Na madrugada de um país que se orgulha de seu sistema de pagamentos instantâneos, quase R$ 1 bilhão desapareceram por uma brecha silenciosa, escondida nas engrenagens de uma empresa que poucos conheciam: a intermediadora tecnológica que conectava bancos menores ao Banco Central via Pix. Nenhuma invasão direta ao sistema do BC, nenhuma falha aparente dos grandes bancos. Apenas um elo mal protegido numa cadeia de confiança — e o estrago foi histórico.
E se isso tivesse acontecido no setor saúde?
Privacidade não se terceiriza. Hospitais, clínicas, operadoras e laboratórios vivem, hoje, uma transformação digital acelerada. Da interoperabilidade de prontuários à troca de dados com convênios, de prescrições eletrônicas a integrações com sistemas de faturamento e compliance, a dependência de tecnologias externas cresce — e com ela os riscos.
A LGPD é clara: o controlador (hospital, clínica ou plano) continua responsável pela segurança dos dados pessoais, mesmo quando utiliza ferramentas ou sistemas de terceiros. Ainda assim, muitos gestores de saúde ainda escolhem fornecedores apenas pelo menor preço, pela “facilidade de integração” ou pela promessa de “automatizar tudo”, sem exigir laudos de teste de invasão, sem cláusulas contratuais de responsabilização, sem auditoria técnica ou jurídica prévia.
No episódio do ataque ao Pix, o que falhou foi um elo intermediário. A mesma realidade se aplica ao hospital que confia a gestão de seus dados a softwares de prescrição, ERP, radiologia, ou plataformas de agendamento online. O que foi testado? Quais protocolos são usados? A base de dados é criptografada? Há backups regulares e segregação lógica?
A área técnica responde: “funciona”. A área jurídica confia: “há um contrato”. A administração relaxa: “é tudo em nuvem”. Mas a confiança não substitui o controle, e o risco muitas vezes nasce da negligência disfarçada de comodidade.
DPOs e profissionais de compliance precisam estar inseridos desde a escolha do sistema até a homologação de uma nova funcionalidade. Profissionais de TI devem ir além da performance e priorizar segurança por design. Advogados precisam aprender a ler código e não apenas cláusulas. E a alta administração deve parar de delegar a responsabilidade da privacidade como se fosse uma tarefa técnica: é estratégica.
A segurança da informação precisa ser tratada como pilar organizacional — com testes recorrentes, revisão de acessos, simulação de incidentes e monitoramento contínuo. Um relatório de vulnerabilidade não é um problema: é uma oportunidade de corrigir antes que vire manchete.
Planos são mais valiosos que promessas. Não basta ter boas intenções ou um “responsável por LGPD”. É necessário ter processos bem descritos, fluxos claros de resposta a incidentes, matrizes de responsabilidade, sistemas de monitoramento e documentação viva. Prevenção e resposta devem andar lado a lado, como manda a LGPD: prevenir, mitigar, documentar, comunicar.
O hospital que não consegue responder rapidamente a uma vulnerabilidade digital, dificilmente conseguirá justificar sua conduta à ANPD, aos pacientes ou ao judiciário. A reputação, a credibilidade e a continuidade operacional podem ser abaladas por um simples ponto cego.
Se o maior sistema financeiro do Brasil foi impactado por uma fragilidade em uma integração, o que dizer de organizações de saúde que trocam dados sensíveis com dezenas de fornecedores sem um mínimo de controle formal?
Não espere que seja o seu hospital a próxima manchete.
Audite. Teste. Reescreva contratos. Estabeleça critérios. Simule cenários. Documente decisões. Esteja preparado.
Porque a LGPD não pune o incidente inevitável — pune a irresponsabilidade evitável.
