O aumento dos ataques de ransomware no setor de saúde brasileiro, especialmente em 2024, trouxe à tona a fragilidade das instituições frente a ameaças cibernéticas. Com uma média de 2.976 ataques semanais por organização, o Brasil ultrapassa a média global e destaca-se como um dos países mais vulneráveis. Essas invasões, que sequestram dados e sistemas, paralisam operações críticas e ameaçam a privacidade de milhões de pacientes, revelando lacunas preocupantes na proteção de dados sensíveis. Diante desse cenário, o compliance com a Lei Geral de Proteção de Dados (LGPD) e as normas da Agência Nacional de Saúde Suplementar (ANS) torna-se uma questão não apenas regulatória, mas de sobrevivência institucional.
O crescente número de ataques decorre, em grande parte, da rápida digitalização do setor de saúde, que, embora tenha trazido avanços na eficiência e no tratamento médico, ampliou consideravelmente a superfície de ataque. As instituições de saúde armazenam e processam dados sensíveis, como informações médicas e pessoais de seus pacientes, tornando-se um alvo preferencial para invasores. Sistemas obsoletos, aliados à infraestrutura de segurança insuficiente em muitas instituições, agravam ainda mais o risco de incidentes.
Arcabouço Legal
A LGPD define as diretrizes gerais para o tratamento de dados pessoais no Brasil, aplicando-se a todos os setores, incluindo a saúde. Seus principais objetivos são garantir o respeito à privacidade e aos direitos dos titulares de dados, prevenir danos e aumentar a transparência no uso de dados pessoais.
No contexto da saúde, a LGPD é especialmente relevante, pois os dados tratados incluem informações sensíveis, como dados sobre o estado de saúde, histórico médico e dados biométricos. Essas informações estão classificadas como dados pessoais sensíveis (art. 5º, II da LGPD) e requerem proteção rigorosa. A LGPD impõe às organizações a responsabilidade de:
Coletar e tratar dados pessoais somente quando estritamente necessário, observando o princípio da necessidade (art. 6º da LGPD).
Implementar medidas técnicas e organizacionais de segurança, como criptografia e anonimização (art. 46 da LGPD).
Comunicar incidentes de segurança aos titulares dos dados e à ANPD (Autoridade Nacional de Proteção de Dados), garantindo que qualquer violação seja tratada de forma transparente (art. 48 da LGPD).
Nomear um encarregado pelo tratamento de dados (DPO) que será o ponto de contato entre a instituição, os titulares e a ANPD (art. 41 da LGPD).
Especificamente no setor de saúde suplementar, a Resolução Administrativa ANS Nº 80 de 2022 complementa a LGPD, reforçando suas diretrizes e criando normas específicas para operadoras de planos de saúde e prestadores de serviços ligados à Agência Nacional de Saúde Suplementar (ANS). Esta resolução detalha a Política de Proteção de Dados Pessoais no âmbito da ANS e das entidades sob sua supervisão.
Principais Obrigações da Resolução ANS Nº 80:
Inventário de Dados Pessoais: As operadoras de saúde são obrigadas a manter um registro detalhado das operações de tratamento de dados pessoais, de acordo com o art. 22 da resolução. Esse inventário deve conter informações sobre a coleta, utilização, retenção e eliminação dos dados, bem como as práticas de segurança adotadas.
Plano de Resposta a Incidentes: As operadoras devem elaborar um plano de resposta a incidentes de privacidade para lidar com eventuais vazamentos ou violações de dados pessoais, e garantir a comunicação imediata aos titulares afetados e à ANPD.
Tecnologias de Segurança: A resolução reforça o uso de tecnologias como anonimização e criptografia para proteger os dados pessoais, particularmente os dados sensíveis de saúde. Além disso, deve-se limitar o acesso aos dados apenas às pessoas e sistemas estritamente necessários, implementando práticas como pseudonimização para minimizar riscos.
Princípio da Necessidade: O tratamento de dados pessoais deve ser limitado ao mínimo necessário para alcançar as finalidades específicas. Esse princípio, expresso no art. 3º, visa reduzir o risco de exposição e abusos no tratamento de informações sensíveis.
Transparência e Direitos dos Titulares: A ANS também exige que as operadoras garantam o livre acesso dos titulares aos seus dados, permitindo que solicitem a correção, eliminação ou bloqueio de informações incompletas ou desnecessárias (art. 23 da resolução).
Treinamento e Boas Práticas: As operadoras devem capacitar seus colaboradores sobre proteção de dados e adotar boas práticas de governança, difundindo uma cultura de proteção à privacidade e segurança da informação dentro da organização.
Assim, a LGPD estabelece a base legal geral para o tratamento de dados no Brasil, impondo rigorosas obrigações às instituições quanto à coleta, uso e proteção de dados pessoais. A Resolução Administrativa ANS Nº 80 complementa e especifica essas diretrizes para o setor de saúde suplementar, criando um arcabouço normativo robusto para a proteção dos dados sensíveis, como aqueles relacionados à saúde, e promovendo maior segurança e transparência no tratamento dessas informações. Isso se torna essencial frente ao aumento de ataques cibernéticos e violações de dados no setor de saúde.
Impacto dos Ransomwares: Desafios e Obrigações Legais
Os ataques de ransomware, ao sequestrar dados e sistemas hospitalares, têm impactos devastadores. Além de comprometer a continuidade dos serviços médicos, esses ataques violam diretamente os direitos dos titulares dos dados, previstos tanto na LGPD quanto nas normas da ANS. Em caso de incidentes, a LGPD prevê sanções rigorosas, como multas que podem chegar a 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração. Além disso, a ANS pode impor medidas corretivas e exigir planos de adequação das instituições para garantir o cumprimento das normas de proteção de dados.
Dada a natureza sensível das informações de saúde, os ataques cibernéticos podem resultar em violação de privacidade, com a possibilidade de extorsão e venda de dados na darkweb. Isso torna ainda mais urgente a necessidade de adoção de medidas preventivas, como a segmentação de redes e a implementação de centros de operações de segurança (SOC), que permitem o monitoramento contínuo e a resposta rápida a incidentes
Para mitigar o impacto dos ataques, as instituições de saúde devem adotar uma postura proativa e focada na conformidade com a legislação vigente. A Resolução ANS Nº 80 e a LGPD exigem que as instituições realizem auditorias regulares, implementem políticas de segurança robustas e capacitem continuamente seus colaboradores para identificar e mitigar riscos. Além disso, a adoção de tecnologias avançadas de proteção, como backup off-line e criptografia, pode reduzir significativamente o impacto de ataques cibernéticos.
A implementação de um plano de resposta a incidentes, exigida tanto pela LGPD quanto pelas normas da ANS, é outro fator crucial. Esse plano deve incluir medidas claras para a notificação de autoridades competentes e dos titulares dos dados em caso de violação, além de prever ações para contenção e mitigação dos danos. No caso de incidentes de grande escala, como os ataques de ransomware, a rapidez na resposta pode ser determinante para minimizar prejuízos e restaurar a confiança dos pacientes.
Conclusão
O aumento dos ataques de ransomware ao setor de saúde no Brasil evidencia a urgência de um robusto sistema de segurança da informação, alinhado às exigências legais e regulatórias. A conformidade com a LGPD e as normas da ANS deve ser vista não apenas como uma obrigação jurídica, mas como um imperativo estratégico para garantir a continuidade dos serviços de saúde e a proteção dos dados sensíveis. À medida que a transformação digital avança, a segurança cibernética no setor de saúde não pode ser negligenciada, sob pena de prejuízos incalculáveis tanto para as instituições quanto para os pacientes.
O caráter sensível dos dados tratados nesse setor, incluindo informações de saúde de natureza altamente confidencial, torna a conformidade com essas normas uma prioridade absoluta. A LGPD e a Resolução ANS Nº 80 não podem ser vistas apenas como barreiras burocráticas, mas como instrumentos fundamentais para a proteção de direitos fundamentais, como a privacidade e a dignidade dos pacientes. No entanto, além da conformidade regulatória, é imprescindível que as instituições internalizem o conceito de cibersegurança preventiva como parte de sua cultura organizacional, visando não apenas evitar sanções, mas também assegurar a confiança pública e a sustentabilidade de seus negócios.
A transformação digital, que tem acelerado o uso de tecnologias no setor de saúde, é paradoxalmente um avanço e uma vulnerabilidade. Com o crescimento do uso de dispositivos conectados e a digitalização massiva de prontuários e sistemas hospitalares, a superfície de ataque se expande exponencialmente. Diante disso, a omissão ou subestimação da segurança cibernética pode levar a prejuízos incalculáveis – não apenas financeiros, mas também em termos de risco à vida dos pacientes, interrupção de serviços críticos e danos reputacionais irreversíveis.
Portanto, o acompanhamento de um corpo jurídico especializado, a implementação de medidas proativas, como o fortalecimento da infraestrutura digital, adoção de tecnologias de ponta e capacitação contínua de colaboradores, deve ser uma prioridade estratégica. A criação de um ambiente cibernético resiliente, alinhado aos mais altos padrões de proteção de dados, não é mais opcional, mas uma condição essencial para a sobrevivência das instituições de saúde em um cenário de ameaças crescentes. Sem essa abordagem, o setor não apenas ficará vulnerável a novos ataques, mas poderá comprometer a própria essência de sua missão: salvar vidas.
Walter Calza Neto, DPO do Corinthians.
