Consentimento do Paciente e LGPD: Quando Exigir e as 7 Alternativas
"Antes de tudo, preciso que o senhor assine este termo de consentimento para que possamos acessar seu prontuário." Se essa frase parece normal na recepção do seu hospital, você tem um problema sério de conformidade — e provavelmente nem sabe.
Um dos erros mais comuns (e mais perigosos) que hospitais e clínicas cometem na adequação à LGPD é exigir consentimento do paciente para absolutamente tudo. Parece prudente. Parece seguro. Mas é juridicamente frágil, operacionalmente insustentável e, em muitos casos, contrário ao que a própria lei determina.
Este artigo explica por que o consentimento universal é um mito na saúde, quais são as 7 bases legais alternativas previstas no Art. 11 da LGPD para dados sensíveis, e quando o consentimento realmente é necessário.
Por que exigir consentimento para tudo é um erro perigoso?
A lógica parece simples: "se o paciente assinou o consentimento, estamos protegidos." Mas essa crença cria três riscos graves:
1. O consentimento pode ser revogado a qualquer momento. O Art. 8º, §5º da LGPD garante ao titular o direito de revogar o consentimento a qualquer momento. Se todo o tratamento de dados do hospital depende de consentimento, o que acontece quando um paciente revoga? O hospital deve parar de acessar o prontuário? Deixar de notificar uma doença compulsória? Apagar registros obrigatórios? A resposta é não — porque essas atividades têm outras bases legais. Mas se o hospital documentou tudo como "consentimento", a revogação cria um limbo jurídico desnecessário.
2. Consentimento para dados sensíveis exige requisitos rigorosos. O Art. 11, I da LGPD exige que o consentimento para dados sensíveis seja específico, destacado e vinculado a finalidades específicas. Um formulário genérico que diz "autorizo o uso dos meus dados para fins de atendimento" não atende a esses requisitos. Se questionado pela ANPD, o hospital pode descobrir que seu consentimento é inválido — e que todo o tratamento de dados feito com base nele está irregular.
3. Encobrir a base legal correta dificulta a defesa. Em caso de fiscalização ou incidente, o hospital que usou consentimento quando deveria ter usado tutela da saúde terá dificuldade em justificar suas práticas. A ANPD avalia não apenas se houve base legal, mas se foi a base legal adequada à finalidade do tratamento.
A boa notícia: a LGPD oferece alternativas robustas. Vamos a elas.
Qual é a base legal principal para o atendimento médico?
A resposta está no Art. 11, II, alínea "f" da LGPD: tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Essa é a base legal central para toda atividade assistencial. Quando o médico acessa o prontuário para diagnosticar, prescrever ou tratar, ele não precisa de consentimento do paciente para isso. A lei reconhece que o tratamento de dados de saúde é condição necessária para a prestação do cuidado assistencial.
Os requisitos da tutela da saúde
Para que a tutela da saúde seja válida como base legal, três condições devem ser cumpridas simultaneamente:
-
Finalidade assistencial direta: o tratamento de dados deve estar vinculado ao cuidado do paciente — diagnóstico, tratamento, prevenção, reabilitação.
-
Execução por agentes qualificados: o Art. 11, II, "f" é explícito — o tratamento deve ser realizado "exclusivamente" por profissionais de saúde, serviços de saúde ou autoridade sanitária. Um departamento de marketing do hospital não se enquadra.
-
Procedimento de saúde: deve haver um procedimento assistencial em curso ou em preparação. Não se pode usar a tutela da saúde como base genérica para qualquer atividade do hospital.
O que a tutela da saúde cobre na prática
- Registro e atualização do prontuário eletrônico
- Compartilhamento de informações entre profissionais da equipe assistencial
- Solicitação e análise de exames diagnósticos
- Prescrição de medicamentos e acompanhamento terapêutico
- Encaminhamento a especialistas dentro do contexto assistencial
- Registro de atendimento de urgência e emergência
- Teleconsulta e telemonitoramento conforme Resolução CFM n.º 2.314/2022
Quais são as 7 bases legais alternativas ao consentimento para dados de saúde?
O Art. 11, II da LGPD lista as hipóteses em que dados pessoais sensíveis podem ser tratados sem consentimento do titular. Para o setor de saúde, todas as sete alternativas têm aplicação prática.
1. Cumprimento de obrigação legal ou regulatória (Art. 11, II, "a")
O que é: quando uma lei ou regulamento obriga o controlador a tratar determinados dados.
Exemplos na saúde:
- Guarda do prontuário médico por no mínimo 20 anos (Resolução CFM n.º 1.821/2007)
- Notificação compulsória de doenças ao Ministério da Saúde (Lei n.º 6.259/1975 e Portaria MS n.º 217/2023)
- Escrituração de receitas de medicamentos controlados (Portaria SVS/MS n.º 344/1998)
- Comunicação de nascimentos e óbitos ao registro civil
- Laudos de saúde ocupacional exigidos pelas Normas Regulamentadoras (NR-7, PCMSO)
- Envio de dados ao DATASUS, CNES e outros sistemas do SUS
Na prática: quando o paciente pede para "apagar todos os meus dados", o hospital pode (e deve) recusar a exclusão dos dados de prontuário, porque a guarda é obrigação legal — não depende de consentimento.
2. Tratamento compartilhado pela administração pública (Art. 11, II, "b")
O que é: compartilhamento de dados necessários à execução de políticas públicas previstas em leis ou regulamentos.
Exemplos na saúde:
- Alimentação de sistemas do SUS (DATASUS, SIA, SIH, SI-PNI)
- Vigilância epidemiológica e sanitária
- Campanhas de vacinação coordenadas pelo poder público
- Programas de saúde da família (ESF)
- Repasse de informações para regulação de leitos do SUS
Importante: esta base aplica-se a hospitais públicos e conveniados ao SUS. Hospitais privados que executam políticas públicas por convênio também podem utilizá-la, desde que a finalidade seja estritamente a execução da política pública.
3. Realização de estudos por órgão de pesquisa (Art. 11, II, "c")
O que é: pesquisas realizadas por órgão de pesquisa (conforme definido no Art. 5º, XVIII da LGPD), garantida, sempre que possível, a anonimização dos dados.
Exemplos na saúde:
- Estudos epidemiológicos com dados anonimizados do prontuário
- Pesquisas de efetividade de tratamentos usando registros hospitalares
- Análise de dados populacionais de saúde para fins acadêmicos
Limitação importante: esta base exige que o controlador seja um "órgão de pesquisa" — conceito definido pela LGPD como órgão ou entidade da administração pública ou pessoa jurídica de direito privado sem fins lucrativos, ou que tenha pesquisa como parte de sua missão institucional. Um hospital privado com fins lucrativos que queira fazer pesquisa comercial com dados de pacientes não se enquadra automaticamente nesta hipótese e pode precisar de consentimento específico.
4. Exercício regular de direitos (Art. 11, II, "d")
O que é: tratamento de dados necessário para o exercício regular de direitos em contrato ou em processo judicial, administrativo ou arbitral.
Exemplos na saúde:
- Defesa em processos por erro médico (dados do prontuário como prova)
- Contestação de glosas por operadoras de planos de saúde
- Auditoria médica para verificação de procedimentos faturados
- Cumprimento de determinação judicial para fornecimento de prontuário
- Defesa administrativa perante o CRM ou vigilância sanitária
Na prática: se um paciente processa o hospital por erro médico e depois pede a exclusão dos dados, o hospital pode manter os registros necessários à sua defesa com base nesta hipótese.
5. Proteção da vida ou da incolumidade física (Art. 11, II, "e")
O que é: tratamento de dados indispensável para proteger a vida ou a integridade física do titular ou de terceiros.
Exemplos na saúde:
- Atendimento de emergência quando o paciente está inconsciente
- Acesso a histórico de alergias em situação de urgência
- Compartilhamento de informações com o SAMU durante resgate
- Acionamento de protocolo de sepse com dados do paciente
- Notificação de risco de contágio a contactantes (ex.: tuberculose, meningite)
Diferença da tutela da saúde: a proteção da vida aplica-se a situações de risco iminente, mesmo que o agente que trata os dados não seja profissional de saúde (ex.: bombeiro, socorrista). A tutela da saúde exige que o agente seja profissional ou serviço de saúde.
6. Tutela da saúde (Art. 11, II, "f")
O que é: tratamento de dados de saúde exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Essa é a base principal já detalhada na seção anterior. É a hipótese mais utilizada no dia a dia assistencial e a que elimina a necessidade de consentimento para a grande maioria das atividades clínicas.
7. Garantia da prevenção à fraude e à segurança do titular (Art. 11, II, "g")
O que é: tratamento de dados para garantir a prevenção à fraude e a segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Exemplos na saúde:
- Validação biométrica para acesso ao prontuário eletrônico do paciente
- Verificação de identidade na dispensação de medicamentos controlados
- Controle antifraude em autorização de procedimentos por planos de saúde
- Autenticação de pacientes em portais de resultados de exames
Limitação: esta base é restrita a processos de identificação e autenticação. Não pode ser utilizada como base genérica para outras atividades.
Quando o consentimento do paciente é realmente necessário?
Após ver as sete alternativas, fica claro que o consentimento não é necessário para a maioria das atividades assistenciais. Mas ele continua sendo obrigatório em situações específicas.
Situações que exigem consentimento
Marketing e comunicação comercial:
- Envio de e-mails promocionais, newsletters ou ofertas de serviços
- Uso de dados do paciente para campanhas de marketing
- Compartilhamento de dados com parceiros comerciais
Pesquisa fora do contexto de "órgão de pesquisa":
- Ensaios clínicos patrocinados por indústria farmacêutica
- Pesquisas de satisfação com identificação do paciente
- Estudos conduzidos por hospitais com fins comerciais diretos
Compartilhamento fora do contexto assistencial:
- Envio de dados a empresas de tecnologia para desenvolvimento de produtos
- Compartilhamento com seguradoras para fins de subscrição
- Transferência de dados para empresas de análise de dados (analytics)
Uso de dados para finalidades secundárias:
- Criação de perfis de pacientes para venda de serviços adicionais
- Uso de imagens médicas para treinamento de IA comercial
- Integração de dados com plataformas de bem-estar ou aplicativos de terceiros
Telemedicina — aspectos específicos:
- A Resolução CFM n.º 2.314/2022 exige termo de consentimento livre e esclarecido para atendimento por telemedicina, incluindo autorização para transmissão de imagens e dados por meios eletrônicos
A regra prática
Se a finalidade do tratamento de dados não é diretamente assistencial e não se enquadra em nenhuma das outras seis bases legais do Art. 11, II — o consentimento é necessário. E deve ser:
- Específico: vinculado a uma finalidade clara (não genérico)
- Destacado: separado de outros termos e condições
- Livre: sem condicionamento ao atendimento assistencial
- Informado: o paciente deve entender o que está autorizando
- Inequívoco: deve haver manifestação ativa (não vale silêncio ou pré-marcação)
Formulário genérico ou consentimento específico: qual modelo usar?
Um erro recorrente é o uso de termos genéricos de consentimento — aqueles formulários de uma página que dizem algo como: "Autorizo a coleta, armazenamento e uso dos meus dados pessoais para as finalidades necessárias ao meu atendimento."
Esse tipo de termo é inválido para dados sensíveis nos termos do Art. 11, I da LGPD.
O que torna um consentimento válido
Para que o consentimento de dados de saúde seja juridicamente válido, ele deve conter:
1. Finalidade específica e clara:
- "Autorizo o uso do meu endereço de e-mail para recebimento de informativos sobre programas de prevenção ao câncer de mama promovidos pelo Hospital X."
- Não: "Autorizo o uso dos meus dados para comunicações do hospital."
2. Dados específicos:
- Quais categorias de dados serão tratados (nome, e-mail, dados de saúde específicos)
- Não: "todos os dados necessários"
3. Prazo ou condição de validade:
- "Este consentimento é válido por 12 meses" ou "até a conclusão da pesquisa"
- Não: "por prazo indeterminado"
4. Informação sobre revogação:
- Como o paciente pode revogar (canal, prazo de resposta)
- Consequências da revogação
5. Separação do consentimento assistencial:
- O consentimento para finalidades secundárias nunca deve ser condição para o atendimento
- Formulários separados para cada finalidade
Modelo de estrutura para consentimento específico
Um consentimento bem elaborado para uso secundário de dados de saúde deve conter, no mínimo:
- Identificação do controlador (hospital/clínica)
- Descrição da finalidade específica
- Categorias de dados pessoais envolvidos
- Com quem os dados serão compartilhados (se aplicável)
- Prazo de retenção ou critério para definição do prazo
- Direitos do titular (acesso, correção, exclusão, portabilidade)
- Canal para revogação do consentimento
- Campo para assinatura ou manifestação ativa do paciente
- Data
O que acontece com o prontuário quando o paciente revoga o consentimento?
Essa é uma das perguntas mais frequentes — e a resposta mais mal compreendida.
Resposta direta: nada acontece com o prontuário.
O prontuário médico não é tratado com base em consentimento. Sua manutenção fundamenta-se em pelo menos duas bases legais independentes:
-
Obrigação legal (Art. 11, II, "a"): a Resolução CFM n.º 1.821/2007 determina a guarda do prontuário por no mínimo 20 anos a partir do último registro. Essa obrigação independe da vontade do paciente.
-
Tutela da saúde (Art. 11, II, "f"): o prontuário é instrumento essencial para a continuidade do cuidado assistencial.
O que a revogação afeta
Quando o paciente revoga o consentimento, os efeitos são limitados às atividades que dependiam exclusivamente do consentimento:
- O hospital deve parar de enviar comunicações de marketing
- A pesquisa que usava dados identificados do paciente deve excluí-los
- O compartilhamento com terceiros para fins não assistenciais deve cessar
Mas o prontuário permanece intacto. Os registros obrigatórios continuam sendo feitos. O atendimento assistencial não é afetado.
Como explicar ao paciente
É fundamental que a equipe do hospital saiba comunicar isso ao paciente de forma transparente:
"Senhor(a), o seu prontuário médico é mantido por obrigação legal e para a continuidade do seu cuidado de saúde. A revogação do consentimento não afeta esses registros. O que a revogação altera é [especificar: e-mails de marketing, participação na pesquisa X, etc.]. Mesmo após a revogação, o(a) senhor(a) continua tendo direito de acessar seus dados e solicitar correções."
Qual base legal usar para cada atividade de tratamento?
A tabela abaixo mapeia as atividades mais comuns em hospitais e clínicas à base legal adequada. Use-a como referência para a construção do seu Registro de Atividades de Tratamento (ROPA).
| Atividade de tratamento | Base legal (Art. 11) | Exige consentimento? |
|---|---|---|
| Registro e manutenção do prontuário | Obrigação legal (II, "a") + Tutela da saúde (II, "f") | Não |
| Consulta médica e diagnóstico | Tutela da saúde (II, "f") | Não |
| Prescrição de medicamentos | Tutela da saúde (II, "f") | Não |
| Exames laboratoriais e de imagem | Tutela da saúde (II, "f") | Não |
| Atendimento de emergência (paciente inconsciente) | Proteção da vida (II, "e") | Não |
| Teleconsulta | Tutela da saúde (II, "f") + Consentimento CFM | Sim (Res. CFM 2.314/2022) |
| Notificação de doença compulsória | Obrigação legal (II, "a") | Não |
| Guarda do prontuário por 20 anos | Obrigação legal (II, "a") | Não |
| Alimentação de sistemas do SUS | Políticas públicas (II, "b") | Não |
| Vigilância epidemiológica | Obrigação legal (II, "a") + Políticas públicas (II, "b") | Não |
| Pesquisa acadêmica com dados anonimizados | Estudos por órgão de pesquisa (II, "c") | Não |
| Ensaio clínico com dados identificados | Consentimento (I) | Sim |
| Defesa em processo por erro médico | Exercício regular de direitos (II, "d") | Não |
| Auditoria de plano de saúde | Exercício regular de direitos (II, "d") | Não |
| Validação biométrica no prontuário eletrônico | Prevenção à fraude (II, "g") | Não |
| Envio de e-mail marketing ao paciente | Consentimento (I) | Sim |
| Compartilhamento com seguradora (subscrição) | Consentimento (I) | Sim |
| Uso de dados para treinar IA comercial | Consentimento (I) | Sim |
| Pesquisa de satisfação identificada | Consentimento (I) | Sim |
| Envio de dados a apps de terceiros | Consentimento (I) | Sim |
Quais são os erros mais comuns que hospitais cometem com consentimento?
Com base em padrões observados no setor de saúde, estes são os erros mais frequentes — e como corrigi-los.
Erro 1: Usar consentimento como base legal para o prontuário
O problema: o hospital pede consentimento para "coleta e armazenamento de dados no prontuário eletrônico". Se o paciente revoga, o hospital fica em uma situação impossível — não pode apagar o prontuário (obrigação legal) mas documentou que a base é consentimento.
A correção: documentar a manutenção do prontuário como obrigação legal (Art. 11, II, "a") com referência à Resolução CFM n.º 1.821/2007. Remover o consentimento como base legal para esta atividade no ROPA.
Erro 2: Formulário genérico de consentimento para dados sensíveis
O problema: um único termo que diz "autorizo o tratamento dos meus dados pessoais, inclusive dados de saúde, para todas as finalidades necessárias". Isso não atende ao requisito de consentimento específico e destacado do Art. 11, I.
A correção: criar consentimentos separados para cada finalidade que realmente exige consentimento. Cada formulário deve indicar especificamente quais dados, para qual finalidade, por quanto tempo e com quem serão compartilhados.
Erro 3: Condicionar o atendimento à assinatura do consentimento
O problema: "sem assinar o termo, não posso atendê-lo." Isso viola o princípio da liberdade do consentimento (Art. 8º, §3º da LGPD) e pode configurar vício de consentimento. Além disso, o atendimento assistencial não depende de consentimento — usa tutela da saúde como base legal.
A correção: separar claramente o consentimento para fins acessórios (marketing, pesquisa) do fluxo assistencial. O atendimento deve ocorrer independentemente de o paciente assinar consentimentos para finalidades secundárias.
Erro 4: Não documentar a base legal no ROPA
O problema: o hospital trata dados de saúde mas não documenta qual base legal justifica cada atividade de tratamento. Em caso de fiscalização da ANPD, não consegue demonstrar conformidade.
A correção: construir um Registro de Atividades de Tratamento (ROPA) completo, indicando a base legal específica para cada atividade. Usar a tabela decisória deste artigo como ponto de partida.
Erro 5: Ignorar a revogação do consentimento
O problema: o paciente solicita a revogação do consentimento e o hospital não tem processo para atender a solicitação, ou continua tratando os dados como se nada tivesse acontecido.
A correção: implementar um sistema de gestão de consentimento que permita rastrear quais consentimentos estão ativos, processar revogações e garantir que os efeitos da revogação sejam aplicados nas atividades correspondentes.
Erro 6: Compartilhar dados entre departamentos sem critério
O problema: dados clínicos do paciente circulam livremente entre departamentos assistenciais e não assistenciais (marketing, financeiro, comercial) sem distinção de base legal ou finalidade.
A correção: implementar controles de acesso granulares. O departamento assistencial acessa dados clínicos com base na tutela da saúde. O departamento financeiro acessa apenas dados cadastrais e de faturamento com base na execução do contrato (Art. 7º, V) ou obrigação legal. O marketing só acessa dados com consentimento específico do paciente.
Erro 7: Não registrar a origem do consentimento
O problema: o hospital afirma ter consentimento do paciente, mas não consegue comprovar quando, como e para qual finalidade o consentimento foi obtido.
A correção: registrar a trilha completa do consentimento — data, hora, canal (presencial, digital), versão do termo, finalidade específica e identificação do paciente. Manter esses registros como evidência de conformidade.
Como o CFM e a ANPD tratam o tema?
Conselho Federal de Medicina
O CFM publicou cartilha orientativa sobre a aplicação da LGPD na prática médica, esclarecendo que:
- O prontuário médico é documento obrigatório e sua manutenção não depende de consentimento do paciente
- A Resolução CFM n.º 1.821/2007 estabelece o prazo mínimo de 20 anos de guarda
- Na telemedicina, a Resolução CFM n.º 2.314/2022 exige termo de consentimento livre e esclarecido específico para o atendimento remoto
- O sigilo médico (Art. 73 do Código de Ética Médica) se articula com a LGPD, mas não é substituído por ela
ANPD
A Autoridade Nacional de Proteção de Dados tem reforçado em seus guias e orientações que:
- O consentimento não é a única nem necessariamente a melhor base legal para o setor de saúde
- A escolha da base legal deve ser feita antes do início do tratamento de dados
- A mudança de base legal após o início do tratamento é possível, mas deve ser documentada e justificada
- O princípio da necessidade (Art. 6º, III) aplica-se independentemente da base legal: somente dados estritamente necessários devem ser tratados
Para um panorama completo sobre como definir bases legais na LGPD, incluindo critérios de escolha e documentação, consulte nosso guia dedicado.
Dados sensíveis na saúde: cuidados adicionais
Dados de saúde são dados pessoais sensíveis nos termos do Art. 5º, II da LGPD. Isso implica obrigações adicionais que se aplicam independentemente da base legal utilizada:
-
Medidas de segurança reforçadas: criptografia em trânsito e em repouso, controles de acesso baseados em função, logs de auditoria completos.
-
Relatório de Impacto (RIPD): hospitais e clínicas que tratam dados de saúde em larga escala devem elaborar RIPD, especialmente para novas tecnologias (IA diagnóstica, telemedicina, wearables).
-
Princípio da minimização: mesmo com base legal válida, o hospital deve coletar apenas os dados estritamente necessários para cada finalidade.
-
Vedação ao uso discriminatório: o Art. 11, §1º da LGPD veda o tratamento de dados sensíveis para práticas discriminatórias — como negar atendimento ou alterar preços com base em dados de saúde.
-
Compartilhamento restrito: o Art. 11, §4º veda a comunicação ou uso compartilhado de dados sensíveis referentes à saúde com o objetivo de obter vantagem econômica, exceto nas hipóteses de prestação de serviços de saúde, assistência farmacêutica e assistência à saúde.
Para mais detalhes sobre as obrigações específicas do setor, consulte nosso guia sobre LGPD em hospitais, clínicas, prontuário e telemedicina.
Checklist: consentimento e bases legais na saúde
Use esta lista para verificar se o seu hospital ou clínica está adequado:
- O ROPA identifica a base legal específica para cada atividade de tratamento de dados
- O prontuário está documentado como obrigação legal (Art. 11, II, "a"), não como consentimento
- As atividades assistenciais usam tutela da saúde (Art. 11, II, "f") como base legal
- O consentimento é solicitado apenas para finalidades que realmente o exigem (marketing, pesquisa comercial, compartilhamento extra-assistencial)
- Cada consentimento é específico, destacado e vinculado a uma finalidade clara
- Existe processo documentado para atender pedidos de revogação de consentimento
- A revogação do consentimento não afeta o prontuário nem as atividades com outras bases legais
- Os formulários de consentimento não condicionam o atendimento assistencial
- Existe trilha de auditoria para registro e revogação de consentimentos
- Os controles de acesso distinguem entre dados assistenciais e dados para finalidades secundárias
- A equipe assistencial sabe explicar ao paciente por que o prontuário é mantido independentemente de consentimento
- A equipe da recepção foi treinada para não exigir consentimento genérico como condição para atendimento
- Os termos de consentimento são revisados periodicamente pelo DPO e pelo jurídico
Conclusão: consentimento é ferramenta, não escudo
O consentimento do paciente é uma base legal legítima e necessária — para as finalidades certas. Mas transformá-lo em escudo universal contra a LGPD é um erro que enfraquece a posição jurídica do hospital, cria riscos operacionais desnecessários e pode gerar problemas em caso de fiscalização pela ANPD.
A abordagem correta é mapear cada atividade de tratamento de dados, identificar a base legal adequada (usando a tabela decisória como referência), documentar tudo no ROPA e reservar o consentimento para as situações em que ele é realmente a melhor — ou a única — opção.
O Confidata é uma plataforma de gestão de conformidade LGPD que permite documentar bases legais por atividade de tratamento, gerenciar consentimentos com trilha de auditoria completa e gerar relatórios de conformidade prontos para fiscalização. Se o seu hospital ou clínica precisa organizar bases legais e consentimento de forma estruturada, conheça o Confidata.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.