O jornal O Estado de S. Paulo noticiou em menos de uma semana dois casos graves de riscos para a segurança de dados de brasileiros em sistemas do Ministério da Saúde. O primeiro, na semana passada, relata que que o vazamento de uma senha de acesso a duas plataformas do governo, usadas em uma parceria entre o Hospital Albert Einstein e o Ministério da Saúde para um projeto no âmbito do Proadi-SUS, expôs na internet informações pessoais e de saúde de cerca de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19. 

Nesta quarta-feira (02) foi divulgado uma nova falha de segurança deixou expostos, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. Desta vez ficaram abertas para consulta as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde. 

No mesmo dia do primeiro vazamento ser anunciado, o Idec (Instituto Brasileiro de Defesa do Consumidor) protocolou uma representação junto ao Ministério Público Federal solicitando a abertura de inquérito para investigar falhas em medidas de controle e segurança digital dos responsáveis. 

“Mais uma vez nos deparamos com falhas graves de segurança que podem ter gerado prejuízo ou ainda prejudicar uma grande quantidade de brasileiros. Vemos que nem mesmo um sistema do governo que armazena dados de saúde, que deveria ser exemplo pela natureza dessas informações, está seguro. É outro exemplo que alerta para a necessidade de que tanto o setor público como privado invistam mais para proteger consumidores”, alerta Bárbara Simão, advogada e especialista em direitos digitais do Idec.

No Brasil, a Lei Geral de Proteção de Dados começou a vigorar em 18 de setembro deste ano. Ela regulamenta o tratamento de dados pessoais por parte de empresas públicas e privadas e determina que qualquer banco de dados que incluir em sua base informações de seus consumidores, por mais básicas que sejam —como nome e email—, deve seguir os procedimentos da nova lei. Saiba mais no especial do Idec.

No documento ao Ministério Público Federal, o Idec ressalta que ”a gravidade do incidente surpreende pela ausência de cuidados básicos relacionados à segurança das informações armazenadas”. Entre os principais pontos destacados estão o fato de existir uma tabela com logins, usuários e senhas de funcionários; a não aplicação de medidas de segurança básicas como autenticação em dois fatores, utilizada em larga escala mesmo para acesso a aplicações como e-mail; e o fato de que nenhum outro critério de segurança rigoroso tenha sido adotado, especialmente considerando-se a sensibilidade dos dados e os riscos de exposição relacionados.

Em casos de vazamento o Idec defende que o responsáveis devem agir com total transparência e informar os cidadãos afetados pelo vazamento dos riscos de terem seus dados expostos na internet. 

Nestes casos, ainda não houve por parte dos responsáveis pelo banco de dados essa comunicação direta com os consumidores. Por isso, o Idec faz algumas recomendações para quem teve caso confirmado ou diagnóstico suspeito de Covid-19, após um caso de vazamento de dados como esses:

• Confira nos próximos dias se recebeu alguma notificação de empresa ou instituição informando que você teve seus dados vazados.
• Se o caso for positivo, se atente às recomendações da empresa e cobre dela informações precisas sobre o vazamento e as medidas que ela está tomando para te proteger. 
• Tenha sempre atenção com qualquer ligação que peça informação ou confirmação de dados pessoais. Neste caso, tenha mais atenção ainda com o recebimento de mensagens de empresas ligadas ao setor de saúde (como operadoras de planos de saúde ou corretores). Se desconfiar que quem te contatou possui alguma informação pessoal ou de saúde de que ela não deveria ter conhecimento, você deve procurar um órgão de proteção aos consumidores para denunciar.
• Isso também vale para outras ligações suspeitas com pedido de fornecimento de mais informações. Desconfie sempre!
• Se sofrer qualquer dano moral ou material como consequência do vazamento de seus dados - por exemplo, se seus dados forem utilizados em operações comerciais e isso lhe cause prejuízo financeiro -, também entre em contato com a empresa que foi objeto do vazamento de dados para receber suporte. Caso não tenha seus direitos respeitados, você pode denunciar a empresa nos canais oficiais como os Procons, consumidor.gov.br, ou agência reguladoras, ou ainda tomar as medidas legais para a reparação de danos.