O Estadão divulgou, hoje (26/11), notícia sobre vazamento de dados no Ministério da Saúde.
Pelo menos 16 milhões de brasileiros que tiveram diagnóstico suspeito, confirmação ou internação devido à Covid-19 ficaram com dados pessoais e médicos expostos na Internet por quase um mês.
Dados como nome, CPF, endereço e telefone, além de dados sensíveis como histórico de doenças pré-existentes foram expostos no vazamento.
No caso de pacientes internados, constavam até prontuários médicos, com medicação prescrita para tratamento da doença e nome dos hospitais onde foram internados.
O nome de políticos como o do presidente Jair Bolsonaro, do próprio Ministro da Saúde, do Governador de São Paulo, do presidente da Câmara e do Senado também foram expostos.
Entendendo o caso
Curiosamente, o vazamento não se deve a um ataque Hacker, como o que aconteceu recentemente no STJ, mas por falha humana e operacional e falta de uma política efetiva de tratamento de dados.
Os dados ficaram abertos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso a banco de dados de pessoas testadas, diagnosticadas e internadas por Covid-19.
A senha dava acesso a vários sistemas de notificação de doenças do Governo Federal.
Uma planilha dos dados com as senhas foi postada por um funcionário do Hospital na plataforma Github, sistema open source para negócios, usada comumente por programadores.
Após denúncia, a reportagem do Estadão entrou no sistema e verificou que as senhas eram válidas e, de fato, davam acesso ao sistema.
Falta de política de proteção de dados
O Estadão procurou o Hospital Albert Einstein e o MInistério da Saúde para entender o que teria acontecido.
Analisando as respostas dadas à reportagem do ponto de vista jurídico da proteção de dados, todas elas são preocupantes.
O Hospital alegou que existe um programa de treinamento de segurança digital para seus funcionários e que já foram tomadas medidas para assegurar a segurança dos dados vazados.
Mas é bom lembrar que o vazamento durou quase um mês.
Já o Ministério da Saúde alegou “falha humana” do funcionário do Hospital que trabalhava interinamente no órgão federal.
A reportagem também procurou o funcionário, que alegou que publicou os dados na plataforma pública como teste de implementação de um modelo e se esqueceu de remover o arquivo da página.
Percebe-se que de nenhuma das partes envolvidas há uma política clara de proteção de dados.
O compliance de proteção de dados deve ser uma preocupação crescente de empresas, organizações e entidades de caráter público ou privado para o ano de 2021.
Empresas e Poder Público vão ter que se adaptar às novas exigências da Lei Geral de Proteção de Dados Pessoais, vigente no país desde setembro de 2020, se quiserem evitar situações como a relatada nesta publicação.
Fonte: Estadão