A LGPD em hospitais exige atenção especial porque dados de saúde são classificados como dados pessoais sensíveis pela Lei 13.709/2018. Isso significa que o tratamento dessas informações está sujeito a regras mais rigorosas, e as sanções por descumprimento podem chegar a R$ 50 milhões por infração.
Por Que Hospitais São Alvos Prioritários
A ANPD (Autoridade Nacional de Proteção de Dados) já indicou que o setor de saúde está entre as prioridades de fiscalização. Os motivos são claros:
- Hospitais processam alto volume de dados sensíveis diariamente
- Prontuários contêm informações detalhadas sobre condições de saúde, tratamentos e histórico familiar
- Dados de saúde têm alto valor no mercado negro (até 10x mais que dados financeiros)
- Vazamentos podem causar danos irreparáveis à privacidade dos pacientes
Bases Legais para Tratamento de Dados em Hospitais
A LGPD define bases legais específicas para dados sensíveis de saúde (Art. 11):
- Tutela da saúde — procedimento realizado por profissional de saúde ou autoridade sanitária
- Consentimento específico — quando o paciente autoriza expressamente
- Obrigação legal — notificação compulsória de doenças, por exemplo
- Proteção da vida — emergências médicas
Atenção
O legítimo interesse, base legal amplamente usada em outros setores, não se aplica a dados sensíveis de saúde. Cada finalidade de tratamento precisa de base legal clara e documentada.
Passos para Adequação
1. Mapeamento de Dados (Data Mapping)
Identifique todos os fluxos de dados pessoais no hospital:
- Recepção: cadastro do paciente, cópia de documentos, dados do convênio
- Assistencial: prontuário, resultados de exames, prescrições
- Administrativo: faturamento TISS, dados de colaboradores, câmeras de segurança
- Digital: PEP, aplicativos de telemedicina, portais do paciente
2. Nomeação do Encarregado (DPO)
A LGPD exige a nomeação de um Encarregado pelo Tratamento de Dados Pessoais. Em hospitais, esse profissional deve ter conhecimento tanto de privacidade quanto de regulamentação em saúde (CFM, ANS).
3. Revisão de Consentimentos
Atualize termos de consentimento para incluir:
- Finalidades específicas do tratamento de dados
- Direitos do titular (acesso, correção, exclusão, portabilidade)
- Compartilhamento com terceiros (laboratórios, operadoras)
- Tempo de retenção dos dados
4. Segurança da Informação
Implemente medidas técnicas proporcionais ao risco:
- Criptografia de dados em repouso e em trânsito
- Controle de acesso granular por perfil profissional
- Logs de auditoria para todo acesso a prontuários
- Política de senhas e autenticação multifator
- Plano de resposta a incidentes com notificação à ANPD em 72 horas
5. Treinamento Contínuo
A maior vulnerabilidade em hospitais é o fator humano. Treine toda a equipe — da recepção ao corpo clínico — sobre:
- Princípios básicos da LGPD
- Procedimentos para atender direitos dos titulares
- Como identificar e reportar incidentes de segurança
Prazo de Retenção de Dados Médicos
O CFM determina que prontuários devem ser mantidos por no mínimo 20 anos após o último atendimento. Isso não conflita com a LGPD — a base legal de obrigação legal justifica a retenção. Porém, após o prazo, os dados devem ser eliminados ou anonimizados.
Consequências do Descumprimento
Além das multas da ANPD, hospitais em descumprimento enfrentam riscos reputacionais severos, possíveis ações judiciais de pacientes e até restrições operacionais. A adequação à LGPD é investimento em sustentabilidade institucional.
