O uso de inteligência artificial no setor de saúde avança em ritmo acelerado. Softwares que transcrevem consultas, analisam prontuários, sugerem diagnósticos e registram informações clínicas em tempo real já são realidade em clínicas, consultórios e hospitais de todo o Brasil.
A tecnologia chegou. A pergunta que poucos fazem — e que precisa ser respondida antes de qualquer contratação — é: quem responde juridicamente quando algo dá errado com esses dados?
───────────────────────────────
Dado de saúde é dado sensível. E isso muda tudo.
Informações captadas durante consultas médicas — histórico clínico, diagnósticos, laudos, registros de atendimento — são classificadas como dados pessoais sensíveis pela LGPD (art. 5º, II c/c art. 11). Isso significa que estão sujeitas a um regime de proteção mais rigoroso do que o aplicável a dados pessoais comuns.
As bases legais para tratamento desse tipo de dado são limitadas: consentimento específico e destacado do paciente, ou tutela da saúde por profissional habilitado. Não basta que o software seja tecnicamente seguro — ele precisa estar juridicamente adequado, com políticas de privacidade claras, contratos de operação de dados e relatórios de conformidade que possam ser apresentados a qualquer momento.
O médico e a clínica também respondem.
Um equívoco comum: acreditar que a responsabilidade recai apenas sobre a empresa que desenvolveu o software. Não é assim que a lei funciona.
Pela LGPD, controlador e operador respondem de forma solidária por violações envolvendo os dados tratados (art. 42, §1º). Na prática: a clínica ou o hospital que contrata o software atua como controlador dos dados dos seus pacientes — e responde por incidentes, ainda que a falha técnica tenha ocorrido no sistema do fornecedor.
Isso significa que não basta exigir que o software seja seguro. É preciso documentar essa exigência — por meio de contrato com cláusulas específicas, DPA (Data Processing Agreement) e comprovação de conformidade do fornecedor.
Além disso, o paciente tem o direito de saber como seus dados são tratados e por quais agentes (art. 6º, VI e art. 9º da LGPD) — e pode exigir essa informação diretamente da clínica ou do médico responsável.
Transferência internacional de dados: um risco invisível.
Muitas das tecnologias de IA utilizadas no Brasil são desenvolvidas ou armazenadas em servidores no exterior. Quando isso ocorre, entra em cena o art. 33 da LGPD, que regula as hipóteses taxativas de transferência internacional de dados. Sem a devida análise jurídica dessa cadeia, a empresa de saúde pode estar descumprindo a lei sem nem saber.
Menores de idade: atenção redobrada.
Quando o paciente é menor de idade, o dado de saúde passa a ser protegido simultaneamente por dois regimes: o art. 11 da LGPD (dados sensíveis) e o ECA Digital (Lei nº 15.211/2025, em vigor desde março de 2026), que estabelece um regime próprio de proteção de dados de crianças e adolescentes. Os dois regimes se somam — e ignorar essa camada adicional de proteção é um risco que nenhum estabelecimento de saúde pode se dar ao luxo de correr.
Adequação à LGPD não é opcional — é estratégica.
A ANPD vem ampliando sua atuação regulatória, com foco crescente no uso de inteligência artificial e no setor de saúde. A Resolução CD/ANPD nº 15/2024 estabelece parâmetros concretos de governança e segurança da informação. Para estabelecimentos que operam com telemedicina, soma-se ainda a Resolução CFM nº 2.314/2022, que regula a prática e impõe requisitos específicos sobre sigilo médico e tratamento de dados no ambiente digital. Clínicas, hospitais, consultórios e empresas de healthtech que ainda não implementaram um programa de adequação à LGPD estão operando em risco — regulatório, reputacional e financeiro.
Ter um programa de compliance à LGPD não é apenas uma obrigação legal. É um diferencial competitivo. É o que permite ao estabelecimento de saúde demonstrar, a pacientes e parceiros, que trata a privacidade como valor — não como burocracia.
Conclusão
Se você atua no setor de saúde — como médico, gestor de clínica, hospital ou healthtech — e ainda não revisou a adequação jurídica das tecnologias que utiliza, este é o momento. A IA chegou ao consultório. A responsabilidade jurídica sempre esteve lá.
Advogada especialista em Direito Digital e sócia-fundadora de Gisele Truzzi Tech Legal Advisory, escritório referência na área há mais de 15 anos.
Com mais de 20 anos de experiência, lidera assessorias jurídicas e programas de adequação à LGPD, promovendo maior blindagem jurídica de seus clientes. Atua como DPO de empresas e impulsiona mudanças na cultura organizacional, com foco em proteção de dados, compliance, inovação e agilidade. É pós-graduada em Segurança da Informação e certificada em Direitos Autorais pela Harvard Law School. Colunista do portal ITFORUM, atualmente cursa pós-graduação em Neurociências, Comunicação e Desenvolvimento Humano. É sócia da GT Compliance, empresa com foco em consultoria de compliance, gestão de riscos e segurança da informação.




