

Na primeira semana de julho de 2026, a Autoridade Nacional de Proteção de Dados (ANPD) abriu um processo de sanção contra uma organização social responsável pela gestão de unidades públicas de saúde em seis estados brasileiros, após um ataque de ransomware ocorrido em janeiro de 2025 expor dados de cerca de 500 mil pacientes, entre eles, quase 79 mil crianças e adolescentes e quase 48 mil idosos. O caso, ainda em apuração, é só o mais recente de uma lista que vem crescendo rápido.
Os números do setor de saúde confirmam que não é exagero falar em prioridade máxima. Organizações de saúde no Brasil registraram, em 2025, uma média de 3.167 ataques cibernéticos por semana por instituição, cerca de 37% acima da média global do setor e um crescimento de aproximadamente 39% em relação ao ano anterior, segundo a Check Point Research.
No mesmo período, a saúde fechou o ano como o setor de maior custo médio por violação de dados pelo 14º ano consecutivo, em US$7,42 milhões por incidente, de acordo com o relatório da IBM em parceria com o Ponemon Institute.

O setor de saúde é um dos alvos mais atraentes para cibercriminosos devido a uma combinação de fatores financeiros, operacionais e de infraestrutura. Prontuários, exames, diagnósticos e informações financeiras de pacientes têm alta liquidez no mercado ilegal, servindo para fraudes financeiras, roubo de identidade e obtenção indevida de benefícios de saúde.
Além dos altos custos, o setor leva, em média, 279 dias para identificar e conter uma violação de dados, cerca de cinco semanas a mais que em outros segmentos. Ao mesmo tempo, o perfil dos ataques mudou. A extorsão por roubo de dados registrou uma escalada sem precedentes no Brasil, enquanto os ataques com criptografia diminuíram. Isso significa que manter backups já não basta para garantir a segurança, pois eles preservam a operação, mas não evitam o vazamento de informações sensíveis.
Um incidente registrado no Brasil em 2025 mostrou que nem sempre os maiores riscos decorrem de ataques sofisticados. Uma falha de configuração em um ambiente de armazenamento em nuvem não conseguiu impedir o roubo de milhares de prontuários, exames e imagens médicas. O caso reforça que medidas básicas de segurança continuam sendo fundamentais para proteger dados sensíveis.

Duas mudanças regulatórias elevaram a exigência sobre o setor neste ano:
Um ponto que costuma surpreender muitos gestores é que a contratação de um sistema terceirizado não transfere a responsabilidade pela proteção dos dados. Pela LGPD, a instituição de saúde e o fornecedor da tecnologia podem compartilhar responsabilidades no tratamento das informações, conforme suas atribuições.
Isso significa que a segurança da clínica ou do hospital depende não apenas de seus processos internos, mas também da confiabilidade e das boas práticas adotadas por seus parceiros tecnológicos.

Estudos de economia da saúde apontam um aumento de 33% a 38% nas taxas de mortalidade hospitalar para pacientes já internados quando o ransomware atinge a instituição.
Um sistema de prescrição fora do ar, um laudo de imagem que não chega ao médico no momento da decisão clínica ou um prontuário inacessível durante um atendimento de urgência mostra que a indisponibilidade de sistemas hospitalares não é so um inconveniente. É um risco à vida.
Contudo, fortalecer a segurança da informação não depende apenas do orçamento de uma grande rede hospitalar, mas da adoção de tecnologias confiáveis e de boas práticas de gestão. Entre as principais recomendações estão:
Mais do que cumprir um checklist, é fundamental escolher um sistema de gestão que já incorpore esses mecanismos de proteção.
Presente há 25 anos no mercado brasileiro, o sistema de gestão hospitalar e clínica Datasigh Web, desenvolvido pela healthtech brasileira Datasigh, foi projetado para atender instituições médicas. Entre seus principais recursos estão:
Ao escolher uma plataforma digital segura, as instituições reduzem vulnerabilidades, fortalecem a proteção dos dados dos pacientes e aumentam sua capacidade de responder aos desafios da transformação digital na saúde.
Converse com um consultor e veja como o Datasigh Web fortalece a segurança da informação com proteção de dados, controle de acesso e rastreabilidade, sem interromper a operação. Solicite uma demonstração gratuita.
Datasigh
Rua Gelu Vervloet, nº 590, Ed. Norte Sul Tower – sl. 403/404
Jardim Camburi | Vitória/ES
(27) 3347-1198
(27) 98112-8188
Saiba mais clicando aqui ou peça para falar agora com um consultor.
O que é o modelo de segurança Zero Trust?
É um modelo que verifica continuamente usuários e dispositivos, concedendo acesso apenas ao necessário para cada função.
Clínicas de pequeno e médio porte também sofrem ataques cibernéticos?
Sim. Instituições de todos os portes são alvo de ataques, muitas vezes por falhas de configuração ou vulnerabilidades em sistemas e fornecedores.
Contratar um sistema terceirizado transfere a responsabilidade pela segurança dos dados?
Não. Pela LGPD, a instituição de saúde continua responsável pela proteção dos dados e deve avaliar os controles de segurança do fornecedor.
Quais são as consequências de um vazamento de dados de pacientes?
Além de impactos operacionais e reputacionais, a LGPD prevê sanções da ANPD, incluindo advertências, multas e restrições ao tratamento de dados.