RIPD para Hospitais e Clínicas: Guia Prático com Modelo
O RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é provavelmente o documento de conformidade mais importante — e mais negligenciado — do setor de saúde. Em nenhum outro setor a combinação de dados sensíveis em larga escala, compartilhamento entre múltiplos agentes e uso crescente de tecnologia cria tantos cenários que exigem avaliação de impacto.
Apesar disso, a maioria dos hospitais e clínicas no Brasil ainda não possui um RIPD. A razão mais comum: falta de orientação prática sobre como elaborar um RIPD específico para o contexto de saúde — com os riscos certos, as medidas mitigatórias adequadas e a profundidade que o setor exige.
Este guia preenche essa lacuna. Inclui a estrutura completa, um exemplo preenchido para prontuário eletrônico, análise de riscos específicos de saúde e um template para reproduzir.
O que é o RIPD e por que ele importa para saúde
O RIPD é definido no Art. 5º, XVII da LGPD como "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco".
Na prática, o RIPD é uma análise estruturada que responde a três perguntas:
- Quais dados pessoais estamos tratando e por quê?
- Quais riscos esse tratamento gera para os titulares?
- O que estamos fazendo para mitigar esses riscos?
Para o setor de saúde, o RIPD tem peso particular: dados de saúde são sensíveis por definição (Art. 5º, II da LGPD), e o impacto de um incidente — prontuários vazados, diagnósticos expostos, dados genéticos comprometidos — é potencialmente devastador para a vida dos pacientes.
Quando o RIPD é obrigatório em saúde
A LGPD (Art. 38) estabelece que a ANPD pode solicitar a elaboração de RIPD quando o tratamento de dados pessoais puder gerar riscos às liberdades civis e aos direitos fundamentais. O Art. 10, §3º da LGPD reforça que a ANPD poderá solicitar o relatório quando o tratamento for baseado em legítimo interesse.
Na prática, os cenários que obrigam ou recomendam fortemente a elaboração de RIPD em saúde são:
Cenários de obrigatoriedade prática
| Cenário | Por que exige RIPD |
|---|---|
| Prontuário eletrônico em hospital | Dados sensíveis de saúde em larga escala, acesso por múltiplos profissionais |
| Sistema de IA para diagnóstico | Tratamento automatizado com potencial impacto na vida do paciente |
| Telemedicina | Transmissão de dados sensíveis por redes, armazenamento em nuvem, gravação |
| Compartilhamento com planos de saúde | Transferência sistemática de dados sensíveis para outro controlador |
| Pesquisa clínica | Uso de dados de pacientes para finalidade diversa da assistência |
| Dados genéticos e genômicos | Categoria extremamente sensível com risco de discriminação |
| Monitoramento de pacientes (IoT) | Coleta contínua de dados fisiológicos em tempo real |
| Biobanco / banco de amostras | Dados biológicos vinculados a dados pessoais |
Cenários recomendados (não obrigatórios, mas prudentes)
- Implementação de novo sistema de prontuário eletrônico
- Migração de prontuário em papel para digital
- Adoção de plataforma de agendamento online
- Contratação de laboratório terceirizado que processará dados de pacientes
- Uso de chatbot para triagem de pacientes
Diferenças do RIPD em saúde vs. RIPD genérico
Um RIPD de hospital não pode seguir o mesmo modelo de uma empresa de e-commerce. Os riscos são diferentes, as bases legais são diferentes e o impacto sobre os titulares é diferente.
Riscos específicos do setor de saúde
1. Re-identificação de dados anonimizados
Dados de saúde são notoriamente difíceis de anonimizar. Estudos demonstram que a combinação de diagnóstico + faixa etária + CEP pode re-identificar pacientes em bases supostamente anônimas. O RIPD de saúde deve avaliar especificamente o risco de re-identificação, especialmente em pesquisa e compartilhamento com terceiros.
2. Uso secundário de dados
Dados coletados para finalidade assistencial podem ser usados para pesquisa, gestão populacional, marketing ou negociação com operadoras. Cada uso secundário é um tratamento distinto que precisa de base legal própria e deve ser avaliado no RIPD.
3. Acesso indevido ao prontuário
Em hospitais, centenas de profissionais têm acesso potencial ao prontuário eletrônico. O risco de acesso por curiosidade (profissional que consulta prontuário de colega, celebridade ou familiar) é concreto e deve ser mapeado no RIPD, com controles de log e auditoria como medidas mitigatórias.
4. Compartilhamento com operadoras de saúde
O compartilhamento de dados clínicos com planos de saúde para fins de auditoria, autorização prévia ou gestão de rede é rotineiro, mas envolve transferência de dados sensíveis para outro controlador. O RIPD deve avaliar a proporcionalidade, a base legal e os controles para cada fluxo de compartilhamento.
5. Continuidade assistencial em caso de incidente
Diferente de outros setores, um incidente de segurança em hospital pode ter impacto direto na vida do paciente — prontuários indisponíveis, medicações erradas por falta de histórico, cirurgias adiadas. O RIPD deve avaliar o impacto não apenas na privacidade, mas na continuidade assistencial.
Estrutura do RIPD para saúde: 8 seções essenciais
Seção 1 — Identificação
- Nome do hospital/clínica (controlador)
- CNPJ e endereço
- Nome e contato do DPO
- Nome e contato do responsável técnico pela atividade avaliada
- Data de elaboração
- Data da próxima revisão
Seção 2 — Descrição do tratamento
- Atividade de tratamento avaliada (ex.: "Prontuário eletrônico do paciente")
- Finalidade do tratamento
- Base legal (especificar o inciso do Art. 11 para dados sensíveis)
- Categorias de dados pessoais tratados (nome, CPF, dados de saúde, dados genéticos, dados biométricos)
- Categorias de titulares (pacientes, acompanhantes, funcionários)
- Volume estimado de titulares e registros
- Período de retenção dos dados
- Terceiros com quem os dados são compartilhados (operadores e controladores)
Seção 3 — Necessidade e proporcionalidade
- Por que este tratamento é necessário para a finalidade declarada?
- Os dados coletados são os mínimos necessários (princípio da necessidade)?
- Existem alternativas menos invasivas que atinjam a mesma finalidade?
- O tratamento é proporcional ao benefício gerado?
Seção 4 — Análise de riscos
Para cada risco identificado, avaliar:
- Descrição do risco (o que pode acontecer)
- Probabilidade (muito baixa, baixa, média, alta, muito alta)
- Impacto (desprezível, baixo, médio, alto, muito alto)
- Nível de risco (probabilidade × impacto)
- Categoria (confidencialidade, integridade, disponibilidade, discriminação)
Seção 5 — Medidas mitigatórias
Para cada risco, listar:
- Medida de mitigação (técnica ou organizacional)
- Status (implementada, em implementação, planejada)
- Responsável
- Prazo de implementação (se não implementada)
Seção 6 — Risco residual
- Após as medidas mitigatórias, qual o nível de risco remanescente?
- O risco residual é aceitável?
- Se não, quais medidas adicionais são necessárias?
Para mais sobre avaliação de risco residual, consulte o guia de avaliação de risco residual.
Seção 7 — Parecer do DPO
- Opinião formal do DPO sobre a conformidade do tratamento
- Recomendações
Seção 8 — Aprovação e revisão
- Assinatura do responsável pelo tratamento
- Assinatura do DPO
- Data de aprovação
- Eventos gatilho para revisão
Exemplo completo: RIPD de prontuário eletrônico em hospital
Identificação
| Campo | Valor |
|---|---|
| Controlador | Hospital [Nome] |
| CNPJ | [XX.XXX.XXX/0001-XX] |
| DPO | [Nome], dpo@hospital.com.br |
| Atividade | Prontuário Eletrônico do Paciente (PEP) |
| Data de elaboração | [DD/MM/2026] |
| Próxima revisão | [DD/MM/2027] |
Descrição do tratamento
- Finalidade: registro e gestão de informações clínicas para prestação de assistência à saúde, incluindo anamnese, evolução clínica, prescrições, resultados de exames e procedimentos realizados.
- Base legal: Art. 11, II, f da LGPD (tutela da saúde, exclusivamente por profissionais de saúde); Art. 11, II, a (obrigação legal — Resolução CFM nº 1.821/2007).
- Categorias de dados: nome, CPF, data de nascimento, endereço, telefone, convênio, dados clínicos (anamnese, diagnósticos/CID, prescrições, resultados de exames, laudos, procedimentos, alergias), dados biométricos (se sistema usar biometria para acesso).
- Categorias de titulares: pacientes (internados e ambulatoriais), acompanhantes (quando registrados).
- Volume: ~[50.000] pacientes ativos, ~[500.000] registros clínicos por ano.
- Retenção: guarda permanente (prontuário eletrônico, conforme Resolução CFM nº 1.821/2007).
- Compartilhamento: operadoras de planos de saúde (faturamento TISS), laboratórios terceirizados, fornecedor do sistema de PEP (operador).
Análise de riscos
| # | Risco | Probabilidade | Impacto | Nível | Categoria |
|---|---|---|---|---|---|
| R1 | Acesso indevido ao prontuário por profissional sem relação assistencial | Alta | Alto | Crítico | Confidencialidade |
| R2 | Vazamento de dados por ataque cibernético (ransomware) | Média | Muito alto | Crítico | Confidencialidade, Disponibilidade |
| R3 | Exposição de dados em tela de computador (consultório, enfermaria) | Alta | Médio | Alto | Confidencialidade |
| R4 | Envio de dados clínicos por WhatsApp por profissionais | Alta | Alto | Crítico | Confidencialidade |
| R5 | Compartilhamento excessivo com operadoras (dados além do necessário para faturamento) | Média | Alto | Alto | Proporcionalidade |
| R6 | Indisponibilidade do prontuário por falha do sistema | Baixa | Muito alto | Alto | Disponibilidade |
| R7 | Re-identificação em bases usadas para pesquisa interna | Baixa | Alto | Médio | Discriminação |
| R8 | Falha no backup com perda permanente de registros | Muito baixa | Muito alto | Médio | Integridade |
Medidas mitigatórias
| Risco | Medida | Status | Responsável |
|---|---|---|---|
| R1 | Controle de acesso por perfil (RBAC) com vinculação assistencial | Implementada | TI |
| R1 | Log de auditoria com monitoramento ativo de acessos anômalos | Em implementação | TI + DPO |
| R2 | Backup diário com cópia offsite criptografada | Implementada | TI |
| R2 | Plano de resposta a incidentes com equipe designada | Implementada | DPO + TI |
| R2 | Segmentação de rede e EDR em endpoints | Implementada | TI |
| R3 | Película de privacidade em monitores de áreas clínicas | Planejada | Infraestrutura |
| R3 | Bloqueio automático de tela após 3 minutos de inatividade | Implementada | TI |
| R4 | Política de proibição de envio de dados clínicos por WhatsApp | Implementada | DPO |
| R4 | Treinamento semestral sobre canais autorizados de comunicação | Em implementação | DPO + RH |
| R5 | Revisão dos campos compartilhados no TISS — limitação ao mínimo necessário | Planejada | Faturamento + DPO |
| R6 | Infraestrutura redundante com failover automático | Implementada | TI |
| R7 | Protocolo de anonimização para dados usados em pesquisa | Em implementação | CEP + DPO |
| R8 | Teste de restauração de backup mensal | Implementada | TI |
Risco residual
Após implementação completa das medidas mitigatórias, o risco residual geral é classificado como médio-baixo. Os riscos R1 (acesso indevido) e R4 (WhatsApp) dependem de fator humano e permanecem em nível médio mesmo com controles técnicos e treinamento.
Parecer do DPO
O tratamento de dados pessoais no prontuário eletrônico é necessário, proporcional e possui base legal adequada (tutela da saúde). As medidas de mitigação implementadas e planejadas reduzem os riscos a um nível aceitável, desde que o cronograma de implementação das medidas "planejadas" (R3, R5) e "em implementação" (R1-log ativo, R4-treinamento, R7-anonimização) seja cumprido até [data]. Recomenda-se revisão do RIPD em 12 meses ou quando houver mudança significativa no sistema de PEP.
Exemplo resumido: RIPD de telemedicina
Para teleconsultas, os riscos adicionais incluem:
| Risco | Medida mitigatória |
|---|---|
| Interceptação de dados durante a transmissão | Criptografia end-to-end na plataforma de telemedicina |
| Gravação não autorizada da consulta pelo paciente ou terceiro | Aviso explícito no início da consulta; termo de consentimento para gravação |
| Armazenamento em servidor fora do Brasil | Verificar localização dos servidores; exigir armazenamento no Brasil conforme Resolução CFM nº 2.314/2022 |
| Acesso indevido à sala de espera virtual | Autenticação do paciente por documento + código de verificação |
| Transferência internacional de dados (plataforma estrangeira) | DPA com cláusulas de transferência internacional; avaliação da adequação do país (Art. 33 LGPD) |
| Falta de registro no prontuário | Integração da plataforma de telemedicina com o PEP |
Como manter o RIPD atualizado: eventos gatilho
O RIPD não é um documento estático. Ele deve ser revisado quando ocorrer:
Eventos que exigem revisão
- Novo sistema ou módulo no prontuário eletrônico — novos dados coletados, novos fluxos de compartilhamento
- Mudança de fornecedor — novo operador processando dados de pacientes
- Incidente de segurança — reavaliação de riscos e medidas após um incidente real
- Nova legislação ou regulamentação — resoluções da ANPD, CFM ou ANS que afetem o tratamento
- Adoção de IA para diagnóstico ou triagem — novo cenário de risco com tratamento automatizado
- Mudança na operadora de plano de saúde — novo controlador recebendo dados
- Início de pesquisa clínica — uso de dados para finalidade diversa da assistência
- Expansão do hospital — novos setores, novos profissionais com acesso
Frequência mínima de revisão
Mesmo sem evento gatilho, o RIPD deve ser revisado pelo menos anualmente. A revisão deve verificar se os riscos mudaram, se as medidas mitigatórias continuam eficazes e se surgiram novos cenários não previstos.
Para uma metodologia completa de elaboração de RIPD, consulte o guia de elaboração de RIPD. Para construir a matriz de riscos, veja o guia de criação de matriz de riscos de privacidade.
Template: estrutura para copiar e adaptar
# RIPD — [Nome da Atividade de Tratamento]
## 1. Identificação
- Controlador: [Nome do hospital/clínica]
- CNPJ: [XX.XXX.XXX/0001-XX]
- DPO: [Nome], [e-mail]
- Responsável técnico: [Nome], [cargo]
- Data de elaboração: [DD/MM/AAAA]
- Próxima revisão: [DD/MM/AAAA]
## 2. Descrição do Tratamento
- Atividade: [descrição]
- Finalidade: [por que os dados são tratados]
- Base legal: [Art. da LGPD aplicável]
- Dados tratados: [lista de categorias]
- Titulares: [categorias de titulares]
- Volume: [estimativa]
- Retenção: [prazo e justificativa]
- Compartilhamento: [com quem e por quê]
## 3. Necessidade e Proporcionalidade
- O tratamento é necessário para a finalidade? [justificativa]
- Os dados são os mínimos necessários? [análise]
- Existem alternativas menos invasivas? [análise]
## 4. Análise de Riscos
| # | Risco | Prob. | Impacto | Nível | Categoria |
|---|-------|-------|---------|-------|-----------|
| R1 | [descrição] | [B/M/A] | [B/M/A] | [resultado] | [C/I/D/Disc] |
## 5. Medidas Mitigatórias
| Risco | Medida | Status | Responsável | Prazo |
|-------|--------|--------|------------|-------|
| R1 | [medida] | [Impl./Em impl./Plan.] | [nome] | [data] |
## 6. Risco Residual
[Avaliação do risco após medidas mitigatórias]
## 7. Parecer do DPO
[Opinião formal e recomendações]
## 8. Aprovação
- Responsável pelo tratamento: [nome, data, assinatura]
- DPO: [nome, data, assinatura]
- Eventos gatilho para revisão: [lista]
Conclusão
O RIPD é o instrumento que demonstra, de forma documentada, que o hospital ou clínica avaliou os riscos do tratamento de dados sensíveis e tomou medidas concretas para proteger seus pacientes. Em um cenário em que a ANPD priorizou dados de saúde no Mapa de Temas Prioritários 2026-2027, ter um RIPD bem elaborado é mais do que conformidade — é a diferença entre estar preparado para uma fiscalização e ser pego de surpresa.
Não espere a ANPD solicitar. Elabore o RIPD agora, comece pelo prontuário eletrônico (o cenário de maior risco e volume), e expanda para telemedicina, pesquisa clínica e compartilhamento com operadoras.
A Confidata oferece módulo de RIPD com avaliação de riscos específica para o setor de saúde: matriz de riscos pré-configurada para dados sensíveis, campos setoriais de análise, cálculo automático de risco residual e geração de relatório em formato exportável — pronto para apresentar à ANPD ou à diretoria do hospital.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.