Violação de privacidade: Quem acessa os meus dados?

Se você fez algum teste para saber se foi infectado por Covid-19, há chances de que seus dados pessoais e médicos tenham sido expostos na internet. O incidente de segurança, reportado em primeira mão pelo jornal O Estado de S. Paulo, teria sido causado pela divulgação indevida de uma lista de usuários e senhas de acesso a dois sistemas do Ministério da Saúde utilizados para reportar casos suspeitos, confirmados e internações pela doença.

Segundo explicitado pela matéria em referência, a exposição dos dados pessoais sensíveis de 16 milhões de pessoas foi ocasionado devido ao baixo no nível de segurança requerido para autenticação e acesso aos dados, e não se trata de um ataque hacker ou uma invasão às bases centralizadas do governo. Uma lista de logins e senhas de acesso aos sistemas foi incluída, de forma pública, em uma plataforma de hospedagem de código-fonte por um funcionário do Hospital Albert Einstein, que tinha acesso às bases de dados pois atuava em um projeto junto ao Ministério da Saúde, de acordo com informações divulgadas em notas pelas entidades. O funcionário foi desligado do hospital após a denúncia.

De acordo com a apuração do veículo, qualquer pessoa que utilizasse as informações de login e senha divulgadas, poderia acessar os sistemas do Ministério da Saúde e visualizar informações como o resultado do teste de covid, medicamentos administrados no tratamento da doença e em qual hospital foi atendido, caso o titular daqueles dados tenha sido internado, doenças pré-existentes, como HIV e diabetes, além do endereço, telefone e outros dados pessoais de 16 milhões de brasileiros, entre eles o Presidente Jair Bolsonaro, o Governador João Dória e Ministros do Executivo.

Este caso de violação da privacidade abre o debate para as formas de autenticação e acesso às bases de dados dos cidadãos, até por pessoas autorizadas para tal. Os custodiante de bases de dados sensíveis têm a responsabilidade legal de proteger a privacidade e a integridade das informações. Garantir que a forma de acesso das pessoas autorizadas à base tenha a segurança de maior nível possível é parte dessa responsabilidade. Investimentos em segurança da informação e governança de dados são necessários, porém o país conta com tecnologias já bem disseminadas que podem garantir que as bases de dados sejam seguras e com riscos menores de falhas.

No âmbito dos estudos técnicos sobre identidades digitais, fala-se sobre autenticação digital por uma variação ou combinação de fatores: quem a pessoa é (identidade), o que ela sabe (uma senha ou pin, por exemplo) e o que ela tem (como um token ou um telefone celular). Através desta combinação, mesmo que haja o vazamento de senhas, como o que ocorreu nesta situação, ainda assim o acesso não seria permitido, pois os outros fatores de autenticação não seriam atingidos.

Com a transformação digital acelerada e a criação de bases de dados unificadas para facilitar a execução de políticas públicas ou a prestação de serviços diversos de forma online, será necessário repensar as práticas de segurança da informação dos custodiantes dessas bases, bem como fazer o melhor uso das tecnologias que já estão à disposição, com infraestruturas tecnológicas, operacionais e jurídicas sólidas que visem prioritariamente proteger o cidadão e os seus dados pessoais.

* Thaís Covolato é Coordenadora do Comitê de Identidades Digitais da Camara-e.net