Design of a Secure Wearable Health Data Sharing Platform for Region Hovedstaden: A FHIR DK and GDPR-Compliant Service Architecture

Este artigo apresenta uma arquitetura de serviço de cinco camadas para uma plataforma segura de compartilhamento de dados de saúde de wearables no Hovedstaden, projetada para integrar dados contínuos ao sistema nacional Sundhed.dk de forma compatível com os padrões FHIR DK e GDPR, atendendo aos requisitos de segurança e confiança identificados em estudos com stakeholders dinamarqueses.

O essencial

Imagine que você tem um relógio inteligente, um anel de saúde ou uma pulseira que monitora seu coração, seu sono e seus passos 24 horas por dia. Agora, imagine que esses dados poderiam ajudar seus médicos em Copenhague a cuidar melhor de você, prevenindo doenças graves. O problema é que, hoje, esses dados ficam "presos" no seu dispositivo, como se você tivesse um diário de saúde escrito em uma língua que o hospital não entende.

Este artigo de pesquisa é como um projeto de engenharia para construir uma ponte segura entre os seus dispositivos pessoais e o sistema de saúde público da Dinamarca (chamado Sundhed.dk), especificamente para a região de Hovedstaden (onde fica a capital).

Aqui está a explicação do projeto, traduzida para uma linguagem simples e cheia de analogias:

1. O Problema: A "Ilha" dos Dados

Hoje, existem 1,8 milhão de pessoas nessa região dinamarquesa. Muitas usam wearables (dispositivos vestíveis), mas os hospitais não conseguem ler esses dados automaticamente.

• A Analogia: Pense no seu relógio inteligente como um turista que fala apenas inglês, e o hospital como um funcionário que só fala dinamarquês. Eles estão no mesmo quarto, mas não conseguem conversar. Além disso, não há um "passaporte" oficial (como o MitID, o ID digital dinamarquês) para provar que o turista é quem diz ser e para garantir que ele quer entrar.
• O Risco: Sem essa conexão, os médicos perdem informações vitais para tratar diabetes e pressão alta, e os pacientes têm medo de que seus dados sejam usados indevidamente (por seguradoras ou empregadores).

2. A Solução: A Ponte de Cinco Camadas

Os autores propuseram uma arquitetura de software (o "plano de construção" da ponte) com cinco camadas, funcionando como um sistema de segurança de um hotel de luxo:

1. A Entrada (Dispositivos): É onde seus dados saem do relógio. Eles são organizados e limpos, como um recepcionista que recebe malas e as rotula corretamente.
2. O Portão de Segurança (API Gateway): Aqui entra o MitID. É como o porteiro que verifica seu passaporte digital. Ele garante que só você pode autorizar a entrada dos seus dados.
3. O Guardião de Consentimento (Lógica de Negócio): Este é o coração do sistema. Antes de qualquer dado passar, ele pergunta: "O paciente permitiu que este dado específico fosse visto por este médico específico?". É como um guarda que verifica se você tem o bilhete certo para entrar naquele andar específico do hotel.
4. O Arquivo Seguro (Dados): Os dados são transformados em um formato padrão (FHIR DK) que o hospital entende e guardados em cofres digitais criptografados.
5. A Recepção (Apresentação): Onde o médico vê os dados em um painel fácil de usar e onde você, paciente, pode ver quem acessou seus dados.

3. A Regra de Ouro: "Confiança Zero" e Transparência

O sistema usa uma filosofia de segurança chamada Zero Trust (Confiança Zero).

• A Analogia: Em vez de confiar que "todo mundo dentro do prédio é amigo", o sistema pergunta a cada passo: "Quem é você? Você tem permissão para fazer isso agora?". Mesmo que você já tenha entrado no prédio, se tentar abrir uma porta que não é sua, o sistema bloqueia.
• O Caderno de Visitas (Auditoria): O sistema cria um registro imutável de tudo o que acontece. Se alguém acessar seus dados, fica registrado. Você pode olhar esse "caderno" a qualquer momento. Isso resolve o medo das pessoas de que seus dados sejam usados para negar seguros ou empregos.

4. O Que as Pessoas Pensam? (A Pesquisa)

Os autores perguntaram a 47 dinamarqueses se eles compartilhariam seus dados.

• O Resultado: Mais da metade (51,1%) disse "sim", mas com uma condição: segurança e controle.
• O Medo: As pessoas não têm medo da tecnologia em si; elas têm medo de perder o controle. O maior medo (59,6%) é que os dados sejam usados para fins não médicos (como por seguradoras).
• A Conclusão: Se você der às pessoas o controle total (poder revogar o acesso a qualquer momento) e mostrar exatamente quem viu o quê, elas estão dispostas a compartilhar.

5. Por que isso é importante?

Se essa "ponte" for construída:

• Para o Paciente: Você ganha um sistema de saúde mais proativo. O médico pode ver se sua pressão subiu antes de você ter uma crise.
• Para o Sistema: Reduziria readmissões hospitalares em cerca de 38%, economizando dinheiro e salvando vidas.
• Para a Sociedade: Cria um modelo de como usar tecnologia moderna respeitando a privacidade (GDPR), servindo de exemplo para outros países.

Resumo Final

Este artigo não é apenas sobre código de computador; é sobre construir confiança. Ele desenha um plano para que seus dados de saúde viajem do seu pulso até o médico de forma segura, como se estivessem em um cofre blindado, onde apenas você tem a chave e pode ver quem tentou abrir a porta. É a união da tecnologia de ponta com a proteção dos direitos do cidadão dinamarquês.

Resumo técnico

Resumo Técnico: Plataforma de Partilha Segura de Dados de Saúde Vestíveis para a Região Hovedstaden

Título: Design de uma Plataforma de Partilha Segura de Dados de Saúde Vestíveis para a Região Hovedstaden: Uma Arquitetura de Serviço Conformidade com FHIR DK e GDPR.
Autores: Abir Chowdhury e Arshi Irtiza (Universidade de Aalborg, Dinamarca).

---

1. O Problema

A Região Hovedstaden (Região da Capital da Dinamarca), com 1,8 milhão de habitantes, enfrenta uma lacuna crítica de interoperabilidade na integração de dados de saúde gerados por dispositivos vestíveis (wearables) no sistema nacional de registos eletrónicos de saúde, o Sundhed.dk.

• Barreiras Atuais:
  • Falta de Padrões: O Sundhed.dk carece de perfis específicos FHIR DK v6.0.2 para dados contínuos de saúde gerados pelo paciente (PGHD).
  • Autenticação e Ecossistemas Fechados: Não existe um caminho de autenticação que permita aos pacientes dinamarqueses partilhar dados via MitID (o provedor de identidade nacional). Dispositivos como Apple Watch e Garmin permanecem presos em ecossistemas proprietários incompatíveis com a Infraestrutura de Serviços Nacionais (NSI).
  • Conformidade Regulatória: As soluções existentes não satisfazem plenamente os requisitos do Artigo 25 do GDPR (Privacidade por Design), especificamente em relação ao consentimento granular e rastreabilidade de auditoria visível ao paciente.
• Impacto: Dados fisiológicos longitudinais relevantes para o manejo de doenças crônicas (diabetes, hipertensão) não chegam aos clínicos, perdendo-se a oportunidade de reduzir readmissões hospitalares em até 38%.

2. Metodologia

O estudo seguiu a metodologia de Aprendizagem Baseada em Problemas (PBL) da Universidade de Aalborg, combinando três fontes de evidência:

1. Revisão Sistemática da Literatura: Focada em documentação dinamarquesa (Sundhed.dk, NSI, casos de aplicação do Datatilsynet e MitID).
2. Benchmarks de Plataformas: Comparação de quatro plataformas (Sundhed.dk, Apple HealthKit, Google Fit, Epic MyChart) contra critérios dinamarqueses (suporte FHIR DK, integração MitID/NSI, granularidade de consentimento).
3. Pesquisa com Stakeholders:
   • Amostra: 47 respondentes verificados (34 inquéritos rápidos + 13 entrevistas estruturadas), após filtragem de respostas automatizadas.
   • Análise: Os requisitos foram priorizados usando o método MoSCoW (Must, Should, Could, Won't) e mapeados através de uma matriz de rastreabilidade tridirecional.

3. Principais Contribuições

O artigo apresenta duas contribuições principais:

A. Especificação de Requisitos (MoSCoW)

Foram definidos 14 requisitos prioritários:

• Funcionais (Must/Should): Autenticação segura via MitID (F1), consentimento granular e revogável (F2), importação/exportação de dados FHIR DK v6.0.2 (F3), e logs de auditoria expostos ao paciente (F4).
• Não Funcionais (Must/Should): Segurança (TLS 1.3, AES-256, mTLS), desempenho (<3s de resposta), disponibilidade (99.9%) e conformidade (geração de DPIA em <24h).

B. Arquitetura de Serviço Conceitual de Cinco Camadas

Propõe-se uma arquitetura de microsserviços baseada em Zero Trust e orientada a eventos:

1. Camada de Dispositivo: Gateways IoT e adaptadores BLE/MQTT 5.0 para normalização de dados.
2. Gateway de API: Gerencia autenticação MitID (OIDC), API FHIR e middleware de consentimento (Kong, OAuth 2.1).
3. Lógica de Negócio: Serviços de Consentimento, Controle de Acesso e Auditoria (Node.js, Kafka Streams).
4. Camada de Dados: Repositório FHIR, Logs de Auditoria e Armazenamento de Consentimento (MongoDB, PostgreSQL, ClickHouse).
5. Camada de Apresentação: Portal do Paciente e Painel do Clínico (React.js).

Fluxo de Dados: Os dados do wearable são normalizados, publicados no Kafka, verificados quanto ao consentimento ativo, transformados em recursos Observation FHIR DK e persistidos. O acesso clínico exige re-autenticação e validação de escopo de consentimento em tempo real.

4. Resultados da Pesquisa

• Vontade de Partilha: 51,1% dos respondentes estão dispostos a partilhar dados de wearables com profissionais de saúde sob condições seguras. Outros 38,3% estão condicionais.
• Fatores de Confiança Críticos: A disposição para partilhar está fortemente correlacionada com a confiança na autenticação (F1), controle de consentimento (F2) e transparência de auditoria (F4).
• Preocupações com Privacidade:
  • 59,6% teme o uso não médico (seguradoras/empregadores).
  • 55,3% preocupa-se com a falta de controle sobre o acesso aos dados.
  • A transparência de auditoria (logs de acesso) foi o recurso de confiança mais desejado (38,3%).
• Impacto Esperado: 80,9% dos respondentes acreditam que a plataforma melhoraria a qualidade do cuidado.

5. Significado e Conclusão

O estudo demonstra que a barreira para a adoção de wearables na saúde pública dinamarquesa não é a tecnologia em si, mas a falta de mecanismos de confiança.

• Validação de Design: A arquitetura proposta operacionaliza o Artigo 25 do GDPR (Privacidade por Design) ao nível da infraestrutura, tornando o consentimento granular e a auditoria visível requisitos não negociáveis.
• Interoperabilidade: O modelo oferece um "plano de traçabilidade" para fechar a lacuna de interoperabilidade entre dispositivos de consumo e o sistema de saúde nacional, alinhado com a Estratégia de Saúde Digital da Dinamarca (2025–2028).
• Próximos Passos: O trabalho sugere a realização de um piloto controlado em hospitais como o Rigshospitalet ou Amager Hvidovre para validar os requisitos não funcionais (desempenho e escalabilidade) em condições operacionais reais.

Em suma, a proposta oferece um blueprint técnico viável para transformar dados de wearables em ativos clínicos seguros, escaláveis e conformes, resolvendo o impasse atual entre a inovação do IoT e a regulação de proteção de dados na Dinamarca.