José Milagre

Lições para aprender com o vazamento de senhas dos sistemas do Ministério da Saúde

29/11/2020 | Tempo de leitura: 3 min

Repercutiu no País o vazamento de senhas de sistemas eletrônicos do Ministério de Saúde, e que teria permitido o acesso a dados pessoais de pelo menos de 16 milhões de pessoas, sendo considerado o maior vazamento de dados sensíveis do Brasil. O problema ocorreu a partir da publicação das credenciais em uma plataforma aberta na internet, comumente utilizada para compartilhamento de códigos. Os dados publicados poderiam ser usados para acessar dados como CPF, endereço, telefone e dados pessoais sensíveis como doenças pré-existentes. Dados sensíveis são aqueles cuja exposição pode causar danos a direitos e liberdades dos indivíduos, ou que possam ensejar discriminação do titular e incluem as informações e dados referentes à saúde.

Como ocorreu?

As senhas foram disponibilizadas em uma planilha, sem proteção, que por sua vez foram disponibilizadas no site GITHUB, comumente usado por programadores para compartilhamento de códigos. A questão se traduz em uma nítida falha humana, de colaborador que, sem observar requisitos e diretrizes de segurança da informação, bem como inconsciente de princípios fundacionais de privacidade por design, publicou o conteúdo crítico em uma área pública, com intenção temporária, como se fosse uma "área de transferência", mas esqueceu de apagar. O colaborador foi demitido.

Quem é responsável?

Importante destacar que os controladores de dados pessoais são considerados pela Lei como pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Neste sentido, o fato apenas expõe a previsão da Lei Geral de Proteção de Dados, sobretudo, a responsabilidade de controladores em relação a atos de seus colaboradores e prestadores de serviços.

A norma informa em seu artigo 42 que controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a reparar. Do mesmo modo, informa que estes agentes de tratamento serão responsáveis pelos danos decorrentes da violação da segurança dos dados, quando não adotarem as medidas de segurança previstas no art. 46, e assim, dando causa aos danos.

O art. 46 da norma prevê a necessidade de agentes de tratamentos adotarem medidas técnicas e organizativas para protegerem os dados pessoais, sobretudo de acessos não autorizados. Em complemento, a ISO/IEC 27701 estabelece controles, requisitos e diretrizes que podem ser adotados por agentes de tratamento de dados, de modo a comprovar ou atender parte das necessidades regulatórias.

Como agir em casos de incidentes com dados pessoais?

Em caso de incidentes como o ocorrido, no entanto, deve a empresa comunicar à Autoridade Nacional e ao titular sobre a ocorrência, que possa lhe acarretar risco ou dano. Embora a Autoridade Nacional de Proteção de Dados ainda deva definir detalhes sobre esta comunicação, a Lei já traz o que uma comunicação de violação de dados pessoais deverá conter:

A descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, os riscos relacionados ao incidente, os motivos da demora, no caso de a comunicação não ter sido imediata, as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Prepare seu negócio ou empresa agora!

O caso em tela nos exemplifica situações corriqueiras que muitos hoje ainda praticam e que podem causar danos terríveis a titulares. A falta de treinamentos e conscientização corporativa pode custar muito caro. Mais grave que isso, pesquisas e strings repassadas aos buscadores podem revelar repositórios de dados pessoais, mantidos por empresas a órgãos públicos, expostos e esquecidos em diretórios não protegidos e indexados pelos buscadores, onde sequer senha é necessária para acesso. Muito ainda será exposto. A negligência ainda persiste, mesmo com o advento da LGPD e, francamente, não há previsão de que este cenário de consciência de privacidade mude em um curto lapso temporal, sobretudo, enquanto as penas à altura dos danos praticados não comecem a ser aplicadas.

** Este texto não reflete, necessariamente, a opinião do SAMPI

Receba as notícias mais relevantes de Bauru e região direto no seu WhatsApp
Participe da Comunidade

COMENTÁRIOS

A responsabilidade pelos comentários é exclusiva dos respectivos autores. Por isso, os leitores e usuários desse canal encontram-se sujeitos às condições de uso do portal de internet do Portal SAMPI e se comprometem a respeitar o código de Conduta On-line do SAMPI.