LGPD, o cibercrime e a fragilidade do setor de saúde

A Lei nº 13.709/2018, a nossa Lei Geral de Proteção de Dados Pessoais (LGPD), estabelece, em seu artigo 5º, II, que o dado referente à saúde é um dado pessoal sensível, e, portanto, o tratamento do dado de saúde só poderá ocorrer nas hipóteses previstas no artigo 11 da LGPD.

O tratamento de dados pessoais, em especial dos dados pessoais sensíveis cujo conceito estabelecido pela lei insere os dados de saúde, que não atendam os princípios e as medidas técnicas e administrativas estabelecidos pela LGPD, deixam as organizações muito vulneráveis aos incidentes de segurança.

Esses incidentes de segurança podem ocorrer não apenas em virtude ataques hackers, mas também em razão de falha humana, normalmente ocasionada pela falta de implementação efetiva de um programa de governança em privacidade de dados, elaborado de acordo com as especificidades da organização e do segmento no qual está inserida.

O vazamento de dados de saúde pode acarretar graves danos aos titulares que tenham suas informações divulgadas de forma irregular. A exposição de dados relacionados à saúde pode revelar enfermidades ou condições que seus titulares não desejam tornar públicas e causar muitos transtornos.

O Relatório de Cibersegurança de 2023 da Check Point Software aponta que o setor de saúde tem sido alvo frequente dos hackers pois a probabilidade do pagamento pelo resgate dos dados sequestrados seria maior, isso porque, além dos danos que o acesso indevido, a perda ou a alteração de dados de saúdes acarretam por si só, existe a garantia de cobertura da mídia.

O dano reputacional de um incidente de segurança envolvendo instituições de saúde é inestimável pois o sequestro, a alteração ou a perda de dados de saúde é capaz de gerar consequências negativas e de diversas naturezas.

Uma pesquisa realizada pelo Ponemon Institute descobriu que mais de 20% das instituições de saúde relataram um aumento nas taxas de mortalidade de pacientes após sofrerem uma violação. Ou seja, a extensão do dano de uma violação de dados de saúde pode custar até vida de alguém.

De acordo com o relatório apresentado pela empresa de cibersegurança Trend Micro, o Brasil já ocupa o 2º lugar no ranking mundial de país mais atingido por ransomware, ficando à frente dos Estados Unidos que ocupa o 3º lugar do ranking que é liderado pela Índia.

O relatório da Trend Micro vem sendo ratificado com diversas notícias, que relatam muitos casos de incidentes de segurança ocasionados por ataques hackers, direcionados às organizações do setor da saúde.

Em março deste ano, o Hospital Universitário da Universidade de São Paulo (USP) sofreu um ataque hacker, o que acarretou a paralisação de vários serviços e prejudicou o atendimento à população.

Na semana passada o Grupo Fleury voltou aos noticiários em razão de um novo incidente de segurança, ocorrido em menos de dois anos de um incidente anterior. Um ataque de ransomware aos sistemas do grupo foi notificado no dia 07 de maio de 2023.

Em fato relevante enviado à Comissão de Valores Imobiliários (CVM), a Companhia informou estar gradualmente normalizando suas operações de forma controlada e que a investigação do ataque permanece em andamento.

O site Canaltech divulgou, em 12 de abril de 2023, que a Porto Saúde teria sido a responsável pelo vazamento de quase seis milhões de informações de saúde de funcionários de 21 empresas brasileiras. No entanto, ainda segundo o site, a seguradora de saúde nega qualquer tipo de ataque a seus sistemas.

A LGPD estabelece, em seu Artigo 6º, dez princípios que, em conjunto com a boa-fé, devem orientar o tratamento dos dados pessoais. Dentre esses princípios, além da tríade finalidade, necessidade e adequação, também destacamos, como centrais para o setor da saúde, os princípios da qualidade dos dados e da segurança.

Observando a forma de atuar do setor de saúde, nota-se a evidente necessidade da revisão de processos e procedimentos internos pois muitas violações ocorrem pela não observância desses princípios.

Os controles de acessos baseados nas funções, partindo da premissa do menor privilégio possível, com acesso somente às informações necessárias ao desenvolvimento da função, por exemplo, são medidas essenciais que devem ser adotadas pelas organizações, mas que, muitas vezes, são negligenciadas, podendo acarretar consequências drásticas.

O treinamento das equipes de colaboradores, bem como dos prestadores de serviços, e o trabalho de constante conscientização são os responsáveis pela capacitação das pessoas, o que reduz, exponencialmente, os problemas causados pelo fator humano.

Quando os gestores se conscientizarem que a LGPD não é um entrave para o crescimento do negócio, pelo contrário, ela é, sim, uma grande aliada da excelência porque auxilia a revisão de processos e procedimentos internos que expõem as organizações a riscos, muitas vezes sequer contabilizados e que podem causar impactos muito negativos, e, a partir daí, buscarem o desenvolvimento de processos que garantam a qualidade e a segurança dos dados, poderemos ver a redução desses números alarmantes.


*Vivian Azevedo é advogada, responsável pela área de Privacidade e Proteção de Dados do Bhering Cabral Advogados.

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Importante: A Medicina S/A usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Veja nossa Política de Privacidade.