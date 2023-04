A coordenadora de Infraestrutura de TI, Segurança da Informação e Resposta a Incidentes do Datasus, do Ministério da Saúde (MS), Jackeline Almeida, afirmou nesta quinta-feira, 12, que faltou orientação da Autoridade Nacional de Proteção de Dados (ANPD) para evitar processo sancionatório aberto contra o órgão.

“A gente, do Ministério da Saúde, gostaria de apresentar aqui a a necessidade de uma parceria realmente, de normativos, diretrizes. E a nossa proposta é que a ANPD atue de uma forma mais responsiva e menos punitiva, porque a partir do momento que a gente tem um posicionamento puxando para o rumo punitivo, a gente vai continuar no nosso país – não só no Ministério da Saúde – com penalidades prejudicando as nossas empresas”, reclamou Almeida durante audiência pública realizada da Comissão de Defesa do Consumidor (CDC) da Câmara dos Deputados.

O Ministério da Saúde é um dos primeiros oito processos sancionatórios abertos pela ANPD. Sem detalhar o caso que gerou a investigação, a representante do órgão afirmou que houve “demora na comunicação aos titulares de dados” sobre o incidente de segurança ocorrido nas bases da pasta.

A comunicação dos titulares é uma recomendação prevista na Lei Geral de Proteção de Dados (LGPD) e Almeida pontuou que os responsáveis procuraram a ANPD para se informar sobre os procedimentos a serem tomados frente às particularidades do sistema, com ampla base de dados. “Era um sistema que permitia ter uma exposição a dados, mas a gente não conseguia comprovar que houve. Então, junto com a ANPD, a gente chegou à orientação de que se a gente não sabe dizer qual titular pode ou não ter sido afetado, então a gente deve comunicar a todos”, explica a coordenadora, que seguiu manifestando insatisfação.

“Ora, o Ministério da Saúde, presta apoio a 100% da população, desde indígena que não tem CPF, que não tem um aplicativo no seu celular como ConecteSUS que pudesse receber um pop-up. À época que a gente perguntou à ANPD qual é o melhor formato de fazermos essa comunicação, não tinha orientação. A própria ANPD, à época, falou: o Ministério da Saúde precisa decidir”, criticou Almeida.

A coordenadora de infraestrutura do MS conta que houve demora em definir uma forma da mensagem chegar ao cidadão através daquele sistema que havia sido exposto, no caso, acessado apenas por gestores. “Provavelmente, se outra empresa no país tiver um incidente parecido, ele talvez não vai ter a resposta, porque hoje a gente não tem normativo e, talvez, o caso do Ministério da Saúde vai virar uma jurisprudência”, afirmou Almeida.

“Eu não tô dizendo que as penalidades não são importantes, elas são importantes. Mas a gente precisa avaliar o grau: incidentes baixos, incidentes altos. Àqueles que são baixos, a ANPD atuando de forma responsiva, não aplicar um processo sancionador a modo de fazer com que outras empresas estejam intimidadas, mas sim entrar num processo orientativo educativo e deixar as sanções para processos em que já foi foram feitas as primeiras instâncias de tratamento e não tiveram realmente efetividade”, disse Jackeline Almeida.

‘Dificuldade particular’

A diretora da ANPD, Míriam Wimmer, representou a autarquia na audiência pública. Após o comentário de Almeida, ela foi questionada sobre o fato do órgão ter aberto procedimentos sancionatórios majoritariamente contra órgãos públicos (sete deles no total de oito).

“No caso dos órgãos públicos, eu acho que existe uma dificuldade particular, o comentário aqui pela Doutora Jackeline, que diz respeito ao poder público, a escassez de pessoal e de investimentos em segurança da informação e outras questões, e calhou que temos mais processos contra o poder público”, afirmou.

Wimmer afirmou ainda que reconhece também o fato de que “um incidente de segurança é algo que estamos todos sujeitos”, mas que não é o incidente em si o único fato de atuação da ANPD.

“A ANPD entende que um incidente e segurança não gera, necessariamente, um processo sancionador. Muitas vezes, a própria organização foi vítima de associação criminosa, que precisa ser investigada pelos órgãos policiais competentes O que de fato a ANPD vai olhar quando existe um incidente de segurança é o comportamento da organização: se ela foi diligente, sem tem encarregado, se notificou tempestivamente, se tem controles estabelecidos”, detalha Wimmer.

A diretora da ANPD reforçou que a autarquia busca parâmetros adicionais para orientar os agentes de tratamento de dados e que está trabalhando em guias orientativos, inclusive, com algumas destas documentações já publicadas.