O incidente ocorrido contra o CadSUS se soma a outros registros de perdas de dados relatados pelo Ministério da Saúde nos últimos anos. Segundo os Registros de Incidentes com Dados Pessoais, mantido pela pasta, outras duas ocorrências envolveram o comprometimento e até venda ilegal da base de dados mantidas no Cadastro de Saúde. Nelas, foi possível acessar indevidamente informações como CPF; nomes próprios e de familiares; etnia ou raça; data de nascimento e de óbito; local de nascimento; entre outros registros.
Além desses casos, a Saúde também foi um dos alvos impactados pelo mega vazamento de dados ocorrido em 2021, quando informações críticas de mais de 220 milhões de brasileiros foram expostos nas redes e disponibilizados em fóruns clandestinos. A Polícia Federal chegou a prender o suspeito do vazamento a época, mas ele estava foragido desde novembro de 2023. O indivíduo foi reencontrado em abril desse ano.
Nesse contexto deflagrado de data leak, o papel da Autoridade Nacional de Proteção de Dados (ANPD) se mostra ainda mais crítico, aumentando a pressão por uma fiscalização mais rígida do tratamento das informações no poder público. Na visão dos CISOs da comunidade Security Leaders, ainda falta posicionamento da Autoridade contra órgãos governamentais, cuja base de registros pode impactar diretamente a vida dos brasileiros.
“Entendo que a ANPD precisa se posicionar com mais rigidez em favor da coerção contra desconformidade às normas e regras de proteção de dados. A Autoridade tem condições de assumir a mesma postura do Banco Central, garantindo padronizações e estabilidade no cuidado com informações de indivíduos”, comenta Paulo Baldin, CISO e DPO do Stark Bank.
Processos de sancionamento
Conforme o Ciclo de Monitoramento publicado pela organização em dezembro de 2023, há cerca de oito processos sancionadores estabelecidos desde 2022, mas, até o momento, foram acompanhados poucos desfechos. A ANPD informa que os processos foram suspensos até que a autoridade produzisse uma norma de dosimetria das penas, o que foi feito em fevereiro de 2023. Desde então, apenas três dos oito processos foram encerrados.
O primeiro foi o processo contra a empresa privada Telekall Infoservices, que decidiu pela multa de R$ 14,4 mil por deixar de atender as requisições feitas pela ANPD. Após essa primeira sanção, dois órgãos públicos – a Secretaria de Saúde de Santa Catarina e o Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe) – também foram punidos, mas apenas com advertências.
Dois dos processos administrativos ainda não julgados são relativos ao Ministério da Saúde, relacionados a desconformidades com a Lei Geral de Proteção de Dados (LGPD). Isso inclui não comunicação de incidente de Segurança à ANPD, não indicação de um encarregado de dados e ausência do relatório de incidente com dados sensíveis. A ANPD foi contatada a respeito do andamento desses processos, mas até o momento, a Security Report não obteve resposta.
Equilíbrio na fiscalização
Apesar desses avanços esporádicos, mais de 60% dos processos de fiscalização da ANPD seguem mirando o poder público, o que, segundo especialistas, demonstra falta de maturidade do governo em tratar dos dados do cidadão. Da mesma forma, ações de peso, como as direcionadas ao Ministério da Saúde, seguem sem avançar, apesar da gravidade dos incidentes relatados.
“O papel principal da ANPD é zelar pela proteção de dados dos titulares, por isso, tanto empresas privadas quanto públicas podem ser multadas pela Autoridade se estiverem em desacordo com a legislação, e não para satisfazer clamores populares e de mercado. O objetivo é satisfazer o interesse público e o cumprimento de sua maior competência”, comentou Alexandra Krastins Lopes, especialista em Direito Digital do PG Advogados.
