Vazamento em ministério: instituições públicas sabem lidar com dados sensíveis?

No último dia 10, o site do Ministério da Saúde e, especialmente, o serviço de Conect-SUS, utilizado pelos cidadãos para obtenção de informações sobre o Certificado Nacional de Vacinação de Covid-19, exigido para acesso a diversos locais públicos, ficaram indisponíveis. A página na web passou a exibir um aviso afirmando que o site teria sofrido o ataque de um ransomware e que os dados teriam sido copiados e excluídos pelos hackers que passaram a assumir a página. Além disso, as informações antes disponibilizadas no aplicativo do governo ficaram indisponíveis, principalmente as referentes à vacinação.

A Autoridade Nacional de Proteção de Dados (ANPD) lançou nota para a imprensa informando que o incidente de segurança já estava sendo acompanhado e que o Ministério da Saúde já teria sido notificado para prestar esclarecimentos, nos termos da Lei Geral de Proteção de Dados (LGPD). Ademais, explicou que o Gabinete de Segurança Institucional (GSI) e a Polícia Federal teriam sido contatados para que possam realizar a devida investigação e fiscalização do ocorrido.

Desde o início da pandemia, o Ministério da Saúde já esteve envolvido em ao menos um outro acidente de segurança que resultou no vazamento de dados pessoais sensíveis de diversos cidadãos. Em novembro de 2020, foi apurado que um funcionário do Hospital Albert Einstein que participa do Projeto Proadi-SUS, em que são realizadas trocas de informações entre o sistema de saúde público e hospitais privados para aprimoramento do sistema, teria exposto dados de cerca de 16 milhões de pacientes que teriam passado por algum tratamento ou teste relacionado com a Covid-19.

Na época, foi citado que estaria sendo feito um rastreamento de possíveis sites onde os dados teriam sido replicados e que a tabela, cujo login e senha foram postados indevidamente pelo funcionário do Hospital Albert Einstein, teria sido apagada e não estaria mais disponível. No entanto, não foram apresentadas explicações plausíveis ou quais seriam os dados vazados ao público.

Os dois incidentes citados colocam em foco a dificuldade e a ausência de sistemas de segurança fortes no Ministério da Saúde. Os dados tratados são todos caracterizados como sensíveis, nos termos do artigo 5º, II, da LGPD, por envolverem informações sobre a saúde dos titulares. Desse modo, os agentes de tratamento deveriam, ao menos, fornecer um sigilo e segurança desses dados de uma forma mais abrangente, diante do caráter das informações, o que não se observa na prática.

Incabível dizer que o Ministério da Saúde não pode realizar o tratamento dessas informações, pois pautada em efetivo embasamento legal, inclusive para fins de execução de políticas públicas. Porém, questiona-se sobre quais são os riscos em que os cidadãos estão expostos e como a ANPD deve passar a atuar para impedir que esses incidentes sejam tão recorrentes e que o Ministério da Saúde, assim como qualquer outro agente que realiza tratamento de dados, seja responsável pela restauração dos danos causados. Para tanto, é imprescindível que a ANPD atue de forma a conscientizar os agentes de tratamento sobre métodos para evitar os riscos e danos à privacidade dos titulares.

Questiona-se ainda a ausência de transparência sobre as informações que foram disponibilizadas aos hackers, uma vez que o pronunciamento do Ministério da Saúde apenas informou que os dados estariam em backup do órgão. Os dados pessoais sensíveis envolvem a possibilidade de discriminação e devem ser mantidos com a devida segurança e privacidade. Dessa forma, os impactos desse vazamento são enormes e, por isso, é tão importante o controle sobre quais dados foram afetados.

Cada vez mais, as autoridades públicas recebem ataques direcionados em relação aos seus sites, o que coloca em risco a segurança da informação. Caberá à ANPD, agora estabelecida e com capacidade de aplicação de multas e determinação de ações, utilizar esse vazamento como exemplo de prática indevida e impor as consequências cabíveis.

A proteção aos dados pessoais é medida prioritária e envolve, justamente, a privacidade dos cidadãos. Independentemente de estarmos lidando com órgãos públicos ou organizações privadas, o tratamento pela ANPD deve ser igualitário e as práticas adotadas pelo Ministério da Saúde devem ser apuradas. Não há como os cidadãos lidarem recorrentemente com essas falhas na segurança, observando o vazamento dos seus dados, sem qualquer atitude devida.

Informações sobre os incidentes de segurança também devem ser divulgadas, inclusive de acordo com as possíveis sanções previstas no artigo 52 da LGPD, a fim de que outras entidades que realizam o tratamento de dados possam melhor se proteger. Além disso, o retorno do site e a apuração sobre quem são os envolvidos também é muito relevante para a sociedade e deve ser também divulgada.

Caso não sejam adotadas as devidas medidas, continuaremos a ter um vazamento de dados pessoais sensíveis, em desconformidade com a LGPD, sem que nada seja efetivamente realizado, cabendo apenas aos cidadãos lidarem com essas informações divulgadas, sem receber qualquer ressarcimento pelos seus danos, o que viola todo o nosso ordenamento jurídico atual. Atitudes para minimização de riscos e danos devem ser fortemente reforçadas por parte da ANPD, com apuração de responsabilidades e indicação de salvaguardas adicionais para garantir o reforço da cultura de proteção de dados pessoais ainda incipiente no Brasil.