Giliate Neto, sobre o vazamento do e-Saúde e dos dados sigilosos de milhões de pacientes do SUS: “O provável culpado é o ministro Ricardo Barros”
Tempo de leitura: 6 minEntre os dados vazados, o de Temer. Acima, na fotomontagem, a carteira dele do SUS com as numerações apagadas pela reportagem da Folha que revelou o vazamento. “Falha gravíssima de segurança”, avalia o médico e gestor público Giliate Coelho Neto (à èsquerda). “Tudo indica o ministro Ricardo Barros (à direita) pressionou os técnicos do Datasus para lançar o aplicativo e-Saúde sem os devidos mecanismos de segurança”
por Conceição Lemes
Em 26 de janeiro de 2018, reportagem da Folha de S. Paulo revelou que o aplicativo e-Saúde, do Ministério da Saúde, tinha falhas grave de seguranças.
“Sem implantar regras mais rígidas de segurança, o ministério colocou no e-Saúde dados clínicos sigilosos, permitindo o vazamento de informações de milhões de pacientes”, explica Giliate C. Coelho Neto, médico, gestor público e pesquisador em Saúde Coletiva.
“Tudo indica que a culpa é do próprio ministro Ricardo Barros, que pressionou os técnicos do Datasus [Departamento de Informática do SUS] para lançar o aplicativo e-Saúde sem os devidos mecanismos de segurança”, afirma.
— O ministro Ricardo Barros não seguiu as recomendações dos técnicos do Datasus, que são os que realmente entendem do assunto?!
“Provavelmente foi o que ocorreu”, prossegue.
“Os próprios servidores e colaboradores do Datasus à época do lançamento do aplicativo, em junho de 2017, poderão confirmar”, sugere.
Giliate C. Coelho Neto foi diretor do Datasus e gerente-geral de tecnologia da informação da Agência Nacional de Saúde Suplementar (ANS).
Apoie o VIOMUNDO
Segue a íntegra da nossa entrevista. Giliate Coelho Neto detalha o que aconteceu, fruto de profundo amadorismo do ministro e sua equipe.
Viomundo — Surpreendeu-o a revelação de que o aplicativo e-Saúde tinha falha grave de segurança?
Giliate Coelho Neto — Até esse episódio o Ministério da Saúde não tinha histórico de disponibilizar dados clínicos sigilosos dos cidadãos brasileiros com regras de segurança tão inadequadas.
Pelo contrário, o Datasus sempre teve normas rígidas para exposição de dados pessoais de saúde na internet.
Então, foi de fato, sim, uma surpresa quando a Folha divulgou que dados clínicos de milhões de brasileiros ficaram expostos na internet por mais de 8 meses e praticamente qualquer um poderia visualizá-los.
Viomundo – O que é exatamente esse aplicativo e-Saúde?
Giliate Coelho Neto— Em junho de 2017, o Ministério da Saúde lançou o aplicativo móvel e-Saúde que, nas palavras do ministro Ricardo Barros, tinha como objetivo evitar o desperdício no SUS e facilitar o acesso a dados de saúde de cada cidadão.
Segundo o ministro, cerca de 50% dos resultados de exames realizados não eram retirados pelos pacientes. Além disso, 30% das pessoas faltam à consulta agendada. Então, através do aplicativo, o usuário poderia visualizar os resultados dos seus exames assim como receber lembretes sobre suas consultas marcadas no SUS.
A ideia é boa, mas a execução foi péssima.
Viomundo –Por quê?
Giliate Coelho Neto – Primeiro, porque os sistemas de laboratório e marcação de consulta não estavam se comunicando com o aplicativo – o que até hoje não estão.
Ou seja, as informações que poderiam ajudar a evitar o desperdício simplesmente não estão disponíveis ao cidadão.
Segundo, porque o ministério colocou no e-Saúde dados clínicos sigilosos, entre os quais a lista de medicamentos que os pacientes do SUS consumiram. Com um detalhe: sem implantar regras de segurança mais rígidas.
Em consequência, qualquer pessoa acessava facilmente os dados de qualquer paciente do SUS. Bastava ter o CPF e a data de nascimento dele.
A Folha acessou, por exemplo, os dados de Michel Temer e João Doria Jr. Isso é uma falha gravíssima de segurança.
Viomundo – Mas o Ministério da Saúde já não tinha o aplicativo Cartão SUS Digital?
Giliate Coelho Neto – Tinha. Mas a gestão Ricardo Barros extinguiu-o. Substituiu o Cartão SUS Digital pelo aplicativo e-Saúde.
Viomundo – Qual era o objetivo do Cartão SUS Digital?
Giliate Coelho Neto – Principalmente, a desburocratização do acesso ao número do Cartão Nacional de Saúde (CNS) de cada cidadão brasileiro.
Em muitos casos, o usuário deixava de ser atendido num posto de saúde, pois não possuía ou não se lembrava do número.
Com o Cartão SUS Digital, bastava a pessoa inserir seu CPF e data de nascimento e já aparecia o número do seu CNS.
Esta simples funcionalidade tornou o Cartão SUS Digital um dos aplicativos de saúde mais baixados nos smartphones, com 100 mil downloads no primeiro mês.
No Cartão SUS Digital também era possível registrar dados clínicos pessoais, mas eram sempre informações autorreferenciadas, ou seja, dados de saúde que o próprio usuário, após baixar o aplicativo, ia inserindo no seu dia-a-dia. Por exemplo, a sua pressão arterial medida na farmácia.
Vi o Mundo – Qual diferença entre o Cartão SUS Digital e o aplicativo e-Saúde?
Giliate Coelho Neto — O e-Saúde herdou todas as funcionalidades do Cartão SUS Digital, inclusive algumas que já estavam prontas, mas que ainda não haviam sido divulgadas, como a localização e avaliação dos serviços de saúde.
Se ficasse por aí, estaria tudo bem. Porém, o Ministério da Saúde resolveu ir além e criar novas funcionalidades no aplicativo e-Saúde. Por exemplo, a disponibilização de dados cínicos sigilosos que ficam armazenados no Datasus sob forte esquema de segurança.
O problema é que eles fizeram isso sem atualizar o nível de segurança de acesso ao aplicativo e aí deu m…..
Viomundo – O exatamente aconteceu? Que falha foi essa?
Giliate Coelho Neto — Na transição do Cartão SUS Digital para o aplicativo e-Saúde não houve atualização da política de segurança. E aí o motivo do brutal vazamento de dados.
Uma coisa é você disponibilizar apenas dados administrativos do cidadão, como o número do seu cartão SUS. Nesse caso, não é necessário um mecanismo rigoroso de segurança, pois tornaria o acesso desnecessariamente burocratizado.
Outra coisa, completamente diferente, é quando expõe informações clínicas sigilosas, como a lista de medicamentos que uma pessoa faz uso.
Esse tipo de dado pode ser utilizado para descobrir as doenças que alguém possui e então chantagear ou retaliar alguém.
Não é razoável um aplicativo disponibilizar esse tipo de dado exigindo apenas que a pessoa se identifique com o CPF e data de nascimento. É algo facilmente burlável. É preciso ter mecanismos mais sofisticados de segurança, como, por exemplo, a autenticação por meio de digital.
Viomundo –De quem é a culpa?
Giliate Coelho Neto –Tudo indica que é do próprio ministro Ricardo Barros, que pressionou os técnicos do Datasus para lançar o aplicativo e-Saúde sem os devidos mecanismos de segurança.
Viomundo – O ministro Ricardo Barros não seguiu as recomendações dos técnicos, que são os que realmente entendem do assunto?!
Giliate Coelho Neto — Provavelmente foi o que ocorreu. Os próprios e colaboradores do Datasus à época do lançamento do aplicativo, em junho de 2017, poderão confirmar.
Viomundo – E como poderia ter sido evitado?
Giliate Coelho Neto — As áreas técnicas do Datasus têm ampla experiência em proteção de dados sigilosos. Bilhões de dados clínicos pessoais – isso, mesmo, bilhões!– são armazenados em suas máquinas. Se a opinião deles tivesse sido levada em conta, com certeza esse vazamento não teria acontecido.
Além disso, vários órgãos de governo já desenvolveram mecanismos sofisticados de segurança para compartilhamento seguro de dados sigilosos, como o TSE e os bancos públicos. O Ministério da Saúde poderia ter feito parcerias com eles para utilizar essas tecnologias.
Viomundo – Quem fez esse aplicativo? Foi alguma empresa?
Giliate Coelho Neto — Geralmente o Ministério da Saúde estabelece as regras de negócio e uma empresa terceirizada desenvolve o software.
Viomundo – Tem ideia do quanto custou aos cofres públicos esse aplicativo furado?
Giliate Coelho Neto — Não sei, mas é possível solicitar via Lei de Acesso à Informação.
Viomundo — Que dados o Ministério da Saúde recolhe do cidadão atualmente?
Giliate Coelho Neto –Dezenas de dados são colhidos, a depender da situação de cada paciente.
Por exemplo, quando uma pessoa é diagnosticada com uma doença de notificação obrigatória, como febre amarela, dengue, Hiv/Aids, as informações dela são enviadas para a base de dados do Ministério da Saúde.
Além disso, com a disseminação dos prontuários eletrônicos, um conjunto mais amplo de dados está subindo para as bases do Ministério da Saúde.
Por exemplo, os especialistas que atenderam o cidadão e as doenças que ele possui, mesmo que não sejam contagiosas, como um transtorno mental.
Viomundo – Onde ficam armazenados?
Giliate Coelho Neto — Ficam guardados em duas salas-cofre do Ministério da Saúde, uma em Brasília e outra no Rio de Janeiro.
Viomundo – Os dados estão seguros?
Giliate Coelho Neto — Existem normas rígidas de segurança e prevenção contra ataques externos no Datasus.
Por exemplo:
* as portas das salas-cofre só podem abertas com senha ou identificação digital do servidor público ou colaborador terceirizado;
* são realizados backups periódicos dos principais bancos de dados;
*as atividades de cada usuário nos sistemas de informação são rastreadas e podem ser utilizadas em futuras auditorias;
*todas as senhas pessoais de acesso aos principais sistemas têm de ser trocadas obrigatoriamente a cada três meses.
Viomundo – Qual a chance de um vazamento ocorrer de novo?
Giliate Coelho Neto — Acho difícil que se repita um novo vazamento decorrente de tão profundo grau de amadorismo.
Me parece que o risco neste momento é o Ministério da Saúde caminhar para o polo oposto, que é a burocratização ao extremo do acesso aos dados de saúde pessoais.
Todo cidadão tem direito a acessar esses dados de forma segura, caso deseje.
Essas informações também precisam ser trocadas entre os serviços de saúde, pois ajudam a salvar vidas.
Veja, por exemplo, o caso da lista de alergias que cada paciente possui… Esse dado é fundamental quando uma pessoa sofre um acidente e é atendida desacordada num serviço de urgência.
Leia também:
Comentários
Roberto Weber
Aposentei-me em julho do ano passado. Duas semanas depois comecei a receber mails e telefonemas oferecendo empréstimos consignados. O pessoal do Itaú, quando inquiri como tinham conseguido meus dados, responderam que tinham um convênio com a Previdência. Tudo bem que até exista este convênio, mas quem vendeu meus dados para eles?
Julio Silveira
O cidadão brasileiro, a muito tempo, perdeu direito a privacidade de seus dados e informações. E isso vem desde que foi permitido a liberação geral de CPF das pessoas, cadastro negociado de forma suspeitissima no mercado, para as empresas financeiras que fazem parte do sustentaculo do eixo da prostituição politica. Esse, mais um, vazamento de dados dos cidadãos se fosse investigado, por que não vai, vai no maximo ter um enroleixon sem nenhuma consequecia (coisa de país de corrupção cultural) certamente chegariam a conclusão que tudo ocorreu por intereesses corruptos, economicos, que se unem da politicagem sem escrupulos que veio tomando conta do Brasil, a decadas, pelas beiradas, hoje sem pudor no poder.
Deixe seu comentário