Escrever uma notícia sobre um vazamento de dados em uma organização já é algo desconfortável. Escrever uma notícia, que será dividida em duas partes, consolidando dois incidentes de privacidade, na mesma organização, beira a incredulidade. Um envolveu os dados de cerca de 16 milhões de cidadãos brasileiros; o outro, de 200 milhões. Cada dia que passa a nossa Sociedade vem tendo mais e mais contato com notícias parecidas. Cabe a nós concordarmos que não devemos nos acostumar com essas violações e precisamos, em caráter de urgência, tomar ações para mitigar esses acontecimentos.
SOBRE O INCIDENTE ENVOLVENDO DADOS DE 16 MILHÕES DE CIDADÃOS
Afinal, o que aconteceu e o que pode estar acarretando tantos vazamentos de dados em períodos tão curtos?
Ao longo de cerca de um mês, um vazamento de dados, nos sistemas do Ministério da Saúde, expôs os dados pessoais e pessoais sensíveis de pelo menos 16 milhões de cidadãos que tiveram diagnósticos de suspeita ou confirmação de COVID-19. Neste incidente de privacidade, dados pessoais como: CPF, endereço e telefone. E dados pessoais sensíveis sobre as condições de saúde destes cidadãos também foram expostos, com destaque para históricos clínicos, que apresentam a existência de doenças como: diabetes, problemas cardíacos, câncer, COVID-19 e HIV. Entende-se dados pessoais sensíveis como dados que podem ser usados para discriminar uma pessoa. Entre as vítimas deste vazamento estão pessoas como presidente da república Jair Bolsonaro, Eduardo Pazuello, ministro da saúde, João Dória, governador de São Paulo dentre outros.
O referido incidente teve origem no Hospital Israelita Albert Einstein, quando um funcionário, que é cientista de dados, divulgou no Github, plataforma usada geralmente por programadores para hospedagem de códigos e arquivos, uma lista com usuários e senhas, que permitiram o acesso a sistemas federais que registram cidadãos testados, diagnosticados e internados por COVID-19, descritos a seguir:
- E-SUS-VE: utilizado para notificar casos suspeitos e confirmados da COVID-19, quando o paciente tem quadro leve ou moderado;
- SIVEP-Gripe: no qual são registradas todas as internações por Síndrome Respiratória Aguda Grave (SRAG), ou seja, os pacientes mais graves.
Você pode estar se perguntando o que o Hospital Albert Einstein tem a ver com dados pessoais e dados pessoais sensíveis, do Ministério da Saúde, certo?
A organização estava trabalhando em conjunto com o Ministério da Saúde no Programa de Apoio ao Desenvolvimento Institucional do Sistema Único de Saúde (PROADI-SUS). No referido programa, dados epidemiológicos foram utilizados para análises preditivas da pandemia.
A publicização do tema foi feita pela jornalista Fabiana Cambricoli, do jornal O Estado de S. Paulo, em 26 de novembro de 2020, após receber denúncia. Ao contrário do vem acontecendo, desta vez, o incidente de privacidade não foi realizado por cibercriminosos. O Hospital Sírio Libanês já foi vítima de ataques desta natureza, em um passado recente.
Ao serem comunicados pelo jornal O Estado de S. Paulo, o Hospital Albert Einstein e o Ministério da Saúde informaram que as chaves de acesso haviam sido removidas da internet e trocadas por senhas mais seguras. O Departamento de Informática do SUS (DataSUS) revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha divulgada pelo funcionário do Einstein.
No último dia 30 de novembro, o PROCON-SP notificou o Hospital Albert Eistein. O órgão determinou que o hospital demonstre se adota medidas de segurança, técnicas e administrativas, capazes de proteger os dados pessoais dos titulares. O prazo estipulado é de 72 horas.
Procurado pela mídia, o Hospital Israelita não quis se pronunciar. O colaborar que causou este incidente foi desligado sob a alegação de ter infringido as normas técnicas adotadas para garantir proteção e segurança de dados.
E a Lei Geral de Proteção de Dados (LGPD)?
A Lei nº 13.709/2018 entrou em vigor em 19 de setembro deste ano e exige que qualquer organização, pública ou privada, e pessoas físicas, com finalidade comercial, que tratam dados pessoais e dados pessoais sensíveis adotem medidas de segurança, técnicas e administrativas aptas a proteger tais dados de acessos não autorizados e de situações acidentais ou ilícitas. Os termos boas práticas, governança, medidas técnicas e administrativas são citadas inúmeras vezes ao longo do texto desta Lei.
O art. 42, da LGPD informa que controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a reparar. Do mesmo modo, informa que estes agentes de tratamento serão responsáveis pelos danos decorrentes da violação da segurança dos dados, quando não adotarem as medidas de segurança previstas no art. 46, e assim, dando causa aos danos.
O art. 46, da lei prevê a necessidade de agentes de tratamentos adotarem medidas técnicas e organizativas para protegerem os dados pessoais, sobretudo de acessos não autorizados. Em complemento, a norma NBR ISO/IEC 27701:2019 estabelece controles, requisitos e diretrizes que podem ser adotados por agentes de tratamento de dados, de modo a comprovar ou atender parte das necessidades regulatórias.
Apesar do parágrafo 1º, do Artigo 46, da LGPD prever que a Autoridade Nacional de Proteção de Dados (ANPD) poderá dispor sobre padrões técnicos mínimos, não significa que estes serão suficientes para mitigar vazamentos de dados. Como já expusemos aqui e em nas matérias no site da ACPD, ao contrário do que muitos imaginam, as chances da ANPD entrar no mérito, e publicar instrumentos normativos que ensinem como se implementa a governança e as boas práticas, são módicas. Ou seja, a probabilidade de a ANPD ensinar os pormenores de governança e boas práticas, é praticamente nula. Sendo assim, como as organizações podem obter tais informações? Através de aprendizado tácito e informal, também conhecido como “learning by doing”? Ou através do desenvolvimento das habilidades humanas, de seus colaboradores, por meio de capacitação em boas práticas internacionais? Esta última definitivamente acarretará menores custos, redução da jornada de aprendizado e segurança nos processos.
Embora a ANPD ainda esteja sendo constituída e as sanções que poderão ser aplicadas por esta Autoridade, previstas na LGPD, terem sido postergadas para 1º de agosto de 2021, no caso em questão, tanto o Hospital, quanto seu funcionário, que vazou os dados, quanto o Ministério da Saúde podem ser responsabilizados pelos danos causados no vazamento em questão, mesmo não agindo intencionalmente.
O Art. 52, da LGPD prevê as sanções que poderão ser aplicadas, com destaque para:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Sobre o PROCON, IDEC, TCU e MPF
Algumas empresas acreditam que como a ANPD ainda não está plenamente constituída, e como suas sanções só poderão ocorrer a partir de 01.08.2021, mesmo com a LGPD em vigor, elas não têm com o que se preocupar. E, é aí que se enganam. Antes da preocupação efetiva com a ANPD, as organizações precisam pensar em como elas se organizarão internamente em relação aos seus processos e fluxos que tratam dados pessoais. Pois, com a entrada em vigor da LGPD, qualquer titular de dado pessoal lesado, ou que se sinta lesado, poderá mover ação na esfera da justiça comum. Principalmente se os contatos dessas organizações com os titulares tiverem relações de consumo. Neste caso, elas estarão sujeitas às sanções de outros órgãos como: PROCON, SENACON, ligado ao Ministério da Justiça (MJ), ou o próprio Ministério Público (MP).
O Instituto de Defesa do Consumidor (IDEC) protocolou uma representação, solicitando ao Ministério Público Federal (MPF) a abertura de inquérito para investigar eventuais falhas de segurança digital que levaram à exposição de dados, no caso supracitado. O IDEC afirmou que não há dúvidas sobre o caráter sensível das informações, posto que milhões de pessoas tiveram dados relacionados ao seu estado atual de saúde, condições e doenças preexistentes divulgadas e destaca que a notória exposição desses dados já deixa os cidadãos sob uma situação grave de hipervulnerabilidade. O IDEC também pede ações do Einstein e do Ministério da Saúde.
No documento encaminhado ao MPF, o IDEC destaca que o incidente surpreende pela ausência de cuidados básicos relacionados à segurança das informações.
[…] chama a atenção o fato de existir uma tabela com todos os logins, usuários e senhas de funcionários autorizados para operar um banco de dados sensíveis com milhões de brasileiros. Senhas, conforme qualquer especialista em segurança da informação, não devem ser deixadas escritas. Ou seja, já se trata de antemão de uma negligência dos responsáveis deixar isso exposto a qualquer funcionário.
Instituto de Defesa do Consumidor
Já o deputado federal e ex-ministro da Saúde Alexandre Padilha acionou o Tribunal de Contas da União (TCU) para pedir a abertura de um procedimento de análise sobre o caso para averiguação de informações referentes às políticas de segurança digital do ministério e ao contrato do órgão com o Hospital Israelita Albert Einstein, e destacou:
Uma coisa é ter uma falha humana. Outra é não ter protocolos de segurança. É uma vulnerabilidade gravíssima.
Deputado federal e ex-ministro da Saúde Alexandre Padilha
Será que estes incidentes de privacidade estão vindo para enfatizar a fragilidade das adequações à LGPD que as organizações estão adotando?
Sobre framework da ABNT/ISO, as boas práticas e a Governança de TI
A Governança de TI, pode ser definida como:
Sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização.
ABNT NBR ISO/IEC 38500:2018
FERNANDES, A. Aragon (2014) sugere uma definição mais abrangente e define Governança de TI como “Ciclo da Governança de TI” , composto por quatro grandes etapas:
- alinhamento estratégico e compliance;
- decisão;
- estrutura e processos; e
- gestão do valor e do desempenho.
Cabe ressaltar que a Governança de TI está sob a Governança Corporativa de uma organização.
A figura, a seguir, ilustra os principais fatores que podem impactar a Governança de TI e as boas práticas relacionadas a ela:
A família de normas 27000 (ABNT/ISO) e normas relacionadas a esta família compõem um framework para privacidade e proteção de dados que é aplicável a todos os tipos e tamanhos de organizações, incluindo as empresas públicas e privadas, que são controladoras de dados pessoais e/ou operadoras de dados pessoais, com destaque para:
- ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade;
- ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes;
- ABNT NBR 27799: Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002;
- ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos; e
- ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação.
A subseção 6.4.2.2 – Conscientização, educação e treinamento em segurança da informação, da NBR 27701 fala sobre as diretrizes aplicáveis. Considerando-a como referência, convém que medidas sejam implementadas, incluindo a conscientização sobre notificação de incidentes, para assegurar que membros relevantes estejam cientes das possíveis consequências para a organização (por exemplo, consequências legais, perda de negócios e dano reputacional ou da marca), para os membros da organização (por exemplo, consequências disciplinares) e para o titular de DP (por exemplo, consequências físicas, materiais e emocionais) da violação de privacidade ou de regras de segurança e procedimentos, especialmente aqueles relacionados ao manuseio de dados pessoais (DP). Tais medidas podem incluir o uso de treinamento periódico apropriado para as pessoas que têm acesso a DP.
Convém que todos os funcionários de uma organização e, onde pertinente, partes externas recebam treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.
A norma ABNT NBR 27799: Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002 pode ser uma excelente aliada ao Sistema de Gestão da Privacidade da Informação (SGPI) de uma organização que atua ou tem clientes na área da Saúde.
SOBRE A EDUCAÇÃO CORPORATIVA:
A ACPD Brasil entende que as pessoas são essenciais para as organizações, e são seus recursos mais valiosos. Somado a isso, entendemos que o desempenho organizacional depende de como as competências das pessoas são utilizadas no ambiente corporativo.
Com base no que foi exposto, a ACPD Brasil vem desenvolvendo a ACPD Academy, com cursos de educação corporativa, com base nos fundamentos do Sistema de Gestão da Privacidade da Informação (SGPI), de acordo com a norma ABNT NBR ISO/IEC 27701:2019 e demais normas relacionadas (ABNT e ISO). A ACPD Brasil acredita que a gestão da competência e o desenvolvimento de pessoas nos níveis operacional, tático e estratégico são requeridos para que uma organização seja bem sucedida.
A gestão da competência e o desenvolvimento de colaboradores estão interligados de maneira incontestável, já que o desenvolvimento de pessoas é parte da gestão da competência. A adoção de processos planejados e sistemáticos para a gestão da competência e desenvolvimento de pessoas provê clara contribuição para as organizações, com destaque para:
- Melhoria de competências;
- Atendimento às diretrizes do nível estratégico; e
- Alcance dos resultados almejados.
O ciclo do Plan, Do, Check and Act, conhecido popularmente como PDCA, em tradução livre Planejar, Fazer, Checar e Agir está descrito a seguir:
- Planejar: identificar necessidades de competência; avaliar lacunas de competência; e planejar o desenvolvimento de competências;
- Fazer: estabelecer um programa de desenvolvimento; implementar atividades de desenvolvimento;
- Checar: monitorar e avaliar atividades de desenvolvimento em relação a necessidades de competência;
- Agir: identificar setores com necessidades adicionais de desenvolvimento; melhorar as atividades de desenvolvimento.
Regra de Ouro: trate os dados pessoais e dados pessoais sensíveis dos outros, como se fossem os seus!
Léo Farias CEO and Founder | ACPD Brasil
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Rio de Janeiro: ABNT, 2019.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27799: Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002. Rio de Janeiro: ABNT, 2019.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade. Rio de Janeiro: ABNT, 2020.
BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 2 dez. 2020.
DINEIRO RURAL. IDEC pede ao MPF que apure vazamento de dados de saúde. Disponível em: https://www.dinheirorural.com.br/idec-pede-ao-mpf-que-apure-vazamento-de-dados-de-saude. Acesso em: 2 dez. 2020.
FERNANDES, Aguinaldo Aragon. Implantando a Governança de TI: da Estratégia à Gestão de Processos e Serviços. 4ª ed: 2014.
O ESTADO DE S. PAULO. Vazamento de senha do Ministério da Saúde expõe dados de 16 milhões de pacientes de COVID. Disponível em: https://saude.estadao.com.br/noticias/geral,vazamento-de-senha-do-ministerio-da-saude-expoe-dados-de-16-milhoes-de-pacientes-de-covid,70003528583Acesso em: 2 dez. 2020.
PRIVACY TECH. Vazamento no Ministério da Saúde expõe dados de 16 milhões de pacientes de COVID. Disponível em: https://privacytech.com.br/destaque/vazamento-no-ministerio-da-saude-expoe-dados-de-16-milhoes-de-pacientes-de-covid.,381009.jhtml. Acesso em: 2 dez. 2020.
VALOR INVESTE. Hospital Albert Einstein é notificado pelo Procon por vazamento de dados de pacientes com covid-19. Disponível em: https://valorinveste.globo.com/mercados/brasil-e-politica/noticia/2020/11/30/hospital-albert-einstein-e-notificado-pelo-procon-por-vazamento-de-dados-de-pacientes-com-covid-19.ghtml. Acesso em: 2 dez. 2020.
One Response
[…] dados do Sistema Único de Saúde (SUS), ficaram disponíveis por mais de seis meses. A exemplo do outro episódio já narrado aqui, o motivo também foi a exposição indevida de login e senha de um sistema. As credenciais de […]