A ANPD fixou meta de dez ações de fiscalização sobre dados sensíveis até o fim de 2026; instituições de saúde precisam comprovar governança, não apenas documentá-la.
O que aconteceu
A fiscalização de dados de saúde deixou de ser uma promessa regulatória para se tornar um cronograma com prazo. Ao consolidar a Agenda Regulatória 2025-2026 e publicar o Mapa de Temas Prioritários para o biênio 2026-2027 (Resoluções CD/ANPD 30 e 31, de 2025), a Autoridade Nacional de Proteção de Dados firmou a meta de realizar dez atividades de fiscalização até o fim de 2026, com foco em dados de saúde, biometria e dados financeiros.
Estamos na metade do ano. O prazo que parecia distante quando foi anunciado agora pressiona o calendário das instituições. As ações poderão ser reativas, motivadas por denúncias e incidentes, ou proativas, planejadas a partir de recortes temáticos. Em ambos os cenários, a régua subiu: a ANPD sinalizou que vai avaliar a efetividade das práticas, e não apenas a existência formal de políticas e documentos.
Por que isso importa para o setor de saúde
Hospitais, clínicas, laboratórios, operadoras e a indústria farmacêutica operam com aquilo que a LGPD (Lei 13.709/2018) classifica como dado pessoal sensível. O artigo 5º, inciso II, inclui expressamente o dado referente à saúde nessa categoria, e o artigo 11 condiciona seu tratamento a hipóteses específicas, mais restritas do que as do artigo 7º.
Na saúde, a informação é o ativo central da operação, e não um subproduto administrativo. Isso significa que praticamente toda a cadeia assistencial: prontuário eletrônico, agenda, faturamento, telemedicina, pesquisa clínica e troca com a Rede Nacional de Dados em Saúde, movimenta dados de alto risco. É justamente esse perfil de risco que a ANPD declarou priorizar.
Há ainda um ponto de atenção específico do setor. O artigo 11, parágrafo 4º, veda, como regra, a comunicação ou o uso compartilhado de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, ressalvadas hipóteses como a prestação de serviços e a portabilidade quando autorizada pelo titular. Modelos de negócio que envolvem compartilhamento de bases clínicas merecem revisão cuidadosa diante desse dispositivo.
O papel do Encarregado sob escrutínio
A fiscalização deve mirar diretamente a figura do Encarregado pelo Tratamento de Dados Pessoais. O artigo 41 da LGPD exige sua indicação, e a Resolução CD/ANPD 18/2024 detalha os requisitos de atuação, autonomia e canal de comunicação com titulares e com a autoridade.
A leitura que se firma é direta: a ANPD tende a avaliar a coerência entre o discurso de governança e a operação real. Um Encarregado nomeado apenas no papel, sem mandato efetivo, sem acesso à alta administração e sem capacidade de resposta às requisições de titulares, tende a ser tratado como indício de fragilidade do programa, e não como prova de conformidade.
Implicações práticas para o gestor e o Encarregado
A preparação para um eventual procedimento fiscalizatório se traduz em frentes concretas de evidência documental e técnica.
Relatório de Impacto (RIPD)
Operações de alto risco com dados de saúde pedem Relatório de Impacto à Proteção de Dados Pessoais, na forma do artigo 38. O documento precisa ser real, atualizado e capaz de demonstrar a análise de necessidade, os riscos e as medidas de mitigação adotadas.
Bases legais
Cada tratamento de dado de saúde deve estar ancorado em uma hipótese do artigo 11, com atenção a alternativas ao consentimento, como a tutela da saúde por profissionais e serviços de saúde ou autoridade sanitária. Bases legais genéricas ou mal documentadas são um alvo recorrente de questionamento.
Incidentes de segurança
A Resolução CD/ANPD 15/2024 fixou o prazo de três dias úteis para comunicação de incidente de segurança relevante à ANPD e aos titulares, contado da ciência. Sem um fluxo de resposta definido e testado, esse prazo é praticamente impossível de cumprir sob pressão.
Contratos com operadores e fornecedores
O artigo 39 responsabiliza o controlador pelas operações executadas por seus operadores. Contratos com prestadores de tecnologia, laboratórios de apoio e plataformas de telessaúde precisam refletir obrigações claras de segurança, finalidade e eliminação de dados.
O que fazer a partir de agora
A recomendação técnica é tratar o segundo semestre de 2026 como janela de prontidão. Na prática, isso envolve revisar o mapeamento de dados e o registro das operações de tratamento exigido pelo artigo 37; reavaliar as bases legais de cada fluxo clínico; atualizar ou produzir os RIPDs das operações de maior risco; testar o plano de resposta a incidentes contra o prazo de três dias úteis; revisar os contratos com operadores; e, sobretudo, garantir que o Encarregado tenha autonomia e evidências para sustentar uma eventual auditoria regulatória.
A diferença entre uma fiscalização tranquila e uma sanção tende a estar menos no volume de documentos e mais na capacidade de demonstrar que a governança funciona na rotina. Vale lembrar que a dosimetria das sanções administrativas segue a Resolução CD/ANPD 4/2023, que considera, entre outros fatores, a adoção de programas de boas práticas e a cooperação do agente.
Como o ecossistema HDPO pode apoiar
Estruturar essa prontidão exige método. A combinação entre uma análise de maturidade, o acompanhamento contínuo do Encarregado e a organização das evidências em uma plataforma de governança é o que transforma exigência regulatória em rotina sustentável. É nesse ponto que o trabalho de advisory, o modelo de DPO as a Service e o uso do PROTEGON para centralizar mapeamento, RIPDs e gestão de incidentes se conectam diretamente ao que a ANPD declarou que vai cobrar.
Se a ANPD batesse à porta da sua instituição amanhã, o seu programa de privacidade resistiria à pergunta central da fiscalização: ele funciona de fato, ou existe apenas no papel? Se a resposta não for imediata, vale conversar com a HDPO sobre uma análise de prontidão para fiscalização de dados de saúde antes que o prazo de 2026 se feche.
Fontes
