MP arquiva inquérito à divulgação de dados de 230 mil utentes dos Açores

O inquérito foi desencadeado com a participação da empresa pública Saudaçor, que gere os recursos e equipamentos de saúde dos Açores, após a revista Exame Informática ter noticiado em março que dados de quase todos os habitantes dos Açores estiveram expostos no 'site' da Administração Regional de Saúde (ARS) do Alentejo."O ficheiro tinha o nome 'Exportação Utentes SRSA para Reembolsos'. Quem o descobria na Internet tinha uma surpresa: numa grelha Excel estão os dados de mais de 230 mil habitantes dos Açores", incluindo "nomes completos, número fiscal, e de utente dos serviços de saúde regionais, moradas, datas de nascimento e números de telefone e/ou telemóveis", informou a revista.Na participação, a Saudaçor pretendia ver apreciada a responsabilidade criminal de um engenheiro, constituído arguido, que contratou para a “execução da plataforma informática para o Sistema de Gestão de Reembolsos nos Açores”, por ter “desenvolvido idêntica plataforma para a ARS Alentejo”.O arguido prestou o serviço a partir de Évora e, após a situação ter sido tornada pública, a Saudaçor, que queria ver também apuradas responsabilidades criminais da ARS Alentejo, da revista e de desconhecidos, rescindiu o contrato.O Departamento de Investigação e Ação Penal de Évora delegou a investigação na Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária.No despacho final lê-se que o arguido “assumiu a colocação do ficheiro Excel no servidor da ARS Alentejo para que pudesse trabalhar os dados ali existentes”, mas esqueceu-se de o apagar quando se tornou desnecessário.Já quanto à responsabilidade criminal do arguido, dos autos resulta que “acedeu aos sistemas informáticos da Saudaçor e da ARS Alentejo e, ainda, a um ficheiro informático contendo dados pessoais protegidos por lei”.“Sucede que tais acessos foram legitimados pelas relações contratuais e funcionais que detinha com cada uma destas entidades”, refere o despacho, explicando que o arguido “estava devidamente autorizado a aceder a ambos os servidores e ao ficheiro de dados”, o que afasta a prática dos crimes de acesso ilegítimo e acesso indevido.Já quanto à violação de dever de sigilo, o MP sustenta “resulta indiciado que o ficheiro não se encontrava acessível a quem consultasse o ‘site’ da ARS, através de um ‘link’, ou sequer a quem fizesse uma pesquisa simples no Google”.“Conforme divulgado pela notícia da revista Exame Informática, a sua consulta só era possível através de pesquisa com recurso aos Google ‘dorks’, ferramenta informática de ‘hacking’ que permite apurar resultados relativos a servidos sedeados em Portugal que usam uma tecnologia de partilha de ficheiros e gestão de conteúdos”, lê-se no despacho.Para o MP, trata-se de uma pesquisa que está acessível apenas a “pessoas com especiais conhecimentos de informática e que permite a entrada ilícita num servidor”.O MP rejeita também responsabilizar criminalmente a ARS Alentejo, dado que “a gravação e manutenção do ficheiro no seu servidor” foram assumidas pelo arguido, além de que “nada indicia que tenha atuado em nome ou no interesse” desta, que “desconhecia a existência e localização daquele ficheiro na raiz” do seu ‘site’.“No que respeita à identificação de terceiros desconhecidos que tenham acedido ao sistema informático da ARS e ao ficheiro contendo dados pessoais, no caso não se mostra possível apurar as circunstâncias concretas deste acesso”, sobretudo “quem acedeu, através de que IP, onde, quando e como”, adianta o MP que afasta igualmente a responsabilidade da revista, “ou mais concretamente do jornalista” que elaborou a notícia ou eventualmente da sua fonte.Considerando que o conhecimento da existência do ficheiro e do ‘site’ na Internet em que o mesmo se encontrava disponível “terá, presumivelmente, resultado de um acesso ilegítimo ao ‘site’ da ARS, o MP adianta que “nada permite concluir” que foi o jornalista “quem pessoalmente acedeu ao site” - e consequentemente ao ficheiro -, mas admite a possibilidade de ser alguém que tenha atuado como fonte jornalística, “muito provavelmente um indivíduo com especiais conhecimentos de informática, um ‘hacker’”.