PUBLICIDADE
Topo

Idec aciona MP para investigar vazamento de dados de pacientes de covid-19

Dados de brasileiros que tiveram a covid-19 estão na lista do vazamento.  - Getty Images
Dados de brasileiros que tiveram a covid-19 estão na lista do vazamento. Imagem: Getty Images

Bruna Souza Cruz

De Tilt, em São Paulo

27/11/2020 14h47

O Idec (Instituto Brasileiro de Defesa do Consumidor) oficializou um pedido para que o Ministério Público Federal investigue a exposição indevida de dados de ao menos 16 milhões de pessoas que tiveram diagnóstico suspeito ou confirmado de covid-19 no Brasil.

A falha de segurança ocorreu após um vazamento de senhas de duas plataformas do governo federal, usadas em uma parceria entre o Hospital Albert Einstein e o Ministério da Saúde. As informações de brasileiros estiveram públicas durante quase um mês.

O pedido de abertura de inquérito foi protocolado pelo Idec na quinta-feira (26).

    "Mais uma vez nos deparamos com falhas graves de segurança que podem ter gerado prejuízo ou ainda prejudicar uma grande quantidade de brasileiros. Vemos que nem mesmo um sistema do governo que armazena dados de saúde, que deveria ser exemplo pela natureza dessas informações, está seguro", destacou o Idec, em comunicado sobre o pedido de abertura do inquérito.

    Para o instituto de defesa do consumidor, "a gravidade do incidente ainda surpreende pela ausência de cuidados básicos relacionados à segurança das informações armazenadas".

    No pedido feito ao Ministério Público, o Idec pede que o órgão peça esclarecimentos sobre:

    • A parceria entre o hospital privado e o governo federal para o manejo dos dados pessoais coletados
    • A política de segurança adotada no compartilhamento desses dados
    • Medidas tomadas para contenção do vazamento e reparação imediata dos usuários atingidos

    O Ministério da Saúde afirmou ontem que iniciou um processo de apuração dos fatos, e que estava adotando medidas para conter um possível vazamento de arquivos.

    Entenda o caso

    Segundo reportagem do jornal "O Estado de S. Paulo", a violação de privacidade não foi causada por nenhum ataque hacker ou falha de sistema.

    O que ocorreu foi que um funcionário do Hospital Albert Einstein divulgou na internet uma lista com usuários e senhas que permitiam acesso aos bancos de dados que reúnem informações de pessoas testadas e diagnosticadas com covid-19 em todo o Brasil.

    Em posse das senhas, era possível ter acesso a dados como CPF, endereço, telefone e doenças pré-existentes (como diabetes, câncer e HIV). O presidente Jair Bolsonaro (sem partido) e familiares estão na lista de brasileiros afetados pela exposição indevida.

    Os sistemas envolvidos são o E-SUS-VE e o Sivep-Gripe. O primeiro armazena casos suspeitos e confirmados da doença quando o paciente tem quadro leve ou moderado. O segundo registra todas as internações por Síndrome Respiratória Aguda Grave (SRAG).

    O Ministério da Saúde destacou ontem, em nota, que os dados contidos nos sistemas do governo não são de fácil acesso. "Apenas login e senha não são suficientes para se chegar às informações contidas nos bancos de dados - e sim um conjunto de fatores técnicos", disse.

    Os pontos críticos da falha de segurança, segundo o Idec, são:

    • A existência de uma tabela de logins, usuários e senhas de funcionários
    • Não aplicação de medidas de segurança básicas como autenticação em dois fatores
    • Nenhum outro critério de segurança rigoroso ter sido adotado

    Para o Instituto, o Ministério da Saúde e o Hospital Albert Einstein devem tomar as medidas que estejam dentro das regras da LGPD (Lei Geral de Proteção de Dados) e do Código de Defesa do Consumidor.