A Prefeitura de São Paulo deixou expostos na internet dados pessoais e até mesmo detalhes do prontuário médico de pacientes atendidos pelo SUS e servidores da
Secretaria Municipal de Saúde.
As informações se referem aos registros de centenas de milhares de pessoas –podendo alcançar 650 mil, segundo planilhas disponibilizadas.
Estavam abertas informações como nome completo, CPF, endereço e número de telefone. Em relação às pacientes, praticamente todas gestantes, havia ainda detalhes sobre parto (se foi prematuro) e gravidez (se era de risco ou se houve algum aborto).
Os dados podiam ser encontrados e acessados, sem necessidade de senha ou nome de usuário, por qualquer um que fazia buscas em sites como Google –por exemplo, com as palavras "extranet", "prefeitura" e "São Paulo".
Questionada pela Folha na manhã desta terça (5), a gestão Fernando Haddad (PT) retirou as planilhas da internet por volta das 16h. A prefeitura também diz que foi aberto processo para apurar a responsabilidade pela falha.
Ainda não é possível saber se esse problema ocorreu só na gestão Haddad ou se os dados estão expostos no site desde administrações anteriores.
As informações divulgadas foram registradas no período de 2001 a 2007. Segundo as planilhas, elas se referem a até 350 mil pacientes mulheres e até 300 mil servidores e ex-servidores públicos.
Constavam nomes de 15.926 mães que tiveram bebês nascidos com menos de sete meses de gestação, 4.237 com abortos e 181 com mortes de recém-nascidos. Em alguns casos, havia inclusive a data de aborto da mulher registrada no serviço de saúde.
A Folha consultou individualmente os dados de 15 pessoas que aparecem nas planilhas e confirmou a veracidade das informações –com elas, por telefone, ou com outros sistemas oficiais que disponibilizam só parte dos dados gerais (sem CPF e telefone residencial, por exemplo).
O banco de dados, voltado para controle interno da secretaria, estava em endereço referente à intranet da pasta, ambiente digital que deveria ser protegido por mecanismos de segurança digital.
De acordo com uma portaria de 2009 do Ministério da Saúde, os usuários do SUS (Sistema Único de Saúde) têm direito ao "sigilo e à confidencialidade de todas as informações pessoais, mesmo após a morte, salvo nos casos de risco à saúde pública".
José Geraldo Romanello Bueno, professor do Mackenzie e especialista em direito médico, diz que os ofendidos pela divulgação dos dados podem pedir indenização. "Causa constrangimento."
"A pessoa estará muito mais exposta a ataques de variadas naturezas", diz Wagner Meira Jr., professor de ciência da computação da Universidade Federal de Minas Gerais e especialista em segurança na internet. "É o que se chama de roubo de identidade."
Outro risco é a divulgação da informação para empresas seguradoras de saúde. "[Os planos] passariam a selecionar os seus clientes com base no histórico médico", afirma Silvio Romero Beltrão, professor de direito da Universidade Federal de Pernambuco.
EXPOSIÇÃO INDEVIDA
Site da Secretaria Municipal de Saúde com dados pessoais de pacientes e funcionários foi tirado do ar às 16h
Até 650 mil pessoas
que passaram pela rede municipal de saúde entre 2001 e 2007 foram expostas, podendo chegar a 350 mil grávidas e 300 mil servidores do SUS
Site da intranet
A página dava acesso a uma grande base de dados em tabelas que podia ser baixada
Dados que estavam disponíveis*
Servidores
> Nome completo
> CPF
> Endereço
> Telefone
> Data de admissão e demissão
> Nome completo
> CPF
> Endereço
> Telefone
> Data de admissão e demissão
Grávidas
> Nome completo
> CPF
> Endereço
> Telefone
> Data da última menstruação
> Nível de risco da gestação
> Ocorrência de aborto
> Outros
> Nome completo
> CPF
> Endereço
> Telefone
> Data da última menstruação
> Nível de risco da gestação
> Ocorrência de aborto
> Outros
Onde estavam as informações
Em uma versão antiga da intranet (site interno) da Secretaria Municipal de Saúde que ficou aberta –ou seja, não exigia senha. Bastava digitar o link ou procurar o site em ferramentas de busca para se chegar ao materialQuais danos o vazamento pode trazer
> Constrangimento para as pacientes> Falsificação de documentos
> Uso comercial dos dados por planos de saúde
* Para algumas pessoas, nem todas as informações estavam disponíveis
APURAÇÃO
A Secretaria de Saúde da gestão Fernando Haddad (PT) afirma que as informações sobre pacientes e funcionários foram retiradas do ar e que foi aberto um processo para apurar a responsabilidade pela exposição desses dados pessoais na internet.
Por meio de uma nota enviada à reportagem, a pasta afirma que "trabalha pela proteção dos dados dos pacientes e funcionários e constantemente avalia seus protocolos de acesso e segurança".
Segundo a secretaria, os dados expostos fazem parte de um "canal interno" que está "fora de uso desde o início de 2013", primeiro ano de mandato do prefeito Haddad.
Diz que eles estão hospedados na Prodam (empresa de tecnologia da prefeitura) com outras informações, "todas protegidas por uso de senha e login de acesso restrito".
Oficialmente, a prefeitura divulga dados sobre sua rede de saúde, como quantidade de atendimentos, mas sem informações pessoais dos pacientes. Em relação aos servidores, o portal da transparência expõe dados como remuneração e cargo, mas não números de documentos ou endereço e telefone residencial.
A Secretaria Municipal de Saúde não respondeu a outros questionamentos feitos pela reportagem. Por exemplo, sobre há quanto tempo os dados pessoais estavam acessíveis na internet e detalhes sobre a segurança dessas informações.
Fonte: Folha de São Paulo
Nenhum comentário:
Postar um comentário
Sua opinião é muito importante para nós, comente essa matéria!