O Instituto Ética Saúde (IES) se manifesta diante dos fatos apurados no âmbito da Operação Glycon, que investiga suposto acesso, tratamento e a possível comercialização indevida de dados pessoais sensíveis de saúde de pacientes do Sistema Único de Saúde (SUS) por meio de ferramentas digitais voltadas a profissionais da área da saúde. Trata-se de um caso que merece acompanhamento atento sob a ótica da ética, da governança e da proteção do paciente, independentemente de sua tipificação penal final.
De acordo com as informações divulgadas pelas autoridades, as apurações tiveram início a partir de notificação formal do Ministério da Saúde, por intermédio do DATASUS, acerca de um incidente de segurança cibernética envolvendo uma solução tecnológica baseada em inteligência artificial. As investigações indicam que o sistema permitia o acesso não autorizado a informações clínicas sigilosas, mediante consultas por dados identificadores, em desacordo com os princípios que regem o sigilo médico, a proteção de dados pessoais e a própria confiança institucional do SUS.
Sob a perspectiva ética, o caso evidencia que a proteção de dados de saúde não é apenas uma exigência legal, mas um pilar fundamental da relação entre o cidadão e o sistema público de saúde. Informações clínicas são extensões diretas da dignidade do paciente, e qualquer uso indevido, ainda que não resulte, de imediato, em dano assistencial mensurável, representa uma violação grave da confiança, com potencial de gerar impactos sociais, institucionais e individuais de longo alcance.
Destacamos que práticas antiéticas no setor da saúde não se restringem exclusivamente a esquemas clássicos de corrupção financeira, abrangendo também a exploração indevida de dados sensíveis, a monetização de informações protegidas por sigilo e a fragilização de ambientes digitais críticos, especialmente quando envolvem bases de dados do Sistema Único de Saúde (SUS). Nesse contexto, a decisão judicial que determinou a suspensão imediata de domínios e interfaces tecnológicas associadas à empresa investigada evidencia a relevância do risco identificado e a necessidade de interromper preventivamente a continuidade da exposição de dados enquanto as apurações seguem em curso.
Ao mesmo tempo, a ausência de informações consolidadas sobre o número de pacientes afetados ou o período exato de vulnerabilidade reforça a importância de uma análise técnica, prudente e isenta de narrativas especulativas, ao passo que o episódio evidencia a urgência de fortalecer mecanismos de governança digital, segurança da informação, avaliação de riscos tecnológicos e fiscalização de soluções baseadas em inteligência artificial, garantindo que a incorporação de inovação ao sistema público de saúde ocorra de forma indissociável de critérios rigorosos de proteção de dados, transparência, rastreabilidade de acessos e responsabilização proporcional em caso de falhas.
O Instituto Ética Saúde reafirma seu compromisso com a promoção da ética, da integridade e da governança responsável no uso de tecnologias em saúde, entendendo que a confiança no SUS depende não apenas da qualidade da assistência prestada, mas também da segurança, do respeito e da proteção das informações dos cidadãos. Casos como o analisado na Operação Glycon reforçam a necessidade de vigilância institucional contínua, cooperação entre órgãos de controle e amadurecimento das práticas de integridade digital no setor.
De forma complementar, os desdobramentos da “Operação Glycon” poderão ser acompanhados no Radar da Ética, iniciativa conduzida pelo IES que monitora e analisa casos de grande impacto para a integridade do setor.
Síntese das Informações Apuradas
A Operação Glycon foi deflagrada em 4 de fevereiro de 2026 pela Polícia Federal, com o cumprimento de quatro mandados de busca e apreensão nas cidades de São Paulo, Vinhedo e Valinhos (SP). A investigação apura a atuação de uma empresa de tecnologia suspeita de permitir o acesso e a comercialização indevida de dados clínicos sensíveis de pacientes do SUS, por meio de uma ferramenta baseada em inteligência artificial destinada a profissionais de saúde.
A apuração teve início após comunicação do Ministério da Saúde, via DATASUS, sobre um incidente de segurança cibernética. Durante as diligências, a Justiça Federal determinou a suspensão imediata de domínios e APIs vinculados à empresa, com o objetivo de cessar a exposição dos dados. Os investigados poderão responder, em tese, pelos crimes de invasão de dispositivo informático e receptação qualificada de dados, cujas penas somadas podem chegar a 13 anos de reclusão, sem prejuízo de outros ilícitos que venham a ser identificados no curso das investigações.
Filipe Venturini Signorelli
Diretor-executivo do Instituto Ética Saúde
Julio Zanelli
Assessor de Ética e Integridade / Compliance Officer do Instituto Ética Saúde