A entrada em vigor da Lei nº 13.709/2018 estabeleceu um novo regime jurídico para o tratamento de dados pessoais no Brasil, com impactos diretos e mensuráveis sobre o setor de saúde. Ao reconhecer o dado pessoal especialmente o dado de saúde como elemento protegido por direitos fundamentais (art. 5º, X e XII da Constituição Federal, reforçados pela EC 115) a legislação impõe às organizações não apenas limites, mas deveres estruturais de organização, controle e responsabilização.
Nesse contexto, o dado deixa de ser um insumo operacional e passa a ser um ativo regulado, cuja utilização exige base legal, finalidade específica, segurança adequada e capacidade de prestação de contas.
A LGPD estabelece, de forma expressa, a necessidade de estruturação de mecanismos de governança. O art. 37 determina que o controlador mantenha o registro das operações de tratamento de dados pessoais, o que fundamenta a construção do ROPA (Registro de Operações de Tratamento de Dados).
Além disso, o art. 38 prevê a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), especialmente em cenários de risco relevante. Complementarmente, o art. 50 incentiva a adoção de programas de governança em privacidade, incluindo políticas, normas internas e estruturas organizacionais como comitês.
Não se trata de faculdade operacional, mas de exigência normativa vinculada à demonstração de conformidade.
O tratamento de dados pessoais exige enquadramento em uma das hipóteses legais previstas nos arts. 7º e 11 da LGPD. No setor de saúde, o art. 11, II, “f” autoriza o tratamento de dados sensíveis para tutela da saúde, por profissionais ou serviços de saúde.
Essa previsão impacta diretamente:
- a gestão de prontuários;
- a prática da telemedicina;
- o compartilhamento de dados com operadoras e prestadores.
A legislação exige que cada operação de tratamento esteja vinculada a uma base legal adequada, vedando o uso genérico ou indevido de consentimento quando outras hipóteses são mais apropriadas.
Trata-se de um exercício de enquadramento jurídico obrigatório, com reflexos diretos na operação assistencial.
A LGPD estabelece regime de responsabilização para agentes de tratamento que causem dano patrimonial, moral, individual ou coletivo (art. 42). Ainda que a apuração da responsabilidade envolva análise de conduta, dano e nexo causal, o dispositivo amplia significativamente o risco jurídico associado ao tratamento de dados.
Adicionalmente, o art. 48 determina a obrigatoriedade de comunicação à autoridade nacional e ao titular em caso de incidentes de segurança que possam acarretar risco ou dano relevante.
Nesse cenário, incidentes de segurança deixam de ser eventos exclusivamente técnicos e passam a ser eventos com repercussão jurídica, regulatória e reputacional, exigindo resposta estruturada.
O art. 18 da LGPD assegura ao titular um conjunto de direitos, incluindo:
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos ou desatualizados;
- anonimização, bloqueio ou eliminação;
- portabilidade, quando aplicável.
A efetivação desses direitos exige a criação de fluxos internos capazes de identificar, localizar, tratar e responder às requisições em prazos adequados.
Não se trata de obrigação abstrata, mas de demanda operacional concreta, que impacta diretamente processos, sistemas e equipes.
A LGPD não atribui a responsabilidade de conformidade a uma única área. O cumprimento de seus dispositivos exige atuação coordenada entre:
- o jurídico;
- a tecnologia da informação;
- as áreas assistenciais e operacionais.
Essa integração decorre da própria natureza da lei, que regula simultaneamente aspectos legais, técnicos e operacionais do tratamento de dados.
A LGPD incorpora princípios como finalidade, adequação, necessidade, segurança e responsabilização (art. 6º), que orientam todo o ciclo de vida do dado pessoal.
A aplicação desses princípios não se limita à criação de documentos ou políticas. Ela exige que os agentes envolvidos no tratamento compreendam e incorporem essas diretrizes em suas atividades cotidianas.
Nesse sentido, a conformidade não se esgota na formalização de estruturas, mas depende da internalização de práticas alinhadas à proteção de dados pessoais.
A Lei nº 13.709/2018 introduz um modelo normativo que exige das organizações de saúde uma atuação estruturada, documentada e integrada em relação ao tratamento de dados pessoais.
O dado, enquanto elemento central da operação assistencial e administrativa, passa a exigir governança, base legal definida, controle de riscos e capacidade de resposta.
Trata-se de uma transformação jurídica com efeitos diretos sobre a forma como as instituições organizam seus processos, sistemas e responsabilidades.
