Hospitais, laboratórios, clínicas, operadoras de saúde e outros prestadores de serviço do setor de saúde vêm-se adequando à lei, mas ainda persistem desigualdades regionais O compliance médico — conjunto de políticas, procedimentos e controles que orienta a atuação de organizações do setor da saúde e de seus profissionais — já vinha ganhando relevância no cenário de crescente judicialização do setor de saúde, no qual demandas de pacientes contra operadoras de saúde e prestadores de serviço frequentemente vão parar no Judiciário. Recentemente, se tornou ainda mais importante e complexo com questões relacionadas à cibersegurança e ao sigilo dos dados pessoais, determinado pela Lei Geral de Proteção de Dados Pessoais (LGPD). Hospitais, laboratórios, clínicas, operadoras de saúde e outros prestadores de serviço vêm-se adequando, mas ainda persistem desigualdades regionais. Se a estruturação de processos de compliance já era uma realidade em redes de laboratórios e hospitais, nos últimos anos a LGPD tem incentivado agentes do setor a aprimorar os processos. “A LGPD exigiu que laboratórios e hospitais revisassem seus processos internos, demandando elevado nível de maturidade tecnológica e organizacional”, afirma Camila Parise, sócia do escritório Pinheiro Neto Advogados. “O ecossistema de saúde é complexo, envolve uma diversidade de entidades e um volume significativo de dados que se materializa em prontuários, fichas de atendimento e internação, laudos, exames, prescrições e termos de consentimento, entre outros documentos.” Camila Parise, sócia do Pinheiro Neto Advogados, diz que a LGPD exigiu que laboratórios e hospitais revisassem seus processos internos — Foto: Foto: Divulgação A LGPD considera que dados relativos à saúde — prontuários médicos, resultados de exames, uso de medicamentos etc. — são sensíveis, uma vez que sua divulgação pode causar graves danos aos seus titulares. No caso de vazamento de dados pessoais, as empresas ficam sujeitas a penalidades como multas que podem atingir 2% do faturamento, até o limite de R$ 50 milhões por incidente. Além disso, um incidente de vazamento costuma abalar a imagem das instituições. Por isso, dados pessoais sensíveis demandam ainda mais cuidados. Shenandoan Daur, CIO do Real Hospital Português (RHP), considera que a LGPD “impõe uma camada adicional de complexidade ao compliance médico, exigindo uma proteção robusta para dados pessoais sensíveis”. Ele lembra que a necessidade de cuidado com os dados pessoais dos usuários possui particularidades em um setor que opera produzindo dados sensíveis. “Quando falamos de cibersegurança, você imagina, por exemplo, dados de cartão de crédito. Isso tem um impacto, mas é possível trocar os dados do cartão de crédito. Mas como fazer com os seus dados pessoais e de saúde? Um diagnóstico? Não é possível mudar o seu diagnóstico.” No RHP, por exemplo, houve iniciativas de adequação à lei que envolveram o mapeamento das atividades internas do hospital a partir da integração das áreas de privacidade e segurança. Esse inventário das atividades se mostra relevante na medida em que elas se valem sempre da utilização de dados sensíveis dos pacientes, explica Raquel Perdigão, gerente de governança, riscos e compliance do RHP. O hospital não investiu apenas no mapeamento das atividades, mas também no treinamento. “Quando se fala de privacidade, capacitação é a palavra-chave. A LGPD é uma lei de 2018, então é um tema muito novo pra todo mundo, inclusive para os próprios médicos.” Além de promover uma “semana da privacidade”, na qual profissionais externos vão ao hospital tratar do tema, a capacitação tem frentes como uma plataforma de educação on-line, onde há trilhas de desenvolvimento e cursos sobre o assunto. E, ainda, há um processo de integração obrigatória que inclui um módulo de privacidade e proteção. “A nossa maior preocupação é a atuação preventiva, capacitar o nosso corpo clínico e os colaboradores para as áreas mais complexas e críticas, como as áreas de tecnologia de informação e de imagens, que têm acesso aos resultados de exames. Todo mundo precisa ter conhecimento de modo a evitar a judicialização, perdas, exposição ao paciente e dano reputacional”, diz Perdigão. Elysangela Rabel, sócia da área de Life Sciences e Healthcare do Demarest Advogados Rabelo, considera que a situação referente a dados pessoais sensíveis, no país como um todo, ainda requer atenção — Foto: Foto: Divulgação Elysangela Rabelo, sócia do escritório Demarest Advogados, considera que, apesar dos avanços e do maior entendimento sobre proteção de dados pessoais, se analisada do ponto de vista geral, a situação no país como um todo ainda requer atenção. “A realidade brasileira é heterogênea e marcada por diferenças regionais relevantes. Dados do Censo Nacional das Unidades Básicas de Saúde 2024, do Ministério da Saúde, mostram que, embora a maioria das unidades possua acesso à internet (94,6%), apenas cerca de 65,2% consideram que essa conexão é adequada, além de haver desigualdades importantes na infraestrutura tecnológica e na capacidade de integração entre sistemas de saúde.” Segundo ela, esses dados evidenciam que a digitalização e a gestão de informações em saúde ainda se desenvolvem de forma desigual no país. “Isso impacta diretamente a implementação uniforme de práticas de proteção de dados”, afirma. De acordo com Rabelo, nos grandes centros urbanos há estruturas mais robustas de governança e tecnologia, mas, em outras regiões e entre players de menor porte, os desafios operacionais podem ser mais significativos. “Aspectos como capacidade de investimento, disponibilidade de equipes especializadas e maturidade organizacional tendem a influenciar o ritmo e a profundidade da implementação de programas de compliance e proteção de dados”, afirma.
Com a LGPD, o compliance médico ganha mais relevância com cenário de crescente judicialização do setor
Hospitais, laboratórios, clínicas, operadoras de saúde e outros prestadores de serviço do setor de saúde vêm-se adequando à lei, mas ainda persistem desigualdades regionais







