separador
Atualizado:
Reportagem do jornal O Estado de S. Paulo, publicada em 27/11/2020
O Instituto de Defesa do Consumidor (Idec) procotolou na noite de quinta-feira, 26, uma representação junto ao Ministério Público Federal (MPF) solicitando a abertura de inquérito para investigar eventuais falhas de segurança digital que levaram à exposição de dados de ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19, conforme revelou o Estadão.
Os dados ficaram expostos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid nos 27 Estados. Segundo o Einstein, o hospital tem acesso aos dados porque está trabalhando em um projeto com o Ministério da Saúde.
No documento encaminhado ao MPF, o Idec destaca que o incidente surpreende pela ausência de cuidados básicos relacionados à segurança das informações. "Primeiro, chama atenção o fato de existir uma tabela com todos os logins, usuários e senhas de funcionários autorizados para operar um banco de dados sensíveis com milhões de brasileiros. Senhas, conforme qualquer especialista em segurança da informação, não devem ser deixadas escritas. Ou seja, já se trata de antemão de uma negligência dos responsáveis deixar isso exposto a qualquer funcionário", ressaltou a entidade.
O Idec aponta ainda que, além de cuidados com as senhas, deveriam ter sido adotados cuidados básicos para impedir o acesso de terceiros aos bancos de dados. "A autenticação em dois fatores tem sido utilizada já em larga escala, mesmo para acesso a aplicações básicas como e-mail. Com isso, seria possível evitar que um terceiro tivesse acesso a esse banco de dados sem que antes sua identidade fosse checada pelo sistema. Trata-se, mais uma vez, de um recurso de segurança simples, cuja ausência evidencia a falta de cuidados e prudência relacionada ao tratamento dessas informações", diz o órgão.
Na representação protocolada, o Idec afirma ainda que "não há dúvida sobre o caráter sensível das informações disponibilizadas, posto que milhões de pessoas tiveram dados relacionados ao seu estado atual de saúde, condições e doenças pré-existentes divulgadas" e destaca que "a notória exposição desses dados já deixa os cidadãos sob uma situação grave de hipervulnerabilidade".
"Segundo a Lei Geral de Proteção de Dados (LGPD), existem alguns tipos de dados que têm uma proteção jurídica maior ainda, que são os dados sensíveis. Os dados de saúde são considerados sensíveis pois expõem doenças e outras condições de um indivíduo que podem torná-lo vulnerável a preconceitos, estigmatização. Um vazamento de dados desse tipo é algo absurdamente grave", disse ao Estadão o advogado Matheus Falcão, analista de saúde do Idec.
Diante do cenário, o Idec pede, além da abertura da investigação, que o Ministério Público Federal solicite ao Ministério da Saúde detalhes sobre a parceria com o Einstein que possibilitava o acesso de funcionários do hospital a dados pessoais. Pede ainda que o MPF apure informações sobre a política de segurança adotada no compartilhamento dos dados e sobre quais foram as medidas tomadas para contenção do vazamento e reparação imediata dos usuários atingidos.
"No pedido de abertura de inquérito ainda é reforçado que tanto o Ministério da Saúde como o Hospital Albert Einstein devem tomar as medidas necessárias de adequação das plataformas e de suas políticas em relação à Lei Geral de Proteção de Dados (LGPD) e ao Código de Defesa do Consumidor (CDC), e que administração federal do SUS deve estabelecer uma política consistente e efetiva de proteção de dados pessoais. Este é o segundo incidente envolvendo vazamento de dados pessoais sensíveis em saúde em 2020", disse o Idec, em nota.
Parlamentar aciona TCU e pede informações ao Ministério da Saúde
Também com base na revelação feita pelo Estadão sobre o vazamento de dados de pacientes com covid-19, o deputado federal e ex-ministro da Saúde Alexandre Padilha acionou o Tribunal de Contas da União (TCU) para pedir a abertura de um procedimento de análise sobre o caso para averiguação de informações referentes às políticas de segurança digital do ministério e ao contrato do órgão com o Hospital Albert Einstein que permitia a um funcionário o acesso a esses dados.
No documento enviado ao TCU, Padilha destaca que "considerando a sensibilidade dos dados acessados, chama a atenção a vulnerabilidade do sistema de proteção de dados do Ministério da Saúde". Diz ainda que "uma falha com essa magnitude não poderia jamais ter ocorrido dado o volume de recursos públicos investidos, ano a ano, em segurança de rede".
Considerando a sensibilidade dos dados acessados (prontuário médico de milhões de brasileiros e brasileiras), chama-nos atenção a vulnerabilidade do sistema de proteção de dados do Ministério da Saúde.
Dessa forma, o deputado pede que o TCU apure, entre outras coisas, se o Ministério da Saúde possui planos e procedimentos de contingência para estas situações, os valores investidos pela pasta em tecnologia da informação, o número de servidores da área, medidas adotadas para conter os danos causados pela exposição dos dados e informações sobre parcerias com entidades privadas que possam ter o mesmo grau de vulnerabilidade observado na parceria com o Einstein.
"Uma coisa é ter uma falha humana. Outra coisa é não ter protocolos de segurança para identificar quem entrou nos sistemas nem rastrear quem usou essas informações. É uma vulnerabilidade gravíssima", disse Padilha ao Estadão.
O deputado, que é membro da comissão especial da Câmara que acompanha as ações de enfrentamento à pandemia de covid, também enviou requerimento de informações ao Ministério da Saúde. O órgão tem 30 dias para responder.
Procon notifica Einstein sobre vazamento de senhas
O Procon-SP notificou o Hospital Albert Einstein a dar explicações sobre o vazamento das senhas que davam acesso aos bancos de dados de pacientes de covid. De acordo com a entidade, a Lei Geral de Proteção de Dados (LGPD) "determina que é dever de quem trata, controla e acessa os dados garantir que não ocorram vazamentos". A empresa tem até o dia 3 de dezembro para responder.
Em nota, o Procon-SP informou que pediu ao hospital que demonstre "se adota medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas". Questionou ainda o que o hospital tem feito para "qualificar seus funcionários e colaboradores acerca do conteúdo desta legislação".
O Einstein foi indagado ainda sobre "os procedimentos adotados para análise de um incidente com dados pessoais, as medidas de segurança de dados adotadas em razão do hospital tratar dados pessoais sensíveis, as medidas práticas de contenção de danos e o protocolo de prevenção de vazamento de dados".
De acordo com o Procon-SP, o hospital deverá explicar ainda quais foram as medidas de segurança adotadas no processo de digitalização do prontuário médico e exame dos pacientes, conforme orienta o Conselho Federal de Medicina, e se há alguma forma de criptografia das informações dos pacientes e usuários dos serviços laboratoriais. Procurado, o Einstein não quis comentar a notificação do Procon.