Saúde13 min de leitura

LGPD para Laboratórios: Exames, Laudos e Dados Genéticos

Equipe Confidata·
Compartilhar

O Brasil conta com aproximadamente 18.000 unidades laboratoriais — entre laboratórios completos, postos de coleta e centros técnico-operacionais. Juntas, essas unidades realizaram mais de 2,4 bilhões de exames em 2023, número que continuou crescendo em 2024 com mais de 1 bilhão de exames diagnósticos registrados apenas pela Abramed, representando 15,7% de crescimento.

Cada um desses exames gera dados pessoais sensíveis: resultados de hemogramas, sorologias, dosagens hormonais, análises genéticas, laudos anatomopatológicos. São dados que revelam condições de saúde atuais, predisposições futuras e informações sobre a vida íntima do paciente. A LGPD classifica todos eles como dados pessoais sensíveis (Art. 5º, II) — e o laboratório, como agente de tratamento, tem obrigações específicas que vão além das normas sanitárias da ANVISA.

Este guia trata das obrigações de proteção de dados para laboratórios de análises clínicas — com foco nos pontos mais críticos: bases legais, envio de resultados, compartilhamento, dados genéticos e retenção.

Que tipos de dados um laboratório trata

Antes de definir bases legais e medidas de segurança, é preciso mapear os dados que um laboratório efetivamente processa. O volume e a variedade são maiores do que a maioria dos gestores percebe:

Dados de identificação

  • Nome, CPF, RG, data de nascimento, endereço, telefone, e-mail
  • Dados do convênio (operadora, número da carteirinha, plano)
  • Dados do médico solicitante (CRM, nome, especialidade)

Dados de saúde (sensíveis)

  • Resultados de exames: hemogramas, bioquímica, sorologias, hormonais, urinálises
  • Laudos anatomopatológicos: biópsias, citologias (Papanicolaou, por exemplo)
  • Dados genéticos: sequenciamento, cariótipo, PCR para doenças genéticas — uma subcategoria com sensibilidade ainda maior
  • Informações clínicas complementares: diagnóstico presumido (CID), medicamentos em uso, data da última menstruação, peso, altura

Dados operacionais

  • Endereço de coleta domiciliar (geolocalização)
  • Horários de atendimento e histórico de visitas
  • Dados de pagamento (cartão, convênio, particular)

Bases legais para o tratamento de dados em laboratórios

O Art. 11 da LGPD lista as hipóteses em que dados sensíveis podem ser tratados. Para laboratórios, três bases legais são centrais:

Art. 11, II, f — Tutela da saúde

Tratamento realizado "exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária".

Esta é a base legal principal para o processamento de exames laboratoriais. O laboratório é um serviço de saúde; bioquímicos, biomédicos e patologistas são profissionais de saúde. A realização do exame solicitado por um médico para fins de diagnóstico e acompanhamento terapêutico enquadra-se diretamente nesta hipótese.

Limites importantes: a tutela da saúde justifica o processamento do exame e a entrega do resultado ao paciente e ao médico solicitante. Não justifica o uso dos dados para marketing, pesquisa comercial, perfilamento de saúde ou compartilhamento com terceiros fora da cadeia assistencial.

Art. 11, II, a — Obrigação legal ou regulatória

Diversas obrigações regulatórias impõem tratamento de dados ao laboratório:

  • RDC nº 978/2025 (que substituiu a RDC 786/2023): exige manutenção de toda documentação e registros por no mínimo 5 anos
  • Notificação compulsória de doenças ao sistema de vigilância epidemiológica (Ministério da Saúde)
  • Reportes ao LACEN (Laboratório Central de Saúde Pública) em casos específicos
  • Obrigações tributárias e fiscais sobre os dados de faturamento

Art. 11, I — Consentimento específico

Para tratamentos que não se enquadrem nas hipóteses acima — como uso de dados para pesquisa comercial, programas de marketing, ou compartilhamento com parceiros que não participam da cadeia assistencial —, o consentimento específico e em destaque é obrigatório.

A Lei nº 14.289/2022 e o sigilo reforçado para determinados resultados

A Lei nº 14.289, de 3 de janeiro de 2022, impõe obrigação adicional de sigilo para resultados de exames de HIV/AIDS, hepatites crônicas (HBV e HCV), hanseníase e tuberculose. A lei obriga serviços de saúde públicos e privados a preservar o sigilo sobre a condição de pessoas com essas doenças, em todos os âmbitos — incluindo ambientes de trabalho, instituições de ensino e processos judiciais.

Para laboratórios, a implicação é direta: resultados positivos para essas condições exigem proteção máxima no envio e armazenamento. O envio de um resultado de HIV positivo por canal inseguro (WhatsApp sem criptografia institucional, e-mail comum) pode violar simultaneamente a Lei nº 14.289/2022 e a LGPD.

Envio de resultados: WhatsApp, e-mail, app ou portal?

Uma das questões mais práticas para laboratórios é como entregar resultados ao paciente de forma segura. Cada canal tem implicações de LGPD:

Portal do paciente (recomendado)

  • Segurança: autenticação por login/senha, verificação em duas etapas
  • Rastreabilidade: registro de quem acessou, quando e de onde
  • Controle: o paciente decide quando acessar; o dado não circula por canais abertos
  • LGPD: melhor opção para demonstrar conformidade com o princípio de segurança (Art. 6º, VII)

Aplicativo próprio do laboratório

  • Oferece as mesmas vantagens do portal, com conveniência adicional
  • Deve ter políticas de privacidade claras e permissões granulares
  • Dados armazenados no dispositivo devem ter proteção local (criptografia)

E-mail

  • Risco médio: e-mail comum não é criptografado end-to-end
  • Laudos em PDF protegido por senha reduzem (mas não eliminam) o risco
  • O e-mail pode ser acessado por terceiros em dispositivos compartilhados
  • Se utilizado, o paciente deve autorizar expressamente este canal na abertura do atendimento

WhatsApp

  • Risco elevado para dados sensíveis: embora tenha criptografia end-to-end, o WhatsApp não foi projetado para dados médicos
  • Facilidade de encaminhamento, captura de tela, acesso em dispositivos compartilhados
  • Sem trilha de auditoria adequada
  • Dados armazenados em servidores da Meta fora do Brasil, configurando transferência internacional de dados sensíveis
  • Não há proibição legal expressa, mas o risco é desproporcionalmente alto para dados de saúde

Recomendação prática

O laboratório deve oferecer o portal/app como canal padrão e obter autorização expressa do paciente quando este solicitar recebimento por e-mail ou WhatsApp. Essa autorização deve estar documentada — no cadastro do paciente, com registro de data e canal escolhido.

Compartilhamento de resultados: quem pode acessar e com qual base

O laboratório compartilha dados com diversos agentes. Para cada um, é necessária uma base legal documentada:

Médico solicitante

  • Base legal: Art. 11, II, f (tutela da saúde) — o médico que solicita o exame precisa do resultado para continuidade do cuidado
  • Limite: apenas o médico solicitante (ou equipe assistencial vinculada), não qualquer médico

Planos de saúde e operadoras

  • Base legal para auditoria de contas: execução de contrato entre laboratório e operadora
  • Base legal para autorização prévia: execução do contrato de assistência à saúde
  • Vedação (Art. 11, §4º): o plano de saúde não pode usar os dados do laudo para seleção de risco na contratação ou exclusão de beneficiários — proibição expressa do Art. 11, §5º da LGPD
  • O padrão TISS (Troca de Informação de Saúde Suplementar), regulamentado pela ANS, define a estrutura de dados para essa troca

Hospitais e outros serviços de saúde

  • Base legal: Art. 11, II, f (tutela da saúde) — quando o compartilhamento é para continuidade assistencial
  • Deve existir registro de quem solicitou, por que e quando
  • Interoperabilidade entre sistemas (HL7, FHIR) deve garantir segurança na transmissão

Laboratórios de apoio (terceirização de exames)

Quando o laboratório terceiriza exames especializados para outro laboratório (prática comum para exames de genética, toxicologia, anatomia patológica), o laboratório de apoio atua como operador dos dados.

É obrigatório:

  • DPA (Data Processing Agreement) formal entre os dois laboratórios
  • Cláusulas que limitem o uso dos dados à finalidade do exame
  • Garantias de segurança e confidencialidade
  • Procedimento de exclusão dos dados após cumprimento da finalidade

Pesquisadores

  • Com anonimização: dados anonimizados não são dados pessoais (Art. 12) e podem ser utilizados para pesquisa sem consentimento
  • Sem anonimização: requer consentimento específico do paciente ou enquadramento em pesquisa por órgão de pesquisa (Art. 11, II, c), garantindo, sempre que possível, a anonimização

Dados genéticos: a fronteira mais sensível

Dados genéticos são explicitamente listados como dados pessoais sensíveis no Art. 5º, II da LGPD. Embora a LGPD não crie um regime jurídico separado para dados genéticos (diferentemente do GDPR, que tem disposições específicas), na prática eles exigem atenção redobrada por características únicas:

  • Imutabilidade: dados genéticos não mudam — uma vez expostos, o dano é permanente
  • Alcance familiar: o dado genético de um indivíduo revela informações sobre familiares biológicos que não consentiram
  • Potencial discriminatório: predisposições genéticas podem ser usadas para discriminação em seguros, emprego e crédito
  • Re-identificação: dados genéticos são altamente identificáveis mesmo quando pseudonimizados

Obrigações adicionais para laboratórios de genética

  • RIPD obrigatório: o tratamento de dados genéticos em escala quase sempre aciona a necessidade de Relatório de Impacto à Proteção de Dados
  • Consentimento granular: para uso de dados genéticos em pesquisa, o consentimento deve especificar as finalidades com clareza
  • Segurança reforçada: criptografia em repouso e em trânsito, controles de acesso baseados em função, logs de auditoria detalhados
  • Retenção justificada: definir claramente por quanto tempo dados genéticos serão retidos e com qual finalidade

A ANPD ainda não publicou orientação específica sobre dados genéticos, mas a agenda regulatória 2025-2026 inclui dados de saúde como prioridade — e dados genéticos são o subconjunto mais sensível dessa categoria.

Retenção de dados: amostras biológicas vs. dados digitais

Uma assimetria importante no setor laboratorial é o contraste entre o tempo de retenção de amostras físicas e de dados digitais:

Tipo de dadoPrazo de retençãoBase normativa
Amostras biológicas (sangue, urina, tecido)2 a 5 dias (varia por tipo de exame)Protocolo técnico do laboratório
Resultados e laudos digitaisMínimo 5 anosRDC 978/2025 (Art. 81 da RDC 786/2023, mantido)
Imagens médicas (impressas/papel)Mínimo 20 anosResolução CFM nº 1.821/2007
Imagens médicas (digitais)Guarda permanenteResolução CFM nº 1.821/2007

Na prática, a amostra de sangue é descartada em dias, mas o resultado daquele mesmo exame deve ser mantido por pelo menos 5 anos — e imagens associadas podem ter guarda permanente.

A LGPD exige que dados pessoais sejam mantidos apenas pelo tempo necessário para a finalidade ou pelo prazo legal aplicável (Art. 15-16). As obrigações regulatórias da ANVISA e do CFM constituem base legal válida para retenção prolongada. Mas o laboratório deve:

  • Documentar a política de retenção com prazos por tipo de dado
  • Justificar cada prazo com a norma regulatória correspondente
  • Eliminar ou anonimizar os dados após o prazo (Art. 16)
  • Não reter dados além do necessário apenas "por precaução"

Coleta domiciliar: dados adicionais em jogo

A coleta domiciliar de exames — serviço cada vez mais comum — adiciona dados que o laboratório não teria em coleta presencial:

  • Endereço completo e geolocalização do paciente (necessário para logística)
  • Dados de agendamento: horários de disponibilidade, informações sobre acesso ao imóvel
  • Dados de terceiros: nome do porteiro, familiar que receberá o coletador

Esses dados devem ser tratados com a mesma diligência. Finalidade limitada à logística da coleta, retenção pelo tempo necessário e exclusão após a realização do serviço (salvo dados que integrem o cadastro do paciente por outra finalidade).

RNDS: a obrigação de compartilhamento com o governo federal

A Rede Nacional de Dados em Saúde (RNDS), instituída pela Portaria GM/MS nº 1.434/2020, é a plataforma de interoperabilidade do Ministério da Saúde. Laboratórios que realizam determinados exames — inicialmente testes diagnósticos para SARS-CoV-2 (Portaria nº 1.792/2020), com expansão gradual para outros exames — são obrigados a notificar resultados à RNDS em até 24 horas.

A integração usa o padrão HL7 FHIR (Fast Healthcare Interoperability Resources), com autenticação via certificado digital ICP-Brasil. Os dados compartilhados incluem: resultado do exame, dados do paciente (CPF, CNS), dados do estabelecimento (CNES) e data/hora da coleta.

Base legal para o compartilhamento: cumprimento de obrigação legal (Art. 11, II, a da LGPD). A farmácia ou laboratório não precisa de consentimento do paciente para notificar resultados à RNDS quando houver determinação legal.

Implicação prática: laboratórios que integram com a RNDS devem garantir que a transmissão é segura (criptografia em trânsito, certificação ICP-Brasil) e que os dados transmitidos são limitados ao estritamente necessário.

Acreditação e certificações: PALC como referência

O PALC (Programa de Acreditação de Laboratórios Clínicos), operado pela SBPC/ML (Sociedade Brasileira de Patologia Clínica / Medicina Laboratorial) e certificado pelo ISQua internacionalmente, é a principal acreditação voluntária do setor laboratorial brasileiro.

A Norma PALC 2025 inclui requisitos de conformidade com a LGPD como critério de acreditação — laboratórios devem demonstrar que tratam dados pessoais em conformidade com a legislação de proteção de dados.

Para laboratórios que buscam demonstrar maturidade em proteção de dados, a combinação PALC + ISO 15189 (padrão internacional para qualidade e competência de laboratórios médicos) oferece um framework robusto que inclui gestão da informação como pilar.

Checklist de conformidade para laboratórios de análises clínicas

  • Mapeamento completo das atividades de tratamento (ROPA): coleta, processamento, resultado, compartilhamento, retenção
  • Base legal documentada para cada atividade: tutela da saúde para exames, obrigação legal para ANVISA, consentimento para pesquisa/marketing
  • Política de envio de resultados definida: portal como padrão, autorização expressa para e-mail/WhatsApp
  • DPA formalizado com laboratórios de apoio (terceirização de exames)
  • DPA formalizado com operadoras de planos de saúde
  • Controles de acesso granulares ao sistema de laudos (perfis por função: bioquímico, recepção, TI)
  • Logs de auditoria para todo acesso a resultados (quem, quando, qual exame)
  • Política de retenção documentada: 5 anos para registros (RDC 978/2025), 20 anos/permanente para imagens (CFM 1.821/2007)
  • Dados genéticos com proteção reforçada: criptografia, acesso restrito, RIPD
  • Processo de resposta a solicitações de titulares (acesso, correção, portabilidade, eliminação quando permitida)
  • Canal do titular acessível e operacional
  • DPO nomeado e publicado
  • Treinamento de equipe (recepção, coleta, técnicos) sobre proteção de dados no contexto laboratorial
  • Aviso de privacidade disponível para pacientes (físico na recepção + digital no site/portal)
  • Procedimento de notificação de incidentes de segurança que envolvam dados de saúde

Conclusão

Laboratórios de análises clínicas processam dados sensíveis em escala massiva — e a cadeia de compartilhamento (médicos, hospitais, planos de saúde, laboratórios de apoio) torna a governança de dados especialmente complexa. A boa notícia é que a tutela da saúde (Art. 11, II, f) fornece base legal sólida para a operação assistencial principal. O desafio está na governança do compartilhamento, na segurança do envio de resultados e na proteção especial que dados genéticos exigem.

Com a ANPD priorizando dados de saúde na agenda regulatória 2025-2026 e a capacidade de fiscalização multiplicada pela transformação em agência reguladora, laboratórios que documentam suas bases legais, controlam o compartilhamento e protegem adequadamente os dados estão em posição significativamente mais segura.

A Confidata oferece funcionalidades específicas para o setor de saúde: registro de atividades de tratamento com classificação de dados sensíveis, gestão de compartilhamento entre controladores e operadores, RIPD com campos de avaliação de risco para dados de saúde e controle de bases legais por finalidade.

Compartilhar
#LGPD#laboratório#análises clínicas#dados sensíveis#exames#dados genéticos#saúde

Artigos relacionados

IA na Medicina: O Que Muda com a Resolução CFM 2.454/2026Saúde · 15 minConsentimento do Paciente e LGPD: Quando Exigir e as 7 AlternativasSaúde · 14 minLGPD em hospitais e clínicas: prontuário eletrônico e telemedicinaSaúde · 13 minLGPD em Hospitais Públicos e UBS: Guia de Adequação SUSSaúde · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista