PF investiga a venda de dados do SUS na região

A Polícia Federal deflagrou, nesta quarta-feira (4), uma operação com desdobramentos em Valinhos e Vinhedo, na Região Metropolitana de Campinas, para apurar o uso irregular e a venda de dados sensíveis de pacientes do Sistema Único de Saúde (SUS). A ação investiga uma empresa de tecnologia suspeita de permitir o acesso indevido a informações clínicas sigilosas por meio de sistemas digitais.

Batizada de Operação Glycon, a ofensiva cumpriu quatro mandados de busca e apreensão, sendo dois na região, em endereços vinculados à empresa investigada e a seus sócios administradores. Também foram realizadas diligências na cidade de São Paulo. A operação é resultado de uma investigação conduzida pela Polícia Federal a partir de indícios de violação de segurança cibernética envolvendo dados de saúde.

Uso indevido de dados

De acordo com a PF, a empresa investigada teria estruturado um modelo de negócio que utilizava ferramentas baseadas em inteligência artificial para possibilitar consultas não autorizadas a informações protegidas por sigilo médico, o que permitiria a visualização de históricos e registros clínicos sem autorização legal.

As investigações tiveram início após uma notificação formal do Ministério da Saúde, por intermédio do DATASUS. O órgão identificou um incidente de segurança envolvendo um sistema comercializado pela empresa, direcionado a profissionais da área da saúde. Segundo as apurações, a ferramenta apresentava falhas que permitiam a consulta indevida a dados sensíveis, em desacordo com a legislação de proteção de dados e com as normas do SUS.

Medidas judiciais

Durante o cumprimento dos mandados em Valinhos e Vinhedo, a Justiça Federal determinou a suspensão imediata de dados entre vinculados à empresa investigada. A medida tem como objetivo interromper qualquer continuidade na exposição ou no acesso indevido às informações dos pacientes.

Segundo a Polícia Federal, os envolvidos poderão responder, em tese, pelos crimes de invasão de dispositivo informático e receptação qualificada de dados. Somadas, as penas previstas podem chegar a até 13 anos de prisão, além de outras infrações que ainda poderão ser identificadas.

Até o momento, a Polícia Federal não divulgou o número de pacientes possivelmente afetados nem o período exato em que os dados teriam permanecido vulneráveis. As apurações seguem em andamento.