Parecer sobre Realização de assinaturas digitais com certificado digital das instituições de saúde em substituição ao certificado digital do médico
Por Cláudio Mariano Peixoto Dias
A empresa Soluti Soluções em Negócios inteligentes S/A, solicitou ao nosso escritório um parecer jurídico sobre a validade de assinatura digital com utilização de certificados digitais das instituições de saúde, ou seja, da pessoa jurídica (e-CNPJ ou e-PJ) para o prontuário eletrônico do paciente em ambiente S-RES e julgo importante compartilhar com todos nesse momento.
Inicialmente vamos ao conceito de certificado digital:
“O certificado digital ICP-Brasil funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora (AC) que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas”. ITI
“Documento eletrônico, gerado por meio de um procedimento de certificação digital, assinado digitalmente por uma Autoridade Certificadora, que ATESTA de forma única, exclusiva e intransferível, a VINCULAÇÃO existente entre uma chave criptográfica e uma pessoa física, jurídica, máquina ou aplicação”. Cláudio Mariano Peixoto Dias –Advogado e Especialista em direito digital e certificação digital.
“Certificado digital é um arquivo eletrônico que serve como identidade virtual para uma pessoa física ou jurídica, e por ele pode se fazer transações online com garantia de autenticidade e com toda proteção das informações trocadas”. Wikipedia
Ante os conceitos, concluímos que o certificado digital funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, de forma a garantir sua integridade, autenticidade e não repúdio.
Já o certificado de pessoa jurídica (e-PJ ou e-CNPJ) é aquele que identifica uma empresa ou ente equiparado, de forma que os documentos assinados com este tipo de certificado digital demonstram que estes foram assinados por um titular representante de uma pessoa jurídica, nos termos estabelecidos pela DPC –Declaração de Práticas da Certificação da autoridade certificadora que procede com a entrega do par de chaves criptográficas ao seu titular.
Pois bem, sempre que um certificado digital de pessoa jurídica no padrão ICP-Brasil assina um documento eletrônico, consta-se que uma pessoa jurídica signou de forma eletrônica um documento eletrônico.
Dito isto, informamos que a assinatura digital feita por meio de certificado de pessoa jurídic ano padrão ICP-Brasil, não tem a capacidade de substituir a assinatura feita pelo médico ou profissional de saúde com seu certificado digital de pessoa física no padrão ICP-Brasil.
O médico e os profissionais de saúde, detém algo indelegável a pessoa jurídica, ou seja, suas assinaturas digitais feitas com certificado digital ICP-Brasil em documentos eletrônicos não podem ser substituídas pelas assinaturas digitais das entidades de saúde onde estes exercem suas profissões, sob pena de inclusive configurar crime de exercício ilegal da medicina, especialmente nos casos onde a assinatura digital do médico é indispensável como no PEP, atestados e laudos médicos.
Ora, os atos médicos e similares são praticados por profissionais da área de saúde, devidamente registrados em seus conselhos profissionais e por estes severamente fiscalizados, sendo certo, que a unidade de saúde onde exercem suas atividades profissionais, não detém poderes de substituição destas atribuições,ou seja, não podem em substituição aos profissionais de saúde assinar documentos eletrônicos de forma digital com certificado digital ICP-Brasil de pessoa jurídica.
Verificando que o prontuário eletrônico do paciente (PEP) é a principal ferramenta de TICS que o médico precisa ou precisará lidar nas suas atividades diárias, seja no consultório, centro diagnóstico ou hospital, e com o intuito de estabelecer as normas, padrões e regulamentos para o PEP/RES no Brasil, o Conselho Federal de Medicina (CFM) e a Sociedade Brasileira de Informática em Saúde (SBIS) estabeleceram um convênio de cooperação técnico-científica que está em vigência desde 2002.
Esse convênio propiciou a criação de um processo de Certificação de Sistemas de Registro Eletrônico de Saúde, com o estabelecimento dos requisitos obrigatórios e, acompanhando a legislação federal para documento eletrônico, reforçou a obrigatoriedade do uso de certificação digital (assinatura eletrônica) para a validade ética e jurídica de um PEP/RES. Um marco regulatório importante foi a publicação da Resolução CFM Nº 1821/2007.
Em consulta ao site SBIS -Sociedade Brasileira de Informática para Saúde, a qual é a emissora signatária do Manual de Certificação para Sistemas de Registro Eletrônico em Saúde, constata-se no item 8, subitem 8.3, denominado Requisito do Nível de Garantia de Segurança 2 (NGS2), mais especificamente no NGS2.01–Certificado digital, IDNGS2.01.01, título certificado que:
a) O S-RES deverá permitir que apenas certificados digitais ICP-Brasil possam ser utilizados para o processo de assinatura digital de documentos eletrônicos no S-RES.
b) Somente certificados digitais atribuídos para o usuário cadastrado devem ter seu uso permitido para realização de assinatura digital de documentos no sistema.
c) O S-RES deve permitir o cadastro de certificado digital ICP-Brasil e/ou vínculo do mesmo com o usuário do sistema, utilizando para isso identificadores internos do certificado(ex. OID contendo informação de CPF, e-mail ou outro identificador unívoco do usuário) ou realizar a validação deste parâmetro antes do uso do certificado digital ICP-Brasil apresentado pelo usuário.
Da leitura do texto acima não há outra conclusão, senão, aquela que conduz de forma categórica ao entendimento de que os S-RES, no qual o PEP está inserido deve ser utilizado por usuários por meio de certificado digital ICP-Brasil, de forma que o certificado digital deve ser atribuído ao usuário cadastrado, ou seja, ao médico ou profissional de saúde, sendo necessária a identificação do usuário no certificado por meio de seu CPF.
Ora, sabemos que pessoas jurídicas não possuem cadastro de CPF junto a Receita Federal do Brasil, sendo esta uma permissão as pessoas físicas.
Logo, são utilizadas diversas técnicas computacionais para garantir que o documento eletrônico assinado por um certificado digital seja totalmente seguro, e que no PEP esta assinatura deve ser feita por meio do certificado digital de pessoa física.
Ou seja, cada documento assinado possui um identificador único garantindo assim a sua integridade.
Ante as informações e considerando que no Brasil, um documento eletrônico para ter validade jurídica plena deve ser assinado com um certificado padrão ICP-Brasil, definição esta instituída pela MP 2.200-2/2001, podemos concluir que um documento emanado deS-RES para que seja considerado válido perante terceiros deve ter assinatura feita por meio de um certificado digital ICP-Brasil, e, esse certificado deve ser da pessoa física signatária da assinatura eletrônica (médicos e profissionais de saúde).
Outrossim, qualquer tentativa de substituir a assinatura eletrônica feita com o certificado digital de pessoa física no padrão ICP-Brasil do profissional de saúde,para que seja feito por meio do certificado digital de pessoa jurídica ainda que no padrão ICP-Brasil,não tem guarida jurídico-legal, para os ambientes que sejam utilizados o S-RES e o PEPno território brasileiro.
*Cláudio Mariano Peixoto Dias
Bacharel em direito pela UFG
Especialista em Direito e Processo do Trabalho pela UFG.
Especialista em Direito Digital.
Mestrando em relações sociais pela UDF.
Advogado.
Diretor e Conselheiro da ATID. Associação Brasileira das Empresas de Tecnologia e Identidade Digital.
Curso de extensão em relações sociais e direito pela UBA – Universidade de Buenos Aires – Argentina.
Consultor Jurídico e advogado de autoridades certificadoras e autoridades de registro integrantes da ICP-Brasil.
Membro da ANPDD.
Professor de Pos-Graduação em especializações de Direito Digital e Direito do Trabalho.
Membro do IGDD – Instituto Goiano de Direito Digital.
Autor de livros e artigos científicos.
Debatedor do PL 7316/2002 que Disciplina o uso de assinaturas eletrônicas e a prestação de serviços de certificação no Brasil.
[button link=”https://cryptoid.com.br/category/colunistas/claudio-mariano-dias/” icon=”fa-keyboard-o” side=”left” target=”” color=”1b64b7″ textcolor=”ffffff”]Leia outros artigos de Cláudio Mariano Dias[/button]
A Certificação Digital e o Decreto 10.282 de 2020
A advogada Sandra Franco fala sobre a atrasada liberação da Telemedicina no Brasil
Aspectos jurídicos sobre os desafios da flexibilização da Telemedicina diante da crise da Covid-19