IA e Direito Digital em Saúde

Equipamentos de laboratório de genética em bancada de laboratório brasileiro.

Direito Digital em Saúde

IA, telemedicina e dados sensíveis — conformidade jurídica para operadoras, clínicas e healthtechs.

Advocacia em Direito Digital aplicado à saúde em São Paulo. Adequação LGPD, resposta a incidentes, compliance de healthtech, regulação da telemedicina e responsabilidade civil por sistemas de IA médica.

LGPD

Adequação à Lei Geral de Proteção de Dados com foco em dados sensíveis de saúde.

Plantão

Resposta emergencial a incidentes cibernéticos e vazamentos em até 24h.

ANPD

Defesa em procedimentos administrativos da Autoridade Nacional de Proteção de Dados.

Integrado

Atuação coordenada entre LGPD, CFM, ANS, ANVISA e Direito Médico tradicional.

Sumário

O que este pilar cobre sobre IA e Direito Digital em saúde.

O que é direito digital aplicado à saúde

Direito Digital aplicado à Saúde é a intersecção entre o Direito Digital (LGPD, Marco Civil, Lei de Crimes Cibernéticos), o Direito Médico (ética CFM, sigilo, prontuário) e o Direito Regulatório setorial (ANS, ANVISA, ANPD). Cobre toda operação de saúde que envolva tecnologia, dados pessoais sensíveis e automação: desde um hospital que opera um prontuário eletrônico até uma startup que oferece diagnóstico por machine learning.

A área cresceu exponencialmente após a entrada em vigor da LGPD em 2020, a consolidação da telemedicina pela Res. CFM 2.381/2024 e a expansão de sistemas de inteligência artificial em diagnóstico, triagem, auditoria de planos de saúde e gestão hospitalar. Cada uma dessas frentes tem regras específicas — e riscos próprios de responsabilização cível, administrativa e ética.

Dados de saúde são dados sensíveis pela LGPD. Qualquer operação envolvendo histórico clínico, exames, diagnósticos, genéticos ou biométricos está sob regime mais rigoroso — exige base legal específica, consentimento destacado, governança robusta e resposta estruturada a incidentes.

Frentes de atuação

9 frentes do direito digital em saúde.

Operadoras, clínicas, hospitais, healthtechs e grupos médicos lidam simultaneamente com frentes distintas da intersecção entre tecnologia e saúde. Cada frente tem regulação e risco próprios.

01

LGPD em dados de saúde

Dados de saúde são dados sensíveis (art. 5º, II, LGPD). Tratamento exige consentimento específico e finalidade legítima. Cobrimos adequação de operadoras, clínicas e hospitais.

02

Telemedicina

Resolução CFM 2.381/2024 é o marco atual. Regula teleconsulta, telecirurgia, telediagnóstico, teletriagem. Exige consentimento, registro e validação profissional do médico.

03

Prontuário eletrônico

Res. CFM 1.821/2007 + assinatura digital ICP-Brasil. Guarda mínima de 20 anos, requisitos de integridade, autenticidade e disponibilidade.

04

IA diagnóstica

Sistemas de apoio ao diagnóstico por machine learning, reconhecimento de imagens e análise preditiva. Responsabilidade do médico, do desenvolvedor e do hospital em caso de erro.

05

IA em operadoras

Auditoria automatizada, negativa por algoritmo, precificação por IA. Art. 20 da LGPD garante direito à revisão humana de decisões que afetam o titular.

06

Healthtechs e compliance

Startups de saúde: regulação ANS/ANVISA, adequação à LGPD, contratos de licenciamento, propriedade intelectual, governança de dados.

07

Pesquisa clínica

Uso de dados de saúde em pesquisa (CEP/CONEP, Res. CNS 466/12 e 510/16). Uso secundário, anonimização, termo de consentimento específico.

08

Decisões automatizadas

Art. 20, LGPD: direito à revisão humana de decisões automatizadas que afetem o interesse do titular. Crescente em recusas de planos, triagem e prioridade.

09

Incidente de segurança

Ataques a hospitais, vazamento de dados. Notificação à ANPD em prazo razoável, comunicação aos titulares, plano de resposta e mitigação. Riscos de sanção + dano moral coletivo.

Regime LGPD

Dados pessoais × dados sensíveis de saúde.

A LGPD trata dados de saúde como sensíveis — regime jurídico mais rigoroso. Entender essa distinção é o ponto de partida de toda adequação em saúde.

Regra geral LGPD

Dados pessoais comuns

Dados de identificação, contato, comportamento de consumo. Tratamento lícito com qualquer das 10 bases legais do art. 7º da LGPD (consentimento, execução de contrato, legítimo interesse, etc.).

Exemplos

  • Nome e CPF
  • Endereço e e-mail
  • Dados de navegação
  • Preferências de consumo
  • Histórico de pagamento
  • Dados cadastrais

Regime especial

Dados sensíveis de saúde

Definidos no art. 5º, II, da LGPD. Tratamento exige base legal específica — em regra, consentimento específico e destacado (art. 11, I), ou hipóteses restritas do art. 11, II.

Exemplos

  • Histórico clínico e diagnósticos
  • Exames e laudos
  • Genéticos (DNA, RNA)
  • Biometria (íris, voz, face)
  • Condições de deficiência
  • Dados psiquiátricos

Direito digital em saúde se assenta em múltiplas camadas normativas que se sobrepõem:

LGPD (Lei 13.709/2018)

  • Art. 5º, II — dados sensíveis incluem saúde, genéticos, biométricos.
  • Art. 7º — 10 bases legais para dados comuns.
  • Art. 11 — bases específicas para dados sensíveis.
  • Art. 18 — direitos do titular.
  • Art. 20 — direito à revisão humana de decisões automatizadas.
  • Art. 38 — Relatório de Impacto à Proteção de Dados (RIPD).
  • Arts. 52-54 — sanções administrativas.

Resoluções do CFM

  • Res. 2.381/2024 — telemedicina (atual).
  • Res. 2.314/2022 — telemedicina (anterior, ainda referenciada).
  • Res. 1.821/2007 — prontuário médico, inclusive eletrônico.
  • Res. 1.931/2009 — consentimento esclarecido.
  • Res. 2.217/2018 — Código de Ética Médica vigente.

Direito digital infraconstitucional

  • Lei 12.965/2014 — Marco Civil da Internet.
  • Lei 12.737/2012 — crimes cibernéticos (Lei Carolina Dieckmann).
  • Decreto 9.637/2018 — Política Nacional de Segurança da Informação.

Pesquisa clínica

  • Res. CNS 466/2012 — ética em pesquisa com seres humanos.
  • Res. CNS 510/2016 — pesquisa em ciências humanas e sociais.

Regulação setorial

ANS (operadoras de planos), ANVISA (dispositivos e aplicativos de saúde classificados como SaMD — Software as a Medical Device), Ministério da Saúde (políticas e certificações).

Conformidade estruturada

3 pilares da conformidade em saúde digital.

Adequação à LGPD em saúde não é documento único — é programa contínuo de governança. Três pilares sustentam qualquer operação sólida em dados sensíveis.

01

Base legal e consentimento

Toda atividade de tratamento de dados de saúde precisa de base legal específica (art. 11 LGPD). Consentimento, quando usado, deve ser destacado, específico e informado — não pode ser genérico ou escondido em termos de uso.

  • Mapeamento do fluxo de dados
  • Identificação da base legal por atividade
  • TCLE digital específico por finalidade
  • Política de privacidade granular
  • Revisão periódica do consentimento

02

Governança e DPO

Operadoras, hospitais e healthtechs que tratam dados sensíveis em escala precisam de Encarregado (DPO), Comitê de Privacidade e documentação de conformidade (RIPD, inventário). ANPD pode exigir a qualquer momento.

  • Nomeação formal de DPO/Encarregado
  • Comitê multidisciplinar de privacidade
  • RIPD (Relatório de Impacto) atualizado
  • Inventário de dados e atividades
  • Política de retenção e descarte

03

Resposta a incidentes

Incidente de segurança exige plano de resposta estruturado: contenção, investigação, notificação à ANPD em prazo razoável e comunicação aos titulares quando houver risco relevante. Ausência de resposta amplia a sanção.

  • Plano de resposta a incidentes
  • Definição de gatilhos de notificação
  • Modelo de comunicação aos titulares
  • Postmortem e medidas corretivas
  • Treinamento contínuo da equipe

Telemedicina: Res. CFM 2.381/2024

A Resolução CFM 2.381/2024 é o marco atual da telemedicina no Brasil, substituindo a 2.314/2022. Regula as modalidades: teleconsulta, telecirurgia, telediagnóstico, telemonitoramento, teletriagem, teleemergência e teleconsultoria entre médicos.

Exigências essenciais:

  • Registro do médico no CRM do Estado onde está fisicamente.
  • Consentimento específico do paciente, com registro.
  • Documentação eletrônica obrigatória (prontuário, receita, atestado).
  • Identificação segura do paciente — preferencialmente biométrica ou documental.
  • Local físico definido para o médico durante a consulta.
  • Respeito ao sigilo profissional e à LGPD.

Prontuário eletrônico e assinatura digital

A Res. CFM 1.821/2007 reconheceu a validade do prontuário eletrônico, desde que cumpridos requisitos de integridade, autenticidade, disponibilidade e guarda mínima de 20 anos. A assinatura digital em padrão ICP-Brasil é forma preferencial de autenticação. Padrões internacionais reconhecidos também podem ser aceitos.

Prontuário eletrônico bem estruturado é mais defensável do que em papel — permite timestamp preciso, rastreabilidade de alterações, cópia de segurança, controle de acesso granular.

IA diagnóstica e responsabilidade

Sistemas de IA aplicados ao diagnóstico — reconhecimento de imagens em radiologia e dermatologia, análise preditiva em oncologia, triagem em prontos-socorros, apoio à decisão clínica — proliferam no Brasil e no mundo. A responsabilidade por erro é multicamada:

  • Médico — mantém a decisão clínica final, responsável se indicou ou interpretou inadequadamente o output do sistema.
  • Hospital ou clínica — adotou o sistema, responsável por treinamento da equipe, validação do fornecedor e supervisão contínua.
  • Desenvolvedor — responsável por defeito de produto (CDC art. 12), falhas de algoritmo, vieses de treinamento, documentação inadequada.

Em casos concretos, a tese costuma envolver todos três no polo passivo, com discussão sobre quem teve contribuição causal. Jurisprudência brasileira ainda é emergente nesse campo, seguindo de perto precedentes europeus (EU AI Act) e norte-americanos.

IA em operadoras: negativas por algoritmo

Operadoras de planos de saúde usam IA crescentemente para: auditoria de sinistros, precificação atuarial, análise de risco, negativas de cobertura baseadas em algoritmos. O art. 20 da LGPD garante ao beneficiário o direito à revisão humana de decisões automatizadas que afetem seu interesse.

Negativa puramente automatizada, sem possibilidade de revisão humana demonstrável, é passível de anulação. Beneficiário pode exigir (i) explicação da lógica usada (respeitados segredos comerciais), (ii) critérios aplicados, (iii) revisão por profissional humano. Dano moral é cabível quando há recusa repetitiva ou arbitrária.

Healthtechs, startups e compliance

Healthtechs brasileiras operam em ambiente regulatório múltiplo: LGPD + ANS (quando há plano ou serviço integrado a operadora) + ANVISA (se o produto é classificado como dispositivo médico — SaMD) + Marco Civil + contratos com hospitais/operadoras.

Pontos centrais de compliance:

  • Classificação LGPD — controladora ou operadora conforme o caso, por vezes ambas em operações distintas.
  • Contratos DPA — Data Processing Agreement detalhado com cada parceiro.
  • Due diligence em M&A — investidores exigem prova de adequação LGPD e regulatória.
  • Regulatório ANVISA — registro de software como dispositivo médico quando aplicável (RDC 751/2022).
  • Regulatório ANS — autorização e credenciamento quando há serviço de saúde suplementar.

Pesquisa clínica e uso de dados

Pesquisa clínica com dados de saúde exige aprovação do CEP (Comitê de Ética em Pesquisa) e, em alguns casos, do CONEP. Consentimento específico do titular (Res. CNS 466/12 e 510/16). Uso secundário de dados já coletados tem restrições severas — precisa de nova base legal ou anonimização robusta.

Estudos observacionais com dados históricos de prontuários exigem avaliação específica do CEP, com consideração de anonimização, pseudonimização ou consentimento retroativo quando possível.

Decisões automatizadas (art. 20 LGPD)

O art. 20 da LGPD garante ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses — inclusive decisões de saúde. Aplicável a:

  • Negativas de cobertura por IA em planos de saúde.
  • Triagem algorítmica em prontos-socorros.
  • Priorização de filas cirúrgicas por IA.
  • Decisões de admissão em programas de cuidado.
  • Precificação dinâmica de planos individuais.

Incidente de segurança e notificação ANPD

Incidente de segurança é qualquer evento adverso que afete a confidencialidade, integridade ou disponibilidade de dados pessoais — ataque hacker, ransomware, vazamento por e-mail errado, perda de dispositivo, erro operacional.

Fluxo obrigatório:

  1. Contenção técnica imediata — bloqueio do vetor, preservação de logs.
  2. Avaliação do risco — quantidade de titulares afetados, sensibilidade dos dados, potencial de dano.
  3. Notificação à ANPD em prazo razoável (regulamento ANPD 15/2024 define procedimento).
  4. Comunicação aos titulares quando houver risco relevante.
  5. Plano de mitigação e medidas corretivas.
  6. Postmortem e aprendizado organizacional.

Hospitais são alvo frequente de ataques de ransomware nos últimos anos. Plano de resposta bem estruturado é indispensável.

Consequências típicas em violações de dados de saúde:

Sanção administrativa ANPD

Advertência, multa simples de até 2% do faturamento (limite R$ 50 mi por infração), multa diária, bloqueio de base de dados.

Dano moral individual

Entre R$ 5.000 e R$ 50.000 por titular afetado, conforme gravidade do vazamento ou da negativa de direito.

Dano moral coletivo

Ações civis públicas pelo MP ou Defensoria. Em vazamentos massivos, valores ultrapassam R$ 10 milhões.

Obrigação de adequação

Determinação judicial ou da ANPD para corrigir conduta, nomear DPO, implementar governança, treinar equipe.

Normas e jurisprudência emergente

Marco regulatório de IA e dados em saúde.

A área é recente — LGPD entrou em vigor em 2020, ANPD iniciou atividade sancionadora em 2023, telemedicina foi consolidada em 2024. Os marcos normativos essenciais para fundamentar cada tese:

LGPD — Lei 13.709/2018

Marco da proteção de dados no Brasil. Art. 11 trata de dados sensíveis (inclui saúde).

Res. CFM 2.381/2024

Atual regulação da telemedicina no Brasil — teleconsulta, telecirurgia, teleemergência.

Res. CFM 2.314/2022

Regulação anterior da telemedicina, ainda referenciada em casos da transição.

Res. CFM 1.821/2007

Prontuário médico — guarda, conteúdo, acesso, versão eletrônica.

Res. CFM 1.931/2009

Consentimento livre e esclarecido — base para TCLE digital.

Res. CNS 466/2012

Ética em pesquisa com seres humanos — aplicável a pesquisa clínica com dados.

Res. CNS 510/2016

Ética em pesquisa em ciências humanas e sociais com uso de dados.

Lei 12.965/2014

Marco Civil da Internet — responsabilidade de provedores e guarda de registros.

Art. 20 LGPD

Direito à revisão humana de decisões automatizadas — base contra negativas por algoritmo.

Resoluções CD/ANPD

Incidentes de segurança, proteção de crianças, DPO setorial, dosimetria de sanções.

Do diagnóstico à defesa

Atuação em conformidade em 7 fases.

Seja para prevenção (adequação LGPD) ou para resposta (incidente ou processo da ANPD), a atuação segue fases com prazos e entregáveis próprios. Estruturação desde o início reduz risco e custo.

  1. 01

    Diagnóstico da conformidade

    2-4 semanas

    Mapeamento das atividades de tratamento, fluxos de dados, atores envolvidos (controladora, operadora, suboperadora), bases legais utilizadas.

  2. 02

    Relatório de Impacto (RIPD)

    4-8 semanas

    Documento formal avaliando riscos e medidas mitigadoras. Exigível pela ANPD quando há tratamento de dados sensíveis em escala.

  3. 03

    Nomeação de DPO e governança

    2-3 semanas

    Designação formal do Encarregado, constituição do Comitê de Privacidade, política de governança de dados.

  4. 04

    Adequação contratual

    3-6 semanas

    Revisão de contratos com operadoras, fornecedores, parceiros. Inclusão de cláusulas DPA (Data Processing Agreement) conforme o papel de cada parte.

  5. 05

    Políticas e documentação pública

    2-4 semanas

    Política de privacidade específica para saúde, aviso de cookies, TCLE digital, termos de uso de aplicativo ou portal.

  6. 06

    Resposta a incidente (se ocorrer)

    prazo razoável

    Plano de contenção, investigação forense, notificação à ANPD, comunicação aos titulares, postmortem e medidas corretivas.

  7. 07

    Defesa em processo da ANPD

    6-24 meses

    Representação em procedimento administrativo da ANPD — manifestação preliminar, produção de provas, sustentação oral, recurso. Possibilidade de acordo.

Dados sensíveis exigem proteção máxima

Em saúde, privacidade é dever constitucional e operacional.

Prontuários vazados destroem relações de confiança. Diagnósticos expostos geram discriminação em emprego, seguro, convivência. Ataques a hospitais paralisam cuidados. A adequação rigorosa à LGPD não é burocracia — é parte do dever de cuidado do médico, do hospital e da healthtech.

Três papéis na cadeia

Paciente, controladora e operadora.

A LGPD distribui obrigações conforme o papel de cada ator. Na saúde, a cadeia tem particularidades — a mesma empresa pode ocupar papéis distintos em operações distintas.

Titular de dados

Paciente

Direitos do titular (art. 18 LGPD): acesso, correção, anonimização, portabilidade, eliminação, revisão humana de decisões automatizadas. Pode exigir explicação da operadora, clínica ou hospital.

  • Direito-chaveRevisão humana (art. 20)
  • CanalEncarregado/DPO da instituição
  • TutelaAção cível + reclamação ANPD
  • Dano moralR$ 5.000 a R$ 50.000 por violação

Controladora

Operadora / Hospital

Responsável por todo o tratamento de dados do paciente. Dever de adequação à LGPD, nomeação de DPO, RIPD e resposta a incidentes. Sanções podem chegar a 2% do faturamento (limite R$ 50 mi por infração).

  • Papel LGPDControladora
  • ObrigaçõesBase legal, DPO, RIPD, notificação
  • Sanção ANPDAté 2% do faturamento / R$ 50 mi
  • ResponsabilidadeObjetiva por incidente (CDC)

Processamento

Healthtech e startup

Conforme o caso, atua como controladora (produto próprio) ou operadora (serviço a terceiros). Exige contratos robustos com hospitais e planos, adequação LGPD, compliance setorial (ANS, ANVISA).

  • Papel LGPDControladora ou operadora
  • RegulaçãoANS (plano) ou ANVISA (dispositivo)
  • ContratosCláusula DPA obrigatória
  • RiscoSanção ANPD + descredenciamento

Responsabilidade civil por sistema de IA

A pergunta central do Direito Digital em saúde: quando uma IA médica causa dano, quem responde? A resposta, no direito brasileiro atual, é multicamada:

  • Médico usuário — responde subjetivamente se indicou ou interpretou mal o output (art. 951 CC + art. 14 §4º CDC).
  • Hospital ou clínica — responde objetivamente (art. 14 CDC) se adotou sistema defeituoso, treinou mal a equipe ou não supervisionou.
  • Desenvolvedor do algoritmo — responde objetivamente pelo defeito de produto (art. 12 CDC).
  • Operadora ou plano — responde solidariamente se o sistema integrado causou negativa indevida (Súmula 608 STJ + art. 20 LGPD).

Em ação concreta, a tese típica inclui todos os atores no polo passivo com discussão de contribuição causal. A decisão do STJ no Tema 793 (saúde pública) e na Súmula 608 (planos) oferecem analogia útil para a solidariedade.

Sanções da ANPD e dano moral

Violações em saúde digital podem acionar três esferas simultâneas:

Sanção administrativa (ANPD)

Conforme art. 52 da LGPD: advertência, multa simples (até 2% do faturamento, limite R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio ou eliminação de dados, suspensão parcial ou total do tratamento. Dosimetria considera gravidade, vantagem econômica, condição do agente e cooperação.

Dano moral individual

Ação cível do titular afetado. TJSP tem arbitrado valores entre R$ 5.000 e R$ 50.000 para vazamentos típicos, podendo ultrapassar R$ 100.000 em casos graves com dano psicológico demonstrado ou discriminação documentada.

Dano moral coletivo

Ações civis públicas pelo MP ou Defensoria em vazamentos massivos. Valores têm ultrapassado R$ 10 milhões em casos contra grandes operadoras e marketplaces.

Documentos essenciais

O que reunir antes do primeiro diagnóstico.

Diagnóstico de conformidade exige visão completa da operação. Quanto mais documentação estruturada já existir, mais rápido o diagnóstico e mais preciso o plano de adequação.

01

Escopo da operação

Descrição da atividade: operadora, clínica, hospital, grupo médico, healthtech, startup. Tamanho da base de pacientes ou usuários.

02

Fluxos de dados atuais

Fluxos existentes: quais dados são coletados, por quem, para qual finalidade, com quais parceiros são compartilhados.

03

Políticas atuais

Política de privacidade, termos de uso, consentimentos em vigor, contratos com fornecedores de TI e parceiros.

04

Arquitetura técnica

Sistemas utilizados, local de armazenamento (nuvem nacional/estrangeira), controles de acesso, backups, criptografia.

05

Nomeação de DPO

Se já existe DPO/Encarregado nomeado — documento de nomeação, e-mail de contato, canal público.

06

Incidentes anteriores

Histórico de ataques, vazamentos, perda de dispositivos, erros operacionais com dados. Medidas tomadas.

07

Notificações recebidas

Comunicações da ANPD, PROCON, MP, ações judiciais envolvendo dados pessoais.

08

Regulação setorial

Licenças ANS, autorizações ANVISA, vínculos com universidades ou centros de pesquisa clínica.

Arquitetura da atuação

Como a Belisário Maciel atua em direito digital em saúde.

Atuação preventiva e defensiva em toda a cadeia de dados em saúde. Equipe jurídica integrada com consultores em segurança da informação e governança de dados, apoiada pela experiência tradicional do escritório em Direito Médico.

  1. 01

    Diagnóstico inicial confidencial

    primeira consulta

    Análise da operação (operadora, hospital, clínica, healthtech, grupo médico), identificação de riscos, orientação sem compromisso.

  2. 02

    Plano de adequação

    roadmap LGPD

    Documento estruturado com atividades, prioridades e cronograma de adequação à LGPD, Res. CFM aplicáveis e regulação setorial (ANS, ANVISA).

  3. 03

    Documentação formal

    governança

    RIPD, inventário de tratamentos, política de privacidade, TCLE digital, termos de uso, contratos DPA, nomeação de DPO.

  4. 04

    Revisão técnico-jurídica de produto

    healthtech

    Análise de aplicativos, plataformas e sistemas de IA médica sob ótica da LGPD, responsabilidade civil e regulação setorial.

  5. 05

    Resposta a incidentes

    emergencial

    Plantão para ataques cibernéticos e vazamentos. Notificação à ANPD, comunicação aos titulares, contenção e mitigação.

  6. 06

    Defesa em processos administrativos

    ANPD e ANS

    Representação em procedimento sancionador da ANPD, fiscalização da ANS em temas de saúde suplementar com componente digital.

  7. 07

    Defesa em ações cíveis

    paciente × controladora

    Representação do paciente em violações de privacidade ou da controladora em defesa contra ações de danos morais.

Perguntas frequentes

Dúvidas mais comuns de operadoras, hospitais, clínicas e healthtechs sobre direito digital em saúde.

Dados de saúde são dados sensíveis?

Sim. O art. 5º, II, da LGPD define como dados sensíveis: origem racial, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Tratamento exige base legal específica do art. 11, não as 10 bases genéricas do art. 7º.

Posso tratar dados de saúde sem consentimento?

Em algumas hipóteses específicas do art. 11, II — como cumprimento de obrigação legal ou regulatória, execução de políticas públicas, proteção da vida, tutela da saúde (profissionais de saúde e serviços de saúde), estudos por órgão de pesquisa, garantia de prevenção à fraude. Fora dessas hipóteses, consentimento específico é necessário.

A telemedicina é legal no Brasil?

Sim, plenamente regulamentada pela Resolução CFM 2.381/2024, que substituiu a 2.314/2022. Cobre teleconsulta, telecirurgia, teleemergência, telediagnóstico, teletriagem. Exige registro médico, consentimento específico, local físico de atendimento e documentação adequada.

Prontuário eletrônico é válido juridicamente?

Sim, desde que siga a Res. CFM 1.821/2007 e use assinatura digital no padrão ICP-Brasil (ou outro legalmente reconhecido). Guarda mínima de 20 anos, requisitos de integridade, autenticidade e disponibilidade. Prontuário eletrônico bem estruturado é tão válido quanto o em papel — e mais defensável.

Quem responde se a IA diagnóstica errar?

A responsabilidade é multifacetada: o médico que utilizou o sistema (se a indicação foi inadequada); o hospital ou clínica que o adotou (se o treinamento foi falho); o desenvolvedor do algoritmo (defeito de produto, CDC art. 12). O médico mantém a decisão clínica final — a IA é apoio, não substituto.

Operadora pode negar tratamento por decisão automatizada?

Pode usar IA na análise, mas o art. 20 da LGPD garante ao titular o direito de revisão humana. Negativa puramente automatizada é passível de revisão e, em casos comprovados, gera dano moral. A operadora deve explicar os critérios e a lógica, respeitados os segredos comerciais.

O que é um DPO e quando é obrigatório?

DPO (Data Protection Officer) ou Encarregado é o canal de comunicação entre a controladora, a ANPD e os titulares. A LGPD exige a nomeação para controladoras em geral (art. 41). A ANPD pode dispensar pequenos agentes em algumas situações, mas para operadoras de saúde, hospitais e healthtechs com base significativa, a nomeação é praticamente obrigatória.

Vazamento de dados: o que fazer nas primeiras 24h?

Acionar plano de resposta: (i) contenção técnica imediata; (ii) preservação de evidências para forense; (iii) comunicação interna ao DPO e ao comitê; (iv) avaliação do risco; (v) notificação à ANPD em prazo razoável; (vi) comunicação aos titulares quando houver risco relevante. A velocidade e a qualidade da resposta reduzem drasticamente a sanção.

Qual a multa máxima da ANPD?

Para cada infração: advertência ou multa de até 2% do faturamento do grupo econômico no Brasil no último exercício, excluídos os tributos, limitada a R$ 50 milhões. Multa diária pode ser aplicada até adequação. Reincidência pode levar a suspensão parcial ou total de atividades de tratamento.

Healthtech precisa de compliance?

Sim, de forma robusta. Atua frequentemente como controladora (dados de seus usuários) e como operadora (quando presta serviço a operadoras ou hospitais). Compliance inclui LGPD, regulação ANS se é produto para plano de saúde, ANVISA se é dispositivo médico, Marco Civil, LCI (Lei de Crimes Cibernéticos).

Posso usar dados de saúde em pesquisa sem consentimento?

Em geral não. A pesquisa clínica com dados de saúde exige aprovação do CEP (Comitê de Ética em Pesquisa) e CONEP quando aplicável, consentimento específico do titular (Res. CNS 466/12 e 510/16) e adequação à LGPD. Uso secundário (dados já coletados para outra finalidade) tem restrições severas.

Uma operadora pode usar IA para precificar meu plano?

Pode usar modelos atuariais e IA para definir preços, mas não pode discriminar por dados sensíveis (condições de saúde preexistentes para adesão — vedado pelo art. 14 da Lei 9.656/98) nem aplicar reajuste abusivo. O art. 20 da LGPD garante revisão humana se a decisão afeta o interesse do titular.

TCLE pode ser eletrônico?

Sim. TCLE digital é válido desde que: (i) informação clara e específica; (ii) aceitação ativa (clique ou assinatura digital, não checkbox pré-marcado); (iii) registro da data e versão aceita; (iv) facilidade de revogação. A Res. CFM 1.931/2009 disciplina o consentimento esclarecido em todas as formas.

O que é Relatório de Impacto (RIPD)?

Documento formal que descreve os tratamentos de dados pessoais, avalia riscos e mitiga-os. Exigível pela ANPD em operações envolvendo dados sensíveis em escala ou alto risco. Base do art. 38 da LGPD e regulamentação da ANPD. Para operadoras de saúde e healthtechs, é quase sempre exigível.

Como a Belisário atua em direito digital na saúde?

O escritório atua em adequação LGPD de operadoras, clínicas, hospitais e healthtechs; resposta a incidentes de segurança; defesa administrativa em processos da ANPD; ações cíveis envolvendo violações de privacidade; revisão de produtos de IA médica; consultoria em telemedicina e prontuário eletrônico. Primeira orientação é confidencial.

Atendimento reservado

Adequação LGPD ou incidente em andamento? Fale com um especialista.

Diagnóstico inicial sigiloso para operadoras, hospitais, clínicas e healthtechs. Em caso de incidente, resposta emergencial em até 24h.

Falar no WhatsApp

Veja também

Outras áreas correlatas em Direito da Saúde.

Hub empresarial

Advocacia para empresas e operadoras de saúde

Pilar correlato

Defesa médica por especialidade clínica

Pilar correlato

Judicialização da saúde: SUS e planos