[bsa_pro_ad_space id=3 delay=8]

Data leak no Ministério da Saúde: O que ainda falta corrigir na fiscalização de dados?

Nova ocorrência contra os dados do CadSUS é mais uma dentre tantas que afetaram não só a Saúde, mas diversos outros setores do poder público nacional. Essa frequência de vazamentos levanta o questionamento sobre onde a ANPD ainda precisa agir para, de fato, manter os dados dos brasileiros protegidos

Compartilhar:

O incidente ocorrido contra o CadSUS se soma a outros registros de perdas de dados relatados pelo Ministério da Saúde nos últimos anos. Segundo os Registros de Incidentes com Dados Pessoais, mantido pela pasta, outras duas ocorrências envolveram o comprometimento e até venda ilegal da base de dados mantidas no Cadastro de Saúde. Nelas, foi possível acessar indevidamente informações como CPF; nomes próprios e de familiares; etnia ou raça; data de nascimento e de óbito; local de nascimento; entre outros registros.

 

Além desses casos, a Saúde também foi um dos alvos impactados pelo mega vazamento de dados ocorrido em 2021, quando informações críticas de mais de 220 milhões de brasileiros foram expostos nas redes e disponibilizados em fóruns clandestinos. A Polícia Federal chegou a prender o suspeito do vazamento a época, mas ele estava foragido desde novembro de 2023. O indivíduo foi reencontrado em abril desse ano.

 

Nesse contexto deflagrado de data leak, o papel da Autoridade Nacional de Proteção de Dados (ANPD) se mostra ainda mais crítico, aumentando a pressão por uma fiscalização mais rígida do tratamento das informações no poder público. Na visão dos CISOs da comunidade Security Leaders, ainda falta posicionamento da Autoridade contra órgãos governamentais, cuja base de registros pode impactar diretamente a vida dos brasileiros.

 

“Entendo que a ANPD precisa se posicionar com mais rigidez em favor da coerção contra desconformidade às normas e regras de proteção de dados. A Autoridade tem condições de assumir a mesma postura do Banco Central, garantindo padronizações e estabilidade no cuidado com informações de indivíduos”, comenta Paulo Baldin, CISO e DPO do Stark Bank.

 

Processos de sancionamento

Conforme o Ciclo de Monitoramento publicado pela organização em dezembro de 2023, há cerca de oito processos sancionadores estabelecidos desde 2022, mas, até o momento, foram acompanhados poucos desfechos. A ANPD informa que os processos foram suspensos até que a autoridade produzisse uma norma de dosimetria das penas, o que foi feito em fevereiro de 2023. Desde então, apenas três dos oito processos foram encerrados.

 

O primeiro foi o processo contra a empresa privada Telekall Infoservices, que decidiu pela multa de R$ 14,4 mil por deixar de atender as requisições feitas pela ANPD. Após essa primeira sanção, dois órgãos públicos – a Secretaria de Saúde de Santa Catarina e o Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (Iamspe) – também foram punidos, mas apenas com advertências.

 

Dois dos processos administrativos ainda não julgados são relativos ao Ministério da Saúde, relacionados a desconformidades com a Lei Geral de Proteção de Dados (LGPD). Isso inclui não comunicação de incidente de Segurança à ANPD, não indicação de um encarregado de dados e ausência do relatório de incidente com dados sensíveis. A ANPD foi contatada a respeito do andamento desses processos, mas até o momento, a Security Report não obteve resposta.

 

Equilíbrio na fiscalização

Apesar desses avanços esporádicos, mais de 60% dos processos de fiscalização da ANPD seguem mirando o poder público, o que, segundo especialistas, demonstra falta de maturidade do governo em tratar dos dados do cidadão. Da mesma forma, ações de peso, como as direcionadas ao Ministério da Saúde, seguem sem avançar, apesar da gravidade dos incidentes relatados.

 

“O papel principal da ANPD é zelar pela proteção de dados dos titulares, por isso, tanto empresas privadas quanto públicas podem ser multadas pela Autoridade se estiverem em desacordo com a legislação, e não para satisfazer clamores populares e de mercado. O objetivo é satisfazer o interesse público e o cumprimento de sua maior competência”, comentou Alexandra Krastins Lopes, especialista em Direito Digital do PG Advogados.

 

Conteúdos Relacionados

Security Report | Destaques

ALLOS eleva maturidade em Segurança Cibernética com jornada tecnológica

Em parceria com a NetSecurity, a administradora de shoppings conseguiu integrar e automatizar processos, proporcionando uma resposta eficaz a incidentes...
Security Report | Destaques

Eneva aposta em assessment para construir uma infraestrutura de segurança resiliente

Em parceria com a Cisco, a empresa decidiu priorizar uma abordagem personalizada para construir uma infraestrutura sólida e robusta. Case...
Security Report | Destaques

Prêmio Security Leaders: inscrições abertas

O Prêmio mais cobiçado do mercado de Segurança da Informação e Cibernética está no ar. Líderes, Heads e CISOs podem...
Security Report | Destaques

O Burnout Silencioso dos CISOs

Cada vez mais pesquisas de instituições relevantes apontam um processo acentuado de exaustão por parte dos Líderes de Segurança em...