Um vazamento de senhas do Ministério da Saúde expôs, durante quase um mês, dados pessoais e médicos de pelo menos 16 milhões de brasileiros que tiveram suspeita ou diagnóstico confirmado de Covid-19.

Segundo o jornal O Estado de S. Paulo, as informações expostas incluem CPF, endereço e telefone, além de detalhes considerados confidenciais sobre o histórico clínico, como a existência de doenças ou condições pré-existentes, entre elas diabetes, problemas cardíacos, câncer e HIV.

Alguns registros de pacientes internados traziam até informações do prontuário, como quais medicamentos foram administrados durante a hospitalização ou qual profissional deu baixa na internação.

Entre as pessoas que tiveram a privacidade violada, estão diversas autoridades, como o presidente Jair Bolsonaro e familiares, o ministro da Saúde Eduardo Pazuello e outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves. 

Também entram na lista o governador de São Paulo, João Doria, e mais 16 governadores, além de Rodrigo Maia, presidente da Câmara dos Deputados, e de Davi Alcolumbre, líder do Senado.

Desta vez, a exposição de dados não foi causada por ataque hacker nem por falha de segurança do sistema.

Eles teriam ficado abertos para consulta após um funcionário do Hospital Albert Einstein divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid nos 27 estados.

Segundo o jornal, a planilha foi publicada no dia 28 de outubro no perfil pessoal de Wagner Santos, cientista de dados do hospital, na plataforma Github, o popular repositório de software disponível na internet.

O funcionário teria acesso a esses dados porque o hospital está trabalhando em um projeto com o ministério e, com as senhas, era possível acessar os registros lançados em dois sistemas federais.

O primeiro é E-SUS-VE, no qual são notificados casos suspeitos e confirmados da doença quando o paciente tem quadro leve ou moderado, e o outro é o Sivep-Gripe, em que são registradas todas as internações por Síndrome Respiratória Aguda Grave (SRAG).

Neles, estão informações tanto de pacientes da rede pública quanto da privada, pois a notificação de casos suspeitos ou confirmados de Covid-19 ao Ministério da Saúde é obrigatória para todos os hospitais.

Na tarde da última quarta-feira, 25, o Hospital Albert Einstein e o Ministério da Saúde foram comunicados pelo Estadão sobre o vazamento das senhas e resolveram remover as chaves de acesso da internet, além de trocar elas nos sistemas. 

O Einstein afirmou que abrirá uma investigação interna para apurar as responsabilidades e “tomará as medidas administrativas cabíveis”. Segundo o hospital, todos os seus funcionários passam por treinamento de segurança da informação.

Já a pasta federal confirmou a parceria e disse que realizou reunião com o Einstein para esclarecimento dos fatos. De acordo com o órgão, o profissional em questão é contratado pelo hospital e atua baseado no ministério, desde setembro, como cientista de dados.

Dessa forma, os dados expostos não ficariam disponíveis para mais pessoas do Einstein, somente para esse funcionário.

“No âmbito das medidas de segurança do ministério e em atendimento aos protocolos de compliance e confidencialidade, ele assinou termo de responsabilidade antes do acesso à base de dados do e-SUS Notifica”, afirmou o Ministério da Saúde ao Estadão.

Segundo o órgão, todos os técnicos que têm acesso aos seus sistemas de informação assinam um termo de responsabilidade para uso das informações e todos estão cientes de que a divulgação de informações pessoais está sujeita a sanções penais e administrativas.

O ministério disse, ainda, que está realizando “o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados”.

Também procurado pelo Estadão, Wagner Santos teria confirmado que publicou a planilha de senhas em seu perfil no Github para a realização de um teste na implementação de um modelo, porém disse que esqueceu de remover o arquivo da página pública.

De acordo com o advogado Juliano Madalena, professor de direito digital ouvido pelo Estadão, tanto o Einstein e seu funcionário quanto o Ministério da Saúde podem ser responsabilizados por dano coletivo por terem exposto informações de milhões de pessoas.