Destaque

Vazamento no Ministério da Saúde expõe dados de 16 milhões de pacientes de COVID.

Lista com usuários e senhas com acesso aos bancos de dados foram divulgadas na internet por funcionário do Hospital Albert Einstein.


Durante quase um mês, um vazamento de senhas de sistemas do Ministério da Saúde deixou exposto da internet dados pessoais e médicos de ao menos 16 milhões de brasileiros que tiveram diagnósticos suspeitos ou confirmados de COVID-19. 

Os dados expostos incluíam informações como CPF, endereço, telefone e doenças pré-existentes. Entre as pessoas afetadas pelo vazamento estão inclusas o presidente Jair Bolsonaro e seus familiares; Eduardo Pazuello, ministro da Saúde; João Dória, governador de São Paulo e diversos nomes da política, como Onyx Lorenzoni, Damares Alves e Rodrigo Maia.

 

Exposição dos dados.

O incidente teria ocorrido devido à divulgação de lista com usuários e senhas, feita por um funcionário do Hospital Albert Einstein, que possibilitaram o acesso aos bancos de dados das pessoas testadas, diagnosticadas e internadas por COVID-19, em todo território nacional. 

Segundo o Hospital, a instituição possuía o acesso aos dados pois está trabalhando em projeto conjunto com o Ministério da Saúde. O projeto seria do Programa de Apoio ao Desenvolvimento Institucional do Sistema Único de Saúde (Proadi-SUS) em que dados epidemiológicos eram usados para fazer análise preditiva da pandemia.

Uma denúncia feita ao jornal Estadão informava o link onde estavam disponíveis as senhas. O jornal confirmou a veracidade da planilha que havia sido publicada em 28 de outubro, através do perfil pessoal do cientista de dados, Wagner Santos, na plataforma github.

As senhas davam acesso aos registros de COVID-19 lançados em dois sistemas federais: o E-SUS-VE, onde são notificados casos suspeitos e confirmados da doença quando o paciente tem quadro leve ou moderado. Bem como, ao Sivep-Gripe, onde são registradas todas as internações por Síndrome Respiratória Aguda Grave (SRAG).

Além das informações pessoais dos pacientes, foram vazados também históricos clínico, apresentando a existência de doenças ou condições pré-existentes, como diabetes, problemas cardíacos, câncer e HIV. Além de registros onde constavam informações de prontuários dos pacientes. 

O vazamento afetou pacientes da rede pública e privada, visto a obrigatoriedade de todos os hospitais de notificar casos suspeitos ou confirmados de COVID-19 ao Ministério da Saúde.

Após ser comunicado através do jornal Estadão sobre o vazamento das senhas de sistemas federais, o Hospital Albert Einstein e o Ministério da Saúde informaram que as chaves de acesso haviam sido removidas da internet e trocadas nos sistemas. O Departamento de Informática do SUS (DataSUS) revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha divulgada pelo funcionário do Einstein. 

 

E a LGPD?

A violação de dados vai ao encontro da nova Lei Geral de Proteção de Dados (LGPD), em vigor no Brasil desde setembro de 2020. Sendo responsabilidade da instituição que trata os dados, realizar o controle de acesso e criar medidas para evitar vazamentos. 

No caso em questão, tanto o Hospital e seu funcionário que vazou os dados, quanto o Ministério da Saúde podem ser responsabilizados pelos danos causados no vazamento dos dados pessoais e sensíveis, mesmo não agindo intencionalmente.

O Einstein informou ainda que uma investigação interna seria aberta para apurar as responsabilidades pelo vazamento. Segundo a instituição, todos os seus funcionários passam por treinamento de segurança digital. 

"O Ministério da Saúde ressalta que todos os técnicos que têm acesso aos seus sistemas de informação assinam termo de responsabilidade para uso das informações e todos estão cientes de que a divulgação de informações pessoais está sujeita a sanções penais e administrativas."

O funcionário do Einstein, Wagner Santos, confirmou que havia publicado a planilha de senhas em seu perfil na plataforma github para a realização de um teste na implementação de um modelo, porém havia esquecido de remover o arquivo da página pública.

Comments