A transição do SUSFácil para o CORE Saúde MG mostra por que RoPA, RIPD e Privacy by Design precisam ser parte da rotina gerencial de administradores hospitalares.
Por que este artigo existe
Em maio de 2026, a Secretaria de Estado de Saúde de Minas Gerais (SES/MG) substituiu o SUSFácil, sistema em operação por mais de vinte anos, pela plataforma CORE Saúde MG (Central de Operações para Regulação Estadual). A transição foi compulsória. O impacto sobre a privacidade dos pacientes e dos colaboradores das instituições de saúde foi, na prática, ignorado como pauta prioritária pela maioria das organizações.
Este artigo não é uma crítica ao CORE. O sistema representa um avanço real na regulação estadual de leitos. A crítica é direcionada ao modelo de gestão da privacidade que muitas instituições de saúde ainda praticam: reativo, pontual e desconectado das mudanças operacionais do dia a dia.
> “A LGPD não é um projeto. É um programa. E programas vivos precisam ser atualizados toda vez que o processo muda, não somente quando o regulador bate na porta.”
O que está em jogo quando os sistemas mudam
A ilusão da conformidade estática
A maioria das instituições que passou pelos primeiros ciclos de adequação à LGPD mapeou processos, elaborou políticas, treinou equipes, nomeou um encarregado e declarou que estava “adequada”. O problema é que adequação é um estado dinâmico, não uma conquista permanente.
No caso do CORE, três elementos críticos mudaram simultaneamente para toda a rede SUS/MG:
- O fluxo de dados dos pacientes mudou: informações clínicas que antes trafegavam em sistemas regionais passaram a ser transmitidas a uma central estadual única em Belo Horizonte, operada por médicos reguladores sem vínculo com a instituição de origem.
- O modelo de acesso dos colaboradores mudou: cada operador passou a usar sua conta pessoal do gov.br para fins institucionais, criando vínculo entre identidade pessoal e atividade profissional.
- O controlador dos dados mudou parcialmente: a SES/MG tornou-se controlador principal da plataforma, e a instituição passou a ser operadora parcial dos dados que insere no sistema.
Nenhuma dessas mudanças é trivial sob a LGPD. Todas deveriam ter acionado automaticamente o programa de privacidade da instituição.
O risco vai além da multa
Reduzir o risco LGPD à dimensão pecuniária é um erro estratégico. Os riscos reais incluem responsabilização civil objetiva (art. 42 LGPD) por danos causados por tratamento irregular; responsabilização solidária se a SES/MG sofrer incidente no CORE e a instituição não demonstrar medidas internas adequadas; dano reputacional junto à comunidade atendida; e exposição trabalhista de colaboradores que usam credenciais pessoais sem controles formais.
O tripé técnico da conformidade viva
RoPA: mapa vivo dos processos
O Registro de Operações de Tratamento (RoPA), previsto no art. 37 da LGPD, é frequentemente tratado como documento de compliance para apresentar em fiscalização. Sua função gerencial é mais ampla: é o mapa vivo de tudo o que a instituição faz com dados pessoais, respondendo perguntas operacionais como “quais dados saem daqui e vão para a SES/MG?” e “quando o convênio expirou, paramos de enviar dados?”
A entrada do CORE em operação criou uma nova operação de tratamento de dados sensíveis que precisava ser inserida imediatamente no RoPA de cada instituição: dados de diagnóstico (CID-10), quadro clínico, medicamentos e grau de urgência, transmitidos a uma central estadual com acesso amplo de médicos reguladores. Sem RoPA atualizado, essa operação é invisível para a gestão.
Regra prática: qualquer mudança de sistema, novo contrato com terceiro que acesse dados de pacientes ou nova integração tecnológica deve acionar imediatamente a revisão do RoPA.
RIPD: ferramenta de decisão gerencial
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no art. 38 da LGPD e regulamentado pela Resolução CD/ANPD n. 2/2022, responde à pergunta central de qualquer gestor responsável: “dado o que este processo faz com os dados das pessoas, quais riscos estamos assumindo e o que precisamos fazer para reduzi-los?”
Um RIPD bem construído para o processo CORE mapeia pelo menos três categorias de risco. Riscos diretos ao paciente: compartilhamento de dados de saúde sem informação adequada ao titular; exposição de diagnósticos sensíveis como HIV, tuberculose e transtornos mentais a agentes sem necessidade proporcional; uso secundário dos dados para pesquisa ou auditoria sem comunicação ao titular. Riscos do modelo gov.br: acesso pessoal para fins institucionais sem revogação automática no desligamento; compartilhamento de credenciais em contextos de urgência. Riscos específicos de entidades filantrópicas: voluntários com acesso ao sistema sem vínculo formal; cruzamento de bases assistencial-social com bases clínicas; ausência de DPO formalmente nomeado.
A existência do RIPD demonstra boa-fé e adoção de medidas proporcionais ao risco. Sua ausência é elemento agravante na análise da ANPD e do Poder Judiciário.
O DPO como função estratégica
O DPO não é cargo honorífico. É função técnica com responsabilidades que, quando exercidas plenamente, protegem a instituição, os pacientes e os colaboradores. Na transição SUSFácil-CORE, o DPO deveria ter sido o primeiro profissional acionado: para elaborar o RIPD antes do go-live, atualizar o RoPA, revisar o Aviso de Privacidade ao paciente, coordenar o treinamento dos operadores, formalizar junto à SES/MG o Acordo de Compartilhamento de Dados (ACD) e estabelecer o Registro Interno de Usuários Autorizados.
A pergunta correta para gestores não é “temos um DPO nomeado?”. É “nosso DPO foi consultado quando decidimos adotar o CORE?”
Privacy by Design como metodologia de gestão
Os 7 princípios aplicados ao CORE
Privacy by Design, conceito de Ann Cavoukian incorporado aos arts. 46 e 49 da LGPD, significa que privacidade é requisito de qualquer processo desde o momento em que é concebido ou modificado, não uma checagem posterior.
Aplicados ao CORE: (1) Proativo: o RIPD deveria ter sido elaborado antes do go-live de 5 de maio de 2026. (2) Privacidade como padrão: perfil de acesso configurado com o mínimo necessário por função, não acesso irrestrito. (3) Embarcada no processo: Aviso de Privacidade incorporado ao fluxo de admissão como etapa operacional. (4) Funcionalidade plena: o RIPD não impede a regulação, documenta e controla o tratamento legítimo. (5) Segurança fim-a-fim: gestão de acessos cobrindo onboarding, revisão periódica e revogação imediata no desligamento. (6) Transparência: Registro de Usuários Autorizados acessível para auditoria, canal do DPO divulgado. (7) Respeito ao titular: paciente com meios efetivos para exercer direitos de acesso, correção e informação.
A janela de design que ainda está aberta
A transição do SUSFácil para o CORE foi uma janela de design: o momento em que um processo muda é a oportunidade mais barata e eficaz para incorporar privacidade. A janela ainda está aberta. Cada instituição que ainda não fez o RIPD, não atualizou o RoPA e não formalizou o Registro de Usuários Autorizados está acumulando exposição. Quanto mais tempo passa, mais custoso fica corrigir.
Rota de implementação prática
Ações imediatas (até 30 dias): nomear o DPO e publicar contato no site; criar Registro Interno de Usuários Autorizados no CORE; incluir revisão do CORE no checklist de desligamento; celebrar Termo de Responsabilidade com todos os operadores, incluindo voluntários.
Curto prazo (30 a 60 dias): elaborar RIPD do processo CORE; atualizar RoPA com a nova operação de tratamento; elaborar e disponibilizar Aviso de Privacidade ao paciente; treinar operadores em LGPD e uso seguro do sistema; formalizar pedido de ACD à SES/MG.
Médio prazo (60 a 90 dias): segregar bases de dados assistencial-social das bases clínicas; elaborar Procedimento de Resposta a Incidentes contemplando o CORE; revisar contratos com terceiros que acessam dados de pacientes.
Revisão contínua: revisão do RIPD em dezembro/2026; atualização semestral do RoPA; treinamento anual de reciclagem; relatório do DPO à direção com estado do programa.
Conclusão: privacidade é parte do cuidado
Privacy by Design, RoPA e RIPD não são instrumentos burocráticos. São ferramentas de gestão de risco que, quando utilizadas de forma integrada e contínua, protegem a instituição, os pacientes e os profissionais. O caso do CORE é um convite à reflexão que vale para qualquer mudança de processo: toda vez que um sistema muda, o programa de privacidade precisa acompanhar. Toda vez que um novo parceiro acessa dados de pacientes, o DPO precisa estar na mesa.
Privacidade, em saúde, não é uma questão de compliance. É uma questão de dignidade do paciente. E a dignidade do paciente é, ela própria, parte do cuidado.
Sua instituição já atualizou o RoPA e elaborou o RIPD para o processo CORE? A HDPO apoia hospitais e entidades filantrópicas na implantação de programas de privacidade vivos, com DPOaaS, RIPD e treinamentos sob medida. Fale conosco: [email protected]
Fontes
- Lei n. 13.709/2018 — Lei Geral de Proteção de Dados Pessoais
- Resolução CD/ANPD n. 2/2022 — Regulamento de uso do RIPD
- Resolução SES/MG n. 11.008/2026 — Diretrizes do CORE Saúde MG
- Agência Minas — Governo de Minas avança na modernização da regulação de leitos
- Ann Cavoukian — Privacy by Design: The 7 Foundational Principles. IPC Ontario, 2009
- ANPD — Guia Orientativo para Definições dos Agentes de Tratamento e do Encarregado
