Digital InsideTambém disponível no Spotify
A cibersegurança no setor da saúde nunca é um tema abstrato. Não se resume a firewalls, normas ou relatórios de risco. Na prática, fala de sistemas que não podem falhar quando alguém precisa de um medicamento, de dados clínicos que exigem proteção reforçada e de organizações que têm de continuar a funcionar mesmo quando a pressão aumenta.
Foi precisamente essa tensão entre proteção e continuidade que marcou a conversa entre Rui Ribeiro e Nuno Miguel Neves, CISO da ANF, Associação Nacional de Farmácias, no mais recente episódio do podcast “Seguros Nunca Estamos“. Ao longo da entrevista, o responsável traçou o seu percurso, analisou os principais desafios das farmácias portuguesas e deixou uma ideia central: na saúde, a cibersegurança só funciona quando respeita a missão essencial do setor.
“A prestação de cuidados de saúde ganha sempre”, resumiu.
Nuno Neves chegou à área a partir de um percurso técnico que começou ainda na universidade, com investigação em tolerância a faltas distribuída, uma disciplina ligada à resiliência dos sistemas. Da academia passou pela consultoria e auditoria, incluindo uma passagem pela Deloitte, com foco em risco e governação, até assumir funções na ANF na área da segurança da informação e cibersegurança.
Esse percurso ajuda a explicar a forma como olha para o problema. Para o responsável, o setor da saúde tem uma vantagem de partida: já traz, há muito tempo, uma cultura de cuidado com a informação. Nas farmácias, a noção de confidencialidade não nasceu com o RGPD nem com a moda da cibersegurança. Sempre existiu, porque sempre existiram dados sensíveis ligados aos doentes, às prescrições e aos tratamentos.
Mas esta mesma realidade traz um conflito permanente. Ao contrário de outros setores, aqui não é realista defender segurança à custa de indisponibilidade. Uma farmácia não deixa de dispensar um medicamento por causa de uma regra demasiado rígida ou de uma interrupção tecnológica. É por isso que, na visão de Nuno Neves, a segurança tem de ser desenhada para coexistir com a operação real.
Essa ideia ajuda também a perceber a evolução tecnológica das farmácias em Portugal. A digitalização não é recente, nem apanhou o setor desprevenido. A ANF começou ainda nos anos 80 a desenvolver software de gestão para farmácias, muito antes de a transformação digital se tornar um chavão. O objetivo era simples: criar ferramentas que ajudassem a farmácia a prestar melhor serviço.
Ao longo dos anos, essa modernização foi mudando processos críticos. Um dos exemplos mais claros foi a desmaterialização da conferência de faturas e, mais tarde, a digitalização da receita. Houve um tempo em que a documentação circulava fisicamente, com enormes volumes de papel e com todos os riscos associados ao transporte de informação sensível. A digitalização simplificou esse trabalho de bastidores, reduziu fricção operacional e acelerou a relação com o Ministério da Saúde.
No entanto, a modernização trouxe uma nova dependência: a dos sistemas centrais e das comunicações. Com a receita eletrónica, a experiência é mais eficiente, mas também mais dependente de conectividade e disponibilidade. Antes, uma receita em papel podia ser lida mesmo com o sistema em baixo. Hoje, um código sem acesso à plataforma pouco resolve.
É aqui que entra a resiliência. Segundo Nuno Neves, o modelo operacional das farmácias portuguesas acabou por evoluir de forma relativamente robusta. Se um posto falhar, outro continua a funcionar. Em muitas farmácias existe redundância de acesso à Internet, incluindo ligações alternativas móveis. Em certos casos, há ainda capacidade para operar com níveis acrescidos de autonomia em cenários adversos. Mas a realidade não é homogénea.
Uma farmácia no centro de Lisboa não tem a mesma escala, os mesmos meios nem os mesmos riscos de uma farmácia numa localidade do interior. Esta heterogeneidade torna mais difícil desenhar respostas uniformes. Ainda assim, a lógica dominante continua a ser pragmática: sistemas locais, arquitetura relativamente fechada e forte aposta em backups. Como resumiu o próprio, em muitos casos o princípio ainda é “back to basics”.
Esta abordagem é particularmente relevante quando se fala de ransomware ou de outros incidentes que afetem a continuidade. Em vez de depender de uma infraestrutura excessivamente distribuída ou de uma cloud omnipresente, boa parte das farmácias continua a operar com servidores locais e terminais com peso limitado. Isso não elimina o risco, mas pode reduzir o impacto de certas falhas e facilitar a recuperação.
A conversa passou também pelas novas vagas tecnológicas, da automação à inteligência artificial. E aqui a visão de Nuno Neves foge tanto ao entusiasmo ingénuo como ao pessimismo defensivo. A automação, defende, não é propriamente novidade nas farmácias. Há muito que existem sistemas robotizados para armazenamento e entrega de medicamentos, bem como mecanismos automáticos de pagamento e apoio ao atendimento.
O ponto mais interessante está, por isso, na IA. Na ANF, a perspetiva passa sobretudo por usá-la como sistema de apoio à decisão. Não para substituir o farmacêutico, mas para o ajudar com alertas, contexto e análise adicional, por exemplo em situações de contraindicações ou de apoio ao ato farmacêutico. Numa área tão regulada e tão sensível, a inteligência artificial só faz sentido se funcionar como camada de reforço do julgamento humano.
Esta prudência é coerente com a própria natureza do setor. Ao contrário de outros contextos, a farmácia continua a ser um espaço onde a interação humana é central. O valor não está apenas na entrega do produto, mas também no aconselhamento, na interpretação e na confiança. A tecnologia pode acelerar, automatizar e sinalizar. O contacto profissional continua a ser decisivo.
Outro dos temas fortes desta conversa foi a consciencialização. E aqui o desafio muda de escala. Numa grande empresa, a administração pode impor políticas, normas e controlos. Numa rede vasta de farmácias independentes ou semiautónomas, isso não acontece da mesma forma. A ANF não “força” a segurança. Propõe, sensibiliza, forma e cria condições.
É um trabalho de influência, não de imposição. E isso exige atuar em várias camadas: junto da direção da própria associação, junto dos proprietários das farmácias e junto dos profissionais no terreno. Neste esforço, a formação ganha peso crescente. A ANF está a preparar um módulo específico de segurança da informação, a disponibilizar através da sua estrutura de formação em saúde e gestão, com o objetivo de reforçar a cultura de segurança no setor.
A transposição da diretiva NIS2 para a lei portuguesa foi outro dos pontos em destaque. Para Nuno Neves, o impacto nas farmácias será mais indireto do que direto. Embora o setor da saúde passe a estar mais claramente sob escrutínio regulatório, muitas farmácias não deverão cair no perímetro principal da diretiva devido à sua dimensão. Ainda assim, isso não significa irrelevância.
Desde logo, porque a saúde já é, há muito, um setor fortemente regulado, incluindo em matérias que tocam a segurança da informação. Além disso, a atenção pública e mediática em torno da NIS2 tem um efeito de consciencialização. Quando os temas entram no debate, tornam-se mais visíveis para decisores que, até aqui, podiam ver a cibersegurança como matéria distante ou puramente técnica.
Para o CISO da ANF, a grande mudança estratégica passa precisamente pela gestão de topo. Sem envolvimento da liderança, nenhuma iniciativa de segurança se sustenta, seja numa organização com cinco pessoas ou numa multinacional. E este princípio aplica-se também às farmácias: se o proprietário não entender a cibersegurança como parte do negócio, será difícil que a preocupação desça até aos colaboradores e se traduza em práticas concretas.
Na reta final da conversa, o foco deslocou-se para o futuro. E aí surge talvez o tema mais fascinante de todos: o equilíbrio entre inovação e privacidade. Nuno Neves acredita que os próximos anos vão trazer uma integração crescente dos dados de saúde, com maior articulação entre hospitais, clínicas, médicos, farmácias e sistemas digitais do SNS. Do ponto de vista do cidadão, haverá menos repetição, mais contexto, melhores decisões e cuidados mais personalizados.
Mas a contrapartida também é evidente. Quanto mais centralizada e interoperável for a informação, maior é o valor do alvo e maior a complexidade de controlar acessos, usos legítimos e fronteiras de privacidade. A questão deixa de ser apenas tecnológica e passa a ser social, operacional e até geracional. Um modelo cómodo para um utilizador digitalmente autónomo pode não servir uma população mais envelhecida.
A personalização do próprio medicamento é outro cenário que já começa a desenhar-se. A ideia de terapêuticas ajustadas ao perfil individual do doente, eventualmente com base em mais dados biológicos e clínicos, pode transformar profundamente a cadeia de valor da saúde e da farmácia. E quanto maior for essa personalização, maior será a necessidade de tratar dados altamente sensíveis com controlo rigoroso.
O exemplo dado por Nuno Neves sobre a diretiva europeia relativa aos medicamentos falsificados ajuda a ilustrar bem esta lógica. Hoje, cada embalagem pode ser rastreada individualmente através de um código único, permitindo acompanhar o seu percurso e reforçar a segurança da cadeia. É uma medida claramente orientada para a saúde pública, mesmo que implique mais sistemas, mais dados e mais controlo.
Esta conversa deixa um retrato muito concreto do momento que o setor atravessa. As farmácias portuguesas não estão a começar agora a sua transformação digital. Já fizeram muito desse caminho. O desafio atual é garantir que a próxima vaga de inovação, da IA à interligação de dados, aumenta a eficácia sem fragilizar a operação nem comprometer a confiança.
Na saúde, a cibersegurança não pode viver em laboratório. Tem de funcionar no balcão, no back-office, nas comunicações, nos sistemas centrais e, sobretudo, quando alguém precisa de ser atendido. É esse realismo que torna a visão de Nuno Neves particularmente relevante para qualquer decisor de tecnologia: proteger continua a ser essencial, mas proteger sem travar é o que realmente conta.
