No setor de saúde, a adoção de novas tecnologias é constante. Sistemas de prontuário eletrônico, plataformas de exames online, ferramentas de telemedicina e soluções em nuvem prometem agilidade e eficiência. Mas, junto com esses benefícios, surgem riscos importantes relacionados à proteção de dados pessoais e sensíveis dos pacientes. Por isso, avaliar fornecedores de tecnologia não é apenas uma boa prática: é uma necessidade.
Uma das formas mais eficientes de conduzir essa análise é por meio do Relatório de Impacto à Proteção de Dados (RIPD). Ele permite mapear os riscos envolvidos na incorporação de uma nova tecnologia, avaliando de forma objetiva como os dados pessoais serão tratados, quais medidas de segurança estão implementadas e quais vulnerabilidades podem existir. Antes de contratar, conhecer esses resultados é fundamental.
Estabelecer critérios claros de seleção de serviços e tecnologias faz toda a diferença. Não basta escolher pelo menor preço ou pela promessa de inovação: é preciso verificar histórico de conformidade, certificações, práticas de segurança, atendimento a normas como a LGPD e capacidade de resposta a incidentes. Esses critérios objetivos fortalecem a tomada de decisão e reduzem a chance de surpresas desagradáveis no futuro.
Outro ponto essencial é refletir essa responsabilidade nos contratos. As cláusulas devem deixar claro quais são as obrigações do fornecedor em relação à proteção de dados, confidencialidade, segurança da informação e notificações em caso de incidentes. Contratos bem estruturados funcionam como um escudo jurídico e operacional, dando respaldo para cobrar medidas concretas quando necessário.
Quando o risco identificado é elevado por exemplo, em soluções que lidam com grandes volumes de dados sensíveis ou em ambientes com maior exposição a ataques é recomendável exigir do prestador a contratação de um seguro cibernético. Essa medida não elimina o risco, mas traz uma camada extra de proteção financeira e reforça a seriedade do compromisso assumido pelo fornecedor.
A avaliação de fornecedores, portanto, deve ser entendida como uma ação preventiva, que evita problemas maiores no futuro. Ela se conecta diretamente com o conceito de privacy by design, isto é, a proteção de dados pensada desde a concepção dos processos e tecnologias, e não apenas depois que problemas acontecem.
Além disso, está totalmente alinhada com as exigências da LGPD, que responsabiliza controladores e operadores de dados pelo cuidado adequado das informações pessoais. A lei não transfere responsabilidades: mesmo quando um terceiro trata os dados, a organização de saúde permanece responsável perante o titular e a Autoridade Nacional de Proteção de Dados (ANPD).
Em um mundo cada vez mais digital, onde a inovação chega em velocidade acelerada, é preciso cautela. Quando tratamos dados de pessoas, estamos lidando com vidas, histórias e direitos fundamentais. Avaliar fornecedores de forma criteriosa é mais do que um processo administrativo: é um compromisso ético com a privacidade e a confiança que pacientes depositam nas instituições de saúde.
Autor: João Gonçalves Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
