Simples Solução TI | Suporte Técnico e Serviços de TI no RJ e SP
Voltar ao blog
Fabiano Lucio, autor do blog da Simples Solução TI

Fabiano Lucio

24 de maio de 202611 minutos de leitura

LGPD saúde TI: requisitos para conformidade em processos e sistemas de dados

LGPD saúde TI: requisitos para conformidade em processos e sistemas de dados

A conformidade para dados de saúde em ambientes de TI exige mapear cada tratamento como dado pessoal sensível, definir base legal e finalidade específicas, controlar acesso por perfil e manter rastreabilidade de compartilhamentos e acessos. Na prática de clínicas e sistemas, isso reduz exposição indevida quando há integração entre prontuário eletrônico, equipes e infraestrutura.

 

O ponto que mais confunde é tratar “segurança técnica” como sinônimo de conformidade. Criptografia e autenticação ajudam, mas a LGPD também exige critérios de necessidade e adequação do tratamento, inventário de dados e registros operacionais do que foi acessado e por quem, especialmente quando o fluxo envolve prontuário e informações clínicas (Fundação Nacional de Saúde; Ministério da Saúde).

 

Com esse enquadramento, a organização consegue desenhar fluxos aprováveis: justificar a base legal para cada operação (coleta, armazenamento, acesso e compartilhamento), desenhar controles de acesso com base no menor privilégio e estabelecer trilhas de auditoria para responder a incidentes e auditorias internas com evidências (Ministério da Gestão e da Inovação em Serviços Públicos).

 

O que a LGPD considera dado de saúde e quais tratamentos exigem controles mais rigorosos

 

Na prática, entram como dado pessoal sensível na LGPD todos os registros do prontuário que revelam condição de saúde identificada ou identificável, como diagnósticos, resultados de exames, prescrições, histórico clínico e anotações de evolução. Também costumam exigir nível reforçado metadados que apontam diretamente para esse contexto, como CID/forma de atendimento e solicitações vinculadas ao paciente.

 

Para identificar, a clínica deve cruzar o mapeamento de fontes do prontuário e sistemas com a finalidade de uso e o critério de identificação do titular.

 

Como classificar prontuário eletrônico e informações clínicas como dado pessoal sensível

 

Para identificar o que entra como dado pessoal sensível em prontuário eletrônico, a regra prática é simples: qualquer informação que descreva condição de saúde identificável (direta ou indiretamente) deve ser tratada como sensível, mesmo quando aparece como “observação” ou “histórico” no sistema. Em clínicas e consultórios, isso inclui diagnósticos, sintomas, evolução, exames e anotações clínicas, além de dados que indiquem saúde física ou mental do paciente.

 

Em termos operacionais, a classificação muda conforme a combinação “conteúdo + vínculo com a pessoa”. Se a tela registra “qual foi o procedimento” mas traz o CPF ou outro identificador do paciente, a proteção deve acompanhar a natureza do conteúdo clínico; se houver dados apenas administrativos sem relação com saúde (por exemplo, registro de agendamento), o enquadramento tende a ser menos sensível.

 

O glossário do Ministério da Saúde reforça que a categorização se ancora no tipo de informação ligada à saúde (Ministério da Saúde).

 

Um critério útil para equipes de TI é mapear campos do prontuário e classificar por finalidade de uso. Campos como “triagem”, “alergias”, “medicação em uso”, “CID”, “resultado de teste” e “nota de acompanhamento” quase sempre devem herdar proteção reforçada porque descrevem estado de saúde. Já campos de suporte que não carregam essa descrição devem ser avaliados caso a caso, mantendo inventário de dados e revisão quando o sistema evolui ou novos campos são adicionados (Fundação Nacional de Saúde).

 

Quais operações (coleta, acesso, armazenamento, compartilhamento) contam como “tratamento” na saúde e TI

 

Na saúde, “tratamento” pela LGPD inclui qualquer operação com prontuário e dados clínicos, como coleta, acesso por profissionais, armazenamento em sistemas, consulta, leitura em telas, compartilhamento com terceiros e até a simples organização para atendimento. Isso implica que informações como anamnese, exames, prescrições e evolução clínica devem ser tratadas como dados pessoais sensíveis quando vinculadas a pessoa identificada ou identificável.

 

Para identificar o que entra no nível reforçado, a equipe deve verificar, em cada registro do sistema, se o conteúdo descreve estado de saúde, diagnóstico, histórico clínico ou informações que revelem condição de saúde, mesmo quando aparecem em campos “livres” do prontuário.

 

O Ministério da Saúde descreve, em seus materiais de LGPD, que essa lógica exige mapear o tipo de dado e o propósito do tratamento no contexto assistencial, evitando tratar como “apenas TI” rotinas que, na prática, acessam ou transmitem informação clínica.

 

Em operação, a classificação muda por ação: um mesmo prontuário pode ser sensível no acesso, na persistência em banco de dados e no envio entre módulos, mas também pode exigir ainda mais controle quando houver integrações entre sistemas e troca operacional de dados.

 

Ao desenhar o fluxo, deve-se registrar quem acessou o quê, quando e por qual finalidade, e revisar permissões depois de mudanças de função; integrações e compartilhamentos precisam seguir regras rastreáveis e transparência operacional previstas nas orientações do Ministério da Saúde para compartilhamento de dados.

 

Como implementar conformidade em fluxos e sistemas: base legal, finalidade, acesso e registros

 

Para cada fluxo de dados de saúde, a equipe precisa decidir três pontos documentais antes de escrever telas e integrações: a hipótese de base legal para o objetivo do fluxo (com finalidade e necessidade registradas), a política de acesso por perfil (quem vê e por quê, incluindo responsáveis do atendimento e da auditoria) e o conjunto mínimo de registros operacionais que provam conformidade ao longo do ciclo de vida.

 

Isso inclui registrar solicitações e consentimentos quando aplicáveis, registrar acessos e compartilhamentos previstos e revisar retenção e descarte no armazenamento.

 

Como escolher e justificar a base legal adequada sem “tratamento genérico” (com exemplos de cenário)

 

  • Mapear o “motivo” do fluxo em uma frase operacional (atendimento assistencial, auditoria, faturamento TISS, operação interna) e registrar qual finalidade a equipe controla; base legal sem finalidade explícita vira exceção não justificável.

  • Escolher Art. 7/11 com lastro no contexto: ex. urgência para tutela da vida (dispensa consentimento) vs. consentimento para atividades não essenciais (ex. comunicação de campanhas), documentando a condição que torna o consentimento aplicável.

  • Exigir prova documental do acesso: registrar no log o usuário, o motivo do acesso (incidente clínico, consulta para prescrição, suporte ao faturamento) e o objeto consultado; isso amarra necessidade e evita “tratamento genérico” por conveniência.

  • Separar bases para etapas diferentes do mesmo processo: ex. dados clínicos para assistência vs. retenção para cumprimento de obrigação/defesa; cada etapa recebe base e critério de necessidade próprios, no inventário de dados.

 

Como desenhar controles de acesso (princípio do menor privilégio, autenticação e trilhas de auditoria)

 

Para cada fluxo de dados de saúde, as decisões técnicas e documentais devem começar por “quem acessa, para quê, com qual justificativa legal e o que fica registrado”. A partir disso, a equipe define controles de acesso à dados por função, autenticação forte e trilhas de auditoria que permitam explicar, depois, cada acesso durante o atendimento e ao longo do armazenamento.

 

Na parte documental, o desenho precisa ligar finalidade e necessidade ao que o sistema efetivamente entrega em cada tela, relatório e integração. Um exemplo prático é separar permissões de profissionais para consultas de histórico versus digitação de evolução clínica: mesmo dentro do prontuário, o sistema deve restringir operações distintas e registrar “ação + identificador” para auditoria, em vez de usar um login genérico sem rastreio detalhado.

 

A Fundação Nacional de Saúde reforça que a conformidade exige mapear e justificar tratamentos, o que, em TI, se traduz em manter evidência de que o acesso concedido foi previsto no fluxo e não “cresceu” por conveniência operacional.

 

Nos controles técnicos, o princípio do menor privilégio deve ser aplicado em etapas do fluxo (recepção, atendimento, pós-atendimento e arquivamento), com segregação por ambiente e por tipo de tarefa. A autenticação deve impedir acesso por credenciais compartilhadas e favorecer autenticação multifator para perfis com acesso amplo ao prontuário; e a auditoria deve capturar eventos de leitura e alterações, com carimbo de data/hora e retenção suficiente para suportar apuração interna.

 

Como referência de governança do ecossistema, o Ministério da Saúde descreve requisitos de compartilhamento rastreável, o que impacta diretamente como chaves de integração e credenciais de serviços devem ser tratadas em plataformas como a RNDS.

 

O que a LGPD exige ao compartilhar dados entre sistemas, equipes e infraestrutura de saúde

 

A clínica precisa rastrear todo compartilhamento de dados de saúde com registro de solicitações e trilhas de auditoria (quem, quando, o quê, para qual finalidade e por qual canal), garantindo transparência por meio de políticas claras de acesso e justificativas documentadas. Na prática, isso inclui controle de permissões por perfil, segregação de ambientes (produção e homologação) e revisão periódica de credenciais de integração com APIs e encaminhamentos internos.

 

Em redes como e-SUS APS e RNDS, o mesmo padrão deve ser aplicado aos eventos gerados por cada sistema, evitando encaminhamentos “silenciosos” entre entidades.

 

Como estruturar rastreabilidade do compartilhamento e registro do “quem acessou o quê”

 

A clínica precisa rastrear e registrar o “quem acessou o quê” em qualquer compartilhamento que resulte em acesso a registros clínicos ou seus metadados, inclusive quando ocorre dentro do próprio sistema, entre equipes/fornecedores e em integrações com redes. Esse registro deve permitir demonstrar finalidade, contexto do acesso e a cadeia de responsabilidade até o destinatário.

 

Para estruturar a rastreabilidade, a arquitetura de logs deve capturar: identificador do usuário (ou credencial de serviço), recurso acessado (por exemplo, prontuário, resultado de exame ou anexo), tipo de operação (consulta, exportação, atualização) e carimbo de data/hora com fuso padronizado. Quando o compartilhamento deixa de ser “pull” e passa a ser “push” via integração, os logs precisam registrar também o evento de entrega e o identificador do destinatário.

 

O Ministério da Saúde orienta que o compartilhamento seja rastreável e transparente, o que na prática exige trilhas consistentes entre origem e destino (Ministério da Saúde).

 

"Atenção: Quando houver interoperabilidade com sistemas de saúde, a clínica deve evitar que a rastreabilidade “se quebre” na fronteira técnica. Um padrão operacional útil é exigir correlação por um identificador de transação e manter retenção dos logs por um período que faça sentido para auditoria interna e apuração de incidente, sem confundir rastreio com exposição de dados."

 

A Fundação Nacional de Saúde explicita que a conformidade envolve controlar o acesso e registrar compartilhamentos, então a revisão do desenho deve confirmar que cada etapa deixa evidência verificável sem copiar dados além do necessário (Fundação Nacional de Saúde).

 

Como considerar integração e padronização em ecossistemas como e-SUS APS e RNDS sem perder o controle do risco

 

A clínica precisa manter rastreabilidade e segurança em cada etapa do compartilhamento de dados: o que saiu, para quem, com qual finalidade e por qual base legal. Em integrações como e-SUS APS, o controle deve começar no contrato de troca (escopo) e terminar na evidência operacional (logs de acesso e de envio), para que qualquer auditoria consiga reconstruir o “caminho” do dado. Esse encadeamento é reforçado em orientações de governança e privacidade do Ministério da Saúde.

 

Na prática, o risco cresce quando a padronização vira “caixa-preta”: campos estruturados sem regra de equivalência entre sistemas geram compartilhamentos em excesso. Um exemplo comum é uma assinatura ou categoria clínica não mapeada corretamente, que faz um dado transitar como mais amplo do que o necessário.

 

Para reduzir isso, a clínica deve exigir mapeamento por atributo e validação de formato antes de acionar a integração, registrando a regra usada e o responsável pela decisão, alinhado às exigências de compartilhamento descritas pelo Ministério da Saúde.

 

Também é necessário definir controles distintos para três cenários: compartilhamento interno (entre setores), compartilhamento entre entidades (ex.: encaminhamento) e integração em rede (ex.: RNDS). Para cada um, a clínica deve manter trilhas de auditoria com identificação do usuário ou serviço, hora, operação (consulta, exportação, sincronização) e resultado (sucesso/erro), além de políticas de retenção para os dados de log.

 

A RNDS, por conectar sistemas de saúde, exige que a clínica trate interoperabilidade como parte do controle de risco, não como mero “conector” técnico.

 

Onde a conformidade costuma falhar: decisões comuns em TI que elevam o risco sem necessidade

 

Os maiores aumentos de risco em LGPD saúde TI surgem de falhas de governança: permissões amplas para “facilitar o uso”, falta de trilhas de auditoria com retenção adequada e ausência de inventário de dados que permita identificar onde e por quanto tempo a informação fica armazenada.

 

Em muitos cenários, o transbordo de finalidade aparece quando registros clínicos são reutilizados para perfilamento interno sem requisito operacional claro; outra fonte de não conformidade é o compartilhamento via integrações não mapeadas, sem registro do contexto.

 

Quando o problema não é “criptografar”, mas sim governança: finalidade, necessidade e inventário de dados

 

  1. Mapeie e enumere finalidades por recurso de dados (ex.: agendamento, triagem, faturamento) e cruze com sistemas: cada finalidade deve ter dono, descrição e justificativa auditável em registro.

  2. Desabilite acessos amplos trocando “grupos genéricos” por perfis por função e etapa assistencial; conclua quando cada usuário tiver só permissões necessárias no cadastro de acessos.

  3. Crie um inventário de dados com campos, origem, categoria (sensível ou não) e destino; conclua quando houver matriz origem→armazenamento→compartilhamento sem lacunas entre TI e operações.

  4. Registre transbordo de finalidade em logs e alertas: detecte consultas e exportações fora da finalidade declarada; conclua quando houver incidências categorizadas e plano de correção por tipo.

 

Sinais de alerta em auditoria e incidentes: permissões fora do perfil, compartilhamentos não documentados e falhas de rastreio

 

  1. Compare permissões por perfil e identifique contas com privilégios “administrador” fora do grupo de TI; a evidência é lista de usuários com papel incompatível com funções clínicas.

  2. Audite compartilhamentos por destino (sistemas, integrações e rotinas exportação) e marque qualquer acesso sem registro de solicitação/justificativa; a evidência é saída de auditoria sem “dono do motivo”.

  3. Exija trilhas de auditoria com campos completos (usuário, data/hora, ação, motivo operacional e registro/identificador do dado acessado); a evidência é log com lacunas ou eventos “sem contexto”.

  4. Correlacione alertas de acesso fora do padrão com dados de autenticação (ex.: tentativas múltiplas, sessões longas) e bloqueie tokens sessos; a evidência é incidente recorrente sem correção técnica e sem evidência de bloqueio.

 

Critérios de decisão para adequação: do mapeamento ao plano de conformidade com prazos operacionais

 

Priorize correções pelo impacto e pela evidência verificável: primeiro, feche tratamentos sem base legal documentada e finalize finalidades divergentes em sistemas de agenda e faturamento; depois, reduza “overexposure” por grupos amplos, revisando credenciais corporativas e permissões de contas de serviço. Por fim, transforme o inventário em backlog com metas por sprint e critério de aceite em auditoria, incluindo rotinas de anonimização para relatórios operacionais.

 

Tabela para decidir correções priorizando impacto operacional, evidência auditável e rastreabilidade do ciclo de dados em TI e saúde.

 

Critério objetivo (decidir o quê corrigir primeiro)

Sinal verificável no sistema/processo

Correção executável (o que fazer na prática)

Prioridade sugerida (regra)

Abrangência do impacto

Número de usuários/serviços que consultam o dado

Restringir por perfil e remover acessos “herdados”

Alta: afeta mais perfis ou rotinas críticas

Risco de finalidade e necessidade

Existem finalidades amplas sem justificativa por recurso

Reescrever a finalidade do tratamento por recurso e evento

Alta: finalidade genérica ou sem amarração com uso

Rastreabilidade do “quem acessou”

Auditoria incompleta ou sem correlação com evento clínico

Habilitar trilhas, padronizar logs e definir retenção

Alta: falta de trilha para acessos e alterações

Controle de compartilhamento entre sistemas

Compartilhamentos sem registro do destino/competência

Inventariar integrações e registrar consentimento/base/escopo por interface

Alta: integração sem contrato de dados e sem controle por escopo

Prontidão para responder a incidente

Não há procedimento testado de contenção/avaliação

Criar runbook, treinar, simular e medir tempo de resposta

Média: existe procedimento, mas não testado nem medido

 

A conformidade em LGPD saúde TI tende a funcionar quando a clínica passa a tratar cada fluxo como um “dado com finalidade”, com base legal definida, acesso por perfil documentado e trilha de auditoria verificável; sem isso, integrações e permissões “para facilitar” viram risco acumulado. Como próxima ação imediata, a equipe deve revisar o inventário de tratamentos e validar, um a um, se cada compartilhamento entre sistemas tem justificativa, registro de solicitação e trilha de quem acessou e quando.

 

Perguntas Frequentes

 

A LGPD se aplica ao prontuário eletrônico mesmo quando o acesso é restrito por senha ou perfil no sistema?

 

A restrição por senha é um controle importante, mas não substitui a necessidade de enquadrar cada tratamento na LGPD com base legal, finalidade e critérios de necessidade. Em auditoria, o que costuma ser questionado é a rastreabilidade: quem acessou, o quê foi acessado e se o acesso estava alinhado ao papel do usuário e ao propósito declarado.

 

Quando faz sentido usar criptografia e quando ela não resolve o problema de conformidade em saúde TI?

 

Criptografia ajuda a reduzir o risco de exposição indevida em caso de incidente, principalmente para dados armazenados e em trânsito. Porém, a conformidade pode falhar mesmo com criptografia se houver acesso amplo demais, falta de inventário de dados, compartilhamento sem registro e ausência de justificativa de necessidade para as operações realizadas.

 

Como a organização deve tratar acessos “emergenciais” a dados clínicos quando não dá para seguir exatamente o fluxo padrão?

 

O ponto central é que o tratamento deve continuar documentável e justificável, mesmo em situações urgentes, com controles que permitam identificar quem acessou e por qual razão. Na prática, isso significa prever exceções no processo, garantir registro/auditoria do acesso e revisar posteriormente se o uso da exceção permaneceu dentro do necessário para a finalidade.

 

Terceiros de TI que operam sistemas de clínicas precisam estar cobertos por qual tipo de responsabilidade para dados de saúde?

 

Em termos operacionais, a clínica deve garantir que o prestador trate dados como parte do escopo definido, com regras de acesso, registro e segurança alinhadas ao risco do tratamento. Isso inclui assegurar que compartilhamentos e acessos feitos pelo fornecedor sejam rastreáveis e que a organização consiga demonstrar o controle do que está sendo feito com os dados pessoais sensíveis.

Posts sugeridos

Cabeamento estruturado: como planejar rede e infraestrutura com padrão

Cabeamento estruturado: como planejar rede e infraestrutura com padrão

Suporte TI para escritório contábil em Rio de Janeiro: o que avaliar antes de contratar

Suporte TI para escritório contábil em Rio de Janeiro: o que avaliar antes de contratar

Terceirização de TI contabilidade: critérios para escolher o parceiro certo no Brasil

Terceirização de TI contabilidade: critérios para escolher o parceiro certo no Brasil

TI para contabilidade RJ: critérios para escolher serviços e automatizar rotinas

TI para contabilidade RJ: critérios para escolher serviços e automatizar rotinas

TI gerenciada na contabilidade: critérios para escolher e integrar com segurança

TI gerenciada na contabilidade: critérios para escolher e integrar com segurança

Antivírus corporativo vs EDR: diferenças práticas para reduzir o risco em empresas

Antivírus corporativo vs EDR: diferenças práticas para reduzir o risco em empresas