Além dos efeitos do ataque hacker, usuários do ConecteSUS sofrem com erros nos cadastros
Além da falta de acesso aos comprovantes de vacinação devido ao ataque hacker à plataforma na madrugada desta sexta-feira (10), uma parcela dos usuários do aplicativo ConecteSUS enfrenta problemas com falhas nos registros dos dados pessoais no aplicativo.
Entre agosto e outubro deste ano, o Ministério da Saúde recebeu 50.064 pedidos de correção de dados registrados no ConecteSUS, segundo informações da própria pasta obtidas pelo g1 por meio da Lei de Acesso à Informação. Até esta sexta, o aplicativo reunia cerca de 190 milhões de usuários — todos os cadastrados no Sistema Único de Saúde (SUS).
Entre esses usuários, há nomes grafados incorretamente; erros nos nomes dos pais; informação trocada no campo "gênero"; erros no nome e no número de doses da vacina; casos de pessoas vivas apontadas como mortas; e brasileiros natos com outra nacionalidade.
As falhas no registro dos dados pessoais no ConecteSUS afetam a emissão correta do Certificado Nacional de Vacinação contra a Covid-19 desses usuários e podem impedir a aplicação de doses adicionais da vacina contra a Covid e o acesso a medicamentos e tratamento no SUS. Além disso, em várias partes do país, estados e municípios passaram a exigir comprovação de imunização completa contra a Covid para acesso a serviços públicos e uma série de atividades presenciais.
Segundo especialistas (leia mais abaixo), antes mesmo do ataque hacker, as falhas nos registros já indicavam vulnerabilidade dos sistemas do SUS.
O Ministério da Saúde afirma que a responsabilidade pelo acesso e pelas alterações nos dados de usuários é de “agentes públicos legalmente autorizados”.
Em resposta ao questionamento do g1, o ministério informou que há 260 mil operadores habilitados — responsáveis pela manipulação dos dados — vinculados às secretarias de saúde estaduais, municipais e do Distrito Federal. Segundo a pasta, esses órgãos “têm competência para tomar as medidas cabíveis junto aos operadores”.
De acordo com o ministério, não é possível informar a quantidade de casos em que as falhas de preenchimento em cadastros de usuários foram corrigidas.
Alterações indevidas
Antes mesmo do ataque hacker ao ministério, especialistas alertavam que brechas nos sistemas da pasta possibilitariam, além do sequestro de dados, alterações sem critérios em informações pessoais.
Em parte dos casos, o cadastro foi deliberadamente adulterado, conforme informou o próprio ministério. Segundo a pasta, essas adulterações foram cometidas por operadores que, após apuração interna, tiveram os acessos ao sistema bloqueados.
Um desses casos é o da presidente nacional do PT, deputada Gleisi Hoffmann (PR). Em junho deste ano, ao se apresentar para tomar a primeira dose da vacina contra a Covid, a enfermeira do posto de saúde informou, segundo a deputada, que ela estava registrada como "morta" no prontuário. No campo reservado ao nome, disse, estava escrito "Bolsonaro". De acordo com a parlamentar, os dados pessoais já foram corrigidos.
O líder do Movimento dos Trabalhadores Sem Teto (MTST), ex-candidato à Prefeitura de São Paulo Guilherme Boulos (PSOL), e a ex-deputada e ex-candidata à Prefeitura de Porto Alegre Manuela D’Ávila (PCdoB) também se disseram alvos de adulteração nos registros do SUS.
“[Os dados] foram alterados por ofensas e xingamentos grosseiros”, disse Boulos. Manuela D'Ávila afirmou ter sido declarada morta. O registro havia sido corrigido, mas, na última quinta (9), a ex-deputada voltou a dizer, em redes sociais, que a carteira de vacinação foi novamente alterada.
O microbiologista Atila Iamarino e os youtubers Felipe Neto, Felipe Castanhari e Nyvi Estephan também identificaram inconsistências nos cadastros pessoais do SUS.
Iamarino disse ter sido classificado por um operador com credencial de médico em Porto Velho como “morto" e que no cadastro dele havia frases com apologia nazista e ofensas. Segundo informou, o cadastro foi corrigido no último dia 2. De acordo com o ministério, o operador teve o acesso ao sistema bloqueado, mas a pasta não esclareceu se ele sofreu alguma sanção.
O que prevê a lei
Segundo a portaria que estabeleceu o ConecteSUS, o acesso aos dados está sujeito à Lei Geral de Proteção de Dados Pessoais (LGPD), que tem como alguns de seus fundamentos o respeito à privacidade, a autodeterminação informativa e a inviolabilidade da intimidade, da honra e da imagem.
No aplicativo, os usuários podem consultar uma nota informativa que reforça o critério sigiloso e inviolável dos dados: “Os acessos não autorizados e usos indevidos por usuários da RNDS [Rede Nacional de Dados em Saúde] estão sujeitos a penalidades previstas na legislação”.
Desde agosto, o uso e a manipulação indevida de dados podem ser punidos com base na LGPD. A aplicação das sanções, que podem chegar a R$ 50 milhões, cabe à Autoridade Nacional de Proteção de Dados (ANPD).
Órgãos públicos, de acordo com a agência, podem sofrer “advertência, publicização da infração, bloqueio ou eliminação dos dados, suspensão parcial, total ou proibição total do funcionamento do banco ou da atividade de tratamento”.
Especialistas apontam riscos
Fabro Steibel, diretor-executivo do ITS (Instituto de Tecnologia e Sociedade) e membro do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, argumenta que os milhares de erros e relatos de adulterações nos dados caracterizam “problemas sérios de segurança da informação” nas aplicações oferecidas pelo Ministério da Saúde.
Segundo ele, auditorias externas deveriam ser realizadas para garantir que o sistema cumpre os critérios da legislação de proteção aos dados pessoais.
“Coisas tão importantes assim têm que ter uma auditoria por fora. A gente tem que ver quem tem acesso a essa base porque as bases são conectadas. Fazer o monitoramento desses parceiros da base de dados do ecossistema”, acrescenta.
Na avaliação de Danilo Doneda, advogado e professor no Instituto Brasiliense de Direito Público (IDP), as condutas adotadas por credenciados podem ser submetidas às “devidas punições administrativas”, como prevê a norma informativa localizada no ConecteSUS. Para ele, o ministério deveria se comprometer em divulgar, com transparência, os casos.
“A pessoa que tem uma credencial para modificar dados no sistema não tem permissão para fazer ao seu bel-prazer. No momento em que ele usa aquilo para manipulação – seja política ou seja o que for – ele vai prejudicar as pessoas, realizando um tratamento ilícito de dados pessoais”, acrescenta.
As seguidas denúncias de mudanças em dados nos sistemas comprovam, de acordo com Doneda, que há uma conduta controversa dos operadores, apoiados em uma “falha no sistema” que permite a alteração de dados sem muitas barreiras. Todas podem ser submetidas aos critérios vigentes da LGPD.
Além de solicitar a correção dos dados ao Ministério da Saúde, Danilo Doneda sugere que as pessoas cujos dados tenham sido alterados de maneira ilegal recorram à ANPD para o registro e a apuração formal da denúncia.
Ministério diz adotar medidas
Em nota enviada ao g1, o Ministério da Saúde esclarece que tem adotado medidas “quando são identificadas alterações indevidas em cadastros de pessoas públicas”. No entanto, os casos são comunicados “às autoridades competentes” só “quando necessário”.
A orientação para pessoas que não são consideradas públicas é que procurem a ouvidoria da pasta, por meio do número 136.
Fonte: Kevin Lima *, G1 — Brasília