Telemedicine, data protection, and information security Elements for the preservation of confidentiality of electronic health records

Article Sidebar

PDF (Português)
Submitted: Feb 24, 2023
Published: May 27, 2025
DOI: https://doi.org/10.22395/ojum.v24n51a4449


Citations
Crossref
Scopus
Google Scholar
Europe PMC
Downloads
Download data is not yet available.
Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

You are free to:

Share, copy and redistribute the material in any medium or format
The licensor cannot revoke these freedoms as long as you follow the terms of the license.

Under the following terms:

Acknowledgment:

You must give proper credit , provide a link to the license , and indicate if any changes were made . You may do so in any reasonable manner, but not in any manner that suggests that the licensor endorses you or your use.

Non-Commercial:

You may not use the material for commercial purposes.

No Additional Restrictions:

You may not apply legal terms or technological measures that legally restrict others from doing anything the license allows.

Notices:

You do not have to comply with the license for items of material in the public domain or where your use is permitted by an applicable exception or limitation .
No guarantees are given. The license may not give you all the permissions necessary for your intended use. For example, other rights such as publicity, privacy, or moral rights may limit how you use the material.

Main Article Content

Jairo Victor Candeira Braga
Universidade Federal do Piauí - UFPI
https://orcid.org/0000-0001-8769-7020
Gabriel Rocha Furtado
Universidade Federal do Piauí - UFPI
https://orcid.org/0000-0003-0482-8465

Abstract

The lines of this research are dedicated to the analysis of the legal regulation of informational flows related to telemedicine actions and services in the Brazilian setting. The article describes how Information and Communication Technologies (ICT) applied to health and disease processes increase the risks associated with security incidents, due to the availability of data in a digital ecosystem susceptible to human error and attacks by cybercriminals. This article aims to understand the legal duties attributed to data processing agents when acting on clinical records resulting from telemedicine care. More specifically, we intend to assess whether the Federal Council of Medicine (CFM) and the National Data Protection Authority (ANPD) have defined security criteria with a specific approach to health systems, within the regulatory framework deriving from their respective normative competences. To achieve the proposed objectives, a qualitative study was carried out, based on a bibliographic and documentary review. As a result, it is found that the Brazilian legal system does not adequately address the risks to data confidentiality, providing only an overview of what security measures a custodian should implement in order to protect medical devices and Electronic Health Records (EHR).

Keywords:

How to Cite
Candeira Braga, J. V., & Rocha Furtado, G. . (2025). Telemedicine, data protection, and information security: Elements for the preservation of confidentiality of electronic health records. Opinión Jurídica, 24(51), 1–24. https://doi.org/10.22395/ojum.v24n51a4449

Article Details

References

Accorsi, T. A. D., Amicis, K. D., Brígido, A. R. D., Belfort, D. de S. P., Habrum, F. C., Scarpanti, F. G., Magalhães, I. R., Silva Filho, J. R. de O., Sampaio, L. P. C., Lira, M. T. S. de S., Morbeck, R. A., Pedrotti, C. H. S. & Cordioli, E. (2020). Assessment of patients with acute respiratory symptoms during the COVID-19 pandemic by Telemedicine: clinical features and impact on referral. Einstein (São Paulo), 18, eAO6106. https://doi.org/10.31744/einstein_journal/2020AO6106

Aith, F. M. A. (2006). Teoria Geral do Direito Sanitário Brasileiro [tese doutoral, Universidade de São Paulo]. Biblioteca Digital USP. https://doi.org/10.11606/T.6.2006.tde-23102006-144712

Autoridade Nacional de Proteção de Dados. (2024, 26 de setembro). Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Diário Oficial da União de 26/09/2024. https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/atos-normativos/regulamentacoes_anpd/resolucao-cd-anpd-no-2-de-27-de-janeiro-de-2022

Autoridade Nacional de Proteção de Dados. (2024, 24 de abril). Resolução CD/ANPD nº 15, de 24 de abril de 2024. Aprova o Regulamento de Comunicação de Incidente de Segurança. Diário Oficial da União de 26/04/2024. https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abrilde-2024-556243024

Barbosa, M. M. (2017). Proteção de dados e direitos de personalidade: Uma relação de interioridade constitutiva. Os beneficiários da proteção e a responsabilidade civil. AB Instantia 5(7), 13-47. https://abreuadvogados.com/conhecimento/publicacoes/instituto-do-conhecimento/protecaode-dados-e-direitos-de-personalidade-uma-relacao-de-interioridade-constitutiva/

Bickley, L. S. (2018). Bates Propedêutica Médica (12. ed.). Guanabara Koogan.

Bioni, B. R. (2022). Regulação e Proteção de Dados Pessoais: O Princípio da Accountability. Editora Gen Forense.

Bygrave. L. A. (2015). Information Concepts in Law: Generic Dreams and Definitional Daylight. Oxford Journal of Legal Studies, 35(1), 91-120. https://doi.org/10.1093/ojls/gqu011

Caruso, D. L. & Cosson, N. (2022, 12 de setembro). Hôpital de Corbeil-Essonnes: le groupe russophone Lockbit 3.0 revendique la cyberattaque et lance un chantage aux données. Le Parisien. https://www.leparisien.fr/hightech/hopital-de-corbeil-essonnes-le-groupe-russophone-lockbit-30-revendique-la-cyberattaqueet-lance-le-chantage-aux-donnees-12-09-2022-7IM7PZYIYNFPVBIJXYVUNXZPOI.php

Cavoukian, A. (2013). Privacy by Design: Leadership, Methods, and Results. In Gutwirth, S., Leenes, R., de Hert, P. & Poullet, Y. (eds) European Data Protection: Coming of Age (pp 175-202). https://link.springer.com/chapter/10.1007/978-94-007-5170-5_8

Chu, G., Yang, X., Luo, L., Feng, W., Jiao, W., Zhang, X., Wang, Y., Yang, Z., Wang, B., Li, J. & Niu, H. (2021). Improved robot-assisted laparoscopic telesurgery: feasibility of network converged communication. The British journal of surgery, 108(11), e377–e379. https://doi.org/10.1093/bjs/znab317

Conselho Federal de Medicina (CFM). (2018, 27 de setembro). Resolução CFM nº 2217, de 27 de setembro de 2018. Código de Ética Médica. Diário Oficial da União de 27/09/2018. https://portal.cfm.org.br/images/PDF/cem2019.pdf

Conselho Federal de Medicina (CFM). (2022, 28 de março). Resolução CFM nº 2.311, de 28 de março de 2022. Regulamenta a cirurgia robótica no Brasil. Diário Oficial da União de 28/03/2022. https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2022/2311

Conselho Federal de Medicina (CFM). (2022, 20 de abril). Resolução CFM nº 2.314, de 20 de abril de 2022. Define e regulamenta a telemedicina, como forma de serviços médicos mediados por tecnologias de comunicação. Diário Oficial da União de 05/05/2022. https://www.in.gov.br/en/web/dou/-/resolucao-cfm-n-2.314-de-20-de-abril-de-2022-397602852

Cunha, F. J. A. P., Matos, J. R. F., Jr., Amaral, L. A. F. de O. do & Meirelles, R. F. (2022) A interlocução da qualificação profissional e dos mecanismos de transferência de informação para a gestão dos repositórios digitais em saúde. Informação em Pauta, 7. http://periodicos.ufc.br/informacaoempauta/article/view/78596/227458

Deodato, S. (2017). A proteção da informação de saúde. Forum de Proteção de Dados, (4), 60-69. https://ciencia.ucp.pt/pt/publications/a-prote%C3%A7%C3%A3o-da-informa%C3%A7%C3%A3o-desa%C3%BAde

Devaraj, S. J. (2019) Emerging Paradigms in Transform-Based Medical Image Compression for Telemedicine Environment. In H. D. Jude y V. E. Balas (eds.), Telemedicine Technologies: Big data, deep learning, robotics, mobile and remote applications for global healthcare (pp. 15-30). Elsevier.

Fischer, S. H. & Zhou, L. (2021). Uso de tecnologias da informação e da comunicação na área da saúde: a telessaúde em 2021. In Núcleo de Informação e Coordenação do Ponto BR, TIC Saúde 2021. Pesquisa sobre o uso das tecnologias de informação e comunicação nos estabelecimentos de saúde brasileiros (pp. 109-125). Comitê Gestor da Internet no Brasil. https://cetic.br/pt/publicacao/pesquisa-sobre-ouso-das-tecnologias-de-informacao-e-comunicacao-nos-estabelecimentos-de-saude-brasileirostic-saude-2021/

Freire, M. P., Silva, L. G., Meira, A. L. P. & Louvison, M. C. P. (2023). Telemedicina no acesso à saúde durante a pandemia de covid-19: uma revisão de escopo. Rev Saúde Pública, 57(Supl 1). https://doi.org/10.11606/s1518-8787.2023057004748

Gadenz, S. D., Sperling, S., Leão, B. F. & Kersanach, M. (2021). Estratégia digital como organizadora do acesso equitativo aos serviços de saúde. In Núcleo de Informação e Coordenação do Ponto BR, TIC Saúde 2021. Pesquisa sobre o uso das tecnologias de informação e comunicação nos estabelecimentos de saúde brasileiros (pp. 155-165). Comitê Gestor da Internet no Brasil.

Hart, H. L. A. (2008). Punishment and Responsibility: Essays in the Philosophy of Law (2. ed.). Oxford Academic.

Herrmann, D. & Pridöhl, H. (2020). Basic Concepts and Models of Cybersecurity. In Christen, M., Gordijn, B. & Loit, M. (eds.), The Ethics of Cybersecurity (pp. 11-44). Springer.

Khalaf, B. A., Mostafa, S. A., Mustapha, A., Mohammed, M. A. & Abduallah, W. M. (2019). Comprehensive Review of Artificial Intelligence and Statistical Approaches in Distributed Denial of Service Attack and Defense Methods. IEEE Access, 7, 51691-51713. https://doi.org/10.1109/ACCESS.2019.2908998

Lecaros-Urzúa, J. A. & López-Gaete, G. E. (2023). Responsabilidad civil médica en telemedicina: una propuesta de principios para una lex artis telemédica. Revista de Bioética y Derecho, (57), 33-51. https://doi.org/10.1344/rbd2023.57.41222

Lorenzini, G., Shaw, D. M. & Elger, B. S. (2022). It takes a pirate to know one: ethical hackers for healthcare cybersecurity. BMC Med Ethics, 23. https://doi.org/10.1186/s12910-022-00872-y

Mantese, C. E., Aquino, E. R. D. S., Figueira, M. D., Rodrigues, L., Basso, J. & Raupp DA Rosa, P. (2021). Telemedicine as support for primary care referrals to neurologists: decision-making between different specialists when guiding the case over the phone. Arquivos de neuro-psiquiatria, 79(4), 299-304. https://doi.org/10.1590/0004-282x-anp-2020-0137

Meirelles, R. F. & Cunha, F. J. A. P. (2020). Autenticidade e preservação de Registros Eletrônicos em Saúde: proposta de modelagem da cadeia de custódia das informações orgânicas do Sistema Único de Saúde. Revista Eletrônica De Comunicação, Informação & Inovação Em Saúde, 14(3). https://doi.org/10.29397/reciis.v14i3.2117

Mendes, L. S. M. & Bioni, B. R. (2019). O Regulamento Europeu de Proteção de Dados Pessoais e a Lei Geral de Proteção de Dados Brasileira: Mapeando convergências na direção de um nível de equivalência. Revista de Direito do Consumidor, 28(124), 157-180.

Minghelli, M., Garcia, B. B., Vale, M. A. do & Santos, P. S. (2024). Lei Geral de Proteção de Dados e a elaboração do Relatório de Impacto à Proteção de Dados Pessoais. Em Questão, 30, e–138249. https://doi.org/10.1590/1808-5245.30.138249

Ministério da Saúde. (2022). Relatório de Gestão 2022. Governo Federal Brasil. https://bvsms.saude.gov.br/bvs/publicacoes/relatorio_gestao_2022.pdf

Morales, A. S., Ourique, F. D. O. & Cazella, S. C. (2021). A Comprehensive Review on the Challenges for Intelligent Systems Related with Internet of Things for Medical Decision. In G. Marques, A. Khumar Boi, I. De la Torre Díez & B. García-Zapirain (eds.), Enhanced Telemedicine and e-Health. Studies in Fuzziness and Soft Computing, vol 410 (pp. 221-240). Springer. https://doi.org/10.1007/978-3-030-70111-6_11

Navarro, E. M., Álvarez, A. N. R. & Anguiano, F. I. S. (2022). A new telesurgery generation supported by 5G technology: benefits and future trends. Procedia Computer Science, 200, 31-38. https://www.sciencedirect.com/science/article/pii/S1877050922002113

Núcleo de Informação e Coordenação do Ponto BR. (2024). TIC Saúde 2023. Pesquisa sobre o uso das tecnologias de informação e comunicação nos estabelecimentos de saúde brasileiros. Comitê Gestor da Internet no Brasil. https://cetic.br/media/docs/publicacoes/2/20241104103447/tic_saude_2023_livroeletronico.pdf

Organização Mundial da Saúde (OMS). (2020a). Coronavirus disease 2019 (COVID-19) Situation Report – 51: Data as reported by national authorities by 10 AM CET 11 March 2020. https://www.who.int/docs/defaultsource/coronaviruse/situation-reports/20200311-sitrep-51-covid-19.pdf?sfvrsn=1ba62e57_10

Organização Mundial da Saúde (OMS). (2021a). WHO-convened Global study of Origins of SARS-CoV-2: China part. Joint WHO-China study, 14 January – 10 February 2021, Joint Report. https://www.who.int/publications/i/item/who-convened-global-study-of-origins-of-sars-cov-2-china-part

Organização Mundial da Saúde (OMS). (2021b). Global strategy on digital health 2020-2025. https://www.who.int/publications/i/item/9789240020924

Parlamento Europeu. (2016, 27 de abril). Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia L119. https://eur-ex.europa.eu/eli/reg/2016/679/oj

Peine, A., Paffenholz, P., Martin, L., Dohmen, S., Marx, G. & Loosen, S. H. (2020). Telemedicine in Germany During the COVID-19 Pandemic: Multi-Professional National Survey. Journal of medical Internet research, 22(8), e19745. https://doi.org/10.2196/19745

Petrazzuoli, F., Kurpas, D., Vinker, S., Sarkisova, V., Eleftheriou, A., Żakowicz, A., Aarendonk, D. & Ungan, M. (2021). COVID-19 pandemic and the great impulse to telemedicine: the basis of the WONCA Europe Statement on Telemedicine at the WHO Europe 70th Regional Meeting September 2020. Primary health care research & development, 22, e80. https://doi.org/10.1017/S1463423621000633

Pinto, C. da S., Borsatto, A. Z., Vaz, D. C., Sampaio, S. G. dos S. M. & Oliveira, L. C. de. (2023). Telemedicina em Cuidados Paliativos Oncológicos: um Legado da Pandemia. Revista Brasileira De Cancerologia, 69(1), e-142698. https://doi.org/10.32635/2176-9745.RBC.2023v69n1.2698

Presidência da República do Brasil. (1990, 19 de setembro). Lei nº 8.080, de 19 de setembro de 1990. Dispõe sobre as condições para a promoção, proteção e recuperação da saúde, a organização e o funcionamento dos serviços correspondentes e dá outras providências. Diário Oficial da União de 20/09/1990. https://www.planalto.gov.br/ccivil_03/leis/l8080.htm

Presidência da República do Brasil. (2018, 15 de agosto). Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União de 15/08/2018. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

Presidência da República do Brasil. (2022, 27 de dezembro). Lei nº 14.510, de 27 de dezembro de 2022. Altera a Lei nº 8.080, de 19 de setembro de 1990, para autorizar e disciplinar a prática da telessaúde em todo o território nacional, e a Lei nº 13.146, de 6 de julho de 2015; e revoga a Lei nº 13.989, de 15 de abril de 2020. Diário Oficial da União de 28/12/2022. https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2022/lei/L14510.htm

Reshmi, T.R. (2021). Information security breaches due to ransomware attacks - a systematic literature review. International Journal of Information Management Data Insights, 1(2), 100013. https://doi.org/10.1016/j.jjimei.2021.100013

Samsung Newsroom Brasil. (2022, 14 de junho). Galaxy Watch4 da Samsung será usado pelo InCor em pesquisa com pacientes cardiopatas. https://news.samsung.com/br/samsung-e-incor-firmam-parceriaem-pesquisa-de-monitoramento-remoto-para-pacientes-cardiopatas

Sociedade Brasileira de Informática em Saúde. (2020). Manual de Certificação de Sistemas de Registro Eletrônico em Saúde Versão 5.0: Instituído e regido pela Resolução CFM nº 1821/2007. https://www.sbis.org.br/certificacao/Manual_Certificacao_S-RES_SBIS_v5-0.pdf

Wasserman, L. & Wasserman, Y. (2022). Hospital cybersecurity risks and gaps: Review (for the noncyber professional). Frontiers in digital health, 4, 1-20. https://doi.org/10.3389/fdgth.2022.862221

Weinstein, R. S., Krupinski, E. A. & Doarn, C. R. (2018). Clinical Examination Component of Telemedicine, Telehealth, mHealth, and Connected Health Medical Practices. The Medical clinics of North America, 102(3), 533-544. https://doi.org/10.1016/j.mcna.2018.01.002

Wu, C. T., Lin, T. Y., Lin, C. J. & Hwang, D. K. (2023). The future application of artificial intelligence and telemedicine in the retina: A perspective. Taiwan journal of ophthalmology, 13(2), 133-141. https://doi.org/10.4103/tjo.TJO-D-23-00028

Wu, Y. C., Chen, C. S. & Chan, Y. J. (2020). The outbreak of COVID-19: An overview. Journal of the Chinese Medical Association: JCMA, 83(3), 217-220. https://doi.org/10.1097/JCMA.0000000000000270

Zanon, V., Romancini, E., Manoel, B., Lau, J., Ourique, F. & Morales, A. (2022). Avaliação experimental de uma camada de segurança implementada em dispositivo vestível cardíaco para Internet das Coisas Médicas. In Anais do XXII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (pp. 97-110). SBC. https://sol.sbc.org.br/index.php/sbseg/article/view/21661

Author Biographies

Jairo Victor Candeira Braga, Universidade Federal do Piauí - UFPI

Mestrando em Direito, Democracia e Mudanças Institucionais pela Universidade Federal do Piauí (PPGD-UFPI). Pós-Graduado em Direito Civil e Direito Processual Civil pela Escola Superior de Advocacia do Piauí (2021). Pós-Graduado em Direito Penal e Direito Processual Penal pela Escola Superior de Advocacia do Piauí (2021). Graduado em Direito pela Universidade Federal do Piauí – UFPI (2019).

 

Gabriel Rocha Furtado, Universidade Federal do Piauí - UFPI

Professor Adjunto de Direito na Universidade Federal do Piauí (UFPI). Professor Adjunto de Direito no Instituto de Ensino Superior CEV (iCEV). Doutor e Mestre em Direito Civil pela Universidade do Estado do Rio de Janeiro (UERJ). Especialista em Ciências Penais pela Universidade do Sul de Santa Catarina (UNISUL). Bacharel em Direito pela Universidade Federal do Piauí (UFPI). Advogado. Pesquisador visitante no Max-Planck-Institut für ausländisches und internationales Privatrecht, Hamburg-Alemanha. Membro do Instituto Brasileiro de Direito Civil (IBDCivil). Membro Fundador do Instituto Brasileiro de Direito Contratual (IBDCont). Parecerista da Revista Eletrônica de Direito Civil Civilística.com (ISSN 2316-8374). Parecerista da Revista de Ciências Jurídicas Pensar, Unifor (ISSN 2317-2150). Parecerista da Revista de Direito Civil Contemporâneo, RDCC (ISSN 2358-1433). Parecerista da Revista Arquivo Jurídico, UFPI (ISSN 2317-918X).