Quem vai pagar a conta do vazamento de dados de 16 milhões de brasileiros?
Não foi um ataque hacker ao sistema, mas, sim, a ação de um homem – um cientista de dados – que permitiu a exposição de informações pessoais de pacientes com diagnósticos suspeitos ou confirmados de Covid-19, armazenadas no ministério da Saúde. Esses dados teriam ficado disponíveis na internet por quase um mês depois que senhas do Ministério da Saúde foram publicadas em uma plataforma aberta, segundo o jornal “O Estado de S. Paulo” em uma reportagem publicada nesta quinta-feira (26).
As senhas permitiam acesso a dados como CPF, endereço, telefone e doenças pré-existentes de pelo menos 16 milhões de pessoas em todo o país, segundo o jornal (veja detalhes mais abaixo). Os dados – segundo informações oficiais do Hospital Albert Einstein e do Ministério da Saúde- foram publicados por um funcionário do Hospital Albert Einstein, em São Paulo, em um site de compartilhamento de códigos de programação usado por programadores e cientistas de dados.
Por meio de nota oficial, nesta quinta-feira, 26/11, o Hospital Albert Einstein diz que ‘o colaborador que infringiu as normas internas de proteção e segurança de dados foi desligado’. Ressalta ainda que “não houve divulgação de quaisquer dados pelo empregado e que o hospital não tem acesso a eles. Eles ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília”.
O Ministério da Saúde, por sua vez, diz que a questão é ligada ao Hospital Albert Einstein, uma vez que “o Hospital informou ao Ministério da Saúde que iniciou um processo de apuração dos fatos. A equipe de segurança cibernética do hospital está tomando todas as medidas para conter um possível vazamento de arquivos contendo login e senha para acesso das informações dos sistemas via Elastic Search. A instituição informou, também, que uma planilha foi equivocadamente publicada em uma plataforma de hospedagem de código-fonte. Este documento foi apagado e está sendo realizado o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados.”
O advogado especializado em direito eletrônico, Walter Capanema, consultado pelo Convergência Digital, apesar de ainda preferir aguardar mais esclarecimentos sobre o caso, disse que a ‘falha foi absurda’ e que o Hospital Albert Einstein e o Ministério da Saúde têm responsabilidade. “Eles podem acionar o cientista de dados judicialmente para responsabilizá-lo, que é o chamado direito de regresso, caso se comprove que o cientista de dados é realmente culpado. Mas tanto o Einstein como o Ministério de Saúde podem enfrentar ações de responsabilidade civil”, afirma Capanema. Pela LGPD, não há responsabilidade nem punição, uma vez que multas só serão aplicadas a partir de agosto de 2021.
O Convergência Digital divulga as íntegras das duas notas oficiais:
Nota do Hospital Albert Einstein (26/11):
“São Paulo, 26 de novembro de 2020 – O Hospital Israelita Albert Einstein tomou conhecimento na tarde desta quarta-feira, 25/11, que um colaborador contratado para prestar serviços ao Ministério da Saúde havia arquivado informações de acesso a determinados sistemas sem a proteção adequada.
Estas informações foram removidas imediatamente e o fato comunicado ao Ministério da Saúde para que fossem tomadas medidas que assegurassem a proteção das referidas informações.
O Einstein ressalta que não houve divulgação de quaisquer dados pelo empregado e que o hospital não tem acesso a eles. Eles ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília.
A organização reitera seu compromisso com a segurança das informações e a proteção de dados e informa que já iniciou a apuração do incidente. Além disso, realizou na manhã da quinta-feira, 26/11, o desligamento do colaborador por ter infringido as normas internas adotadas para garantir proteção e segurança de dados.”
Nota do Ministério da Saúde:
“O Ministério da Saúde informa que realizou reunião com o Hospital Israelita Albert Einstein – com quem tem parceria via Proadi -, para esclarecimento dos fatos. O profissional contratado atua no MS como cientista de dados e iniciou as atividades em 14/09/2020 e, no âmbito das medidas de segurança do ministério, em atendimento aos protocolos de compliance e confidencialidade, por meio de assinatura do termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica.
O Hospital informou ao Ministério da Saúde que iniciou um processo de apuração dos fatos. A equipe de segurança cibernética do hospital está tomando todas as medidas para conter um possível vazamento de arquivos contendo login e senha para acesso das informações dos sistemas via Elastic Search. A instituição informou, também, que uma planilha foi equivocadamente publicada em uma plataforma de hospedagem de código-fonte. Este documento foi apagado e está sendo realizado o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados. O hospital confirmou que houve falha humana de um dos seus colaboradores – e não do sistema.