Notícias
Tratamento de dados em saúde: Bases legais, limites e boas práticas
24/02/2026
A LGPD (lei 13.709/18) consolidou no Brasil um novo padrão de responsabilidade no uso de dados pessoais – com impacto especialmente relevante na saúde, área em que informações íntimas circulam diariamente entre clínicas, hospitais, laboratórios, operadoras e fornecedores. Sob a ótica do Direito Digital, a lei estrutura princípios, papéis e deveres para dar previsibilidade e segurança ao tratamento de dados. Já no Direito Médico, conecta-se diretamente à rotina assistencial, à confidencialidade, aos documentos médicos e à confiança que sustenta as relações médico-paciente e hospitalares.
Os principais fundamentos da proteção de dados em saúde são: (i) privacidade, como tutela da vida privada, intimidade, honra e imagem; (ii) autodeterminação informativa, assegurando ao titular compreensão e participação efetiva sobre o uso de seus dados; e (iii) desenvolvimento tecnológico e econômico, indispensável à evolução do setor, desde que com governança, proporcionalidade e segurança, reduzindo riscos de vazamentos e usos incompatíveis com a finalidade assistencial. Soma-se a isso o livre desenvolvimento da personalidade, relevante porque a exposição ou o uso indevido de dados de saúde pode gerar resultados imprecisos, além de estigma e discriminação, razão pela qual a lei impõe proteção reforçada a essas informações.
2. O que são dados pessoais e dados pessoais sensíveis
Dados pessoais são informações que identificam ou podem identificar alguém (nome, documento, telefone, endereço, e-mail). Dados pessoais sensíveis, por sua vez, envolvem aspectos íntimos capazes de gerar discriminação ou danos relevantes – como dados de saúde (diagnósticos, dados genéticos/biométricos, histórico clínico), vida sexual e convicções religiosas ou políticas. Na área da saúde, isso é central: a maior parte dos dados tratados na assistência é sensível, exigindo maior rigor em segurança, acesso, confidencialidade e justificativa do tratamento.
1. Quem é o tutelado na área da saúde
A LGPD tutela a pessoa natural, isto é, o indivíduo a quem os dados se referem. E aqui uma observação essencial do Direito Médico: no ambiente de um hospital ou clínica, o “tutelado” não é apenas o paciente. Também podem ter dados tratados: acompanhantes, familiares, visitantes, voluntários, profissionais de saúde, colaboradores e terceiros. Basta que exista coleta, registro ou qualquer operação com informações que identifiquem ou possam identificar essas pessoas. Em outras palavras, o ecossistema da saúde trata dados de muita gente – e isso amplia a responsabilidade institucional.
2. Quem deve cumprir a LGPD: os agentes de tratamento
A LGPD se aplica a agentes de tratamento do setor público e privado, incluindo pessoas jurídicas e físicas que tratem dados pessoais no exercício de atividade, especialmente na prestação de serviços/atividade econômica. Na saúde, abrange, em regra, clínicas, consultórios, hospitais, laboratórios, operadoras, empresas e plataformas de TI (como prontuário eletrônico), além de centrais de atendimento, faturamento e fornecedores que tenham acesso a dados pessoais.
3. O que é tratamento de dados (e como ele aparece na prática)
“Tratamento” é um conceito amplo: significa qualquer operação feita com dados pessoais. No cotidiano da saúde, isso envolve, por exemplo:
coleta (cadastro, ficha, triagem, anamnese);
uso (atendimento, prescrição, registro clínico);
armazenamento (prontuário físico ou eletrônico, arquivos, sistemas);
compartilhamento (encaminhamentos, auditorias, convênios, integrações);
eliminação (descartes e exclusões seguras).
6. As figuras centrais da LGPD e suas responsabilidades
As principais figuras são:
Titular: pessoa natural a quem os dados se referem.
Controlador: define a finalidade e os meios do tratamento; na saúde, em geral, é a clínica/hospital/consultório como organização.
Operador: trata dados em nome do controlador (ex.: TI, marketing, faturamento, call center); a contratação não transfere a responsabilidade do controlador, que deve contratar, orientar e supervisionar.
Encarregado (DPO): canal de comunicação com titulares e ANPD; na saúde, é necessário mesmo em estruturas menores, por envolver dados sensíveis.
ANPD: agência reguladora, responsável por fiscalizar e sancionar administrativamente quem não cumpre a LGPD.
7. LGPD não atua sozinha: o diálogo das fontes
Um erro comum é tratar a LGPD como norma isolada. Na prática, ela convive com regras específicas do Direito Médico, exigindo diálogo das fontes. Exemplo: embora a LGPD recomende a eliminação dos dados ao fim da finalidade, isso não se aplica quando há obrigação legal de guarda. Na saúde, o prontuário tem disciplina própria e deve ser preservado por 20 anos, de modo que a manutenção por período prolongado é compatível com a LGPD e visa à proteção do paciente – ainda que ele tenha falecido ou não seja mais atendido. A título de exemplo, segue o julgado abaixo:
Ação cominatória visando à obtenção de cópia de exame médico realizado junto ao Hospital Cruzeiro do Sul, bem como indenização por danos morais – Improcedência na origem – Falha na prestação do serviço de guarda e conservação de documentação médica – Incidência do art. 6º da lei 13.787/18 – Responsabilidade que perdura pelo prazo de 20 anos – Ré que forneceu o prontuário médico na via administrativa, demonstrando pleno acesso aos documentos do autor, ainda que anteriores à aquisição do hospital pela requerida – Dever de fornecimento do exame solicitado – Danos morais não comprovados – Ausência de demonstração de violação a direito de personalidade – Frustração e desapontamento que sucedem da dificuldade na obtenção de cópia de exame realizado há aproximadamente 10 anos – Possibilidade de realização de novo exame – Reparação civil indevida – Sentença parcialmente modificada – Recurso provido, em parte. (TJ/SP – Apelação Cível: 10367782320228260602 Sorocaba, Relator.: César Peixoto, Data de Julgamento: 27/2/2025, 9ª Câmara de Direito Privado, Data de Publicação: 27/2/2025)
8. Bases legais para o uso de dados na saúde (LGPD) – diferenças e as mais utilizadas
De acordo com a LGPD, a “base legal” é o fundamento jurídico ou a justificativa que autoriza o tratamento de dados. As bases legais mais utilizadas no setor de saúde são:
a) Cumprimento de obrigação legal ou regulatória: ex. médico que deve comunicar a Secretaria de Saúde acerca de uma doença infecciosa verificada no hospital; guarda de prontuário por 20 anos, deveres documentais: exigências sanitárias, obrigações trabalhistas; regras de faturamento e auditorias regulatórias; atendimento a pedidos do Conselho Federal ou Regional de Medicina etc.
b) Tutela da saúde: permite tratar dados sensíveis para viabilizar o cuidado do paciente, quando realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (ex.: compartilhamento dentro do hospital com todos os profissionais que estão efetivamente atendendo aquele determinado paciente).
c) Exercício regular de direitos: base muito relevante para contencioso e gestão de risco: uso de dados/prontuário para defesa em processos judiciais, administrativos e arbitrais, sindicâncias, apurações internas, resposta a notificações e demandas de órgãos de controle, ingresso de cobranças contra pacientes inadimplentes etc.
d) Proteção da vida ou da incolumidade física: Aplicável em situações de urgência/emergência e contextos em que o tratamento é indispensável para evitar dano grave (ex.: comunicação rápida de informações críticas para atendimento; comunicação ao cônjuge de paciente portador de HIV que se recusa a informá-lo).
e) Consentimento – útil, mas não é “coringa”. É a base mais lembrada, mas não é a mais usada quando se trata de dados relacionados à saúde (porque o cuidado frequentemente se apoia em tutela da saúde/obrigação legal).
O consentimento é particularmente adequado especialmente para finalidades acessórias ou não estritamente assistenciais, por exemplo: ações de marketing/comunicação; pesquisa quando não for possível enquadrar em outras hipóteses aplicáveis e não houver anonimização suficiente; compartilhamentos não necessários à assistência/continuidade do cuidado. De se destacar que o consentimento deve ser livre, esclarecido e inequívoco.
Na prática, a escolha costuma seguir esta lógica:
Se for assistência (atendimento, prontuário, exames, continuidade do cuidado) – tutela da saúde.
Se for dever de guarda/regulação – obrigação legal/regulatória.
Se for defesa, auditoria contenciosa, apuração – exercício regular de direitos.
Se for finalidade acessória (marketing, usos secundários não necessários) – consentimento
9. Princípios
Na prática, além da base legal, o tratamento de dados em saúde deve observar os princípios da LGPD, em especial: finalidade e adequação (uso compatível, p.ex., para segurança clínica), necessidade (mínimo indispensável), transparência e livre acesso (paciente saber o que se trata e por que), qualidade (dados corretos e atualizados), segurança e prevenção (controles de acesso e redução de vazamentos), não discriminação (não usar dados sensíveis para restringir atendimento ou impor condições injustificadas – ex.: negar contrato de plano de saúde) e responsabilização/prestação de contas.
10. Conclusão: Conformidade é cuidado, e cuidado exige governança
Do encontro entre Direito Digital e Direito Médico surge uma mensagem objetiva: proteger dados na saúde é proteger pessoas e garantir direitos fundamentais. Não se trata apenas de atender requisitos legais; trata-se de estabelecer confiança, evitar danos, reduzir riscos assistenciais e preservar a credibilidade institucional.
Para clínicas e hospitais, a conformidade começa com perguntas simples, mas decisivas: quais dados coletamos, porque coletamos, quem acessa, onde armazenamos, por quanto tempo guardamos, com quem compartilhamos e como respondemos a incidentes. A LGPD, quando bem aplicada, não engessa a assistência – organiza o sistema para que a inovação e o cuidado caminhem com segurança!
Fonte: Migalhas.
Para ver a notícia na íntegra, clique aqui