A narrativa dominante no setor de saúde costuma associar tecnologia à agilidade, inovação e eficiência operacional. Sistemas são adquiridos para resolver gargalos, automatizar fluxos, reduzir custos e apoiar decisões clínicas. Mas existe um aspecto frequentemente negligenciado: toda tecnologia introduz risco, e ignorar essa face pode comprometer desde a segurança do paciente até a responsabilidade jurídica da instituição.
No ambiente de saúde onde dados sensíveis circulam, decisões impactam vidas e processos são regulados por legislação específica, tecnologia não é apenas ferramenta. É um vetor potencial de erros, vulnerabilidades e incidentes, e precisa ser tratada como tal.
Ao incorporar uma solução de prontuário eletrônico, prescrição digital, telemedicina ou inteligência artificial, não estamos apenas adotando um novo recurso, mas introduzindo:
- Riscos clínicos, como configurações inadequadas de dose, ausência de alertas de interação medicamentosa ou fluxos incompletos de validação;
- Riscos operacionais, decorrentes de integrações mal elaboradas, permissões excessivas ou falhas no desenho do processo;
- Riscos de segurança da informação, com novas portas de entrada para incidentes cibernéticos;
- Riscos jurídicos, especialmente pela LGPD, em razão do tratamento de dados sensíveis, logs insuficientes, ausência de minimização e controles inadequados de acesso;
- Riscos reputacionais, caso falhas tecnológicas gerem desassistência, exposição indevida de informações ou decisões clínicas equivocadas.
A pergunta correta deixa de ser “a tecnologia resolve meu problema?” e passa a ser:
“quais riscos essa tecnologia cria, intensifica ou revela?”
A busca pela eficiência pode gerar atalhos perigosos: módulos ativados sem parametrização adequada, uso de dashboards sem validação clínica, algoritmos que aparentam precisão, mas operam com vieses ou dados incompletos.
O risco mais comum não nasce da má-fé, nasce da ausência de análise.
A tecnologia, quando não analisada sob a perspectiva de risco, transforma pequenas falhas em problemas estruturais:
- Uma simples configuração incorreta pode alterar a via de administração de um medicamento.
- Uma permissão de acesso equivocada pode expor prontuários inteiros.
- Uma automação mal definida pode registrar informações clínicas de forma imprecisa.
- Uma integração incompleta pode omitir dados relevantes para a tomada de decisão.
Em saúde, “pequeno” nunca é pequeno.
A LGPD reposiciona a tecnologia em um novo patamar, especialmente por meio dos princípios de:
- Segurança (art. 6º, VII) – Exige o uso de medidas técnicas e administrativas aptas a proteger dados contra acessos não autorizados e situações acidentais ou ilícitas.
- Prevenção (art. 6º, VIII) – Impõe a adoção de ações antecipadas para evitar a ocorrência de danos, inclusive danos decorrentes de escolhas tecnológicas inadequadas.
Esses princípios transformam a avaliação de tecnologia em um dever da instituição, não uma opção.
A pergunta estratégica passa a ser:
“como fazer essa implementação ser segura, auditável e alinhada à legislação?”
E nisso a avaliação de riscos é o ponto de partida.
Quando os riscos são identificados previamente, torna-se possível:
- Parametrizar alertas clínicos;
- Ajustar permissões para o mínimo privilégio;
- Configurar logs que garantam não repúdio;
- Validar integrações antes da entrada em produção;
- Exigir criptografia, anonimização ou pseudoanonimização quando necessário;
- Treinar usuários sobre limites e funcionalidades;
- Exigir do fornecedor documentação técnica e compromissos contratuais,
- Instituir governança contínua pós-implantação.
A gestão de riscos transforma a tecnologia em aliada, não em ameaça.
No setor de saúde, a tecnologia nunca é neutra. Cada sistema, cada módulo, cada dado coletado representa uma nova fronteira de risco e uma nova oportunidade de mitigação.
A verdadeira eficiência nasce quando a instituição entende que:
implementar não é apenas ativar;
decidir não é apenas escolher;
usar tecnologia é assumir responsabilidade.
Por isso, a avaliação de riscos não deve ser um rito formal, mas parte integrante do processo decisório. Ela é o que conecta inovação com segurança, eficiência com responsabilidade, tecnologia com cuidado. A saúde precisa da tecnologia, mas precisa, sobretudo, de tecnologia segura, guiada pelos princípios da LGPD, pela prevenção e pelo Privacy by Design.
Autor: João Gonçalves Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
