; Vazamento de dados do E-Saúde expõe informações de milhões de brasileiros - Fenafar

Vazamento de dados do E-Saúde expõe informações de milhões de brasileiros

Saúde

Uma falha de segurança do aplicativo E-Saúde do Ministério da Saúde, que reúne informações pessoais e dados sensíveis sobre a saúde dos indivíduos (histórico de medicamentos, consultas agendadas) resultou no vazamento destes dados de milhões de usuários do SUS.

A informação foi noticiada pela Folha de S.Paulo. Segundo reportagem da Folha, para entrar no perfil de qualquer usuário e acessar a ficha de medicações, o aplicativo também pedia para cadastrar um endereço de e-mail qualquer (a reportagem usou endereços inexistentes) e clicar em um botão confirmando ser o titular da conta. Em seguida, aparecia na tela o cartão SUS da pessoa e o registro de retirada de remédios na rede pública desde 2008, além da agenda com as próximas consultas.

As informações ficaram expostas desde que o aplicativo foi lançado, em junho de 2017. Teoricamente, era possível acessar os dados de qualquer brasileiro que ainda não tivesse acessado o sistema e alterado a senha. Ficaram expostos, inclusive, dados de políticos.

Em entrevista ao Viomundo, o médico e gestor público Giliate Coelho Neto disse que o caso é uma “falha gravíssima de segurança”. Ele afirma que “Tudo indica o ministro Ricardo Barros (à direita) pressionou os técnicos do Datasus para lançar o aplicativo e-Saúde sem os devidos mecanismos de segurança”. Para o médico, que foi diretor do Datasus e gerente-geral de tecnologia da informação da Agência Nacional de Saúde Suplementar (ANS), “sem implantar regras mais rígidas de segurança, o ministério colocou no e-Saúde dados clínicos sigilosos, permitindo o vazamento de informações de milhões de pacientes”

Proteção de Dados Pessoais

O Brasil não possuí uma lei de proteção de dados pessoais. Uma projeto tramita na Câmara dos Deputados, mas ainda não foi votado. Sem parâmetros legais que defina como empresas e poder público podem coletar e usar nossos dados, informações sobre hábitos de consumo e dados sensíveis como os de saúde são armazenados sem o nosso conhecimento e até sem o nosso consentimento.

Também não há previsão legal de que tipo de sanção podem ser aplicadas no caso de vazamento de dados.

Os dados de saúde dos usuários do SUS que foram vazados podem ser utilizados, por exemplo, com fins econômicos dos mais variados tipos – pelas indústrias farmacêuticas, pelo mercado farmacêutico, planos de saúde e outros interesses econômicos ligados ao setor.

"Fico imaginando se esse tipo de informação cai nas mãos de uma indústria farmacêutica. Ela pode pautar o lançamento de novos medicamentos, por exemplo. Esse tipo de informação, conhecido como 'big data', tem pouca regulação no Brasil ainda”, disse o cientista político Rafael Moreira.

"Permitir o acesso a informações médicas é uma invasão da privacidade, do direito do sigilo. Independentemente de ser político, é uma invasão. Embora sejam pessoas públicas, esse tipo de situação, uma doença ou um tratamento, tem de ser respeitado. Não deve ser levado em conta para avaliar a capacidade de governo dessas pessoas”, disse Hilton Cesário Fernandes, professor da Fundação Escola de Sociologia e Política de São Paulo, referindo aos dados dos políticos que também foram vazados.

O Ministério da Saúde disse que fez análise dos níveis de segurança do aplicativo e confirmou a brecha. "As informações que estavam incorretamente disponíveis nesse acesso eram os medicamentos retirados pelo usuário e datas de consultas na atenção básica de saúde. Não estavam disponíveis outros dados como prontuário eletrônico, diagnósticos e exames realizados", afirmou. "Imediatamente, houve atualização do aplicativo para ampliar a segurança das informações."

Seus Dados São Você

Todos os dias, ao fazer pesquisas na internet, compras, usar aplicativos, preencher cadastros de serviços e até utilizar o transporte público, ou outros serviços públicos como saúde, educação, habitação, etc, as pessoas geram e compartilham centena de milhares de dados pessoais.

Preocupados com a privacidade das pessoas, com o uso abusivo pelo poder econômico dos dados pessoais e com a liberdade de expressão, organizações da sociedade civil lançaram em 2017 a campanha “Seus Dados São Você”, defendendo a urgente aprovação de uma lei de Dados Pessoais no país. Clique aqui para saber mais.

Leia, abaixo, a íntegra da entrevista com o médico Giliate Coelho Neto para o Viomundo.

Viomundo — Surpreendeu-o a revelação de que o aplicativo e-Saúde tinha falha grave de segurança?
Giliate Coelho Neto — Até esse episódio o Ministério da Saúde não tinha histórico de disponibilizar dados clínicos sigilosos dos cidadãos brasileiros com regras de segurança tão inadequadas. Pelo contrário, o Datasus sempre teve normas rígidas para exposição de dados pessoais de saúde na internet. Então, foi de fato, sim, uma surpresa quando a Folha divulgou que dados clínicos de milhões de brasileiros ficaram expostos na internet por mais de 8 meses e praticamente qualquer um poderia visualizá-los.

Viomundo – O que é exatamente esse aplicativo e-Saúde?
Giliate Coelho Neto— Em junho de 2017, o Ministério da Saúde lançou o aplicativo móvel e-Saúde que, nas palavras do ministro Ricardo Barros, tinha como objetivo evitar o desperdício no SUS e facilitar o acesso a dados de saúde de cada cidadão.

Segundo o ministro, cerca de 50% dos resultados de exames realizados não eram retirados pelos pacientes. Além disso, 30% das pessoas faltam à consulta agendada. Então, através do aplicativo, o usuário poderia visualizar os resultados dos seus exames assim como receber lembretes sobre suas consultas marcadas no SUS. A ideia é boa, mas a execução foi péssima.

Viomundo –Por quê?
Giliate Coelho Neto – Primeiro, porque os sistemas de laboratório e marcação de consulta não estavam se comunicando com o aplicativo – o que até hoje não estão. Ou seja, as informações que poderiam ajudar a evitar o desperdício simplesmente não estão disponíveis ao cidadão. Segundo, porque o ministério colocou no e-Saúde dados clínicos sigilosos, entre os quais a lista de medicamentos que os pacientes do SUS consumiram. Com um detalhe: sem implantar regras de segurança mais rígidas. Em consequência, qualquer pessoa acessava facilmente os dados de qualquer paciente do SUS. Bastava ter o CPF e a data de nascimento dele. A Folha acessou, por exemplo, os dados de Michel Temer e João Doria Jr. Isso é uma falha gravíssima de segurança.

Viomundo – Mas o Ministério da Saúde já não tinha o aplicativo Cartão SUS Digital?
Giliate Coelho Neto – Tinha. Mas a gestão Ricardo Barros extinguiu-o. Substituiu o Cartão SUS Digital pelo aplicativo e-Saúde.

Viomundo – Qual era o objetivo do Cartão SUS Digital?
Giliate Coelho Neto – Principalmente, a desburocratização do acesso ao número do Cartão Nacional de Saúde (CNS) de cada cidadão brasileiro. Em muitos casos, o usuário deixava de ser atendido num posto de saúde, pois não possuía ou não se lembrava do número. Com o Cartão SUS Digital, bastava a pessoa inserir seu CPF e data de nascimento e já aparecia o número do seu CNS. Esta simples funcionalidade tornou o Cartão SUS Digital um dos aplicativos de saúde mais baixados nos smartphones, com 100 mil downloads no primeiro mês. No Cartão SUS Digital também era possível registrar dados clínicos pessoais, mas eram sempre informações autorreferenciadas, ou seja, dados de saúde que o próprio usuário, após baixar o aplicativo, ia inserindo no seu dia-a-dia. Por exemplo, a sua pressão arterial medida na farmácia.

Vi o Mundo – Qual diferença entre o Cartão SUS Digital e o aplicativo e-Saúde?
Giliate Coelho Neto — O e-Saúde herdou todas as funcionalidades do Cartão SUS Digital, inclusive algumas que já estavam prontas, mas que ainda não haviam sido divulgadas, como a localização e avaliação dos serviços de saúde. Se ficasse por aí, estaria tudo bem. Porém, o Ministério da Saúde resolveu ir além e criar novas funcionalidades no aplicativo e-Saúde. Por exemplo, a disponibilização de dados cínicos sigilosos que ficam armazenados no Datasus sob forte esquema de segurança. O problema é que eles fizeram isso sem atualizar o nível de segurança de acesso ao aplicativo e aí deu m…..

Viomundo – O exatamente aconteceu? Que falha foi essa?
Giliate Coelho Neto — Na transição do Cartão SUS Digital para o aplicativo e-Saúde não houve atualização da política de segurança. E aí o motivo do brutal vazamento de dados. Uma coisa é você disponibilizar apenas dados administrativos do cidadão, como o número do seu cartão SUS. Nesse caso, não é necessário um mecanismo rigoroso de segurança, pois tornaria o acesso desnecessariamente burocratizado. Outra coisa, completamente diferente, é quando expõe informações clínicas sigilosas, como a lista de medicamentos que uma pessoa faz uso. Esse tipo de dado pode ser utilizado para descobrir as doenças que alguém possui e então chantagear ou retaliar alguém. Não é razoável um aplicativo disponibilizar esse tipo de dado exigindo apenas que a pessoa se identifique com o CPF e data de nascimento. É algo facilmente burlável. É preciso ter mecanismos mais sofisticados de segurança, como, por exemplo, a autenticação por meio de digital.

Viomundo –De quem é a culpa?
Giliate Coelho Neto –Tudo indica que é do próprio ministro Ricardo Barros, que pressionou os técnicos do Datasus para lançar o aplicativo e-Saúde sem os devidos mecanismos de segurança.

Viomundo – O ministro Ricardo Barros não seguiu as recomendações dos técnicos, que são os que realmente entendem do assunto?!
Giliate Coelho Neto — Provavelmente foi o que ocorreu. Os próprios e colaboradores do Datasus à época do lançamento do aplicativo, em junho de 2017, poderão confirmar.

Viomundo – E como poderia ter sido evitado?
Giliate Coelho Neto — As áreas técnicas do Datasus têm ampla experiência em proteção de dados sigilosos. Bilhões de dados clínicos pessoais – isso, mesmo, bilhões!– são armazenados em suas máquinas. Se a opinião deles tivesse sido levada em conta, com certeza esse vazamento não teria acontecido. Além disso, vários órgãos de governo já desenvolveram mecanismos sofisticados de segurança para compartilhamento seguro de dados sigilosos, como o TSE e os bancos públicos. O Ministério da Saúde poderia ter feito parcerias com eles para utilizar essas tecnologias.

Viomundo – Quem fez esse aplicativo? Foi alguma empresa?
Giliate Coelho Neto — Geralmente o Ministério da Saúde estabelece as regras de negócio e uma empresa terceirizada desenvolve o software.

Viomundo – Tem ideia do quanto custou aos cofres públicos esse aplicativo furado?
Giliate Coelho Neto — Não sei, mas é possível solicitar via Lei de Acesso à Informação.

Viomundo — Que dados o Ministério da Saúde recolhe do cidadão atualmente?
Giliate Coelho Neto – Dezenas de dados são colhidos, a depender da situação de cada paciente. Por exemplo, quando uma pessoa é diagnosticada com uma doença de notificação obrigatória, como febre amarela, dengue, Hiv/Aids, as informações dela são enviadas para a base de dados do Ministério da Saúde. Além disso, com a disseminação dos prontuários eletrônicos, um conjunto mais amplo de dados está subindo para as bases do Ministério da Saúde. Por exemplo, os especialistas que atenderam o cidadão e as doenças que ele possui, mesmo que não sejam contagiosas, como um transtorno mental.

Viomundo – Onde ficam armazenados?
Giliate Coelho Neto — Ficam guardados em duas salas-cofre do Ministério da Saúde, uma em Brasília e outra no Rio de Janeiro.

Viomundo – Os dados estão seguros?
Giliate Coelho Neto — Existem normas rígidas de segurança e prevenção contra ataques externos no Datasus. Por exemplo:

* as portas das salas-cofre só podem abertas com senha ou identificação digital do servidor público ou colaborador terceirizado;
* são realizados backups periódicos dos principais bancos de dados;
*as atividades de cada usuário nos sistemas de informação são rastreadas e podem ser utilizadas em futuras auditorias;
*todas as senhas pessoais de acesso aos principais sistemas têm de ser trocadas obrigatoriamente a cada três meses.

Viomundo – Qual a chance de um vazamento ocorrer de novo?
Giliate Coelho Neto — Acho difícil que se repita um novo vazamento decorrente de tão profundo grau de amadorismo. Me parece que o risco neste momento é o Ministério da Saúde caminhar para o polo oposto, que é a burocratização ao extremo do acesso aos dados de saúde pessoais. Todo cidadão tem direito a acessar esses dados de forma segura, caso deseje. Essas informações também precisam ser trocadas entre os serviços de saúde, pois ajudam a salvar vidas. Veja, por exemplo, o caso da lista de alergias que cada paciente possui… Esse dado é fundamental quando uma pessoa sofre um acidente e é atendida desacordada num serviço de urgência.

Da redação com Folha de S.Paulo e Viomundo
Publicado em 06/02/2018

Artigos

UA-480112034-1