Por uma falha no armazenamento de dados sensíveis no site do Ministério da Saúde, login e senha de acesso de milhões de brasileiros ficaram expostos na internet no início de dezembro.
Todos os brasileiros com cadastro no Sistema Único de Saúde (SUS) ou beneficiários de planos de saúde tiveram seus dados pessoais e sensíveis expostos, como nome completo, CPF, endereço e telefone.
A conjectura é a de que os dados de mais de 243 milhões de indivíduos foram expostos. Atente para o fato de que o número é maior do que as estimativas das populações residentes nos 5.570 municípios brasileiros, com data de referência em 1º de julho de 2020. Nessa data, a população do Brasil chegou a 211,8 milhões de habitantes. Essa diferença é relativa às informações de pessoas já falecidas, mas que ainda são mantidas nos cadastros governamentais. Um agravante é que o sistema de livre consulta esteve disponível por, pelo menos, seis meses.
De acordo com a LGPD, é o controlador que detém o poder decisório sobre os dados, sendo o responsável pelo seu tratamento e por eventuais incidentes de segurança. A ele incumbe todo o ônus de garantir transparência e comunicação com o titular dos dados, além do dever de orientar o operador sobre como desempenhar suas atividades quando o dado pessoal for compartilhado.
O controlador nesse caso específico é o próprio Ministério da Saúde.
Incidentes de Segurança
Notícias sobre vazamento de dados têm sido corriqueiras e sobre circunstâncias como essa a Lei Geral de Proteção de Dados exige que o controlador, em caso de incidente de segurança, especialmente com potencial de risco ou lesivo aos titulares de dados, comunique a esses titulares e à autoridade nacional a respeito.
Essa comunicação, conforme exigência da lei, deve ser realizada em prazo razoável e deverá conter, no mínimo, a natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação de medidas mitigadoras e de segurança utilizadas para a proteção dos dados, os riscos envolvidos no acidente e, caso a comunicação não seja imediata, as razões da demora.
A LGPD, porém, não define o que seria considerado um “incidente de segurança” e não delimita o que seria um incidente com potencial de risco, deixando tais parâmetros para a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
Para efeitos de comparação, no caso da GDPR há uma definição legal do que seja considerado Incidente de Segurança, o que seja: “violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.
Na Europa, a GDPR obriga as empresas a reportarem incidentes de segurança dentro de 72 horas após a sua descoberta. Nossa norma também obriga que as empresas prestem contas sobre vazamentos de informações, mas determina que seja “em prazo razoável”. A Autoridade Nacional de Proteção de Dados, em fase de implementação, ainda especificará a expressão.
Plano de Respostas a Incidentes de segurança
Todos os atores que armazenam dados pessoais, inclusive instituições de ensino, são potenciais alvos de ataques e violações de segurança; por isso é importante que definam planos de ação e se preparem para um eventual incidente de segurança. Essa iniciativa é o Plano de Respostas a Incidentes.
Ele descreve como uma organização deverá lidar com um incidente de segurança de TI, seja um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos.
A ideia é minimizar os danos que podem ser causados, reduzir o tempo de ação e os custos de recuperação. Isso é feito por meio de um documento interno da instituição, que deve ser amplamente conhecido por todos os funcionários e que dispõe sobre as medidas que devem ser tomadas no caso de um Incidente de Segurança em Dados Pessoais.
É claro que uma equipe especializada deve imediatamente ser acionada para agir rapidamente no caso de vazamentos de dados ou outro tipo de ataque aos sistemas, sem esquecer da atenção às questões legais. O ideal é que planos de segurança sejam desenvolvidos pela área de TI com assessoria de membros da área jurídica.
Toda e qualquer instituição deve ter sua própria política de segurança, assim como deve ter sua maneira de lidar com incidentes sob a perspectiva legal. Em se tratando de órgãos do governo - no caso, entidade da administração direta do governo federal - espera-se seriedade absoluta em ambos os aspectos.
Notícias
Essa não foi a primeira vez que dados como estes foram vazados. A imprensa, em novembro de 2020, já havia denunciado a vulnerabilidade do sistema e o vazamento de senhas de acesso e dados sensíveis de 16 milhões de brasileiros que foram submetidos a testes para Covid-19, inclusive de inúmeras autoridades públicas do Executivo e Legislativo.
“Ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde.
Entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, estão o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria (PSDB), e mais 16 governadores, além dos presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).” Fonte: Estadão
No caso ocorrido em novembro, a exposição de dados não foi causada por ataque hacker ou por falha de segurança do sistema. Os dados, em poder da instituição em razão de um trabalho em conjunto com o Ministério da Saúde, ficaram abertos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por Covid nos 27 Estados. Um erro bastante grave.
No caso da exposição dos dados dos brasileiros cadastrados no SUS ou beneficiários de planos de saúde, a exposição de dados se deu em razão do uso inadequado/criminoso de uma falha do código no site.
De acordo com o Canaltech, houve uma exposição de credenciais de acesso ao sistema, com login e senha aparecendo no código fonte do site de notificações sobre a pandemia. Qualquer pessoa poderia ter acesso a tais informações por meio de recursos do navegador. Os dados estavam codificados, mas ferramentas gratuitas, facilmente encontradas na internet, poderiam decodificá-las.
O Ministério da Saúde anunciou estar apurando o incidente para localizar a responsabilidade sobre a exposição da base de dados e afirmou possuir protocolos de segurança e proteção que são constantemente avaliados e aprimorados. O sistema foi desenvolvido por uma empresa terceirizada, que não se pronunciou sobre o assunto.
Enfim, grandes corporações multinacionais e sites governamentais já passaram por vazamentos de informações confidenciais e todos os segmentos que armazenam dados são atraentes para ataques do tipo. Pequenas empresas também sofrem investidas e, ainda que sejam de menor escala, podem causar efeitos negativos de maior proporção.
A busca por soluções e cuidados diários para manter-se longe das ameaças, adotando medidas de prevenção, orientação para os colaboradores/funcionários públicos e, posteriormente, ter um plano de combate aos atentados é indispensável e urgente. Faz parte, pois, dos passos que as instituições - inclusive as de ensino - precisam dar para estar em conformidade com a LGPD, que tem como um de seus pilares centrais a implementação de medidas de segurança da informação.
Saiba mais a respeito em nossa série de textos sobre a LGPD
Gostou deste artigo? Faça parte de nossa lista de e-mail para receber regularmente textos como este e notícias de seu interesse. Fazendo seu cadastro você também pode receber mais informações sobre nossos cursos.
Nos próximos 02 e 04 de fevereiro, às 10h, faremos encontros virtuais síncronos para discutir "Aspectos jurídicos da educação 2021". Serão dois módulos para contemplar o ensino remoto, a responsabilidade civil e os contratos educacionais. Saiba mais a respeito e inscreva-se!