Agenda regulatória da ANPD reforça desafios na definição, uso e compartilhamento de dados de saúde no Brasil
A publicação do Mapa de Temas Prioritários 2026–2027 pela ANPD coloca os dados de saúde no centro do debate sobre proteção de dados pessoais, destacando desafios conceituais, jurídicos e operacionais no setor. Para a doutora em Direito e especialista em proteção de dados, a agenda evidencia a necessidade de maior clareza na aplicação da Lei Geral de Proteção de Dados (LGPD), especialmente quanto à tutela da saúde e ao compartilhamento de informações no âmbito do SUS.
Por Cathiani M. Bellé
O Mapa de Temas Prioritários para o biênio 2026–2027 constitui um norteador para a definição de prioridades na atuação regulatória.
A Resolução CD/ANPD nº 30/2025, que aprovou o mapa, estabelece os temas de relevância para ações de conformidade no tratamento de dados pessoais e fiscalizações da ANPD.
Entre essas temáticas, apresenta iniciativas relacionadas aos dados pessoais sensíveis, especialmente os dados de saúde (2025, Item 12). A definição precisa de dados de saúde, a aplicação adequada da hipótese legal da tutela da saúde e o compartilhamento de dados entre agentes de tratamento, considerando as especificidades do Sistema Único de Saúde (SUS), são pontos centrais da agenda.
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) inclui o dado de saúde no rol taxativo de dados pessoais sensíveis (art. 5º, II). Diferentemente do Regulamento Geral sobre a Proteção de Dados (GDPR), que o define como “dados pessoais relacionados à saúde física ou mental de uma pessoa natural, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde” (art. 4º, 15, GDPR), na LGPD o dado de saúde é considerado uma categoria de dado sensível e subespécie de dado pessoal.
O dado de saúde abrange aspectos físicos, perceptíveis de forma direta, como lesões ou infecções, e aspectos mentais, como condições psicológicas ou neurológicas. A própria prestação de serviços da área, quando associada à identificação de um indivíduo, também constitui elemento caracterizador do dado de saúde. Assim, a emissão de uma guia ou de um orçamento para exame laboratorial ou de imagem, quando vincula uma pessoa natural — titular de dados pessoais (art. 5º, V, LGPD) — a um procedimento de investigação de uma doença, caracteriza o tratamento de dado de saúde.
Há ainda correlação direta entre dados de saúde, dados genéticos (art. 4º, 13, GDPR) e dados biométricos (art. 4º, 14, GDPR), igualmente definidos no Regulamento Europeu. Esses dados podem ser exemplificados, respectivamente, pela análise de material biológico para fins diagnósticos, como em uma biópsia, e pela coleta de características fisiológicas ou anatômicas para exames de imagem ou identificação biométrica. Dessa forma, a conceituação e classificação do dado de saúde exigem análise ampla e consideração de suas correlações com os serviços disponíveis na área.
A aplicação da hipótese legal da tutela da saúde também requer atenção especial, uma vez que o ciclo de vida dos dados nem sempre se manifesta na jornada do paciente. Nem todo tratamento de dado de saúde corresponde às etapas e interações vivenciadas pelo paciente ao longo de sua trajetória de cuidado. Eles devem ser tratados conforme os procedimentos necessários à proteção da saúde dos titulares.
Casos de tratamento de dados relacionados à promoção de instituições ou profissionais, ainda que importantes para a manutenção do ecossistema como um todo, introduzem complexidade à correlação entre finalidade, adequação e necessidade, nos termos do art. 6º da LGPD.
Além disso, o tratamento de dados para fins de tutela da saúde deve ser realizado “exclusivamente em procedimento conduzido por profissionais de saúde, serviços de saúde ou autoridade sanitária” (art. 7º, VIII, e art. 11, II, “f”, LGPD), ou seja, por profissionais habilitados ou instituições com credenciais legítimas. Assim, a tutela da saúde deve corresponder a serviços próprios à salvaguarda desse direito e prestados por instituições competentes.
Em termos de compartilhamento, é essencial considerar o ambiente de cuidado desde a coleta de dados para agendamento de consultas até a eliminação segura, em especial quando realizada por empresas parceiras. O compartilhamento de dados ocorre em um contexto amplo, compreendendo “qualquer operação de transmissão, distribuição, comunicação, transferência, difusão ou uso compartilhado de dados pessoais” (2020, p. 45).
Tal prática é necessária não apenas para a prestação adequada de serviços, mas também se relaciona ao direito do cidadão e ao dever do Estado de garantir o acesso à saúde (art. 196 da Constituição Federal). A manutenção dos serviços públicos do SUS dependem de parcerias e do compartilhamento de dados entre prestadores públicos e privados, especialmente em cenários de maior complexidade assistencial, nos quais a proteção da vida pode prevalecer sobre determinados controles de segurança, configurando, nesses casos, um exercício efetivo do princípio da razoabilidade.
Seguindo os nortes da Agenda 2026, a ANPD participou, no primeiro trimestre, da 3ª Jornada de Proteção de Dados Pessoais no SUS e do Seminário de Segurança da Informação na Saúde, ambos realizados pelo Ministério da Saúde.
Na Jornada, foi lançada a Rede de Encarregados de Dados Pessoais do SUS, voltada a integrar os responsáveis pela proteção de dados e consolidar uma cultura de conformidade na saúde pública. A iniciativa é fundamental para enfrentar os desafios da área, uma vez que a efetividade na aplicação de medidas técnicas ou administrativas dialoga diretamente com o aculturamento em proteção de dados.
Os profissionais de saúde precisam passar por um processo de assimilação, adaptação e incorporação dos elementos que compõem a cultura de proteção de dados pessoais. A implementação de um Programa de Governança em Privacidade (art. 50, §2º, I, LGPD) envolve tanto questões teóricas quanto práticas, sendo esta última seu maior diferencial.
Nesse contexto, o Encarregado pelo Tratamento de Dados Pessoais (art. 5º, VIII, LGPD) atua como protagonista na promoção e consolidação dessa cultura. Nos termos do art. 41, §2º, III, da LGPD e do art. 15, III, da Resolução CD/ANPD nº 18/2024, cabe ao Encarregado orientar funcionários e contratados do agente de tratamento sobre as boas práticas de proteção de dados pessoais, além de prestar assessoria para a tomada de decisão, apoiar a elaboração de documentos oficiais e nortear diretrizes em casos de incidentes de segurança.
O Encarregado atua como profissional de trânsito institucional, especialmente na saúde, e precisa compreender a prestação de serviços e seus desafios para interagir com múltiplos setores e profissionais, ajudando equipes a assimilar, adaptar e incorporar a cultura de proteção de dados à rotina. É o profissional que atua na compreensão de que um dado de saúde possui significados distintos para a equipe financeira e para a equipe assistencial, traduzindo conceitos de forma adequada a cada contexto e possibilitando o reconhecimento dos tratamentos necessários e dos limites correspondentes à finalidade da prestação dos serviços.
Caso a temática não dialogue com os processos e práticas diárias, não será incorporada à rotina nem à cultura institucional, fator essencial em um ecossistema tão diversificado e desafiador como o da saúde.
Referências
AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS (ANPD). Guia orientativo: atuação do encarregado pelo tratamento de dados pessoais. Brasília, DF: ANPD, 2024.
AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Resolução CD/ANPD nº 30, de 23 de dezembro de 2025. Aprova o Mapa de Temas Prioritários para o biênio 2026-2027. Diário Oficial da União: Brasília, DF, 23 dez. 2025.
AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Resolução CD/ANPD nº 18, de 16 de julho de 2024. Diário Oficial da União, Brasília, DF, 16 jul. 2024.
BRASIL. Secretaria de Governo Digital. Guia de Boas Práticas – Lei Geral de Proteção de Dados. Versão 2.0. 2020.
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Jornal Oficial da União Europeia, 2016.
Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia de segurança referente à requisitos técnicos e regulatórios. Levamos conhecimento e provocamos reflexões que sustentam decisões em transformação digital e cibersegurança. Temos a força do contexto que impulsiona a comunicação. Fale com a gente contato@cryptoid.com.br
