A rotina de qualquer estabelecimento de saúde envolve o manuseio diário de informações extremamente sensíveis. Exames de imagem, prontuários, históricos familiares, dados genéticos, fotografias clínicas, registros odontológicos, resultados de biópsias — tudo isso compõe um acervo que, do ponto de vista da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), recebe tratamento jurídico diferenciado e mais rigoroso.
Profissionais e instituições que ainda não estruturaram seus processos internos para atender à LGPD estão expostos a multas que podem chegar a R$ 50 milhões por infração, além de ações indenizatórias individuais e coletivas. E a fiscalização da Autoridade Nacional de Proteção de Dados (ANPD) sobre o setor de saúde já é realidade em todo o território nacional.
Por que a saúde recebe tratamento mais rigoroso
A LGPD classifica os dados pessoais em duas grandes categorias: os dados comuns e os dados sensíveis. Informações sobre saúde, vida sexual, dados genéticos e biométricos pertencem à segunda categoria — justamente aquela que exige maior cuidado, base legal específica para tratamento e medidas técnicas reforçadas de segurança.
Isso significa que uma clínica de oncologia, um consultório odontológico, um laboratório de análises clínicas ou um hospital de médio porte não podem operar sob as mesmas regras de uma loja de varejo. A natureza do dado tratado eleva o padrão de exigência.
Exemplos práticos do dia a dia
- Um e-mail enviado pela secretária com resultado de exame anexado, sem criptografia, para o endereço errado.
- Prontuários físicos guardados em armários sem chave, acessíveis a qualquer funcionário.
- Sistema de gestão sem controle de acesso por perfil, permitindo que a recepção visualize laudos psiquiátricos.
- Backup de imagens odontológicas armazenado em pen drive pessoal do dentista.
- Compartilhamento de fotos de procedimentos estéticos em grupos de WhatsApp para discussão de casos, sem autorização específica do paciente.
Cada uma dessas situações configura potencial violação da LGPD e pode gerar autuação administrativa, indenização por danos morais e, em hipóteses graves, responsabilização criminal por violação de sigilo profissional.
O que precisa ser estruturado
A adequação à LGPD não é tarefa única nem pontual. Trata-se de um programa contínuo de governança, que combina aspectos jurídicos, tecnológicos e administrativos.
Mapeamento de dados
O ponto de partida é entender quais dados são coletados, por quais canais, com qual finalidade, onde ficam armazenados, quem acessa e por quanto tempo são mantidos. Sem esse diagnóstico, qualquer medida posterior será incompleta. Em uma clínica de médio porte, esse mapeamento costuma identificar entre 80 e 150 fluxos distintos de dados.
Bases legais e consentimento
Nem todo tratamento de dados depende de consentimento expresso. A própria LGPD prevê hipóteses como a tutela da saúde (art. 11, II, "f") e o cumprimento de obrigação legal. Identificar a base legal correta para cada finalidade evita tanto a coleta excessiva quanto a exigência desnecessária de termos de consentimento.
Políticas internas
Política de privacidade voltada ao paciente, política interna de segurança da informação, política de retenção e descarte, código de conduta para colaboradores e regras para uso de dispositivos móveis. Esses documentos formalizam as práticas adotadas e servem como prova diligente em caso de fiscalização.
Segurança técnica
Controle de acesso por perfil, criptografia de dados em trânsito e em repouso, autenticação multifator, registro de logs, backups segregados e plano de resposta a incidentes. A LGPD obriga a comunicação à ANPD e aos titulares em caso de vazamento que envolva risco relevante.
Treinamento da equipe
A maioria dos incidentes de segurança em ambientes de saúde decorre de erro humano — não de ataque sofisticado. Estatísticas do setor apontam que entre 60% e 75% dos vazamentos têm origem interna. Treinar recepcionistas, técnicos, enfermeiros, médicos e administradores é tão importante quanto contratar um bom sistema.
Encarregado de dados (DPO)
A figura do encarregado é obrigatória e funciona como ponto de contato entre a instituição, os titulares e a ANPD. Pode ser profissional interno ou serviço terceirizado, desde que tenha conhecimento técnico e jurídico para exercer a função.
O custo de não se adequar
As sanções administrativas previstas no art. 52 da LGPD incluem advertência, multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação de dados, e até suspensão parcial ou total das atividades de tratamento.
Soma-se a isso o risco reputacional. Um vazamento de prontuários divulgado pela imprensa pode comprometer anos de construção de imagem profissional. Pacientes que se sentem expostos tendem a migrar — e a processar.
Há ainda o impacto sobre contratos. Operadoras de planos de saúde, hospitais credenciadores e parceiros institucionais já incluem cláusulas de conformidade com a LGPD em seus contratos, com possibilidade de rescisão imediata em caso de descumprimento.
Adequação como diferencial competitivo
Mais do que evitar penalidades, a conformidade com a LGPD vem se tornando fator de escolha por parte do paciente. Em pesquisas recentes do setor, mais de 60% dos consumidores de serviços de saúde afirmam considerar a forma como seus dados são tratados antes de escolher um profissional ou estabelecimento.
Investir em governança de dados é, portanto, decisão estratégica — e não apenas defensiva.
O escritório Trad & Cavalcanti Advogados acompanha clínicas, consultórios, hospitais e profissionais de saúde em todo o Brasil na estruturação de programas de adequação à LGPD, com atuação integrada entre as áreas de Direito Médico e Empresarial. Para avaliar a situação da sua instituição, entre em contato com nossa equipe.
Fale diretamente com um sócio
A primeira conversa é sem custo. Conte sua situação e entenda o que o direito pode fazer por você.