Compliance Hospitalar

Sala de audiência de tribunal vazia com mesa do juiz e cadeiras

Compliance Hospitalar

Compliance hospitalar — programa de integridade regulatório e ético.

RDC ANVISA 63/2011 e 36/2013, CCIH e NSP obrigatórios, LGPD em ambiente hospitalar, Lei Anticorrupção, responsabilidade solidária. Consultoria em implementação e estruturação em São Paulo.

RDC 63/2011

Boas Práticas em Serviços de Saúde — base regulatória central (ANVISA).

RDC 36/2013

Obrigatoriedade do NSP e Plano de Segurança do Paciente.

Súmula 608

STJ — solidariedade do hospital com médicos da equipe, inclusive credenciados.

Lei 12.846

Anticorrupção — compliance efetivo atenua sanções administrativas.

Sumário

O que cobrimos sobre compliance hospitalar.

Compliance hospitalar — escopo

O compliance hospitalar é o conjunto estruturado de políticas, processos, controles e cultura que garante a atuação do hospital ou clínica em conformidade com as normas aplicáveis — regulatórias (ANVISA, ANS, VISA local), éticas (CFM, COFEN, CRO), protetivas de dados (LGPD), anticorrupção (Lei 12.846/2013) e trabalhistas. Programa de compliance efetivo vai muito além de “cumprir a lei” — envolve governança comprometida, documentação viva, treinamento contínuo, auditoria independente, canal de denúncias protegido e cultura de integridade.

O ambiente hospitalar tem particular complexidade regulatória. A RDC ANVISA 63/2011 estabelece as Boas Práticas de Funcionamento em Serviços de Saúde. A RDC 36/2013 institui obrigatoriamente o Núcleo de Segurança do Paciente e o Plano de Segurança. A Portaria MS 2.616/1998 determina a existência da Comissão de Controle de Infecção Hospitalar (CCIH). A LGPD (Lei 13.709/2018) impõe regime específico para dado sensível de saúde. Sobre todas essas, aplica-se a Lei Anticorrupção (Lei 12.846/2013) e o Decreto 11.129/2022.

Descumprimento dessas exigências gera múltiplas camadas de responsabilização: (i) administrativa — multas, interdição, cassação de alvará; (ii) civil — indenizações por dano a pacientes, responsabilidade objetiva (art. 14 CDC) + solidariedade (Súmula 608 STJ); (iii) criminal — em casos graves; (iv) reputacional — efeitos de longo prazo sobre captação de pacientes, credenciamentos, parcerias. Programa de compliance preventivo é investimento que reduz significativamente essa exposição.

6 pilares do programa

Estrutura padrão baseada em boas práticas internacionais (FCPA, UK Bribery Act, ISO 37001) e no Decreto 11.129/2022 (16 parâmetros do programa de integridade efetivo):

Arquitetura do programa

6 pilares do compliance hospitalar.

Programa integrado é mais eficaz que controles pontuais. Cada pilar reforça os demais.

01

Governança e liderança comprometidas

Direção formalmente engajada no programa — comitê de ética, diretor técnico (RT) responsável, orçamento dedicado. Responsabilidade diretiva por desvios configuráveis como improbidade ou corrupção (Lei 12.846/2013 art. 7º VIII — existência de programa de compliance efetivo atenua sanções).

02

Código de conduta e políticas específicas

Documento vinculante — conflitos de interesse com indústria farmacêutica, relação com médicos credenciados e autônomos, brindes, hospitalidade, pesquisa clínica, privacidade de dados, tratamento de denúncias. Distribuído e treinado em toda a equipe.

03

Gestão de riscos assistenciais

Mapeamento de riscos específicos: infecção hospitalar (CCIH), segurança do paciente (NSP), erros de medicação, queda de paciente, identificação, circuito cirúrgico seguro (check-list OMS), gerenciamento de eventos adversos. Protocolos institucionais documentados.

04

Controles internos e auditoria

Mecanismos de verificação contínua — auditoria clínica interna, auditoria contábil, auditoria de prontuários, conformidade regulatória. Relatórios periódicos à direção e ao conselho (quando aplicável). Trilha de auditoria independente.

05

Canal de denúncias e proteção

Canal externo ou interno para recebimento de denúncias com anonimato opcional e proteção ao denunciante. Processo de apuração imparcial. Ministério Público e controladorias podem analisar a eficácia do canal como critério de idoneidade.

06

Treinamento e comunicação contínua

Capacitação periódica de toda a equipe — clínica, administrativa, gestão. Treinamentos específicos por área. Comunicação reforçada de políticas, eventos adversos ocorridos, lições aprendidas. Registro de presenças.

RDC ANVISA 63/2011 e segurança do paciente

A RDC ANVISA 63/2011 é a espinha dorsal regulatória do hospital. Estabelece:

  • Responsável técnico (RT) habilitado com inscrição no conselho profissional;
  • Planejamento, implantação e garantia da qualidade dos processos;
  • Gerenciamento de risco assistencial e não-assistencial;
  • Protocolos institucionais padronizados;
  • Manutenção preventiva e corretiva de equipamentos (engenharia clínica);
  • Limpeza, desinfecção e esterilização segundo padrões;
  • Gerenciamento de resíduos de serviços de saúde (RDC ANVISA 222/2018);
  • Prontuário do paciente — guarda, segurança, confidencialidade.

A RDC ANVISA 36/2013 acrescentou exigências específicas de segurança do paciente: implantação do NSP, Plano de Segurança formal, seis protocolos básicos do Ministério da Saúde (identificação, comunicação efetiva, segurança na medicação, cirurgia segura, higiene das mãos, prevenção de quedas e lesões por pressão), notificação obrigatória de eventos adversos ao Sistema de Notificações de Vigilância Sanitária.

CCIH e NSP — comissões obrigatórias

Duas estruturas institucionais de compliance hospitalar, com objetivos distintos mas complementares:

CCIH (Comissão de Controle de Infecção Hospitalar) — Portaria MS 2.616/1998. Foco específico em prevenção e controle de infecções. Órgão deliberativo formado por médico infectologista, enfermeiro, microbiologista. Atividades executadas pelo SCIH (Serviço de Controle de Infecção Hospitalar). Ações: monitoramento de taxas de infecção, protocolos de assepsia, uso racional de antimicrobianos, vigilância de resistência bacteriana, educação em higiene das mãos.

NSP (Núcleo de Segurança do Paciente) — RDC ANVISA 36/2013. Foco amplo em segurança do paciente em todos os processos. Estrutura operacional com plano formal e indicadores. Metas internacionais de segurança do paciente (OMS): (1) identificação correta; (2) comunicação efetiva; (3) medicação segura; (4) cirurgia segura; (5) higiene das mãos; (6) prevenção de quedas e LPP (lesões por pressão).

LGPD no ambiente hospitalar

Dado de saúde é dado pessoal sensível (art. 5º II LGPD) — regime de proteção mais rigoroso. Requisitos para hospital:

  • Base legal específica — art. 11, II, f: tutela da saúde por profissionais ou serviços; c: execução de contrato do titular;
  • DPO (Encarregado) indicado, com dados publicados;
  • Política de privacidade clara ao paciente;
  • Registro das atividades de tratamento (ROPA);
  • Medidas técnicas — criptografia, controle de acesso, segregação;
  • Medidas administrativas — treinamento, termos de confidencialidade;
  • Notificação de incidente à ANPD em 48h + comunicação aos titulares;
  • Atendimento aos direitos dos titulares — acesso, correção, portabilidade, eliminação, revogação de consentimento.

Multa LGPD: até 2% do faturamento bruto (limite R$ 50 milhões por infração). Além disso, dano moral em ações individuais dos pacientes em caso de vazamento.

Responsabilidade objetiva do hospital

A responsabilização civil do hospital tem duplo regime:

  • Serviços auxiliares (estrutura, equipamentos, esterilização, enfermagem, administração): responsabilidade objetiva (art. 14 caput CDC) — independe de culpa. Basta dano + nexo + defeito;
  • Ato médico em si: responsabilidade solidária com o médico (Súmula 608 STJ) — apurada objetivamente mas condicionada à comprovação da culpa do profissional (art. 14 §4º CDC).

Em ações por erro médico, o hospital é réu quase universal. Compliance preventivo — protocolos robustos, treinamento, auditoria, equipe qualificada, equipamentos em dia — não elimina a responsabilização mas permite defesa sólida: demonstra diligência, atenua dano moral, afasta a caracterização de culpa institucional autônoma.

Lei Anticorrupção e saúde

A Lei 12.846/2013 (Lei Anticorrupção) se aplica a pessoas jurídicas por atos contra a administração pública nacional ou estrangeira. Em saúde, riscos concretos:

  • Licitações públicas — fornecimento ao SUS, parcerias público-privadas;
  • Relação com indústria farmacêutica — Res. CFM 2.386/2024 + Código de Conduta Interfarma 2021;
  • Pagamentos irregulares a agentes públicos (VISA, ANVISA, fiscais);
  • Fraudes em faturamento SUS ou operadoras de plano;
  • Pesquisa clínica — remuneração de investigadores, comitês de ética.

Responsabilidade objetiva da pessoa jurídica — independe de culpa. Multa de 0,1% a 20% do faturamento bruto. Mas o art. 7º VIII prevê que a existência e efetividade do programa de integridade é critério de atenuação. Programa bem estruturado pode reduzir significativamente a penalidade.

Penalidades por não-conformidade

Múltiplas camadas de penalidade possíveis:

  • Sanitárias (Lei 6.437/1977) — advertência, multa (R$ 2 mil a R$ 1,5 milhão), interdição parcial ou total, cassação de alvará;
  • LGPD — advertência, multa simples (até 2% faturamento, máximo R$ 50 milhões por infração), bloqueio/eliminação de dados, publicização da infração;
  • Anticorrupção — multa de 0,1% a 20% do faturamento bruto, publicação extraordinária, perdimento de bens/valores, suspensão de atividade, dissolução compulsória;
  • Ético-profissional dos profissionais envolvidos — CRM, CRO, COREN;
  • Civil — indenizações a pacientes lesados;
  • Criminal — em casos graves (ato contra a saúde pública, falsificação, corrupção);
  • Reputacional — descredenciamento de operadoras, perda de parcerias, fuga de pacientes.

Base normativa

Normas aplicáveis ao hospital.

Arcabouço regulatório central:

RDC ANVISA 63/2011

Boas Práticas de Funcionamento para Serviços de Saúde. Requisitos técnicos, responsável técnico (RT), gerenciamento de qualidade, humanização da atenção. Base regulatória central em vigilância sanitária hospitalar.

RDC ANVISA 36/2013

Segurança do Paciente. Obrigatoriedade do Núcleo de Segurança do Paciente (NSP). Plano de Segurança do Paciente. Notificação de eventos adversos.

Portaria GM/MS 2.616/1998

Institui a CCIH (Comissão de Controle de Infecção Hospitalar). Obrigatória em todo hospital. Competências, composição, atribuições executivas pelo SCIH.

Lei 6.437/1977

Define infrações sanitárias e penalidades — advertência, multa, interdição, cassação de alvará. Aplicável a hospitais e clínicas.

Lei 13.709/2018 (LGPD)

Proteção de dados pessoais. Dado de saúde é dado sensível (art. 5º II). Base legal específica (art. 11 II), minimização, segurança, DPO, notificação de incidentes em 48h (art. 48).

Lei 12.846/2013 (Lei Anticorrupção)

Responsabilidade objetiva da pessoa jurídica por atos contra a administração pública. Art. 7º VIII — programa de compliance efetivo é critério de atenuação de sanções.

Decreto 11.129/2022

Regulamenta a Lei Anticorrupção. Detalha critérios do programa de integridade efetivo (16 parâmetros).

CDC art. 14

Responsabilidade objetiva do hospital pela prestação do serviço. Base da responsabilização civil em ações de pacientes.

Súmula 608 STJ

Solidariedade do hospital com os médicos da equipe, inclusive credenciados. Amplia o alcance patrimonial e a importância do programa de compliance preventivo.

Res. CFM 2.386/2024

Disciplina relação de médicos com indústria farmacêutica — comunicação de benefícios recebidos em 60 dias. Hospital como ambiente afeta também.

ISO 37001:2017

Norma internacional de sistemas de gestão antissuborno. Certificação internacional frequentemente adotada em hospitais de grande porte.

Para diagnóstico inicial

Documentos essenciais do programa.

Documentação viva, revisada periodicamente. Programa documentado mas não executado é quase equivalente a ausência de programa.

01

Estatuto social e regulamento interno

Base institucional — missão, valores, governança. Documento formalizado e atualizado.

02

Código de conduta e políticas específicas

Código principal + políticas: conflito de interesse, brindes, hospitalidade, relação com indústria, pesquisa clínica, LGPD, canal de denúncias, gestão de eventos adversos.

03

Programa de Segurança do Paciente

Plano formal exigido pela RDC ANVISA 36/2013. Integra CCIH, NSP, protocolos de identificação, medicação segura, cirurgia segura, quedas.

04

Plano de Contingência e Crise

Protocolos para eventos adversos graves, surtos infeccionosos, desastres, incidentes com mídia, crises reputacionais.

05

Contratos com médicos e terceiros

Contratos claros definindo vínculos (empregado/credenciado/PJ), responsabilidades, obrigações de compliance, prestação de contas.

06

Matriz de riscos e controles

Documento vivo — mapeamento de riscos por área, avaliação de severidade, controles instituídos, responsáveis, indicadores de monitoramento.

07

Evidências de treinamento

Registros de participação em treinamentos periódicos. Materiais didáticos. Comprovação de alcance da mensagem a toda a equipe.

08

Relatórios do canal de denúncias

Registros de denúncias recebidas, apurações conduzidas, medidas adotadas. Proteção ao denunciante documentada.

09

Auditorias internas e externas

Relatórios periódicos — auditoria clínica, contábil, regulatória, LGPD. Planos de ação para não-conformidades.

10

Comunicação com órgãos reguladores

Histórico de relação com ANVISA, VISA municipal/estadual, ANS, CNS, conselhos profissionais. Notificações de eventos adversos e respostas.

Perguntas frequentes

Dúvidas sobre compliance hospitalar.

O que é compliance hospitalar?

Programa estruturado que garante que o hospital/clínica opere em conformidade com as normas aplicáveis — sanitárias (RDC ANVISA 63/2011, 36/2013), éticas (CFM, COFEN), regulatórias (ANS para operadoras próprias), protetivas de dados (LGPD), anticorrupção (Lei 12.846/2013). Vai além de “cumprir a lei” — envolve governança, políticas documentadas, treinamento, auditoria, canal de denúncias. Quando bem estruturado, atenua sanções em caso de infração (Lei 12.846 art. 7º VIII).

Quais as obrigações regulatórias mínimas?

Mínimo obrigatório: (1) RT (responsável técnico) habilitado inscrito no CRM/CRO/CRE; (2) CCIH (Portaria MS 2.616/1998); (3) NSP e Plano de Segurança do Paciente (RDC ANVISA 36/2013); (4) Licenciamento sanitário atualizado na VISA local; (5) Alvará municipal; (6) Registro no CNES; (7) Protocolos institucionais (identificação, medicação segura, cirurgia segura, queda, LPP); (8) DPO e conformidade LGPD; (9) relação formal com a ANVISA para produtos específicos; (10) conformidade trabalhista.

Qual a diferença entre CCIH e NSP?

CCIH (Comissão de Controle de Infecção Hospitalar) — criada pela Portaria MS 2.616/1998. Foco específico: prevenção e controle de infecções hospitalares. Formada por médicos, enfermeiros, microbiologistas. NSP (Núcleo de Segurança do Paciente) — criado pela RDC 36/2013. Foco amplo: segurança do paciente em todos os processos (identificação, comunicação efetiva, medicação, cirurgia, queda, LPP, infecção). CCIH é comissão; NSP é núcleo operacional com plano formal.

Hospital responde objetivamente por erro médico?

Responde objetivamente pelas falhas nos serviços auxiliares (estrutura, equipamentos, esterilização, equipe de enfermagem). Quanto ao ato médico em si, responde solidariamente com o médico — a responsabilização depende da comprovação da culpa do profissional (art. 14 §4º CDC). Súmula 608 STJ consolida a solidariedade inclusive com médicos credenciados. Compliance preventivo reduz significativamente a exposição do hospital.

Qual o impacto da LGPD em hospitais?

Alto — dado de saúde é dado sensível (art. 5º II LGPD), com regime específico de proteção. Obrigações: (i) base legal específica para tratamento (art. 11 II); (ii) minimização — coletar apenas o necessário; (iii) encarregado de dados (DPO) indicado; (iv) medidas técnicas e administrativas de segurança; (v) notificação à ANPD em 48h em caso de incidente (art. 48); (vi) direitos dos titulares — acesso, correção, portabilidade. Multa até 2% do faturamento, limite R$ 50 milhões por infração.

Programa de compliance atenua sanções em caso de multa?

Sim. Lei 12.846/2013 art. 7º VIII e Decreto 11.129/2022 — existência e efetividade do programa de integridade é critério de atenuação de sanções. Pode reduzir multa de 20% do faturamento bruto para 0,1%. A efetividade é avaliada objetivamente: 16 parâmetros do Decreto 11.129/2022 — comprometimento da alta direção, código de conduta, gestão de riscos, treinamento, canal de denúncias, auditoria independente.

E para hospital público?

Muitas exigências são equivalentes. Hospital público responde objetivamente (art. 37 §6º CF) por atos de seus agentes. Lei 8.429/1992 (Improbidade Administrativa) se aplica. Lei 12.846/2013 aplicável a pessoas jurídicas da administração. RDC ANVISA se aplica a todos. Compliance em hospital público tem ênfase em licitações, contratação de fornecedores, transparência, conflitos de interesse.

Quanto tempo para implementar um programa?

Programa inicial robusto: 6-12 meses. Fases: (1) diagnóstico (1-2 meses); (2) estruturação — código, políticas, governance (2-3 meses); (3) implementação — treinamentos, canal de denúncias, auditoria inicial (3-6 meses); (4) monitoramento e melhoria contínua — ciclo perpétuo. Acompanhamento jurídico desde a fase de diagnóstico é recomendável.

Quem deve participar do programa?

Todos. Alta direção (comprometimento), diretor técnico (condução clínica), gerência administrativa (operações), RH (treinamento), jurídico (conformidade regulatória), TI (LGPD e segurança), comunicação (cultura), todos os colaboradores (execução). Conselho consultivo ou de administração (quando existir) valida estratégia.

A Belisário atua em compliance hospitalar?

Sim. Consultoria em implementação e estruturação do programa, elaboração de código de conduta e políticas, parecer sobre contratos com médicos e terceiros, defesa em processos regulatórios (ANVISA, VISA, ANS, CRM), gestão de crises reputacionais e regulatórias. Ver também Compliance e LGPD e hub para empresas de saúde.

Atendimento reservado

Compliance hospitalar em implementação ou revisão? Fale conosco.

Diagnóstico inicial, implementação do programa de integridade, defesa em processos regulatórios, gestão de crises reputacionais. Atuação em SP. Primeira orientação sem custo.

Falar no WhatsApp

Veja também

Outros temas regulatórios.

Página correlata

Compliance e LGPD em saúde

Página correlata

Consultoria regulatória ANS

Hub correlato

Advocacia para empresas de saúde