Caso Unimed: um alerta à segurança da informação no setor da saúde
Nos últimos meses, o Brasil acompanhou com apreensão o desenrolar de um incidente cibernético envolvendo a Unimed, uma das maiores redes de cooperativas médicas do país. O caso teve início em março de 2025, quando pesquisadores da plataforma Cybernews identificaram uma falha técnica crítica em uma instância do Apache Kafka, plataforma de streaming de dados de código aberto utilizada por sistemas vinculados à Unimed. Esse ambiente, usado para processar mensagens em tempo real, encontrava-se publicamente exposto na internet, sem os devidos mecanismos de autenticação ou controle de acesso.
A falha, segundo os especialistas, permitia que qualquer usuário com conhecimento técnico razoável pudesse interceptar e visualizar as comunicações trafegadas entre pacientes, profissionais de saúde e o chatbot da instituição, batizado de “Sara”. Estima-se que mais de 14 milhões de mensagens possam ter sido comprometidas durante o período em que o servidor ficou acessível, de 24 de março até 7 de abril. Algumas dessas mensagens, conforme analisado por pesquisadores, continham dados sensíveis como sintomas descritos por pacientes, solicitações de exames, imagens e documentos pessoais.
À medida que a notícia ganhava repercussão na imprensa especializada, a Unimed veio a público esclarecer os fatos. Em nota, confirmou a existência de um incidente técnico, mas afirmou que não havia evidências de que dados sensíveis tivessem sido efetivamente vazados. Ressaltou ainda que o ambiente exposto não era um repositório de dados estruturados e que as medidas corretivas haviam sido adotadas imediatamente após a identificação da falha. Mesmo com a negativa oficial do vazamento, a gravidade do ocorrido e a natureza dos dados em questão geraram ampla preocupação, especialmente, porque o setor de saúde lida diariamente com informações íntimas e protegidas legalmente pela Lei Geral de Proteção de Dados (LGPD).
O episódio também teve desdobramentos regionais. A Unimed VTRP (Vale do Taquari e Rio Pardo) confirmou publicamente que foi uma das unidades afetadas pelo ataque, ocorrido originalmente em março. A cooperativa relatou que, apesar da falha técnica, não houve comprometimento de informações como CPF, dados de cartão de crédito ou prontuários médicos. No entanto, reconheceu a exposição de um ambiente digital voltado à comunicação com clientes, fato que reforça a vulnerabilidade de sistemas que não estejam plenamente alinhados com as melhores práticas de segurança da informação.
A LGPD, em vigor desde 2020, é clara ao estipular obrigações para o tratamento de dados pessoais, especialmente aqueles considerados sensíveis, como os dados de saúde. O artigo 46 da lei determina que os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ou vazamento. Além disso, em casos que possam acarretar risco ou dano relevante aos titulares, a empresa deve comunicar prontamente a Autoridade Nacional de Proteção de Dados (ANPD) e os próprios titulares afetados.
As instituições de saúde lidam com dados que, além de pessoais, são íntimos, sensíveis e, quando expostos, podem causar danos irreparáveis à dignidade dos pacientes. Essas organizações possuem responsabilidade elevada, especialmente diante da digitalização acelerada de processos médicos, cadastros e canais de atendimento.
O episódio evidencia também que falhas de segurança não precisam de um ciberataque sofisticado para causar estragos, pois muitas vezes são resultado de negligência em configurações básicas. Servidores mal configurados, ausência de autenticação e ambientes abertos são pontos críticos que podem colocar milhões de registros em risco. A Lei Geral de Proteção de Dados é um convite à maturidade digital. Quem ignora isso compromete não apenas sua conformidade, mas a confiança que sustenta seu próprio negócio.
A LGPD, em vigor desde 2020, é clara ao estipular obrigações para o tratamento de dados pessoais, especialmente aqueles considerados sensíveis, como os dados de saúde. O artigo 46 da lei determina que os agentes de tratamento devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ou vazamento. Além disso, em casos que possam acarretar risco ou dano relevante aos titulares, a empresa deve comunicar prontamente a Autoridade Nacional de Proteção de Dados (ANPD) e os próprios titulares afetados.Independentemente da análise técnica final sobre a ocorrência de um vazamento, o incidente envolvendo a Unimed serve como alerta importante. O acesso indevido a milhões de mensagens, ainda que “apenas” conversacionais, compromete diretamente a relação de confiança que deve existir entre pacientes e instituições de saúde. Quando uma pessoa compartilha suas dores, sintomas ou dúvidas com um serviço médico, presume-se que essas informações estão sendo tratadas com a máxima confidencialidade: o que, neste caso, pode ter sido rompido.
A lição deixada por esse caso vai além do risco jurídico ou das sanções previstas pela LGPD. Trata-se de um lembrete sobre a importância da segurança da informação como pilar de confiança institucional. Governança, controles técnicos, resposta a incidentes e cultura organizacional de proteção de dados devem estar no centro das estratégias de qualquer empresa de saúde. Em um cenário onde a privacidade é cada vez mais valorizada e exigida, proteger dados não é mais um diferencial: é uma obrigação ética e estratégica.