Pessoa utilizando um tablet, com ícones digitais flutuantes representando segurança da informação, proteção de dados e tecnologia.
  1. Início >
  2. Proteção de Dados >
  3. LGPD na Saúde Suplementar: Como proteger Dados Pessoais e garantir Conformidade Legal >
Por Fernando Pena  
Atualizado em
10 minutos para ler

LGPD na Saúde Suplementar: Como proteger Dados Pessoais e garantir Conformidade Legal

A LGPD na saúde suplementar tornou a proteção de dados muito mais do que uma obrigação legal — ela se tornou uma questão de sobrevivência empresarial e ética profissional.

Em dezembro de 2024, o acordo histórico entre ANS e ANPD consolidou um novo patamar regulatório no setor.  Operadoras de planos de saúde, empresas que oferecem benefícios e prestadores de serviços enfrentam agora fiscalização mais rigorosa, em razão dos riscos inerentes ao setor. 

Este cenário exige que gestores e profissionais compreendam não apenas a LGPD, mas a complexa interação entre ANPD, ANS, suas Resoluções Normativas e as particularidades dos dados sensíveis de saúde.  

E o custo da não conformidade é muito alto. 

Apenas no primeiro semestre de 2025, foram registrados mais de 11.000 incidentes de segurança no setor, com prejuízos que superam milhões de reais e, mais grave, comprometem vidas humanas. A proteção de dados deixou de ser “assunto de TI” e virou questão estratégica que pode custar milhões, tanto em multas quanto em reputação. 

A boa notícia? Com as ações certas, você transforma conformidade em vantagem competitiva. Boa leitura!

 

ANS e ANPD: Quem regula o quê na saúde suplementar? 

Considerando o setor da saúde como panorama, é importante compreender que o sistema brasileiro de proteção de dados opera em camadas complementares, não concorrentes.  

A ANPD (Agência Nacional de Proteção de Dados) é a autoridade nacional responsável por fiscalizar e aplicar sanções relacionadas à Lei Geral de Proteção de Dados (Lei 13.709/2018). Sua competência é transversal, abrangendo todos os setores da economia que tratam dados pessoais. Já a ANS (Agência Nacional de Saúde Suplementar) regula especificamente o mercado de planos de saúde e estabelece obrigações setoriais através de suas Resoluções Normativas. 

Em dezembro de 2024, essas duas agências reguladoras firmaram um Acordo de Cooperação Técnica pioneiro no país. Este foi o primeiro acordo entre a ANPD e uma agência reguladora setorial, marcando a consolidação institucional da complementaridade entre regulação geral de proteção de dados e regulação específica da saúde suplementar.  

O acordo prevê compartilhamento de conhecimentos técnicos, elaboração de materiais educativos, campanhas de sensibilização e maior eficácia no acompanhamento do cumprimento da LGPD no setor. 

 

Como a LGPD na saúde suplementar influencia a atuação da ANS e da ANPD

A interação entre essas autoridades funciona assim:  

  • A ANPD estabelece diretrizes nacionais de proteção de dados, fiscaliza o cumprimento da LGPD e aplica sanções administrativas.  
  • A ANS, por sua vez, define normas específicas para a saúde suplementar através de Resoluções Normativas, fiscaliza o cumprimento de obrigações regulatórias setoriais e trata dados para execução de políticas públicas. 

Ambas as agências podem fiscalizar e sancionar, criando um ambiente de dupla responsabilização que exige atenção redobrada das operadoras. 

 

O desafio dos dados sensíveis e o impacto da LGPD na saúde suplementar

Dados de saúde não são dados comuns. A LGPD os classifica como dados pessoais sensíveis (Art. 5º, II), na mesma categoria de origem racial, convicção religiosa e biometria.  

Essa classificação não é acidental: dados de saúde são inalteráveis, vitalícios e, quando vazados, causam danos que vão muito além do constrangimento. Eles podem resultar em discriminação no trabalho, negativa de seguros, estigmatização social e, em casos extremos, comprometer a própria assistência médica. 

Para operadoras de planos de saúde, o desafio é exponencial. Com mais de 52 milhões de beneficiários em planos médico-hospitalares no Brasil (dados de maio de 2025), essas organizações realizam tratamento em larga escala de dados sensíveis. O fluxo é complexo: dados são coletados em consultórios, hospitais, laboratórios, farmácias e através de telemedicina.  

Circulam entre prestadores, operadoras, auditores médicos e sistemas da ANS. São processados para autorização de procedimentos, faturamento, auditoria, prevenção de fraudes e programas de promoção de saúde. 

As operadoras de saúde suplementar possuem uma grande quantidade de fluxos, assim como uma grande quantidade de origens e destinatários de dados, com o agravante desses dados serem em sua maioria dados sensíveis. Essa complexidade da cadeia produtiva exige que organizações de saúde alcancem níveis de segurança comparáveis às instituições financeiras, considerando a sensibilidade dos dados e o dano potencial de seu tratamento inadequado. 

 

Confira também o  artigo “Gestão de Dados de Saúde e Análise Preditiva: Desafios, Oportunidades e Diretrizes sob a Ótica da LGPD”, publicado na Revista de Direito da Saúde Suplementar nº 8, em que Fernando Dolabela e Rafael Camargo analisam as normas da ANS e da ANPD sobre o uso ético e responsável de dados pessoais na saúde suplementar em análises preditivas.

 

3 Casos Reais Que Todo Gestor Deve Conhecer

1. Grupo Fleury e o ataque de milhões

Em junho de 2021, hackers capturaram 450 GB de dados do Fleury, incluindo resultados de exames, transações bancárias e informações médicas sensíveis. O prejuízo documentado: R$ 29,4 milhões em despesas não recorrentes. Em maio de 2023, sofreram novo ataque, mostrando que vulnerabilidade não corrigida é porta aberta para reincidência.

 

2. Hospital da USP: 769 Consultas Canceladas

No Hospital da Universidade de São Paulo um Ransomware comprometeu 600 computadores em março de 2023. O resultado foram dias de sistemas paralisados, atendimentos suspensos, 769 consultas canceladas. O custo operacional e reputacional foi incalculável, mesmo sem pagamento de resgate.

 

3. Ministério da Saúde: 243 Milhões de Registros Expostos

Em incidente ocorrido em 2022, credenciais do sistema e-SUS Notifica ficaram expostas por seis meses em 2020, com dados de 243 milhões de pessoas acessíveis. A causa? Senhas publicadas no código-fonte, codificadas apenas em Base64 (facilmente decodificável). A ANPD aplicou sanções ao órgão em 2024, além de exigir cronograma para adoção de medidas corretivas. 

Mesmo gigantes falham.  

As vulnerabilidades mais comuns são evitáveis: senhas fracas, falta de autenticação multifator, sistemas desatualizados, ausência de cultura de segurança. 

 

7 Ações prioritárias para garantir conformidade com a LGPD na saúde suplementar

1. Nomeie um DPO (Encarregado) Qualificado

Não é opcional, é obrigação prevista na LGPD e nas resoluções da ANPD. O DPO é seu canal oficial com a ANPD e os titulares. Publique nome completo, e-mail e telefone com destaque no site. Evite conflitos de interesse (não acumule com TI, auditoria ou compliance interno).

 

2. Mapeie todos os fluxos de dados (ROPA)

O Registro de Operações de Tratamento (art. 37 da LGPD) é essencial para demonstrar conformidade. 

Ele descreve que dados são coletados, para qual finalidade, com qual base legal, de onde vêm, com quem são compartilhados, quanto tempo são retidos e quais medidas de proteção são aplicadas. 

Mais do que um documento, é uma ferramenta viva de governança e prestação de contas (accountability).

 

3. Estruture um Programa de Governança em Privacidade

A conformidade não se resume a políticas isoladas. É necessário instituir um Programa de Governança em Privacidade, com papéis definidos, procedimentos formais e mecanismos de monitoramento. 

Esse programa deve incluir: 

1. Aviso de Privacidade e Política Interna de Proteção de Dados; 

2. Procedimento para avaliação de novos tratamentos (Privacy by Design e Relatórios de Impacto); 

3. Revisões periódicas de riscos e controles; 

4. Registro e gestão de incidentes de segurança; 

5. Comitê de Privacidade ou estrutura equivalente de supervisão. 

A ANPD valoriza organizações que demonstram capacidade de governança contínua e cultura de proteção de dados.

 

4. Revise todos os contratos

Todo parceiro que tenha acesso a dados pessoais, prestadores de serviço, auditores, laboratórios e fornecedores de sistemas devem estar vinculado por cláusulas contratuais específicas de proteção de dados. 

Lembre-se que a responsabilidade é solidária, se um parceiro causar um vazamento, a empresa controladora também responde. Garanta que os contratos prevejam deveres claros de confidencialidade, segurança, notificação de incidentes e exclusão de dados ao término da relação.

 

5. Treine sua equipe (o elo mais fraco)

Cerca de 82% dos incidentes decorrem de falha humana. Capacite todos os colaboradores sobre boas práticas de proteção de dados, com: 

1. Treinamento obrigatório na admissão. 

2. Reciclagens. 

3. Campanhas periódicas de conscientização. 

4. Simulações e testes práticos de resposta a incidentes. 

A cultura de privacidade começa pelas pessoas.

6. Crie um Plano de Resposta a Incidentes

Quando houver um incidente de dados pessoais, a organização deve reagir rapidamente. 

A LGPD exige notificação à ANPD e aos titulares em até 72 horas, se houver risco ou dano relevante. Tenha um plano documentado que defina: quem aciona, como conter, investigar, comunicar e prevenir novas ocorrências.

7. Estabeleça canal para Direitos dos Titulares

Titulares têm o direito de confirmar o tratamento, acessar, corrigir, eliminar ou portar seus dados, além de revogar consentimento. Além disso, a resposta deve ser gratuita e ocorrer em até 15 dias. 

Um canal estruturado demonstra respeito e transparência, reforçando a confiança do público e o compromisso institucional com a privacidade. 

LEIA TAMBÉM: Cuidados no uso de dados de saúde: Perguntas Frequentes (FAQ)

O Que Vem Por Aí: Agenda 2025-2026 

A ANPD incluiu “dados de saúde” entre os temas prioritários na Agenda Regulatória 2025-2026. Não apenas significa que uma regulamentação específica para o setor está vindo, mas que a tolerância com não conformidade pode estar acabando. 

 

3 Erros Fatais Que Derrubam Empresas 

Erro 1: Confundir documentação com proteção 

Ter política de 50 páginas no site não protege nada se senhas são “123456” e sistemas estão desatualizados. Compliance efetivo exige equilíbrio entre papel e prática. 

 

Erro 2: Tratar LGPD como projeto de TI 

A conformidade com a LGPD vai muito além da tecnologia , ela exige uma abordagem jurídica estratégica e multidisciplinar. 

Nas operadoras e organizações de saúde suplementar, é indispensável a atuação de advogados e escritórios especializados em proteção de dados e regulação da saúde, capazes de interpretar corretamente as bases legais, avaliar riscos no tratamento de dados sensíveis e alinhar práticas internas às normas da ANPD e da ANS. 

TI, RH, operações e atendimento têm papéis essenciais, mas sem orientação jurídica qualificada, a conformidade se torna frágil e expõe a instituição a sanções e danos reputacionais.

 

.Erro 3: Ignorar fornecedores e parceiros 

Se um laboratório terceirizado vaza dados, você também responde. Contratos devem definir claramente papéis, obrigações de segurança, direito de auditoria e responsabilidades. Due diligence antes de contratar é essencial. 

 

Conformidade é investimento, não custo 

A proteção de dados na saúde é, em última análise, extensão do dever de cuidado. Assim como não prestamos assistência médica sem biossegurança, não podemos tratar dados de saúde sem proteção adequada. Honrar essa confiança não é apenas obrigação legal, é imperativo ético que define o caráter das organizações que cuidam de vidas

. 

Artigos relacionados

Fale o que você pensa

O seu endereço de e-mail não será publicado.

Artigos populares

Últimos Artigos