O Idec, ONG de Defesa do Consumidor, protocolou nesta quinta-feira uma representação junto ao Ministério Público Federal solicitando a abertura de inquérito para investigar falhas em medidas de controle e segurança digital que deixou vulneráveis dados de cerca de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19.
A notícia publicada pelo jornal “O Estado de S. Paulo” indica que o vazamento de uma senha de acesso a duas plataformas do governo, usadas em uma parceria entre o Hospital Albert Einstein e o Ministério da Saúde para um projeto no âmbito do PROADI-SUS, expôs na internet informações pessoais e de saúde desses pacientes durante quase um mês.
“Mais uma vez nos deparamos com falhas graves de segurança que podem ter gerado prejuízo ou ainda prejudicar uma grande quantidade de brasileiros. Vemos que nem mesmo um sistema do governo que armazena dados de saúde, que deveria ser exemplo pela natureza dessas informações, está seguro. É outro exemplo que alerta para a necessidade de que tanto o setor público como privado invistam mais para proteger consumidores”, alerta Bárbara Simão, advogada e especialista em direitos digitais do Idec.
No documento, o Idec ressalta que ”a gravidade do incidente ainda surpreende pela ausência de cuidados básicos relacionados à segurança das informações armazenadas”. Entre os principais pontos destacados estão o fato de existir uma tabela com logins, usuários e senhas de funcionários; a não aplicação de medidas de segurança básicas como autenticação em dois fatores, utilizada em larga escala mesmo para acesso a aplicações como e-mail; e o fato de que nenhum outro critério de segurança rigoroso tenha sido adotado, especialmente considerando-se a sensibilidade dos dados e os riscos de exposição relacionados.
Na representação, o Instituto pede que o Ministério Público Federal solicite a descrição da parceria entre o hospital e o governo federal para o manejo dos dados pessoais; informações sobre a política de segurança adotada no compartilhamento dos dados; e quais foram as medidas tomadas para contenção do vazamento e reparação imediata dos usuários atingidos.
No pedido de abertura de inquérito ainda é reforçado que tanto o Ministério da Saúde como o Hospital Albert Einstein devem tomar as medidas necessárias de adequação das plataformas e de suas políticas em relação à Lei Geral de Proteção de Dados (LGPD) e ao Código de Defesa do Consumidor (CDC), e que administração federal do SUS deve estabelecer uma política consistente e efetiva de proteção de dados pessoais. Este é o segundo incidente envolvendo vazamento de dados pessoais sensíveis em saúde em 2020. Em fevereiro, o Idec notificou a Agência Nacional de Vigilância Sanitária (Anvisa) pelo vazamento de endereços eletrônicos de usuários de medicamentos à base de cannabis.
“Este é um momento chave para implementação de políticas de saúde que envolvem dados no Brasil, como prontuários eletrônicos e outros serviços de telessaúde. É fundamental que isso venha acompanhado de medidas que assegurem a proteção das informações dos usuário”, completa Matheus Falcão, advogado e especialista em Saúde do Idec.