No dia 10 de dezembro de 2021, o site do Ministério da Saúde foi invadido por hackers que ameaçaram bloquear o conteúdo da plataforma de maneira permanente. Plataformas como o Conect SUS, responsável pela emissão de
Certificado Nacional de Vacinação da COVID-19, ficaram fora do ar.

O bloqueio de informações foi realizado através de um software conhecido como “ransomware”. Em tradução livre, o termo “ransom” em inglês significa “resgate”. Em resumo, o “ransomware” atual sequestrando os dados de um computador ou plataforma, criptografando-o de maneira que o próprio dono do conteúdo não consegue acessar. Para liberação do site, os “sequestradores” solicitam um resgate, geralmente em criptomoedas, mais difíceis de serem rastreadas.

No entanto, os dados capturados pelo ataque hacker foram informações pessoais sobre a saúde de grande parte dos brasileiros. Informações como doenças que já tiveram ou ainda têm, cirurgias que já foram realizadas através do SUS, quantidade de atendimentos já realizas pelos cidadãos, todas esses dados estão cadastrados nos SUS e poderiam ser vazados pelos criminosos.

O cerne da problemática consiste na natureza de tais dados. De acordo com a Lei Geral de Proteção de Dados Pessoais, em seu art. 5º, II, considera-se dado pessoal sensível aquele referente à saúde, isto é, qualquer informação que envolva questões de saúde só poderia ser liberada em casos de urgência e extrema necessidade, com a necessária autorização do titular dos dados ou por cumprimento de obrigação legal ou da administração pública.

Assim, caso os dados fossem de fato vazados, o material poderia ser utilizado contra os próprios titulares. A possibilidade de discriminação de pessoas com determinadas doenças estigmatizadas, além do uso de tais informações pelos planos de saúde para variação de preços por conta de doença preexistente ou frequência de atendimentos médicos, ainda que vedado pelo art. 11, §5º da LGPD, poderiam onerar o titular dos dados de maneira significativa.

A própria LGDP garante a possibilidade de reparação de danos causados por vazamento de dados sensíveis, como disposto em seu artigo 42, dispondo que “o controlador ou o operador que, em razão do exercício de atividade de
tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”. Nesse caso, o Poder Público necessitaria demonstrar a culpa exclusiva de terceiros, ainda que a invasão tenha sido causada por falha de segurança (art. 43, III, da LGPD).

De toda forma, o desfecho do caso foi positivo, tendo o Ministério da Saúde conseguido recuperar todos os dados já no dia seguinte, sem demais prejuízos. No entanto, a invasão acende um alerta para as autoridades do país
quanto a necessidade de investimento em sistemas de segurança mais avançados, garantindo a segurança não somente da própria Administração, mas principalmente dos dados pessoais sensíveis dos brasileiros, os quais seriam os mais afetados em uma hipótese de vazamento.

Não somente o serviço público, mas o setor privado também precisa estar atento à segurança e privacidade dos dados que são tratados nas empresas, desde informações de funcionários até dados de clientes e associados. A LGPD já entrou em vigor desde agosto de 2020, e, com a criação da Autoridade Nacional de Proteção de Dados – ANPD, responsável por editar e fiscalizar normas e procedimentos relacionados à proteção de dados pessoais, é cada mais urgente que as empresas sigam as novas regras de tratamento de informações.

Ressalta-se que as grandes empresas não são as únicas a sofrerem fiscalização, mas micro e pequenas empresas também passam por verificação de conformidade com a lei. Tanto é verdade que a própria ANPD criou o “Guia
Orientativo Sobre Segurança da Informação Para Agentes de Tratamento de Pequeno Porte”, objetivando alertar sobre a obrigatoriedade do enquadramento.

Escrito por Amanda Beatriz Bezerra de Andrade, Advogada do Escritório Barros Lins & Santiago Sociedade de Advogados.
https://www.linkedin.com/company/barroslinsesantiag