top of page
Buscar

O que podemos aprender com o vazamento de dados do Ministério da Saúde

  • Foto do escritor: Flávio Goulart
    Flávio Goulart
  • 1 de dez. de 2020
  • 4 min de leitura

Na semana passada, nos deparamos com mais um acidente de segurança da informação. Dados como nome, endereço, e-mail e condição de saúde de 16 milhões de brasileiros que fizeram o teste, foram diagnosticados ou internados em decorrência do novo Coronavírus, incluindo do nosso presidente da República, ficaram expostas por quase 1 mês, desde o dia 28 de outubro de 2020.


Um funcionário do Hospital Albert Einsten, que tinha acesso aos bancos de dados do Ministério da Saúde, visto que o hospital e o Ministério trabalham em projeto conjunto, foi negligente ao publicar uma lista com usuários e senhas de acesso de funcionários em um site público. Ele tinha a intenção de compartilhar o conteúdo de forma temporária, mas esqueceu de apagar.


A partir do ocorrido, no dia 26 de novembro (26/11/20, quinta-feira), o Idec, ONG de Defesa do Consumidor, protocolou pedido de abertura de inquérito junto ao Ministério Público Federal, para investigação das falhas ocorridas nas medidas de controle e segurança da informação.


"Mais uma vez nos deparamos com falhas graves de segurança que podem ter gerado prejuízo ou ainda prejudicar uma grande quantidade de brasileiros. Vemos que nem mesmo um sistema do governo que armazena dados de saúde, que deveria ser exemplo pela natureza dessas informações, está seguro. É outro exemplo que alerta para a necessidade de que tanto o setor público como privado invistam mais para proteger consumidores", alerta Bárbara Simão, advogada e especialista em direitos digitais do Idec.


O tipo de incidente que aconteceu é enquadrado como “falha humana”, pois teve relação direta com uma ação/omissão do trabalhador, que inclusive foi demitido. E não é surpresa, já que foi um acidente extremamente grave. Esses dados são enquadrados na LGPD como dados sensíveis, que podem levar à discriminação de uma pessoa e causar danos a direitos e liberdades dos indivíduos e, por isso, a LGPD dá um tratamento mais restritivo a eles. Dados referentes à saúde são exemplo.


A nova Lei Geral de Proteção de dados dispões em seu artigo 42, caput que: “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”. Em seus incisos, o mesmo artigo alerta que a responsabilidade existente entre controlador e operador é solidária, ou seja, em caso de eventual condenação, o valor da indenização poderá ser cobrado integralmente de qualquer um deles. No presente caso, o Ministério da Saúde se enquadra como controlador dos dados pessoais, o hospital é terceiro operador com quem os dados foram compartilhados para que fossem tratados por seus funcionários.


Outros tipos de sanções que poderiam ser aplicadas nesses casos são as sanções administrativas, mas essas só começarão a ser aplicadas em agosto de 2021.


Além disso, em seu artigo 46, a Lei diz que: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.


Dito isso, vamos aproveitar o ocorrido para tirar algumas lições. O que poderia ter sido feito diferente para que o vazamento não ocorresse?


- Anonimização dos dados: nesse caso, poderia ter sido feita a anonimização dos dados presentes no banco de dados antes de seu compartilhamento. Nesse caso, os dados ficariam expostos da mesma maneira no site, mas não saberíamos a quem se referem. Concordamos que as sequelas do incidente teriam sido infinitamente menores?

- Capacitação dos colaboradores pelo órgão/empresa: devem ser feitas ações educativas como a capacitação e o treinamento dos colaboradores em relação às políticas e práticas de proteção de privacidade.

- Atenção do órgão/empresa: é necessário conhecer o fluxo dos dados que transitam internamente, dando atenção especial aos dados sensíveis. Além disso, os requisitos e diretrizes de segurança da informação devem ser seguidas por eles.

- Utilização de sistemas, processos e programas seguros: para que não ocorram incidentes técnicos, ou seja, ocorridos sem a participação do ser humano. Além disso, a utilização de senhas de acesso é forte recomendação, mas somente deveriam ter acesso a elas os funcionários que têm a real necessidade desse tipo de informação para o exercício de seus trabalhos.

- Ter regras de boas práticas e governança bem estruturadas: para serem estabelecidas “as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais”, conforme o caput do artigo 50 da LGPD.

- Prevenção: o princípio do Privacy By Design determina que o órgão/empresa deve ter incorporado a ideia da proteção da privacidade, focando sempre na prevenção, afinal, é preciso minimizar ao máximo os riscos existentes.

- Elaborar um plano de contingenciamento: em caso de vazamento de dados, será de grande valia ter um plano de contingenciamento bem definido.



Como agir em caso de incidentes de segurança

Eventos como esse que tratamos aqui não deveriam acontecer, mas acabam, eventualmente, ocorrendo. Por isso é importante saber o que fazer nesses casos.

Incidentes de segurança devem ser registrados e comunicados à Autoridade Nacional de Proteção de Dados (ANPD) e ao Conselho Nacional de privacidade, órgãos estes que ainda precisam ser regulamentados. Devem informar a natureza dos dados pessoais afetados; informações sobre as pessoas envolvidas; as medidas mitigadoras e de segurança utilizadas para a proteção dos dados; os riscos envolvidos no acidente; e, caso a comunicação não seja feita imediatamente, as razões da demora.


Faz pouco tempo que A LGPD entrou em vigor, mais precisamente no dia 18 de setembro desse ano. As pessoas, órgãos e empresas ainda podem não ter percebido a mudança de mentalidade que precisam fazer em relação a essa nova cultura de proteção das informações que estamos vivenciando. É necessário ficarmos atentos às disposições da legislação e aos padrões nacionais e internacionais de segurança da informação. Para estarmos em compliance com a Lei, todos os protocolos de segurança devem ser seguidos, de modo a evitar penalidades que, no caso da LGPD, podem chegar a 2% do faturamento bruto até R$ 50 milhões (por infração).


Quer saber mais sobre a LGPD? Clica no Link: https://www.fmgcons.com.br/lgpd.


Elaborado por: Karoline Martins, Legal Advisor

Revisado por: FMG Consulting

 
 
 

Comments

bottom of page