LGPD 10 min 08 de fevereiro de 2026

LGPD na Saúde: como tratar dados sensíveis de pacientes

Dados de saúde são considerados dados sensíveis pela LGPD e exigem bases legais específicas para tratamento. Veja o que hospitais, clínicas e operadoras precisam implementar para estar em conformidade.

#LGPD#Dados Sensíveis#Conformidade#DPO

Este artigo foi elaborado pela Equipe Vivax HealthTech com base em fontes regulatórias oficiais (CFM, ANVISA, ANPD, Ministério da Saúde) e literatura científica indexada. Não constitui aconselhamento jurídico ou médico.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) classifica dados de saúde como dados pessoais sensíveis (Art. 5º, II), sujeitos a regime jurídico mais restritivo do que os dados pessoais comuns.

Bases legais para tratamento de dados de saúde:

O Art. 11 da LGPD lista as hipóteses em que dados sensíveis podem ser tratados sem consentimento explícito:

  • Cumprimento de obrigação legal ou regulatória (ex.: notificação compulsória ao SINAN)
  • Execução de políticas públicas (ex.: programas do SUS)
  • Estudos por órgão de pesquisa (com anonimização sempre que possível)
  • Exercício regular de direitos (ex.: defesa em processo judicial)
  • Proteção da vida ou incolumidade física (ex.: emergências)
  • Tutela da saúde, exclusivamente por profissional de saúde, serviço de saúde ou autoridade sanitária

Para os demais casos — incluindo uso de IA clínica, telemedicina e compartilhamento com operadoras — o consentimento específico e destacado (Art. 11, I) é a base legal mais adequada.

O que implementar na prática:

  1. DPO (Encarregado de Dados): Obrigatório para hospitais e operadoras que processam dados sensíveis em larga escala. Deve ser designado formalmente e ter canal de comunicação público.
  1. RIPD (Relatório de Impacto à Proteção de Dados): Exigido quando o tratamento pode gerar riscos aos titulares. Sistemas de IA clínica enquadram-se nessa categoria.
  1. DPA (Data Processing Agreement): Contrato obrigatório com fornecedores de tecnologia que processam dados de saúde como operadores (Art. 39 LGPD).
  1. Consentimento granular: O paciente deve poder consentir separadamente para: (a) tratamento clínico; (b) uso de IA no cuidado; (c) compartilhamento com operadora; (d) uso em pesquisa.
  1. Direitos dos titulares: Implementar fluxo operacional para atender, em até 15 dias, pedidos de acesso, correção, portabilidade, anonimização e exclusão de dados.

Penalidades:

A ANPD pode aplicar multas de até 2% do faturamento da empresa no Brasil, limitado a R$ 50 milhões por infração. Vazamentos de dados de saúde têm sido tratados com prioridade máxima pela autoridade.

Conheça a plataforma Vivax HealthTech

Todos os conceitos discutidos neste artigo estão implementados na plataforma Vivax — conformidade regulatória por design, IA clínica explicável e proteção de dados desde a arquitetura.