Fraudes a cartões de vacinação no sistema do SUS expõem falhas na segurança de dados pessoais
"Só me passar CPF e nome completo, alinhamos as datas e qual veneno você prefere e lançamos no sistema como se você realmente tivesse tomado."
A mensagem acima foi enviada ao Aos Fatos por um criminoso que cumpriu a promessa.
Em reportagem publicada na segunda-feira (25), revelamos um serviço ilegal, vendido no Telegram, que usa o mesmo método investigado pela Polícia Federal no caso do tenente-coronel Mauro Cid — responsável por falsificar o cartão de vacinação do chefe, Jair Bolsonaro (PL), e de familiares de ambos durante a pandemia de Covid-19.
Assim como ocorreu no cambalacho de Cid, a quadrilha identificada também conseguiu inserir dados falsos na base do SUS, uma dose de imunizante contra febre amarela que não foi aplicada na vida real.
"Um dos problemas apontados há muito tempo em sistemas do Ministério da Saúde é que não há controle adequado de acessos", comentou à Plataforma o advogado Bruno Morassutti, cofundador e diretor de advocacy da Fiquem Sabendo, agência especializada em acesso à informação, e membro do conselho de transparência da CGU (Controladoria-Geral da União).
O Ministério da Saúde disse que o histórico de alterações dos dados sobre vacinas aplicadas "é mantido e pode ser auditado, garantindo a transparência e rastreabilidade dos dados sempre que necessário" e que irá bloquear os cadastros das pessoas envolvidas.
EM 5 PONTOS:
- Fraudes a bases de dados podem distorcer informações que guiam políticas públicas;
- O frasco de vacina pago com dinheiro público que não foi aplicado, mas foi registrado, pode ter sido revendido pelos criminosos;
- Em bases do SUS, "alguém acessa com uma credencial, e essa credencial pode fazer muita coisa lá dentro";
- A tarefa de gerir dados pessoais de 203,1 milhões de habitantes não é nada simples;
- O caso ressalta a importância de que órgãos públicos respeitem a LGPD.
A newsletter Plataforma chega ao seu email toda quarta-feira.
💉 O método Mauro Cid
Não é à toa que o criminoso chama a vacina de "veneno" na mensagem que abre esta edição. O negacionismo existe e se multiplica por meio de mentiras, problema que se agravou no Brasil durante a pandemia de Covid-19 com a postura de Bolsonaro.
Políticas públicas necessitam de dados confiáveis, um desafio a governos de todo o mundo, que lidam com quantidades crescentes de informações sobre a população.
"A gente tem a realidade brasileira, em que a administração pública está atrasada em relação às empresas privadas, principalmente as muito grandes, que já estavam sujeitas à legislação europeia", diz a advogada Eduarda Chacon Rosas, especializada em proteção de dados, que atua em casos envolvendo a LGPD (Lei Geral de Proteção de Dados).
Mesmo que aconteçam em escala pequena, fraudes como a revelada na reportagem podem gerar distorções em decisões como quantas doses cada unidade de saúde deve receber — caso ocorram, por exemplo, concentradas em uma mesma localidade.
Um comentarista no Instagram do Aos Fatos opinou: "Os caras pagam pra não tomar uma coisa que recebem DE GRAÇA na UBS", destacou em maiúsculas. "É o cúmulo da burrice", completou.
Mais que isso: a dose de imunizante de febre amarela que não foi aplicada estava na clínica? Se sim, onde ela foi parar após ter sido incluída na base do SUS?
Há espaço para mais crimes, como vender a aplicação falsa e depois vender o frasco de vacina de verdade — que, apesar de ser oferecido DE GRAÇA, foi pago com dinheiro público.
No caso das bases do SUS, o maior sistema público de saúde do mundo, "alguém acessa com uma credencial, e essa credencial pode fazer muita coisa lá dentro", diz Morassutti, da Fiquem Sabendo. "Não existe uma política de gestão adequada em relação a algumas situações."
A tarefa de gerir dados pessoais de 203,1 milhões de habitantes não é nada simples. "Para um sistema de informação do tamanho do SUS ser operacional, é importante ter compartilhamento de informações", continua o advogado. "Um cidadão de Porto Alegre, por exemplo, precisa poder acessar seu prontuário se for atendido em São Paulo."
Para Chacon Rosas, "tem um pouco também essa necessidade de ir arrumando a casa, mas que é principalmente devido à dificuldade que a administração pública tem de se estruturar para resolver essas questões".
A advogada Mariana Rielli, diretora da Data Privacy Brasil, ressaltou ao Aos Fatos que "é necessário que se cobre a responsabilidade de um sistema que detém tantos dados sensíveis, de se proteger contra ataques, não importa se em grande ou pequena escala".
Em entrevista à Plataforma #07, o diretor-presidente da ANPD, Waldemar Gonçalves, disse que a LGPD "vale para todo mundo: vale para o setor público, para o setor privado, para a grande empresa, para a microempresa, dentro da sua escala". A autarquia busca uma atuação mais focada em educar do que em sancionar eventuais burlas à lei.
Segundo o Ministério da Saúde, "a plataforma de registro de vacinas do SUS é 100% rastreável, o que tem sido fundamental para aprimorar a auditoria na base de dados e detecção de uso indevido". Casos como o revelado pela reportagem são uma boa oportunidade para rever processos e identificar falhas estruturais.