Análise: Contratações do governo não seguem princípios de prevenção e segurança de dados
Caso do vazamento de senhas que permitiu a visualização de informações sensíveis de pacientes de covid-19, denunciado semana passada pelo 'Estadão', não pode ser visto isoladamente
Após quase dois anos e meio da sanção da Lei Geral de Proteção de Dados (LGPD), o governo brasileiro tem demonstrado dificuldades em fazer valer o princípio da prevenção, que exige adotar medidas para prevenir a ocorrência de danos no tratamento de dados pessoais.
O caso do vazamento de senhas que permitiu a visualização de informações sensíveis de pacientes de covid-19, denunciado semana passada pelo Estadão, não pode ser visto isoladamente, considerando as denúncias de entidades civis sobre outras vulnerabilidades que permitem a exposição de dados de saúde. Incidentes de segurança em razão de más práticas de acesso ao sistema ElasticSearch não são novidade.
Em outubro de 2019, um incidente envolvendo a PeopleDataLab revelou mais de 1 bilhão de arquivos contendo dados pessoais. Em novembro, a rede hoteleira AccorHotels, por meio da empresa francesa Gekko Group, "vazou" mais de 1 terabyte de dados de clientes, graças a uma base de dados mal protegida e acessível via ElasticSearch. No Brasil, a Fiesp sofreu com problema semelhante em 2018.
O caso mais recente do Ministério da Saúde, no entanto, apresenta características próprias. A exposição de senha codificada de acesso ao sistema ElasticSearch, por meio de exposição nas linhas de código do sistema E-SUS Notifica, demonstra vulnerabilidade grave, diante de dados extremamente sensíveis. Conforme analogia da Open Knowledge Brasil, é como "esquecer a chave pendurada na porta do cofre". Trata-se de falha lesiva ao direito, caso tenha sido realizada por empresa contratada pelo Ministério da Saúde para desenvolvimento do sistema.
Levando em consideração a LGPD, a responsabilidade pelo mais novo incidente é do Ministério da Saúde, que possui um dever de supervisão de empresas que desenvolvem soluções para o governo. Os vários casos ocorridos este ano revelam que os princípios da prevenção e da segurança, assegurados na LGPD, não estão sendo seguido nessas contratações. Há riscos de casos futuros e mais danos coletivos, caso os protocolos e procedimentos não sejam revistos, evitando falhas que permitam a exposição de dados sensíveis. Vale lembrar que práticas reiteradas de ilícito são passíveis de tutela inibitória, independentemente de culpa ou dolo.
*ADVOGADO E DIRETOR EXECUTIVO DA ASSOCIAÇÃO DATA PRIVACY BRASIL DE PESQUISA
