A nova agenda fiscalizatória da Autoridade coloca dados de saúde e direitos do titular no centro do biênio. Gestores e DPOs do setor precisam revisar bases legais, canais de atendimento e fluxos com terceiros antes que a primeira intimação chegue.
Por que esta semana é diferente
A Autoridade Nacional de Proteção de Dados (ANPD) aprovou, pela Resolução CD/ANPD nº 30/2025, o Mapa de Temas Prioritários que vai orientar a fiscalização no biênio 2026-2027, ao lado da atualização da Agenda Regulatória 2025-2026 (Resolução CD/ANPD nº 31/2025). Para quem atua no setor saúde, três pontos do documento merecem leitura atenta.
Primeiro: direitos dos titulares foi confirmado como um dos quatro temas prioritários da fiscalização, junto com proteção de crianças e adolescentes no ambiente digital, tratamento de dados pelo Poder Público e inteligência artificial e tecnologias emergentes.
Segundo, e este é o ponto que ainda não circulou amplamente nas análises do mercado: dentro do eixo “direitos dos titulares”, a ANPD prevê 40 ações fiscalizatórias ao longo do biênio, das quais 10 são dirigidas especificamente a tratamentos envolvendo dados biométricos, de saúde ou financeiros.
Em outras palavras: dado de saúde foi nomeado pela Autoridade como categoria de risco prioritário.
Terceiro: a Agenda Regulatória mantém em seu escopo a regulamentação de dados sensíveis e das hipóteses legais de tratamento, o que sinaliza que 2026 deve trazer normativos mais detalhados para o setor saúde.
A leitura é direta: a ANPD está sinalizando, com antecedência e por escrito, onde vai bater.
Não é mais sobre adequação genérica à LGPD. É sobre como hospitais, clínicas, operadoras e healthtechs respondem hoje quando um paciente exige acesso, correção ou eliminação dos próprios dados.
O que faz dado de saúde ser um caso à parte
Dados de saúde são, por definição do art. 5º, II da LGPD, dados pessoais sensíveis.
Isso gera três consequências operacionais relevantes:
- Hipóteses legais mais restritas
- Risco regulatório ampliado em incidentes
- Cadeia extensa de operadores e terceiros
Hospital, clínica e operadora não tratam dados isoladamente. Laboratórios, prontuários eletrônicos, telemedicina, cloud, auditorias médicas, marketing e BI clínico fazem parte da cadeia.
Cada elo precisa estar mapeado no ROPA e vinculado por DPA adequado.
Quando a ANPD diz que vai olhar para “direitos do titular” como prioridade, o recado é claro:
A Autoridade quer ver canal funcional, prazos respeitados, resposta substantiva e registro auditável.
O que revisar antes da próxima auditoria
1. Canal do titular
O canal:
- existe?
- funciona?
- é rastreável?
A tendência é que o que antes era educativo passe a ter caráter sancionatório.
O DPO precisa verificar:
- SLA de resposta
- protocolo rastreável
- fluxo interno estruturado
- publicação correta do Encarregado
- política de privacidade operacionalizável
2. Base legal por finalidade
Em saúde, consentimento não pode ser tratado como base universal.
Prontuário, marketing, auditoria, telemedicina e pesquisa clínica possuem bases legais distintas.
O ROPA precisa estar segmentado por:
- finalidade
- hipótese legal
- prazo de retenção
- justificativa técnica
3. Operadores e DPA
A fiscalização vem acompanhada de exigência crescente de DPAs robustos.
Pontos críticos:
- proibição de uso secundário
- cláusulas de IA
- transferência internacional
- SLA de incidente
- devolução/eliminações de dados
- direito de auditoria
4. Incidentes e resposta
Com o avanço de ransomwares no setor saúde, o plano de resposta deixou de ser documento de gaveta.
A organização precisa:
- definir responsáveis
- estruturar critérios objetivos
- integrar continuidade de negócios
- treinar equipes assistenciais
O que esperar dos próximos meses
A expectativa é que a ANPD avance em:
- regulamentação de dados sensíveis
- transferência internacional
- IA aplicada à saúde
- exigências de RIPD em cenários de alto risco
Para o DPO de saúde, o recado é simples:
O tempo de “estar começando a adequação” passou.
O biênio 2026-2027 será marcado por:
- maturidade demonstrável
- evidência operacional
- rastreabilidade
- governança funcional
