Os hospitais e clínicas brasileiras estão cada vez mais digitalizados, mas essa evolução trouxe riscos críticos: vazamentos de dados de pacientes, muitas vezes explorados não apenas por criminosos comuns, mas também por atores com interesses corporativos. Esse é o que podemos chamar de “crime do jaleco” — quando instituições de saúde ou seguradoras acessam informações sensíveis de forma indevida para tomar decisões comerciais ou estratégicas.
Em setembro de 2024, um trader da dark web publicou uma réplica completa do Datasus, o banco de dados nacional de pacientes do Sistema Único de Saúde (SUS). O arquivo continha 177,9 milhões de registros, incluindo CPFs, nomes dos pais, endereços, números de identidade, cartões do SUS e contatos telefônicos, de acordo com o Data Breach.
Esse incidente não foi isolado. Em agosto de 2025, a empresa Maida.health sofreu um ataque de ransomware que resultou no roubo de mais de 2 terabytes de dados, incluindo registros médicos detalhados de membros da Polícia Militar do Brasil e suas famílias, segundo o site CyberNews. Esses dados sensíveis foram posteriormente oferecidos para venda em fóruns da dark web.
O impacto desses vazamentos vai muito além da privacidade: decisões médicas podem ser comprometidas, pois informações sensíveis podem ser usadas para priorizar ou preterir pacientes com base em interesses comerciais e não clínicos. Além disso, a confiança dos pacientes nas instituições de saúde é abalada, afetando toda a cadeia de saúde.
Estes incidentes também aumentam a exposição a crimes cibernéticos e fraudes. Informações médicas podem ser vendidas ou manipuladas, colocando em risco tanto pacientes quanto instituições. Em 2024, o setor de saúde foi o mais afetado por vazamentos de dados, representando quase 23% dos incidentes registrados, de acordo com dados da Kroll.
A grande recomendação é manter atenção aos fundamentos da segurança: políticas claras, treinamento das equipes e monitoramento constante. Sem isso, recursos mais robustos, caros e complexos perdem efeito. Não há criptografia ou autenticação multifatorial que resista a uma senha escrita num post-it colado no monitor.
Da mesma forma, tomar a frente para dar transparência e publicidade ao incidente é invariavelmente a melhor atitude, simplesmente por manter o controle sobre a comunicação.
Proteger os dados de um hospital é cuidar das pessoas. Não se trata apenas de manter informações seguras, mas de preservar a confiança dos pacientes e o bom funcionamento de toda a rede de saúde. Para isso, hospitais, profissionais e órgãos reguladores precisam agir de forma preventiva, adotando práticas que reduzam riscos e assegurem que cada informação médica seja também “cuidada” com sigilo e responsabilidade.
*Denis Furtado é engenheiro de sistemas e diretor da Smart Solutions, distribuidora brasileira de solução antifraude e de cibersegurança. Mais informações no site.
