Confidencialidade e trabalho psicanalítico remoto 


O Comitê de Confidencialidade da IPA preparou este breve conselho para membros da IPA que possam estar preocupados com a confidencialidade enquanto realizam trabalho psicanalítico remotamente. Ele revisa e atualiza uma versão anterior publicada em abril de 2020. [1] 


No início de 2020, no início da pandemia COVID-19, muitos psicanalistas tiveram que se adaptar rapidamente ao uso da tecnologia remota, sem qualquer preparação ou aviso, a fim de permanecer em contato com seus pacientes e ter a opção de continuar a oferecer assistência psíquica assistência médica. No estresse, incerteza e estranheza da nova situação, os membros da IPA tiveram que recorrer à sua resiliência interna, bem como ao apoio dos colegas. 

Nos meses que se seguiram, muitos analistas e pacientes se familiarizaram com o trabalho remoto e se adaptaram a ele em vários graus, mas muitas dificuldades ainda são vivenciadas e o ambiente de comunicação está em constante evolução. Analistas e pacientes em todo o mundo estão usando uma variedade de dispositivos físicos (telefones, tablets, computadores, roteadores, etc.), sistemas operacionais (Windows, MacOS, iOS, Android, Chrome, etc.) e serviços de software (Skype, FaceTime, WhatsApp, Equipes, Zoom, Sinal, etc.), muitas vezes com pouco ou nenhum acesso ao suporte técnico. 

A confidencialidade é essencial para a psicanálise. A manutenção da confidencialidade depende da proteção da privacidade das comunicações entre paciente e analista, e também entre analistas quando discutem material clínico. Infelizmente, nenhuma tecnologia de comunicação é totalmente segura. A probabilidade de perda de privacidade pode muitas vezes ser pequena, mas praticamente todas as comunicações pela Internet podem ser interceptadas, o material pode ser roubado ou alterado e as consequências de uma violação podem ser graves. Atender aos requisitos regulamentares como HIPAA (nos EUA) ou GDPR (na Europa) pode ajudar, mas não torna a tecnologia totalmente segura. A interceptação de qualquer modalidade de comunicação é possível: vídeo, áudio, e-mail, mensagens de texto, mídia social, etc. A privacidade pode ser violada dentro da própria Internet ou nos 'pontos finais' onde analista e paciente (ou analista e analista) estão localizados respectivamente: 

Os riscos de interceptação na Internet podem ser bastante mitigados pela 'criptografia ponta a ponta' (E2EE). Isso significa que o conteúdo da comunicação é criptografado em todos os lugares da Internet, exceto nos terminais, onde deve ser inteligível. Administrado corretamente, isso garante que as comunicações interceptadas na Internet não sejam inteligíveis para terceiros. Alguns sistemas usam E2EE, outros não. Houve falsas alegações de seu uso (por exemplo, por Zoom no início de 2020), de modo que se um provedor pode ser confiável é uma consideração importante na escolha de qual sistema usar. 

Os pontos finais da comunicação, onde o conteúdo não é criptografado, são mais difíceis de proteger. A segurança de endpoint envolve a proteção dos dispositivos usados ​​por cada pessoa (seus computadores, tablets, smartphones, etc.), bem como os ambientes locais em que estão sendo usados ​​(por exemplo, uma casa ou escritório), e restringindo quem tem acesso a eles. Em um ambiente corporativo, como um hospital ou universidade, onde os dispositivos são fornecidos e gerenciados por um serviço central de TI, a segurança do terminal pode ser relativamente bem controlada. Para a maioria dos analistas e pacientes, entretanto, esse não é o caso; sua segurança de endpoint é ad hoc e depende de quais equipamentos eles podem fornecer e de quais providências podem tomar para se proteger. Por exemplo, é possível obter um software que pode gravar as teclas digitadas em um dispositivo ou áudio ou vídeo capturado por seu microfone ou câmera. Instalado secretamente em um dispositivo, esse 'stalkerware' pode violar a segurança do terminal. 

Dicas gerais para melhorar a proteção da confidencialidade na Internet 

  • Certifique-se de que o ambiente físico em ambas as extremidades é privado, sem risco de o analista ou paciente ser ouvido ou invadido. Isso pode ser mais difícil de providenciar para o paciente do que para o analista, dependendo das circunstâncias. 
  • Se possível, use apenas sistemas que fornecem criptografia de ponta a ponta (E2EE). 
  • Se possível, use software livre, ou seja, software cujo código é tornado público e, portanto, aberto ao escrutínio pela comunidade global de engenheiros de software. O software de código aberto tem menos probabilidade de incluir 'portas traseiras' ocultas que podem permitir a escuta. 
  • Mantenha todo o software atualizado. Os fornecedores de software geralmente tentam 'corrigir' novas vulnerabilidades assim que são encontradas; os hackers vão explorar qualquer coisa que não tenha sido corrigida. 
  • Habilite qualquer recursos de segurança opcionais do serviço de comunicação que você está utilizando, como: em videoconferência, bloqueio de reuniões após a chegada de todos; usando salas de espera para examinar os participantes; exigindo senhas para entrar nas reuniões. 
  • Use senhas fortes, tanto para seus dispositivos quanto para qualquer aplicativo ou serviço que você usa. Suas intuições sobre a força de senhas memoráveis ​​e não aleatórias podem estar erradas. Nunca use uma senha simples e óbvia, por mais conveniente que seja. Considere armazenar suas senhas em um gerenciador de senhas ou em seu navegador. Mais conselhos sobre senhas podem ser encontrados em vários dos links mencionados abaixo. 
  • Se possível, use um dispositivo dedicado para comunicação com pacientes e um dispositivo separado, que nunca é conectado à internet ou apenas brevemente conforme necessário, para administração, armazenamento de anotações, contabilidade e assim por diante. 
  • Reduza ao mínimo as informações confidenciais e / ou de identificação comunicadas pela Internet. Sempre que possível, use pseudônimos ou códigos numéricos em vez de nomes reais ou outros detalhes de identificação. 
  • Limite o risco de acesso não autorizado a dispositivos ou software usando autenticação de dois fatores (2FA) sempre que possível. Por exemplo, isso envolve exigir que um usuário faça login no dispositivo que está sendo usado e em um dispositivo separado, como um telefone celular. 
  • Ao trabalhar pessoalmente no consultório / consultório, esteja ciente da possibilidade de que qualquer telefone celular da sala, seja do paciente ou do analista, possa ser usado secretamente como dispositivo de monitoramento ou gravação, sem o conhecimento do proprietário, e possivelmente mesmo depois de ter sido desligado. 
  • Pense em seus arranjos para backup e recuperação e teste-os para ter certeza de que funcionam. Você pode precisar deles um dia se o seu sistema for hackeado. Os backups devem ser criptografados.

 

Etapas como essas reduzirão os riscos de confidencialidade, assim como lavar as mãos, distanciamento social e ventilação reduzem os riscos de infecção viral, mas não podem reduzi-los a zero. Se você não tiver certeza sobre como fazer qualquer um deles, procure ajuda, se possível, de alguém que o faça.

Tornar-se melhor informado 

Em geral, a situação é complicada e muda constantemente. As sugestões feitas acima refletem nosso melhor pensamento atual, mas podem ficar desatualizadas a qualquer momento. Por esse motivo, e porque os conselhos de especialistas disponíveis nem sempre são unívocos, quanto mais os membros da IPA puderem descobrir sobre segurança cibernética em geral, mais capazes eles estarão de proteger a si próprios e a seus pacientes. Outras orientações úteis estão ampla e prontamente disponíveis na web, e uma seleção de links relevantes está anexada. 

Abordagens clínicas alternativas para a gestão dos riscos 

Os psicanalistas permanecem responsáveis ​​por garantir a confidencialidade clínica, mesmo quando não possuem um conhecimento relevante da tecnologia. A tecnologia introduz um parâmetro que pode afetar a confiança do paciente de que a confidencialidade pode ser mantida. Cada analista deve fazer um julgamento clínico sobre como abordar essas questões com cada paciente. Alguns desejarão discutir a situação com o paciente, talvez reconhecendo tanto a impossibilidade de garantir o sigilo quanto os limites para seu próprio entendimento da tecnologia. Outros preferirão a escuta, exploração e interpretação abertas como formas de lidar com essas questões, assim como com qualquer outro aspecto da situação analítica. O tratamento psicanalítico online é muito recente, e muito ainda em evolução, para que tenhamos confiança em declarar quaisquer regras gerais sobre como fazer tais escolhas no aqui-e-agora dos tratamentos em andamento. 

Perguntas ou comentários? 

Se você tiver alguma dúvida ou comentário sobre este conselho, envie-o por e-mail ao Comitê de Confidencialidade da IPA: [email protegido] 

Alguns links úteis 

BSI (Alemanha): Home-Office aBSIchern? Geht ganz einfach.
https://www.bsi.bund.de/DE/Themen/Kampagne-einfach-absichern/Home-Office/home-office_node.html 

CCCS (Canadá): Segurança cibernética em casa e no escritório
https://www.cyber.gc.ca/en/guidance/cyber-security-home-and-office-secure-your-devices-computers-and-networks-itsap00007 

Ciberseguridad. com: Guia de Ciberseguridad en el Sector Sanitario
https://ciberseguridad.com/guias/sanidad/ 

CNCS (Portugal): Cidadão Ciberinformado
https://www.cncs.gov.pt/recursos/cidadao-ciberseguro/ 

FEP: Autodefesa de Vigilância
https://ssd.eff.org/ 

ESET: Cómo criar una contraseña fuerte en um minuto y proteger sua identidade digital
https://www.welivesecurity.com/la-es/2016/05/06/crear-contrasena-fuerte-un-minuto/ 

governo (França): Usuários do conselho aux
https://www.gouvernement.fr/risques/conseils-aux-usagers 

IPA: Relatório do Comitê de Confidencialidade do IPAe (2018)
https://www.ipa.world/IPA/en/IPA1/Confidentiality_Report_public_.aspx 

NCSA (EUA): Fique Seguro Online
https://staysafeonline.org/stay-safe-online/ 

NCSC (REINO UNIDO): Cyber ​​Aware
https://www.ncsc.gov.uk/section/information-for/individuals-families 

NSA (EUA): Orientação de Teletrabalho e Segurança Móvel
https://www.nsa.gov/What-We-Do/Cybersecurity/Telework-and-Mobile-Security-Guidance/ 

OSI (Espanha): Empodérate: mantenha seguros para seus dispositivos e proteja-se na Internet
https://www.osi.es/es/actualidad/blog/2021/03/08/empoderate-manten-seguros-tus-dispositivos-y-protegete-en-internet 


Publicado pela primeira vez em 27 de abril de 2020; esta versão revisada publicada em 10 de maio de 2021 




1 Disponível aqui. Esta versão revisada leva em consideração o conselho fornecido por Ross Anderson FRS, Professor de Engenharia de Segurança da Universidade de Cambridge. O relatório completo do Professor Anderson está disponível aqui.