Digitalização da saúde amplia eficiência, mas também expõe hospitais e pacientes a riscos cibernéticos; especialistas explicam vulnerabilidades e responsabilidades legais
Por Marcos Vinícius Pereira, para o TechTudo
A transformação digital na área da saúde tem acelerado a adoção de prontuários eletrônicos, consultas por telemedicina e sistemas de armazenamento em nuvem. Essa mudança promete eficiência e acesso rápido às informações médicas, mas também amplia a exposição de dados sensíveis, o que torna hospitais, clínicas e operadoras de planos de saúde alvos estratégicos para cibercriminosos. Nos últimos anos, incidentes de segurança e vazamentos de dados médicos colocaram o tema no centro do debate sobre privacidade. A Autoridade Nacional de Proteção de Dados (ANPD) alerta que falhas em sistemas de segurança podem comprometer não apenas informações pessoais, mas também genéticas e clínicas, o que impacta diretamente o direito à intimidade dos pacientes.
Para entender os desafios e responsabilidades desse novo cenário, o TechTudo ouviu Lorena Lage, professora de Direito Digital do UniArnaldo (BH); Alexander Coelho, sócio do Godke Advogados e especialista em Cibersegurança; Gustavo Clemente, sócio do Lara Martins Advogados e presidente do Sindicato dos Hospitais do Estado de Goiás; e Dr. Marcelo Noronha, diretor do hospital SerPiero. A seguir, o TechTudo explica os riscos, as responsabilidades legais e as soluções que especialistas indicam para garantir a segurança das informações médicas no ambiente digital.
Índice
- Panorama atual da digitalização na saúde
- Riscos e vulnerabilidades mais comuns
- Casos recentes e impactos reais
- A LGPD e as responsabilidades do setor
- Especialistas e soluções
- Perspectivas futuras
1. Panorama atual da digitalização na saúde
O avanço tecnológico no setor da saúde trouxe benefícios inegáveis, como agilidade no diagnóstico e integração entre profissionais. Hospitais de diferentes regiões já compartilham dados em tempo real, o que facilita o atendimento e reduz erros médicos. Entretanto, a corrida pela digitalização nem sempre vem acompanhada de medidas robustas de cibersegurança. Segundo a ANPD (Agência Nacional de Proteção de Dados), os incidentes de segurança relacionados à exposição de dados de saúde estão entre os mais graves, pois envolvem informações de natureza sensível. Isso inclui resultados de exames, diagnósticos e histórico médico, que podem ser explorados em fraudes e até em práticas de discriminação.
Para a professora Lorena Lage, o problema está na ausência de políticas consistentes de proteção de dados nas instituições. “Muitas organizações ainda tratam a segurança digital como um custo, e não como uma obrigação legal e ética”, pontua. Segundo ela, a LGPD exige a adoção de medidas técnicas e administrativas que nem sempre são aplicadas na prática. Enquanto o setor privado tenta se adequar, o público enfrenta barreiras estruturais. Hospitais estaduais e municipais operam com sistemas legados, sem integração ou atualização constante, o que amplia o risco de invasões e perda de dados.
2. Riscos e vulnerabilidades mais comuns
A principal porta de entrada para ataques é a falta de protocolos de segurança básicos. Senhas fracas, softwares desatualizados e ausência de autenticação em dois fatores tornam os sistemas vulneráveis. A criptografia de dados, essencial para evitar acessos indevidos, ainda é negligenciada por muitas instituições de pequeno e médio porte. Segundo Alexander Coelho, as brechas estão também na rotina dos profissionais. “É comum ver médicos acessando prontuários de casa, por redes Wi-Fi abertas. Essa prática compromete toda a estrutura de segurança da instituição”, explica. Ele defende políticas internas de controle de acesso e capacitação constante das equipes.
A ANPD recomenda o uso de técnicas como anonimização e pseudonimização dos dados, além de manter auditorias periódicas e atualizações automáticas nos sistemas. Segundo o órgão, o descuido com essas medidas pode configurar violação da LGPD. Além dos ataques externos, há riscos internos. Funcionários mal-intencionados ou despreparados podem vazar dados, ou utilizá-los de forma inadequada, o que exige uma cultura organizacional voltada à responsabilidade digital.
3. Casos recentes e impactos reais
Nos últimos dois anos, o Brasil registrou uma série de incidentes graves envolvendo dados médicos. Em 2021, o Ministério da Saúde enfrentou uma invasão que comprometeu o acesso ao ConecteSUS, plataforma que armazena certificados de vacinação e prontuários. Milhões de brasileiros ficaram temporariamente sem acesso às informações. Casos semelhantes atingiram laboratórios e redes hospitalares privadas, o que resultou em exposição de exames e laudos em fóruns da dark web. Segundo levantamento da Kaspersky, o setor de saúde foi o segundo mais visado por ciberataques no país em 2024, atrás apenas do setor financeiro.
Para Gustavo Clemente, os impactos vão além da reputação. “Um hospital que sofre vazamento pode responder civil e administrativamente, com base na LGPD. O dano à imagem e à confiança dos pacientes é incalculável”, afirmou. Ele destaca que, em Goiás, o sindicato tem orientado as instituições a criar comissões internas de proteção de dados. “Não é mais uma questão de conformidade, mas de sobrevivência no mercado”, reforça o advogado.
4. A LGPD e as responsabilidades do setor
A Lei Geral de Proteção de Dados (LGPD) classifica informações sobre saúde como dados sensíveis, exigindo tratamento diferenciado e seguro. A norma obriga controladores e operadores a comunicar incidentes relevantes à ANPD e aos titulares sempre que houver risco ou dano significativo. Conforme o site oficial da ANPD, a omissão ou subavaliação de um incidente pode ser considerada infração à legislação. O órgão destaca que a comunicação deve incluir detalhes técnicos, medidas adotadas e relatórios de impacto.
Para Lorena Lage, a lei trouxe avanços, mas ainda carece de maturidade institucional. “A LGPD deu o primeiro passo, mas a cultura de proteção de dados precisa ser incorporada ao dia a dia das instituições, não apenas à documentação formal”, avalia.
Já Alexander Coelho aponta que a responsabilidade não é apenas jurídica, mas também moral. “O paciente confia dados íntimos ao sistema. Qualquer falha é uma quebra de confiança que atinge o próprio propósito da medicina: cuidar”, ressalta.
5. Especialistas e soluções
Especialistas indicam que a proteção de dados deve começar pelo topo da gestão. O encarregado de dados pessoais (DPO), figura prevista na LGPD, é responsável por garantir o comprimento das políticas internas e a comunicação com a ANPD.
Para o Dr. Marcelo Noronha, do hospital SerPiero, a transformação digital precisa caminhar com o investimento em segurança. “Não adianta ter prontuários modernos se o servidor é vulnerável. O investimento deve ser proporcional ao risco”, afirma. Ele conta que o hospital passou a adotar dupla autenticação e backups criptografados após auditoria interna. “A experiência mostrou que prevenção custa menos do que remediação”, observa.
Gustavo Clemente reforça que a criação de comitês de governança e planos de resposta a incidentes são medidas que fazem diferença. “Quando o incidente ocorre, cada minuto conta. O hospital que não tem protocolo perde o controle da crise rapidamente”, alerta.
Advogado, sócio do Lara Martins Advogados e responsável pelo Núcleo de Direito da Saúde, Médico e Hospitalar. Graduado em Direito pela PUC Goiás e em Administração pela PUC Campinas. Pós-graduado em Administração Hospitalar (IPEP) e em Lei Geral de Proteção de Dados (LGPD) pelo Instituto Legale. Presidente do SINDHOESG – Sindicato dos Hospitais do Estado de Goiás. Conselheiro fiscal da AHPACEG – Associação dos Hospitais Privados do Estado de Goiás.
