O Ministério da Saúde foi sancionado pela Autoridade Nacional de Proteção de Dados após um incidente de segurança expor dados pessoais, incluindo dados de saúde, de milhões de brasileiros por meio de uma API sem autenticação. A vulnerabilidade existia, não havia mecanismos para detectar acessos indevidos, e a comunicação às autoridades e aos titulares chegou com atraso significativo.
A instituição recebeu duas advertências formais e um prazo de 100 dias para apresentar evidências das correções implementadas. O episódio é emblemático porque ilustra com precisão o tipo de falha que qualquer hospital, clínica ou operadora de saúde pode cometer, e que a ANPD passou a fiscalizar com crescente rigor.
A pergunta que gestores de saúde precisam fazer não é se a LGPD se aplica ao prontuário eletrônico. É: o que, exatamente, ela exige, e o que sua instituição ainda não implementou.
A LGPD (Lei Geral de Proteção de Dados) distingue dados pessoais comuns de dados pessoais sensíveis. Dados de saúde estão nessa segunda categoria, junto com informações sobre origem racial, convicções religiosas, opinião política, filiação sindical, vida sexual e dados genéticos ou biométricos. Essa distinção não é apenas conceitual, ela tem consequências práticas diretas sobre como esses dados podem ser coletados, tratados, compartilhados e eliminados.
No contexto do prontuário eletrônico, isso significa que todas as informações que compõem o histórico clínico do paciente, diagnósticos, prescrições, laudos, resultados de exames, evoluções médicas, anotações de enfermagem, registros cirúrgicos, são dados sensíveis sujeitos à proteção reforçada da lei. Um simples campo de alergias numa ficha de atendimento já é dado de saúde. Um campo de religião para fins pastorais no hospital é dado sensível de outra natureza. Cada um com suas regras de tratamento.
Um ponto que gera confusão nas instituições de saúde é a base legal para o tratamento desses dados. Diferentemente de outros contextos em que o consentimento é a principal justificativa, na saúde a LGPD prevê uma base legal específica: o tratamento de dados para tutela da saúde, realizado exclusivamente por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Isso significa que médicos, enfermeiros e o hospital em si têm legitimidade para tratar dados clínicos sem depender de consentimento explícito a cada etapa, mas apenas para fins terapêuticos e assistenciais. Qualquer uso além disso, como compartilhar dados com parceiros comerciais, seguradoras ou indústria farmacêutica, exige base legal distinta e, frequentemente, consentimento do paciente.
Ter um sistema de prontuário eletrônico é apenas o começo. A conformidade com a LGPD exige uma arquitetura de governança de dados que vai muito além do software. O primeiro pilar é o controle de acesso granular: apenas profissionais com necessidade clínica ou administrativa comprovada devem acessar os dados de um determinado paciente.
Um médico de cardiologia não precisa, e não deveria conseguir, visualizar prontuários de pacientes que nunca atendeu. O profissional do faturamento precisa de dados para emitir cobrança, mas não de detalhes do histórico clínico completo. Sistemas que não implementam permissões por perfil de acesso violam o princípio da necessidade previsto no artigo 6º da LGPD.
O segundo pilar é a rastreabilidade. Cada acesso, cada consulta, cada alteração e cada exportação de dados clínicos precisa ser registrada em logs auditáveis. Quem acessou, quando, a partir de qual dispositivo e o que foi feito com a informação. Essa trilha de auditoria serve tanto para fins internos de governança quanto para demonstrar conformidade à ANPD em caso de investigação. Instituições que não mantêm esses registros estão sistematicamente descumprindo o artigo 49 da LGPD, que exige medidas de segurança técnicas e administrativas adequadas ao risco do tratamento, e dados de saúde representam risco elevado por definição.
Já o terceiro pilar é a gestão do ciclo de vida dos dados. A LGPD estabelece que dados pessoais devem ser eliminados quando não houver mais finalidade ou base legal para sua manutenção.
Na saúde, porém, há uma sobreposição com a legislação setorial: o prontuário eletrônico deve ser mantido em guarda permanente quando arquivado em meio óptico ou digital, e por no mínimo 20 anos quando em papel não digitalizado. Isso cria uma tensão que precisa ser gerida: a instituição não pode simplesmente eliminar dados de saúde por pressão do paciente se houver obrigação legal de guarda. Mas precisa saber documentar essa justificativa formalmente, caso seja questionada.
O artigo 18 da LGPD garante ao titular uma série de direitos sobre seus próprios dados: confirmação de que são tratados, acesso ao seu conteúdo, correção de informações incorretas, portabilidade e informação sobre o compartilhamento realizado. No contexto clínico, isso significa que o paciente ou seu representante legal tem o direito de solicitar cópia de seu prontuário, e a instituição tem obrigação de atender essa solicitação de forma ágil, segura e documentada.
Processos que dependem de localização manual de prontuários físicos, ou que não têm fluxo definido para responder a essas solicitações, são vulnerabilidades de conformidade que podem gerar reclamações formais à ANPD.
O prontuário eletrônico bem implementado resolve essa exigência de forma natural: o histórico completo do paciente está indexado, acessível por pessoa autorizada, e pode ser exportado de forma controlada mediante solicitação formal. O problema é que a maioria dos sistemas não tem um fluxo estruturado para isso, o processo depende de iniciativa individual de algum colaborador, sem registro, sem prazo e sem auditoria. Isso não é conformidade. É informalidade disfarçada de rotina.
A Resolução CD/ANPD nº 15, publicada em abril de 2024, regulamentou com precisão o protocolo de comunicação de incidentes de segurança. Quando ocorre um evento que possa causar risco ou dano relevante aos titulares, vazamento, acesso indevido, perda ou indisponibilidade de dados, o controlador tem até três dias úteis para comunicar tanto à ANPD quanto aos próprios titulares afetados. Esse prazo é contado a partir do momento em que o incidente é confirmado, não a partir da suspeita inicial.
Para dados de saúde, o risco relevante quase sempre está presente: trata-se de dados sensíveis cujo vazamento pode causar discriminação, constrangimento, dano à reputação e prejuízo financeiro ao paciente. Isso significa que hospitais e clínicas precisam ter um plano de resposta a incidentes documentado e testado, com responsáveis definidos, fluxo de comunicação interno claro e capacidade técnica para identificar rapidamente o escopo do incidente, quantos registros foram afetados, quais tipos de dados, por qual meio.
As sanções aplicadas pela ANPD até agora mostram um padrão claro: o que mais pesa nas decisões é a ausência de medidas preventivas adequadas e o atraso ou a omissão na comunicação do incidente. No caso envolvendo dados de saúde de menores de idade, em que uma falha de configuração expôs dados de mais de três mil titulares, a ANPD aplicou quatro sanções diferentes, incluindo advertências por não manter registro de operações de tratamento, não elaborar relatório de impacto e não comunicar os titulares em prazo razoável. A magnitude da penalidade foi amplificada justamente pela gravidade dos dados envolvidos.
O compartilhamento de dados de saúde é uma das áreas de maior exposição legal para as instituições. O fluxo natural de um atendimento hospitalar envolve múltiplos agentes, laboratórios, clínicas de imagem, operadoras de saúde, outros hospitais na rede de referência, farmácias hospitalares, equipes multiprofissionais. Em cada um desses pontos de contato, há transferência de dados clínicos que precisa estar ancorada em base legal adequada.
O problema mais frequente não está nos compartilhamentos clínicos essenciais, esses têm base legal clara na tutela da saúde. O problema está nas bordas: dados enviados para fins de pesquisa sem anonimização adequada, informações compartilhadas com parceiros comerciais sem base legal definida, dados clínicos usados para personalização de comunicação de marketing sem consentimento. Qualquer uso de dados de saúde para finalidade além da assistência ao paciente precisa de base legal própria, documentada e rastreável.
Outro ponto crítico é a relação com fornecedores de tecnologia. A empresa que hospeda o prontuário eletrônico na nuvem, o prestador de suporte técnico que acessa os sistemas remotamente, a consultoria que faz análise de dados operacionais, todos são operadores de dados pessoais no vocabulário da LGPD.
A instituição de saúde, como controladora, é responsável por garantir que esses operadores adotem medidas de segurança compatíveis com o nível de sensibilidade dos dados que acessam. Contratos que não contemplam obrigações de proteção de dados e procedimentos em caso de incidente são uma lacuna de conformidade que muitas instituições ainda não fecharam.
O caminho para a conformidade real começa pelo mapeamento. É preciso saber quais dados de saúde a instituição coleta, onde são armazenados, quem os acessa, com quem são compartilhados, por quanto tempo são mantidos e com que finalidade. Esse inventário, chamado de Registro de Operações de Tratamento, exigido pelo artigo 37 da LGPD, é o ponto de partida de qualquer programa de privacidade robusto. Sem ele, não há como identificar vulnerabilidades, definir prioridades nem demonstrar conformidade à autoridade regulatória.
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no artigo 38 da LGPD, é outra ferramenta que as instituições de saúde deveriam adotar proativamente, e não apenas quando exigido pela ANPD em processo sancionador. O RIPD avalia os riscos de determinado tratamento de dados e as medidas de mitigação adotadas. Para um hospital que implementa um novo sistema de prontuário eletrônico, ou que integra dados clínicos a uma plataforma de telemedicina, o RIPD deveria ser parte do processo de implementação, não uma resposta a uma auditoria.
A gestão documental estruturada é parte indissociável dessa arquitetura de conformidade. Sistemas de gestão eletrônica de documentos aplicados ao prontuário permitem implementar controles de acesso por perfil, manter logs de auditoria completos, configurar alertas para documentos próximos do vencimento regulatório e produzir relatórios de conformidade automaticamente. Quando esses controles estão embutidos no sistema, e não dependem de processos manuais sujeitos a falha humana, a conformidade deixa de ser um esforço pontual e passa a ser parte da operação cotidiana.
A LGPD exige a designação de um encarregado de proteção de dados, figura equivalente ao Data Protection Officer (DPO) do direito europeu. Na saúde, esse profissional ou equipe tem um papel especialmente complexo: precisa entender tanto a legislação de proteção de dados quanto as regulações setoriais do CFM, Anvisa e conselhos profissionais, além de estar atento ao que a ANPD sinaliza em sua agenda regulatória.
Mais recentemente, a ANPD priorizou os direitos dos titulares de acesso, retificação e exclusão de dados, além de segurança da informação e requisitos mínimos para o tratamento de dados. Temas que tocam diretamente o cotidiano de qualquer instituição de saúde.
Ter o encarregado apenas formalmente designado não é suficiente. É preciso que essa figura tenha acesso real aos processos de tratamento de dados, capacidade de receber e responder demandas dos titulares, autonomia para recomendar correções e visibilidade junto à direção da instituição. Em hospitais de médio e grande porte, a função tende a ser exercida por equipe dedicada. Em clínicas menores, pode ser um profissional externo especializado, mas precisa ser alguém com conhecimento técnico real sobre o tema, não apenas um cargo no organograma.
Muitas instituições de saúde ainda tratam a gestão de documentos clínicos como uma função administrativa secundária, uma área de suporte que cuida de arquivos e digitalização. Essa visão subestima o papel estratégico que a gestão documental desempenha na conformidade com a LGPD. O prontuário eletrônico é, em sua essência, um documento clínico com valor jurídico, regulatório e probatório. Gerenciá-lo com controles inadequados é como deixar contratos financeiros sem assinatura: o conteúdo pode estar correto, mas a validade é questionável.
Digitalizar prontuários físicos com certificação ICP-Brasil, indexar com metadados estruturados, armazenar em ambiente com controle de acesso e backup auditável, e gerenciar o ciclo de vida com tabela de temporalidade integrada, esse conjunto de práticas transforma a gestão documental de uma função reativa numa camada ativa de proteção jurídica. Quando um processo judicial exige apresentar o histórico clínico de um paciente, ou quando a ANPD inicia uma fiscalização, a instituição que tem essa estrutura responde com agilidade e evidência. A que não tem, improvisa.
Empresas especializadas em gestão documental para saúde têm capacidade de executar a digitalização certificada de grandes acervos físicos com rastreabilidade ponta a ponta, desde o momento em que a caixa de documentos é recebida até a entrega dos arquivos digitais com assinatura digital aplicada e trilha de auditoria completa. Esse processo, quando bem executado, elimina o passivo do papel e cria um acervo digital juridicamente válido, gerenciável e auditável, exatamente o que a LGPD e a regulação do CFM exigem.
A ANPD está aprendendo a usar suas ferramentas de fiscalização. As sanções aplicadas até agora foram relativamente brandas em termos financeiros, advertências, obrigações de comunicação e exigências de correção. Mas o regulamento de dosimetria permite multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração. E o histórico internacional mostra que autoridades de proteção de dados tendem a endurecer a aplicação das sanções à medida que o marco regulatório amadurece.
Para o setor de saúde, a questão não é mais se a LGPD será aplicada com rigor, é quando. Instituições que investirem agora em estruturar a governança de dados clínicos estarão em posição de responder a qualquer fiscalização com evidência e tranquilidade. As que esperarem o primeiro incidente para reagir descobrirão que o custo da conformidade retroativa é sempre muito maior do que o da prevenção, em recursos, em reputação e em tempo de gestão.
A pergunta que cada gestor de saúde deveria responder hoje é direta: se a ANPD solicitasse amanhã seu registro de operações de tratamento, seu relatório de impacto e seus logs de acesso ao prontuário eletrônico dos últimos 12 meses, sua instituição conseguiria apresentar tudo isso em três dias úteis? A resposta a essa pergunta define com precisão onde você está no caminho da conformidade real.
Share