Um gigantesco vazamento de dados na pandemia

Analista do Hospital Albert Einstein é pivô do caso que deixou 16 milhões de brasileiros com dados expostos por quase um mês

Este texto faz parte da nossa newsletter do dia 26 de novembro. Leia a edição inteira.
Para receber a news toda manhã em seu e-mail, de graça, clique aqui.

Uma denúncia feita ao Estadão expõe uma gigantesca falha na segurança das informações pessoais dos brasileiros na pandemia que afeta, inclusive, o presidente Jair Bolsonaro. No total, 16 milhões ficaram por quase um mês com dados como CPF, endereço, telefone e doenças pré-existentes abertos para quem quisesse ver.

A história é a seguinte: Wagner Santos, cientista de dados do Hospital Albert Einstein, publicou na plataforma GitHub uma lista com logins e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid em todo o país. Assim, desde o dia 28 de outubro, qualquer um que se atentou para isso na rede voltada para programadores pôde acessar os registros lançados em dois sistemas federais: o E-SUS-VE, no qual são notificados casos suspeitos e confirmados da doença quando a pessoa apresenta quadro leve ou moderado, e o Sivep-Gripe, em que são registradas todas as internações por Síndrome Respiratória Aguda Grave (SRAG). 

Alguns desses registros tinham informações do prontuário, como medicamentos administrados durante a hospitalização. Dá para saber, por exemplo, quem usou hidroxicloroquina. 

Eduardo Pazuello foi uma das muitas figuras públicas expostas: a repórter Fabiana Cambricoli conseguiu ver até em que andar do Hospital das Forças Armadas ele ficou internado e qual foi o profissional que lhe deu alta. Dentre as autoridades afetadas estão 17 governadores e os presidentes da Câmara Rodrigo Maia (DEM-RJ) e do Senado, Davi Alcolumbre (DEM-AP).

E por que Wagner Santos tinha acesso a esse tipo de informação? Porque o Einstein é um dos hospitais de elite caracterizados como “filantrópicos de excelência” que, em troca de isenção fiscal, faz projetos para o Ministério da Saúde no âmbito do Proadi, o Programa de Apoio ao Desenvolvimento Institucional do SUS… 

Foi só depois do contato com a reportagem que as chaves de acesso expostas foram trocadas. O Ministério está rastreando na internet endereços onde os dados podem ter sido replicados.

Segundo o advogado Juliano Madalena, tanto o funcionário e o hospital privado quanto a pasta podem ser processados por dano coletivo, já que a Lei Geral de Proteção de Dados diz que é dever de quem controla e acessa esse tipo de informação evitar vazamentos. Neste caso, o vazamento parece ter sido ativamente promovido. 

Gostou do texto? Contribua para manter e ampliar nosso jornalismo de profundidade: OutrosQuinhentos