Dados de pacientes do Ceará foram expostos em site público
Dados sensíveis de pacientes de hospitais públicos foram expostos em sites que podem ser acessados sem necessidade de senha. As informações — como nomes dos pacientes e acompanhantes, prontuários e dados pessoais como telefone e CPF, além de senhas e acessos para outros sistemas da saúde — foram inseridas em um servidor por operadores da saúde, como médicos e estudantes de medicina.
O POVO teve acesso a mais de 30 desses documentos. O nome do site não será divulgado para proteger os pacientes. Além de prontuários com anotações sobre pacientes, foram localizadas senhas para outros sistemas hospitalares, como exames laboratoriais, atestados e sistemas de gestão.
As informações são de pessoas que foram atendidas em diversos equipamentos em Fortaleza, como o Hospital Universitário Walter Cantídio (HUWC) e a Maternidade-Escola Assis Chateaubriand (Meac), ambos vinculados à Universidade Federal do Ceará (UFC) e geridos pela Empresa Brasileira de Serviços Hospitalares (Ebserh), responsável por vários hospitais universitários pelo País.
Hospitais estaduais também tiveram informações expostas no sistema, como o Hospital Geral Dr. César Cals (HGCC), o Hospital São José de Doenças Infecciosas (HSJ), o Hospital Regional do Sertão Central (HRSC), em Quixeramobim, o Hospital Geral Dr. Waldemar de Alcântara e o Hospital Universitário do Ceará (HUC), vinculado à Universidade Estadual do Ceará (Uece).
O site funciona como um bloco de notas online, no qual qualquer pessoa pode criar um nome de usuário e fazer anotações. Sabendo o nome de usuário, é possível acessar qualquer espaço de anotações, e inclusive fazer edições no conteúdo.
Leia mais
Leia mais
Além dos prontuários do Ceará, também foram encontrados registros médicos de outros estados, como Piauí, São Paulo, Minas Gerais e Paraíba.
No dia 13 de janeiro, após ser procurada pelo O POVO para comentar a questão, a diretoria da Faculdade de Medicina da UFC publicou um comunicado em que veda o uso de plataformas digitais não homologadas pela instituição.
Veja o comunicado publicado pela instituição:
Um estudante da Faculdade de Medicina (Famed) da UFC e usuário de um desses sites contou ao O POVO que o uso desses portais acontece devido a falhas nos sistemas dos próprios hospitais, em especial o da Ebserh. O POVO ouviu três estudantes, que relataram os mesmos problemas e pediram para não serem identificados, com receio de sanções.
Segundo um dos discentes, a rede desses locais é lenta e constantemente apresenta falhas, como demora para salvar arquivos, perda de informações cadastradas sobre os pacientes, além de sofrerem com problemas externos, como quedas de energia recorrentes.
Por causa disso, os estudantes utilizam as plataformas como uma espécie de "rascunho", onde colocam todas as informações necessárias ao prontuário, e depois só as copiam e colam de forma rápida e prática no sistema do hospital.
"Se cai a internet ou cai o sistema, o que era muito comum no HU, você perde tudo que havia escrito. Então você acaba tendo grande prejuízo nesse sentido. No [nome do site] conforme você vai escrevendo, ele já salva automaticamente. Então, se a energia cai ou falta internet, os dados que você já escreveu já ficam salvos automaticamente, você só copia e cola no sistema da Ebserh", detalha.
Além dos alunos, os professores do curso de Medicina também possuem conhecimento sobre as plataformas. Eles teriam recomendado o uso para os estudantes, mesmo com as baixas camadas de segurança do site, a fim de evitar perda de informações de pacientes decorrentes de problemas nos sistemas dos hospitais.
"Quando a gente vai começar nos ambulatórios, tem aquelas orientações iniciais de como funciona o ambulatório, como é que se deve proceder... aí eles recomendam que a gente utilize (a plataforma). Eles falam explicitamente: utilize o [nome do site]. E aí eles explicam 'caso falte energia, falte internet... para ficar salvo e você não perder toda a história clínica do paciente que você coletou'", complementa o aluno.
A plataforma oferece a possibilidade de proteger suas informações com uma senha, mas por meio de uma busca simples é possível encontrar diversos registros sem qualquer tipo de proteção. Esse recurso, entretanto, não é usado pelos estudantes: eles pensam que, por ser necessário saber o nome exato do usuário que cadastrou o bloco de notas, "ninguém vai acessar o perfil".
Maria [nome fictício], médica formada pela UFC, pontua que essa falta de cuidado compromete diretamente a privacidade e a segurança dos dados do paciente. Ao confiarem que as informações sigilosas repassadas por eles ficarão apenas dentro do ambulatório, muitos não imaginam que tudo o que foi dito pode ser acessado online.
"Com certeza é um risco para a privacidade dos pacientes. Se uma pessoa mal intencionada tiver os meios de descobrir, por exemplo, o [nome do site] de quem tá fazendo aqueles atendimentos, ela vai ter acesso. E se aquele médico, ou interno, ou residente estiver sendo descuidado, ela vai ter acesso a informações que são sigilosas", alerta.
Uma das pessoas ouvidas pela reportagem conta que já houve exposição de informações. "Teve um perfil que eu abri aleatoriamente e vi que a última consulta registrada era da cidade natal desse meu amigo, e eu perguntei se ele conhecia. Ele falou 'conheço, é a mãe de um amigo meu', e ele já ficou sabendo que a mãe do amigo era acompanhada no hospital X, e isso já foi um vazamento", relembra.
O POVO também questionou sobre o uso de outras plataformas com maior segurança, como o Google Docs e o Word, que exigem login e senha para acessar os documentos.
Conforme os estudantes ouvidos, os muitos passos de segurança para acessar essas plataformas da Google e Microsoft atrapalhariam a rotina nos ambulatórios, tornando a escolha pelos sites de blocos de notas online uma questão também de praticidade.
Além da questão ética de utilizar sistemas de fora do hospital para salvar informações de pacientes, a prática adotada nos hospitais também infringe artigos da Lei Geral de Proteção de Dados (LGPD).
Um dos artigos desrespeitados é o 46, que obriga os tratadores de dados, ou seja, quem recebe as informações, a tomar medidas de segurança para evitar que as informações pessoais sejam acessadas por terceiros.
A presidente da Comissão sobre a Lei Geral de Proteção de Dados (CLGPD) da OAB Ceará, Thaís Marinho, explica que mesmo sem a intenção de publicizar o conteúdo compartilhado pelos pacientes, quem realiza o atendimento pode ser penalizado por não ter tomado as devidas precauções da administração dessas informações.
"Ainda que esses estudantes não tenham tido a intenção de causar dano, e visivelmente não tinham, a lei adota uma lógica de responsabilidade objetiva nesse dever de segurança. Ou seja, o simples tratamento inseguro já pode configurar, sim, um descumprimento legal. Independente da intenção, do dolo", explica Marinho.
Outro ponto desrespeitado da legislação foi o artigo 49, que trata sobre as plataformas onde dados sensíveis, como os cedidos pelos pacientes, devem ser armazenados.
O texto estabelece que esses sistemas devem seguir medidas padrão de segurança que possam evitar o vazamento dos dados, o que não é o caso dos sites usados nos hospitais.
"Embora a lei não traga uma lista fechada, a própria
De acordo com a advogada, as penalizações não são excludentes, ou seja, pode ser aplicada a professores e aos próprios hospitais, caso comprovado que estes contribuíram de alguma forma para o uso das plataformas online.
As sanções vão desde advertências e sanções acadêmicas, passando por multa financeira, até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A especialista também reforça que, identificados os vazamentos, é dever das unidades de saúde garantir que esses dados não sejam mais disponibilizados online e que os já fornecidos sejam apagados.
"Os hospitais, enquanto agentes de tratamento, são responsáveis também pela governança dos dados no ambiente assistencial e acadêmico. Eles têm o dever de adotar medidas imediatas para cessar esse risco. Isso inclui solicitar a exclusão desses dados inseridos neste formato irregular nessa plataforma aberta. A manutenção desses dados abertos acessíveis mesmo após a ciência da irregularidade agrava o risco jurídico e regulatório", destaca Marinho.
O caso foi levado por estudantes e professores à direção da Famed, por meio de uma nota de preocupação com o uso da plataforma.
No HUWC e Meac, especificamente, um desses sites já foi bloqueado pela Ebserh, não sendo mais possível o acesso pela internet das unidades. O bloqueio teria acontecido no dia 12 de dezembro, após o caso ser identificado pelo Complexo Hospitalar.
"No Hospital Universitário agora, se você quiser entrar no site pela rede do hospital, você não consegue porque é bloqueado. Mas enquanto o [nome do site] foi bloqueado, outros blocos de notas, aplicativos, programas, eles continuam abertos. Então, digamos que a Ebserh tratou um sintoma, mas a doença base continua lá", afirmou um estudante.
Desde a proibição, O POVO recebeu relatos de que as plataformas continuam sendo utilizadas, inclusive a bloqueada na rede hospitalar. Por meio de nota, a instituição informou que poderá responsabilizar os alunos que insistirem em usar o sistema de forma "administrativa, ética e legal, conforme a legislação e os regulamentos aplicáveis".
Questionada também sobre as falhas do sistema relatadas pelos alunos, a Ebserh reforçou que o Aplicativo de Gestão para Hospitais Universitários (AGHU), utilizado no HUWC e na Meac, é o maior prontuário eletrônico público hospitalar do Brasil.
Com cerca de 3,8 milhões de acessos por mês, o sistema tem seu funcionamento monitorado em tempo real pela empresa.
Ainda de acordo com a administração dos hospitais, a taxa de disponibilidade do AGHU no Complexo Hospitalar da UFC foi acima de 99,99%, com poucos incidentes registrados ao longo do ano, e estes sendo resolvidos em questão de minutos.
"Eventuais situações pontuais de lentidão, caso ocorram, devem ser comunicadas imediatamente ao preceptor ou à equipe de TI local, para avaliação e aplicação dos planos de contingência institucionais. Em nenhuma hipótese tais situações autorizam o registro, o armazenamento ou o compartilhamento de dados de pacientes em ferramentas externas, sites de blocos de notas ou soluções não institucionais", diz a nota.
Sobre as interrupções de energia, a Ebserh afirma que o Complexo é 100% coberto por gerador de energia, que entra em ação imediatamente diante de qualquer falha.
Questionada sobre o uso da plataforma pelos estudantes, a UFC ponderou ter como prática buscar garantir o uso ético, legal e seguro de informações assistenciais e acadêmicas, especialmente no âmbito do Complexo Hospitalar, e sinalizou o reforço dessas diretrizes na formação de seus alunos.
"Durante toda a formação acadêmica os estudantes são orientados acerca da importância da proteção de dados pessoais de pacientes, como por exemplo em disciplinas sobre ética, desenvolvimento profissional e saúde digital, sempre abordando aspectos da LGPD. Os docentes são corresponsáveis pela orientação, supervisão e garantia do uso adequado das informações pelos estudantes sob sua supervisão", afirmou, em nota.
O POVO também procurou a Secretaria da Saúde do Ceará (Sesa) sobre a utilização dessas plataformas nos hospitais estaduais. Também em nota, a pasta informou que está tomando as providências cabíveis para coibir práticas que contrariem as normas vigentes na Rede Sesa.
As instituições de ensino do Estado, como a Universidade Estadual do Ceará (Uece), também estão sendo alertadas sobre as condutas e cobradas quanto a adoção de medidas para assegurar a proteção dos dados no âmbito da saúde.
"Todos os profissionais da Rede Sesa, assim como estudantes em processo de aprendizagem, são devidamente orientados quanto ao registro correto de dados e informações exclusivamente em plataformas e sistemas institucionais. A Sesa não autoriza, portanto, a utilização de meios informais para o armazenamento ou compartilhamento de dados", conclui o texto.
No caso de hospitais estaduais, em que o bloco de notas é utilizado também para registro de acessos a plataformas e bancos de dados, ainda existe uma atualização constante das senhas. Até o fechamento desta matéria, as anotações ainda estavam disponíveis na plataforma sem a necessidade de senha.
O POVO também tentou contato com o Conselho Regional de Medicina do Estado do Ceará (Cremec) sobre o assunto, mas não obteve retorno.
Ao todo, foram quatro ligações para a presidente do Conselho, Inês Tavares Vale e Melo, contato com a assessoria via aplicativo de mensagens e demanda feita por e-mail oficial da entidade no dia 15 de janeiro, todas sem resposta.
O POVO solicitou entrevista com a diretoria da Famed para a UFC, com a direção do Complexo Universitário, para a Ebserh e com fonte responsável pela segurança de dados nos hospitais estaduais para a Sesa. Todas optaram por responder por meio de nota.
Hover overTap highlighted text for details
Source Quality
Source classification (primary/secondary/tertiary), named vs anonymous, expert credentials, variety
Summary
Multiple named and anonymous sources including students, a doctor, and an expert lawyer, with some primary interviews.
Specific Findings from the Article (4)
"O POVO ouviu três estudantes, que relataram os mesmos problemas e pediram para não serem identificados"
Anonymous student sources provide firsthand accounts.
Anonymous source"Maria [nome fictício], médica formada pela UFC, pontua que essa falta de cuidado compromete diretamente a privacidade"
Named doctor (with pseudonym) provides expert perspective.
Named source"A presidente da Comissão sobre a Lei Geral de Proteção de Dados (CLGPD) da OAB Ceará, Thaís Marinho, explica"
Named legal expert with credentials provides analysis.
Expert source""Se cai a internet ou cai o sistema, o que era muito comum no HU, você perde tudo que havia escrito."
Direct quote from anonymous student describing firsthand experience.
Primary sourcePerspective Balance
Acknowledgment of multiple viewpoints, counterarguments, and balanced presentation
Summary
Article presents perspectives from students, hospitals, legal expert, and acknowledges counterarguments.
Specific Findings from the Article (3)
"Conforme os estudantes ouvidos, os muitos passos de segurança para acessar essas plataformas da Google e Microsoft atrapalhariam a rotina"
Presents students' rationale for using insecure platforms.
Balance indicator"a Ebserh reforçou que o Aplicativo de Gestão para Hospitais Universitários (AGHU), utilizado no HUWC e na Meac, é o maior prontuário eletrônico público hospitalar do Brasil"
Includes hospital administration's defense of their system.
Balance indicator"a taxa de disponibilidade do AGHU no Complexo Hospitalar da UFC foi acima de 99,99%, com poucos incidentes registrados"
Presents hospital's counterpoint to student complaints about system reliability.
Balance indicatorContextual Depth
Background information, statistics, comprehensiveness of coverage
Summary
Provides comprehensive context including affected hospitals, legal framework, technical details, and historical background.
Specific Findings from the Article (4)
"As informações são de pessoas que foram atendidas em diversos equipamentos em Fortaleza, como o Hospital Universitário Walter Cantídio (HUWC) e a Maternidade-Escola Assis Chateaubriand (Meac)"
Identifies specific hospitals affected.
Background"a prática adotada nos hospitais também infringe artigos da Lei Geral de Proteção de Dados (LGPD)"
Explains legal context and violations.
Context indicator"Com cerca de 3,8 milhões de acessos por mês, o sistema tem seu funcionamento monitorado em tempo real"
Provides statistical data about hospital system usage.
Statistic"No HUWC e Meac, especificamente, um desses sites já foi bloqueado pela Ebserh, não sendo mais possível o acesso pela internet das unidades"
Provides background on institutional responses.
BackgroundLanguage Neutrality
Absence of loaded, sensationalist, or politically biased language
Summary
Language is consistently factual and neutral throughout, with no sensationalist or loaded terms.
Specific Findings from the Article (3)
"Dados sensíveis de pacientes de hospitais públicos foram expostos em sites"
Neutral, factual description of the incident.
Neutral language"Estudantes e médicos utilizam essas plataformas externas como "rascunho" devido a falhas, lentidão e instabilidades"
Objective explanation of behavior without judgmental language.
Neutral language"rceiros. A presidente da Comissão sobre a Lei Geral de Proteção de Dados (CLGPD) da OAB Ceará, Thaís Marinho, ex"
Neutral reporting of expert analysis.
Neutral languageTransparency
Author attribution, dates, methodology disclosure, quote attribution
Summary
Clear author attribution, date, and good quote attribution, though some sources are anonymous.
Specific Findings from the Article (2)
"ospital. "Se cai a internet ou cai o sistema, o que era muito"
Quote clearly attributed to source (anonymous student).
Quote attribution""Com certeza é um risco para a privacidade dos pacientes. Se uma p"
Quote attributed to named doctor (with pseudonym).
Quote attributionLogical Coherence
Internal consistency of claims, absence of contradictions and unsupported causation
Summary
No logical inconsistencies detected; article presents a coherent narrative with supported claims.
Logic Issues Detected
-
Contradiction (high)
Conflicting values for 'the': 3.8 vs 99.99%
"Heuristic: Values conflict between P3 and P4"
Core Claims & Their Sources
-
"Patient data from public hospitals in Ceará was exposed on publicly accessible note-taking websites."
Source: Journalist investigation with access to documents: "O POVO teve acesso a mais de 30 desses documentos." Primary
-
"Students and doctors use these external platforms due to failures and instability in official hospital systems."
Source: Direct quotes from anonymous students and a doctor describing their experiences. Primary
-
"This practice violates Brazil's General Data Protection Law (LGPD)."
Source: Legal expert Thaís Marinho explains specific article violations. Named secondary
Logic Model Inspector
Inconsistencies FoundExtracted Propositions (7)
-
P1
"Over 30 documents with patient data were found on publicly accessible sites."
Factual -
P2
"Affected hospitals include HUWC, Meac, HGCC, HSJ, HRSC, and HUC."
Factual -
P3
"The Ebserh system AGHU has about 3.8 million monthly accesses."
Factual In contradiction -
P4
"The AGHU system had 99.99% availability at UFC Hospital Complex."
Factual In contradiction -
P5
"System failures causes Use of external note-taking sites"
Causal -
P6
"Insecure data storage causes LGPD violations"
Causal -
P7
"Hospital system blocking causes Continued use of alternative platforms"
Causal
Claim Relationships Graph
Detected Contradictions (1)
View Formal Logic Representation
=== Propositions === P1 [factual]: Over 30 documents with patient data were found on publicly accessible sites. P2 [factual]: Affected hospitals include HUWC, Meac, HGCC, HSJ, HRSC, and HUC. P3 [factual]: The Ebserh system AGHU has about 3.8 million monthly accesses. P4 [factual]: The AGHU system had 99.99% availability at UFC Hospital Complex. P5 [causal]: System failures causes Use of external note-taking sites P6 [causal]: Insecure data storage causes LGPD violations P7 [causal]: Hospital system blocking causes Continued use of alternative platforms === Constraints === P3 contradicts P4 Note: Conflicting values for 'the': 3.8 vs 99.99% === Causal Graph === system failures -> use of external notetaking sites insecure data storage -> lgpd violations hospital system blocking -> continued use of alternative platforms === Detected Contradictions === UNSAT: P3 AND P4 Proof: Heuristic: Values conflict between P3 and P4