Como ataque hacker na Saúde virou chance para ANPD mostrar independência

Como ataque hacker na Saúde virou chance para ANPD mostrar independência

O ataque cibernético sofrido pelo Ministério da Saúde, na última sexta-feira (10), é a grande oportunidade de a ANPD (Autoridade Nacional de Proteção de Dados) mostrar se está pronta para atuar e se tem independência na fiscalização da LGPD (Lei Geral de Proteção de Dados), avaliam especialistas ouvidos por Tilt.

Na ação dos cibercriminosos, o site do Ministério da Saúde saiu do ar e a emissão do certificado de vacinação contra a covid-19, feita via o aplicativo ConecteSUS, foi interrompida. Apesar de a ANPD ter sido criada em 2019, a legislação de proteção de dados que rege a sua atuação sobre sanções entrou em vigor somente em 1º de agosto de 2021, o que coloca o ataque sofrido pela pasta ministerial como maior “pepino” da entidade até agora.

Para a coordenadora de privacidade do InternetLab, Bárbara Simão, tendo uma resposta firme a esse caso, a ANPD poderá evidenciar pontos importantes que devem ser levados em consideração no tratamento de dados pelo poder público. Aqui vale lembrar que a LGPD funciona tanto para empresas privadas quanto governos. As regras precisam ser seguidas por todos (salvo exceções).

“O fato de uma pasta do governo —ainda mais uma que lida com dados sensíveis, como são os referentes à saúde— ter tido tantas notícias relacionadas a incidentes de segurança ou vazamento de dados no último ano é preocupante e evidencia, no mínimo, uma negligência do assunto por parte do governo”, completa a pesquisadora.

E que a acontece agora?

A ANPD foi criada para estabelecer regras (como sanções, advertências e multas) e fiscalizar o cumprimento da Lei Geral de Proteção de Dados brasileira. Ao tomar conhecimento do ataque cibernético, ela solicitou explicações sobre o ataque cibernético.

“Sem dúvida, este incidente será um importante marco de como a agência irá atuar diante de um fato ocorrido com órgão público”, destaca a advogada com atuação em direito digital Thaissa Garcia, mestre em direito civil.

“A gente não espera que exista uma atuação apenas protocolar da ANPD, e sim uma ação com finalidade, abrangendo não apenas a iniciativa privada na fiscalização da LGPD, mas também o serviço público”, acrescenta Marco Antônio de Araújo Júnior, especialista em direito das novas tecnologias e mestre em direitos difusos e coletivos.

Durante a repercussão no dia do ataque cibernético, o ministro da Saúde, Marcelo Queiroga, garantiu que “os dados não serão perdidos”. Questionado se havia backup, afirmou: “Claro que existe”.

Em nota, na sexta-feira, a PF informou que os hackers não conseguiram acessar aos dados porque as informações são criptografadas (possuem uma camada a mais de segurança com dados que ficam embaralhados).

Para confirmar essas informações, a ANPD solicitou da pasta respostas para os seguintes itens:

  1. uma descrição dos dados vazados
  2. informações sobre os titulares de dados pessoais envolvidos
  3. a indicação das medidas que irá usar para proteger os dados pessoais dos afetados
  4. qual o risco desse evento sobre os dados
  5. quais os motivos da demora em comunicar sobre o ataque
  6. as medidas que serão tomadas pelo MS para reverter ou mitigar os efeitos dos prejuízos causados.

É partir dessas respostas que a ANPD avaliará a gravidade do incidente e os próximos passos.

“O pedido de informações pode ou não ter como consequência a instauração de processo administrativo, que por sua vez, resultam em diferentes sanções da lei, como multa, bloqueio ou eliminação de dados pessoais”, explica Mariana Rielli, diretora geral de projetos da Data Privacy Brasil.

A especialista acrescenta que a Autoridade de Dados ainda pode determinar ao Ministério da Saúde que comunique especificamente aos titulares quais dados foram comprometidos. “Não é algo apenas repressivo, mas também no sentido de corrigir e mitigar danos de forma rápida”, completa Mariana.

Por envolver um órgão público, a ANPD está impedida de aplicar a multa de até R$ 50 milhões, fixada pela LGPD para empresas privadas, explica Davis Alves, presidente da ANPPD (Associação Nacional dos Profissionais de Proteção de Dados).

ANPD dá conta de fiscalizar?

A Agência Nacional de Proteção de Dados é uma autarquia nova para uma legislação mais recente ainda. Isso, segundo especialistas, a coloca diante de uma série de desafios, sobretudo, com a chegada iminente do 5G, tecnologia de internet que possibilitará velocidade 20 vezes maior do que o 4G.

Davis Alves, que também é membro do CNPD (Conselho Nacional de Proteção de Dados), vinculado à ANPD, destaca que o órgão enfrenta limites de recursos humanos para atuar na fiscalização pública e privada.

“São menos de 50 integrantes diretos e menos de 50 no CNPD, ou seja, não chegam a 100 pessoas especialistas para atuar com a LGPD para um país com mais de 200 milhões de brasileiros. Entretanto, tais limitações não intimidaram a notória atuação do órgão, onde mais de cinco guias orientativas sobre proteção de dados foram publicados”.

Já Bárbara Simão, do InternetLab, analisa que, com a limitação da ANPD, outros órgãos precisam cooperar tratando a proteção de dados como uma política efetiva. A Anvisa (Agência Nacional de Vigilância Sanitária) e STJ (Superior Tribunal de Justiça) são exemplos de alvos recentes de ataques de hackers.

“É importante lembrar que ‘uma andorinha só não faz verão’. Embora a ANPD seja essencial para o fortalecimento da cultura de proteção de dados no Brasil e para a fiscalização de incidentes, ela ainda possui poucos recursos e depende da cooperação de outras esferas do governo”, avalia.

A advogada Thaissa Garcia compartilha da mesma visão. Ela diz que mais importante do que penalizar, a ANPD precisa incentivar a cultura de proteção de dados em todas as esferas para que incidentes semelhantes não se repitam.

“A proteção de dados deve ser um compromisso de todos, não apenas da ANPD, o que impõe mais do que simplesmente penalizar as empresas e órgãos, mas a divulgação de ações positivas e orientações de segurança com foco no fortalecimento da cultura de proteção de dados”, conclui.

 

Publicado por Uol