O Procon de Porto Alegre arquivou uma investigação preliminar então em aberto contra a Unimed Porto Alegre. A cooperativa de saúde tinha suspeita de ter vazado dados de seus pacientes. A acusação foi feita pelo site TecMundo, em setembro do ano passado.
À época, a publicação, a partir de uma amostra de 500 nomes vindas do pesquisador de segurança chamado Xploit, relatou que a Unimed, por conta de uma falha em endpoints de uma unidade em Porto Alegre, expôs os dados sensíveis de um número indeterminado de pacientes.
“As informações envolvem nome completo, email, telefone, número IP, CPF, histórico de exames, histórico de consultas, medicações e materiais usados”, descreveu o TecMundo.
O Xploit relatou que descobriu o fato após inserir o próprio CPF e ID de usuário em um formulário da Unimed e notar que houve retorno dos dados cadastrais sem autenticação. “Grande parte dos endpoints pede apenas CPF ou ID para realizar qualquer ação”, comentou à época.
Naquele momento, assim que o caso veio à tona, a reação do Procon de Porto Alegre foi notificar a Unimed. Foi dado o período de 20 dias para que a cooperativa enviar respostas, sob pena de ser enquadrada no artigo 56 do Código de Defesa do Consumidor, que prevê sanções administrativas sem prejuízo das de natureza civil, penal e das definidas em normas específicas.
Na decisão desta última semana, o Procon de Porto Alegre disse que a Unimed admitiu o incidente e referiu ter adotado as providências cabíveis. “Os titulares dos dados foram informados do ocorrido, assim como a ANPD (Autoridade Nacional de Proteção de Dados)”, destacou Wambert Di Lorenzo, diretor-executivo do Procon de Porto Alegre.
