ANPD adverte governo de Santa Catarina por vazamento de dados de saúde
A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) emitiu quatro advertências à Secretaria de Saúde de Santa Catarina devido ao vazamento da lista de espera do SUS do estado.
A hipótese mais provável para o vazamento aconteceu devido à hospedagem em servidores da Ciasc (a empresa de processamento de dados do estado) sem qualquer mecanismo de controle de acesso aos usuários ou à rede. Foram 4 GB de dados, que representam 1,2 milhão de registros (nome, telefones, email). As informações eram de pessoas de todas as idades, de crianças a idosos.
[Atualização] A Ciasc entrou em contato após a publicação desta reportagem. Afirma que, embora estivessem hospedados em seus servidos, os dados eram geridos por empresa terceirizada da Secretaria de Saúde. A seguir, a íntegra da manifestação: “O Centro de Informática e Automação do Estado de Santa Catarina (CIASC), citado pela reportagem, esclarece que não atua como operador dos dados do site Lista de Espera do SUS, que no momento do incidente ocorrido em 2021 era hospedado em seus servidores, porém operado por uma empresa terceirizada pelo contratante. Enfatiza ainda, que adota todos os mecanismos de controle necessários para garantir a segurança de dados em seu Data Center. A empresa está tomando as providências cabíveis para o esclarecimento dos fatos e a devida responsabilização dos envolvidos”.
O estado avisou a ANPD do vazamento três dias após sua descoberta e foi orientado pela autarquia sobre como agir. No entanto, não atendeu todas as orientações. Deixou de comunicar aos pacientes do SUS que foram vítimas de vazamento e que os dados foram expostos em um site na internet.
Também não fez relatório técnico nem de impacto à proteção de dados pessoais. Informou mais tarde que na verdade apenas 47 mil pessoas foram atingidas pelo vazamento, sem comprovar tecnicamente como chegou a tal conclusão. Pressionado pela ANPD em reuniões, o controlador dos dados admitiria meses depois que não sabia sequer qual parte da base de dados tinha sido afetada pelo incidente.
As advertências forma emitidas pela Coordenação-Geral de Fiscalização (CGF) da ANPD, que identificou quatro infrações, três das quais consideradas graves.
A CGF concluiu que a SES-SC infringiu o art. 49 da Lei Geral de Proteção de Dados Pessoais (LGPD) ao negligenciar a segurança dos sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina atendidos pelo sistema estadual público de saúde.
Foi concluído, também, que a SES-SC sofreu um incidente de segurança e não comunicou sobre quais dados pessoais poderiam ter sido objeto desse incidente de forma clara, adequada e tempestiva. Foram cerca de 300 mil titulares de dados vítimas do incidente, que não receberam comunicação da Secretaria. Também não apresentou Relatório de Impacto de Proteção de Dados Pessoais, nem outras informações requisitadas.
Agora, a SES-SC precisa tomar as seguintes medidas corretivas: manter um comunicado geral de incidente de segurança (CIS) em seu site na Internet por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente.
A SES-SC tem 10 dias úteis, a contar do recebimento da intimação, para recorrer. Eventual recurso será analisado pelo Conselho Diretor da ANPD.
Para o advogado, pesquisador e fundador da organização Data Privacy Brasil, Bruno Bioni, a sanção é um alerta à necessidade de o setor público se estruturar e para garantir que a população seja beneficiada, sem discriminação.
“A conformidade do setor público à LGPD é essencial para que o direito à proteção de dados pessoais não seja elitista. Quem mais usa serviços públicos e é assistido por políticas públicas é, via de regra, o extrato da população mais sócio-economicamente vulnerável. Ou seja, a maturidade do setor público é essencial para uma cultura de proteção de dados no país”, avalia.
Artigos sugeridos
