Saúde14 min de leitura

LGPD em Hospitais Públicos e UBS: Guia de Adequação SUS

Equipe Confidata·
Compartilhar

Hospitais públicos e Unidades Básicas de Saúde (UBS) ocupam uma posição singular na proteção de dados pessoais no Brasil: tratam simultaneamente dados de saúde — a categoria mais protegida da LGPD — e dados no contexto do setor público — que tem bases legais e obrigações próprias. Essa combinação cria um cenário regulatório mais complexo do que o de hospitais privados ou de órgãos públicos que não lidam com dados sensíveis.

O Acórdão TCU 1.372/2025 revelou que apenas 42% dos órgãos federais estão adequados à LGPD. No setor de saúde pública, onde prontuários eletrônicos, sistemas de informação nacionais e o compartilhamento interinstitucional são rotina, a lacuna de conformidade é particularmente preocupante.

Hospital público vs. hospital privado: o que muda para a LGPD

A diferença fundamental não está no tipo de dado tratado — ambos tratam dados de saúde sensíveis nos termos do Art. 5º, II da LGPD. A diferença está nas bases legais disponíveis e nas obrigações adicionais do setor público.

Bases legais específicas do setor público

Para hospitais privados, as bases legais principais são tutela da saúde (Art. 11, II, f), consentimento (Art. 11, I) e obrigação legal (Art. 11, II, a). Hospitais públicos contam com duas bases legais adicionais extremamente relevantes:

Execução de políticas públicas (Art. 7º, III e Art. 11, II, b): o tratamento de dados pessoais pelo poder público para execução de políticas públicas previstas em leis, regulamentos e contratos. Esta é a base legal central para o atendimento assistencial no SUS — a prestação de saúde pública é, por definição, uma política pública.

Uso compartilhado de dados pelo poder público (Art. 26): o Art. 26 da LGPD autoriza o uso compartilhado de dados entre órgãos públicos para atender finalidades específicas de execução de políticas públicas. Isso fundamenta o compartilhamento entre UBS, hospitais, SAMU, vigilância sanitária e Secretarias de Saúde.

Obrigações adicionais

Hospitais públicos estão sujeitos, além da LGPD, a:

  • Lei de Acesso à Informação (LAI — Lei 12.527/2011), que exige transparência ativa
  • Lei do Processo Administrativo (Lei 9.784/1999)
  • Normas do SUS (Lei 8.080/1990 e Lei 8.142/1990)
  • Fiscalização do TCU e dos Tribunais de Contas estaduais e municipais
  • Normas do Ministério da Saúde sobre sistemas de informação

Sistemas do SUS e a cadeia de tratamento de dados

O SUS opera com dezenas de sistemas de informação que coletam, armazenam e compartilham dados pessoais de saúde em escala nacional. Entender quem é controlador e quem é operador em cada sistema é essencial para a conformidade.

e-SUS APS e Prontuário Eletrônico do Cidadão (PEC)

O e-SUS Atenção Primária à Saúde é a estratégia do Ministério da Saúde para informatizar a atenção básica em todo o território nacional. O sistema inclui o Prontuário Eletrônico do Cidadão (PEC), que registra informações clínicas dos atendimentos nas UBS.

Controlador: o município (via Secretaria Municipal de Saúde) é o controlador dos dados dos pacientes atendidos nas UBS municipais. O Ministério da Saúde é controlador dos dados consolidados no SISAB (Sistema de Informação em Saúde para a Atenção Básica).

Tratamento de dados no PEC: o sistema registra dados cadastrais (nome, CPF, CNS, endereço), dados clínicos (anamnese, diagnósticos, prescrições, resultados de exames), dados socioeconômicos (escolaridade, renda familiar) e dados de saúde materno-infantil. O PEC inclui mecanismo de controle de acesso: o acesso ao prontuário fora do momento de atendimento exige registro de justificativa, que fica disponível para auditoria.

CNES — Cadastro Nacional de Estabelecimentos de Saúde

O CNES registra dados de todos os estabelecimentos de saúde do país e dos profissionais que neles atuam. Contém dados pessoais de profissionais de saúde (nome, CPF, registro profissional, carga horária) e dados dos estabelecimentos.

Controlador: Ministério da Saúde (DATASUS). Os gestores locais alimentam o sistema como operadores.

SINAN — Sistema de Informação de Agravos de Notificação

O SINAN recebe notificações compulsórias de doenças e agravos — dengue, tuberculose, HIV/AIDS, sífilis, violência doméstica, intoxicação, entre outros. Esses dados são, por natureza, extremamente sensíveis.

Base legal: obrigação legal (Art. 7º, II e Art. 11, II, a). A notificação compulsória é exigida pela Lei 6.259/1975, regulamentada pela Portaria de Consolidação GM/MS nº 4/2017 e atualizações posteriores (Portarias 217/2023 e 5.201/2024).

Controlador: Secretaria Municipal de Saúde (alimentação) e Ministério da Saúde (consolidação).

SIA e SIH — Sistemas de Informações Ambulatoriais e Hospitalares

O SIA registra todos os procedimentos ambulatoriais realizados no SUS. O SIH registra internações hospitalares — incluindo diagnóstico (CID), procedimentos realizados, tempo de internação e desfecho.

Dados tratados: nome do paciente, CNS, CID, procedimentos, custos — informações que permitem reconstituir o histórico de saúde do cidadão.

Outros sistemas relevantes

  • SI-PNI: Sistema de Informação do Programa Nacional de Imunizações — registro de vacinas aplicadas
  • SIM: Sistema de Informações sobre Mortalidade — dados de óbitos, incluindo causa
  • SINASC: Sistema de Informações sobre Nascidos Vivos
  • Meu SUS Digital: aplicativo que dá ao cidadão acesso ao seu histórico no SUS — implementação prática do direito de acesso do titular (Art. 18, II da LGPD)

Compartilhamento de dados na rede SUS

O compartilhamento de dados entre os entes do SUS é inerente ao funcionamento do sistema. Um paciente atendido na UBS pode ser encaminhado ao hospital, que compartilha dados com o SAMU, que registra no sistema estadual, que consolida no federal. Cada etapa envolve tratamento de dados pessoais sensíveis.

Quando o compartilhamento é obrigatório

  • Notificação compulsória de doenças: UBS, hospitais e laboratórios são obrigados a notificar agravos ao SINAN. Base legal: obrigação legal (Lei 6.259/1975).
  • Registro de produção: procedimentos realizados no SUS devem ser registrados no SIA/SIH para fins de faturamento e acompanhamento. Base legal: execução de política pública.
  • Vigilância epidemiológica: dados de vigilância são compartilhados entre municípios, estados e União. Base legal: obrigação legal e política pública.
  • Regulação de vagas: centrais de regulação acessam dados clínicos de pacientes para priorizar internações. Base legal: tutela da saúde e política pública.

Quando o compartilhamento exige fundamentação específica

  • Dados para pesquisa: pesquisadores que solicitam dados do SUS devem passar por Comitê de Ética em Pesquisa (CEP) e, sempre que possível, os dados devem ser anonimizados (Art. 11, II, c).
  • Dados para órgãos de controle: TCU e Tribunais de Contas podem solicitar dados para auditoria — base legal é obrigação legal, mas o acesso deve ser proporcional.
  • Dados para convênios e parcerias: hospitais públicos que firmam convênios com universidades para ensino devem limitar o acesso aos dados estritamente necessários.

O que não pode ser compartilhado

  • Dados de pacientes do SUS com entidades privadas fora do contexto assistencial (Art. 26, §1º)
  • Dados de saúde para fins de discriminação (seguradoras, empregadores) — vedado pelo Art. 11, §5º
  • Dados individualizados em portais de transparência (deve-se publicar dados agregados)

Dados epidemiológicos e vigilância em saúde

A vigilância em saúde — epidemiológica, sanitária e ambiental — é uma das funções essenciais do SUS e envolve tratamento massivo de dados pessoais.

Base legal clara

O tratamento de dados para vigilância em saúde tem bases legais sólidas:

  • Obrigação legal (Art. 7º, II / Art. 11, II, a): a notificação compulsória de doenças e agravos é exigida por lei
  • Execução de política pública (Art. 7º, III / Art. 11, II, b): a vigilância epidemiológica é uma política pública prevista na Lei 8.080/1990
  • Proteção da vida (Art. 7º, VII / Art. 11, II, e): em situações de emergência em saúde pública

Anonimização e dados agregados

Para publicações epidemiológicas, boletins e relatórios de vigilância, a regra deve ser a anonimização. Os dados de notificação compulsória, quando publicados, devem ser apresentados de forma agregada — nunca com identificação individual do paciente.

Pesquisa com dados do SUS

A LGPD permite o tratamento de dados para pesquisa por órgão de pesquisa, garantida, sempre que possível, a anonimização (Art. 11, II, c). Para pesquisas com dados identificados, é necessário aprovação pelo CEP e, em muitos casos, consentimento do titular.

DPO em hospital público: desafios de nomeação

A nomeação do encarregado de dados (DPO) em hospitais públicos enfrenta obstáculos práticos:

Obrigatoriedade

O Art. 41 da LGPD exige que todo controlador nomeie um encarregado. A Resolução CD/ANPD nº 18/2024 reforça essa obrigação e define atribuições. Hospitais públicos, como controladores de dados sensíveis em larga escala, não se enquadram em nenhuma exceção.

Quem pode ser DPO em hospital público

O DPO pode ser servidor efetivo, comissionado ou terceirizado. Deve ter conhecimento adequado sobre proteção de dados — e, no caso de hospitais, também sobre regulação sanitária e ética médica.

Quem não deve ser DPO: o diretor clínico (conflito de interesse — decide sobre tratamento de dados no contexto assistencial), o responsável pelo TI (conflito — é quem implementa os sistemas que tratam dados) e o ouvidor (conflito — recebe denúncias que podem envolver o próprio tratamento de dados).

DPO compartilhado

Em municípios pequenos, um mesmo DPO pode atender vários equipamentos de saúde (UBS, hospital municipal, SAMU). A ANPD não proíbe o compartilhamento, mas o profissional deve ter capacidade operacional para atender todos os estabelecimentos.

Orçamento limitado: o que priorizar na adequação

A realidade do SUS é de recursos escassos. Uma abordagem prática para hospitais públicos e UBS:

Prioridade 1 — O que a ANPD verifica primeiro

  1. DPO nomeado e publicado — publicar no site e comunicar à ANPD
  2. Canal do titular funcionando — e-mail ou formulário para que pacientes exerçam seus direitos
  3. Aviso de privacidade — documento informando os pacientes sobre o tratamento de seus dados (disponível na recepção e no site)

Prioridade 2 — Controles essenciais de segurança

  1. Controle de acesso ao prontuário — cada profissional acessa apenas os dados dos pacientes que atende
  2. Logs de acesso — registro de quem acessou o quê e quando (o PEC do e-SUS já tem esse recurso)
  3. Backup dos sistemas — cópia de segurança regular dos dados, armazenada de forma segura

Prioridade 3 — Documentação

  1. Inventário de dados — mapear quais dados são coletados, em quais sistemas, com qual base legal
  2. Política de segurança da informação — documento simples definindo regras de acesso, senha, uso de equipamentos
  3. Procedimento de resposta a incidentes — o que fazer se houver vazamento ou ataque cibernético

Prioridade 4 — Gestão de riscos

  1. RIPD para sistemas críticos — prontuário eletrônico, sistema de regulação, telemedicina
  2. Treinamento da equipe — conscientização sobre sigilo e proteção de dados
  3. Revisão de contratos com fornecedores de TI — incluir cláusulas de proteção de dados

Incidentes de segurança em hospitais públicos

O setor de saúde foi o terceiro mais atacado por cibercriminosos no Brasil em 2024, com uma média de quase 3.000 tentativas de ataque por semana por organização de saúde. Hospitais públicos são alvos particularmente vulneráveis por combinarem dados de alto valor (saúde), infraestrutura de TI frequentemente defasada e recursos limitados para segurança.

Casos emblemáticos

  • Conecte SUS (dezembro de 2021): o sistema do Ministério da Saúde que consolida dados de vacinação e atendimentos ficou fora do ar por dias após ataque do grupo Lapsus$, afetando o acesso a certificados de vacinação e dados de saúde de milhões de brasileiros.
  • Ataques a hospitais em 2024: o grupo Fleury e outros grandes grupos de saúde sofreram ataques significativos, evidenciando que nem mesmo grandes organizações estão imunes.

Obrigações pós-incidente

A Resolução CD/ANPD nº 15/2024 define as regras para comunicação de incidentes de segurança. Hospitais públicos devem:

  • Comunicar à ANPD em até 3 dias úteis após a ciência do incidente que possa acarretar risco ou dano relevante aos titulares
  • Comunicar aos titulares afetados no mesmo prazo
  • Manter registro do incidente com detalhes da ocorrência, dados afetados, medidas adotadas e análise de risco

Checklist de conformidade para hospitais públicos e UBS

Governança e organização

  • Encarregado de dados (DPO) nomeado e publicado no site institucional
  • Canal do titular implementado e monitorado (e-mail, formulário ou sistema)
  • Aviso de privacidade disponível para pacientes (físico na recepção + digital)
  • Comitê de privacidade ou grupo de trabalho LGPD constituído

Bases legais e documentação

  • Base legal documentada para cada atividade de tratamento (política pública, obrigação legal, tutela da saúde)
  • Inventário de dados pessoais (ROPA) — ao menos para os sistemas principais
  • RIPD elaborado para tratamentos de alto risco (prontuário eletrônico, telemedicina, IA)
  • Política de retenção de dados alinhada com normas do CFM e do Ministério da Saúde

Segurança da informação

  • Controles de acesso ao prontuário eletrônico (perfis por função)
  • Logs de acesso ativos e monitorados
  • Backup regular dos sistemas críticos
  • Política de segurança da informação documentada
  • Procedimento de resposta a incidentes de segurança

Compartilhamento e sistemas

  • Bases legais para compartilhamento entre entes do SUS documentadas
  • Contratos com fornecedores de TI incluindo cláusulas de proteção de dados
  • Acesso a sistemas nacionais (e-SUS, SINAN, SIA, SIH) com perfis adequados
  • Dados epidemiológicos publicados de forma anonimizada

Capacitação

  • Treinamento sobre LGPD para profissionais de saúde
  • Orientação sobre sigilo do prontuário para toda equipe assistencial
  • Treinamento específico para equipe de TI sobre segurança e incidentes

Conclusão

Hospitais públicos e UBS enfrentam uma dupla carga regulatória: as exigências da LGPD para dados sensíveis e as obrigações de transparência e governança do setor público. A complexidade é amplificada pela multiplicidade de sistemas de informação do SUS, pelo compartilhamento obrigatório entre entes federativos e pela realidade de recursos limitados.

O caminho da adequação não exige grandes investimentos — exige, antes de tudo, consciência de que os dados dos pacientes do SUS merecem a mesma proteção que os de qualquer outro sistema de saúde. As bases legais existem e são sólidas. Os sistemas do SUS, como o PEC do e-SUS APS, já incorporam recursos de controle de acesso e auditoria. O que falta, na maioria dos casos, é a governança que conecta esses elementos em um programa coerente de proteção de dados.

A Confidata oferece funcionalidades específicas para o setor público de saúde: mapeamento de atividades de tratamento com bases legais de setor público (política pública, obrigação legal), RIPD com campos de avaliação de risco para dados sensíveis e gestão de solicitações de titulares — adaptado à realidade de hospitais e UBS que precisam de conformidade com recursos enxutos.

Compartilhar
#LGPD#hospital público#SUS#UBS#saúde pública#dados sensíveis#setor público

Artigos relacionados

IA na Medicina: O Que Muda com a Resolução CFM 2.454/2026Saúde · 15 minLGPD para Farmácias e Drogarias: Dados de Receitas, CPF e Programas de FidelidadeSaúde · 14 minTelemedicina e LGPD: Guia Completo para Plataformas e ClínicasSaúde · 14 minWearables, Apps de Saúde e LGPD: Dados Pessoais Que Seu Smartwatch ColetaSaúde · 13 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista