A Unimed, uma das maiores operadoras de saúde suplementar do Brasil, confirmou nesta semana a ocorrência de um incidente cibernético que afetou parte de sua infraestrutura tecnológica.
A falha foi identificada em um ambiente vinculado à plataforma Kafka, ferramenta amplamente utilizada para gerenciar o fluxo de dados e a comunicação interna entre sistemas.
Em nota oficial, a companhia afirmou que o sistema atingido não contém dados sensíveis nem armazena histórico de conversas entre pacientes e profissionais de saúde. A operadora também rebateu informações divulgadas por veículos de imprensa, que apontavam um possível vazamento de mensagens médicas. De acordo com a Unimed, o volume e o conteúdo das mensagens citadas não correspondem à capacidade do ambiente impactado.
A pergunta que não quer calar: Se uma operadora de saúde trata, em essência, dados sensíveis, uma vez que os dados referentes à saúde são considerados sensíveis, como querem que acreditemos que esses dados não foram afetados?
A empresa ressaltou que mantém investimentos contínuos em segurança da informação e atua em conformidade com o Programa Nacional de Governança em Proteção e Privacidade de Dados.
Toda vez que se faz imput de dados em sistemas de terceiros, como no caso do Kafka, o Controlador, no caso a Unimed, deve verificar se ao terceirizado está em conformidade com a Lei Geral de Proteção de Dados e quais as medidas técnicas e administrativas são tomadas por este último para manter a segurança desses dados.
No mínimo a Unimed foi negligente em cumprir o artigo 39, da Lei Geral de Proteção de Dados que diz: “o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.”
Cabe ao controlador fazer esse acompanhamento.
As investigações técnicas para apurar a origem e o alcance do ataque ainda estão em curso.
Este não é o primeiro incidente relacionado à segurança digital envolvendo a marca. No início de 2025, a Unimed de Brusque, em Santa Catarina, também sofreu um ataque cibernético, que gerou instabilidade nos sistemas internos da cooperativa. À época, a empresa confirmou que a origem dos problemas foi uma ação criminosa de agentes ainda não identificados.
No comunicado recente, a Unimed esclareceu que o incidente registrado em março deste ano foi pontual, restrito a uma integração entre o aplicativo móvel e um serviço de chat utilizado por apenas três cooperativas.
Segundo a operadora, esse canal serve exclusivamente para demandas administrativas, como consulta de rede credenciada e solicitações operacionais, sem qualquer função assistencial ou troca direta entre médicos e pacientes.
A instituição frisou ainda que o sistema afetado não funciona como repositório de dados e não possui estrutura técnica para armazenar o volume de mensagens divulgado na imprensa.
“Não há, até o momento, indícios de que tenha ocorrido vazamento de informações sensíveis de beneficiários, médicos cooperados ou profissionais de saúde”, informou.
Composto por 340 cooperativas independentes em todo o território nacional, o Sistema Unimed reforçou que a falha não reflete a operação como um todo. Ainda assim, destacou que todo incidente é tratado com rigor técnico e responsabilidade institucional.
Como parte de sua política de governança digital, a Unimed informou que mantém um plano robusto de cibersegurança, com foco na conformidade com a Lei Geral de Proteção de Dados -LGPD, monitoramento contínuo de sistemas e parcerias estratégicas com empresas globais de tecnologia e infraestrutura digital.
Essa última informação não parece condizente com o que aconteceu? O que você, leitor, acha?
