Open Health e LGPD: O Que Muda nos Dados de Saúde

O Open Health é, provavelmente, a próxima grande mudança regulatória no ecossistema de saúde brasileiro. Inspirado no Open Banking (hoje Open Finance), o modelo propõe o compartilhamento padronizado de dados de saúde entre diferentes agentes — hospitais, clínicas, operadoras de planos, laboratórios e o próprio SUS — sob controle do paciente.

A promessa é ambiciosa: um prontuário unificado, portabilidade real entre planos de saúde, eliminação de exames repetidos, interoperabilidade entre sistemas e decisões clínicas mais informadas. Mas onde há compartilhamento massivo de dados sensíveis, há também riscos de privacidade proporcionais — re-identificação, uso secundário, profiling de saúde e discriminação.

Este guia analisa o que é Open Health, qual o estágio atual no Brasil, como a LGPD se aplica ao modelo, as lições aprendidas do Open Finance e como hospitais e operadoras devem se preparar.

O que é Open Health e qual o estágio atual no Brasil

O conceito

Open Health é um modelo de compartilhamento padronizado de dados de saúde entre diferentes agentes do ecossistema, mediado por APIs (interfaces de programação) e regulado por autoridade competente. O titular — o paciente — controla quais dados compartilhar, com quem e por quanto tempo.

O conceito tem dois pilares, conforme o relatório do Grupo de Trabalho formado pelo Ministério da Saúde, ANS, Secretaria de Governo Digital do Ministério da Economia e Banco Central:

Pilar assistencial: compartilhamento de dados clínicos para criação de um registro único ou prontuário eletrônico unificado. O objetivo é que o médico tenha acesso ao histórico completo do paciente, independentemente de onde ele foi atendido antes.

Pilar financeiro: estímulo à concorrência no mercado de planos de saúde. Com dados portáveis, o beneficiário pode comparar planos com base no uso real de serviços, facilitando a portabilidade entre operadoras.

Estágio atual (março 2026)

O relatório do Grupo de Trabalho foi publicado pelo Ministério da Saúde e pela ANS em agosto de 2022. A previsão inicial era lançar a plataforma em novembro de 2022, mas o prazo não foi cumprido.

Até março de 2026, o Open Health ainda não tem regulamentação específica nem cronograma oficial de implementação. Os principais entraves são:

Fragmentação regulatória — a governança está dividida entre ANS (saúde suplementar), Ministério da Saúde (SUS), ANPD (proteção de dados) e ANVISA (dispositivos médicos). Não há autoridade única coordenando.
Interoperabilidade técnica — os sistemas de saúde brasileiros (prontuários eletrônicos, sistemas hospitalares, plataformas de operadoras) não seguem padrão único de dados. A migração para padrões como HL7 FHIR é lenta.
Ausência de incentivos claros — diferente do Open Banking, onde o Banco Central impôs adesão obrigatória às instituições financeiras, não há obrigatoriedade equivalente no setor de saúde.
Complexidade dos dados — dados de saúde são ordens de magnitude mais complexos que dados financeiros. Um prontuário médico inclui texto livre, imagens, laudos, dados genômicos — cada tipo com formato e sensibilidade próprios.

Apesar disso, o tema está na agenda. A ANPD incluiu dados sensíveis de saúde como prioridade no Mapa de Temas Prioritários 2026-2027, e a transformação da ANPD em agência reguladora (Lei 15.352/2026) cria as condições institucionais para uma regulamentação específica.

Paralelo com Open Banking/Open Finance: lições aprendidas

O Open Finance brasileiro é, até o momento, o caso de maior sucesso de compartilhamento regulado de dados pessoais no país. Há lições diretas para o Open Health.

O que deu certo no Open Finance

Consentimento como regra. O compartilhamento de dados financeiros só acontece se o titular autorizar expressamente, para finalidade específica, com prazo determinado e com possibilidade de revogação a qualquer momento. Essa arquitetura é compatível com o Art. 11, I da LGPD (consentimento específico e em destaque para dados sensíveis).

Regulamentação centralizada. O Banco Central coordenou todo o processo, definiu padrões técnicos (APIs), cronograma de adesão e governança. A existência de uma autoridade única acelerou a implementação.

Segurança por design. A Resolução Conjunta nº 1/2020 do Banco Central e do Conselho Monetário Nacional estabeleceu obrigações de segurança da informação para o compartilhamento, incluindo criptografia, autenticação e logs de auditoria.

Revogação simplificada. O titular pode revogar o consentimento a qualquer momento, por qualquer canal — o que atende ao Art. 8º, §5º da LGPD.

O que precisa ser diferente no Open Health

Aspecto	Open Finance	Open Health — diferenças necessárias
Sensibilidade dos dados	Dados financeiros (pessoais)	Dados de saúde (sensíveis — Art. 11) — proteção mais rigorosa
Base legal	Consentimento + execução contratual	Consentimento específico e em destaque (Art. 11, I) para compartilhamento; tutela da saúde (Art. 11, II, f) para assistência
Impacto de vazamento	Fraude financeira (recuperável)	Discriminação em emprego, seguro, crédito (irreversível)
Revogação	Simples — dados param de ser compartilhados	Complexa — e o prontuário do médico atual? E os dados já usados em diagnóstico?
Anonimização	Possível para dados agregados	Extremamente difícil para dados clínicos individuais
Retenção	Prazos definidos por regulação financeira	Prontuário: guarda permanente (Resolução CFM nº 1.821/2007)

A lição principal

O Open Finance demonstrou que compartilhamento massivo de dados pessoais pode funcionar de forma segura quando há regulamentação específica, autoridade centralizada e mecanismos robustos de consentimento. O Open Health precisará de tudo isso — e mais, dada a natureza sensível dos dados.

Para mais sobre Open Finance e LGPD, consulte o guia de LGPD para fintechs e Open Banking.

Bases legais para compartilhamento em Open Health

A definição da base legal é o desafio jurídico central do Open Health. Dados de saúde são sensíveis (Art. 5º, II da LGPD), o que limita as bases legais disponíveis ao Art. 11.

Consentimento do paciente como regra (Art. 11, I)

Para o compartilhamento de dados de saúde entre diferentes agentes — do hospital para a operadora, da operadora para outro hospital, do paciente para um novo médico —, a base legal mais segura é o consentimento específico e em destaque do paciente.

"Específico" significa que o paciente deve saber exatamente quais dados serão compartilhados, com quem e para quê. "Em destaque" significa que o consentimento não pode estar escondido em termos de uso genéricos.

Tutela da saúde (Art. 11, II, f) para assistência direta

Quando o compartilhamento ocorre dentro do contexto assistencial — por exemplo, um hospital compartilha dados de um paciente transferido para outro hospital —, a tutela da saúde pode ser invocada como base legal, desde que o tratamento seja realizado por profissionais de saúde e para finalidade assistencial.

Obrigação legal (Art. 11, II, a) para dados regulados

Compartilhamento com o SUS (DATASUS), notificações compulsórias e outros fluxos exigidos por lei têm base legal autônoma.

O que NÃO tem base legal clara

Compartilhamento de dados de saúde para fins de precificação de plano (profiling de risco)
Uso de dados clínicos para marketing farmacêutico
Venda de dados de saúde agregados para empresas de analytics
Compartilhamento com empregadores ou seguradoras

Esses cenários exigem consentimento explícito — ou simplesmente não devem ser realizados.

Portabilidade de dados de saúde e Art. 18, V da LGPD

O Art. 18, V da LGPD garante ao titular o direito de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, conforme regulamentação da ANPD e observados os segredos comercial e industrial.

Como a portabilidade se conecta ao Open Health

O Open Health é, em essência, a infraestrutura que viabiliza a portabilidade de dados de saúde. Sem padrões técnicos de interoperabilidade (APIs, formatos de dados, protocolos de autenticação), o direito de portabilidade existe na lei mas não funciona na prática.

Cenários de portabilidade em saúde

Mudança de plano de saúde: o beneficiário quer levar seu histórico de utilização, exames e procedimentos para a nova operadora. Hoje, isso não é possível de forma automatizada.

Mudança de hospital/clínica: o paciente quer levar seu prontuário para outro prestador. A Resolução CFM nº 1.821/2007 garante o direito de acesso ao prontuário, mas não de transferência eletrônica padronizada.

Second opinion: o paciente quer compartilhar exames e laudos com outro médico para uma segunda opinião, sem repetir exames.

Pesquisa clínica: o paciente autoriza o uso de seus dados de saúde em uma pesquisa específica, com escopo e prazo definidos.

Desafios práticos

Formato dos dados: prontuários eletrônicos usam formatos proprietários. Não há padrão nacional obrigatório de interoperabilidade.
Integridade dos dados: como garantir que dados transferidos não foram alterados?
Limite da portabilidade: dados derivados (diagnósticos, interpretações clínicas) são portáveis? E dados gerados por IA?
Custos: quem paga pela infraestrutura de portabilidade?

Para uma análise completa dos direitos dos titulares, consulte o guia de direitos dos titulares na LGPD.

Riscos de privacidade no Open Health

1. Re-identificação de dados anonimizados

Dados de saúde são notoriamente difíceis de anonimizar de verdade. A combinação de diagnóstico + faixa etária + região geográfica + procedimentos realizados pode re-identificar pacientes em bases supostamente anônimas. Em um ecossistema Open Health, onde dados circulam entre múltiplos agentes, o risco de re-identificação é amplificado.

2. Uso secundário não autorizado

Dados compartilhados para finalidade assistencial podem ser redirecionados para finalidades não previstas: precificação de risco em seguros, marketing farmacêutico, analytics de saúde populacional, negociação de tabelas entre operadoras e prestadores. Cada uso secundário é um tratamento distinto que precisa de base legal própria.

3. Profiling de saúde

Com acesso ao histórico completo de um paciente, é possível construir perfis de risco de saúde. Esses perfis podem ser usados para discriminação em emprego, crédito, seguros de vida e acesso a serviços. A LGPD (Art. 6º, IX) proíbe tratamento para fins discriminatórios.

4. Concentração de dados

Se um único repositório centralizar dados de saúde de milhões de pacientes, ele se torna alvo prioritário de ataques cibernéticos. O impacto de um vazamento seria catastrófico — diferente de dados financeiros, que podem ser alterados (trocar cartão de crédito), dados de saúde são permanentes.

5. Consentimento como fachada

O risco de "consent fatigue" — pacientes clicando "aceito" sem ler termos — é real. Se o consentimento for o único mecanismo de controle, sem design adequado e transparência real, o Open Health pode se tornar um mecanismo de coleta massiva de dados sensíveis com aparência de conformidade.

RIPD para sistemas Open Health

Qualquer organização que participe de um ecossistema Open Health — seja como compartilhador ou receptor de dados — deve elaborar RIPD específico para essa atividade.

Riscos específicos para o RIPD

Risco	Probabilidade	Impacto
Re-identificação de dados em base compartilhada	Média	Muito alto
Uso secundário de dados recebidos	Alta	Alto
Vazamento em trânsito (falha de API)	Baixa	Muito alto
Acesso indevido por agente receptor	Média	Alto
Revogação de consentimento não propagada	Média	Médio
Dados transferidos para jurisdição sem proteção adequada	Baixa	Alto

Medidas mitigatórias essenciais

Criptografia end-to-end em todas as transferências de dados
Autenticação mútua entre agentes (certificado digital, mTLS)
Minimização de dados — compartilhar apenas o necessário para a finalidade
Logs de auditoria de todas as transferências (quem enviou, quem recebeu, quando, quais dados)
Controles de finalidade — mecanismos técnicos que impeçam uso de dados para finalidade diversa da autorizada
Propagação de revogação — quando o paciente revoga o consentimento, todos os agentes na cadeia devem ser notificados
Pseudonimização — quando possível, compartilhar dados pseudonimizados em vez de identificados

Para metodologia completa de RIPD, consulte o guia de RIPD para hospitais e clínicas.

O papel do DPO na governança de dados compartilhados

Em um cenário de Open Health, o DPO de cada organização participante assume responsabilidades adicionais:

Responsabilidades ampliadas

Avaliar cada novo compartilhamento — antes de aderir a qualquer plataforma ou protocolo de compartilhamento, o DPO deve avaliar a conformidade com a LGPD (base legal, proporcionalidade, segurança).
Monitorar usos secundários — verificar se dados recebidos de outros agentes estão sendo usados apenas para as finalidades autorizadas.
Gerenciar revogações — quando um paciente revoga o consentimento, garantir que os dados compartilhados sejam efetivamente bloqueados ou excluídos em todos os sistemas.
Auditar agentes parceiros — verificar se os agentes com quem dados são compartilhados mantêm padrões adequados de segurança e conformidade.
Manter o ROPA atualizado — cada fluxo de compartilhamento deve estar documentado no registro de atividades de tratamento, com base legal, finalidade e destinatário.
Coordenar respostas a incidentes — em um ecossistema compartilhado, um incidente em um agente pode afetar dados originados em outro. O DPO deve ter protocolo de comunicação com todos os parceiros.

Timeline esperada e como se preparar

Cenário provável

Embora o Open Health não tenha cronograma oficial, o contexto regulatório de 2026 indica aceleração:

A ANPD, como agência reguladora, tem mandato para regulamentar o compartilhamento de dados sensíveis
O Mapa de Temas Prioritários 2026-2027 prioriza dados de saúde
A Agenda Regulatória 2025-2026 inclui regulamentação de dados sensíveis
O precedente do Open Finance demonstra que o modelo funciona no Brasil

Estimativa realista: regulamentação específica pode começar a ser discutida entre 2026-2027, com implementação faseada a partir de 2028. Mas o ponto fundamental é: a LGPD já se aplica a qualquer compartilhamento de dados de saúde, com ou sem regulamentação específica de Open Health.

O que fazer agora

Para hospitais e clínicas:

Mapear todos os fluxos de compartilhamento de dados de saúde que já existem (operadoras, laboratórios, SUS)
Documentar base legal para cada compartilhamento
Elaborar DPAs com todos os agentes que recebem dados de pacientes
Implementar controles de acesso e logs de auditoria nos sistemas de prontuário
Avaliar interoperabilidade do sistema de prontuário (suporta HL7 FHIR? exportação padronizada?)

Para operadoras de planos de saúde:

Documentar todos os dados de beneficiários recebidos de prestadores
Verificar base legal para cada uso (faturamento, gestão de rede, precificação)
Implementar mecanismo de consentimento granular para compartilhamento com terceiros
Preparar infraestrutura para portabilidade de dados (Art. 18, V da LGPD)

Para empresas de tecnologia em saúde:

Adotar padrões de interoperabilidade (HL7 FHIR como referência)
Implementar Privacy by Design em APIs de compartilhamento
Certificar segurança da plataforma (criptografia, autenticação, logs)
Documentar contratos como operador (DPA com cada controlador cliente)

Para mais sobre transferência internacional de dados no contexto de saúde, consulte o guia de transferência internacional de dados.

Conclusão

O Open Health ainda não chegou, mas o compartilhamento de dados de saúde já é realidade cotidiana — entre hospitais e operadoras, entre laboratórios e clínicas, entre o SUS e entes privados. A LGPD já regula cada um desses fluxos, independentemente de existir ou não uma plataforma unificada.

Organizações que se prepararem agora — mapeando fluxos, documentando bases legais, implementando controles de segurança e treinando equipes — estarão prontas tanto para uma eventual regulamentação de Open Health quanto para a fiscalização que a ANPD já anunciou para dados sensíveis de saúde em 2026-2027. As que não se prepararem serão pegas duas vezes: pela realidade atual e pela regulamentação futura.

A Confidata oferece ferramentas para gerenciar compartilhamento de dados entre agentes de saúde: registro de atividades de tratamento com mapeamento de fluxos de dados, gestão de DPAs com fornecedores e parceiros, RIPD com análise de riscos setorial e painel de conformidade — tudo preparado para o ecossistema de saúde conectado que está por vir.