A aplicação da LGPD no setor da saúde revela um cenário marcado por aparente conformidade formal e, simultaneamente, por fragilidades estruturais que ampliam a exposição jurídica de hospitais e clínicas.
A centralidade dos dados pessoais sensíveis nesse contexto, especialmente aqueles relacionados à saúde, impõe um regime jurídico mais rigoroso, que demanda não apenas a identificação de bases legais adequadas para o tratamento, mas também a implementação de medidas técnicas e organizacionais capazes de assegurar a integridade, a confidencialidade e a rastreabilidade das informações. No entanto, evidências empíricas e análises doutrinárias indicam que a internalização desses requisitos ainda ocorre de maneira incompleta, frequentemente dissociada das rotinas operacionais que caracterizam a prestação de serviços de saúde.
A literatura especializada destaca que o setor de saúde figura entre os mais vulneráveis a incidentes de segurança da informação, tanto pela elevada sensibilidade dos dados tratados quanto pela complexidade dos sistemas e fluxos informacionais envolvidos. Estudos como o de Kruse et al. (2017) apontam que falhas humanas, controles de acesso inadequados e deficiências em infraestrutura tecnológica constituem fatores recorrentes em violações de dados nesse segmento. Essa constatação é corroborada por relatórios recentes, como o Cost of a Data Breach Report 2023, da IBM Security, que identifica o setor de saúde como um dos mais afetados globalmente por incidentes dessa natureza, com impactos financeiros e reputacionais superiores à média de outros setores.
No contexto brasileiro, tais vulnerabilidades são potencializadas pela interação entre a LGPD e as normas sanitárias editadas pela ANVISA, que impõem obrigações específicas de armazenamento, rastreabilidade e compartilhamento de dados para fins de segurança sanitária, farmacovigilância e controle assistencial. A coexistência desses regimes normativos, sem diretrizes plenamente consolidadas de harmonização, contribui para a formação de zonas cinzentas interpretativas, nas quais instituições de saúde podem, simultaneamente, cumprir exigências sanitárias e violar princípios de proteção de dados, como finalidade e necessidade. Mittelstadt e Floridi (2016) já apontavam que, em contextos biomédicos, a ausência de alinhamento entre diferentes camadas regulatórias tende a gerar insegurança jurídica e práticas inconsistentes.
Outro elemento crítico reside na dissociação entre políticas institucionais de privacidade e sua efetiva implementação nas práticas cotidianas. A adoção de termos de consentimento e políticas formais, embora necessária, não se mostra suficiente para garantir a conformidade material com a LGPD.
Conforme argumenta Doneda (2019), a proteção de dados pessoais deve ser compreendida como um processo contínuo, que exige a incorporação de seus princípios na própria estrutura organizacional. No ambiente hospitalar, essa incorporação enfrenta obstáculos relevantes, sobretudo em razão da necessidade de compartilhamento ágil de informações entre equipes multidisciplinares. Sem mecanismos robustos de controle de acesso e auditoria, esse compartilhamento pode ocorrer de forma indiscriminada, em desacordo com o princípio da minimização.
A governança de dados emerge, nesse cenário, como elemento central para a mitigação de riscos. Bioni (2021) sustenta que a LGPD inaugura um modelo de responsabilização baseado na gestão de riscos, no qual o cumprimento da norma depende da capacidade das organizações de identificar, avaliar e mitigar vulnerabilidades de forma contínua.
O setor da saúde, essa abordagem se torna ainda mais relevante, dada a natureza dinâmica e sensível dos dados envolvidos. A ausência de integração entre áreas jurídicas, tecnológicas e assistenciais compromete a efetividade das medidas de proteção, criando lacunas que podem resultar em responsabilização administrativa e civil.
A atuação da ANPD reforça a necessidade de uma abordagem mais estruturada, ao estabelecer diretrizes que enfatizam a adoção de boas práticas e governança como elementos essenciais para a conformidade. Ainda assim, observa-se que muitas instituições permanecem em um estágio inicial de maturidade, concentrando esforços em adequações pontuais, sem avançar para modelos integrados de gestão de dados. Essa limitação é particularmente problemática em um contexto no qual a digitalização dos serviços de saúde, incluindo prontuários eletrônicos e telemedicina, amplia exponencialmente o volume e a circulação de informações sensíveis.
A persistência dessas fragilidades indica que a exposição de hospitais e clínicas não decorre de ausência normativa, mas de dificuldades estruturais na implementação de um modelo efetivo de proteção de dados. A complexidade do ambiente regulatório, aliada à especificidade das operações de saúde, exige uma abordagem que ultrapasse a conformidade formal e se concentre na construção de uma cultura organizacional orientada à proteção de dados. Nesse sentido, a LGPD não se apresenta apenas como um instrumento jurídico, mas como um vetor de transformação institucional, cuja efetividade depende da capacidade das organizações de alinhar regulação, tecnologia e práticas assistenciais em um sistema coerente de governança.
________________
BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2021.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 2. ed. São Paulo: Thomson Reuters Brasil, 2019.
IBM Security. Cost of a Data Breach Report 2023. Disponível em: https://www.ibm.com/reports/data-breach
KRUSE, Clemens Scott et al. Cybersecurity in healthcare: A systematic review of modern threats and trends. Technology and Health Care, v. 25, n. 1, p. 1–10, 2017.
MITTELSTADT, Brent; FLORIDI, Luciano. The ethics of big data: current and foreseeable issues in biomedical contexts. Science and Engineering Ethics, v. 22, p. 303–341, 2016.
RUMBOLD, John M. M.; PIERCIONEK, Barbara K. The effect of the general data protection regulation on medical research. Journal of Medical Internet Research, v. 19, n. 2, e47, 2017.
BRASIL. Lei Geral de Proteção de Dados Pessoais. Autoridade Nacional de Proteção de Dados. Diretrizes e orientações sobre aplicação da LGPD. Disponível em: https://www.gov.br/anpd