Por Bruno Mizga
A transformação digital, tanto no contexto organizacional quanto na saúde corporativa, deixou de ser tendência para se tornar parte da evolução tecnológica e no cuidado com as pessoas nas empresas. Hoje, decisões sobre bem-estar, prevenção e gestão populacional são tomadas com base em análise de dados: dashboards de indicadores de saúde, perfil epidemiológico, adesão a programas de benefícios, utilização de planos e histórico ocupacional. A implementação de ferramentas de inteligência artificial para essas análises permite enxergar riscos antes que eles se tornem afastamentos, direcionar investimentos com mais precisão e gerar impacto real no cuidado com as pessoas.
Mas junto com essa evolução surge uma pergunta: será que estamos protegendo essas informações com o mesmo nível de sofisticação com que as utilizamos?
Na era da inteligência de dados, a saúde corporativa baseada em informação exige, necessariamente, privacidade, governança, segurança e conformidade. Não se trata apenas de cumprir exigências legais, mas de comprovar maturidade e preservar confiança. É nesse contexto que certificações como a ISO/IEC 27001:2022 e a ISO/IEC 27701:2025 deixaram de ser diferenciais para se tornarem critérios estratégicos na escolha de parceiros e fornecedores. A ISO/IEC 27001:2022 estabelece diversos controles para um Sistema de Gestão de Segurança da Informação (SGSI), estruturando processos para identificar riscos, proteger dados contra ameaças ou falhas técnicas e manter a operação rodando.
Já a ISO/IEC 27701:2025 complementa essa estrutura ao focar na gestão da privacidade da informação (SGPI), com diretrizes específicas para a proteção de dados pessoais e alinhamento a legislações como a LGPD e o GDPR, basicamente transforma seu Sistema de Gestão de Segurança (SGSI) em um PIMS (Privacy Information Management System), garantindo conformidade com leis de proteção de dados, respeitando a privacidade e a finalidade do uso do dado.
Leia mais: Um terço dos CIOs acha plausível substituir 20% dos funcionários por IA em até 3 anos
O cenário brasileiro ajuda a explicar essa mudança de mentalidade. Segundo a Kaspersky, no Panorama de Ameaças para a América Latina 2024, o Brasil ocupa a segunda posição no ranking mundial de ataques cibernéticos, com mais de 700 milhões de tentativas de invasão registradas em um período de 12 meses, concentrando 63% das detecções de malware (software malicioso, é um termo genérico para qualquer programa ou código desenvolvido para danificar, infectar, roubar dados ou obter acesso não autorizado a sistemas, redes e dispositivos como desktops, celulares, tablets e etc.) na América Latina. Não estamos falando de um risco distante, estamos falando de uma realidade cotidiana.
Além da frequência dos ataques, o impacto financeiro também cresce. Dados recentes indicam que o custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões, enquanto em 2024 o valor era de R$ 6,75 milhões, um aumento de 6,5%. Setores como Saúde, Finanças e Serviços lideram a lista dos mais impactados, com custos médios de R$ 11,43 milhões, R$ 8,92 milhões e R$ 8,51 milhões, respectivamente. Esses números mostram que o impacto vai muito além da tecnologia, trata-se da privacidade dos dados, sustentabilidade financeira, reputação e continuidade operacional da empresa.
No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabeleceu um marco regulatório fundamental para o tratamento de dados pessoais, especialmente os considerados sensíveis, como os de saúde. A legislação elevou o nível de responsabilidade das organizações e mudou a forma como as empresas estruturam seus processos internos. Ainda assim, estar em conformidade com a lei é apenas o ponto de partida.
É nesse contexto que a ISO/IEC 27001:2022 ganha relevância estratégica. Não se trata apenas de tecnologia, mas de mudança e implementação de cultura organizacional e processos consolidados. Mesmo com sua importância, dados da própria International Organization for Standardization indicam que menos de 400 empresas no Brasil possuem essa certificação, o que mostra o quanto ainda há espaço para amadurecimento no mercado.
Complementando essa lacuna a ISO/IEC 27701:2025 amplia o olhar para a gestão da privacidade de dados pessoais, alinhando práticas internas a legislações como a LGPD. Ela reforça papéis, responsabilidades, transparência e governança no tratamento das informações. Em um ambiente em que dados de saúde circulam entre operadoras, consultorias, RHs e plataformas digitais, essa camada adicional de proteção deixa de ser opcional.
A verdade é que empresas que atuam com saúde corporativa já não negociam apenas tecnologia ou modelos analíticos. Um modelo robusto de Governança de dados, como obtenção de certificações globais, cumprimento regulatório e relatórios de auditorias externas como a SOC2 Tipo2, passaram a ser parte central da proposta de valor. Certificações reconhecidas internacionalmente funcionam como evidência concreta de maturidade. São a demonstração de que a organização passou por auditorias independentes e adotou padrões globais de proteção.
Colaboradores e gestores também mudaram. Eles não querem apenas programas de bem-estar mais sofisticados, querem a garantia de que suas informações são tratadas com respeito, ética e responsabilidade. Quando uma empresa controla dados de saúde seja para mapear riscos ou medir resultados, ela precisa assegurar que não há acessos indevidos, que o uso é legítimo e transparente e que existem processos auditáveis por trás de cada decisão.
A cibersegurança deixou de ser um tema restrito apenas para a área de TI. Hoje, é um elemento central da estratégia corporativa e da reputação institucional. No fim das contas, proteger dados de saúde não é apenas proteger informação, é proteger pessoas, relações e a credibilidade das organizações que se propõem a cuidar deles.
Siga oIT Forum no LinkedIn e fique por dentro de todas as notícias!
