por Marcia Exposito e Fernanda Sanan*
Um sequestro de dados colocou recentemente a privacidade de milhares de pacientes em risco crítico. O alarmante incidente de segurança cibernética impactou clínicas de cirurgia plástica nos estados do Rio Grande do Sul e do Paraná, além de prontuários de uma clínica de saúde sexual no estado de Minas Gerais.
Os criminosos digitais, identificados como grupo Millon, comprometeram e vazaram mais de 64 gigabytes de dados sensíveis, incluindo imagens íntimas de pacientes, informações financeiras e comunicações privadas entre médicos e pacientes. Este incidente não é um caso isolado, mas um sinal de alerta que chama atenção para a urgente necessidade de reforço na segurança dos dados em estabelecimentos de saúde.
As informações, divulgadas na deep web, acompanhadas de pedidos de resgate, revelam uma tendência preocupante de ataques de ransomware, onde a recuperação de dados é condicionada ao pagamento de valores frequentemente exorbitantes. A decisão de um dos médicos de não pagar o “resgate”, baseada no valor impraticável exigido, abre precedente para um debate crucial: como os profissionais da saúde podem proteger os dados de seus pacientes, mantendo-se em conformidade com a Lei Geral de Proteção de Dados?
A lei protetiva destina-se a garantir a segurança das informações pessoais e sensíveis, impondo rigorosas penalidades para o não cumprimento. No entanto, a eficácia da lei ainda é posta à prova em cenários onde criminosos utilizam infraestruturas complexas e hospedagem em países com legislações distintas, dificultando investigações e responsabilizações.
As ações tomadas pelo cirurgião após o ataque, incluindo o registro de um boletim de ocorrência, a busca por apoio judicial e, também junto ao Conselho Regional de Medicina (CRM), são passos na direção certa, mas insuficientes sem um sistema robusto de proteção de dados.
O incidente destaca a importância de investimentos contínuos para um projeto de adequação à LGPD estruturado, com profissionais qualificados para garantir a segurança dos dados, o treinamento dos colaboradores e uma cultura organizacional através do Encarregado de Dados objetivando priorizar a privacidade do paciente acima de tudo.
Além disso, é imperativo que os profissionais de saúde se conscientizem sobre a importância da legislação. O cumprimento da LGPD não deve ser visto apenas como uma obrigação legal, mas como um compromisso ético com a proteção dos dados dos indivíduos que confiam as suas informações mais sensíveis aos cuidados médicos. Este incidente serve como um alerta severo de que a segurança da informação deve estar no cerne das operações de qualquer instituição de saúde.
É incontestável que a área da saúde já traz no seu âmago, o respeito às informações delicadas, uma vez que a prática médica prescinde o respeito à privacidade e ao sigilo. Em contrapartida, as diretrizes normativas e de segurança da informação da Lei Geral de Proteção de Dados são imperativas, de cumprimento imediato e obrigatório.
Dito isto, consultórios, clínicas, hospitais e demais segmentos da saúde que não estão adequados à legislação estão atrasados. Não há argumento válido que justifique a falta de responsabilização dos donos e gestores da saúde que deixam as questões ligadas à proteção de dados e privacidade em segundo plano.
O episódio reforça a necessidade de uma ação decisiva e colaborativa entre profissionais de saúde, autoridades regulatórias e especialistas em proteção de dados para fortalecer as defesas contra ameaças digitais cada vez mais sofisticadas. O cuidado com a privacidade dos pacientes deve ser uma prioridade inegociável, assim como a constante atualização das práticas de segurança. A hora de agir é agora, antes que a confiança na confidencialidade do cuidado médico seja irreparavelmente abalada.
*Marcia Exposito é Advogada e Data Protection Professional, sócia da DoctorPrivacy.
*Fernanda Sanan, Advogada, sócia da DoctorPrivacy.
