A recente multa aplicada à Clínica Delgado-Auna, no Peru, por vazar informações de saúde da artista Shakira, escancara um problema profundo e cada vez mais urgente: a fragilidade da governança da privacidade no setor da saúde. Foram mais de R$ 1 milhão em penalidades por violação do sigilo assistencial, depois que documentos clínicos com diagnósticos e tratamentos vieram a público sem qualquer respaldo legal ou ético. A repercussão foi imediata, e os impactos à imagem da instituição são irreversíveis. O fato ocorreu fora do Brasil, mas o alerta é universal — e extremamente atual.
No Brasil, a Lei Geral de Proteção de Dados é categórica ao classificar informações sobre saúde como dados sensíveis, exigindo um grau elevado de proteção e controle. E mais do que uma exigência jurídica, trata-se de uma obrigação ética. O Código de Ética Médica, assim como os normativos dos demais conselhos profissionais da saúde, exige o sigilo irrestrito sobre as informações que envolvem a intimidade e a dignidade do paciente. Romper essa barreira, ainda que por imprudência ou negligência, representa não apenas infração administrativa, mas afronta à confiança depositada pela sociedade nas instituições de saúde.
A realidade, no entanto, mostra que hospitais, clínicas e operadoras ainda não assimilaram o que significa proteger dados sensíveis em um ambiente digitalizado, integrado e interoperável. O uso crescente de tecnologias, plataformas de prescrição, sistemas de agendamento, telemedicina, prontuários eletrônicos e integrações com convênios tem exposto instituições a riscos invisíveis — não raramente negligenciados. A segurança não reside apenas na adoção de ferramentas, mas na forma como essas soluções são avaliadas, testadas, configuradas e monitoradas. Quem acessa o quê? Quem validou a arquitetura do sistema? Onde estão os logs? Existem alertas de acesso indevido? A resposta muitas vezes é o silêncio.
Como esperar conformidade se o profissional de saúde não foi treinado sobre o que pode ou não compartilhar? Como cobrar responsabilidade se o técnico de enfermagem sequer foi orientado sobre a gravidade de uma exposição indevida? E como sustentar a segurança se a TI foca apenas em disponibilidade, ignorando confidencialidade e integridade? Segurança da informação, privacidade e proteção de dados exigem governança. E governança exige liderança.
É papel da alta direção estruturar um programa robusto de governança da privacidade, com processos bem definidos, papéis e responsabilidades distribuídos, controles técnicos e administrativos implantados, indicadores monitorados, e um plano de resposta a incidentes ativo, testado e conhecido por todos. O risco de um vazamento não é apenas jurídico: ele é ético, financeiro, operacional e reputacional. Uma brecha não controlada pode custar uma vida, um contrato ou o futuro da instituição.
O caso de Shakira não é sobre uma celebridade. É sobre qualquer paciente. É sobre qualquer hospital. É sobre o elo frágil entre a confiança e o descaso. E é também sobre a capacidade — ou incapacidade — das instituições de saúde de enxergarem que proteger dados não é uma obrigação da área jurídica ou da TI. É uma missão da administração. Uma missão que, quando falha, cobra seu preço em público, em manchete e em tribunal.
Se sua instituição ainda vê a LGPD como um projeto de adequação ou um “problema de compliance”, talvez esteja a um passo de ser a próxima manchete. Dados de saúde não vazam por acaso — eles escapam por falta de comando.
