UCLA Health, 2024. Um dos hospitais mais prestigiados dos Estados Unidos pagou $865 mil de multa. O motivo? Funcionários acessaram prontuários de celebridades por pura curiosidade. Não houve invasão. Não houve ransomware.  

Apenas pessoas que já tinham acesso legítimo olhando o que não deveriam.

Também em 2024, a ANPD aplicou R$ 17,5 milhões em multas a hospitais e clínicas por violações envolvendo dados sensíveis de pacientes. Hospital São Luiz sofreu vazamento massivo. Fleury teve dados de exames expostos em ataque cibernético.

E centenas de instituições menores estão sob investigação por não conseguirem responder uma pergunta simples: quem acessou o prontuário do paciente X na terça-feira passada?

O custo médio global de um vazamento no setor de saúde chegou a $10,93 milhões; 58% acima da média de outros setores. No Brasil, esse número cresce 15% ao ano. E o pior: 89% dos hospitais sofreram algum tipo de violação de dados nos últimos dois anos.

Quando a LGPD classifica dados de saúde como dados sensíveis no Art. 11, ela está dizendo: você precisa de controles mais rigorosos. E quando hospitais não têm esses controles, pagam em multas, processos e reputação.  

Hoje, a Vennx mostra como se prevenir dessa ameaça. Confira!

Por que dados de saúde são diferentes

A LGPD não trata todos os dados da mesma forma. Dados de saúde são dados sensíveis (Art. 5º, inciso II). Isso significa tratamento diferenciado: consentimento específico e destacado, finalidade restrita, e responsabilidade aumentada.

Quando você vaza o CPF de alguém, é grave. Quando você vaza o prontuário médico de alguém, diagnóstico de HIV, histórico de aborto, tratamento psiquiátrico, você acabou de violar não apenas a LGPD, mas também o sigilo médico protegido pela Resolução CFM 1.821/2007 e pelo Código de Ética Médica.

E o mercado sabe disso. No mercado negro digital, um registro médico completo vale 10 a 50 vezes mais que um número de cartão de crédito. Por quê? Porque cartão pode ser cancelado. Um diagnóstico de doença grave antes dos 40 anos não tem cancelamento. É permanente. E pode ser usado para fraude de seguro, chantagem, discriminação em processos seletivos, negação de crédito.

Por isso o custo médio por registro médico violado é $429, quase três vezes mais que a média de $164 em outros setores. E por isso a ANPD não tem piedade quando hospitais falham em proteger esses dados.

O problema está dentro de casa

Verizon Data Breach Investigations Report (DBIR) 2024 foi cirúrgico: 58% dos breaches em saúde envolvem insiders. Não hackers russos. Não grupos de ransomware sofisticados. Funcionários.

E aqui está a parte incômoda: a maioria não age por má-fé. Age por curiosidade.

Um enfermeiro acessa o prontuário da ex-namorada para ver se ela fez teste de gravidez. Um administrativo olha o resultado de exame do vizinho famoso. Um médico checa o histórico do colega que pediu afastamento. Não há intenção de vender dados. Não há motivação financeira. Apenas curiosidade humana, banal, cotidiana.

Mas legalmente? É violação. De sigilo médico. De LGPD. De política interna. E quando acontece em escala, como no caso do NHS, onde 150 prontuários foram acessados indevidamente ao longo de dois anos, vira manchete, multa, e processo.

A pesquisa da Ponemon Institute confirma: 56% dos breaches no setor saúde são causados por negligência de funcionários ou contratados. Não malícia. Negligência. Senhas compartilhadas porque "facilita o plantão".

Credenciais anotadas em post-its. Sessões deixadas abertas em computadores de corredor. Acesso dado "temporariamente" que vira permanente porque ninguém revoga.

E o Brasil está pior que a média global. 67% dos hospitais brasileiros admitem que credenciais são compartilhadas entre profissionais. Quando três enfermeiros usam o mesmo login, rastreabilidade desaparece. Quem acessou o prontuário às 22h37? Impossível saber.

A lacuna de rastreabilidade

Aqui está o teste simples: um paciente entra com reclamação na ouvidoria. Ele suspeita que alguém acessou seu prontuário sem motivo clínico. A pergunta chega para você: quem visualizou o prontuário deste paciente nos últimos 30 dias?

Se sua resposta envolve "vou checar com TI e volto em alguns dias", você tem um problema. Porque segundo pesquisa da HIMSS, apenas 29% dos hospitais têm sistema automatizado de monitoramento de acessos. Os outros 68% dependem de revisões manuais, trimestrais, quando acontecem.

E o tempo médio para detectar um acesso indevido? 197 dias. Mais de seis meses. No caso do NHS britânico, foram dois anos.

Enquanto isso, a LGPD é clara: Art. 37 exige que controladores mantenham registro das operações de tratamento de dados. E o Art. 46 exige medidas de segurança técnicas e administrativas para proteger dados sensíveis.

Tradução: você precisa saber quem acessou, quando, por quê, e conseguir provar isso para a ANPD se ela pedir. Não em 30 dias. Não "quando a TI conseguir gerar o relatório". Agora.

Quando a ausência de controle vira processo

Voltemos ao Hospital São Luiz. Vazamento massivo de dados de pacientes em 2023. Investigação da ANPD. Processos judiciais de pacientes. Cobertura na mídia. Dano reputacional incalculável.

Ou o Grupo Fleury. Ataque cibernético em 2021. Sistemas fora do ar por dias. Dados de exames expostos. Notificação obrigatória à ANPD conforme Art. 48. Dezenas de processos de pacientes alegando dano moral.

A lógica é simples: quando você não tem controle sobre quem acessa dados sensíveis, você não tem como provar conformidade. E quando você não pode provar conformidade, presume-se violação.

O Art. 52 da LGPD permite multa de até 2% do faturamento da empresa (limitada a R$ 50 milhões por infração). Mas o custo real vai além da multa. Inclui:

• Processos individuais de pacientes (dano moral por exposição de dados sensíveis)

• Perda de credibilidade (quem vai confiar seu diagnóstico de câncer a um hospital que vaza dados?)

• Dificuldade em contratar convênios (planos de saúde exigem certificações de segurança)

• Custo de remediação (implementar às pressas o que deveria ter sido feito antes)

E tem um detalhe que poucos percebem: segundo o Guia da ANPD sobre Agentes de Tratamento, hospitais e médicos podem responder solidariamente. Ou seja, a ANPD pode multar a instituição E o médico que acessou indevidamente. Responsabilidade pessoal. Não apenas corporativa.

A ilusão do "mas ninguém vai saber"

Conversando com gestores de hospitais, ouço muito: "Temos 2.000 funcionários. Como vamos monitorar cada acesso?"

A resposta é: você não monitora manualmente. Você automatiza.

Pense em como funciona um cartão de crédito. Você faz 50 transações por mês. O banco não tem 50 analistas olhando suas compras uma por uma. Tem algoritmo. Quando você compra passagem para Paris às 14h e às 14h05 tenta pagar um Uber em São Paulo, o sistema bloqueia automaticamente e pede confirmação. Anomalia detectada. Ação preventiva acionada.

O mesmo princípio se aplica a prontuários.

Um médico ortopedista acessa 30 prontuários por dia, todos de pacientes com consulta agendada? Normal. O mesmo médico acessa prontuário de paciente de cardiologia sem consulta agendada, fora do horário de trabalho, em final de semana? Anomalia.

Sistemas de RBAC (Role-Based Access Control) fazem exatamente isso: definem acesso baseado em função clínica e criam alertas automáticos para comportamentos fora do padrão. E hospitais que implementam RBAC têm 43% menos incidentes de acesso indevido, segundo estudo publicado no Journal of Healthcare Information Management.

Não é vigilância. É controle proporcional ao risco. Dados sensíveis exigem controles sensíveis.

Break-glass: quando a emergência não pode esperar

Mas e quando um médico precisa acessar o prontuário de um paciente que chegou inconsciente no pronto-socorro? Não dá para esperar aprovação. Não dá para seguir protocolo burocrático. Precisa de acesso agora.

Para isso existe o conceito de break-glass (quebrar o vidro). Mesma lógica de alarme de incêndio: você quebra o vidro, aciona o alarme, e depois justifica. Mas 100% rastreado.

No contexto de prontuários: médico acessa emergencialmente. Sistema registra data, hora, usuário, prontuário acessado. E adiciona flag: "acesso emergencial — requer justificativa". No dia seguinte, compliance revisa. Médico preenche: "Paciente deu entrada inconsciente, necessário histórico para tratamento."

Justificativa válida? Acesso aprovado retroativamente. Sem justificativa ou justificativa inconsistente? Investigação.

Estudos mostram que quando não há revisão sistemática de break-glass, 8-12% dos acessos são abusivos. Quando há auditoria, esse número cai para menos de 1%. Porque as pessoas sabem: toda emergência será revisada.

É o equilíbrio perfeito: não impede o atendimento emergencial, mas mantém rastreabilidade total.

‍

Como estruturar controles auditáveis

O framework de BPO que a Vennx abriu como Open Source tem exatamente essa lógica. Não é sobre comprar ferramenta cara. É sobre redesenhar processos para que rastreabilidade seja consequência, não esforço.

Passo 1: Mapear AS IS

Como funciona hoje? Médico pede acesso, alguém libera (ou não), credenciais são criadas, usadas, compartilhadas, esquecidas. Quando alguém sai, acesso fica ativo por meses. Ninguém sabe quem tem acesso a quê.

Passo 2: Desenhar TO BE

Como deveria funcionar? Acesso baseado em função (RBAC). Solicitação com justificativa. Aprovação registrada. Validade definida (90 dias, renovação com re-justificativa). Revogação automática em caso de afastamento, férias, desligamento. Auditoria semanal de acessos anômalos.

Passo 3: Automatizar TO BE

Fluxos de concessão, revogação, break-glass rodando em sistema. Alertas automáticos. Dashboards de compliance em tempo real. Relatórios para ANPD gerados em segundos, não em semanas.

O caso Celepar ilustra bem: auditoria LGPD completa, 100% de rastreabilidade, matriz de riscos integrada aos processos. Quando auditor perguntou "quem tem acesso ao sistema X?", a resposta foi imediata: lista completa, com histórico de concessões, justificativas, aprovadores.

Não é magia. É governança operacionalizada.

O custo de não fazer nada

Vamos ao payback.

Implementar controles adequados de acesso custa. Depende do tamanho do hospital, maturidade atual, sistemas legados. Mas vamos usar números conservadores: R$ 200-400 mil para hospital médio estruturar RBAC, audit logs, processos de governança.

Agora compare com:

• Multa LGPD mínima: R$ 500 mil (e pode chegar a R$ 50 milhões).

• Custo médio de breach: 10,93 (R$54 milhões na cotação atual).  

• Processos de pacientes: R$ 10-50 mil por processo (dano moral), multiplicado por centenas de pacientes afetados

• Perda de receita: Pacientes migram para concorrentes, convênios exigem certificações

E tem o custo oculto: 34% da semana de trabalho de equipes de compliance gasta reconstruindo evidências manualmente quando auditoria ou ANPD pede. Se você automatiza, esse tempo volta para prevenção, treinamento, melhoria contínua.

Sem falar no risco reputacional. Hospital que vaza dados de pacientes com HIV, câncer, transtornos mentais não perde apenas dinheiro. Perde confiança. E confiança, no setor saúde, é tudo.

Conheça case Vennx que transformou a gestão e política de dados de uma das maiores empresas públicas de TI do país!

Saúde é o que interessa, mas a adequação LGPD tem pressa

R$ 17,5 milhões. Foi o que hospitais e clínicas brasileiras pagaram em multas LGPD em 2024. 58% dos vazamentos no setor envolvem pessoas que já têm acesso legítimo. 67% dos hospitais brasileiros compartilham credenciais entre plantões. E apenas 31% conseguem rastrear quem acessou um prontuário específico.

A LGPD não é sugestão. O Art. 11 classifica dados de saúde como sensíveis. O Art. 46 exige medidas de segurança. O Art. 52 permite multas de até R$ 50 milhões. E a ANPD está fiscalizando.

Aqui está o teste: sua organização consegue, agora, listar quem acessou o prontuário de um paciente nos últimos 30 dias?  

Se a resposta é "preciso pedir para TI e volto em alguns dias", há um problema operacional que pode virar processo jurídico.

Dados sensíveis exigem controles sensíveis. Não porque a lei obriga. Mas porque seus pacientes confiam às instituições as informações mais íntimas de suas vidas. E essa confiança não tem preço.

Para auditar sua atual gestão de dados e implantar uma nova estrutura de controles auditáveis, a Vennx possui um conjunto de soluções e um time capacitado para acompanhar sua operação diariamente. Fale com um especialista e comece a blindar seus pacientes!

‍

‍