A Lei Geral de Proteção de Dados (LGPD) é o marco que sustenta a confiança digital no Brasil. E em nenhum setor essa confiança é tão crucial quanto na saúde. Aqui, os dados não são apenas números em um sistema: são informações que representam vidas, diagnósticos, histórias e fragilidades humanas. O mesmo dado que orienta o cuidado pode, se mal gerido, causar danos éticos, jurídicos e reputacionais. Por isso, a conformidade com a LGPD no setor não é mera formalidade é parte essencial da segurança assistencial, da governança clínica e da inovação responsável.
Inspirada no GDPR europeu, a LGPD coloca o indivíduo no centro das decisões sobre o uso de seus dados. Ela redefine a forma como hospitais, clínicas, laboratórios, operadoras e healthtechs tratam informações, impondo que o tratamento seja justificado, rastreável e seguro. Na prática, isso significa que toda instituição deve saber o que coleta, por que coleta e com quem compartilha. A confidencialidade, antes um dever ético restrito à relação médico-paciente, transforma-se em responsabilidade solidária de todos os que tocam o dado, do profissional de saúde ao fornecedor de software. A LGPD, longe de frear a tecnologia, orienta seu uso para o bem, qualificando a inovação com critérios éticos e técnicos.
Para compreender a profundidade dessa mudança, é essencial distinguir dados pessoais de dados pessoais sensíveis. Dados pessoais são aqueles que identificam uma pessoa, como nome, CPF ou telefone. Já os sensíveis revelam aspectos íntimos, saúde, vida sexual, origem étnica, convicções religiosas, dados genéticos ou biométricos. No contexto da saúde, quase tudo é sensível: um prontuário, um resultado de exame, um histórico médico. Isso impõe controles reforçados, como criptografia, rastreabilidade e restrição de acessos. O simples vínculo entre o nome de um paciente e um dado clínico já transforma a informação em sensível, exigindo camadas adicionais de proteção e uma cultura institucional de cuidado.
Essas distinções orientam outro ponto central da LGPD: as bases legais que autorizam o tratamento de dados. Na saúde, o tratamento raramente depende do consentimento do paciente. Ele se ampara em fundamentos como a tutela da saúde que permite o uso de informações para o cuidado e prevenção , o cumprimento de obrigação legal ou regulatória, a execução de contrato, a proteção da vida ou, no setor público, a execução de políticas públicas. Cada base deve estar documentada, vinculada à finalidade e inserida no registro das operações de tratamento (ROPA). Escolher corretamente a base legal é demonstrar maturidade jurídica e ética, é equilibrar o direito à privacidade com o dever de cuidar.
Os direitos dos titulares, por sua vez, são a expressão prática do princípio da transparência. Pacientes, profissionais, fornecedores e visitantes têm o direito de saber como suas informações são usadas e podem solicitar acesso, correção, limitação ou até eliminação dos dados, quando aplicável. Mas na saúde, esses direitos têm nuances: o paciente pode obter cópia do prontuário, mas sem acesso a informações de terceiros; pode corrigir dados cadastrais, mas não alterar diagnósticos; e não pode exigir a exclusão de dados que a lei obriga a manter por 20 anos. O exercício dos direitos do titular, portanto, deve ser equilibrado com a segurança clínica e a integridade do cuidado.
A governança de privacidade exige mais do que formulários ou políticas: demanda processos, tecnologia e cultura. É preciso canais formais para atender solicitações, protocolos para validação de identidade, auditorias regulares, capacitação contínua e o papel ativo do encarregado de proteção de dados (DPO) como mediador entre a lei e a prática assistencial. Quando bem estruturado, esse ecossistema cria um círculo virtuoso onde a conformidade deixa de ser um obstáculo e se torna uma demonstração de respeito, competência e confiança institucional.
Mais do que proteger dados, a LGPD protege pessoas. Ela resgata a dimensão ética da informação, reafirmando que privacidade e saúde não são valores opostos, mas complementares. Em um cenário de telemedicina, interoperabilidade e inteligência artificial, governar dados com responsabilidade é garantir que a tecnologia opere a favor da vida, e não à sua custa. A maturidade digital do setor de saúde será medida não apenas por seus sistemas, mas por sua capacidade de proteger o humano em cada bit de informação.
Compreender a LGPD na saúde é compreender o futuro do cuidado: ético, transparente e confiável. As instituições que enxergam a conformidade como uma oportunidade e não como um fardo estão moldando um novo padrão de excelência, onde segurança jurídica e empatia caminham lado a lado. Em um mundo cada vez mais orientado por dados, é essa combinação que sustentará o valor mais precioso da medicina: a confiança entre quem cuida e quem é cuidado.
Autor: João Gonçalves Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
