Pular para o conteúdo
JusFeed
Digital / LGPDANÁLISE

Caso Fiocruz e o risco da dependência das big tech na saúde

Corte de armazenamento pela Microsoft afetou Fiocruz; análise examina implicações para soberania digital, proteção de dados de saúde e deveres legais de entes públicos.

JOTA5 min de leitura
Caso Fiocruz e o risco da dependência das big tech na saúde
Foto: Tyler / Unsplash

Em síntese: a redução unilateral de capacidade de armazenamento promovida por fornecedor estrangeiro atingiu sistemas e rotinas da Fundação Oswaldo Cruz, obrigando a área de tecnologia a comunicar usuários e reduzir volumes mantidos na nuvem. A decisão privada expôs um ponto de fragilidade operacional e jurídico: entes públicos de saúde podem ficar sem alternativas imediatas quando infraestrutura crítica depende de políticas e limites impostos por provedores globais.

Contexto

Nos últimos anos, serviços de computação em nuvem tornaram-se onipresentes no setor público e privado por permitir compartilhamento, continuidade e colaboração remota. Ferramentas como OneDrive, SharePoint, Google Drive e similares substituíram dispositivos físicos de armazenamento, reduzindo riscos de perda por avarias ou extravio. Entretanto, esses serviços são oferecidos por grandes empresas privadas sediadas em poucas jurisdições, e frequentemente impõem limites contratuais, planos pagos, termos de uso e políticas operacionais aplicáveis globalmente.

No caso analisado, uma alteração de política pela provedora resultou em corte substancial da capacidade disponível para a instituição de saúde, com expressivo impacto nas rotinas administrativas e científicas. A situação destaca duas tensões estruturais: a dependência de tecnologia estrangeira em atividades essenciais de Estado e o desafio de proteger dados sensíveis, especialmente os relativos à saúde, quando seu tratamento passa por provedores privados fora do controle direto da administração pública.

A controvérsia interessa a operadores do direito porque cruza proteção de dados pessoais sensíveis, deveres de entidades públicas, segurança da informação, contratação pública de soluções em nuvem e questões de soberania tecnológica — temas que já motivaram debates sobre localidade de dados, cláusulas contratuais e estratégias de resiliência.

O que foi decidido

Não se trata de decisão jurisdicional, mas de um acontecimento prático com implicações regulatórias e contratuais. A Fundação notificou internamente os usuários acerca da redução de espaço e orientou sobre armazenamento consciente como medida mitigatória. Do ponto de vista jurídico-constitucional e administrativo, o episódio demonstra que decisões empresariais privadas podem provocar efeitos concretos sobre prestação de serviços públicos e sobre a proteção de dados sensíveis de pacientes e pesquisas.

Os fundamentos centrais para interpretar o acontecido — e desenhar respostas — repousam na obrigação estatal de garantir a continuidade de serviços públicos essenciais, na tutela reforçada que a legislação de proteção de dados confere às informações de saúde e na necessidade de prévia análise de riscos e cláusulas contratuais em contratações de serviços de tecnologia.

Base normativa e precedentes

  • Art. 219, CF/88 — inclui, entre objetivos do Estado, a promoção da autonomia tecnológica como fator de desenvolvimento e bem-estar social; útil para fundamentar políticas públicas de soberania digital.
  • Lei 13.709/2018 (LGPD) — define dados pessoais sensíveis (art. 5º) e impõe requisitos e responsabilidades para tratamento, incluindo medidas de segurança e regras para transferência internacional (arts. 7º, 8º, 9º e 33º-36º aplicáveis à transferência internacional).
  • Regulamento (UE) 2016/679 (GDPR) — relevante no plano comparado e para contratos com provedores europeus/internacionais que adotem padrões de proteção compatíveis.
  • Princípios de administração pública (art. 37, CF/88) — legalidade, eficiência e continuidade do serviço público, que importam na escolha e gestão de fornecedores tecnológicos.
  • Jurisprudência sobre responsabilização por falhas em serviços essenciais — a jurisprudência consolidada de tribunais administrativos e judiciais tem reconhecido deveres de continuidade e possibilidade de responsabilização por prejuízos, quando a contratada não assegura disponibilidade prevista em contrato.

Impacto prático

  • Para órgãos públicos e fundações de pesquisa: necessidade imediata de avaliar contratos de cloud para identificar SLAs (Service Level Agreements), cláusulas de continuidade, planos de contingência e direitos de migração de dados; reavaliar políticas de retenção de dados e backup local.
  • Para controladores e operadores de dados (custodiante de dados de saúde): obrigação de demonstrar conformidade com a LGPD quanto a medidas técnicas e administrativas de segurança, além de justificar transferências internacionais e assegurar bases legais para o tratamento de dados sensíveis.
  • Para advogados e equipes de compliance: demanda por revisão de contratos com fornecedores estrangeiros, inclusão de cláusulas sobre localização de dados, auditoria, cooperação com autoridade nacional e direito de portabilidade/migração em caso de alteração unilateral de políticas.
  • Para pesquisadores e unidades de saúde: risco operacional em atividades de pesquisa e atenção à saúde que dependam de arquivos e repositórios na nuvem; necessidade de planejamento para minimizar interrupções que afetem estudos clínicos e serviços essenciais.

O que observar

  • Regulador e fiscalização: a ANPD (Autoridade Nacional de Proteção de Dados), prevista na LGPD, será central para orientação e eventualmente para fiscalizar práticas de transferência internacional e medidas de segurança adotadas por controladores públicos que utilizem serviços de nuvem.
  • Contratação pública e governança: há espaço para políticas setoriais que obriguem análise de risco prévia, cláusulas padrão sobre soberania de dados e exigência de localidade física em território nacional quando compatível com a sensibilidade das informações.
  • Medidas técnicas e organizacionais: além do contrato, é imprescindível plano de continuidade, backups segregados, criptografia de dados em repouso e em trânsito, e mecanismos de segregação entre dados públicos sensíveis e demais arquivos.
  • Litígios e responsabilização: poderão surgir demandas por eventuais prejuízos decorrentes de indisponibilidade; é preciso mapear obrigações contratuais, prever mediação e arbitragens e considerar a atuação de tribunais administrativos de contas se houver impacto orçamentário ou gestão irregular.
  • Estratégia de longo prazo: o episódio reforça argumentos em favor de investimento em autonomia tecnológica — desenvolvimento de soluções nacionais, governança federada de dados de saúde e políticas públicas que equilibrem eficiência da nuvem com soberania e proteção dos direitos fundamentais.

Em conclusão, o caso em análise funciona como um alerta prático: a adoção ampla de serviços de nuvem por instituições de saúde públicas exige disciplina jurídica, técnica e contratual para mitigação de riscos à continuidade dos serviços e à proteção de dados sensíveis. A resposta exige coordenação entre áreas de tecnologia, jurídica e governança, além de ação regulatória e políticas públicas voltadas à redução da dependência tecnológica externa.

Comentários (0)

Seja o primeiro a comentar essa matéria.

Relacionadas em Digital / LGPD

Ver tudo
Câmeras com IA registram 1.000 infrações na Raposo Tavares em 72h
Digital / LGPDANÁLISE

Câmeras com IA registram 1.000 infrações na Raposo Tavares em 72h

Duas câmeras com inteligência artificial registraram ~1.000 infrações em 72 horas na Raposo Tavares (SP); questão central é conciliar fiscalização automática com proteção de dados e regras de trânsito.

Folha — Cotidianohá 2h