ANPD aplica sanção ao Ministério da Saúde por invasão de sistema
A Autoridade Nacional de Proteção de Dados, ANPD, concluiu que o Ministério da Saúde falhou em incidente de segurança ocorrido em 2022, e aplicou duas sanções de advertência à pasta, além de exigir cronograma para adoção de medidas corretivas.
Até aqui, sigilo sobre o processo restringe o tamanho do problema identificado. A ANPD confirma que se trata de um processo sancionador relacionado a “ausência de comunicação a titulares de incidente de segurança” e “ausência de medidas de segurança”.
Ainda segundo a apuração da autarquia, as questões relacionadas ao “incidente de segurança” envolvem o Sistema de Cadastro e Permissão de Acesso do Datasus, vulnerabilidades e exploração do acesso por meio de API do sistema.
As medidas foram originalmente publicadas no Diário Oficial da União de 9/8, e republicadas nesta quarta, 14/8, para retificação de parte das sanções aplicadas pao Minsitério da Saúde. São elas:
“ADVERTÊNCIA por violação ao art. 48 da LGPD, com a imposição da seguinte medida corretiva, nos termos do art. 55, §2º, I do Regulamento de Fiscalização, para impor ao Ministério da Saúde a obrigação de:
Ajustar, no prazo de 10 (dez) dias úteis da data de intimação deste Despacho Decisório, o comunicado já existente no sítio eletrônico do Ministério da Saúde, para que sejam retificados(as):
a descrição das categorias de dados pessoais que ficavam disponíveis para consulta durante a ocorrência da vulnerabilidade, caso fossem pesquisados CPFs válidos na RFB, a fim de que a informação esteja em consonância ao informado nas Alegações Finais (0098399) do autuado neste Processo Administrativo Sancionador;
o autuado deve retificar a coluna “Natureza dos dados potencialmente expostos” disponível em seu sítio eletrônico, com indicação da data de atualização, para que conste os seguintes dados pessoais: “unidade administrativa, data nascimento, nome mãe, CPF, número título eleitor, sexo, situação estrangeiro, situação residente exterior, tipo sexo, tipo situação CPF, município IBGE, data atualização RFB, data processamento, nome bairro, nome logradouro, nome município, nome, número CEP, número logradouro, sigla UF, situação registro ativo”, conforme mencionado no item 6.1 do Relatório de Instrução nº 4/2024/FIS/CGF/ANPD (SEI nº 0136258).
as medidas técnicas e de segurança utilizadas para a proteção dos dados, com a indicação de que foram adotadas melhorias ou que estão em curso as relacionadas a: controles de acesso, medidas de verificação de vulnerabilidades e demais ações que o Ministério da Saúde entenda ser pertinente sua publicação, observada eventual restrição de acesso legalmente aplicável;
os riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares, indicando-se os riscos mencionados nos itens 7.29 e 7.30 do Relatório de Instrução nº 4/2024/FIS/CGF/ANPD (SEI nº 0136258), quais sejam: i) riscos de impedir ou limitar que os titulares tenham seu devido acesso à conta do sistema e ii) riscos de dano em situações, por exemplo, de discriminação e perturbações por fraudes em processos de autenticação ou validação de identidade em serviços específicos; e
os motivos da demora da realização da comunicação do incidente aos titulares.
A fim de se comprovar que a medida corretiva imposta em razão da violação ao art. 48 da LGPD foi cumprida:
o comunicado citado no item 2.1 deverá ser mantido no sítio eletrônico do Ministério da Saúde por pelo menos mais 90 (noventa) dias corridos a contar da data da intimação deste Despacho Decisório;
deverá ser juntada aos autos comprovação de que a medida corretiva do item “2.1” deste Despacho Decisório foi cumprida por meio da apresentação de, pelo menos, 9 (nove) capturas de tela do sítio eletrônico do Ministério da Saúde, com intervalo mínimo de 9 (nove) dias entre cada uma, contendo o comunicado e com visualização clara da data da captura;
a comprovação de cumprimento da medida corretiva deverá ser juntada aos autos em até 5 (cinco) dias úteis do final de cada período de 30 (trinta) dias, independentemente de nova intimação para tanto.
3. ADVERTÊNCIA por violação ao art. 49 da LGPD, com a imposição da seguinte medida corretiva, nos termos do art. 55, §2º, I do Regulamento de Fiscalização, para impor ao Ministério da Saúde a obrigação de:
3.1. Envio à Coordenação-Geral de Fiscalização de informações sobre o andamento de medidas técnicas que estão em curso no sistema SCPA, em especial quanto: i) aos registros (logs) de acesso à API afetada e volume de consultas realizadas ao sistema SCPA; ii) à implementação da ferramenta relacionada à verificação de vulnerabilidades relatada no item 2.3.3 da Nota Técnica nº 106/2022-CGIE/DATASUS/SE/MS (0050503); e iii) às ações de melhoria que foram suscitadas na Nota Técnica nº 17/2022 (0045589), conforme item 5.11 do Relatório de Instrução nº 4/2024/FIS/CGF/ANPD (SEI nº 0136258), mediante apresentação de um cronograma de implementação, com a especificação das etapas a serem adotadas, caso aplicável.
3.1.1. A fim de se comprovar o cumprimento desta medida corretiva, o Ministério da Saúde deverá juntar aos autos, no prazo de 20 (vinte) dias úteis da data de intimação deste Despacho Decisório, documento (e.g. planilha, documento escrito de forma digital, apresentação de slides etc.) em que conste: i) a previsão das etapas do cronograma; e ii) a forma por meio da qual se comprovará o cumprimento de cada uma das etapas.
3.1.2. O prazo de cumprimento de todas as etapas previstas no cronograma não deverá ultrapassar 100 (cem) dias úteis, contados da data de intimação deste Despacho Decisório.
3.2. Subsidiariamente, caso alguma medida técnica citada no item “3.1.”, caput, deste Despacho Decisório, já tenha sido cumprida, determina-se a juntada de comprovação dos elementos supracitados no item “3.1.”, caput, que poderá ser realizada através de declaração assinada pela autoridade máxima do ministério e juntada aos autos, no prazo de 20 (vinte) dias úteis da data de intimação deste Despacho Decisório.”
