Na madrugada desta sexta-feira (10), ocorreu um novo incidente envolvendo as bases de dados pessoais sob gestão Ministério da Saúde, que afetou os servidores e plataformas vinculadas ao Ministério, como o e-SUS Notifica, o Sistema de Informação do Programa Nacional de Imunização (SI-PNI) e o ConecteSUS. 

A pasta afirma que o DataSUS está tomando providências, e a Autoridade Nacional de Proteção de Dados (ANPD), o Gabinete de Segurança Institucional (GSI) e a Polícia Federal foram incitados a colaborar com a investigação. O ataque já causa prejuízos objetivos, como a impossibilidade de acessar o comprovante virtual de vacinação, além do adiamento da exigência de quarentena para viajantes não-vacinados e a inviabilização do acesso ao eSUS Notifica, que compila dados de casos e suspeitas de Covid-19.

Este não é o primeiro ataque direcionado aos sistemas da pasta e mostra, novamente, extrema vulnerabilidade e falha na segurança digital dos dados tratados pelo Ministério da Saúde. Em novembro de 2020, o Idec solicitou que o Ministério Público Federal (MPF) investigasse falhas em medidas de controle e segurança digital que deixaram vulneráveis dados de cerca de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19. À época, houve vazamento de senhas de acesso a duas plataformas do governo no âmbito de um projeto do Proadi-SUS, sendo estas fruto de uma parceria entre o Hospital Israelita Albert Einstein e o MS. Na ocasião, o Idec apontou que o incidente evidenciava a ausência de cuidados básicos relacionados à segurança das informações. A solicitação culminou em duas reuniões com a procuradora federal, que apresentou uma recomendação ao Ministério da Saúde.

A situação se repete no ataque de hoje, apontando para uma vulnerabilidade recorrente dos servidores e para a precarização da segurança dos dados pessoais de saúde de milhões de brasileiros.

Com o avanço das discussões sobre o uso de tecnologia e o tratamento de dados em saúde, é fundamental que se determinem protocolos mais seguros, que haja transparência e que se garantam efetivamente os direitos dos titulares de dados, em cumprimento à Lei Geral de Proteção de Dados (LGPD). Tais questões são de responsabilidade do Ministério da Saúde e são debatidas no Comitê Gestor da Saúde Digital, uma instância colegiada que não conta com participação de entidades da sociedade civil.

O desafio da segurança é ainda mais urgente frente à consolidação da Rede Nacional de Dados e Saúde (RNDS), que centraliza no Ministério da Saúde dados de toda a população brasileira, incluindo usuários de serviços privados, o que demanda alta responsabilidade e protocolos efetivos para que vulnerabilidades como esta não voltem a afetar os cidadãos brasileiros. Nesse sentido, é fundamental que o Departamento de Informática do SUS (DATASUS), órgão do Ministério, seja fortalecido e atue de forma transparente, inclusive sobre com quais empresas compartilha suas informações, incluindo prestadores de serviços de tecnologia da informação.

O setor público deve ser referência no cumprimento das normas de proteção de dados, especialmente em relação a dados pessoais sensíveis, como é o caso dos  dados de saúde. É fundamental e urgente que a segurança e a transparência sejam contempladas nas políticas de informação, informática e saúde e que a infraestrutura pública seja compatível com a sua imensa responsabilidade.