Hospital Albert Einstein confirma vazamento de dados de 16 milhões de pessoas

O Hospital Israelita Albert Einstein confirmou o vazamento de dados de 16 milhões de pessoas  que tiveram suspeita ou diagnóstico confirmado para covid-19, conforme divulgou o jornal O Estado de São Paulo, nessa quinta-feira, 26. Os dados pessoais e médicos expostos ficaram na internet durante quase um mês, após um vazamento de senhas de sistemas do Ministério da Saúde.

Segundo nota oficial do Hospital Albert Einstein, assim que "tomou conhecimento na tarde desta quarta-feira, 25/11, que um colaborador contratado para prestar serviços ao Ministério da Saúde havia arquivado informações de acesso a determinados sistemas sem a proteção adequada. Estas informações foram removidas imediatamente e o fato comunicado ao Ministério da Saúde para que fossem tomadas medidas que assegurassem a proteção das referidas informações.

O Einstein ressalta que não houve divulgação de quaisquer dados pelo empregado e que o hospital não tem acesso a eles. Eles ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília.

Segundo a publicação, a planilha com as informações foi publicada em 28 de outubro no perfil pessoal de Wagner Santos, cientista de dados que atua no Hospital Albert Einstein, na plataforma "Github", usada por programadores para hospedar códigos e arquivos.

O jornal diz ainda, que entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, estão o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria (PSDB), e mais 16 governadores; além dos presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).

As informações ficaram abertas para consulta após o funcionário do hospital divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid-19 nos 27 Estados. Conforme o Einstein, o hospital tem acesso aos dados porque está trabalhando em um projeto com o Ministério da Saúde.

Ao jornal O Estado de S. Paulo, o Einstein afirmou que todos os funcionários passam por treinamento de segurança digital e que "tomará as medidas administrativas cabíveis". Já o Ministério da Saúde confirmou a parceria com a instituição paulista e disse que realizou reunião para esclarecimento dos fatos.

O Ministério confirmou que o profissional Wagner Santos, que publicou as senhas, é contratado pelo Einstein e atua no ministério desde setembro como cientista de dados. O perfil do profissional no LinkedIn aparece como "perfil não disponível".

"No âmbito das medidas de segurança do ministério e em atendimento aos protocolos de compliance e confidencialidade, ele assinou termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica", informou o órgão federal.

Dados sensíveis

Segundo Gustavo Artese, sócio da Viseu Advogados, a própria a LGPD tipifica que dados de saúde são sensíveis, pelo próprio potencial de causar maleficio para as pessoas, como questões vexatórias, discriminação no trabalho, chantagem em determinadas situações, entre outras. Como é uma falha humana, que vai ter muita repercussão, evidencia-se a necessidade de treinamento e governança de senhas de segurança, o que ainda ganha mais importância numa situação como essa, que está associada a rastreabilidade. Mesmo que a ANPD ainda não poss aplicar multas, certamente a situação vai causar enorme repercussão e a Agencia deverá se manifestar em relação ao Einstein e Ministério da Saúde.

"Se as informações expostas até aqui se confirmarem, estamos falando de um vazamento colossal de dados, atingindo quase 8% da população brasileira (incluindo inúmeras autoridades). O que torna este vazamento especialmente grave é que entre os dados vazados existem aqueles chamados pela LGPD de "dados pessoais sensíveis". Estes dados, que incluem dados referentes à saúde, são assim chamados por seu potencial vexatório, discriminatório ou mesmo persecutório. Não é difícil imaginar como que o vazamento de um histórico clínico, contendo até informações como a existência de doenças como diabetes e HIV, pode impactar a vida de uma pessoa. Por fim, vale lembrar que embora os artigos da LGPD prevendo a aplicação de sanções administrativas (como a multa de até 2% do faturamento da pessoa jurídica de direito privado até o limite de cinquenta milhões de reais) ainda não se encontre em vigor, qualquer titular lesado já pode adicionar o judiciário requerendo a reparação por danos morais e materiais que tenham sofrido em razão deste vazamento", explica Marcelo Cárgano, advogado do escritório Abe Giovanini Advogados.