Autor: Lusa/AO Online
O inquérito foi desencadeado com a participação da empresa pública Saudaçor, que gere os recursos e equipamentos de saúde dos Açores, após a revista Exame Informática ter noticiado em março que dados de quase todos os habitantes dos Açores estiveram expostos no 'site' da Administração Regional de Saúde (ARS) do Alentejo.
"O ficheiro tinha o nome 'Exportação Utentes SRSA para Reembolsos'. Quem o descobria na Internet tinha uma surpresa: numa grelha Excel estão os dados de mais de 230 mil habitantes dos Açores", incluindo "nomes completos, número fiscal, e de utente dos serviços de saúde regionais, moradas, datas de nascimento e números de telefone e/ou telemóveis", informou a revista.
Na participação, a Saudaçor pretendia ver apreciada a responsabilidade criminal de um engenheiro, constituído arguido, que contratou para a “execução da plataforma informática para o Sistema de Gestão de Reembolsos nos Açores”, por ter “desenvolvido idêntica plataforma para a ARS Alentejo”.
O arguido prestou o serviço a partir de Évora e, após a situação ter sido tornada pública, a Saudaçor, que queria ver também apuradas responsabilidades criminais da ARS Alentejo, da revista e de desconhecidos, rescindiu o contrato.
O Departamento de Investigação e Ação Penal de Évora delegou a investigação na Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária.
No despacho final lê-se que o arguido “assumiu a colocação do ficheiro Excel no servidor da ARS Alentejo para que pudesse trabalhar os dados ali existentes”, mas esqueceu-se de o apagar quando se tornou desnecessário.
Já quanto à responsabilidade criminal do arguido, dos autos resulta que “acedeu aos sistemas informáticos da Saudaçor e da ARS Alentejo e, ainda, a um ficheiro informático contendo dados pessoais protegidos por lei”.
“Sucede que tais acessos foram legitimados pelas relações contratuais e funcionais que detinha com cada uma destas entidades”, refere o despacho, explicando que o arguido “estava devidamente autorizado a aceder a ambos os servidores e ao ficheiro de dados”, o que afasta a prática dos crimes de acesso ilegítimo e acesso indevido.
Já quanto à violação de dever de sigilo, o MP sustenta “resulta indiciado que o ficheiro não se encontrava acessível a quem consultasse o ‘site’ da ARS, através de um ‘link’, ou sequer a quem fizesse uma pesquisa simples no Google”.
“Conforme divulgado pela notícia da revista Exame Informática, a sua consulta só era possível através de pesquisa com recurso aos Google ‘dorks’, ferramenta informática de ‘hacking’ que permite apurar resultados relativos a servidos sedeados em Portugal que usam uma tecnologia de partilha de ficheiros e gestão de conteúdos”, lê-se no despacho.
Para o MP, trata-se de uma pesquisa que está acessível apenas a “pessoas com especiais conhecimentos de informática e que permite a entrada ilícita num servidor”.
O MP rejeita também responsabilizar criminalmente a ARS Alentejo, dado que “a gravação e manutenção do ficheiro no seu servidor” foram assumidas pelo arguido, além de que “nada indicia que tenha atuado em nome ou no interesse” desta, que “desconhecia a existência e localização daquele ficheiro na raiz” do seu ‘site’.
“No que respeita à identificação de terceiros desconhecidos que tenham acedido ao sistema informático da ARS e ao ficheiro contendo dados pessoais, no caso não se mostra possível apurar as circunstâncias concretas deste acesso”, sobretudo “quem acedeu, através de que IP, onde, quando e como”, adianta o MP que afasta igualmente a responsabilidade da revista, “ou mais concretamente do jornalista” que elaborou a notícia ou eventualmente da sua fonte.
Considerando que o conhecimento da existência do ficheiro e do ‘site’ na Internet em que o mesmo se encontrava disponível “terá, presumivelmente, resultado de um acesso ilegítimo ao ‘site’ da ARS, o MP adianta que “nada permite concluir” que foi o jornalista “quem pessoalmente acedeu ao site” - e consequentemente ao ficheiro -, mas admite a possibilidade de ser alguém que tenha atuado como fonte jornalística, “muito provavelmente um indivíduo com especiais conhecimentos de informática, um ‘hacker’”.