O Procon-SP notificou o Hospital Albert Einstein para que explique sobre o vazamento de lista que dava acesso a informações pessoais e médicas de pacientes testados, diagnosticados e internados por covid-19. A empresa tem 72 horas para responder a partir desta segunda-feira, 30. 

De acordo com notícias divulgadas, um funcionário do hospital que trabalhava em um projeto com o Ministério da Saúde divulgou na internet uma lista de senhas do sistema do Ministério da Saúde que dava acesso aos bancos de dados dos pacientes. Pelo menos 16 milhões de pessoas tiveram suas informações expostas.

O Procon-SP pede que o Einstein demonstre se adota medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas como: destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme determina a Lei Geral de Proteção de Dados. Além disso, o Procon questiona tem feito para qualificar seus funcionários e colaboradores acerca do conteúdo desta legislação.

O Procon-SP também indagou o hospital sobre os procedimentos adotados para análise de um incidente com dados pessoais; as medidas de segurança de dados adotadas em razão do hospital tratar dados pessoais sensíveis; as medidas práticas de contenção de danos; e o protocolo de prevenção de vazamento de dados.

O hospital deverá explicar ainda quais foram as medidas de segurança adotadas no processo de digitalização do prontuário médico e exame dos pacientes, conforme orienta o Conselho Federal de Medicina e se há alguma forma de criptografia das informações dos pacientes e usuários dos serviços laboratoriais.

Procurada pela Exame, o Hospital Israelita Albert Einstein afirmou que não se pronunciaria sobre a notificação do Procon-SP.

Sobre o vazamento de dados em novembro, afirmou que tomou conhecimento um colaborador contratado para prestar serviços ao Ministério da Saúde havia arquivado informações de acesso a determinados sistemas sem a proteção adequada e que as informações foram removidas imediatamente e o fato comunicado ao Ministério da Saúde para que fossem tomadas medidas que assegurassem a proteção das referidas informações. Disse ainda que não houve divulgação de quaisquer dados pelo empregado e que o hospital não tem acesso a eles, já que ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. 

“A organização reitera seu compromisso com a segurança das informações e a proteção de dados e informa que já iniciou a apuração do incidente. Além disso, realizou na manhã da quinta-feira, 26/11, o desligamento do colaborador por ter infringido as normas internas adotadas para garantir proteção e segurança de dados.”