Cinco anos após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o setor de saúde ainda enfrenta obstáculos relevantes para garantir a conformidade no tratamento de informações sensíveis dos pacientes. A digitalização trouxe ganhos operacionais importantes para clínicas e hospitais, mas também aumentou a exposição a riscos cibernéticos e vazamentos, especialmente em instituições que ainda não investiram em governança, segurança da informação e cultura de proteção de dados.
Em entrevista ao Saúde Digital News, Walter Calza Neto, Data Protection Officer da Dentalpar, analisa os principais desafios da adequação à LGPD no ambiente hospitalar, alerta para a vulnerabilidade das pequenas clínicas e reforça a importância de uma atuação proativa e contínua. Para ele, mais do que tecnologia, proteger dados em saúde exige mudança de mentalidade, capacitação constante e o reconhecimento de que a confiança do paciente começa pela privacidade.
1. Quais são os principais desafios que clínicas e hospitais enfrentam para se adequarem à LGPD no tratamento de dados de pacientes?
O maior desafio que clínicas e hospitais enfrentam para se adequar à LGPD não é apenas técnico, mas cultural. Ainda existe uma resistência, especialmente em clínicas menores, de reconhecer que o tratamento de dados pessoais — em especial os dados de saúde, que são dados sensíveis — é uma obrigação legal que precisa ser levada a sério. Muitos esperam a chegada de uma fiscalização para agir, quando na verdade já deveriam estar se preparando há muito tempo. A lei já está em vigor a quase 5 anos.
Diferente disso, hospitais maiores e operadoras mais robustas já deram passos importantes, implementando cultura e políticas de proteção de dados e sistemas seguros. Além disso, é comum vermos que muitas dessas clínicas nem mesmo cumprem a obrigação do prontuário eletrônico, prevista em lei, já em vigor há 7 anos, o que evidencia um cenário ainda mais preocupante.
2. Como garantir a segurança e a privacidade dos prontuários eletrônicos em um ambiente digital cada vez mais conectado?
Garantir a segurança e a privacidade dos prontuários eletrônicos não é apenas uma boa prática — é uma obrigação legal estabelecida pela Lei nº 13.787/2018, que regulamenta a digitalização, o uso e o armazenamento de prontuários em meio eletrônico. Essa lei exige que os sistemas adotados por clínicas e hospitais assegurem a autenticidade, integridade, confidencialidade e disponibilidade das informações, com requisitos como assinatura digital com certificado ICP-Brasil, controle de acessos, registro de logs e proteção contra alterações não autorizadas.
Além disso, a LGPD e a Resolução ANS nº 81/2023 reforçam que os dados de saúde são sensíveis e exigem medidas técnicas e administrativas rigorosas. Mas a segurança não depende só do sistema — depende também do comportamento de quem o utiliza. É fundamental que os usuários adotem senhas fortes, ativem o duplo fator de autenticação e, principalmente, jamais compartilhem suas credenciais de acesso. Esses cuidados são parte essencial da cultura de proteção de dados.
3. A interoperabilidade entre sistemas de saúde pode comprometer a privacidade dos dados dos pacientes? Como mitigar esses riscos?
Sim, a interoperabilidade entre sistemas de saúde pode comprometer a privacidade dos dados dos pacientes, principalmente porque amplia os pontos de acesso e aumenta os riscos de vazamentos ou usos indevidos. Para mitigar esses riscos, é essencial garantir que a troca de informações ocorra de forma segura e estruturada, com uso de padrões como HL7 ou FHIR, criptografia de ponta a ponta, autenticação multifator, controle de acesso por perfil, registros de log e auditorias regulares. Além disso, é fundamental que as instituições realizem avaliações de impacto à privacidade antes de implantar novos sistemas, capacitem suas equipes e sigam as diretrizes da LGPD, já que os dados de saúde são sensíveis e exigem proteção especial. A própria ANS, em conjunto com a ANPD, tem reforçado essa responsabilidade por meio de normas e acordos de cooperação para fortalecer a segurança da informação no setor. A interoperabilidade é um avanço, mas só pode ser adotada com responsabilidade e estrutura de segurança robusta.
4. De que forma a digitalização de processos hospitalares aumentou a exposição de informações sensíveis?
A digitalização dos processos hospitalares trouxe ganhos importantes em agilidade, integração e eficiência no cuidado com o paciente. No entanto, também aumentou significativamente a exposição de informações sensíveis. Ao sair do papel e passar a circular por sistemas, redes, aplicativos e dispositivos, os dados de saúde ficaram mais acessíveis — e, com isso, mais vulneráveis a vazamentos, acessos indevidos ou falhas de segurança. Hoje, basta um sistema desatualizado ou uma falha humana, como o envio de um e-mail para o destinatário errado, para que dados sensíveis extremamente críticos sejam expostos.
Mais do que tecnologia, a digitalização exige uma mudança de cultura dentro das instituições. É preciso que todos, desde a recepção até os profissionais de TI, compreendam que a proteção de dados é parte do cuidado com o paciente. Isso inclui seguir a Lei nº 13.787/2018, que regula o prontuário eletrônico, a LGPD, que trata os dados de saúde como sensíveis, e normas específicas como a Resolução ANS nº 81/2023, que traz diretrizes claras sobre segurança da informação.
Sem essa consciência institucional, a digitalização, em vez de proteger e organizar, pode se tornar um risco adicional. Por isso, tecnologia e cultura precisam andar juntas para garantir a privacidade, a segurança e o respeito à dignidade do paciente.
5. Quais práticas são consideradas essenciais para garantir a conformidade com a LGPD em ambientes hospitalares?
Para garantir a conformidade com a LGPD em ambientes hospitalares, é essencial ir além do cumprimento formal da lei — é preciso criar uma estrutura sólida de governança de dados. O primeiro passo é mapear todos os fluxos de dados pessoais e sensíveis dentro da instituição, identificando onde estão, quem acessa, por que motivo e com qual base legal. A partir disso, deve-se nomear um Encarregado de Proteção de Dados (DPO), responsável por orientar a instituição e servir de canal com os titulares e a ANPD.
Também é fundamental implementar políticas internas claras de privacidade e segurança da informação, que estejam alinhadas com a Lei nº 13.787/2018, a LGPD e as resoluções da ANS, especialmente a RA nº 80/2022 e a RA nº 81/2023. Isso inclui medidas técnicas como criptografia, backups seguros, controle de acesso por perfil, autenticação multifator, uso de sistemas compatíveis com as exigências legais, e monitoramento constante por meio de logs e auditorias.
Além da tecnologia, a capacitação contínua das equipes é indispensável. Profissionais da saúde e da administração precisam entender que estão lidando com dados sensíveis e que a proteção dessas informações é parte do cuidado ao paciente. Também devem estar preparados para identificar e reagir a incidentes de segurança, seguindo protocolos internos bem definidos.
6. A falta de investimentos em infraestrutura de TI é um dos obstáculos para a proteção de dados em hospitais?
Depende. Muitos hospitais já compreenderam a importância da proteção de dados e têm investido em infraestrutura de TI, sistemas seguros e equipes treinadas. Eles entenderam que segurança da informação não é apenas uma exigência legal da LGPD, mas parte fundamental da qualidade no atendimento e da confiança do paciente. Por outro lado, ainda há clínicas e hospitais que não deram a devida prioridade ao tema, tratando a proteção de dados como algo secundário ou esperando a fiscalização chegar para agir.
Essa postura é arriscada e compromete diretamente a segurança dos dados sensíveis. A ANS, por meio da Resolução nº 80/2022, que trata da Política de Proteção de Dados, e da nº 81/2023, que trata da Política de Segurança da Informação, estabelece com clareza que as instituições devem adotar medidas técnicas e administrativas para garantir a confidencialidade, integridade e disponibilidade das informações.
E isso só é possível com uma mudança de cultura, onde a proteção de dados seja encarada como parte da missão institucional. É preciso investir em treinamentos contínuos, capacitações específicas para cada área, adoção de sistemas seguros e homologados conforme a Lei nº 13.787/2018, e em uma infraestrutura de segurança robusta, com controle de acesso, criptografia, backups confiáveis e monitoramento constante. Sem esse tripé — cultura, capacitação e estrutura — a conformidade não se sustenta, e a confiança dos pacientes fica em risco.
7. Como o vazamento de dados em clínicas e hospitais impacta a confiança dos pacientes nas instituições de saúde?
Quando um dado de saúde vaza — seja um diagnóstico, um exame ou uma informação pessoal — a confiança do paciente vai embora junto. Ele se sente exposto, desrespeitado e, muitas vezes, evita continuar o tratamento por medo de ser julgado ou ter sua privacidade violada. E a reputação da clínica ou hospital pode ser abalada de forma irreversível.
O impacto de um vazamento não é só técnico — é humano, jurídico e emocional. A LGPD obriga a instituição a comunicar o paciente e a ANPD, e as consequências podem incluir processos, multas e, principalmente, perda de credibilidade. Segurança da informação não é só sobre sistemas. É sobre respeito, cuidado e compromisso com quem mais importa: o paciente. Confiar seus dados a alguém é um ato de vulnerabilidade. E perder essa confiança custa muito mais do que consertar um servidor.
8. As auditorias e avaliações periódicas de segurança são suficientes para garantir a proteção de informações sensíveis?
Não. Auditorias e avaliações de segurança, por si só, não garantem a proteção de informações sensíveis. Elas são importantes — ajudam a identificar falhas, verificar a conformidade e apontar melhorias —, mas segurança de dados não é um evento pontual, é um processo contínuo. As ameaças evoluem o tempo todo, e o que está seguro hoje pode estar vulnerável amanhã.
Por isso, além das auditorias periódicas, é essencial adotar uma estratégia mais ampla, que inclua o monitoramento constante dos sistemas, testes de intrusão (pentests), planos de resposta a incidentes, gestão ativa de riscos e, talvez o mais importante, a conscientização permanente das equipes. A Resolução ANS nº 81/2023 deixa claro que a segurança da informação deve estar enraizada na cultura da instituição. Não basta auditar — é preciso viver segurança no dia a dia, com processos bem estruturados, tecnologia atualizada e pessoas treinadas para agir com responsabilidade.
9. Tecnologias emergentes, como blockchain e criptografia avançada, podem ajudar a fortalecer a privacidade de dados em saúde digital?
Sim, tecnologias como blockchain e criptografia avançada podem fortalecer a privacidade dos dados em saúde digital. O blockchain garante rastreabilidade e integridade dos registros, enquanto criptografias modernas permitem o uso e análise de dados sem expor informações sensíveis. Essas soluções são especialmente úteis em ambientes com grande troca de informações, como hospitais e redes integradas. No entanto, ainda enfrentam desafios como custo e complexidade, sendo mais viáveis em instituições com maior maturidade tecnológica. Sozinhas, não bastam — precisam estar integradas a uma estratégia de segurança, com processos, governança e equipe preparada.
10. Quais são as expectativas para os próximos anos em termos de regulamentação e evolução da proteção de dados no setor de saúde?
Com a digitalização acelerada da sociedade e, por consequência, da saúde, muita coisa está mudando, e rápido. Tecnologias como inteligência artificial, blockchain, criptografia avançada e, em um futuro próximo, a computação quântica, estão transformando a forma como lidamos com os dados dos pacientes. É um novo cenário, cheio de possibilidades, mas que também exige muito cuidado.
Sabendo disso, a ANPD e a ANS já estão se movimentando. Desde 2024, firmaram uma parceria para construir regras mais claras e específicas para o setor. O objetivo é proteger melhor os dados, garantir mais segurança nos sistemas e orientar o uso responsável da tecnologia, especialmente em temas como interoperabilidade e inteligência artificial.
Mas no fim das contas, tudo isso só vai funcionar se houver algo essencial: compromisso real com a privacidade das pessoas. Não basta ter um bom sistema. É preciso ter consciência. É preciso criar uma cultura onde todos, da recepção ao alto escalão, entendam que proteger dados é cuidar de gente.
A tecnologia ajuda, claro. Mas quem faz a diferença são as pessoas. E quem entender isso primeiro, não só estará em conformidade com a lei vai conquistar o mais importante: a confiança de quem mais importa, o paciente.
