Selecionar Categoria
0
LGPD

PK classifica como muita alta a severidade do vazamento de senha do Ministério da Saúde, que expos dados de 16 milhões brasileiros

Por PK Advogados 3 anos ago

Helio Ferreira Moraes

Sócio do PK Advogados e head da área de Proteção de Dados

 

Conforme noticiado essa semana em vários veículos de comunicação, ao menos 16 milhões de brasileiros, que tiveram diagnóstico suspeito ou confirmado de covid-19, ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês.

Os dados pessoais vazados incluem CPF, endereço, telefone e doenças pré-existentes, entre elas diabetes, problemas cardíacos, câncer e HIV, devido a um vazamento de senhas de sistemas do Ministério da Saúde. Os dados ficaram abertos para consulta após um funcionário do Hospital Albert Einstein, que trabalhava em conjunto com o Ministério da Saúde, divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid nos 27 Estados.

A situação é muito grave, pois os dados de saúde podem ser usados para fins comerciais por diferentes empresas, como empresas de seguro de vida ou planos de saúde de forma indevida, inclusive até com aspecto discriminatório.

Enquanto a ANPD (Autoridade Nacional de Proteção de Dados) não estiver funcionando e as penalidades administrativas da LGPD (Lei Geral de Proteção de Dados) não estiverem em vigor (aplicam-se a partir de 01/08/2021), o vazamento das senhas e exposição dos dados podem responsabilizar o Einstein e o Ministério da Saúde por dano coletivo e individual, por terem exposto informações sensíveis de milhões de pessoas.

De acordo com a LGPD, nesse tipo de situação as empresas deverão avaliar se o incidente de segurança poderá acarretar risco ou dano relevante aos titulares e, conforme o caso, informar tanto a ANPD quanto aos titulares dos dados, incluindo as medidas de reversão ou mitigatórias dos danos causados e medidas adotadas para interromper o problema.

Mas como avaliar a gravidade da situação e identificar a necessidade de informar a ANPD e os titulares? Baseado na metodologia da agência europeia de segurança da informação e redes – Enisa, o PK Advogados desenvolveu uma ferramenta para avaliar de maneira objetiva os incidentes de segurança, classificando a severidade do incidente em baixa, média, alta e muito alta, de acordo com os riscos e danos potenciais aos titulares.

A ferramenta utiliza elementos do contexto do tratamento dos dados em questão, a facilidade de identificação dos titulares e as circunstâncias do vazamento para calcular a severidade do incidente, aplicando ainda um flag de baixo ou alto impacto ao vazamento.

No caso em questão, a ferramenta aponta o incidente como de grau de severidade MUITO ALTO também com flag ALTO, denotando o alto impacto ao atingir mais de 16 milhões de cidadãos.

A avaliação considerou vários aspectos dos dados acessíveis com as senhas vazadas, que incluíam um conjunto de dados sensíveis (dados de saúde), com informações completas dos usuários, que podem ter sido acessadas na internet por um número desconhecido de pessoas, já que esteve por um mês disponível facilmente no Github, plataforma utilizada por desenvolvedores para compartilhar códigos de programação.

Será que resta alguma dúvida da necessidade de as empresas criarem urgentemente seus programas de governança em privacidade no âmbito da LGPD?

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Scroll to top