TCU cobra do Ministério da Saúde 'liderança' e explicações sobre testes encalhados [TCU anda a reboque do noticiário e cobra assunto já resolvido, tempestivamente, pelo Ministério da Saúde.]
Entre
as pessoas que tiveram a privacidade violada, com exposição de
informações como CPF, endereço, telefone e doenças pré-existentes, estão
o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria (PSDB), e mais 16 governadores, além dos presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).
A
exposição de dados não foi causada por ataque hacker nem por falha de
segurança do sistema. Eles ficaram abertos para consulta após um
funcionário do Hospital Albert Einstein divulgar
uma lista com usuários e senhas que davam acesso aos bancos de dados de
pessoas testadas, diagnosticadas e internadas por covid nos 27 Estados.
Conforme o Einstein, o hospital tem acesso aos dados porque está
trabalhando em um projeto com o ministério.
Com essas senhas, era
possível acessar os registros de covid-19 lançados em dois sistemas
federais: o E-SUS-VE, no qual são notificados casos suspeitos e
confirmados da doença quando o paciente tem quadro leve ou moderado, e o
Sivep-Gripe, em que são registradas todas as internações por Síndrome
Respiratória Aguda Grave (SRAG), ou seja, os pacientes mais graves.
A exposição dos dados foi descoberta pelo Estadão após
uma denúncia recebida pela reportagem com o link para a página onde as
senhas dos sistemas estavam disponíveis. A planilha com as informações
foi publicada em 28 de outubro no perfil pessoal de Wagner Santos,
cientista de dados do Einstein, na plataforma github, usada por
programadores para hospedar códigos e arquivos.
A reportagem acessou o sistema para checar a veracidade dos dados. Ao
verificar que as senhas eram válidas, buscou registros de autoridades
que já haviam divulgado publicamente diagnóstico ou suspeita de covid e
confirmou que os dados estavam corretos. Os bancos de dados do ministério trazem, além das informações pessoais dos pacientes, detalhes considerados confidenciais sobre o histórico clínico, como a existência de doenças ou condições pré-existentes, entre elas diabete, problemas cardíacos, câncer e HIV.
Alguns
registros de pacientes internados traziam até informações do
prontuário, como quais medicamentos foram administrados durante a
hospitalização. No registro de Pazuello, por exemplo, era possível saber
em qual andar do Hospital das Forças Armadas ele ficou internado e qual
profissional deu baixa em sua internação.Tanto pacientes da
rede pública quanto da privada tiveram seus dados expostos. Isso porque a
notificação de casos suspeitos ou confirmados de covid ao Ministério da
Saúde é obrigatória a todos os hospitais.
Para o advogado
Juliano Madalena, professor de Direito Digital e fundador do fórum
direitodigital.io, o vazamento das senhas e exposição dos dados que
deveriam ser resguardados pelo poder público é preocupante. De acordo
com o especialista, as informações podem ser usadas para fins comerciais
por diferentes empresas. “Dados de saúde podem ser usados por empresas
do ramo que queiram criar produtos específicos voltados para um público,
por empresas de seguro de vida ou planos de saúde de forma indevida,
muitas vezes até com aspecto discriminatório, pois você tem as
informações sobre o histórico de saúde da pessoa”, diz.
O
advogado diz que, considerando a Lei Geral de Proteção de Dados, é dever
de quem controla e acessa os dados adotar medidas que evitem
vazamentos. Nesse caso, tanto o Einstein e seu funcionário quanto o
Ministério da Saúde podem ser responsabilizados por dano coletivo por
terem exposto informações de milhões de pessoas. Mesmo quando não agem
de forma proposital, responsáveis por vazamento de dados pessoais e
sensíveis podem ser obrigados judicialmente a pagar indenizações por
dano coletivo.
Ministério da Saúde e Einstein vão investigar responsabilidade Após serem comunicados pelo Estadão sobre o vazamento das senhas de sistemas federais, o Hospital Albert Einstein e o Ministério da Saúde disseram que as chaves de acesso foram removidas da internet e trocadas nos sistemas, informações confirmadas pela reportagem. Afirmaram ainda que uma investigação interna será aberta pelo Einstein para apurar as responsabilidades.
O Einstein
afirmou que foi comunicado somente na tarde de ontem, após contato da
reportagem, que “um colaborador teria arquivado informações de acesso a
determinados sistemas sem a proteção adequada”. O hospital diz ter
comunicado o Ministério da Saúde para que “fossem tomadas as medidas
para assegurar a proteção das referidas informações”.
O Einstein
afirmou ainda que todos os seus funcionários passam por treinamento de
segurança digital e que “tomará as medidas administrativas cabíveis”.
Questionado sobre o tipo de serviço que prestava para o ministério, o
hospital informou que trata-se de um projeto do Programa de Apoio ao
Desenvolvimento Institucional do Sistema Único de Saúde (Proadi-SUS) em
que dados epidemiológicos eram usados para fazer análise preditiva da
pandemia.
A reportagem questionou a instituição o motivo de ela
ter acesso aos dados pessoais e não apenas informações sem identificação
e foi informada que o banco de dados não fica disponível para o
Einstein e somente ao funcionário do hospital que ficava baseado no
próprio Ministério da Saúde.Já o órgão federal confirmou a
parceria e disse que realizou reunião com o Einstein para esclarecimento
dos fatos. Disse que o profissional Wagner Santos, que publicou as
senhas, é contratado pelo Einstein e atua no ministério desde setembro
como cientista de dados. “No âmbito das medidas de segurança do
ministério e em atendimento aos protocolos de compliance e
confidencialidade, ele assinou termo de responsabilidade antes do acesso
à base de dados do e-SUS Notifica”, disse a pasta federal.
De
acordo com o ministério, o Einstein confirmou que houve falha humana de
um dos seus colaboradores - e não do sistema e informou que iniciou
processo de apuração dos fatos. O órgão disse que está realizando “o
rastreamento de possíveis sites ou ciberespaços onde os dados podem ter
sido replicados”.
A pasta disse também que o Departamento de
Informática do SUS (DataSUS) revogou imediatamente todos os acessos dos
logins e das senhas que estavam contidos na referida planilha divulgada
pelo funcionário do Einstein. “O Ministério da Saúde ressalta que todos
os técnicos que têm acesso aos seus sistemas de informação assinam termo
de responsabilidade para uso das informações e todos estão cientes de
que a divulgação de informações pessoais está sujeita a sanções penais e
administrativas.”
Também procurado pela reportagem, o
funcionário Wagner Santos, do Einstein, confirmou que publicou a
planilha de senhas em seu perfil na plataforma github para a realização
de um teste na implementação de um modelo, porém esqueceu de remover o
arquivo da página pública.
:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/estadao/IZUMESCDSJFE3FIACVKJWUOVZY.jpg)
