As falhas na gestão dos dados pessoais não param de surgir

Depois do episódio envolvendo o Hospital Albert Einstein, ONG expõe denúncia feita em junho: Ministério da Saúde também deixou informações dos brasileiros expostas

.

Este texto faz parte da nossa newsletter do dia 30 de novembro. Leia a edição inteira.
Para receber a news toda manhã em seu e-mail, de graça, clique aqui.

Seria cômico se não fosse trágico: em 5 de junho o portal do Ministério da Saúde com os números de infecções e mortes causadas pelo novo coronavírus saiu do ar. No mesmo dia, Jair Bolsonaro sentenciava: “Acabou matéria no Jornal Nacional”. Naquela semana, o Brasil havia ultrapassado a Itália em óbitos. Agora, veio à tona que enquanto os militares aboletados na pasta se esmeravam para colocar as estatísticas debaixo do quepe, os dados pessoais dos brasileiros eram expostos graças a uma vulnerabilidade no sistema de notificação da covid-19. 

A Open Knowledge Brasil verificou o problema no dia 4 de junho e tentou entrar em contato com a Ouvidoria do SUS, mas não conseguiu por… erro no sistema. Partiu para a ouvidoria da Controladoria-Geral da União e protocolou a denúncia no dia 7, depois de ter o cuidado de registrá-la em cartório. O ministério levou dez dias para solucionar o caso – e a ONG só ficou sabendo disso porque monitorou diariamente o site vulnerável, já que a pasta nunca deu nenhuma satisfação pelos canais formais. A CGU considerou o problema solucionado depois disso, mesmo que o pedido da ONG incluísse uma auditoria para apurar a extensão do dano. Procurado pelo G1, o ministério não explicou nada. E ainda mentiu, dizendo que a denúncia recebida era anônima.  

O alerta da Open Knowledge foi o seguinte: login e senha do e-SUS Notifica estavam expostos no código de programação do sistema e poderiam ser acessados por qualquer um com conhecimentos básicos de desenvolvimento de sites. A partir disso, era possível ver nome completo, endereço, telefone, CPF e histórico clínico dos brasileiros diagnosticados com quadros leves e moderados de covid, ou com suspeita de infecção. 

A ONG acredita o sistema tenha nascido vulnerável – o que significa dizer que esses dados podem ter ficado desprotegidos ao longo de três meses. “Expor as credenciais do banco de dados no próprio código do site é um erro primário de quem desenvolveu, supervisionou e homologou a implementação do sistema”, disse Fernanda Campagnucci, diretora-executiva da Open Knowledge Brasil, em entrevista ao G1. Ao Estadão, ela resumiu: “Não estamos falando de um vazamento, estamos falando que a política de gestão da informação é falha. É como se você guardasse a chave ao lado do cofre.” 

A exposição dos dados pessoais passou a integrar a lista de problemas já extensa da crise sanitária brasileira depois que o Estadão revelou que Wagner Santos, um funcionário do Hospital Albert Einstein, publicou senhas e logins de sistemas do ministério em seu perfil do GitHub, deixando 16 milhões de brasileiros expostos. Ele tinha as credenciais por trabalhar em um projeto que o Einstein desenvolve para a pasta – o que abriu dúvidas sobre quantas pessoas têm acesso a esse tipo de informação.

Se nos pautarmos pelas contas do próprio ministério em junho, é bastante gente. Naquele mês, 8.714 pessoas tinham acesso para obter relatórios de casos suspeitos ou confirmados de covid-19 pelo e-SUS Notifica. O dado foi obtido via Lei de Acesso à Informação pela Open Knowledge Brasil que não conseguiu que a pasta explicasse quais são os seus critérios de segurança de dados pessoais.  

O Instituto de Defesa do Consumidor (Idec) acionou o Ministério Público Federal e solicitou abertura de inquérito para investigar eventuais falhas de segurança digital no caso envolvendo o, agora, ex-funcionário do Einstein. Já o deputado federal Alexandre Padilha (PT-SP) pediu que o TCU analise tanto as políticas de segurança digital do ministério quanto o contrato do órgão com o Albert Einstein que permitia a um funcionário o acesso a esses dados.