A Controladoria-Geral da União, no apagar das luzes do ano passado, multou em R$ 210 mil o Hospital Albert Einstein, conforme consta na Decisão n.º 389, publicada no Diário Oficial da União de 29/12/2022, seção 1, pág. 978.
adoto, como fundamento deste ato o Relatório Final da Comissão de Processo Administrativo de Responsabilização, e o Parecer nº 0026/2022/CONJUR-CGU/CGU/AGU, de 09 de fevereiro de 2022, aprovado pelo Despacho nº 843/2022/CONJUR-CGU/CGU/AGU da Consultoria Jurídica junto a esta Controladoria-Geral da União, para, nos termos dos artigos 33, inciso II, da Lei n.º 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação, e, arts.66, inciso II e § 2.º, inciso II, do Decreto nº 7.724, de 16 de maio de 2012,
O art. 33, inciso II, da Lei de Acesso à Informação – LAI é o que prevê a aplicabilidade de multa a pessoa física ou entidade privada que detiver informações em razão com vínculo com órgão público:
Art. 33. A pessoa física ou entidade privada que detiver informações em virtude de vínculo de qualquer natureza com o poder público e deixar de observar o disposto nesta Lei estará sujeita às seguintes sanções:
I - advertência;
II - multa;
Seguindo com o conteúdo da decisão:
aplicar à pessoa jurídica SOCIEDADE BENEFICENTE ISRAELITA BRASILEIRA HOSPITAL ALBERT EINSTEIN, CNPJ nº 60.765.823/0001-30, por ter praticado os atos lesivos tipificados no arts. 31, § 2.º e 32, IV, ambos da Lei n.º 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação, e, arts.65, inciso IV e 66, ambos do Decreto nº 7.724, de 16 de maio de 2012,
O art. 31, §2º trata da responsabilização pelo uso indevido das informações pessoais:
Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.
(…)
§ 2º Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido.
Já o inciso IV do art. 32 trata das hipóteses de condutas indevidas, na qual se enquadraria a situação identificada como vazamento de dados pessoais:
Art. 32. Constituem condutas ilícitas que ensejam responsabilidade do agente público ou militar:
(…)
IV - divulgar ou permitir a divulgação ou acessar ou permitir acesso indevido à informação sigilosa ou informação pessoal;
O incidente
Após pesquisar o assunto, parece se referir ao vazamento de dados pessoais noticiado pela imprensa em novembro de 2020. Aparentemente um empregado do hospital tinha acesso a um sistema no Ministério da Saúde que daria acesso a informações pessoais e médicas de 16 milhões de brasileiros. Segundo a matéria da TI Inside, que cita uma matéria do Estadão, esse empregado armazenaria essas credenciais de acesso em uma planilha.
Segundo a publicação, a planilha com as informações foi publicada em 28 de outubro no perfil pessoal de ****** ******, cientista de dados que atua no Hospital Albert Einstein, na plataforma “Github”, usada por programadores para hospedar códigos e arquivos.
O jornal diz ainda, que entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, estão o presidente **** ********* e familiares; o ministro da Saúde, ******* ********; outros seis titulares de ministérios, como **** ********* e ********* *****; o governador de São Paulo, **** ***** (PSDB), e mais 16 governadores; além dos presidentes da Câmara, ******** **** (DEM-RJ), e do Senado, **** *********** (DEM-AP).
As informações ficaram abertas para consulta após o funcionário do hospital divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid-19 nos 27 Estados. Conforme o Einstein, o hospital tem acesso aos dados porque está trabalhando em um projeto com o Ministério da Saúde.
Segundo o Estadão, o funcionário
confirmou que publicou a planilha de senhas em seu perfil na plataforma github para a realização de um teste na implementação de um modelo, porém esqueceu de remover o arquivo da página pública.
e as credenciais ficaram expostas durante quase um mês. Quando o fato foi descoberto,
o Departamento de Informática do SUS (DataSUS) revogou imediatamente todos os acessos dos logins e das senhas que estavam contidos na referida planilha divulgada pelo funcionário do Einstein.
Reconsideração
O prazo para pedido de reconsideração da empresa em relação à decisão de multa expira em dez dias, o que terminou ontem. Curioso notar que a decisão citou o Decreto 8.420/2015
Os efeitos desta decisão ficam suspensos até o decurso do prazo previsto no artigo 11 do Decreto nº 8.420, de 18 de março de 2015, e, caso haja apresentação de pedido de reconsideração, até o seu julgamento.
sendo que que na data da publicação da decisão esse decreto já estava revogado pelo Decreto 11.129, de 11 de julho de 2022, que o substituiu. O novo decreto contudo, estabelece o mesmo prazo em seu artigo 12.