Serviços 
O conteúdo desse portal pode ser acessível em Libras usando o VLibras

Seus dados valem ouro

Vazamentos de dados pessoais de saúde reforçam urgência do debate sobre privacidade, proteção de informações sensíveis e direitos no ambiente digital
Leila Salim - EPSJV/Fiocruz | 07/06/2021 12h12 - Atualizado em 01/07/2022 09h42

Novembro de 2020: oito meses após o início da pandemia de Covid-19 no país, uma reportagem do jornal ‘O Estado de São Paulo’ denunciou que 16 milhões de pacientes com diagnósticos suspeitos ou confirmados para a doença tiveram seus dados médicos e pessoais expostos na internet por semanas. Esse foi o primeiro de uma sequência de ‘vazamentos’ (ou, mais precisamente, exposições) de dados de cidadãos brasileiros na web. Um novo escândalo estourou poucos dias depois, em 2 de dezembro, novamente tendo a saúde no olho do furacão. Dessa vez, envolveu mais de 200 milhões de pessoas: uma nova reportagem do mesmo jornal mostrou que todos os brasileiros cadastrados no Sistema Único de Saúde (SUS) e clientes de planos de saúde passaram pela mesma situação por no mínimo seis meses.

Mais recentemente, em janeiro deste ano, foram denunciadas duas ações de crime digital que vazaram e comercializaram CPFs e CNPJs, dados de escolaridade, renda pessoal, cadastros em benefícios do INSS e programas sociais, entre outros. “Mas eu não tenho nada a esconder”, você pode estar pensando a esta altura. “Por que eu deveria me preocupar com a divulgação dos meus dados?” é a pergunta que muitos brasileiros fizeram e fazem a si próprios não apenas nessas ocasiões, mas cotidianamente, quando preenchem cadastros online para adquirir produtos com desconto, quando informam seus documentos para compra de medicamentos em farmácias ou mesmo quando produzem rastros de navegação em redes sociais e na internet de maneira geral. Nesta matéria, a Poli conversa com pesquisadores e especialistas em privacidade e proteção de dados para mostrar que as informações pessoais em saúde valem muito e explicar por que essa preocupação precisa ser coletiva e amparada em políticas públicas, saindo da esfera individual.

Por que os dados ‘vazam’?

No centro da primeira história, estava o Hospital Israelita Albert Einstein, de São Paulo. Em 28 de outubro, um de seus funcionários havia disponibilizado em uma plataforma online usada por programadores uma lista com logins e senhas que davam acesso a dois bancos de dados com 25 milhões de registros de 16 milhões de pessoas testadas ou internadas por Covid-19. Além de informações pessoais como CPFs, endereços e telefones, ficaram expostos publicamente dados médicos como histórico clínico dos pacientes e ocorrência de doenças pré-existentes. Isso mesmo: era facilmente possível saber se alguém era portador de alguma doença crônica, comorbidade ou conhecer outros dados sensíveis cuja divulgação deveria – segundo a lei brasileira, inclusive – ser uma escolha unicamente pessoal. O hospital, privado, estava atuando em um projeto junto ao Ministério da Saúde e por isso tinha acesso aos sistemas federais E-SUS-VE (que registra casos suspeitos e confirmados de Covid-19 em quadros leves ou moderados) e Sivep-Gripe (onde são notificadas as internações por Síndrome Respiratória Aguda Grave).

Isso quer dizer que, nesse caso, o que ocorreu não foi propriamente um ‘vazamento’, ou seja, uma ação resultante de um ataque intencional com objetivo de hackear os sistemas e publicizar aqueles dados, como o que aconteceu em janeiro deste ano. No ano passado, o que aconteceu foi uma falha de segurança que deixou públicos e acessíveis dados privados. Mas, segundo Fernanda Campagnucci, diretora-executiva da Open Knowledge Brasil, esse não foi um fato isolado: “Se a gente puxar o fio do sistema e começar a mergulhar nesse caso, vai ver que é um problema estrutural. Falta um procedimento definido e falta transparência sobre esse procedimento”, pontua. A Open Knowledge (uma organização internacional que atua no Brasil e outros 65 países nas áreas de jornalismo de dados e análises de políticas públicas para transparência nas relações entre governo e sociedade) é também uma peça chave nessa história: em junho de 2020, a organização havia identificado uma vulnerabilidade nos sistemas do Ministério da Saúde, comprovando que a falha de segurança expunha dados pessoais. O caso revelado em 2 de dezembro reforça o entendimento de que não se tratou de um problema pontual: nesse segundo episódio, o número total de brasileiros afetados, 243 milhões, chega a ser maior do que os atuais 210 milhões de habitantes do país, já que os registros incluíam informações de pessoas que já morreram. Novamente, não foi um ataque cibernético de hackers: os dados foram expostos por conta de um erro no sistema federal de registro de casos de Covid-19.

Fernanda Campagnucci conta que, quando a organização identificou a primeira falha, em junho, foi preciso percorrer um difícil caminho para formalizar a denúncia até que, aparentemente, o problema fosse resolvido: “nós identificamos o código exposto e fizemos a denúncia. Caso houvesse uma política séria de proteção de dados, haveria um canal para avisar sobre incidentes de segurança e agir sobre eles, mas não foi o caso. Primeiro, tentamos fazer a denúncia na ouvidoria do Ministério da Saúde, mas o formulário disponível não comportava aquilo que precisávamos denunciar”, diz. E complementa: “Depois, fizemos a denúncia à Ouvidoria Geral da União, que a encaminhou de forma automática para a pasta. O que se observou é que além de não ter feito os procedimentos de prevenção, eles também não tinham sistemas para lidar com uma denúncia como essa. Ficamos dez dias checando se os dados haviam sido retirados, até que acionamos diretamente pessoas que conhecíamos na Ouvidoria da União, para que alertassem internamente o Ministério da Saúde sobre a falha. Acredito que foi assim, de maneira mais informal, que isso acabou sendo resolvido. O fato é que eles nunca responderam àquela denúncia formalmente”, relata a diretora-executiva da Open Knowledge, lembrando que, na ocasião, a organização registrou a denúncia em cartório, para que não restassem dúvidas de que os órgãos responsáveis haviam sido informados sobre o problema.

Apesar da aparente ‘solução’, a falha de segurança persistiu. “Achávamos que o problema havia sido corrigido. Mas, algumas linhas abaixo do código, havia outra brecha, que inclusive já estava no nosso registro. Foi esse o problema que o [jornal] ‘Estadão’ identificou em novembro”, explica Campagnucci, lembrando que os casos de exposição envolvendo dados em saúde são especialmente delicados. “Esses são dados sensíveis, considerados assim pela legislação, e deveriam ter uma camada extra de proteção. Nesse caso, a gente sabe exatamente a origem da exposição, a gente constatou, provou e mostrou a responsabilidade do órgão público. Deveria ser um caso emblemático para a gente começar a construir a jurisprudência de aplicação da lei, de responsabilização e derivar dele políticas públicas para enfrentar esse problema em outros órgãos. Mas, até agora, não houve consequência alguma”, analisa, reafirmando que o problema, estrutural, não pode ser entendido como responsabilidade individual de um ou outro funcionário envolvido diretamente nas exposições de dados. Procurado pela reportagem, o Ministério da Saúde não respondeu à solicitação de entrevista da Poli até o fechamento desta edição.

E você com isso?

Há um motivo para que, de acordo com a Lei Geral de Proteção de Dados (nº 13.709, aprovada em 2018 e que começou a valer em agosto de 2020), os dados em saúde sejam considerados “sensíveis”. Assim como informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, os dados referentes à saúde e à vida sexual, genéticos ou biométricos são destacados como aqueles que podem gerar discriminações e, por isso, precisam ser especialmente protegidos. Imagine a seguinte situação: você se inscreve em um processo seletivo para uma vaga de emprego e, sem que você saiba, a empresa contratante acessa seus registros médicos, prontuários de consultas, exames clínicos e cruza esses dados com suas compras de medicamentos em farmácias. Com essas informações em mãos, usando previsões feitas por algoritmos, traça probabilidades e percebe que você tem vulnerabilidades de saúde e pode desenvolver comorbidades em médio ou mesmo longo prazo, e por isso decide não lhe contratar.  Está aí um exemplo simples de uma das várias situações em que a exposição de dados sensíveis pode lhe prejudicar diretamente e promover discriminação.

Imensos bancos de dados com informações que envolvem direta ou indiretamente a saúde dos cidadãos já existem não apenas no Brasil, mas em todo o mundo, e casos como esse do exemplo são motivo de preocupação entre pesquisadores e formuladores de políticas públicas. “A saúde é uma das áreas mais importantes nesse debate sobre proteção de dados, junto à educação e à segurança pública. Os chamados dados estáticos – que são esses que vazam normalmente, como cadastros de endereço, CPF e outros – são importantes, mas eles são a ponta do iceberg. O que interessa mesmo no trabalho dessas empresas que trabalham com Big Data
[é a análise e interpretação, através de ferramentas automatizadas, de grandes volumes de dados, de grade variedade e em grande velocidade. Com isso, é possível juntar dados fragmentados e extrair informações em uma velocida de superior ao que o processamento humano poderia fazer]é extrair informações úteis dos pontos de vista econômico, comercial e político. A partir da experiência cotidiana das pessoas e dos dados que elas produzem, é possível traçar perfis e tirar vantagens disso”, explica Rodrigo Murtinho, pesquisador em comunicação e saúde e diretor do Instituto de Comunicação e Informação Científica e Tecnológica em Saúde da Fiocruz (Icict/Fiocruz).

Ele conta que, justamente por conta da importância e urgência do tema, o Icict/Fiocruz iniciou recentemente um projeto em parceria com o Instituto de Defesa do Consumidor (Idec) para investigar a proteção de dados pessoais nos serviços de saúde no meio digital. A intenção, segundo Murtinho, é entender “os perigos, os processos e as tecnologias de coleta de dados que estão sendo utilizadas, e a relação disso com o usuário dos serviços de saúde”. “Faremos um estudo exploratório para mapear como essas tecnologias estão sendo usadas”, adianta. E explica: “O mais importante para essas empresas não é saber seu nome e endereço, mas saber o que você compra, que lugares frequenta, os remédios que compra na farmácia, o que compra no supermercado... Esses dados possibilitam traçar um perfil daquela pessoa, e isso interessa a empresas, por exemplo, de planos privados e seguros de saúde. Num futuro próximo, essas informações podem levar a uma precificação de cada perfil para a contratação desses serviços”. Segundo o pesquisador, a própria Organização Mundial da Saúde já trabalha com o conceito de ‘saúde digital’, considerando a importância do tema e sua amplitude. “Quando as pessoas falam: ‘eu não tenho nada a esconder, não tenho nada de errado, não tem problema que acessem meus dados’, na verdade, elas não conseguem nem estimar qual a consequência de esses dados serem expostos”, resume Fernanda Campagnucci.

Quem ganha e quem perde?

Se é verdade que os dados pessoais valem muito, alguém está lucrando com eles – e certamente não é você. Não faz muito tempo, ganharam notoriedade os escândalos envolvendo a empresa Cambridge Analytica, que utilizava Big Data para campanhas políticas e eleitorais. A megaempresa ficou principalmente conhecida por sua participação nas campanhas de Donald Trump, nos Estados Unidos, e também a favor do Brexit, no Reino Unido, que ainda hoje são objeto de investigações. A coleta de dados pessoais de 50 milhões de perfis utilizando redes sociais como Facebook, Instagram, Twitter e também do Google e Whatsapp, foi empregada para criar perfis psicológicos dos usuários e agrupá-los de acordo com o tipo de conteúdo e propaganda a que seriam mais suscetíveis.

Mas, para além de um caso específico de violação da privacidade e exploração de dados pessoais para fins comerciais e políticos, o emblemático episódio revela uma tendência do capitalismo contemporâneo, que inclusive vem sendo chamada por alguns pesquisadores de “datificação da economia”. São muitas e diferentes as leituras do impacto que isso tem no funcionamento e na dinâmica de acumulação do sistema atualmente, mas o fato é que, cada vez mais, os dados ganham importância central na economia e não podem ser ignorados. É o que explica Rafael Zanatta, diretor da Associação Data Privacy Brasil de Pesquisa e doutorando pelo Instituto de Energia e Ambiente da Universidade de São Paulo (USP). “Nos últimos 15 anos, constituiu-se um tipo de economia e de sociedade na qual não há mais dados que sejam insignificantes. Dados sobre como você utiliza um dispositivo, dados de navegação, dados gerados sobre seu endereço IP, o tipo de dispositivo que você se conecta, o número de vezes que você conecta no aplicativo, o tamanho das suas mensagens, tudo isso passou a ser metrificado. Existem modelos analíticos para extrair correlações e transformar isso em dados, ou mesmo novas formas de categorizações de comportamento humano em grupo, que se tornaram possíveis especialmente com explosão massiva dos smartphones”, diz. E completa: “Agora, cada pessoa é um produtor massivo de dados ininterruptamente”.

Segundo o pesquisador, uma das formas de se obter lucros com essa produção massiva de dados é justamente a capacidade de previsão dos nossos próprios comportamentos – o que tem valor comercial altíssimo e vem sendo explorado por empresas. “Isso está por trás de soluções que começam a aparecer na área da saúde, que tentam endereçar problemas específicos. Nos últimos cinco anos surge uma economia específica de intermediação dos serviços de saúde, que lucra, por exemplo, com a informação de que tipo de médico alguém está procurando, a partir da análise de um conjunto de informações que a pessoa cede ao instalar aplicativos de consulta online no celular. Esses aplicativos fazem a intermediação entre o paciente e o atendimento médico e uma das formas de se explorar economicamente isso é ganhar eficiência nessa intermediação com a capacidade de prever ou de afunilar o ‘encontro’, fazendo matches mais precisos entre os provedores e os consumidores nesses mercados”, exemplifica. E segue: “Isso se apresenta também nas farmácias. Há todo um mercado formado por intermediários (não são farmacêuticos ou a indústria farmacêutica) que explora as informações de quem compra os medicamentos em condições específicas e, a partir daí, faz contratos com a indústria farmacêutica para informá-la com mais certeza e mais previsibilidade as variações do consumo de certos medicamentos numa área geográfica, por exemplo, ou até informações que são estratégicas na perspectiva da pesquisa clínica e pesquisa médica”.

Rafael Zanatta chama atenção para o fato de que, no mundo todo, os olhos estão voltados para essa entrada das grandes empresas de tecnologia no campo da saúde, o que é uma tendência contemporânea. Um exemplo foi a entrada da DeepMind, empresa controlada pelo grupo Alphabet (conglomerado detentor do Google), em um projeto junto ao Serviço Nacional de Saúde do Reino Unido para a assistência em pesquisa para aplicação de inteligência artificial na área da saúde. “Ali se levantou uma enorme discussão sobre o que estaria em jogo ao ceder  bases de dados tão ricas como aquelas, que são detidas pelos órgãos de formulação de política pública de saúde, para essas empresas que estão se movimentando muito agressivamente para esse campo”, conta, lembrando também que a Google comprou recentemente a empresa de produtos eletrônicos para exercícios físicos
FitBit (que produz, por exemplo, ‘relógios inteligentes’ que acompanham trajetos de caminhadas, frequência cardíaca, duração, frequência e intensidade de atividades físicas realizadas pelos usuários, entre outros) e a Apple também fez aquisições no setor saúde. “Há uma movimentação das Big Techs [grandes empresas de tecnologia da informação] de se tornarem Big Health Techs, ou seja, empresas de tecnologia em saúde”, aponta.

Problema estrutural, soluções individuais?

‘Saia das redes sociais, não forneça informações e sempre leia os termos e condições nos sites que acessa’. Cada vez mais frequentes quando se fala em garantia de privacidade e proteção de dados, orientações como essas podem conduzir a uma falsa compreensão da situação e das possíveis soluções, alertam os especialistas ouvidos pela Poli. Para Danilo Doneda, doutor em Direito Civil, advogado de proteção de dados e professor no Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), é fundamental reconhecer que as soluções passam pela elaboração de políticas públicas capazes de proteger os cidadãos e reduzir os danos das exposições de dados. “O processo de aprovação da Lei Geral de Proteção de Dados (LGPD) vem desde 2010. É importante notar que não é uma lei setorial, mas sim para todos seguirem, incluindo o Estado e os órgãos públicos. E nesses 11 anos, desde que o projeto foi elaborado até hoje, muita coisa mudou. Uma grande parte do setor privado começou, inclusive, a apoiar a lei”, conta. E explica: “Pode parecer curioso, mas o setor privado precisava muito dessa generalidade, dessa padronização da lei para poder ter certeza de que, quando tratasse os dados, estava tratando dentro da legalidade”.

Doneda avalia que o processo de constituição da LGPD no Brasil foi marcado por um primeiro momento em que houve desconfiança quanto à viabilidade e mesmo concretização da medida. “Muitos acharam que não iria dar em nada, e foi um erro grosseiro de avaliação. Hoje, há quase 150 países em todo o mundo com leis de proteção de dados, que fazem pressão para que o Brasil também tenha e aplique sua lei. Empresas, pesquisadores e outros entes que trocam dados com o Brasil precisam dessa proteção para garantir a sua segurança”. Uma das grandes mudanças e garantias da LGPD, apontada como um avanço na proteção de dados, é o princípio da finalidade: se o cidadão fornece um dado para um determinado fim (um cadastro para acesso a uma política social, por exemplo), ela não pode ser usada para fins comercias ou qualquer outro. Além disso, a LGPD enfatiza a necessidade de consentimento do cidadão para que as informações pessoais sejam tratadas. O princípio que orienta a lei é de que os dados são de propriedade do cidadão, que tem o direito de decidir sobre o que será feito com eles. Apesar de a lei ser considerada um avanço, ainda há, como mostraram os casos concretos abordados nesta reportagem, limitações importantes para a sua aplicação.

Danilo Doneda pontua que o Congresso Nacional cumpriu um papel importante nesse processo, garantindo a aprovação da lei, mas destaca que houve vetos no momento de sua sanção. “A lei cria um órgão público, a Autoridade Nacional de Proteção de Dados (ANPD), para supervisionar a sua aplicação, e isso foi vetado pelo então presidente Michel Temer. Posteriormente, em 2019, a lei foi reeditada e a autoridade criada”, conta, lembrado que o formato dessa entidade ainda desperta preocupações entre especialistas e setores da sociedade envolvidos nessa discussão.

É o que explica Marina Pita, do Coletivo Intervozes, organização que atua na garantia do direito à comunicação no Brasil. “A gente deu um primeiro passo com a aprovação da LGPD, mas é uma maratona que temos pela frente para garantir a proteção de dados. A constituição da ANPD foi muito complexa. O Legislativo não pode criar um órgão no Executivo, então esse trecho foi vetado na LGPD e houve uma discussão para que então o próprio Executivo a criasse”, diz. “Mas, nesse processo, a autoridade foi criada como um órgão submetido à Presidência da República, o que traz preocupações quanto à sua autonomia para atuar e fiscalizar. E não só isso: é a Presidência quem tem a última palavra para selecionar não só os diretores da Autoridade Nacional de Proteção de Dados, mas também os integrantes do Conselho Nacional de Proteção de Dados, que tem participação da sociedade civil”, sinaliza.

Defendendo que se trata de uma questão de direitos humanos, Pita reforça que a compreensão de proteção de dados precisa ser mais ampla do que a noção de privacidade: “A privacidade é você ter o direito de manter os seus dados guardados e ninguém poder ter acesso a eles. Faz sentido em determinados casos, mas a proteção de dados trata dos momentos em que você pode ceder os seus dados – entendendo que aquilo é benéfico – desde que esteja ciente de como eles vão ser tratados e que esse tratamento esteja voltado para a garantia de direitos, para o bem estar”, diferencia. E finaliza: “A gente tem, por um lado, uma migração muito rápida e uma pressão muito grande pela digitalização dos serviços e da informação pública, mas não há, necessariamente, uma contrapartida em termos de garantia de proteção de dados e de segurança. A segurança desses processos requer investimento. Quando você tem uma perspectiva de Estado mínimo, não consegue fazer todo esse movimento”.

Leia mais

Ao longo da última semana, o jornal O Estado de São Paulo publicou reportagens denunciando dois casos de vazamentos de dados que jogaram luz sobre as brechas existentes na governança dos dados pessoais dos usuários do Sistema Único de Saúde (SUS) e sobre o risco de que elas sejam exploradas para fins comerciais. Um deles envolveu a publicação de senhas do Ministério da Saúde em uma plataforma aberta de compartilhamento de códigos de programação para o desenvolvimento de softwares por um funcionário do Hospital Albert Einstein, de São Paulo, envolvido em uma pesquisa para a qual o hospital obteve do Ministério da Saúde acesso a dados de milhões de pacientes com suspeita ou diagnóstico confirmado de Covid-19. Já outra reportagem, do dia 2 de dezembro, apontou que, por pelo menos seis meses, falhas de segurança no sistema de notificações da Covid-19 do Ministério da Saúde deixaram expostos, dados pessoais de mais de 200 milhões de cidadãos. Para o professor-pesquisador da Escola Politécnica de Saúde Joaquim Venâncio (EPSJV/Fiocruz), José Mauro da Conceição Pinto, os casos expõem os problemas inerentes ao processo de informatização do SUS, que, segundo ele, vem sendo feito ‘a toque de caixa’, principalmente em meio à pandemia do novo coronavírus. Ele teme que a crise sanitária deixe a ‘porteira aberta’ para o avanço de interesses privados ligados à chamada telessaúde e também de seguradoras e do setor farmacêutico, entre outras, que têm interesse comercial nos dados pessoais de milhões de brasileiros que não necessariamente aceitaram compartilhá-los, como rege a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020.
Nova Política Nacional de Informação e Informática em Saúde está sob consulta online e abre discussões sobre a necessidade de uma nova versão e a forma como isso tem sido debatido