Os desafios de privacidade de proteção de dados pessoais em clínicas médicas ante os recorrentes ataques cibernéticos

Segundo matéria publicada no InfoMoney em 11/08/2022, empresas de saúde foram o principal alvo de hackers no segundo trimestre daquele ano. De lá para cá, as notícias de ciberataques a empresas do setor são cada vez mais recorrentes: basta uma simples consulta à internet para nos depararmos com informações sobre sequestro de dados pessoais de pacientes, mantidos em sistemas de clínicas médicas, hospitais, laboratórios etc.

Nem mesmo o Ministério da Saúde escapou da ação de cibercriminosos, que expuseram dados de mais 200 milhões de brasileiros no ano de 2020, conforme apuração do jornal Estado de São Paulo.

Os hackers exploram vulnerabilidades nos sistemas de controladores de dados pessoais, como é o caso de clínicas médicas, muitas vezes adotando as mais diversas táticas de engenharia social, como o phishing.

O phishing consiste em fraude que envolve o envio de mensagens eletrônicas com objetivo de enganar ou coagir o alvo a adotar determinada ação, como clicar em um determinando link, por exemplo. Uma vez que a isca é mordida, o dispositivo do usuário é infectado com malware. Esta modalidade é uma das principais portas de acesso de criminosos aos dados tratados por empresas.

Com o acesso ao sistema da clínica e após a instalação do software malicioso, que geralmente é ativado independentemente de ação do usuário, o hacker pode divulgar indevidamente os dados dos pacientes, inclusive dados pessoais sensíveis relacionados à saúde do indivíduo, bem como extorquir a empresa, por meio de sequestro dos dados, usando criptografia.

Assim, os criminosos cobram resgate com valores exorbitantes para restituir os dados sequestrados, ameaçando expor os dados na deep web. As consequências de um ataque de ransomware para as clínicas médicas são danosíssimas: seja do ponto de vista financeiro, caso opte por pagar o resgate, seja do ponto de vista reputacional, já que sua imagem ficará manchada no mercado como uma empresa que não adota as medidas de segurança da informação necessárias para proteger os dados de seus pacientes.

Especialistas em segurança da informação afirmam que não é uma questão de “se” uma empresa irá sofrer um ataque cibernético, mas sim de “quando”. E, ainda que não seja possível garantir que seu sistema não será invadido por cibercriminosos, a empresa pode e deve adotar medidas para mitigar os riscos, observando as disposições da Lei Geral de Proteção de Dados Pessoais.

Isto porque, a LGPD prevê que as atividades de tratamento de dados pessoais sejam realizadas com a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, garantindo a segurança das informações dos titulares.

Mais, a clínica médica, enquanto controladora, responde pelos danos decorrentes da violação da segurança dos dados, caso deixe de observar as medidas de segurança previstas na LGPD. Essa responsabilidade se dá em relação ao próprio titular, que pode buscar na justiça a reparação dos dados sofridos, bem como perante à ANPD, sendo certo que a comprovação de que a empresa adotou as medidas que estavam a seu alcance para mitigar os riscos de incidentes de segurança, servirá como atenuante em eventual sanção.

Assim, é de suma importância que a empresa promova internamente uma cultura voltada à proteção de dados, que adote as medidas de adequação à LGPD, bem como que implemente programa de governança em privacidade.

Autora: Alice Godinho Mendonça

Gostou da matéria? quer saber mais sobre o tema? Entre em contato conosco