A digitalização acelerou hospitais e clínicas no Brasil, mas também ampliou um risco crítico: o vazamento de dados de pacientes e o surgimento de um mercado paralelo em torno dessas informações. Nesse contexto, ganha força o conceito de Crime do Jaleco, quando instituições de saúde ou seguradoras acessam dados sensíveis de forma indevida para decisões comerciais ou estratégicas, e não clínicas.
O problema não é só “mais um vazamento”. Quando informações médicas circulam fora do ambiente assistencial, elas deixam de ser cuidado e viram ativo, algo que pode ser explorado e negociado na Dark Web.
Entenda em 90 segundos: o que está em jogo
O dado médico tem um peso diferente. Senhas vazam e podem ser trocadas. Um histórico clínico, um diagnóstico ou um vínculo familiar registrado em base pública ou privada não “expira” da mesma forma.
Na prática, quando essa informação cai no circuito errado, o dano deixa de ser abstrato. O texto aponta o risco de decisões que priorizam ou preterem pacientes por critérios comerciais, e não clínicos, além do impacto direto na confiança do paciente na instituição.
O cenário brasileiro: Datasus e casos recentes
O Brasil já viu esse risco em escala nacional. Em setembro de 2024, um trader da Dark Web publicou uma réplica completa do Datasus, com 177,9 milhões de registros. A lista de campos expostos é sensível por si só e inclui dados que permitem identificação, vínculo familiar e contato direto com o cidadão.
O problema também atingiu o setor privado. Em agosto de 2025, a Maida.health sofreu um ataque de ransomware que resultou no roubo de mais de 2 TB de dados, com registros médicos detalhados de membros da Polícia Militar e suas famílias. Segundo o texto-fonte, essas informações foram oferecidas para venda em fóruns da Dark Web.
O pano de fundo reforça que não se trata de episódios pontuais. Em 2024, a saúde foi o setor mais afetado por vazamentos, respondendo por quase 23% dos incidentes, de acordo com a Kroll.
O fator humano: onde a segurança falha
Denis Furtado, diretor da Smart Solutions, aponta um ponto que costuma ser ignorado quando a pressão por “solução” vira corrida por ferramenta. O básico bem feito, com políticas, treinamento e monitoramento, tende a gerar mais efeito do que investir em recursos robustos se a cultura interna for fraca.
A analogia é direta e desconfortável, justamente por isso funciona: não há criptografia ou autenticação multifatorial que resista a uma senha escrita num post-it colado no monitor. Em ambientes de saúde, onde rotinas são intensas e o acesso é amplo, pequenos atalhos operacionais viram portas abertas.
O que hospitais e clínicas devem fazer
- Transparência imediata pós-incidente: tomar a frente e dar publicidade ao ocorrido para manter controle sobre a comunicação.
- Treinamento contínuo das equipes: reduzir práticas inseguras e reforçar responsabilidades no uso de dados sensíveis.
- Políticas claras e aplicáveis: orientar o que pode e o que não pode ser feito com dados de pacientes, com foco em prevenir usos indevidos.
- Monitoramento constante: sustentar vigilância operacional para identificar incidentes e reduzir tempo de exposição.