Saúde14 min de leitura

ECA Digital no setor de saúde: dados de pacientes menores sob nova regulação

Equipe Confidata·
Compartilhar

O setor de saúde já opera sob um dos regimes mais rigorosos da LGPD: dados de saúde são dados sensíveis (Art. 11), com bases legais limitadas e exigências reforçadas de segurança. Quando o paciente é uma criança ou adolescente, soma-se a esse regime o Art. 14 da LGPD, que exige tratamento no melhor interesse do menor e consentimento parental para crianças.

Com o ECA Digital (Lei nº 15.211/2025), em vigor desde 17 de março de 2026, uma terceira camada de proteção se sobrepõe às anteriores. Hospitais pediátricos, clínicas infantis, plataformas de telemedicina e healthtechs que atendem menores agora lidam com dados triplamente protegidos — e precisam adequar seus processos a três regimes regulatórios simultâneos.

A tripla proteção: Art. 11 + Art. 14 + ECA Digital

Quando um hospital trata o prontuário de um paciente de 10 anos, três camadas legais se aplicam ao mesmo tempo:

Camada 1 — LGPD, Art. 11 (dados sensíveis): dados de saúde são dados pessoais sensíveis. O tratamento só é permitido nas hipóteses do Art. 11: consentimento específico e destacado, cumprimento de obrigação legal, proteção da vida, tutela da saúde ou pesquisa científica.

Camada 2 — LGPD, Art. 14 (dados de menores): o tratamento de dados de crianças e adolescentes deve ser realizado no melhor interesse do menor. Para crianças (menores de 12 anos), o consentimento deve ser específico e em destaque, dado por pelo menos um dos pais ou responsável legal. O Enunciado CD/ANPD nº 01/2023 confirmou que todas as bases legais dos Arts. 7º e 11 podem ser usadas, desde que o melhor interesse prevaleça.

Camada 3 — ECA Digital (Lei 15.211/2025): para produtos e serviços digitais acessíveis por menores, a lei acrescenta obrigações de verificação de idade, design apropriado, supervisão parental, proibição de publicidade comportamental e avaliação de impacto.

Na prática, as três camadas coexistem. Nenhuma substitui a outra. As obrigações se acumulam.

O que muda para hospitais e clínicas

Prontuários eletrônicos de pacientes menores

O prontuário médico de um menor é simultaneamente dado de saúde (sensível) e dado de criança/adolescente. A gestão desse prontuário já seguia regras rígidas — guarda mínima de 20 anos conforme Resolução CFM nº 1.821/2007, controle de acesso, registro de logs — e agora precisa incorporar as exigências adicionais do ECA Digital quando o acesso ocorre por meio de plataformas digitais.

Se o hospital oferece um portal do paciente ou um aplicativo de acompanhamento onde o responsável legal ou o próprio adolescente pode acessar resultados de exames, agendamentos ou orientações médicas, esse produto digital está no escopo do ECA Digital.

Consentimento parental reforçado

O consentimento para tratamento de dados de saúde de crianças já era exigido pela LGPD. Com o ECA Digital, o consentimento deve ser ainda mais específico quando envolve plataformas digitais:

  • Consentimento para o tratamento de dados de saúde (Art. 11 da LGPD)
  • Consentimento para o uso de dados do menor em ambiente digital (Art. 14 da LGPD)
  • Verificação de que o consentimento foi dado pelo responsável legal (ECA Digital — vedada autodeclaração)

Termos de uso genéricos não têm validade jurídica para dados de menores. O consentimento deve ser específico por finalidade, destacado e em linguagem acessível aos pais.

Informações em linguagem acessível

O Art. 14, §6º da LGPD exige que informações sobre o tratamento de dados de crianças sejam fornecidas de forma "simples, clara e acessível, considerados as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado".

Na prática, isso significa que o hospital que oferece portal digital ou aplicativo deve apresentar informações de privacidade em linguagem que os pais compreendam — e, para adolescentes que usam diretamente a plataforma, em linguagem adequada à faixa etária.

O que muda para telemedicina pediátrica

A telemedicina, regulamentada pela Lei nº 14.510/2022 e pela Resolução CFM nº 2.314/2022, cresceu significativamente nos últimos anos. Atendimentos pediátricos em UPAs cresceram 51% em 2025. A demanda por teleconsultas pediátricas acompanhou essa tendência.

Com o ECA Digital, plataformas de telemedicina que atendem pacientes menores precisam observar:

Verificação de identidade do responsável

Na teleconsulta pediátrica, quem está presente na tela — e quem autorizou a consulta — importa. A plataforma deve garantir que o responsável legal autorizou o atendimento, especialmente quando o menor acessa a plataforma diretamente.

Criptografia e segurança reforçada

A plataforma de telemedicina deve usar criptografia de ponta a ponta e informar ao usuário sobre sua existência. Gravações de teleconsultas com menores exigem consentimento explícito do responsável e devem ser armazenadas com segurança equivalente ao prontuário.

Proibição de uso comercial dos dados

Dados coletados para verificação de idade ou para a prestação do serviço de telemedicina não podem ser reutilizados para fins comerciais, publicidade comportamental ou perfilamento. Essa proibição, que já existia na LGPD para dados de crianças, é reforçada pelo ECA Digital para qualquer produto digital.

Prevenção de uso excessivo

A plataforma deve adotar medidas para evitar uso excessivo por menores. Para telemedicina, isso é menos relevante — ninguém usa teleconsulta compulsivamente. Mas para aplicativos de acompanhamento de saúde que incluem funcionalidades de engajamento (lembretes, metas, gamificação), a obrigação é real.

O que muda para healthtechs

Healthtechs que atendem menores são diretamente impactadas pelo ECA Digital. O impacto varia conforme o tipo de serviço.

Apps de saúde mental para adolescentes

Plataformas que oferecem apoio psicológico, meditação, monitoramento de humor ou terapia digital para adolescentes estão sob escrutínio especial. O ECA Digital exige que adotem medidas para prevenir exposição a conteúdos que induzam autolesão, suicídio, autodiagnóstico, automedicação ou uso de substâncias.

O design do aplicativo deve ser avaliado: se usa notificações com apelo emocional ("Você não entrou há 3 dias — está tudo bem?"), mecânicas de streak ou recompensas por uso diário, essas práticas podem ser classificadas como design manipulativo quando direcionadas a adolescentes.

Apps de monitoramento de saúde infantil

Aplicativos que permitem aos pais monitorar a saúde de seus filhos (vacinas, crescimento, medicamentos) tratam dados sensíveis de crianças. A base legal mais comum é o consentimento parental — mas a interface deve garantir que o consentimento é específico, e os dados não podem ser compartilhados com terceiros para fins comerciais.

Wearables pediátricos

Relógios e pulseiras inteligentes para crianças coletam dados de saúde continuamente: frequência cardíaca, padrão de sono, atividade física. Esses dados são sensíveis e pertencem a menores. O ECA Digital exige privacy-by-design (configuração mais protetiva como padrão) e proíbe o uso desses dados para publicidade comportamental.

Games terapêuticos

Jogos digitais com finalidade terapêutica (fisioterapia, reabilitação cognitiva, treinamento social para crianças autistas) estão no escopo do ECA Digital se forem acessíveis por menores. Mecânicas de loot boxes são proibidas. Microtransações devem ser avaliadas quanto ao risco de exploração econômica de menores.

Monetização sob pressão

O ECA Digital proíbe publicidade comportamental para menores de 18 anos. Para healthtechs gratuitas que monetizam via anúncios personalizados, o modelo precisa mudar. As alternativas incluem: licenciamento para instituições de saúde, assinatura paga pelos responsáveis ou publicidade contextual (não baseada em perfil do usuário).

Segurança da informação: um setor sob ataque

Os dados de saúde de menores não são apenas regulados — são cobiçados. O setor de saúde foi o segundo mais afetado por vazamentos de dados em 2024, respondendo por quase 23% dos incidentes. Em agosto de 2025, um ataque à Maida.health resultou no roubo de mais de 2 terabytes de dados médicos. Grupos de ransomware como Arcusmedia, Akira e Rhysida têm hospitais brasileiros entre seus alvos recorrentes.

A vulnerabilidade não se limita ao setor privado. O Ministério da Saúde já sofreu exposição de dados de 243 milhões de registros do SUS — incluindo nome, endereço, telefone e CPF.

Para hospitais e healthtechs que tratam dados de menores, a segurança não é apenas uma boa prática — é uma obrigação legal tripla (LGPD, ECA Digital e regulamentação setorial). Um incidente envolvendo dados de saúde de crianças terá repercussões regulatórias, judiciais e reputacionais significativamente maiores do que um incidente com dados de adultos.

A LGPD exige comunicação à ANPD em até 3 dias úteis (Resolução CD/ANPD nº 15/2024) e comunicação aos titulares afetados. Com dados de menores, os titulares a serem comunicados são os responsáveis legais — e o potencial de dano reputacional é amplificado.

Pesquisa clínica com dados de menores

A pesquisa clínica com crianças e adolescentes já era regulada por um arcabouço robusto: Resolução CNS 466/2012, Comitê de Ética em Pesquisa (CEP) e CONEP. O Termo de Consentimento Livre e Esclarecido (TCLE) é obrigatório, e para crianças o consentimento deve ser dado pelo responsável legal.

O ECA Digital não altera diretamente o regime de pesquisa clínica, mas adiciona uma consideração: se a pesquisa utiliza plataformas digitais para coleta ou processamento de dados de menores (formulários online, aplicativos de coleta, plataformas de monitoramento remoto), essas plataformas estão sujeitas às obrigações do ECA Digital.

Na prática, isso significa que o protocolo de pesquisa aprovado pelo CEP deve considerar também a conformidade da plataforma digital com o ECA Digital — especialmente verificação de idade, privacy-by-design e proibição de uso secundário dos dados.

Checklist para o setor de saúde

Hospitais e clínicas pediátricas

  • Revisar políticas de privacidade de portais e aplicativos para incluir seção sobre dados de menores
  • Garantir consentimento parental específico e destacado para cada plataforma digital usada por menores ou seus responsáveis
  • Implementar controles de acesso reforçados para prontuários de menores (RBAC + logs de auditoria)
  • Treinar equipes médicas e administrativas sobre as obrigações da LGPD e do ECA Digital
  • Elaborar Avaliação de Impacto (AIPD) para plataformas digitais com dados de pacientes menores
  • Revisar contratos com fornecedores de sistemas de prontuário eletrônico, telemedicina e labs

Plataformas de telemedicina

  • Implementar verificação de identidade do responsável legal na teleconsulta pediátrica
  • Garantir criptografia de ponta a ponta em todas as comunicações
  • Obter consentimento explícito para gravação de teleconsultas com menores
  • Proibir reutilização de dados de verificação de idade para fins comerciais
  • Avaliar e documentar conformidade do design com o ECA Digital

Healthtechs

  • Implementar verificação de idade no cadastro (autodeclaração não é suficiente)
  • Adotar privacy-by-design: configuração mais protetiva como padrão
  • Eliminar publicidade comportamental para usuários menores de 18 anos
  • Revisar mecânicas de engajamento: remover elementos classificáveis como design manipulativo
  • Oferecer ferramentas de supervisão parental para contas de menores
  • Elaborar AIPD específica para riscos a menores

A ANPD como ponto de convergência

A ANPD fiscaliza simultaneamente a LGPD e o ECA Digital. Para o setor de saúde, isso significa que uma investigação sobre tratamento de dados de pacientes menores pode avaliar conformidade com ambas as leis — e aplicar sanções pelas duas vias.

Além da ANPD, a SENACON (pelo Código de Defesa do Consumidor) e o Ministério Público (pela proteção da criança e do adolescente) também podem atuar. A exposição regulatória é ampla.

A proteção de crianças e adolescentes no ambiente digital é um dos quatro temas prioritários da ANPD para o biênio 2026-2027. A agência já notificou 37 empresas e publicou orientações sobre verificação de idade. O setor de saúde, dado o volume de dados sensíveis de menores que processa, é candidato natural a fiscalizações temáticas.

Conclusão

O setor de saúde opera com dados que são, por natureza, os mais sensíveis e os mais regulados. Quando o paciente é uma criança ou adolescente, a sensibilidade e a regulação se multiplicam.

O ECA Digital não é apenas uma lei sobre redes sociais e jogos. Qualquer produto digital no setor de saúde que seja acessível por menores — portais de pacientes, aplicativos de acompanhamento, plataformas de telemedicina, wearables, games terapêuticos — está no escopo.

A boa notícia para hospitais e clínicas que já investiram em conformidade com a LGPD é que a base está construída: inventário de dados, bases legais documentadas, controles de acesso, treinamento. O que falta é acrescentar as camadas específicas do ECA Digital: verificação de idade nos canais digitais, avaliação de impacto para menores e revisão do design dos produtos.

Para healthtechs, a mudança é mais profunda. Modelos de negócio baseados em dados de menores para publicidade estão encerrados. Privacy-by-design é obrigatório. A avaliação de impacto é contínua. E a fiscalização está se intensificando.

Proteger os dados de saúde de crianças e adolescentes não é apenas uma obrigação legal tripla. É parte do cuidado.

O Confidata oferece módulos específicos para o setor de saúde: inventário de dados sensíveis com classificação por faixa etária, gestão de bases legais do Art. 11, AIPD integrada ao ECA Digital e canal de direitos dos titulares. Conheça a plataforma.

Compartilhar
#ECA Digital saúde#dados de saúde menores#LGPD pediatria#telemedicina pediátrica#healthtech crianças#Art. 11 LGPD#Art. 14 LGPD#prontuário pediátrico

Artigos relacionados

LGPD na Saúde: Guia Prático para Hospitais e Clínicas (Atualizado)Saúde · 16 minIA na Medicina: O Que Muda com a Resolução CFM 2.454/2026Saúde · 15 minLGPD em Hospitais Públicos e UBS: Guia de Adequação SUSSaúde · 14 minLGPD para Farmácias e Drogarias: Dados de Receitas, CPF e Programas de FidelidadeSaúde · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista