Vazamento de dados INSS: alerta para a saúde

Caso Dataprev expõe falha de controle de acesso e reabre o debate sobre os prazos da Res. 15/2024 para instituições do setor de saúde.

O que aconteceu

O vazamento de dados INSS confirmado em 22 de maio de 2026 expôs informações pessoais de aproximadamente dois milhões de segurados em razão de uma falha no sistema Meu INSS, operado pela Dataprev. Cerca de 97% dos registros pertencem a pessoas já falecidas, mas em torno de 50 mil envolvem titulares vivos.

A vulnerabilidade residia em um controle de acesso defeituoso no fluxo de pedido de benefícios: ao informar um CPF, o sistema devolvia nome completo, data de nascimento e, em parte dos casos, histórico de vínculos empregatícios. Robôs passaram a explorar o defeito em massa, ampliando o alcance do incidente.

O incidente foi identificado pela Dataprev em 22 de abril, comunicado à Autoridade Nacional de Proteção de Dados (ANPD) e tornado público apenas em 21 de maio, após repercussão na imprensa. A ANPD confirmou ter recebido a notificação, mas absteve-se de divulgar detalhes técnicos para preservar a segurança institucional.

Por que isso importa para o setor de saúde

À primeira vista, o caso parece restrito à previdência. Para o ecossistema HDPO, porém, o vazamento traz alertas diretos a hospitais, operadoras, clínicas e operadores que tratam dados pessoais sensíveis em escala.

Primeiro, porque o setor público é, ao lado dos direitos dos titulares e da inteligência artificial, um dos quatro temas prioritários de fiscalização da ANPD no biênio 2026-2027. Operações de saúde com forte interface estatal (SUS, autarquias, fundações, conveniadas) entram no escopo direto desse mapa.

Segundo, porque a natureza técnica da falha (controle de acesso quebrado em formulários transacionais) é exatamente a mesma classe de vulnerabilidade que aparece em sistemas de pedido de exames, agendamento, portais do paciente, prontuário eletrônico e APIs de integração entre hospitais e operadoras.

Terceiro, porque o intervalo entre detecção interna (22/04) e comunicação pública (21/05) reabre o debate sobre os prazos da Resolução CD/ANPD nº 15/2024.

O que diz a Res. 15/2024 sobre prazos

A Resolução CD/ANPD nº 15/2024 aprovou o Regulamento de Comunicação de Incidente de Segurança e determina, em seu art. 5º, que a comunicação à ANPD e aos titulares deve ocorrer no prazo de três dias úteis contados da ciência, pelo controlador, de que o incidente afetou dados pessoais.

A comunicação preliminar pode ser complementada em até vinte dias úteis (art. 6º), o que abre espaço para detalhamento técnico subsequente; o prazo inicial, contudo, é taxativo.

A regra é objetiva: três dias úteis. Não se confunde “ciência da existência de uma vulnerabilidade” com “ciência do incidente que afetou dados pessoais”. Cabe ao controlador documentar formalmente o momento em que a investigação interna conclui que houve, de fato, acesso indevido. Esse momento de “ciência qualificada” dispara o relógio regulatório.

No caso INSS/Dataprev, a distância de cerca de trinta dias entre identificação e comunicação pública exigirá explicações sobre quando a ciência qualificada foi atingida; quais titulares foram informados; e por que a comunicação aos titulares (art. 48 da LGPD c/c art. 7º da Res. 15/2024) demorou a chegar ao público.

Implicações práticas para o Encarregado e o gestor

Para o Encarregado e o gestor de saúde, o caso traduz prioridades operacionais imediatas. A primeira é revisar o inventário de fluxos com tratamento de dados sensíveis em interfaces públicas (portal do paciente, agendamento, telemedicina, segunda via de exames) com foco específico em IDOR (Insecure Direct Object Reference) e enumeração por identificador.

A segunda é testar rate limiting e detecção de anomalia nas APIs expostas. A terceira é manter um Plano de Resposta a Incidentes escrito, com matriz RACI, prazos da Res. 15/2024 e gatilhos claros de “ciência qualificada”.

A quarta é treinar a equipe técnica para abrir ticket de incidente assim que houver indício, sem aguardar conclusão da causa raiz. A quinta é alinhar a área jurídica para que a decisão sobre comunicar a ANPD não dependa exclusivamente da TI. A sexta é arquivar, pelo prazo mínimo de cinco anos (art. 7º, §2º, Res. 15/2024), todos os registros do incidente, mesmo os que não tenham sido comunicados.

O que fazer a partir de agora

Recomenda-se que cada instituição de saúde execute, nas próximas duas semanas, três ações concretas.

A primeira é um teste de mesa de incidente cibernético com cenário análogo ao do INSS, medindo o tempo até a notificação da ANPD. A segunda é uma revisão técnica das APIs e formulários que recebem CPF, número de carteirinha ou número de prontuário como parâmetro, validando autorização por sessão autenticada e princípio do menor privilégio. A terceira é uma auditoria documental do Relatório de Impacto à Proteção de Dados (RIPD) dos sistemas mais sensíveis, atualizando a matriz de risco com a nova classe de incidente público.

A discussão pública gerada pelo caso Dataprev tende a elevar o nível de exigência da ANPD nas próximas comunicações de incidente, sobretudo no que tange à tempestividade. Instituições que demonstrarem maturidade documental e capacidade de resposta ágil reduzirão de forma significativa o risco sancionatório.

Como o ecossistema HDPO pode ajudar

A plataforma PROTEGON oferece módulo dedicado de gestão de incidentes alinhado à Res. 15/2024, com automação de prazos, registro probatório de ciência qualificada e formulário pré-preenchido para a ANPD. O serviço DPOaaS da HDPO entrega testes de mesa, revisão de RIPD e suporte jurídico-técnico durante crises de privacidade, com foco específico em instituições de saúde, planos de saúde e o ecossistema público correlato.