Cibersegurança no Setor de Life Sciences

Atualmente, são já conhecidos alguns dos fatores que estiveram na base do aumento do risco em matéria de cibersegurança nos últimos anos – nos quais se incluem, entre outros, a transição digital, as tecnologias emergentes e o contexto geopolítico – e a forma como tal aumento redundou na necessidade de regulamentação reforçada em matéria de privacidade e cibersegurança.

Como consequência de um número significativo de iniciativas legislativas sobre a matéria, a cibersegurança tende a ser considerada como comportando entraves à inovação no âmbito do setor de Life Sciences, não deixando, no entanto, de corresponder a uma prioridade de atuação, porquanto essencial para o reforço da confiança e segurança dos produtos, tratamentos e tecnologias da saúde, sobretudo na era dos sistemas de inteligência artificial, cujos benefícios no contexto da prestação de cuidados de saúde e desenvolvimento de tecnologia médica são inegáveis, mas cujo impacto na privacidade de dados e o aumento dos riscos de segurança consubstancia um fator de preocupação.

Entre outras, tais conclusões decorrem de um recente estudo realizado pela Sociedade de Advogados DLA Piper sobre a perceção acerca da inovação e crescimento no setor de Life Sciences [Life Sciences Index 2024], no qual participaram líderes do setor das principais empresas biofarmacêuticas e de tecnologia médica e onde são abordados temas como os estímulos e barreiras à inovação.

Não obstante a relevância transversal dos aspetos relacionados com privacidade e cibersegurança, tais matérias assumem particular relevância em setores específicos, como é o caso do setor de Life Sciences. Efetivamente, trata-se de setor em que, considerando o volume e sensibilidade da informação tratada, a criticidade dos serviços prestados e a inovação tecnológica, a privacidade e segurança das redes e sistemas de informação requerem particular atenção.

Nesta medida, se a prevenção e preparação para a ocorrência de um incidente de segurança deve ser uma prioridade para a generalidade das organizações, por maioria de razão, deve sê-lo para os operadores do setor de Life Sciences, no qual a probabilidade de um incidente de segurança comportar consequências graves, é muito significativa.

As consequências decorrentes de um incidente de segurança não se esgotam na sua versão mais gravosa, ou seja, no potencial impacto na saúde da população (pacientes e utilizadores), comportando outro tipo de efeitos que é importante considerar: desde o impacto operacional e económico subjacente à recuperação de um incidente, até graves danos reputacionais.

De salientar que a legislação europeia em matéria de cibersegurança, nomeadamente, a Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União, alarga o âmbito das organizações do setor de Life Sciences abrangidas pelos requisitos legais nesta matéria (para além de prestadores de cuidados de saúde, abrange, entre outros, entidades que realizam atividades de investigação e desenvolvimento de medicamentos, laboratórios de referência da União Europeia e entidades que procedem ao fabrico de dispositivos médicos).

Destaca-se a necessidade de implementação de medidas adequadas para gerir os riscos à segurança dos sistemas de rede e informação, bem como as consequências legais em caso de infração, incluindo coimas significativas e a responsabilização dos órgãos de direção das entidades abrangidas por infrações cometidas.

São inúmeros os desafios inerentes a uma eficaz implementação dos requisitos regulatórios, desde a natureza técnica da matéria, aos custos económicos e à incerteza de uma preparação eficaz face à constante evolução dos riscos. Não obstante, é essencial compreender os riscos e o seu impacto, bem como apostar na preparação, quer no plano operacional e da prevenção, quer da perspetiva do reforço da capacidade de resposta.