Incidentes14 min de leitura

Ransomware em Hospitais: O Que a LGPD Exige Após um Ataque

Equipe Confidata·
Compartilhar

Na madrugada de uma segunda-feira, o sistema de prontuários eletrônicos de um hospital fica inacessível. As telas exibem uma mensagem em inglês: os dados foram criptografados e só serão liberados mediante pagamento em criptomoeda. Cirurgias eletivas são suspensas. Resultados de exames desaparecem. Médicos voltam a preencher fichas em papel. A equipe de TI entra em pânico. O DPO recebe uma ligação.

Esse cenário deixou de ser hipotético. Hospitais brasileiros já enfrentaram ataques de ransomware com consequências reais — e a LGPD impõe obrigações específicas quando dados pessoais de pacientes estão envolvidos. Este artigo explica o que a lei exige, o que aconteceu em casos concretos e como se preparar antes que o ataque aconteça.

Por que hospitais são o alvo preferido de ransomware?

Hospitais reúnem três fatores que os tornam alvos ideais para grupos de ransomware.

1. Dados de altíssimo valor. Prontuários médicos contêm dados pessoais sensíveis — histórico de doenças, exames, medicamentos, informações genéticas, dados de saúde sexual e reprodutiva. Segundo a classificação do Art. 5º, II, da LGPD, são dados pessoais sensíveis, com regime jurídico mais restritivo. No mercado clandestino, registros médicos valem até 10 vezes mais que dados de cartão de crédito, porque não podem ser "cancelados" como um cartão — um diagnóstico é permanente.

2. Urgência operacional. Diferentemente de uma loja de e-commerce, um hospital não pode simplesmente "ficar fora do ar". Pacientes em UTI dependem de sistemas de monitoramento. Cirurgias agendadas não podem esperar semanas. Essa pressão faz com que administradores considerem pagar o resgate para restaurar o funcionamento — exatamente o que os criminosos calculam.

3. Superfície de ataque ampla. Hospitais operam com equipamentos médicos conectados (IoT), sistemas legados que não recebem atualizações, centenas de acessos remotos de médicos e conveniados, redes Wi-Fi para visitantes compartilhando infraestrutura com sistemas críticos. Cada ponto é uma porta de entrada.

O resultado é previsível. Em 2024, o setor de saúde foi o terceiro mais atacado pelo cibercrime no Brasil, com mais de 6.500 tentativas de ransomware direcionadas a instituições de saúde, segundo dados da Kaspersky. Globalmente, mais de 250 organizações de saúde sofreram ataques de ransomware em 2024 — duas vezes e meia o número registrado em 2021. Em 2025, os ataques a hospitais e clínicas subiram mais 30%.

O que acontece quando um hospital é atacado? Casos reais

Hospital de Câncer de Barretos (2017)

Em 27 de junho de 2017, todas as unidades do Hospital de Câncer — em Barretos, Jales e Porto Velho — além da Santa Casa de Barretos foram atingidas pelo ransomware Petya/NotPetya. Cerca de 3 mil consultas e exames precisaram ser reagendados. O atendimento a pacientes oncológicos — muitos em tratamento de quimioterapia — foi comprometido por dias. Os sistemas de agendamento e prontuário ficaram inacessíveis, forçando a equipe a retomar registros em papel.

Grupo Fleury (2021 e 2023)

Em junho de 2021, o Grupo Fleury — um dos maiores laboratórios de diagnóstico do Brasil — foi atacado pelo ransomware REvil (Sodinokibi). Os criminosos alegaram ter obtido 450 GB de dados, incluindo transações bancárias e informações médicas sensíveis. Os sistemas ficaram fora do ar, e pacientes não conseguiram acessar resultados de exames por dias.

Menos de dois anos depois, em maio de 2023, o Grupo Fleury sofreu um segundo ataque. Novamente, o sistema de resultados de exames ficou indisponível, afetando pacientes em todo o país. O caso ilustra um problema estrutural: um ataque não corrigido na raiz se repete.

WannaCry e o NHS britânico (2017)

O caso mais emblemático internacionalmente atingiu o National Health Service (NHS) do Reino Unido em maio de 2017. O ransomware WannaCry afetou mais de 60 trusts do NHS, levando ao cancelamento de cerca de 19 mil consultas e cirurgias. Hospitais não conseguiam acessar prontuários, ambulâncias foram redirecionadas e procedimentos urgentes foram adiados. Um estudo publicado em janeiro de 2025 demonstrou que o ataque causou danos de longo prazo à saúde de pacientes cujos tratamentos foram interrompidos.

Synnovis e o NHS (2024)

Em junho de 2024, um grupo hacker russo atacou a Synnovis, empresa que fornece serviços de patologia e transfusão sanguínea para hospitais do NHS em Londres. O resultado: mais de 10 mil consultas adiadas e 1.700 procedimentos eletivos cancelados. Hospitais ficaram sem capacidade de processar exames de sangue por semanas.

O padrão é claro: ransomware em hospital não é só um problema de TI — é uma emergência assistencial.

O que a LGPD exige após um ataque de ransomware?

Um ataque de ransomware que atinge dados de pacientes é, por definição, um incidente de segurança nos termos do Art. 46 da LGPD. A indisponibilidade de prontuários já configura comprometimento da disponibilidade de dados pessoais. Se houve exfiltração (roubo de dados antes da criptografia), soma-se o comprometimento da confidencialidade.

As obrigações do hospital estão definidas no Art. 48 da LGPD e regulamentadas pela Resolução CD/ANPD Nº 15, de 24 de abril de 2024 — o Regulamento de Comunicação de Incidente de Segurança (RCIS).

Obrigação 1: Comunicar a ANPD

O controlador deve comunicar à ANPD a ocorrência do incidente sempre que este puder acarretar risco ou dano relevante aos titulares. Dados de saúde, por sua natureza sensível, atingem esse limiar em praticamente todos os cenários de ransomware.

Obrigação 2: Comunicar os titulares afetados

Quando o incidente envolve risco ou dano relevante, a comunicação aos titulares (pacientes) é obrigatória. O hospital deve informar o que aconteceu, quais dados foram afetados e que medidas estão sendo tomadas.

Obrigação 3: Registrar o incidente

Todos os incidentes — mesmo os que não precisam ser comunicados à ANPD — devem ser registrados internamente e o registro mantido por no mínimo 5 anos (Art. 14 da Resolução CD/ANPD Nº 15/2024).

Para entender em detalhes como montar o plano de resposta a incidentes de dados pessoais, consulte nosso guia completo.

Qual é o prazo para notificar a ANPD? O que comunicar?

A Resolução CD/ANPD Nº 15/2024 estabelece um prazo claro: 3 dias úteis a partir do momento em que o controlador toma ciência de que o incidente afetou dados pessoais.

Para agentes de tratamento de pequeno porte (enquadrados na Resolução CD/ANPD Nº 2/2022), o prazo é estendido para 6 dias úteis. Hospitais de grande porte não se beneficiam dessa extensão.

O que a comunicação à ANPD deve conter (Art. 48, §1º, da LGPD)

A notificação deve incluir, no mínimo:

  1. Descrição da natureza dos dados pessoais afetados — ex.: prontuários médicos, resultados de exames, dados de identificação
  2. Informações sobre os titulares envolvidos — número estimado de pacientes afetados, categorias (pacientes internados, ambulatoriais, colaboradores)
  3. Medidas técnicas e de segurança utilizadas — criptografia em repouso, segmentação de rede, backups (observados segredos comercial e industrial)
  4. Riscos relacionados ao incidente — possibilidade de discriminação, fraude, dano moral, risco à vida do paciente
  5. Motivos da demora — se a comunicação não foi imediata
  6. Medidas adotadas ou planejadas — para reverter ou mitigar os efeitos

Comunicação em duas etapas

Se não for possível reunir todas as informações em 3 dias úteis, o controlador pode enviar uma comunicação preliminar e complementá-la em até 20 dias úteis adicionais. Essa possibilidade existe porque a investigação forense de um ataque de ransomware frequentemente leva semanas. Porém, o hospital não pode deixar de enviar a comunicação inicial dentro do prazo.

Para mais detalhes sobre como redigir a comunicação de incidente de segurança à ANPD, veja nosso guia específico.

Como comunicar o incidente aos pacientes?

A comunicação aos titulares tem objetivos práticos: permitir que pacientes tomem medidas de proteção (monitorar uso indevido de seus dados, alterar senhas de portais de resultado) e cumprir a exigência legal.

O que informar aos pacientes

  • O que aconteceu — em linguagem acessível, sem jargão técnico
  • Quais dados foram afetados — prontuários, resultados de exames, dados cadastrais, dados financeiros
  • O que o hospital está fazendo — medidas de contenção e recuperação
  • O que o paciente deve fazer — monitorar atividades suspeitas, trocar senhas de portais
  • Canal de contato — telefone, e-mail ou formulário do encarregado (DPO)

Forma da comunicação

A Resolução CD/ANPD Nº 15/2024 determina que a comunicação deve ser individual e direta sempre que possível. Quando o número de titulares afetados tornar a comunicação individual inviável, a ANPD pode autorizar a comunicação por meios amplos — como publicação no site do hospital, nota à imprensa e avisos em redes sociais.

Em hospitais, o desafio prático é real: muitos pacientes são idosos, não usam e-mail e não acessam portais digitais. A comunicação pode exigir carta física ou contato telefônico.

Pagar o resgate é uma opção? O que a lei diz?

A tentação de pagar o resgate para restaurar sistemas rapidamente é compreensível quando vidas estão em jogo. No entanto, o pagamento apresenta problemas jurídicos e práticos sérios.

Não há garantia de recuperação. Estudos mostram que entre 40% e 50% das organizações que pagam o resgate não recuperam todos os dados. Alguns grupos de ransomware entregam ferramentas de descriptografia defeituosas deliberadamente.

Financia o crime. O pagamento financia diretamente organizações criminosas — muitas ligadas a grupos com sanções internacionais. Dependendo do grupo, o pagamento pode configurar violação de sanções econômicas ou financiamento indireto de atividades criminosas.

Não elimina a obrigação de notificar. Mesmo que o hospital pague e recupere os dados, a obrigação de comunicar à ANPD e aos titulares permanece. O incidente aconteceu e pode ter envolvido exfiltração de dados antes da criptografia.

Posição prática. A ANPD não proíbe expressamente o pagamento, mas ele não exime o controlador de nenhuma obrigação legal. Autoridades internacionais — como o FBI, a CISA e a NCSC britânica — recomendam fortemente não pagar. No Brasil, o PL 1.049/2022 (Projeto de Lei de crimes cibernéticos) discute a criminalização do pagamento de resgates, embora ainda não tenha sido aprovado.

A resposta correta ao ransomware é técnica, não financeira: restaurar a partir de backups, isolar os sistemas comprometidos e conduzir investigação forense.

Qual o impacto na continuidade assistencial?

O impacto de um ataque de ransomware em hospitais vai além da proteção de dados. Ele atinge diretamente a prestação de cuidados de saúde.

Prontuários inacessíveis. Sem acesso ao prontuário eletrônico, médicos perdem informações sobre alergias, interações medicamentosas, histórico de tratamentos e resultados de exames anteriores. Decisões clínicas passam a ser tomadas com informação incompleta.

Cirurgias adiadas. Procedimentos eletivos são cancelados porque sistemas de imagem (PACS), laudos e prontuários ficam indisponíveis. No caso do NHS com WannaCry, 19 mil consultas e cirurgias foram canceladas.

Equipamentos desconectados. Equipamentos médicos conectados à rede — como monitores de sinais vitais, bombas de infusão e ventiladores — podem ser comprometidos ou desligados preventivamente para conter a propagação.

Transferência de pacientes. Em casos graves, pacientes em estado crítico precisam ser transferidos para outros hospitais, aumentando o risco clínico.

Retorno ao papel. A equipe assistencial volta a usar fichas manuais, o que aumenta o risco de erros de medicação, perda de informações e duplicação de exames.

A Resolução CFM Nº 1.638/2002 determina que o prontuário médico é um documento indispensável ao atendimento. Sua indisponibilidade prolongada, causada por um ataque de ransomware, configura risco à segurança do paciente — uma dimensão que vai além da LGPD e alcança a regulação sanitária e profissional.

Como hospitais devem estruturar o plano de resposta a ransomware?

Um plano de resposta genérico não é suficiente para hospitais. A natureza crítica dos serviços de saúde exige um plano específico, com protocolos que considerem a continuidade assistencial.

Fase 1: Preparação (antes do ataque)

  • Manter backups offline (air-gapped) testados regularmente — a restauração deve ser validada, não apenas o backup
  • Treinar equipe de TI, DPO e liderança clínica em simulações de ransomware
  • Definir comitê de crise com representantes de TI, DPO, jurídico, direção clínica e comunicação
  • Contratar ou identificar previamente empresa de resposta a incidentes e forense digital
  • Documentar o protocolo C-Level de gestão de crises de privacidade

Fase 2: Detecção e contenção (primeiras horas)

  • Isolar imediatamente os sistemas comprometidos da rede
  • Não desligar os servidores — preservar evidências forenses na memória RAM
  • Ativar o comitê de crise
  • Iniciar registro detalhado de todas as ações (log de incidente)
  • Avaliar se houve exfiltração de dados (não apenas criptografia)

Fase 3: Avaliação jurídica e regulatória (primeiras 24 horas)

  • DPO avalia se o incidente envolve dados pessoais e se há risco ou dano relevante
  • Iniciar a preparação da comunicação à ANPD (prazo: 3 dias úteis)
  • Avaliar necessidade de comunicação aos titulares
  • Consultar seguradora cyber, se aplicável
  • Acionar assessoria jurídica especializada

Fase 4: Comunicação (até 3 dias úteis)

  • Enviar comunicação à ANPD via formulário oficial
  • Comunicar titulares afetados (pacientes) pelos canais mais eficazes
  • Emitir comunicado interno para colaboradores
  • Se necessário, preparar nota para imprensa

Fase 5: Recuperação e restauração

  • Restaurar sistemas a partir de backups verificados
  • Aplicar patches e correções de segurança antes de reconectar sistemas
  • Validar integridade dos dados restaurados
  • Restabelecer operações de forma gradual, começando por sistemas críticos

Fase 6: Pós-incidente

  • Complementar informações à ANPD (prazo: 20 dias úteis)
  • Conduzir análise de causa raiz
  • Atualizar políticas e controles de segurança
  • Documentar lições aprendidas
  • Atualizar o plano de resposta com base na experiência real

Para hospitais e clínicas que ainda precisam estruturar seu programa de conformidade, é essencial que o plano de resposta a ransomware esteja integrado ao programa de privacidade.

Seguro cyber para hospitais: cobre ransomware?

O mercado de seguros cyber no Brasil cresceu 12,7% no primeiro semestre de 2024, impulsionado em parte pela LGPD e pela consciência de que incidentes geram responsabilidade legal. Mas a cobertura de ransomware para hospitais tem particularidades.

O que as apólices tipicamente cobrem

  • Custos de resposta a incidentes — investigação forense, contenção, consultoria jurídica
  • Perda de receita por interrupção — faturamento perdido durante o período de indisponibilidade dos sistemas
  • Extorsão cibernética — em algumas apólices, inclui reembolso do valor do resgate (quando o pagamento é permitido por lei) e custos de restauração
  • Danos a terceiros — ações judiciais de pacientes prejudicados pelo vazamento ou indisponibilidade de dados
  • Custos de notificação — despesas com comunicação à ANPD e aos titulares
  • Gestão de crise — assessoria de comunicação e relações públicas

Limitações importantes

  • Muitas apólices excluem pagamento de resgate a grupos sob sanções internacionais
  • A cobertura pode ser negada se o hospital não demonstrar medidas mínimas de segurança (ausência de backup, falta de patches, ausência de autenticação multifator)
  • Prêmios para hospitais tendem a ser mais altos devido ao perfil de risco do setor de saúde
  • O seguro não substitui a conformidade com a LGPD — a ANPD pode aplicar sanções independentemente da existência de apólice

O seguro cyber é uma camada de proteção financeira, não uma estratégia de segurança. Conforme discutimos no artigo sobre riscos do seguro cyber como substituto de conformidade, a apólice complementa o programa de proteção de dados — nunca o substitui.

Checklist: prevenção e resposta a ransomware em hospitais

Prevenção

  • Backups offline (air-gapped) testados e validados mensalmente
  • Segmentação de rede: sistemas clínicos isolados de redes administrativas e de visitantes
  • Autenticação multifator (MFA) em todos os acessos remotos e contas privilegiadas
  • Patches de segurança aplicados em até 72 horas para vulnerabilidades críticas
  • EDR (Endpoint Detection and Response) em todos os endpoints, incluindo estações de trabalho clínicas
  • Treinamento de phishing para todos os colaboradores (médicos, enfermeiros, administrativo)
  • Inventário atualizado de todos os dispositivos conectados (IoT médico, equipamentos de imagem)
  • Plano de continuidade assistencial documentado para cenário de indisponibilidade total de TI
  • Contrato prévio com empresa de resposta a incidentes e forense digital
  • Seguro cyber contratado e vigente, com cobertura para ransomware

Resposta (quando o ataque acontecer)

  • Isolar sistemas comprometidos da rede imediatamente
  • Ativar comitê de crise (TI, DPO, jurídico, direção clínica, comunicação)
  • Preservar evidências — não formatar servidores sem análise forense
  • Avaliar se dados pessoais foram afetados (indisponibilidade ou exfiltração)
  • Comunicar a ANPD em até 3 dias úteis (Resolução CD/ANPD Nº 15/2024)
  • Comunicar pacientes afetados de forma individual e direta
  • Não pagar resgate sem avaliação jurídica, forense e estratégica
  • Restaurar sistemas a partir de backups verificados
  • Documentar todas as ações no registro de incidentes (retenção: 5 anos)
  • Complementar informações à ANPD em até 20 dias úteis
  • Conduzir análise de causa raiz e atualizar controles

Pós-incidente

  • Relatório completo de lições aprendidas
  • Atualização do plano de resposta a incidentes
  • Comunicação de encerramento do incidente à ANPD
  • Revisão de contratos com fornecedores de TI envolvidos
  • Auditoria de segurança independente
  • Atualizar o plano de medidas corretivas pós-incidente

Conclusão: a hora de se preparar é agora

Ransomware em hospitais não é uma questão de "se", mas de "quando". Os números são inequívocos: ataques ao setor de saúde cresceram 30% em 2025, e o Brasil é um dos países mais visados da América Latina. Hospitais que não têm backups offline testados, plano de resposta documentado e equipe treinada estão operando sem rede de segurança — tanto no sentido técnico quanto no jurídico.

A LGPD e a Resolução CD/ANPD Nº 15/2024 não admitem improviso. O prazo de 3 dias úteis para comunicação à ANPD começa a contar no momento da ciência do incidente. A ausência ou o atraso na comunicação é fator agravante na dosimetria de sanções. E dados de saúde, por serem sensíveis, recebem tratamento mais rigoroso tanto na avaliação de risco quanto na aplicação de penalidades.

A preparação custa uma fração do que custa a resposta. O investimento em prevenção — backups, segmentação, treinamento, plano de resposta — é mensurável e previsível. O custo de um ataque não mitigado — multas, ações judiciais, danos reputacionais, risco à vida de pacientes — é incalculável.

O Confidata ajuda hospitais e clínicas a estruturar seu programa de conformidade com a LGPD, incluindo gestão de incidentes, registro de atividades de tratamento e resposta regulatória. Se sua instituição precisa de um sistema que organize obrigações, prazos e evidências antes que o incidente aconteça, conheça a plataforma.

Compartilhar
#ransomware#hospital#LGPD#incidente de segurança#dados de saúde#ANPD#notificação

Artigos relacionados

Casos reais de incidentes de dados no Brasil: lições aprendidasIncidentes · 12 minComo criar um plano de resposta a incidentes de dados pessoaisIncidentes · 13 minIncidente de Segurança ANPD: Prazo de 3 Dias e Como NotificarLegislação e ANPD · 13 minComo comunicar um vazamento de dados aos titulares afetadosIncidentes · 11 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista