Quem teve dados vazados pode recorrer à Justiça contra falha na Saúde
Dados de mais de 200 milhões de brasileiros ficaram expostos em páginas do Ministério da Saúde. Especialistas avaliam falha: “Gravíssima”
atualizado
Compartilhar notícia
Nome completo, CPF, endereço, telefone e informações sobre estado de saúde. Foram esses alguns dos dados de mais de 200 milhões de brasileiros vazados em páginas do Ministério da Saúde. A exposição foi revelada inicialmente no fim de novembro pelo Estadão.
Os dados puderam ser acessados por qualquer pessoa que tivesse conhecimentos mínimos de programação. Parte das informações era de pessoas que trataram Covid-19 ao longo do ano. As outras eram sobre todos os brasileiros cadastrados no Sistema Único de Saúde (SUS) e clientes de um plano de saúde. Na mesma semana em que os casos foram revelados, o Ministério da Saúde informou que o erro tinha sido corrigido.
Esse tipo de vazamento, no entanto, pode gerar uma série de consequências graves para a população afetada. Marco Antonio Araújo Júnior, advogado especialista em direito do consumidor, explica que a exposição desses dados sigilosos fere o respeito à dignidade humana.
“As pessoas afetadas podem sofrer todo tipo de preconceito: desde não serem contratadas em um emprego porque o exame de Covid-19 deu positivo, até serem demitidos por justa causa. Também pode impactar negativamente em uma contratação de seguro de vida ou de um plano de saúde”, afirma Júnior.
Relembre os casos
O primeiro vazamento foi identificado em 26 de novembro. Um cientista de dados do Hospital Israelita Albert Einstein teria divulgado, no site GitHub, uma lista com logins e senhas que davam acesso aos dados de 16 milhões de brasileiros.
Ao Estado de S. Paulo, o hospital informou que está trabalhando em um projeto com o ministério e que, por isso, o funcionário tinha acesso aos dados. Os logins e as senhas divulgados na plataforma davam acesso aos sistemas E-SUS-VE e Sivep-Gripe, ambos do Ministério da Saúde, que listam informações de pacientes com Covid-19.
O segundo vazamento, identificado em 2 de dezembro, teve proporções bem maiores: os dados de 243 milhões de brasileiros cadastrados no SUS ficaram expostos no site do Ministério da Saúde, conforme apurou o Estadão.
Dessa vez, as informações de login e senha estavam disponíveis por meio da função “inspecionar elemento”, existente em qualquer navegador. Bastava aplicar o comando para que qualquer usuário conseguisse encontrar o login e a senha e acessar a base com os dados dos pacientes cadastrados no SUS.
Indenização
Cidadãos que se sentiram prejudicados material ou moralmente podem recorrer à Justiça para serem indenizados. O advogado explica que tanto o Hospital Albert Einstein quanto o Ministério da Saúde podem ser penalizados pelo erro. Além disso, as instituições podem ser alvo de investigações do Conselho Federal de Medicina, afirma o especialista.
“Todo fornecedor que faz manipulação, arquivamento ou transferência de dados de consumidores tem que tomar um cuidado especial, porque informação é poder. Quando esses dados são vazados, ocorre o que a gente chama de acidente de consumo, que pode proporcionar uma indenização àquele que se sentiu ofendido, por dano material ou por dano moral. A responsabilidade é tanto do Ministério da Saúde quanto do Hospital Albert Einstein.”
Insegurança
O engenheiro da computação Luís Felipe Rabello Taveira também acredita que a gravidade do vazamento é alta. Com as informações expostas, a possibilidade de crimes ou abusos de empresas de plano de saúde aumenta.
“Esses dados dizem respeito à intimidade dos cidadãos. Poderiam ser utilizados por planos de saúde para negar o serviço ou aumentar o valor da mensalidade, com base no histórico de doença das pessoas. A tendência é de que, no futuro, os dados sejam uma fonte valiosa de informação: seja para aprovar crédito de empresas bancários, para planos de saúde, e assim por diante”, explica.
O profissional explica que o GitHub, site onde o funcionário do Hospital Albert Einstein teria publicado as chaves de acesso à base de dados, é utilizado mundialmente por programadores para armazenar códigos. Diversos profissionais cadastram dados na plataforma para que outras pessoas possam acessar as informações em paralelo.
No entanto, Taveira avalia a falha do funcionário do Albert Einstein como um “descuido”. “Muitas vezes isso acontece porque, na hora em que você está desenvolvendo um sistema, precisa dar algumas credenciais. Essa senha também foi enviada, por algum descuido, para esse site.”
O erro, no entanto, poderia ter sido evitado. Luís explica que é comum que desenvolvedores utilizem dados anônimos para criar funcionalidades nos programas, evitando que informações reais sejam vazadas durante a construção de sistemas.
A segunda falha, em que os dados de brasileiros puderam ser acessadas por meio da função “inspecionar elemento”, também é considerada grave pelo engenheiro. Luís explica que essa função pode ser utilizada em qualquer navegador, por qualquer usuário, e existe para que os internautas vejam se há erros no código da página.
“Colocar dados de usuários nesse trecho já é um erro gravíssimo, e colocar dados sensíveis é pior ainda. É um erro de segurança, um descuido na hora de programar o sistema, e existem medidas pra evitar que isso aconteça novamente, como a revisão de códigos pelos pares do navegador”, explica.
Para o profissional, é preciso que haja maior investimento na segurança dessas informações. Com a pandemia, o processo de digitalização de dados passou a ser bem mais intenso, já que grande parte da população migrou para o ambiente digital. Ele explica que essa tendência faz com que os riscos de vazamentos sejam maiores, já que mais dados estão disponíveis on-line.
“A quantidade de informações que estão nesses meios digitais está cada vez maior, e são informações cada vez mais sensíveis. É imprescindível que as autoridades públicas e o setor privado invistam em profissionais da informação capacitados para projetar sistemas e evitar que incidentes de segurança aconteçam novamente. É uma tendência que está acontecendo não só no Brasil, mas no mundo inteiro. Todos têm que ficar vigilantes”, afirma Luís.
O que diz o Ministério da Saúde
Questionado pelo Metrópoles, o Ministério da Saúde alegou que “não houve indícios de vazamento nem exposição de dados sensíveis” das bases. O órgão afirma que o erro ocorreu devido a uma “quebra de chaves forçada, gerando a divulgação indevida de dados demográficos, localizados por meio do número de CPF de conhecimento do autor da ação imprópria”.
A reportagem questionou o ministério sobre a existência de uma equipe especializada em segurança de dados e sobre ações de prevenção a esse tipo de problema, mas não obteve retorno.
A pasta informou, ainda, que segue apurando o caso por meio do Departamento de Informática do Sistema Único de Saúde (Datasus). Leia a nota na íntegra:
“O Ministério da Saúde reitera que não houve indícios de vazamento nem exposição de dados sensíveis das bases do Ministério da Saúde. A pasta esclarece que o episódio constituiu de (sic) uma quebra de chaves forçada gerando a divulgação indevida de dados demográficos, localizados por meio do número de CPF de conhecimento do autor da ação imprópria.
Cabe ressaltar que o Ministério da Saúde, por meio do Departamento de Informática do Sistema Único de Saúde (Datasus), segue investigando o que motivou o incidente para solicitar as devidas providências.”
Nesta terça-feira (8/12), em audiência pública na Câmara dos Deputados, convocada pelo deputado federal e ex-ministro da Saúde Alexandre Padilha (PT), parlamentares cobrarão explicações do Ministério da Saúde sobre o vazamento das informações.
A cerimônia está prevista para as 17h e tem, entre os convidados, o secretário-executivo do Ministério da Saúde, Élcio Franco, o presidente do Conselho Nacional de Saúde, Fernando Pigatto, representantes do Instituto Brasileiro de Defesa do Consumidor e do Hospital Albert Einstein.
