O que está em jogo

Dados de saúde são categoria sensível pela LGPD (art. 5º, II), com regime jurídico mais restrito que dados pessoais comuns. Tratamento inadequado expõe a empresa a multas de até R$ 50 milhões por infração da ANPD, além de litígios individuais e coletivos (CDC + LGPD) e dano reputacional.

Em caso de vazamento, o dever de comunicação à ANPD e aos titulares em tempo razoável (Guia ANPD: até 2 dias úteis) é imperativo. Empresas sem programa estruturado não têm defesa consistente simultaneamente perante ANPD, ANS, Ministério Público e entidades de defesa do consumidor.

Como atuamos

• Diagnóstico — mapeamento completo das operações com dados pessoais e sensíveis (coleta, uso, armazenamento, compartilhamento, eliminação).
• Base legal por tratamento — identificação da base adequada (art. 7º ou 11) para cada fluxo.
• Estrutura documental — política de privacidade, aviso aos titulares, contratos com operadores, cláusulas LGPD com fornecedores.
• DPO (Encarregado) — designação interna ou terceirizada (outsourcing), com canal visível e atendimento a direitos dos titulares.
• Gestão de incidentes — plano de resposta + comunicação à ANPD em prazo legal.
• Compliance anticorrupção complementar — Lei 12.846/2013, especialmente para empresas com relação com agentes públicos (ANS, ministérios).
• Treinamento e auditoria periódica.

Quando procurar

• Operadora, hospital ou clínica sem programa LGPD estruturado.
• Designação ou troca de DPO.
• Incidente (vazamento, acesso indevido, perda de dados).
• Auditoria ou fiscalização da ANPD.
• Due diligence em M&A — ver operações societárias em saúde.
• Adequação de prontuário eletrônico à LGPD + Res. CFM 1.821/2007.