DPO em Hospitais: Como Estruturar o Cargo na Prática
O DPO de um hospital não é o mesmo profissional que atua em uma empresa de tecnologia ou em um escritório de advocacia. O contexto hospitalar exige competências que vão além do conhecimento jurídico e de proteção de dados — é preciso entender regulação sanitária, ética médica, a dinâmica assistencial e a sensibilidade extrema dos dados que circulam em um ambiente de saúde.
Este guia trata da estruturação prática do cargo de DPO (encarregado pelo tratamento de dados pessoais) em hospitais — desde a obrigatoriedade legal até o modelo de ato de nomeação, passando por conflitos de interesse, estrutura de reporte e as primeiras ações concretas.
Todo hospital precisa de DPO?
A regra: sim
O Art. 41 da LGPD determina que o controlador deve indicar um encarregado pelo tratamento de dados pessoais. A Resolução CD/ANPD nº 18/2024, publicada em julho de 2024, regulamentou essa obrigação e confirmou: todo controlador deve nomear um encarregado, salvo a exceção para agentes de tratamento de pequeno porte.
Hospitais, independentemente do porte, tratam dados pessoais sensíveis em larga escala. Isso os exclui das simplificações da Resolução CD/ANPD nº 2/2022, que permite a dispensa de DPO apenas para agentes de pequeno porte que não realizem tratamento de alto risco.
O que a Resolução 18/2024 exige
A resolução estabelece que a indicação do encarregado deve ser feita por meio de ato formal — documento escrito, datado e assinado. O documento deve:
- Identificar o encarregado (nome e dados de contato)
- Ser apresentado à ANPD quando solicitado
- Ser divulgado publicamente (site do hospital, de forma clara e acessível)
- Prever a designação de um encarregado substituto para ausências ou impedimentos
DPO pode ser pessoa jurídica
A Resolução 18/2024 confirmou que o encarregado pode ser pessoa física ou jurídica, interna ou externa à organização. Isso abre caminho para o modelo de DPO as a Service em hospitais — tema que trataremos adiante.
O perfil do DPO de saúde: competências específicas
O DPO hospitalar precisa de um conjunto de competências que vai além do que se espera em outros setores. A Resolução 18/2024 não exige formação ou certificação específica, mas determina que o agente de tratamento deve estabelecer as qualificações necessárias "considerando seus conhecimentos sobre a legislação de proteção de dados pessoais, bem como o contexto, o volume e o risco das operações de tratamento".
Competências essenciais
Proteção de dados e privacidade:
- Conhecimento aprofundado da LGPD (especialmente Art. 11 — dados sensíveis)
- Familiaridade com as resoluções da ANPD (dosimetria, incidentes, RIPD, encarregado)
- Capacidade de conduzir avaliações de impacto (RIPD)
Regulação de saúde:
- Resoluções do CFM (especialmente 1.821/2007 sobre prontuário e 2.314/2022 sobre telemedicina)
- Normas da ANVISA aplicáveis a dados de pacientes
- Lei 14.510/2022 (telemedicina)
- Regulação da ANS (compartilhamento com operadoras de saúde)
Ética médica:
- Sigilo médico e suas exceções legais
- Relação médico-paciente e autonomia do paciente
- Pesquisa clínica e consentimento informado (Resolução CNS nº 466/2012)
Segurança da informação:
- Padrões de segurança para sistemas de saúde
- Gestão de incidentes com dados sensíveis
- Controles de acesso ao prontuário eletrônico
Gestão e comunicação:
- Capacidade de dialogar com corpo clínico, TI, jurídico e diretoria
- Habilidade para traduzir obrigações legais em processos práticos
- Experiência em treinamento e conscientização
Conflito de interesses: quem NÃO pode ser DPO em hospital
A Resolução 18/2024 estabelece que o encarregado deve atuar com autonomia técnica e sem conflito de interesses. Conflito de interesses é definido como "situação gerada pelo confronto de interesses do agente de tratamento com os do encarregado no exercício de sua função, que possa influenciar, de maneira imprópria, o desempenho das atribuições do encarregado".
Funções incompatíveis com o cargo de DPO em hospital
| Cargo | Por que gera conflito |
|---|---|
| Diretor Clínico / Superintendente | Define políticas de tratamento de dados — não pode fiscalizar a si mesmo |
| Diretor de TI / CIO | Responsável pelos sistemas que processam dados — não pode auditar suas próprias decisões |
| Diretor de RH | Controlador de dados de funcionários — conflito direto com a função de proteção |
| Diretor Financeiro / CFO | Pode priorizar economia sobre investimentos em proteção de dados |
| Diretor de Marketing | Define campanhas que usam dados de pacientes — conflito com minimização |
| Ouvidor | Recebe reclamações de titulares — acumular função de DPO concentra demais o poder |
Funções que podem acumular com cautela
- Compliance Officer: possível, mas exige separação clara de atribuições e análise caso a caso. A sobreposição de funções pode criar pontos cegos.
- Assessor jurídico: possível em hospitais menores, desde que não represente o hospital em litígios envolvendo dados pessoais.
- Coordenador de Qualidade: baixo risco de conflito, mas o DPO deve ter autonomia para questionar processos de qualidade que envolvam dados.
A regra prática
Se a pessoa define, aprova ou executa decisões sobre como dados pessoais são tratados no hospital, ela não pode ser a mesma pessoa que fiscaliza essas decisões.
DPO interno vs. DPO as a Service em hospitais
DPO interno
Vantagens:
- Presença física no hospital — essencial para acompanhar processos assistenciais
- Conhecimento profundo da cultura organizacional e dos fluxos internos
- Disponibilidade imediata para incidentes
- Relacionamento construído com corpo clínico e equipes operacionais
Desvantagens:
- Custo fixo elevado (salário + benefícios de profissional especializado)
- Risco de captura institucional (perder independência ao longo do tempo)
- Dificuldade de encontrar profissional com o perfil completo (LGPD + saúde)
DPO as a Service (DPOaaS)
Vantagens:
- Acesso a equipe multidisciplinar (jurídico, TI, compliance)
- Independência garantida pela relação contratual
- Custo potencialmente menor que DPO interno dedicado
- Experiência acumulada em múltiplos hospitais e clínicas
Desvantagens:
- Menor presença física — pode comprometer a proximidade com processos assistenciais
- Dependência de SLAs contratuais para tempo de resposta
- Menos integração com a cultura organizacional
- Risco de atendimento superficial se o prestador tiver muitos clientes
Recomendação por porte
| Porte do hospital | Recomendação |
|---|---|
| Grande (> 200 leitos) | DPO interno dedicado, preferencialmente com equipe de apoio |
| Médio (50-200 leitos) | DPO interno (pode acumular com compliance) + consultoria externa pontual |
| Pequeno (< 50 leitos) | DPO as a Service com ponto focal interno para interface operacional |
Para uma análise completa sobre esse tema, consulte o guia de DPO interno vs. externo.
Estrutura organizacional: a quem o DPO hospitalar deve se reportar
O posicionamento do DPO na hierarquia é tão importante quanto sua competência técnica. Se ele se reportar ao diretor de TI, por exemplo, terá dificuldade para questionar decisões de TI que envolvam riscos de privacidade.
Práticas recomendadas
-
Reporte direto à alta administração: o DPO deve ter linha de reporte ao CEO, superintendente ou conselho de administração — não a um diretor de área.
-
Acesso ao Conselho de Administração: em hospitais com conselho, o DPO deve ter canal direto para reportar riscos de privacidade e incidentes.
-
Independência funcional: o DPO não deve receber instruções sobre como exercer suas atribuições, não pode ser penalizado por exercer suas funções e deve ter orçamento adequado para cumprir suas obrigações.
Relação com outras instâncias do hospital
- Comitê de Ética em Pesquisa (CEP): parceria essencial em hospitais-escola. O DPO avalia os aspectos de proteção de dados; o CEP avalia os aspectos éticos. São complementares.
- Comissão de Controle de Infecção Hospitalar (CCIH): compartilha dados epidemiológicos — o DPO deve validar as bases legais para esse tratamento.
- Setor de Qualidade: muitas iniciativas de qualidade envolvem coleta e análise de dados de pacientes. O DPO deve ser consultado desde o planejamento.
- Jurídico: parceria permanente para análise de contratos, DPAs, resposta a titulares e incidentes.
- TI e Segurança da Informação: parceria operacional para implementação de controles técnicos, logs, criptografia e resposta a incidentes.
Modelo de ato de nomeação para hospital
PORTARIA Nº [XXX]/2026
O [CARGO DA AUTORIDADE MÁXIMA] do [NOME DO HOSPITAL], no uso de suas atribuições legais e regulamentares,
CONSIDERANDO o disposto no Art. 41 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD);
CONSIDERANDO a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que regulamenta a atuação do encarregado pelo tratamento de dados pessoais;
CONSIDERANDO a necessidade de garantir a conformidade das atividades de tratamento de dados pessoais realizadas por este hospital;
RESOLVE:
Art. 1º Nomear [NOME COMPLETO], [CPF/CNPJ], como Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer - DPO) deste hospital, nos termos do Art. 41 da LGPD.
Art. 2º São atribuições do Encarregado:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares;
V - elaborar e manter atualizado o registro de atividades de tratamento de dados pessoais;
VI - assessorar na elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD);
VII - monitorar a conformidade das atividades de tratamento de dados com a LGPD e regulamentações da ANPD.
Art. 3º O Encarregado exercerá suas atribuições com autonomia técnica, nos termos da Resolução CD/ANPD nº 18/2024, sem conflito de interesses com suas demais atividades.
Art. 4º Fica designado(a) [NOME DO SUBSTITUTO] como Encarregado substituto, para exercer as atribuições em caso de ausência ou impedimento do titular.
Art. 5º Os dados de contato do Encarregado serão divulgados no sítio eletrônico do hospital e comunicados à ANPD conforme regulamentação vigente.
Art. 6º Esta Portaria entra em vigor na data de sua publicação.
[LOCAL], [DATA]
[NOME E ASSINATURA DA AUTORIDADE MÁXIMA]
As 10 primeiras ações do DPO ao assumir em hospital
1. Mapear o ecossistema de dados
Antes de qualquer ação, o DPO precisa entender o fluxo de dados no hospital. Agende reuniões com os responsáveis por:
- Prontuário eletrônico (TI)
- Faturamento e TISS (financeiro)
- Pesquisa clínica (CEP)
- Recursos humanos
- Marketing e comunicação
- Terceirizados (laboratório, limpeza, segurança)
2. Elaborar o registro de atividades de tratamento (ROPA)
Documente cada atividade de tratamento: quais dados, de quem, para quê, com qual base legal, por quanto tempo, com quem são compartilhados. Em hospital, espere dezenas de atividades. Priorize as que envolvem dados sensíveis em larga escala.
3. Identificar os maiores riscos
No contexto hospitalar, os riscos mais críticos geralmente são:
- Acesso indevido ao prontuário por profissionais sem relação assistencial
- Compartilhamento não autorizado de dados com operadoras de saúde
- Uso de WhatsApp para comunicação de dados clínicos
- Ausência de DPAs com fornecedores críticos (sistema de prontuário, laboratório)
- Dados de pesquisa clínica sem consentimento adequado
4. Auditar contratos com fornecedores
Levante todos os fornecedores que processam dados de pacientes. Priorize o sistema de prontuário eletrônico, laboratórios terceirizados, plataformas de telemedicina e serviços de nuvem. Verifique se há DPA, se as cláusulas são adequadas e se há previsão de notificação de incidentes.
5. Verificar controles de acesso ao prontuário
O prontuário eletrônico deve ter controle de acesso por perfil — médico, enfermagem, recepção, financeiro — com logs de auditoria de quem acessou o quê e quando. Se o sistema permite acesso irrestrito, essa é a prioridade zero.
6. Estabelecer canal de comunicação com titulares
Crie ou ative um canal acessível para que pacientes exerçam seus direitos (acesso, correção, exclusão, portabilidade). Pode ser um e-mail dedicado (dpo@hospital.com.br), um formulário no site ou um setor presencial.
7. Criar procedimento de resposta a incidentes
Defina quem avalia incidentes, quem comunica à ANPD (prazo de 3 dias úteis, conforme Resolução CD/ANPD nº 15/2024), quem notifica os titulares afetados e como documentar o processo. Em hospital, incidentes com dados sensíveis têm gravidade agravada.
8. Avaliar necessidade de RIPD
Hospitais que tratam dados sensíveis em larga escala, usam IA para diagnóstico, operam telemedicina ou compartilham dados sistematicamente com planos de saúde devem elaborar RIPD. Se ainda não existe, planeje a elaboração para os primeiros 90 dias.
9. Planejar treinamento do corpo clínico
Médicos, enfermeiros e técnicos precisam entender o básico: o que são dados sensíveis, por que a LGPD importa para eles, o que podem e não podem fazer com dados de pacientes. Treinamentos curtos (30-45 minutos), práticos e com exemplos do dia a dia hospitalar funcionam melhor que palestras jurídicas.
10. Reportar à diretoria
Apresente um relatório inicial à diretoria com: diagnóstico da situação, maiores riscos identificados, plano de ação priorizado e recursos necessários. Sem apoio da alta administração, o DPO não tem poder para implementar mudanças.
Para um roteiro completo dos primeiros meses no cargo, consulte o guia dos primeiros 90 dias do DPO.
KPIs do DPO hospitalar
Para demonstrar valor e acompanhar a evolução da conformidade, o DPO hospitalar deve monitorar indicadores como:
| KPI | Meta sugerida | Frequência |
|---|---|---|
| % de atividades de tratamento mapeadas no ROPA | 100% | Semestral |
| % de fornecedores com DPA assinado | 100% (críticos) | Trimestral |
| Tempo médio de resposta a titulares | ≤ 15 dias | Mensal |
| Número de incidentes reportados | Acompanhamento (tendência) | Mensal |
| % de colaboradores treinados em LGPD | ≥ 90% | Anual |
| Número de RIPDs elaborados/atualizados | Conforme necessidade | Semestral |
| Tempo de notificação à ANPD em incidentes | ≤ 3 dias úteis | Por evento |
| Acessos indevidos ao prontuário detectados | Acompanhamento (tendência) | Mensal |
Conclusão
Estruturar o cargo de DPO em hospital é mais do que cumprir o Art. 41 da LGPD. É criar uma função que proteja pacientes, reduza riscos jurídicos e operacionais, e posicione o hospital de forma responsável diante de uma ANPD que, com a Lei 15.352/2026, ganhou status de agência reguladora, autonomia financeira e 200 novos cargos de especialistas. A fiscalização no setor de saúde é prioridade declarada no Mapa de Temas Prioritários 2026-2027. O momento de estruturar é agora.
A Confidata oferece funcionalidades específicas para DPOs de saúde: gestão centralizada de atividades de tratamento com classificação de dados sensíveis, RIPD com avaliação de riscos setoriais, painel de solicitações de titulares e controle de fornecedores com acompanhamento de DPAs — tudo em uma plataforma que simplifica a conformidade hospitalar.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.