica. Tanto farmácias como empresas de prescrição e dispensação eletrônica questionaram uma obrigatoriedade de adequação imposta pelo Conselho Federal de Farmácia (CFF), ao lançar seu Validador de Documentos Digitais com a certificação pelo ICP-Brasil, que, inclusive, foi desenvolvido em parceria com o Conselho Federal de Medicina (CFM) e o ITI.

Ao divulgar o sistema, a entidade de classe ressaltou que o serviço deve ser um padrão a ser usado por médicos, farmacêuticos e empresas de prescrição eletrônica, no âmbito da dispensação em território nacional. “Outras plataformas de prescrição eletrônica, porventura em uso no País, deverão se adequar em 120 dias às normas a serem estabelecidas pelo CFM, CFF e ITI”, definiu o CFF, por meio de uma nota publicada em seu portal oficial, em 25 de maio de 2020.

Contudo, essa indicação para a padronização de sistemas gerou bastante discussão, já que, anteriormente a essa iniciativa imposta pelas entidades de classe, já havia cerca de 248 empresas ligadas ao segmento de prescrição e dispensação eletrônica no Brasil. 

Nesse sentido, especialistas do setor questionam se essa imposição está correta, se é ou não dever das entidades de classe ‘legislar’ no que se refere aos serviços, já que a Anvisa definiu, anteriormente, inclusive antes da publicação da MP 983/20, que as prescrições eletrônicas precisam atender às exigências previstas na legislação sanitária e aos requisitos de controle estabelecidos pelas Portarias SVS/MS 344/98 e 6/99. Além disso, a dispensação deve ser escriturada no Sistema Nacional de Gerenciamento de Produtos Controlados (SNGPC), conforme determina a RDC 22/14.

Segundo o ex-presidente da Anvisa, Dirceu Raposo, essa função não compete aos conselhos de classe: “O CFF, por exemplo, legisla sobre a prática do profissional. O que essa entidade deve pautar é referente à atuação do farmacêutico. Agora, as atribuições sobre quem pode fazer é a Vigilância Sanitária que determina. Quem estabelece a base que vai utilizar é a Anvisa. Esse órgão sanitário que determina as diretrizes que o sistema deve seguir e como esse sistema vai fornecer informações para ela”, explica.

Raposo também ressalta que, mesmo o farmacêutico sendo a autoridade máxima na farmácia na hora da dispensação, as diretrizes a serem seguidas, em relação à prescrição eletrônica, são definidas pela Agência: “A Anvisa define quais são os mecanismos e qual os padrões de segurança que aquele mecanismo [sistema] deve funcionar. Exemplo: ela estabelece que a prescrição eletrônica é permitida desde que existam determinadas chaves de segurança. Dentro do estabelecimento farmacêutico, o profissional farmacêutico deve, do ponto de vista profissional e ético, seguir essa normativa e fazer com que a farmácia esteja alinhada a ela. Já os conselhos devem observar e fiscalizar se os farmacêuticos estão cumprindo essas normas definidas pela Anvisa”.

De acordo com Raposo, essa sutil tentativa dos conselhos em impor normativas para o funcionamento de empresas que forneçam o serviço de prescrição e dispensação eletrônica é descabida. “Repito, o Conselho tem que normatizar como o profissional vai atuar em um ambiente regulado. Mas quem regula esse ambiente não são os conselhos, mas sim, a vigilância sanitária. A Anvisa é que regula como ela quer receber as informações e quais os requisitos que as empresas devem seguir para esse recebimento”, pontua.

Ele completa, dizendo que é obvio que isso não se constrói apenas com a Anvisa baixando uma norma: “Isso é feito por meio de consultas públicas, tem todo um processo normativo desenvolvido, não apenas no Brasil, mas em todo o mundo. Agora, isso que os Conselhos [CFF e CFM] fizeram é uma aberração. Eles simplesmente se reuniram, pegaram meia dúzia de especialistas e disseram, vai ser assim. Não, não vai ser assim porque as falhas devem ser discutidas com a sociedade e com quem, efetivamente, regula esse processo, que não é o Conselho”, destaca.

Posicionamento de empresas

Para o CEO do Grupo Nextcorp (que detém o Sibrafar e o Sibrare), Marcelo de Ferraz, cumprir a legislação sempre foi um dever. "Nós sempre cumprimos tudo o que define as regulamentações do MS, ou de qualquer outro órgão do Governo e da Anvisa. Prova disso é que,  após um chamamento púbico, a nossa plataforma do Sibrafar foi homologada pelo Conselho Regional de Farmácia de São Paulo (CRF-SP), entre outros, como o padrão para ser utilizado por todas as farmácias do Brasil”,

Ele complementa que, além de São Paulo, outros Conselhos já fecharam acordo com o Sibrafar, como do Mato Grosso do Sul, Pará, Alagoas etc.

Vale ressaltar, ainda, que o Sibrafar é a pioneira no segmento de dispensação eletrônica. O sistema, de um lado, recebe receitas prescritas pelos médicos, enviadas por meio das empresas de prontuário e prescrição eletrônica, e, do outro, as disponibiliza às redes de farmácias e drogarias de Norte a Sul do País. É um hub de integração. A expectativa é de que, até o final de 2020, a plataforma esteja plugada em mais de 30 mil estabelecimentos farmacêuticos.

Certificado obrigatório

Na nota, o CFF também enfatizava que "a adesão à receita digital não é obrigatória, mas, uma vez que decidam adotá-la, médicos e farmacêuticos deveriam utilizar o Certificado Digital da ICP-Brasil, única infraestrutura de assinaturas digitais no País que tem validade jurídica e dá, ao cidadão, a garantia de um sistema auditado e fiscalizado pelo Estado, em todo território nacional".

No entanto, é importante ressaltar que a partir da MP 983/20, que inclusive tem o aval do ITI, essa recomendação do CFF já não é mais válida, pois, oferece às empresas a possibilidade de outros sistemas de assinatura eletrônica, além do ICP-Brasil.

Contudo, no caso do Sibrafar, por exemplo, Ferraz reforça que a segurança oferecida por sua plataforma sempre foi garantida pelas assinaturas digitais (via certificação ICP-Brasil) e pela Lei Geral de Proteção de Dados Pessoais (LGPD). Ele complementa: “Com diversos sistemas de segurança, nossa plataforma disponibiliza às farmácias receitas em tempo real".

Vazamento de receita de David Uip

A segurança da proteção de dados sempre foi muito importante no âmbito da assistência prestada nos serviços de saúde. Frequentemente, muitos casos ganharam os noticiários sobre esse assunto. O fato mais recente repercutiu em todo o Brasil e foi protagonizado pelo médico infectologista, David Uip, que atuava no Centro de Contingência do novo coronavírus no Governo do Estado de São Paulo.

Após ter sido diagnosticado com a Covid-19, o médico teve uma receita (prescrita por ele mesmo) do medicamento hidroxicloroquina vazada nas redes sociais. A situação acabou gerando problemas para Uip, já que ele defendeu, em público, por diversas vezes, que mais estudos precisavam ser realizados para atestar a eficácia do fármaco na terapia contra a doença.

Outro grande escândalo que também envolveu departamentos de saúde, novamente, foi protagonizado em São Paulo. Em 2016, uma grave falha nos sistemas de segurança da Prefeitura de São Paulo expôs dados pessoais de centenas de milhares de pacientes do Sistema Único de Saúde (SUS). Estima-se que, na época, as planilhas divulgadas, erroneamente, expuseram cerca de 650 mil prontuários com informações privadas dos pacientes. Por esses casos, e muitos outros, não é difícil entender a importância da proteção dos dados.

Empresas envolvidas?

Recentemente, as empresas Memed e Nexodata foram alvo de especulações sobre um suposto vazamento de dados. Em abril de 2020, o colunista do Diário do Poder, Claudio Humberto, publicou uma matéria em que cita as companhias e dá ao entender de que essas empresas poderiam estar comercializando informações pessoais dos usuários cadastrados em suas respectivas plataformas.

No texto, o jornalista destaca: “Enquanto a Lei Geral de Proteção de Dados Pessoais (LGPD) não entra em vigor, empresas oportunistas da área de ‘HealthTech’ faturam com a venda de dados dos pacientes, sem os médicos saberem. Outras, como a Memed e a Nexodata, oferecem ‘gratuitamente’ às clínicas e hospitais módulos de prescrição eletrônica, que permitem a emissão de receitas por meio digital. O problema é que esse tipo de produto permite o acesso aos dados dos pacientes quando os módulos se integram à plataforma de prontuário eletrônico usada pelos médicos. Esses dados valem ouro”, afirmou.

Ao citar a LGPD, o colunista se refere ao fato de o Senado ter prorrogado o início da vigência da nova legislação para 1º de janeiro de 2021. Logo após a denúncia, o CEO da Memed, Ricardo Moraes, se defendeu em recente entrevista publicada no Portal do ICTQ - Instituto de Pesquisa e Pós-Graduação para o Mercado Farmacêutico.

“O que eu posso te dizer de prático é que a gente não vende dados, a gente nunca vendeu dados e nunca vai vender dados. A Memed  não faz isso ...Eu convido que essa pessoa que está dizendo isso mostre uma nota fiscal nossa vendendo dados para alguma empresa ou farmácia. Quem acusa é que tem de provar”, afirmou.

Questionado sobre de onde vem a receita da Memed, já que oferece gratuidade às clínicas e hospitais, Moraes respondeu que tem vários produtos que comercializa para outros players da cadeia, como às operadoras de saúde e indústrias farmacêuticas.

Na época, a reportagem ouviu ainda a Nexodata, que também foi citada na denúncia. Nesse caso, a companhia afirmou por meio de nota que "refuta veementemente qualquer tipo de acusação nesse sentido e enfatiza que a gestão ética de dados está no DNA dos produtos e serviços oferecidos pela companhia, que atualmente adota os protocolos de proteção aos dados de seus usuários, inclusive, medidas para estar em conformidade com a LGPD”.

Polêmica continua

Vale destacar ainda que, recentemente, o tema voltou a ser discutido, indiretamente, durante uma live promovida pelo portal Médico Exponencial, de propriedade do Laboratório EMS, que, inclusive, contou com a participação do cofundador da Memed, Rafael Moraes, realizada em 28 de maio de 2020.

Na transmissão, intitulada Farma Exponencial- Receita Digital, o ex-presidente do Conselho Regional do Estado de São Paulo (CRF-SP), Pedro Eduardo Menegasso, sem citar, diretamente, o caso que virou polêmica envolvendo o nome da Memed, abordou, junto ao CEO dessa empresa, a questão da responsabilidade do farmacêutico no âmbito da proteção de dados dos pacientes.

"Nós [farmacêuticos] temos uma enorme responsabilidade sobre tudo que acontece na farmácia em relação ao sigilo das informações dos pacientes", disse Menegasso, enfatizando ainda que os médicos também devem ter essa preocupação.

Em outro trecho, ele continua: "Está em vigor o Marco Civil da Internet, que determina que as informações [dados] das pessoas são delas, você não pode utilizar a informação de ninguém, a não ser que a pessoa autorize, expressamente, reconhecendo a situação", reforçou.

Generalizou?

Menegasso fez uma afirmação que pode soar como polêmica, pois, envolveria toda a classe farmacêutica: "Então, existe muita dificuldade termos [os farmacêuticos] segurança quando recebemos esse documento digital, ou por via digital, de que a questão da segurança [dos dados] foi preservada. Do ponto de vista da farmácia, que recebe os documentos digitais, é importante ter essa garantia", disse.

Ele exemplificou: "Então, quando eu receber um documento digital na farmácia tem que ser de uma forma que me garanta que não houve violação dos dados, que esses dados foram protegidos, pois, são de propriedade daquele paciente", pontua.

Em seguida, Menegasso conclui: “Os dados do paciente só os médicos e os farmacêuticos podem saber [ter acesso], pois, nós temos o nosso código de ética e jamais poderemos divulgar esses dados". Ele reforça: "O código de ética tanto do farmacêutico como do médico exige a proteção de dados".

É importante ressaltar que, sobre o assunto levantado por Menegasso na transmissão, Moraes não se pronunciou durante a live, mesmo já tendo o nome da Memed envolvido em especulações sobre as polêmicas citadas pelo ex-presidente do CRF-SP.

Endurecimento na lei

Nesse contexto, a advogada especialista em direito digital, Adriana Cansin, explica que a nova LGPD prevê um endurecimento na fiscalização dos serviços prestados pelas empresas de serviço de prescrição eletrônica. Ela, que também é doutoranda em Direito Comercial pela Universidade de São Paulo (USP), ressalta ainda que há uma série de sanções dispostas nos termos da nova legislação, que vão desde o pagamento de multa, podendo chegar a R$ 50 milhões, bem como a suspensão do exercício da atividade por até seis meses, no caso de descumprimento das normas.

Para exemplificar, a advogada cita um trecho do que é previsto no artigo 37: “A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do poder público, no âmbito de suas competências”.

Adriana enfatiza que as companhias que fornecem serviços de prescrição eletrônica devem ficar atentas às novas normas: “Dessa forma, todas as empresas precisarão mapear seus processos internos e verificar quais são os departamentos que envolvem dados pessoais, tanto do ponto de vista da coleta, bem como da guarda e do armazenamento, além de contratos com fornecedores e parceiros de negócios”, pontua.

Ela completa: "Em seus programas de governança de dados [as empresas] devem explicitar todas as medidas, incrementando essas ações com cuidados extras que deixem evidente para o titular dos dados que todas as iniciativas legais foram tomadas para evitar o uso indevido desses dados, bem como o compartilhamento com outras instituições para as quais o titular não autorizou".

Empresas atentas

Vale destacar que, muito antes da LGPD, a proteção de dados já era uma prioridade para algumas prestadoras de serviço do segmento de prescrição eletrônica. Segundo Ferraz, CEO do Sibrafar, a empresa sempre investiu pesado na segurança das informações privadas dos usuários. “Está no DNA da nossa companhia a proteção dos dados de todos os clientes que estão cadastrados na nossa plataforma”, pontua.

Ele finaliza: “Tanto os farmacêuticos como os médicos podem ficar tranquilos em relação às políticas de proteção de dados do Sibrafar, pois, elas são extremamente severas e consistentes. Medidas de segurança sempre foram uma prioridade para o Sibrafar”, encerra.

Participe também: Grupo de WhatsApp e telegram para receber notícias farmacêuticas diariamente

Obrigado por apoiar o jornalismo profissional

A missão da Agência de notícias do ICTQ é levar informação confiável e relevante para ajudar os leitores a compreender melhor o universo farmacêutico. O leitor tem acesso ilimitado às reportagens, artigos, fotos, vídeos e áudios publicados e produzidos, de forma independente, pela redação da Instituição. Sua reprodução é permitida, desde que citada a fonte. O ICTQ é o principal responsável pela especialização farmacêutica no Brasil. Muito obrigado por escolher a Instituição para se informar.

Atendimento

Atendimento de segunda a sexta-feira,
das 08:00 às 18:00 horas.

Telefones:

  • 0800 602 6660
  • (62) 3937-7056
  • (62) 3937-7063

Whatsapp

Endereço

Escritório administrativo - Goiás

Rua Benjamin Constant, nº 1491, Centro, Anápolis - GO.

CEP: 75.024-020

Escritório administrativo - São Paulo

Rua: Haddock Lobo, n° 131, Sala: 910, Cerqueira César.

CEP: 01414-001 , São Paulo -SP.

Fale conosco

PÓS-GRADUAÇÃO - TURMAS ABERTAS