CGU multa Hospital Albert Einstein em R$ 210 mil por vazamento de dados pessoais

A Controladoria-Geral da Uni√£o, no apagar das luzes do ano passado, multou em R$ 210 mil o Hospital Albert Einstein, conforme consta na Decis√£o n.¬ļ 389, publicada no Di√°rio Oficial da Uni√£o de 29/12/2022, se√ß√£o 1, p√°g. 978.

adoto, como fundamento deste ato o Relat√≥rio Final da Comiss√£o de Processo Administrativo de Responsabiliza√ß√£o, e o Parecer n¬ļ 0026/2022/CONJUR-CGU/CGU/AGU, de 09 de fevereiro de 2022, aprovado pelo Despacho n¬ļ 843/2022/CONJUR-CGU/CGU/AGU da Consultoria Jur√≠dica junto a esta Controladoria-Geral da Uni√£o, para, nos termos dos artigos 33, inciso II, da Lei n.¬ļ 12.527, de 18 de novembro de 2011 - Lei de Acesso √† Informa√ß√£o, e, arts.66, inciso II e ¬ß 2.¬ļ, inciso II, do Decreto n¬ļ 7.724, de 16 de maio de 2012,

O art. 33, inciso II, da Lei de Acesso √† Informa√ß√£o ‚Äď LAI √© o que prev√™ a aplicabilidade de multa a pessoa f√≠sica ou entidade privada que detiver informa√ß√Ķes em raz√£o com v√≠nculo com √≥rg√£o p√ļblico:

Art. 33. A pessoa f√≠sica ou entidade privada que detiver informa√ß√Ķes em virtude de v√≠nculo de qualquer natureza com o poder p√ļblico e deixar de observar o disposto nesta Lei estar√° sujeita √†s seguintes san√ß√Ķes:

I - advertência;

II - multa;

Seguindo com o conte√ļdo da decis√£o:

aplicar √† pessoa jur√≠dica SOCIEDADE BENEFICENTE ISRAELITA BRASILEIRA HOSPITAL ALBERT EINSTEIN, CNPJ n¬ļ 60.765.823/0001-30, por ter praticado os atos lesivos tipificados no arts. 31, ¬ß 2.¬ļ e 32, IV, ambos da Lei n.¬ļ 12.527, de 18 de novembro de 2011 - Lei de Acesso √† Informa√ß√£o, e, arts.65, inciso IV e 66, ambos do Decreto n¬ļ 7.724, de 16 de maio de 2012,

O art. 31, ¬ß2¬ļ trata da responsabiliza√ß√£o pelo uso indevido das informa√ß√Ķes pessoais:

Art. 31. O tratamento das informa√ß√Ķes pessoais deve ser feito de forma transparente e com respeito √† intimidade, vida privada, honra e imagem das pessoas, bem como √†s liberdades e garantias individuais.

(…)

¬ß 2¬ļ Aquele que obtiver acesso √†s informa√ß√Ķes de que trata este artigo ser√° responsabilizado por seu uso indevido.

Já o inciso IV do art. 32 trata das hipóteses de condutas indevidas, na qual se enquadraria a situação identificada como vazamento de dados pessoais:

Art. 32. Constituem condutas il√≠citas que ensejam responsabilidade do agente p√ļblico ou militar:

(…)

IV - divulgar ou permitir a divulgação ou acessar ou permitir acesso indevido à informação sigilosa ou informação pessoal;

O incidente

Ap√≥s pesquisar o assunto, parece se referir ao vazamento de dados pessoais noticiado pela imprensa em novembro de 2020. Aparentemente um empregado do hospital tinha acesso a um sistema no Minist√©rio da Sa√ļde que daria acesso a informa√ß√Ķes pessoais e m√©dicas de 16 milh√Ķes de brasileiros. Segundo a mat√©ria da TI Inside, que cita uma mat√©ria do Estad√£o, esse empregado armazenaria essas credenciais de acesso em uma planilha.

Segundo a publica√ß√£o, a planilha com as informa√ß√Ķes foi publicada em 28 de outubro no perfil pessoal de ****** ******, cientista de dados que atua no Hospital Albert Einstein, na plataforma ‚ÄúGithub‚ÄĚ, usada por programadores para hospedar c√≥digos e arquivos.

O jornal diz ainda, que entre as pessoas que tiveram a privacidade violada, com exposi√ß√£o de informa√ß√Ķes como CPF, endere√ßo, telefone e doen√ßas pr√©-existentes, est√£o o presidente **** ********* e familiares; o ministro da Sa√ļde, ******* ********; outros seis titulares de minist√©rios, como **** ********* e ********* *****; o governador de S√£o Paulo, **** ***** (PSDB), e mais 16 governadores; al√©m dos presidentes da C√Ęmara, ******** **** (DEM-RJ), e do Senado, **** *********** (DEM-AP).

As informa√ß√Ķes ficaram abertas para consulta ap√≥s o funcion√°rio do hospital divulgar uma lista com usu√°rios e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid-19 nos 27 Estados. Conforme o Einstein, o hospital tem acesso aos dados porque est√° trabalhando em um projeto com o Minist√©rio da Sa√ļde.

Segundo o Estad√£o, o funcion√°rio

confirmou que publicou a planilha de senhas em seu perfil na plataforma github para a realiza√ß√£o de um teste na implementa√ß√£o de um modelo, por√©m esqueceu de remover o arquivo da p√°gina p√ļblica.

e as credenciais ficaram expostas durante quase um mês. Quando o fato foi descoberto,

o Departamento de Inform√°tica do SUS (DataSUS) revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha divulgada pelo funcion√°rio do Einstein.

Reconsideração

O prazo para pedido de reconsideração da empresa em relação à decisão de multa expira em dez dias, o que terminou ontem. Curioso notar que a decisão citou o Decreto 8.420/2015

Os efeitos desta decis√£o ficam suspensos at√© o decurso do prazo previsto no artigo 11 do Decreto n¬ļ 8.420, de 18 de mar√ßo de 2015, e, caso haja apresenta√ß√£o de pedido de reconsidera√ß√£o, at√© o seu julgamento.

sendo que que na data da publicação da decisão esse decreto já estava revogado pelo Decreto 11.129, de 11 de julho de 2022, que o substituiu. O novo decreto contudo, estabelece o mesmo prazo em seu artigo 12.

1 curtida

Interessante o caso. Vi também que houve 4 TACs firmados por servidores da UFCG por descumprimento da LAI:

Ah, sim. Eu tinha recebido as notifica√ß√Ķes desses casos tamb√©m. Todos por descumprimento de prazos.