Secretaria de Pernambuco deixa RG, CPF e laudos médicos expostos em site
Planilha de gratuidade no transporte público não contava com proteção; arquivo continha informações médicas e imagens de documentos
Planilha de gratuidade no transporte público não contava com proteção; arquivo continha informações médicas e imagens de documentos
Uma planilha com dados de cerca de 340 cidadãos do estado de Pernambuco ficou exposta no site de uma das secretarias do governo. O arquivo continha informações de pessoas cadastradas no PE Livre Acesso, programa de gratuidade no transporte público. Ele trazia até mesmo imagens de documentos como RG e CPF, laudos médicos e informações sobre deficiências.
A informação chegou ao Tecnoblog na tarde de terça-feira (26). A página indicada estava hospedada no site da Secretaria do Desenvolvimento Social, Criança e Juventude. Nela, era possível navegar pela planilha sem digitar senha.
Imagens de documentos pessoais, como RG, CPF e comprovante de endereço, e documentos de saúde, como laudos médicos, podiam ser abertas e copiadas.
A planilha continha as seguintes colunas:
Na manhã desta quinta-feira (28), a página já aparecia protegida por senha. Mesmo assim, os arquivos ficaram sem proteção até a tarde do mesmo dia, quando foram totalmente ocultados.
O Tecnoblog conversou com a advogada Ana Teles, especialista em Lei Geral de Proteção de Dados Pessoais (LGPD), para entender melhor o caso.
Ela observa que não parece se tratar de um episódio de acesso indevido ou ataque de ransomware, que se tornaram comuns nos últimos anos. “Isso mais nos parece com um profundo descaso com a segurança e proteção de dados pessoais e dados pessoais sensíveis, o que torna o caso muito mais preocupante.”
Dados sensíveis, segundo a definição da LGPD, são aqueles que relacionados a opiniões políticas, filosóficas, religiosas, origem racial ou étnica e questões de saúde e vida sexual.
No caso da planilha do governo de Pernambuco, havia laudos médicos e informações sobre deficiências. O documento dizia respeito a um passe gratuito para transporte público dado a pessoas com deficiência. “A secretaria coletar tais dados para emitir o cartão de transporte pode até fazer sentido se a finalidade for legítima, mas expor ao público é completamente impensável”, diz Teles.
Mesmo sem invasão ou acesso indevido, o episódio é enquadrado com o incidente de segurança, no entendimento da advogada. “[Incidente de segurança é] qualquer evento atípico que interfira na perda ou no abalo dos três pilares da segurança da informação: confidencialidade, integridade e disponibilidade.” No caso, a confidencialidade foi comprometida.
Teles destaca que acontecimentos desse tipo precisam ser comunicados à Autoridade Nacional de Proteção de Dados, responsável por zelar pelo cumprimento da LGPD, e aos titulares dos dados, seja de forma geral ou individual, como for mais viável.
O Tecnoblog procurou a Secretaria de Imprensa do governo de Pernambuco na quarta-feira (27) e recebeu a seguinte resposta:
A Secretaria de Desenvolvimento Social, Criança e Juventude (SDSCJ) de Pernambuco informa que, nesta quarta-feira (27), identificou a exposição, em sua página na internet, de dados de usuários cadastrados no PE Livre Acesso, serviço que consiste na emissão de carteiras de identificação que garantem a gratuidade para pessoas com deficiência no transporte intermunicipal de passageiros no Estado. O problema já foi corrigido. A SDSCJ está investigando o motivo da falha de segurança, visto que esse conteúdo sempre esteve hospedado sob proteção e invisível ao público. A secretaria lamenta o ocorrido, já está revendo processos no sentido de aperfeiçoar os mecanismos de segurança para proteger informações dessa natureza e está adotando outras providências cabíveis. O caso será comunicado à Autoridade Nacional de Proteção de Dados (ANPD).