O Instituto Brasileiro de Defesa do Consumidor (Idec) protocolou na noite desta quinta-feira (26/11) uma representação junto ao Ministério Público Federal (MPF) solicitando abertura de inquérito para investigar possíveis falhas em medidas de controle e segurança digital que resultaram no vazamento de dados sensíveis de cerca de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19.
O Idec pede que o MPF solicite a descrição da parceria entre o Hospital Albert Einstein e o Ministério da Saúde para o manejo dos dados pessoais; informações sobre a política de segurança adotada no compartilhamento dos dados; e quais foram as medidas tomadas para contenção do vazamento e reparação imediata dos usuários atingidos. O instituto afirmou que a gravidade do incidente “surpreende pela ausência de cuidados básicos relacionados à segurança das informações armazenadas”.
A entidade cita ainda o fato de existir uma tabela com logins, usuários e senhas de funcionários; a não aplicação de medidas de segurança básicas como autenticação em dois fatores, utilizada em larga escala mesmo para acesso a aplicações como e-mail; e o fato de que nenhum outro critério de segurança rigoroso tenha sido adotado, especialmente considerando-se a sensibilidade dos dados e os riscos de exposição relacionados.
No documento em que pede a investigação, o Idec reforça também a necessidade de as entidades envolvidas tomarem medidas para adequação de suas plataformas e políticas em relação à Lei Geral de Proteção de Dados (LGPD) e ao Código de Defesa do Consumidor (CDC).
Histórico do vazamento de dados
O caso, revelado nesta quinta-feira (26/11) pelo jornal O Estado de S.Paulo, apontou que o vazamento de uma planilha com senhas de acesso a duas plataformas do governo, usadas em uma parceria entre o Hospital Albert Einstein e o Ministério da Saúde para um projeto no âmbito do PROADI-SUS, expôs na internet informações pessoais e de saúde desses pacientes durante quase um mês.