O setor de saúde no Brasil tem passado por uma profunda transformação tecnológica nos últimos anos. Com a digitalização de prontuários, o crescimento da telemedicina e o uso crescente de tecnologias de monitoramento, como dispositivos wearables, o mercado de saúde brasileiro se consolidou como o 8º maior do mundo, de acordo com o Ministério da Saúde (2019). No entanto, esses avanços também trazem consigo uma série de riscos cibernéticos, que vêm colocando o setor na mira de criminosos digitais.
Em termos econômicos, o setor de saúde é gigantesco. A participação no PIB em 2023 foi de R$ 620 bilhões, segundo o IBGE, e os investimentos na área devem atingir R$ 980,3 bilhões até o final de 2024, o que representará cerca de 10% do PIB nacional. Esses números chamam a atenção de cibercriminosos, que veem nesse mercado uma oportunidade lucrativa para ataques, seja através de ransomware, espionagem industrial ou venda de dados pessoais sensíveis.
Além disso, o setor registrou um lucro de R$ 3,33 bilhões no 1º trimestre de 2024, cerca de 3,93% da receita total do período, que foi de R$ 84 bilhões. A saúde se destaca não apenas por sua dimensão econômica, mas também pela quantidade de dados valiosos e altamente sensíveis que são gerados, armazenados e compartilhados em sistemas muitas vezes vulneráveis.
Por que Dados de Saúde São Tão Valiosos?
De acordo com a Lei Geral de Proteção de Dados (LGPD), informações de saúde são classificadas como dados pessoais sensíveis, exigindo um nível de proteção superior. Isso inclui históricos médicos, diagnósticos, tratamentos, dados genéticos e biométricos. O valor desses dados no mercado negro é altíssimo, pois eles podem ser usados para fraudes, extorsão e até discriminação. Um prontuário médico exposto pode causar desde danos financeiros a um indivíduo até problemas mais sérios, como exclusão social ou dificuldade em acessar seguros de saúde.
Além disso, com o aumento da conectividade entre sistemas de saúde — como hospitais, laboratórios e clínicas —, cresce a superfície de ataque e o número de pontos vulneráveis. Muitos desses sistemas ainda não possuem a infraestrutura necessária para garantir a total segurança dos dados, o que faz do setor um alvo fácil para cibercriminosos.
A Digitalização do Setor e as Vulnerabilidades Cibernéticas
A modernização dos serviços de saúde, que inclui a telemedicina e a digitalização completa de prontuários, trouxe uma série de benefícios, mas também ampliou os riscos. O volume de informações trafegadas digitalmente aumenta exponencialmente, e o uso de tecnologias como nuvem e inteligência artificial exige sistemas de segurança robustos. Entretanto, muitas instituições ainda enfrentam dificuldades em manter suas defesas atualizadas e adequadas à complexidade dos ciberataques atuais.
Ataques de ransomware, que sequestram dados e exigem pagamento para devolvê-los, são um dos principais riscos. No Brasil, diversos hospitais já sofreram esse tipo de ataque nos últimos anos, resultando na paralisação de serviços essenciais e na exposição de dados confidenciais. Esses ataques não apenas comprometem a privacidade dos pacientes, mas podem colocar em risco vidas humanas, uma vez que a continuidade do tratamento é interrompida.
A LGPD e a Proteção dos Dados de Saúde
A Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, veio para criar um arcabouço regulatório que assegure a proteção dos dados pessoais no Brasil. No setor de saúde, a LGPD estabelece diretrizes rígidas para o tratamento de dados sensíveis. As instituições devem garantir que o tratamento dos dados seja feito com uma finalidade específica e com o consentimento explícito dos pacientes. Além disso, precisam adotar medidas técnicas e administrativas para garantir a segurança e a confidencialidade dessas informações.
Essas medidas incluem criptografia, controle rigoroso de acessos e a capacitação contínua das equipes. Entretanto, muitas instituições ainda encontram dificuldades para implementar essas exigências, seja por limitações financeiras ou por uma visão equivocada sobre a importância do tema. Não é raro ver hospitais e clínicas operando com sistemas desatualizados ou sem uma política clara de proteção de dados.
O Papel do Encarregado de Proteção de Dados (DPO)
A LGPD também prevê a figura do Encarregado de Proteção de Dados (Data Protection Officer, ou DPO), que tem a função de garantir que a instituição esteja em conformidade com a lei e de mediar as relações entre os pacientes, as empresas e a Autoridade Nacional de Proteção de Dados (ANPD). O DPO deve assegurar que as políticas de segurança da informação estejam em vigor, realizar auditorias regulares e atuar na gestão de incidentes, como vazamentos ou acessos indevidos.
Ameaças e Desafios Éticos no Futuro da Saúde Digital
Além dos desafios técnicos, surgem também questões éticas em torno da utilização dos dados na saúde. Com o avanço da inteligência artificial, há o risco de que decisões clínicas passem a ser automatizadas, o que levanta perguntas sobre a transparência e a imparcialidade dessas decisões. Quem terá acesso a esses dados? Como garantir que as decisões automatizadas sejam justas e equitativas?
A interoperabilidade dos sistemas também apresenta riscos. À medida que mais plataformas se conectam para melhorar a eficiência do atendimento ao paciente, a troca de dados entre sistemas se torna mais frequente, exigindo mecanismos cada vez mais sofisticados de segurança e proteção.
Conclusão
O setor de saúde brasileiro, pela sua dimensão e pelo volume de dados sensíveis que processa, tornou-se um dos principais alvos do cibercrime. A LGPD estabelece regras claras para proteger esses dados, mas a implementação prática dessas normas ainda enfrenta muitos desafios. À medida que o setor de saúde se moderniza, as instituições precisam investir não só em tecnologia, mas também em uma cultura de privacidade e segurança da informação.
As ameaças cibernéticas continuarão a crescer à medida que a digitalização avança. Por isso, é essencial que as instituições de saúde reforcem suas defesas e estejam em conformidade com a legislação para garantir que o atendimento ao paciente seja seguro e que os dados pessoais estejam devidamente protegidos.
Walter Calza Neto, sócio no CNK advogados.