A dimensão do caso chama atenção não apenas pelo volume de registros, mas pela natureza das informações envolvidas. Dados de saúde são considerados sensíveis pela Lei Geral de Proteção de Dados Pessoais (LGPD) e exigem nível elevado de proteção por estarem diretamente relacionados à intimidade e à vida privada dos cidadãos.
Para Eduardo Nery, CEO da Every Cybersecurity e especialista em cibersegurança, episódios dessa dimensão mostram que ataques contra o setor de saúde ultrapassam a esfera tecnológica.
O caso ganha contornos ainda mais sensíveis diante da presença de registros relacionados a crianças, adolescentes e idosos. Para Nery, o impacto potencial de um incidente precisa ser analisado também a partir do perfil dos titulares atingidos.

Ataque expõe dados de 500 mil pacientes e acende alerta na saúde
Ataques de ransomware estão entre as ameaças mais graves enfrentadas atualmente por organizações públicas e privadas. Nesse tipo de ação, criminosos comprometem sistemas, tornam dados ou serviços inacessíveis e podem utilizar as informações obtidas como instrumento de extorsão. Em ambientes de saúde, o impacto pode atingir não apenas a privacidade, mas também a continuidade de serviços essenciais.
Segundo Nery, um dos principais erros das organizações é concentrar esforços apenas na prevenção e não estruturar, com a mesma intensidade, mecanismos permanentes de detecção, resposta e recuperação.
“Não existe ambiente cem por cento imune. A pergunta que uma organização precisa fazer não é apenas ‘como impedir um ataque?’, mas também ‘quanto tempo levaremos para detectar, conter, comunicar e recuperar a operação se ele acontecer?’. Essa diferença de postura muda completamente a capacidade de resposta a um incidente”, afirma.
O especialista destaca que organizações responsáveis por grandes bases de dados precisam manter políticas permanentes de governança de identidade e acesso, autenticação forte, segmentação de ambientes, revisão contínua de credenciais privilegiadas, monitoramento 24 horas por dia, planos de resposta a incidentes e rotinas de backup testadas.
“Segurança não pode ser uma fotografia tirada no dia de uma auditoria. Precisa ser um processo vivo. Credenciais mudam, pessoas entram e saem, fornecedores acessam sistemas, novas vulnerabilidades surgem e os atacantes adaptam suas técnicas. Se a proteção não acompanha esse movimento, o risco cresce silenciosamente”, avalia.
Na análise de Nery, o processo aberto pela ANPD também sinaliza uma mudança importante no ambiente regulatório brasileiro. A discussão deixa de se concentrar apenas na ocorrência do ataque e passa a observar a capacidade de prevenção, governança e resposta das organizações que tratam dados pessoais.
“A ocorrência de um ataque, por si só, não conta toda a história. É preciso entender quais controles existiam, como o risco era gerenciado, quanto tempo a organização levou para detectar o incidente, quais medidas foram adotadas e como os titulares potencialmente afetados foram protegidos. É aí que governança, cibersegurança e LGPD se encontram”, afirma.
“Dados de saúde estão entre os ativos mais sensíveis que uma organização pode custodiar. Quem recebe essa informação assume uma responsabilidade enorme. Cibersegurança, nesse contexto, não é apenas proteger sistema ou servidor. É proteger a intimidade, a confiança e, em muitos casos, a própria segurança das pessoas”, conclui.
Sobre Eduardo Nery
Eduardo Nery é CEO e sócio-fundador da Every Cybersecurity, referência nacional em cibersegurança, privacidade, governança, riscos e compliance (GRC) e LGPD, com mais de 40 anos de atuação em tecnologia e segurança da informação em organizações públicas e privadas. À frente da companhia — bicampeã do Prêmio Notabile e certificada nas normas ISO/IEC 27.001 e ISO/IEC 27.701 —, consolidou uma trajetória marcada por visão estratégica e resultados.
É também Vice-Presidente do Vasco da Gama, com atuação institucional e estratégica ligada ao clube, em frentes como relacionamento, comunicação, captação, inovação e fortalecimento da marca. Transita, assim, entre a liderança no mercado de tecnologia e a gestão de uma das maiores e mais tradicionais marcas do esporte brasileiro.
Sobre a Every Cybersecurity
A Every Cybersecurity é uma empresa brasileira especializada em adequação à Lei Geral de Proteção de Dados Pessoais (LGPD), privacidade, governança, riscos e compliance (GRC) e cibersegurança, com sede em Brasília e escritório no Rio de Janeiro. Referência nacional em proteção de dados e certificada nas normas ISO/IEC 27.001 e ISO/IEC 27.701, atende o setor público e grandes organizações, com mais de 1.000 projetos entregues. É bicampeã do Prêmio Notabile – Empresa Destaque, eleita por CIOs do setor público no CIO Brasil GOV.
Assessoria de Imprensa
Etcetera Comunicação
Marina Figueiredo
(61) 99170-0606
marina@etccomunica.com.br
