A digitalização acelerada do setor de saúde trouxe ganhos importantes em eficiência, acesso e velocidade de atendimento. Mas, ao mesmo tempo, ampliou significativamente os riscos ligados ao tratamento de dados sensíveis dos pacientes. Um ativo que, quando mal protegido, pode gerar prejuízos permanentes, danos éticos e impactos jurídicos relevantes. Em um cenário no qual prontuários eletrônicos, plataformas de telemedicina e sistemas integrados se tornam padrão, a proteção dessas informações tornou-se um dos maiores desafios da área.
A complexidade aumenta à medida que hospitais, clínicas, operadoras e profissionais precisam equilibrar inovação, governança e conformidade com a LGPD. A confiança do paciente, elemento central para a legitimidade do setor, depende de práticas transparentes, rigorosas e responsáveis. E, ainda que a responsabilidade das instituições seja enorme, o comportamento dos próprios usuários – muitas vezes compartilhando dados em apps, redes sociais e canais informais – também contribui para brechas e vulnerabilidades.
Para aprofundar essa discussão, a Consumidor Moderno conversa com Letícia Piasecki Martins, sócia do Meira Breseghello Advogados e membro da Comissão de Direito Médico e de Saúde da OAB São Paulo. Letícia é pós-graduada em Direito Médico, Odontológico e da Saúde pela FMRP/USP e em Direito Processual Civil pela FGV LAW-SP. Nessa conversa, ela explica os principais desafios da proteção de dados em saúde, os riscos mais frequentes e o papel compartilhado entre instituições e pacientes na segurança das informações.
Saúde vulnerável
Consumidor Moderno: Quais são os principais desafios enfrentados pelo setor de saúde na proteção de dados dos pacientes em um cenário de crescente digitalização?
Letícia Piasecki Martins: O principal desafio consiste em equilibrar a eficiência tecnológica com a segurança e a ética no manejo de dados sensíveis. A natureza dos dados de saúde é particularmente delicada, pois envolve informações sensíveis e permanentes, sendo que o uso inadequado pode ocasionar sérios impactos.
Além disso, esse tema está intimamente relacionado aos pilares social e de governança, que exigem das instituições de saúde a adoção de práticas transparentes, éticas e responsáveis na gestão de dados pessoais. Garantir conformidade com a Lei Geral de Proteção de Dados (LGPD) e implementar políticas eficazes de privacidade, segurança da informação e governança digital não apenas minimiza riscos jurídicos e reputacionais, mas também fortalece a confiança dos pacientes e da sociedade, um elemento crucial para a legitimidade do setor.
Simultaneamente, é fundamental reconhecer que a proteção de dados também depende de comportamentos responsáveis por parte dos próprios titulares. O compartilhamento inadvertido de informações em aplicativos, redes sociais ou canais não oficiais pode comprometer a segurança do ecossistema, configurando responsabilidade exclusiva do consumidor.
Fraudes e cibercrime
CM: Como vê a relação entre a digitalização dos serviços de saúde e o aumento das fraudes e ataques cibernéticos?
A digitalização trouxe benefícios indiscutíveis – como agilidade no atendimento, interoperabilidade e acesso remoto –, mas, por outro lado, aumentou os riscos direcionados a hospitais e operadoras, como fraudes de identidade médica, ataques à cadeia de fornecedores e o uso de engenharia social para obtenção de autorizações e senhas, incluindo falsificação de reembolsos, uso de contas fictícias, roubo de identidade, uso indevido da carteirinha e solicitação de quantias a pacientes internados, entre outros.
Assim, o desafio reside em aprimorar a segurança por meio de autenticação multifatorial, segmentação de rede e auditorias contínuas. A tecnologia é essencial, mas a governança e a cultura organizacional são os pilares que realmente sustentam a prevenção.
Quando a culpa é do consumidor?
CM: Nesse aspecto, existe alguma responsabilidade do consumidor?
Em síntese, muitos incidentes decorrem de ações individuais do próprio paciente/consumidor. Entre eles, destaque para o ato de clicar em links fraudulentos ou fornecer credenciais a falsos atendentes. Esses comportamentos, ainda que não intencionais, podem resultar em culpa exclusiva do consumidor e ressaltam a importância da educação digital como um elemento preventivo.
Além disso, a Resolução Administrativa nº 81/23 estabelece a Política de Segurança da Informação da Agência Nacional de Saúde Suplementar (ANS), definindo seus objetivos e diretrizes. Ou seja, aplica-se a todos que acessam informações da ANS, exigindo autorização e a celebração de um Termo de Responsabilidade em conformidade com a norma. Portanto, até mesmo os usuários e colaboradores não podem revelar ou divulgar dados ou informações sigilosas ou restritas que tenham adquirido no exercício de suas funções, mesmo após seu desligamento.
Deveres das operadoras
CM: Quais medidas práticas as operadoras de saúde podem adotar para proteger melhor os dados sensíveis dos consumidores?
A proteção de dados em saúde requer uma combinação de medidas técnicas e organizacionais bem definidas, tais como:
- Governança de dados: desenvolver políticas claras sobre coleta, uso, armazenamento e compartilhamento de informações, com definição de papéis e responsabilidades;
- Segurança da informação: implementar ferramentas de criptografia, anonimização e controle de acesso para diminuir os riscos de vazamentos;
- Monitoramento contínuo: realizar testes de vulnerabilidade, auditorias internas e revisões periódicas dos sistemas;
- Gestão de terceiros: exigir due diligence de fornecedores e incluir cláusulas contratuais de confidencialidade e responsabilidade;
- Privacidade desde a origem (privacy by design): restringir o acesso ao mínimo necessário, definir prazos de retenção e garantir o descarte seguro dos dados;
- Capacitação constante: treinar equipes médicas e administrativas sobre phishing, boas práticas digitais e resposta a incidentes.
Os objetivos da prevenção
CM: Quais as finalidades dessas medidas?
Essas medidas contribuem para um ambiente digital mais seguro, ético e sustentável, reforçando o compromisso das operadoras com a governança e a confiança do consumidor. Simultaneamente, é imprescindível envolver o paciente como um agente ativo na segurança.
As operadoras devem conscientizá-lo sobre o uso responsável das plataformas digitais e os riscos de compartilhamento indevido de dados.
LGPD
CM: Como a LGPD impacta a segurança dos dados no setor de saúde?
A LGPD transformou a proteção de dados em um dever jurídico de governança, além de ser uma boa prática técnica. O tratamento de dados de saúde – classificados como sensíveis (art. 11 da LGPD) – exige bases legais específicas e medidas de segurança robustas. Ademais, o princípio da responsabilidade e da prestação de contas (accountability) exige que o agente comprove a conformidade de forma contínua.
O impacto positivo é que a LGPD incentiva a maturidade institucional: requer relatórios de impacto (RIPD), a designação de encarregado (DPO), políticas claras e a integração entre os setores de compliance, TI e jurídico.
CM: Ou seja, podemos ter em mente que a LGPD impõe limites?
Mais do que impor limites, a lei estabelece um ambiente de confiança que promove a inovação e o investimento em tecnologias seguras, alinhando-se ao art. 4º, III, do CDC – que harmoniza a proteção do consumidor com o avanço econômico e tecnológico. A conformidade deve ser encarada como uma responsabilidade compartilhada entre instituições e titulares de dados. A LGPD incentiva não apenas a responsabilização do agente de tratamento, mas também o uso consciente das ferramentas digitais pelos próprios pacientes, cuja conduta cuidadosa é crucial para evitar situações de exposição indevida ou uso inadequado de suas informações.
