Vazamento de Dados na Saúde e LGPD: Como Agir Quando os Controles Falham

Quando alertas de segurança chegam pela imprensa antes dos sistemas internos, organizações de saúde precisam de protocolo claro: da contenção à notificação obrigatória à ANPD.

Introdução: Quando o Alarme Chega pela Imprensa

Em 10 de junho de 2026, o portal TecMundo noticiou que um grupo cibercriminoso identificado como “Buddha” anunciou a venda de um suposto banco de dados contendo informações de 248 milhões de cidadãos brasileiros, atribuindo a origem do material a sistemas da Receita Federal do Brasil. O conjunto totalizaria aproximadamente 78,7 gigabytes organizados em 24 arquivos, incluindo CPFs, CNPJs, endereços, telefones, e-mails, nome da mãe e dados cadastrais completos.

No dia seguinte, em 11 de junho de 2026, a Receita Federal publicou nota oficial desmentindo a informação. O órgão classificou a divulgação como fake news, esclarecendo tratar-se da recirculação de base de dados antiga, majoritariamente referente ao ano de 2019, associada a incidente já conhecido e amplamente divulgado à época, sem qualquer relação com seus sistemas atuais. A Receita Federal afirmou categoricamente que não houve invasão, vazamento ou comprometimento de suas bases de dados, e que a atribuição indevida ao órgão é estratégia típica de ambientes criminosos para conferir aparência de credibilidade e valor comercial a bases antigas. A nota completa está disponível no portal oficial da Receita Federal.

O episódio, mesmo desmentido, expõe com clareza uma dinâmica que profissionais de segurança da informação e DPOs precisam compreender: o alarme sobre um suposto incidente pode chegar pela imprensa antes de qualquer alerta interno, e a organização precisa estar preparada para agir com protocolo estruturado desde os primeiros minutos, independentemente da confirmação final dos fatos. No setor da saúde, onde cada dado exposto pode produzir danos irreversíveis à vida de um paciente, essa capacidade de resposta não é diferencial: é obrigação.

—

1. Por Que a Saúde É o Setor de Maior Risco

O setor da saúde ocupa uma posição singular no universo da proteção de dados por uma razão objetiva: quase todos os dados que ele produz são dados pessoais sensíveis.

A LGPD, em seu Art. 5º, inciso II, define dado pessoal sensível como aquele que trata de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Isso significa que um prontuário, um laudo de exame, uma autorização de procedimento ou um registro de consulta não são apenas documentos administrativos. São dados que, se expostos, podem resultar em discriminação no emprego, rejeição por planos de saúde, constrangimento familiar, estigma social e danos financeiros irreparáveis ao paciente.

Ao contrário de uma senha bancária que pode ser trocada, um diagnóstico de HIV ou um histórico de tratamento psiquiátrico não tem como ser “redefinido”. O dano é permanente.

—

2. Os Sistemas Públicos de Transmissão e os Dados que Eles Carregam

Antes de falar em resposta a incidentes, é fundamental que as equipes de segurança compreendam a natureza e a sensibilidade dos dados que circulam pelos principais sistemas públicos de informação em saúde.

CNES: Cadastro Nacional de Estabelecimentos de Saúde

O CNES é o sistema oficial de cadastramento de todos os estabelecimentos de saúde do Brasil, mantido pelo DATASUS. Reúne informações sobre infraestrutura física, serviços disponíveis e, principalmente, os profissionais de saúde vinculados a cada unidade, com CPFs, números de registro profissional e vínculos empregatícios. Um atacante com acesso ao CNES pode manipular vínculos profissionais, criar estabelecimentos fictícios e abrir caminho para fraudes no faturamento do SUS em larga escala.

BPA: Boletim de Produção Ambulatorial

O BPA Individualizado (BPA-I) identifica cada paciente pelo número do CNS, data de nascimento, sexo, município de residência, diagnóstico pelo CID e o procedimento realizado. Mensalmente, os gestores enviam ao DATASUS uma base com a totalidade dos procedimentos realizados em sua rede: um retrato fiel do perfil clínico dos pacientes atendidos no período.

APAC: Autorização de Procedimento de Alta Complexidade

A APAC é exigida para tratamentos como hemodiálise, quimioterapia, radioterapia, tratamento de HIV e AIDS e medicamentos de dispensação excepcional. Cada registro contém nome completo, CPF, CNS, data de nascimento, nome da mãe, diagnóstico principal pelo CID, o procedimento autorizado e o estabelecimento responsável. A APAC representa o maior nível de sensibilidade entre todos os sistemas de transmissão.

CORE Saúde MG e Centrais de Regulação

O CORE Saúde MG é a plataforma de gestão em regulação da Secretaria de Estado de Saúde de Minas Gerais. O sistema registra dados clínicos completos de pacientes em espera por leitos, incluindo quadro clínico, diagnóstico, nível de urgência e histórico de internações. Outros estados operam plataformas similares. O ponto comum: dados clínicos detalhados de pacientes em situação crítica, transmitidos em tempo real.

—

3. O Que Diz a LGPD: Obrigações Legais na Saúde

A LGPD estabelece um regime especial e mais rigoroso para o tratamento de dados de saúde. Os principais dispositivos aplicáveis são:

• Art. 5º, II: dados de saúde classificados como sensíveis, exigindo proteção reforçada e bases legais específicas.
• Art. 11: tratamento de dados de saúde somente com consentimento específico ou nas hipóteses taxativas da lei. O parágrafo 4º veda expressamente o compartilhamento entre controladores com objetivo de obter vantagem econômica.
• Art. 6º: princípios de finalidade, necessidade e segurança aplicados ao tratamento.
• Art. 46: medidas de segurança técnicas e administrativas aptas a proteger os dados de acessos não autorizados.
• Art. 48: comunicação obrigatória à ANPD e às pessoas afetadas em caso de incidente com risco ou dano relevante. No setor da saúde, praticamente qualquer incidente confirmado atinge o limiar de notificação, em até 3 dias úteis para a notificação preliminar.
• Art. 52: multa de até 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração, além de advertência, publicização da infração e suspensão das atividades de tratamento.

—

4. O Cenário Silencioso: Quando a Notícia Chega Antes do Alerta

O episódio envolvendo as alegações sobre a Receita Federal ilustra um risco que as organizações de saúde precisam levar a sério: o alarme pode chegar pela imprensa antes de qualquer alerta interno. Mesmo que o caso específico tenha sido desmentido, o mecanismo que ele expõe é real e recorrente.

Isso ocorre porque dados de incidentes antigos são frequentemente reutilizados e recomercializados em fóruns criminosos, muitas vezes com atribuições falsas de origem para aumentar o valor percebido. O episódio de junho de 2026 é um exemplo: a Receita Federal esclareceu que os dados eram majoritariamente de 2019, sem relação com seus sistemas. A organização que não tem protocolo de resposta ativado nessas situações pode reagir de forma precipitada ou, ao contrário, negligente, ambas as posturas com consequências graves.

No contexto da saúde, as situações mais comuns que geram esse cenário são:

• Bases antigas de transmissão ao DATASUS reutilizadas em novas campanhas criminosas;
• Credenciais de acesso compartilhadas que, quando comprometidas, tornam o acesso do invasor indistinguível do acesso legítimo;
• Sistemas legados sem atualização de segurança, comuns em hospitais que operam softwares desenvolvidos há mais de 15 anos;
• Integrações com sistemas externos não mapeadas, como clínicas credenciadas, laboratórios e fornecedores de prontuário eletrônico;
• Ausência de controle de acesso granular, que amplia enormemente a superfície de risco.

—

5. O Protocolo de Resposta: Da Suspeita à Confirmação

Fase 1: Ativação do Plano de Resposta (primeiras 2 horas)

Acionar imediatamente o Gestor de Segurança da Informação, o Encarregado de Proteção de Dados (DPO), o representante jurídico e o diretor clínico. Constituir a Sala de Crise com representantes de TI, comunicação e da área assistencial. Registrar data, hora e fonte da denúncia em um registro imutável. A primeira providência é investigar, não confirmar nem desmentir publicamente.

Fase 2: Análise Investigativa Preliminar (primeiras 24 horas)

Não apagar registros de acesso. Não modificar sistemas suspeitos. A preservação das evidências é obrigação legal. Identificar quais sistemas foram potencialmente comprometidos, priorizando registros de APAC, arquivos de BPA-I, bases do CNES e dados do CORE. Analisar os registros de acesso dos últimos 90 dias, buscando acessos em horários incomuns, volumes anormais de exportação ou credenciais utilizadas em locais geográficos incompatíveis com o perfil dos usuários.

Fase 3: Contenção (em paralelo à análise)

Se houver indícios de brecha ativa: isolar os sistemas comprometidos sem desligamento brusco; cancelar credenciais suspeitas e forçar renovação de senhas; bloquear conexões externas não autorizadas; e suspender temporariamente transmissões automáticas ao DATASUS até que a segurança da transmissão seja verificada.

Fase 4: Classificação do Incidente

| Nível | Dados envolvidos | Obrigação LGPD | |—|—|—| | Médio | Dados administrativos sem diagnóstico | Avaliação de notificação | | Alto | BPA-I com CID, dados de pacientes identificados | Notificação obrigatória à ANPD e aos pacientes | | Crítico | APAC com diagnósticos graves, dados do CORE | Notificação urgente, comunicado público, acionamento do Ministério da Saúde |

—

6. Quando a Imprensa Chega Primeiro

O caso das alegações sobre a Receita Federal também ensina algo sobre gestão de crise comunicacional: a resposta institucional rápida e fundamentada pode conter o dano reputacional. A Receita Federal publicou sua nota no dia seguinte à veiculação da reportagem, com explicações técnicas claras sobre a origem dos dados.

Comportamentos essenciais do comitê de crise:

1. Não negar nem confirmar prematuramente. A resposta padrão inicial deve ser: “Temos conhecimento das notícias e estamos conduzindo uma investigação interna rigorosa. Assim que tivermos informações verificadas, nos pronunciaremos.”
2. Separar o canal de crise do canal operacional. Nenhum membro técnico deve dar declarações públicas sem alinhamento prévio com o jurídico e a comunicação.
3. Contatar proativamente a ANPD. Mesmo antes da confirmação, se houver indícios relevantes, informar à Autoridade que uma investigação está em curso demonstra boa-fé.
4. Notificar as autoridades sanitárias competentes: Ministério da Saúde, Secretarias Estadual e Municipal e, em casos de dados de regulação, o órgão gestor do sistema afetado.
5. Documentar tudo. Cada decisão, análise e comunicação deve ser registrada com data e hora.
6. Comunicar os pacientes com sensibilidade clínica. O impacto emocional de pacientes em tratamentos graves exige o envolvimento de profissionais de saúde na elaboração dos comunicados.

O que não fazer: destruir registros ou evidências digitais; adiar a comunicação à ANPD em caso de incidente confirmado; atribuir a responsabilidade exclusivamente a um fornecedor; minimizar publicamente o impacto sem evidências; ignorar a imprensa.

—

7. Checklist Executivo de Resposta a Incidente na Saúde

Imediato (0 a 2 horas)

• Acionar DPO, Gestor de Segurança, Jurídico e Diretor Clínico
• Constituir a Sala de Crise
• Preservar todos os registros de acesso e evidências digitais
• Identificar quais sistemas (CNES, BPA, APAC, CORE) podem estar envolvidos
• Isolar os sistemas comprometidos sem destruir evidências

Curto Prazo (2 a 24 horas)

• Iniciar análise investigativa, priorizando dados de maior sensibilidade
• Mapear o volume e o tipo de dados potencialmente afetados
• Avaliar se a brecha ainda está ativa e suspender transmissões em curso se necessário
• Preparar declaração pública inicial, sem confirmações ou negações precipitadas
• Contatar a ANPD informando a abertura de investigação

Médio Prazo (24 a 72 horas)

• Concluir a análise e classificar o incidente
• Realizar comunicação formal à ANPD se o incidente for confirmado com risco relevante
• Notificar o Ministério da Saúde e as secretarias competentes
• Elaborar o plano de comunicação com os pacientes afetados
• Implementar medidas de contenção definitivas
• Documentar todas as decisões e ações tomadas

Pós-Incidente

• Comunicar os pacientes afetados
• Conduzir análise da causa raiz
• Revisar os controles de segurança sobre os sistemas de transmissão
• Revisar e atualizar o Plano de Resposta a Incidentes
• Encerrar formalmente o incidente com registro completo

—

Conclusão

O episódio de junho de 2026 envolvendo alegações sobre a Receita Federal, prontamente desmentidas pelo órgão, reforça uma lição que as organizações de saúde precisam internalizar: a ameaça à reputação e à confiança dos titulares pode surgir mesmo quando não há incidente real confirmado. A preparação para responder com protocolo estruturado, comunicação transparente e investigação rigorosa é o que diferencia organizações que preservam a confiança dos pacientes daquelas que a perdem em situações de crise.

No setor da saúde, os dados tratados diariamente por hospitais, clínicas, secretarias e sistemas como o CNES, o BPA, a APAC e o CORE não são registros administrativos. São informações sobre a vida, a saúde e a dignidade de pessoas que buscaram cuidado.

A LGPD não exige perfeição técnica. Ela exige diligência, transparência e responsabilização. Times de segurança que conhecem os sistemas que protegem, que agem com protocolo estruturado diante de um incidente e que comunicam com transparência às autoridades e aos pacientes estão cumprindo não apenas a letra da lei, mas sua missão mais fundamental na saúde: cuidar, também, dos dados de quem cuida.

—

Este artigo foi elaborado por Ricardo Luiz Peixoto, profissional de Tecnologia da Informação com mais de 30 anos de experiência, especializado em segurança de dados e conformidade com foco na área da saúde. Certificado como DPO pela HDPO e treinado no processo CIS Controls V8. Parceiro consultor independente da HDPO. LinkedIn

Baseado na Lei nº 13.709/2018 (LGPD), nas resoluções da ANPD, nas normas do Ministério da Saúde, na nota oficial da Receita Federal de 11/06/2026 e na notícia veiculada pelo TecMundo em 10/06/2026. Recomenda-se consulta jurídica especializada para a aplicação das orientações ao contexto específico de cada organização.