LGPD na saúde: dados sensíveis, bases legais e a operadora

Última revisão normativa considerada: abril/2026.

1. Dados sensíveis de saúde (Art. 5º, II e Art. 11)

O Art. 5º, II, da LGPD (Lei 13.709/2018) classifica como dado pessoal sensívelaquele “referente à saúde ou à vida sexual”, entre outras categorias. O Art. 11 estabelece o regime próprio: dados sensíveis só podem ser tratados sob hipóteses específicas, que diferem das do Art. 7º aplicável a dados pessoais em geral.

Na prática, a operadora lida o tempo todo com informação de saúde: diagnóstico, prescrição, procedimento solicitado, histórico de internação, resultado de exame. Cada uma dessas peças é dado sensível e exige base legal robusta, finalidade específica e pipeline auditável.

2. Bases legais aplicáveis à operadora

A combinação usual, para uma operadora em operação regular, é:

• Art. 7º, V (execução de contrato) — para os atos administrativos ligados à relação operadora-beneficiário: faturamento, autorização e atendimento.
• Art. 7º, II (cumprimento de obrigação legal) — para as obrigações impostas pela ANS, pelo CFM e pela própria LGPD.
• Art. 11, II, ‘a’ (cumprimento de obrigação legal) — para tratamento de dado sensível exigido por norma regulatória, como a guarda prevista na RN 623.
• Art. 11, II, ‘f’ (tutela da saúde) — para serviços de saúde e farmacêuticos prestados pela operadora e sua rede.
• Art. 7º, I (consentimento) — para finalidades acessórias, como pesquisa de satisfação, marketing direto ou programa de promoção à saúde opt-in.

O desenho da base legal não é decoração jurídica — ele determina o que pode ser feito com cada registro, por quanto tempo, com qual nível de minimização e sob qual possibilidade de revogação pelo titular.

3. DPO e RIPD

A operadora precisa designar Encarregado pelo Tratamento de Dados (DPO, Art. 41), com competência para interagir com titulares e com a ANPD. No setor saúde, a ANPD sinaliza expectativa de DPO com familiaridade regulatória específica — não basta um procurador genérico.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no Art. 38, é obrigatório em tratamentos de alto risco e praticamente indispensável em pipelines de dado sensível de saúde. O RIPD documenta finalidades, bases legais, riscos e medidas mitigadoras — e é o primeiro documento que a ANPD solicita em investigação.

A PreVita, como operadora de dados, mantém RIPD próprio e ajuda o cliente a compor o RIPD do pipeline que envolve o nosso processamento.

4. Guarda, retenção e descarte

• Guarda regulatória — prazos mínimos de 2 a 5 anos para registros estruturados e 90 dias para áudio (conforme RN 623). Retenção nesta faixa é execução de obrigação legal, não escolha da operadora.
• Retenção além do mínimo — exige base legal explícita (ex: prazo prescricional, defesa em processo judicial ou administrativo) e deve constar no RIPD.
• Descarte — processo documentado, com trilha do ato de destruição. Na PreVita, o descarte é um evento de auditoria, não uma exclusão invisível.

5. Direitos do titular (Art. 18)

O beneficiário de plano de saúde mantém os direitos do Art. 18: confirmação, acesso, correção, portabilidade, eliminação, informação sobre compartilhamento, revogação de consentimento e revisão de decisões automatizadas. Há tensão natural com a guarda regulatória: quando o titular pede eliminação, a operadora precisa responder com a base legal que sustenta a retenção — tipicamente o cumprimento da RN 623 ou outra norma setorial.

A PreVita padroniza essa resposta. Cada registro na nossa trilha vem com etiqueta de base legal e prazo mínimo de guarda, o que permite ao DPO responder em minutos ao pedido do titular, em vez de semanas.

6. Interseção entre LGPD e RN 623

A RN 623 opera como obrigação legalque sustenta base para tratamento de dado sensível (Art. 11, II, ‘a’). Ao mesmo tempo, a LGPD exige minimização, proporcionalidade e transparência — ou seja, a operadora guarda o que a ANS exige, mas não mais do que isso, e documenta o porquê. Este equilíbrio fino é o objeto de grande parte das autuações ANPD no setor.

Pontos de intersecção críticos:

• Rastreabilidade da decisão — a RN 623 obriga; a LGPD define como os metadados dessa rastreabilidade podem ser usados.
• Gravação de áudio — exigida pela RN 623; sujeita à LGPD quanto a finalidade, aviso prévio e retenção.
• Exportação para a ANS em auditoria — não configura compartilhamento para terceiro, mas deve ser documentada para preservar integridade do consentimento acessório eventualmente aplicável.
• Decisões automatizadas de negativa — quando existirem, exigem possibilidade de revisão humana explícita (Art. 20 da LGPD).

7. Como a PreVita estrutura o pipeline

• Cifragem em trânsito (TLS 1.2+) e em repouso, com rotação de chaves.
• Separação lógica por operadora, sem reuso de dado entre clientes, mesmo em treinamento de modelos.
• Política de mínimo privilégio, revogação imediata e log de acesso auditável.
• Etiqueta de base legal e prazo mínimo em cada registro, para resposta ágil a pedidos do titular.
• Processo de notificação de incidente com tempo de resposta compatível com orientação da ANPD (Art. 48).
• RIPD e contrato operador-controlador padrão, customizáveis por operadora.

Próximo passo

Se a sua operadora ainda opera a LGPD como obrigação de checklist e não como desenho de produto, o primeiro passo é um diagnóstico conjunto — gratuito, sem compromisso, com retorno em 1 dia útil.