LGPD: frequentes incidentes de segurança demandam planos de respostas de instituições
Por uma falha no armazenamento de dados sensíveis no site do Ministério da Saúde, login e senha de acesso de milhões de brasileiros ficaram expostos na internet no início de dezembro.
Todos os brasileiros com cadastro no Sistema Único de Saúde (SUS) ou beneficiários de planos de saúde tiveram seus dados pessoais e sensíveis expostos, como nome completo, CPF, endereço e telefone.
A conjectura é a de que os dados de mais de 243 milhões de indivíduos foram expostos. Atente para o fato de que o número é maior do que as estimativas das populações residentes nos 5.570 municípios brasileiros, com data de referência em 1º de julho de 2020. Nessa data, a população do Brasil chegou a 211,8 milhões de habitantes. Essa diferença é relativa às informações de pessoas já falecidas, mas que ainda são mantidas nos cadastros governamentais. Um agravante é que o sistema de livre consulta esteve disponível por, pelo menos, seis meses.
De acordo com a LGPD, é o controlador que detém o poder decisório sobre os dados, sendo o responsável pelo seu tratamento e por eventuais incidentes de segurança. A ele incumbe todo o ônus de garantir transparência e comunicação com o titular dos dados, além do dever de orientar o operador sobre como desempenhar suas atividades quando o dado pessoal for compartilhado.
O controlador nesse caso específico é o próprio Ministério da Saúde.
Incidentes de Segurança
Notícias sobre vazamento de dados têm sido corriqueiras e sobre circunstâncias como essa a Lei Geral de Proteção de Dados exige que o controlador, em caso de incidente de segurança, especialmente com potencial de risco ou lesivo aos titulares de dados, comunique a esses titulares e à autoridade nacional a respeito.
Essa comunicação, conforme exigência da lei, deve ser realizada em prazo razoável e deverá conter, no mínimo, a natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação de medidas mitigadoras e de segurança utilizadas para a proteção dos dados, os riscos envolvidos no acidente e, caso a comunicação não seja imediata, as razões da demora.
A LGPD, porém, não define o que seria considerado um “incidente de segurança” e não delimita o que seria um incidente com potencial de risco, deixando tais parâmetros para a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
Para efeitos de comparação, no caso da GDPR há uma definição legal do que seja considerado Incidente de Segurança, o que seja: “violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.
Na Europa, a GDPR obriga as empresas a reportarem incidentes de segurança dentro de 72 horas após a sua descoberta. Nossa norma também obriga que as empresas prestem contas sobre vazamentos de informações, mas determina que seja “em prazo razoável”. A Autoridade Nacional de Proteção de Dados, em fase de implementação, ainda especificará a expressão.
Plano de Respostas a Incidentes de segurança
Todos os atores que armazenam dados pessoais, inclusive instituições de ensino, são potenciais alvos de ataques e violações de segurança; por isso é importante que definam planos de ação e se preparem para um eventual incidente de segurança. Essa iniciativa é o Plano de Respostas a Incidentes.
Ele descreve como uma organização deverá lidar com um incidente de segurança de TI, seja um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos.
A ideia é minimizar os danos que podem ser causados, reduzir o tempo de ação e os custos de recuperação. Isso é feito por meio de um documento interno da instituição, que deve ser amplamente conhecido por todos os funcionários e que dispõe sobre as medidas que devem ser tomadas no caso de um Incidente de Segurança em Dados Pessoais.
É claro que uma equipe especializada deve imediatamente ser acionada para agir rapidamente no caso de vazamentos de dados ou outro tipo de ataque aos sistemas, sem esquecer da atenção às questões legais. O ideal é que planos de segurança sejam desenvolvidos pela área de TI com assessoria de membros da área jurídica.
Toda e qualquer instituição deve ter sua própria política de segurança, assim como deve ter sua maneira de lidar com incidentes sob a perspectiva legal. Em se tratando de órgãos do governo - no caso, entidade da administração direta do governo federal - espera-se seriedade absoluta em ambos os aspectos.
Notícias
Essa não foi a primeira vez que dados como estes foram vazados. A imprensa, em novembro de 2020, já havia denunciado a vulnerabilidade do sistema e o vazamento de senhas de acesso e dados sensíveis de 16 milhões de brasileiros que foram submetidos a testes para Covid-19, inclusive de inúmeras autoridades públicas do Executivo e Legislativo.
“Ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 ficaram com seus dados pessoais e médicos expostos na internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério da Saúde.
Entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, estão o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria (PSDB), e mais 16 governadores, além dos presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).” Fonte: Estadão
No caso ocorrido em novembro, a exposição de dados não foi causada por ataque hacker ou por falha de segurança do sistema. Os dados, em poder da instituição em razão de um trabalho em conjunto com o Ministério da Saúde, ficaram abertos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por Covid nos 27 Estados. Um erro bastante grave.
No caso da exposição dos dados dos brasileiros cadastrados no SUS ou beneficiários de planos de saúde, a exposição de dados se deu em razão do uso inadequado/criminoso de uma falha do código no site.
De acordo com o Canaltech, houve uma exposição de credenciais de acesso ao sistema, com login e senha aparecendo no código fonte do site de notificações sobre a pandemia. Qualquer pessoa poderia ter acesso a tais informações por meio de recursos do navegador. Os dados estavam codificados, mas ferramentas gratuitas, facilmente encontradas na internet, poderiam decodificá-las.
O Ministério da Saúde anunciou estar apurando o incidente para localizar a responsabilidade sobre a exposição da base de dados e afirmou possuir protocolos de segurança e proteção que são constantemente avaliados e aprimorados. O sistema foi desenvolvido por uma empresa terceirizada, que não se pronunciou sobre o assunto.
Enfim, grandes corporações multinacionais e sites governamentais já passaram por vazamentos de informações confidenciais e todos os segmentos que armazenam dados são atraentes para ataques do tipo. Pequenas empresas também sofrem investidas e, ainda que sejam de menor escala, podem causar efeitos negativos de maior proporção.
A busca por soluções e cuidados diários para manter-se longe das ameaças, adotando medidas de prevenção, orientação para os colaboradores/funcionários públicos e, posteriormente, ter um plano de combate aos atentados é indispensável e urgente. Faz parte, pois, dos passos que as instituições - inclusive as de ensino - precisam dar para estar em conformidade com a LGPD, que tem como um de seus pilares centrais a implementação de medidas de segurança da informação.
Saiba mais a respeito em nossa série de textos sobre a LGPD:
A implementação da Autoridade Nacional de Proteção de Dados
A LGPD já entrou em vigor? Entenda
O Caso Cyrela: condenação por ofensa à LGPD?
A LGPD no dia a dia das instituições de ensino
As sanções administrativas previstas na LGPD
Unicamp anuncia política de privacidade de dados
O caso Aída Curi e o direito ao esquecimento
A proteção de dados como direito fundamental: uma decisão do STF
A LGPD, Lei Geral de Proteção de Dados, entrou em vigor
A LGPD já entrou em vigor? Entenda
O direito de imagem dos docentes e discentes nas aulas remotas
Unicamp apura vazamento de dados após ataque hacker
Vazamentos de dados pessoais mostram a necessidade de implementação da ANPD
Como e por que se adequar à LGPD
O Encarregado de Proteção de Dados nas IES
As exceções ao consentimento do aluno na LGPD
O Consentimento do aluno nos termos da LGPD
Para mais conteúdo e informações sobre Direito Educacional, acesse jacobsconsultoria.com.br ou mande sua mensagem para cursos@jacobsconsultoria.com.br
Nossos clientes são profissionais, associações e Instituições de Ensino Superior que, por meio de suas mantenedoras, nos contratam para atuar em casos que envolvem o Poder Executivo, o Ministério Público, os discentes e as demais instituições concorrentes. Fazendo seu cadastro em nossa lista de e-mail você também recebe mais informações sobre nossos cursos.
Edgar Gastón Jacobs é doutor em Direito pela Pontifícia Universidade Católica de Minas Gerais. Professor e pesquisador na área de Direito Educacional, atua como advogado, consultor em direito educacional e parecerista para Instituições de Ensino Superior. Se preferir, entre em contato pelo telefone: (31) 3494.0281