O vazamento de dados da lista de espera do SUS em Santa Catarina, vinculada ao serviço de regulação hospitalar, em agosto de 2021, resultou em sanções contra a Secretaria de Estado da Saúde aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados)
ANPD disse que SES violou artigos da LGPD – Foto: PixabayA ANPD constatou que o órgão violou artigos da LGPD (Lei Geral de Proteção de Dados Pessoais). A medida consta em decisão da Coordenação-Geral de Fiscalização (CGF) no processo administrativo sancionador contra a SES.
O órgão apontou que após sofrer o ataque hacker não comunicou sobre quais dados pessoais poderiam ter sido objeto desse incidente de forma clara, adequada e tempestiva. Foram cerca de 300 mil titulares de dados vítimas do incidente, que não receberam comunicação da Secretaria.
Segundo a ANPD, a falta de clareza, inadequação e intempestividade do comunicado aos titulares foi considerada uma infração ao art. 48 da LGPD, o qual prevê que o controlador de dados pessoais deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
No relatório da ANPD diz que o objeto do incidente de segurança teria sido a exfiltração de parte da base de dados da lista de espera do SUS em Santa Catarina, vinculada ao serviço de regulação hospitalar, disponibilizado no site.
Além disso, a base de dados estaria armazenada em um servidor hospedado pelo Ciasc (Centro de Informática e Automação do Estado de Santa Catarina S.A.) o qual não teria adotado mecanismo de controle de acesso aos usuários ou de acesso à rede.
4GB de dados vazados
A SES alegou a ANPD terem sido exfiltrados 4GB de dados (1,2 milhão de registros). Porém teriam sido sido afetados 48 mil titulares, a base conteria registros duplicados ou referentes a um mesmo titular.
Sede da SES – Foto: James Tavares/Secom/Divulgação/NDOs titulares seriam pacientes e prestadores de serviço, com nome completo, filiação de mãe, CPF, endereço, contato de telefone, nome do médico que realizou o atendimento, nome do procedimento ou consulta agendado.
Como consequência do incidente, ficou evidente a possibilidade de aplicação de golpes utilizando os dados cadastrais e de saúde.
Das quatro infrações, três foram consideradas graves pela ANPD. Uma delas a SES infringiu o art. 49 da LGPD ao negligenciar a segurança dos sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina atendidos pelo sistema estadual público de saúde.
Em resposta às violações, a ANPD aplicou quatro sanções de advertência, uma para cada infração. A SES-SC terá, ainda, que tomar as seguintes medidas corretivas, dentre outras: manter um comunicado geral de incidente de segurança (CIS) em seu sítio na Internet por 90 dias e informar diretamente os titulares de dados pessoais identificados como vítimas do incidente.
A SES-SC tem 10 dias úteis, a contar do recebimento da intimação, para recorrer.
Formas de mitigar os danos
A SES informou está ciente do processo por parte da ANPD. E de forma proativa, está desenvolvendo formas de mitigar os danos. De acordo com a SES, à época do vazamento, a Secretaria publicou notas informativas aos usuários sobre a situação, com indicação de como verificar a situação dos seus dados, bem como, mantém um canal de comunicação aberto para demais esclarecimentos.
LGPD na prática: afinal, servidor/empregado é operador de dados?, por Marina Ferraz de Miranda e Tayná Tomaz de Souza – Foto: JusCatarina/Arquivo/ND“A SES reforça que está trabalhando para garantir o adequado andamento da demanda de acordo com as normas da Lei Geral de Proteção de Dados (LGPD)”, afirmou em nota.
“Reforçamos que a Nota de Esclarecimento sobre o ocorrido segue publicada nos sites da Secretaria. Ademais, novas estratégias estão sendo elaboradas para dar ainda mais visibilidade a questão”.
A SES reforçou ainda que está trabalhando para garantir o adequado andamento da demanda de acordo com as normas da LGPD.
Ciasc se manifesta
O Ciasc emitiu nota e disse que “não atua como operador dos dados do site Lista de Espera do SUS, que no momento do incidente ocorrido em 2021 era hospedado em seus servidores, porém operado por uma empresa terceirizada pelo contratante”.
O órgão estadual enfatizou ainda que adota todos os mecanismos de controle necessários para garantir a segurança de dados em seu Data Center. “A empresa está tomando as providências cabíveis para o esclarecimento dos fatos e a devida responsabilização dos envolvidos”.