ANPD Vai Fiscalizar Dados de Saúde em 2026: O Que Hospitais Precisam Saber

A ANPD publicou, em dezembro de 2025, o Mapa de Temas Prioritários para o biênio 2026-2027. O documento define quatro eixos de atuação fiscalizatória — e dados de saúde aparecem com destaque no primeiro deles: direitos dos titulares, com enfoque especial em dados sensíveis de saúde, biométricos e financeiros.

Para hospitais, clínicas e operadoras de planos de saúde, a mensagem é clara: o setor entrou na mira da ANPD. E com a Lei 15.352/2026, que transformou a ANPD em agência reguladora com autonomia administrativa, financeira e técnica — incluindo a criação de 200 cargos de Especialista em Regulação de Proteção de Dados —, a capacidade de fiscalização da autoridade será incomparavelmente maior nos próximos dois anos.

O que a ANPD anunciou para 2026-2027

Os quatro eixos do Mapa de Temas Prioritários

O Mapa de Temas Prioritários 2026-2027 estabelece quatro eixos de atuação fiscalizatória:

Eixo 1 — Direitos dos titulares. Fiscalização voltada à proteção de direitos, com enfoque no tratamento de dados de saúde, dados biométricos e dados financeiros. Inclui monitoramento do uso secundário de dados pessoais para publicidade comercial direcionada. A meta é realizar 30 ações de fiscalização neste eixo ao longo do biênio, com parte significativa envolvendo dados de saúde, biométricos e financeiros.

Eixo 2 — Proteção de crianças e adolescentes no ambiente digital. Alinhado ao ECA Digital (Lei 15.352/2026, que também fixou a vigência do Estatuto Digital da Criança e do Adolescente para março de 2026). Inclui verificação de medidas para impedir acesso de crianças a conteúdos impróprios e adoção de design adequado à idade.

Eixo 3 — Tratamento de dados pessoais pelo poder público. Monitoramento de conformidade com regras de compartilhamento de dados entre órgãos públicos, incluindo hospitais públicos e secretarias de saúde.

Eixo 4 — Inteligência artificial e tecnologias emergentes. Supervisão do uso de IA para tratamento de dados pessoais, com previsão de 20 ações de fiscalização até 2027 — inclui IA em diagnóstico médico e triagem.

Por que saúde aparece em três dos quatro eixos

O setor de saúde é transversal. Ele é afetado diretamente pelo Eixo 1 (dados sensíveis de saúde), pelo Eixo 3 (hospitais públicos, UBS, secretarias de saúde) e pelo Eixo 4 (IA em diagnóstico e monitoramento de pacientes). Nenhum outro setor tem essa exposição tripla.

As razões são estruturais:

Volume de dados sensíveis. Hospitais tratam dados de saúde de centenas de milhares de pacientes — a categoria mais protegida da LGPD.
Digitalização acelerada. Prontuários eletrônicos, telemedicina, wearables, IA diagnóstica — cada tecnologia cria novos fluxos de dados sensíveis.
Compartilhamento complexo. Dados circulam entre hospital, laboratório, operadora de plano, pesquisador, órgão público — múltiplos controladores e operadores.
Impacto direto na vida. Um vazamento de dados de saúde pode causar discriminação em emprego, seguro, crédito. Dados genéticos comprometidos afetam gerações inteiras.

O que a ANPD vai verificar em hospitais

Com base nos eixos do Mapa de Temas Prioritários, nas resoluções vigentes da ANPD e nos padrões de fiscalizações anteriores, é possível antecipar o que a autoridade verificará:

1. DPO nomeado e acessível

A Resolução CD/ANPD nº 18/2024 exige que todo controlador indique um encarregado (DPO) por ato formal. A ANPD verificará:

Se há DPO nomeado
Se o ato de nomeação é formal (escrito, datado, assinado)
Se os dados de contato estão publicados no site
Se há encarregado substituto designado

2. Registro de atividades de tratamento (ROPA)

A LGPD (Art. 37) exige que controlador e operador mantenham registro das operações de tratamento. A ANPD verificará:

Se o ROPA existe e está atualizado
Se contempla todas as atividades relevantes (prontuário, faturamento, pesquisa, telemedicina)
Se identifica bases legais, categorias de dados e finalidades

3. RIPD elaborado

Para tratamento de dados sensíveis em larga escala, a existência de RIPD é esperada. A ANPD verificará:

Se o RIPD existe para atividades de alto risco (prontuário eletrônico, IA, telemedicina)
Se contém análise de riscos e medidas mitigatórias
Se é atualizado periodicamente

4. Canal do titular operacional

A LGPD garante direitos ao titular (Art. 18). A ANPD verificará:

Se existe canal de comunicação acessível para pacientes (e-mail, formulário, setor presencial)
Se solicitações são respondidas dentro do prazo
Se o hospital documenta as solicitações e respostas

5. DPAs com fornecedores

Fornecedores que processam dados de pacientes (sistema de prontuário, laboratório, telemedicina) devem ter DPA. A ANPD verificará:

Se existem DPAs formais com operadores
Se os DPAs contêm cláusulas adequadas (segurança, incidentes, suboperadores, exclusão)
Se há evidência de fiscalização dos fornecedores pela clínica/hospital

6. Plano de resposta a incidentes

A Resolução CD/ANPD nº 15/2024 exige comunicação de incidentes à ANPD em 3 dias úteis. A ANPD verificará:

Se existe plano de resposta a incidentes documentado
Se a equipe sabe quem acionar e como comunicar
Se houve incidentes não comunicados

7. Medidas de segurança da informação

A ANPD verificará:

Controle de acesso ao prontuário eletrônico (por perfil, com log de auditoria)
Criptografia de dados em trânsito e em repouso
Política de senhas e autenticação
Backup e teste de restauração
Segmentação de rede

Lições de fiscalizações anteriores

A ANPD já aplicou sanções que servem de referência para o setor de saúde, mesmo quando os casos envolvem outros setores.

Caso Telekall Infoservice (julho 2023) — primeira multa da ANPD

A microempresa recebeu multa de R$ 14.400 por oferecer listas de contatos de WhatsApp de eleitores para campanhas, sem base legal e sem DPO nomeado. Lição para saúde: a ausência de DPO é infração autônoma, independentemente de ter havido vazamento.

Caso INSS (fevereiro 2024) — sanção a órgão público

O INSS foi sancionado por não comunicar aos titulares um incidente de segurança ocorrido em 2022. A ANPD exigiu publicação da infração no site e no app "Meu INSS" por 60 dias. Lição para saúde: não comunicar incidente é tão grave quanto não preveni-lo.

Caso SEEDF — Secretaria de Educação do DF (fevereiro 2024)

A SEEDF recebeu quatro sanções de advertência por: não manter registro de operações de tratamento, não elaborar RIPD após solicitação da ANPD, não notificar titulares sobre incidente de segurança e não usar sistemas que atendam a requisitos de segurança da LGPD. Lição para saúde: a ANPD já sanciona órgãos públicos — hospitais públicos e secretarias de saúde estão na mesma posição.

Padrão das fiscalizações

As sanções aplicadas até agora revelam um padrão: a ANPD verifica documentação básica (DPO nomeado, ROPA, RIPD, plano de incidentes) antes de avaliar questões técnicas mais complexas. A maioria das infrações é por omissão — não ter feito o que deveria ter sido feito —, e não por falha técnica sofisticada.

Diferença entre fiscalização de ofício e por denúncia

Fiscalização de ofício

A ANPD inicia a fiscalização por iniciativa própria, com base no Mapa de Temas Prioritários. Seleciona setores e organizações para verificação programada. É o tipo de fiscalização que o setor de saúde enfrentará em 2026-2027 com base nos eixos prioritários.

Características:

Abrangente — pode envolver múltiplas organizações do mesmo setor
Planejada — segue cronograma e metodologia definidos
Preventiva — foco em orientação e correção antes da sanção

Fiscalização por denúncia

Qualquer titular pode denunciar violação à ANPD pelo canal de petições. A denúncia pode ser anônima. A ANPD avalia a procedência e decide se abre processo administrativo.

Características:

Reativa — iniciada por reclamação específica
Focada — investiga o fato denunciado
Mais frequente — volume de denúncias tende a crescer com a conscientização dos titulares

O que isso significa para hospitais

Hospitais estão expostos aos dois tipos. A fiscalização de ofício virá pelo planejamento da ANPD (Eixo 1 — dados sensíveis de saúde). A fiscalização por denúncia pode vir de qualquer paciente insatisfeito com o tratamento de seus dados — prontuário acessado indevidamente, dados compartilhados sem consentimento, incidente não comunicado.

Como se preparar: plano de ação em 60 dias

Semana 1-2: Diagnóstico rápido

Verificar se há DPO nomeado com ato formal e dados publicados no site
Verificar se existe ROPA — mesmo que incompleto
Verificar se existe RIPD para prontuário eletrônico
Verificar se existe canal de comunicação com titulares (e-mail/formulário acessível)
Listar todos os fornecedores que processam dados de pacientes

Semana 3-4: Documentação essencial

Formalizar nomeação do DPO (se ainda não formalizada) — portaria + publicação no site
Elaborar ROPA mínimo (atividades de tratamento mais relevantes: prontuário, faturamento, RH)
Iniciar RIPD para prontuário eletrônico (o cenário de maior risco)
Criar/ativar canal de comunicação com titulares

Semana 5-6: Contratos e segurança

Mapear DPAs existentes (ou inexistentes) com fornecedores críticos
Negociar inclusão de cláusulas de proteção de dados nos contratos prioritários
Verificar controles de acesso ao prontuário eletrônico (perfis, logs)
Verificar se há plano de resposta a incidentes documentado

Semana 7-8: Evidências e treinamento

Organizar pasta de evidências (portarias, ROPA, RIPD, DPAs, políticas, logs)
Realizar treinamento básico para equipe (30-45 minutos sobre LGPD na saúde)
Simular resposta a uma solicitação de titular (teste do canal)
Simular resposta a um incidente (teste do plano de resposta)
Apresentar relatório de situação à diretoria

A importância de documentar ANTES de ser fiscalizado

A documentação é a linha de defesa principal em uma fiscalização. A ANPD não inspeciona sistemas de TI no primeiro contato — ela solicita documentos. E a ausência de documentação é, por si só, uma infração.

Documentos que a ANPD pode solicitar

Documento	Fundamento legal
Ato de nomeação do DPO	Art. 41 LGPD + Resolução 18/2024
ROPA (registro de atividades de tratamento)	Art. 37 LGPD
RIPD	Art. 38 LGPD
Política de privacidade / aviso aos titulares	Art. 9 LGPD
DPAs com fornecedores (operadores)	Art. 39 LGPD
Plano de resposta a incidentes	Resolução CD/ANPD nº 15/2024
Registro de incidentes comunicados	Resolução CD/ANPD nº 15/2024
Registro de solicitações de titulares	Art. 18 LGPD
Evidências de treinamento	Boa prática (demonstra diligência)

O que a documentação demonstra

Para a ANPD, a existência de documentação demonstra diligência — que a organização se esforçou para cumprir a lei, mesmo que não tenha alcançado a perfeição. A ausência de documentação demonstra negligência — e negligência é agravante na dosimetria de sanções.

Para mais sobre documentação de conformidade, consulte o guia de documentação e evidências para ANPD.

ANPD como agência reguladora: o que muda na prática

A Lei 15.352/2026, sancionada em 25 de fevereiro de 2026, transformou a ANPD em agência reguladora. Na prática, isso significa:

Autonomia

Autonomia funcional, técnica, decisória, administrativa e financeira — a ANPD não depende mais de aprovações da Presidência para atuar
Patrimônio próprio — pode investir diretamente em infraestrutura de fiscalização
Órgão de auditoria interna — para zelar pela transparência da própria agência

Capacidade

200 cargos de Especialista em Regulação de Proteção de Dados — a serem preenchidos via concurso público. Até então, a ANPD operava com quadro reduzido de servidores cedidos por outros órgãos.
Corpo técnico especializado e permanente — não mais dependente de cessões temporárias

Comparação com outras agências

A ANPD agora está no mesmo patamar institucional de ANATEL, ANS, ANVISA e ANEEL. Historicamente, a transição para agência reguladora marca o momento em que a fiscalização deixa de ser episódica e passa a ser sistemática. Foi assim com telecomunicações (ANATEL), saúde suplementar (ANS) e vigilância sanitária (ANVISA). O setor regulado sente a diferença rapidamente.

Para uma análise completa sobre a transformação da ANPD, consulte o post sobre ANPD como agência reguladora.

O que muda para hospitais públicos

Hospitais públicos (federais, estaduais e municipais) enfrentam uma exposição dupla: estão sujeitos ao Eixo 1 (dados sensíveis de saúde) e ao Eixo 3 (tratamento de dados pelo poder público).

Atenção especial

Compartilhamento de dados entre órgãos — dados de pacientes do SUS circulam entre UBS, hospital, secretaria de saúde, Ministério da Saúde (DATASUS). Cada compartilhamento precisa de base legal documentada.
Sistemas legados — muitos hospitais públicos ainda usam sistemas sem controle de acesso adequado ou sem criptografia.
DPO em órgão público — a nomeação é obrigatória e deve seguir procedimento formal (portaria publicada em diário oficial).
Precedente SEEDF — a ANPD já sancionou órgão público da educação; hospitais públicos estão na mesma posição jurídica.

Conclusão

A convergência de três fatores torna 2026 o ano decisivo para a proteção de dados no setor de saúde: a ANPD priorizou dados sensíveis de saúde em seu Mapa de Temas Prioritários, a Lei 15.352/2026 deu à autoridade autonomia e recursos sem precedentes, e o volume crescente de denúncias de titulares cria um fluxo contínuo de demanda fiscalizatória.

Hospitais que investirem nas próximas semanas em documentação básica — DPO nomeado, ROPA, RIPD, canal do titular, DPAs — estarão em posição defensável. Os que não investirem estarão apostando que a fiscalização não chegará até eles. Com 30 ações de fiscalização planejadas no eixo de direitos dos titulares — que inclui dados sensíveis de saúde — essa aposta está cada vez mais arriscada.

Para se preparar para uma auditoria, consulte o guia de preparação para auditoria da ANPD.

A Confidata oferece painel de conformidade com visão consolidada de todos os documentos exigidos pela ANPD: ROPA com status de atualização, RIPD com versionamento, gestão de DPAs com fornecedores e registro de solicitações de titulares — tudo organizado para que sua equipe demonstre conformidade quando a fiscalização chegar.