Qual é o impacto na vida de uma pessoa que tem dados clínicos expostos ao grande público? Os estragos podem ser irreversíveis e devastadores como já presenciamos  anteriormente em episódios de incidentes de segurança..

Some-se a isso a veloz transformação digital na área da saúde com a intensa aplicação de modelos de inteligência artificial cada vez mais avançados, bem como as discussões que envolvem a criação do Open Health, que é uma iniciativa liderada pelo Ministério da Saúde em parceria com a ANS, Ministério da Economia e BACEN que prevê, assim como o Open Baking, a integração dos dados de saúde de pessoas entre os mais diversos estabelecimentos públicos e privados. 

Por isso, esses assuntos precisam ganhar uma lupa e envolver especialistas de diversas áreas para entender como as iniciativas e aplicações podem ser mais benéficas do que prejudiciais para as pessoas.

Não à toa, o Conselho Nacional de Proteção de Dados, órgão consultivo da Autoridade Nacional de Proteção de Dados – ANPD – enviou, no último dia 19 de novembro, contribuições para Agenda Regulatória do biênio 2025/2026 da autoridade, dentre elas a seguinte recomendação: 

“A definição de “dado referente à saúde ou à vida sexual, dado genético ou biométrico” descrita no art. 5º, inciso II, da LGPD, incluindo as hipóteses legais para o tratamento de dados de saúde, em especial a tutela da saúde, considerando ainda os agentes de tratamento que atuam no ecossistema da saúde e as especificidades do SUS, a vedação ao compartilhamento de dados de saúde com objetivo de obter vantagem econômica e a pesquisa com seres humanos.”.

Assim,  para além das discussões que têm sido travadas sobre IA na Saúde, Open Health e a possibilidade de proposituras pela ANPD sobre regulação sobre atividades com tratamento de dados sensíveis, quero propor na leitura a seguir alguns pontos fundamentais sobre a governança de dados na área da saúde, principalmente quando falamos de hospitais que já podem, desde já, serem aplicadas

LGPD e o Impacto no setor Hospitalar

Como já mencionei em outro artigo sobre os quatro anos da LGPD, a ANPD, mesmo com sua estrutura enxuta, está fiscalizando e aplicando sanções decorrentes do descumprimento da  legislação. Desta forma, não há como pensar em longevidade de uma instituição de saúde que não esteja em conformidade com a lei.

Além das questões básicas de privacidade e proteção de dados, hospitais e instituições de saúde possuem uma responsabilidade crescente sobre o tratamento de dados sensíveis (informações de saúde, genéticas, biométricas, origem racial ou étnica, convicção religiosa, opinião política, vida sexual de pacientes). 

Estes dados exigem uma atenção especial, pois, como já mencionado acima, se expostos, podem acarretar graves consequências, como discriminação, fraudes e golpes.

Para mitigar esses riscos, os hospitais precisam ir além do básico. A LGPD estabelece princípios como finalidade, adequação, necessidade, transparência, prevenção e segurança, que devem estar presentes em todas as etapas da jornada do paciente e na gestão dos terceiros que possuem acesso a esses dados.

Como proteger Dados Sensíveis?

Um programa robusto de governança de privacidade é a resposta. Ele deve incluir:

• Transparência Total: Desde a entrada até a alta do paciente, é fundamental que ele entenda como seus dados estão sendo utilizados. Ferramentas como o Aviso de Privacidade ajudam a esclarecer essa relação.
• Documentação Atualizada: O Registro das Operações de Tratamento (ROT), os Relatórios de Impacto à Proteção de Dados (RIPD) e Procedimentos de Gestão de Terceiros garantem conformidade e identificam vulnerabilidades.
• Segurança Ampliada: Não basta proteger fisicamente os dados. Medidas técnicas, como rastreamento de acessos e monitoramento de terceiros, são essenciais para identificar quem acessa e como utiliza as informações.

Decisões ANPD: Lições de casos reais

As decisões da ANPD referente aos incidentes de segurança envolvendo o Ministério da Saúde e a Secretaria de Estado da Saúde de Santa Catarina evidenciam as consequências de falhas nesses controles, como a falta de logs de acesso e comunicação tempestiva aos titulares, ressaltando a importância de um Programa de Governança de Privacidade robusto.

A decisão liminar proferida, em 04 de novembro, pelo Juiz da 3ª Vara Federal Cível da Seção Judiciária do Distrito Federal que deferiu o pedido de tutela antecipada “para suspender os efeitos da Resolução CFM nº 2.382/2024”, a qual determina a obrigatoriedade dos médicos em utilizar a plataforma “Atesta CFM” também aponta a relevância de uma gestão de alto nível em privacidade e segurança para o setor ao argumentar sobre a possibilidade de “fragilizar o tratamento de dados sanitários e pessoais de pacientes”.

Assim, hospitais que desenvolvem um programa estruturado, conforme o artigo 50 da LGPD, demonstram não só conformidade, mas também um compromisso real com a segurança e mantêm a confiança dos pacientes.

Como funciona um programa estruturado de governança

Para que um programa de governança em privacidade seja eficaz, a entidade de saúde, no caso, o hospital precisa fazer um check list de ações que vão além da tecnologia:

• Realizar avaliações periódicas de riscos para identificar vulnerabilidades no tratamento de dados;
• Elaborar relatórios de impacto para garantir conformidade com a LGPD e prevenir danos aos titulares;
• Fortalecer a gestão de identidade e controle de acessos, assegurando que incidentes sejam rapidamente detectados e solucionados;
• Investir no treinamento contínuo de colaboradores para conscientização sobre práticas de privacidade;
• Estabelecer um plano de resposta a incidentes de segurança, testando-o regularmente para garantir uma comunicação ágil e coordenada com os titulares.

Transforme as obrigações da LGPD em uma vantagem competitiva

Mais do que um desafio regulatório, cumprir a LGPD é uma oportunidade para fortalecer a relação com os pacientes. Hospitais que demonstram um compromisso claro com a proteção de dados conquistam mais do que a conformidade legal: eles se tornam referência em ética e segurança no setor.

Confiança é o principal ativo de qualquer hospital. E quando se trata de dados de saúde do paciente, protegê-los significa, em última análise, a proteção da vida e da dignidade dele.

Gostou desse conteúdo? Quer mais informações sobre esse tema? Então, inscreva-se na nossa Newsletter para ter acesso ao conteúdo em primeira mão.