Como a Criptografia Totalmente Homomórfica permite à operadora cruzar dados com hospitais, farmácias e prestadores — sem nunca decifrar o paciente — e finalmente fazer value-based care funcionar.
Se você só vai ler uma coisa deste eBook, leia isto.
A operadora de saúde está no centro do problema mais antigo e mais difícil da indústria: como remunerar prestador por valor, e não por procedimento, sem comprometer a privacidade do beneficiário. Toda a discussão de value-based care, todo o arsenal de gestão de sinistros, toda a sofisticação atuarial da última década esbarra no mesmo obstáculo: para tomar decisões boas, a operadora precisa cruzar dados que vivem em silos diferentes (hospital, farmácia, lab, clínica) e que nenhuma das partes pode entregar nominalmente sem violar regulação ou criar disputa contratual.
O resultado é uma indústria que opera, simultaneamente, sob excesso e escassez de dado. Excesso, porque cada operadora acumula em seus sistemas anos de claims, autorizações, relatórios, custos. Escassez, porque a maior parte desse dado é estruturalmente inutilizável fora do silo onde foi gerado — para cruzamento real, é preciso incluir hospital e farmácia, e cada cruzamento exige meses de DUA, parecer jurídico e desconfiança contratual.
Pagar por desfecho exige saber o desfecho. Saber o desfecho exige cruzar com hospital. Cruzar exige confiança que hoje não existe.
Estimativa setorial: 6-10% das despesas médicas é fraude ou desperdício. Combate exige cooperação entre operadoras — hoje impossível.
Modelos de risco dependem de dado clínico real. Hoje atuários trabalham com proxies pobres porque não podem ver dado individual.
Casos de uso já em produção em payors europeus. Tecnologia é viável dentro do orçamento de TI de qualquer operadora top 20.
FHE — Criptografia Totalmente Homomórfica — destrava todos esses casos. Permite à operadora cruzar com hospital sem que nenhum lado veja o paciente individual. Permite consórcios anti-fraude entre operadoras concorrentes. Permite que atuários trabalhem com dado clínico real cifrado. Permite contratos de value-based care que funcionam de verdade.
A próxima década do mercado de saúde suplementar será definida por quais operadoras conseguirem operar sobre dado cruzado sem violar a privacidade de quem confia nelas com a parte mais íntima da vida.
A operadora moderna acumula um dos maiores ativos de dado clínico do país — e quase tudo desse ativo está paralisado pelas regras que ela mesma respeita.
Toda operadora de saúde brasileira que opera em escala nacional tem, em seus sistemas, anos de histórico de cada beneficiário. Procedimentos autorizados, internações, cirurgias, exames, consultas, medicamentos de alto custo, complicações, óbitos. Esse acervo, em volume e granularidade, é mais rico do que qualquer base equivalente em pesquisa pública. É também o ativo central para qualquer projeto sério de gestão de risco, atuária preditiva, ou value-based care.
E é, na maioria das operadoras, parcialmente paralisado. A regulação proíbe (com razão) usos secundários sem base legal robusta. O jurídico interno opera sob lógica de minimização absoluta. Cada projeto novo de uso de dado precisa passar por meses de revisão. Cada cruzamento com hospital ou farmácia exige DUA negociado bilateralmente. O resultado é uma indústria que tem os melhores dados clínicos do país e os usa apenas marginalmente.
| Ativo | O que é | Por que é único |
|---|---|---|
| Histórico longitudinal de beneficiário | Anos de uso de saúde com contexto financeiro | Nenhum hospital tem essa visão temporal completa |
| Cadeia de cuidado | Sequência de prestadores e procedimentos por episódio | Permite ver "jornada" do paciente |
| Custos reais | Preço efetivamente pago por cada serviço | Único ator com visão total de custo |
| Comportamento prescritivo | Quem prescreve o quê, com qual padrão | Material para benchmark de qualidade |
| Eventos adversos por região | Concentração de complicações por área | Sinal precoce que outros não têm |
| Fraude e desperdício | Padrões anômalos de uso | Difícil de combater sozinho |
A operadora sempre foi intermediária financeira entre beneficiário e prestador. O que mudou nos últimos dez anos é que essa intermediação virou também uma operação de dado em escala industrial. Cada autorização gera um evento. Cada conta médica gera dezenas. Cada exame gera resultado. Em alguns segmentos (oncologia, terapias avançadas, doenças raras), o volume de dado por beneficiário rivaliza com o de um hospital.
Operadoras começaram a investir em IA para autorização, em modelos atuariais avançados, em telemedicina própria, em programas de gestão de doenças crônicas. Cada uma dessas operações aumenta o valor potencial do dado e simultaneamente aumenta a exposição regulatória.
A pergunta para o conselho da operadora não é se a arquitetura atual é sustentável. É quanto tempo falta até a primeira investigação pública mudar o setor.
Operadora vive sob três camadas regulatórias simultaneamente: ANS (regulador setorial), ANPD (regulador de dado) e CNS (regulador de pesquisa clínica quando aplicável). As três estão apertando.
A ilusão confortável que parte da diretoria de operadora sustenta é que a regulação que importa é a da ANS, e que LGPD é assunto de DPO. Isso era verdade em 2020. Não é mais. A interseção entre ANS, ANPD e regulação clínica está virando o terreno mais complexo de toda a operação.
Dado de saúde é categoria especial. Operadora é, do ponto de vista da LGPD, controlador. Cada cruzamento com hospital, farmácia ou prestador precisa de base legal específica. As exceções para "tutela da saúde" são interpretadas estreitamente. Em 2025 a ANPD começou investigações formais contra operadoras sobre uso de dado para telemedicina e gestão preditiva.
A ANS quer transparência, qualidade, controle de fraude, value-based care, redução de glosa. Tudo isto exige mais uso de dado, mais cruzamento. A LGPD quer minimização. As duas regulações puxam em direções opostas. Operadoras vivem essa tensão sem ferramenta técnica para resolvê-la — até agora.
Operadoras com operação americana (United, Cigna, Aetna) vivem sob HIPAA. Defesa tradicional: Safe Harbor de-identification. Já invalidada por re-identificação. HHS abriu múltiplas investigações.
EHDS — European Health Data Space — vai exigir capacidade técnica de privacy-preserving analytics. Define padrão técnico que reguladores mundo inteiro vão adotar nos próximos cinco anos.
Não basta política. É preciso prova técnica de que dado individual não pôde ter sido visto.
FHE deixa de ser curiosidade técnica e vira ferramenta de defesa estrutural. Operadora que processa dado sob FHE pode demonstrar à ANS, à ANPD, ao beneficiário e ao parceiro hospital que dado individual nunca foi acessível.
| Risco | Probabilidade 5 anos | Impacto |
|---|---|---|
| Multa LGPD por cruzamento sem base legal | Alta | 2% do faturamento ou R$ 50M+ |
| Investigação ANPD por falha em vendor | Média-alta | Reputação + remediação cara |
| Class action por exposição de prontuário | Média | Centenas de milhões |
| Obrigação ANS de transparência impossível sem FHE | Média | Custo de implementação de emergência |
| Crise reputacional pós-breach | Baixa-média | Perda de carteira premium |
Sem matemática. O que a diretoria precisa entender.
Cofre transparente. Você vê que há algo dentro, não vê o que é. Manipula o conteúdo de fora — soma, multiplica, compara, computa modelos atuariais inteiros — sem nunca abrir. Devolve fechado. Apenas o dono da chave abre. Isto é FHE.
Toda criptografia atual protege dado em trânsito (TLS) e em repouso (AES). O terceiro estado — dado em uso, durante processamento — sempre exigiu plaintext. É nesse instante que vendor de IA precisa ver os dados de beneficiários. É onde o sistema atuarial roda sobre milhões de claims em claro. É onde o cruzamento com hospital expõe ambos os lados. FHE elimina o terceiro estado.
| Tecnologia | Promete | Falha |
|---|---|---|
| Anonimização | "Removemos identificadores" | Re-identificação trivial via cruzamento |
| TEE | "O chip isola" | Confia no fabricante; ataques laterais |
| Federated Learning | "Dado fica local" | Gradientes vazam dado individual |
| Differential Privacy | "Adicionamos ruído" | Ruim para decisão sobre beneficiário individual |
| FHE | "Servidor nunca vê em claro" | Custo computacional alto — mas decrescente |
Para uma operadora top 20 com receita acima de R$ 5B, o investimento total em FHE fica abaixo de 0,3% do orçamento de TI. É menos do que muitas operadoras gastam em uma única migração de sistema de autorização. E o caso típico fecha apenas com um único contrato bem-sucedido de value-based care.
VBC, fraude, atuária, cruzamento, autorização, telemedicina.
VBC é a obsessão da década, e o motivo central pelo qual ela quase nunca funciona é simples: contrato baseado em desfecho exige acompanhar o beneficiário ao longo do tempo, em múltiplos prestadores, com transparência mútua. Operadora precisa saber o desfecho clínico para pagar; hospital precisa garantir que a operadora não vai usar os dados para glosa indireta; beneficiário precisa ter privacidade respeitada. As três exigências, na arquitetura tradicional, são incompatíveis.
Sob FHE: operadora cifra a base de claims, hospital cifra a base de desfecho clínico, ambos contribuem para um servidor neutro que computa o cruzamento e devolve apenas a métrica de desfecho agregada (taxa de complicação, readmissão, sobrevida). Pagamento é executado sobre a métrica. Nenhum lado precisa ver o dado individual do outro.
Fraude e desperdício custam ao setor entre 6% e 10% das despesas médicas — bilhões anualmente. O combate eficaz exige cooperação entre operadoras concorrentes: detectar prestadores que faturam o mesmo procedimento em múltiplas operadoras, beneficiários com padrão de uso anômalo, médicos com taxa de prescrição fora do padrão. Hoje essa cooperação é estruturalmente impossível — operadoras concorrentes não compartilham por motivo competitivo e legal.
Sob FHE com Private Set Intersection (PSI): operadoras cifram listas de prestadores, beneficiários ou padrões, descobrem apenas a interseção. Sem revelar bases. Isto destrava bilhões em economia setorial que hoje literalmente não existe.
Atuários hoje trabalham principalmente com dado financeiro e proxies de saúde (demografia, plano contratado, histórico de uso). Não trabalham com prontuário porque é juridicamente proibido. Sob FHE, modelos atuariais podem rodar sobre dados clínicos cifrados — incluindo dados que vêm do prontuário do hospital. Precificação de risco fica drasticamente mais precisa, e a operadora deixa de subsidiar carteiras ruins com carteiras boas.
Operadora quer saber se beneficiário crônico está aderindo ao tratamento. Farmácia sabe. Cruzar nominalmente é juridicamente complexo. Sob FHE: ambos cifram, o sistema de gestão de adesão roda sobre o cruzamento cifrado, devolve alertas de não-adesão sem que nenhum lado veja o beneficiário individual. Operadora intervém (ligação, lembrete, oferta de teleconsulta). Resultado: internações evitadas e custo reduzido.
Autorização de procedimento de alto custo é o ponto de maior atrito da operação. Modelos preditivos podem ajudar a decidir, mas exigem dado individual em claro. Sob FHE, o modelo de autorização roda sobre dados cifrados do beneficiário, e a decisão é gerada sem que o sistema central veja a história clínica individual. Auditoria fica mais robusta porque o processo é matematicamente verificável.
Operadoras estão investindo em telemedicina interna como diferencial competitivo e mecanismo de custo. Toda essa operação envolve dado clínico do beneficiário trafegando em sistemas próprios. Sob FHE, o histórico do beneficiário fica cifrado, e o profissional vê apenas o necessário para a consulta — sem persistência em sistemas centrais.
Operadora tem dado de uso real de medicamento que pharma daria muito para ter. Hoje, esse mercado é parcial e juridicamente frágil. Sob FHE, operadora pode oferecer "consulta cifrada" como produto: pharma envia query, operadora computa sobre base cifrada, devolve estatística agregada. Mercado novo de receita recorrente.
Operadora quer comparar qualidade entre hospitais credenciados — taxa de reinternação, complicação, mortalidade ajustada. Hospitais resistem porque temem ranking público. Sob FHE: hospitais cifram, agregador computa percentis, cada hospital vê sua posição relativa sem ver os números absolutos dos outros. Operadora ganha visão de qualidade real para decisões de credenciamento.
| Componente | Investimento |
|---|---|
| Time fundador (cripto + ML + atuária + jurídico) | R$ 5M – 8M / ano |
| Licenças | R$ 300k – 1M / ano |
| Infra computacional | R$ 2M – 4M inicial |
| Consultoria estratégica | R$ 1M – 2.5M |
| Estudo regulatório | R$ 500k – 1.5M |
| Integração com sistemas de autorização, claims, atuária | R$ 2M – 5M |
| Total ano 1 | R$ 11M – 20M |
| Item | Estimativa |
|---|---|
| Compute | R$ 2.5M – 6M |
| Time de manutenção | R$ 4M – 7M |
| Auditoria | R$ 600k – 1.5M |
| Opex anual estabilizado | R$ 7.1M – 14.5M |
6-10% das despesas médicas é fraude/desperdício. Para operadora com R$ 5B em sinistralidade, isto é R$ 300-500M de exposição anual. Captura via PSI inter-operadoras: R$ 50-150M anuais.
Contratos VBC bem implementados reduzem custo total em 8-15%. Para operadora top 20: R$ 100-400M anuais em cinco anos.
Modelos atuariais sobre dado clínico real reduzem subsídio cruzado entre carteiras. Estimativa: R$ 30-100M anuais.
Internação evitada por melhor adesão: cada paciente crônico em adesão vale R$ 500-2000/ano. R$ 50-150M anuais.
Receita nova recorrente: R$ 30-100M anuais.
Hedge: R$ 20-80M de valor segurador.
Para qualquer operadora top 20, FHE é o investimento de transformação digital com maior assimetria de retorno disponível em 2026.
A indústria de saúde suplementar é dominada por consolidação e busca incessante de redução de sinistralidade. Vence quem opera mais barato. FHE não muda essa lógica fundamental — mas permite reduzir sinistralidade de uma forma que os competidores não conseguem replicar.
Foco em contratos baseados em desfecho que de fato funcionam. Posicionamento como "a operadora que paga prestador por valor entregue, comprovado, sem expor beneficiário". Funciona melhor para operadoras com forte presença em corporativo.
Foco em comunicação direta com beneficiário premium. Programa público sobre proteção de dado. Posicionamento como "a operadora que você confia". Funciona para operadoras de carteira média-alta e premium.
Foco em construir consórcio anti-fraude com outras operadoras. Captura papel de articulador, ganha visibilidade na ANS, transforma narrativa setorial. Funciona para operadoras top 5 com músculo político.
O cenário a explicitar: o que acontece se nenhuma das grandes operadoras adotar FHE estruturalmente nos próximos 36 meses? Resposta: healthtechs vão capturar o espaço. Plataformas de gestão de risco baseadas em FHE vão emergir, oferecendo serviço a operadoras menores e drenando margem das grandes. Em cinco anos, a posição estará tomada.
Contratar cripto-engenheiro fundador ou parceria com consultoria. Identificar três casos de uso (recomendação: VBC piloto, fraude colaborativa, adesão crônicos). Alinhar com jurídico e DPO.
Construir um caso de uso ponta a ponta. Recomendação: VBC piloto com um único hospital parceiro de confiança. Validar latência, integração com TASY/MV, governança de chave.
Lançar primeiro contrato VBC ou cruzamento com prestador usando FHE. Marketing dirigido a HR de cliente corporativo. Pricing premium versus produto tradicional.
Múltiplos contratos sob FHE. Possível primeiro consórcio anti-fraude com outras operadoras. Comunicação pública estruturada.
Alta probabilidade. Mitigação: parceria com consultoria especializada.
Hospitais resistem a colaborar com operadora mesmo sob FHE — desconfiança histórica. Mitigação: começar com hospital onde já há relação de confiança e contrato VBC em curso.
Operadora típica opera dezenas de sistemas. Mitigação: integrar apenas o necessário para o primeiro caso.
Operadoras concorrentes podem resistir mesmo sob FHE. Mitigação: começar com operadoras menores onde o ganho é maior. Bigger players seguem depois.
Pouco provável, mas possível. Mitigação: engajar ANS desde o início.
FHE deve reportar a Chief Medical Officer ou Chief Risk Officer, não CIO.
VBC com múltiplos hospitais simultaneamente é politicamente complexo demais para começar. Começar com um hospital, validar, expandir.
FHE reduz fricção técnica, não fricção humana. Relação com hospital precisa ser cultivada em paralelo.
Para os CEOs, Conselheiros e Chief Medical Officers das operadoras que ainda podem escolher liderar.
A operadora que vocês lideram foi construída sobre uma promessa antiga: a de que é possível organizar o cuidado de saúde de uma forma que combine acesso, qualidade e sustentabilidade financeira. Que o intermediário entre paciente e prestador, quando bem operado, melhora a experiência de todos. Que o beneficiário que confia sua saúde a uma operadora está fazendo um pacto razoável: eu pago, você gerencia, e se eu ficar doente, você cuida.
Essa promessa atravessou décadas. Sobreviveu à crise de credibilidade dos anos 90, à regulação da ANS, à consolidação dos anos 2000, à pressão regulatória dos últimos dez anos. Sobreviveu porque era — e em grande parte ainda é — verdadeira. Os beneficiários que escolhem uma operadora premium em vez de outra fazem isso, no fundo, por confiança institucional na promessa de cuidado.
Mas nos últimos quinze anos, sem que ninguém tenha decretado, a relação entre operadora e beneficiário mudou de natureza. O beneficiário deixou de ser quem assina o contrato e usa quando precisa. Tornou-se uma fonte contínua de dado clínico, comportamental, financeiro. Cada uso de saúde gera registros. Cada autorização gera análise. Cada hospital credenciado adiciona uma camada de cruzamento que ninguém individualmente consegue auditar.
É possível voltar atrás sem perder os benefícios. FHE permite continuar fazendo VBC, atuária preditiva, gestão de adesão, combate à fraude — sem nunca decifrar o beneficiário individual. É possível continuar fazendo tudo o que a operadora moderna precisa fazer. É possível fazê-lo enquanto a instituição mantém, com prova matemática, que cada beneficiário foi respeitado.
O que está em jogo não é uma feature técnica. É a possibilidade de a operadora voltar a ser, sem ambiguidade, o que ela sempre disse ser: uma instituição que cuida de pessoas em momento de vulnerabilidade, com competência financeira e respeito clínico.
Em três anos, alguma operadora vai liderar. A pergunta é se será a sua, ou aquela para quem você terá que olhar como referência.
Há uma janela. É curta. É real. Quem ler este eBook tem em mãos um mapa. O resto é coragem.
Criptografia que permite computar sobre dados cifrados sem decifrá-los.
Permite duas operadoras descobrirem prestadores ou beneficiários em comum sem revelar bases. Caso central para fraude colaborativa.
Modelo de remuneração por desfecho clínico em vez de procedimento.
Evidência clínica derivada de dado de uso real.
Categoria especial — saúde.
Os três reguladores convergentes que a operadora precisa atender.
Distribuição de chave entre múltiplas partes com quórum.
Principais bibliotecas FHE.
| Vendor | Foco |
|---|---|
| Tune Insight | Lattigo, foco em saúde multi-instituição |
| Owkin | FL+FHE para pesquisa clínica |
| Inpher | FHE+MPC para finanças e saúde — historicamente forte em payors |
| Duality | OpenFHE |
| Zama | Concrete |
| Stickybit | Boutique técnica brasileira |
O Sinistro que se Calcula
eBook estratégico para a alta gestão de operadoras de saúde.
Volume I · Edição 2026 · Distribuição confidencial.
Composto em Iowan Old Style e SF Pro.
— fim —