Telemedicina e LGPD: Guia Completo para Plataformas e Clínicas
A telemedicina deixou de ser exceção pandêmica e se tornou prática consolidada no sistema de saúde brasileiro. Em 2023, o setor de saúde suplementar registrou 30 milhões de teleconsultas — um crescimento de 172% em relação a 2020. No SUS, foram 4,6 milhões de teleatendimentos entre 2023 e 2024, com crescimento de 99,8% na atenção especializada. E a cada teleconsulta realizada, dados pessoais sensíveis — vídeo, áudio, prontuário remoto, prescrição digital — trafegam por redes e plataformas que precisam cumprir tanto a regulamentação médica quanto a LGPD.
Este guia consolida as obrigações de proteção de dados para clínicas, hospitais e plataformas que oferecem telemedicina — reunindo o que está disperso entre a Lei 14.510/2022, a Resolução CFM nº 2.314/2022, a Lei 14.063/2020 e a LGPD.
O marco regulatório da telemedicina no Brasil
Lei 14.510/2022 — A lei definitiva
A Lei nº 14.510, de 27 de dezembro de 2022, alterou a Lei nº 8.080/1990 (Lei Orgânica do SUS) para autorizar e disciplinar a prática da telessaúde em todo o território nacional. Também revogou a Lei 13.989/2020 (que havia autorizado a telemedicina emergencialmente durante a pandemia).
Princípios obrigatórios estabelecidos pela lei:
- Autonomia do profissional de saúde na decisão de usar ou não a telemedicina
- Consentimento livre e informado do paciente
- Direito de recusa: o paciente pode recusar o atendimento remoto, com garantia de atendimento presencial
- Confidencialidade dos dados e responsabilidade digital
- Registro obrigatório de empresas intermediadoras de serviços médicos no CRM do estado onde são sediadas, com diretor técnico médico registrado
Resolução CFM nº 2.314/2022 — As regras do Conselho
Publicada em 20 de abril de 2022, a Resolução CFM nº 2.314/2022 regulamenta a prática da telemedicina como exercício da medicina mediado por Tecnologias Digitais de Informação e Comunicação (TDICs). As exigências que impactam diretamente a proteção de dados:
- Registro em prontuário: todo atendimento deve ser registrado em prontuário médico físico ou em Sistema de Registro Eletrônico de Saúde (S-RES)
- Nível de Garantia de Segurança 2 (NGS2): o S-RES deve atender integralmente aos requisitos do NGS2, no padrão da ICP-Brasil ou outro padrão legalmente aceito
- Consentimento: obrigatório, podendo ser enviado por meios eletrônicos ou gravação de leitura com concordância
- Guarda de dados: responsabilidade do médico ou do diretor/responsável técnico; em caso de terceirização, responsabilidade contratualmente compartilhada
- Interoperabilidade: o S-RES deve propiciar interoperabilidade com garantia de confidencialidade, privacidade e integridade
- Sede no Brasil: empresas prestadoras de serviços de telemedicina, plataformas de comunicação e serviços de arquivamento de dados devem ter sede estabelecida em território brasileiro e registro no CRM do estado
Quais dados são gerados em uma teleconsulta
Uma única teleconsulta gera um volume de dados pessoais sensíveis significativamente maior que uma consulta presencial:
Dados de vídeo e áudio
- Imagem do paciente em tempo real (dado biométrico facial)
- Áudio da consulta (relatos de sintomas, histórico médico, informações íntimas)
- Se gravada, a teleconsulta gera um arquivo de vídeo que integra o prontuário
Dados clínicos
- Anamnese e exame clínico remoto
- Diagnóstico e hipóteses diagnósticas
- Prescrição digital (medicamentos, posologias, orientações)
- Atestados e relatórios médicos
Dados técnicos
- IP do paciente e do médico
- Geolocalização (quando o app solicita permissão)
- Dados do dispositivo (modelo, sistema operacional, versão do app)
- Horários de conexão e desconexão
- Logs de acesso à plataforma
Dados administrativos
- Cadastro do paciente (nome, CPF, convênio, contato)
- Dados de pagamento (cartão, PIX)
- Histórico de agendamentos
Gravação de consultas: consentimento, retenção e acesso
A gravação de teleconsultas é uma prática crescente — seja para segurança jurídica do médico, seja para consulta posterior do paciente. Mas envolve obrigações específicas:
Consentimento informado: o paciente deve ser informado antes do início da consulta de que haverá gravação, e deve consentir expressamente. A Resolução CFM 2.314/2022 exige consentimento livre e esclarecido para a teleconsulta como um todo — a gravação é um elemento adicional que requer informação específica.
Integração ao prontuário: a gravação passa a integrar o prontuário do paciente e está sujeita às mesmas regras de retenção e acesso. Pela Resolução CFM nº 1.821/2007, prontuários digitais têm guarda permanente.
Acesso: apenas profissionais com relação assistencial direta devem poder acessar a gravação. Todo acesso deve gerar log de auditoria.
Armazenamento: a gravação deve ser armazenada com criptografia em repouso, em servidor seguro, com controles de acesso baseados em função.
Plataformas de telemedicina como operadores de dados
Quando uma clínica ou hospital utiliza uma plataforma de terceiros para realizar teleconsultas, a plataforma atua como operador dos dados pessoais dos pacientes. O estabelecimento de saúde permanece como controlador.
DPA obrigatório
O contrato entre a clínica e a plataforma deve incluir um DPA (Data Processing Agreement) que especifique:
- Quais dados a plataforma processa e para quais finalidades
- Que a plataforma não pode usar os dados para finalidades próprias (marketing, analytics, treinamento de IA)
- Medidas de segurança técnicas e organizacionais exigidas
- Procedimento de notificação em caso de incidente de segurança
- Política de retenção e exclusão de dados após término do contrato
- Obrigações de suboperadores (se a plataforma usa serviços de terceiros — cloud, CDN, analytics)
Avaliação de segurança da plataforma
Antes de contratar uma plataforma de telemedicina, a clínica deve avaliar:
- Certificação SBIS/NGS2: a Sociedade Brasileira de Informática em Saúde (SBIS), em parceria com o CFM, certifica Sistemas de Registro Eletrônico de Saúde. O NGS2 exige uso de certificados digitais ICP-Brasil para assinatura e autenticação. A Resolução CFM 2.314/2022 exige conformidade com os requisitos NGS2.
- Criptografia: end-to-end para transmissão de vídeo/áudio; AES-256 ou equivalente para dados em repouso
- Autenticação: multifatorial para médicos e pacientes
- Localização de servidores: embora a LGPD não exija data localization, a Resolução CFM 2.314/2022 exige que a empresa de telemedicina tenha sede no Brasil. Quando servidores estão no exterior, aplicam-se os Arts. 33-36 da LGPD sobre transferência internacional, regulamentados pela Resolução CD/ANPD nº 19/2024
- Logs de auditoria: registro de todos os acessos a dados de pacientes
- Segregação de dados: dados de diferentes clínicas/hospitais devem ser logicamente isolados
Receita digital e assinatura eletrônica
A prescrição digital é parte essencial da telemedicina. A Lei nº 14.063/2020 regulamenta o uso de assinaturas eletrônicas na saúde, criando três níveis:
| Nível | Descrição | Aplicação em saúde |
|---|---|---|
| Simples | Dados pessoais básicos (nome, CPF) | Requerimentos de informação, marcação de consultas |
| Avançada | Certificado não-ICP-Brasil, associada univocamente ao signatário | Maioria dos documentos de saúde |
| Qualificada (ICP-Brasil) | Certificado digital ICP-Brasil, validado pelo ITI | Obrigatória para receitas de controlados e atestados |
Regra crítica (Art. 13 da Lei 14.063/2020): receituários de medicamentos sujeitos a controle especial e atestados médicos em meio eletrônico somente são válidos com assinatura eletrônica qualificada (ICP-Brasil). Demais documentos de saúde são válidos com assinatura avançada ou qualificada.
RDC ANVISA nº 1.000/2025 — prescrição eletrônica de controlados
A RDC nº 1.000/2025, publicada em dezembro de 2025, consolidou a regulamentação definitiva da prescrição eletrônica de todos os medicamentos controlados, incluindo as listas A (receita amarela) e B (receita azul) da Portaria 344/1998. A norma integra as prescrições ao Sistema Nacional de Controle de Receituários (SNCR) via API, com operação prevista para 1º de junho de 2026.
Requisitos principais:
- Prescrições devem ser natas digitais (produzidas em sistemas eletrônicos, não digitalizações de receitas em papel)
- Assinatura qualificada (ICP-Brasil) obrigatória para medicamentos da Portaria 344/98
- Assinatura qualificada ou avançada (incluindo gov.br) para antimicrobianos e agonistas GLP-1
- CPF do paciente obrigatório em todas as prescrições de controlados
- Receituários de uso único (não reutilizáveis após registro no SNCR)
Para a LGPD, a receita digital contém dados sensíveis (medicamentos prescritos revelam condições de saúde). A plataforma que armazena e transmite receitas digitais deve garantir:
- Integridade do documento (que não foi alterado após assinatura)
- Confidencialidade (acesso restrito ao paciente e à farmácia)
- Rastreabilidade (quem prescreveu, quando, para quem)
- Retenção adequada (integra o prontuário)
Teleconsulta internacional: transferência de dados além-fronteiras
Teleconsultas com pacientes no exterior — ou com médicos estrangeiros — envolvem transferência internacional de dados de saúde. Esta é uma das situações mais complexas da LGPD aplicada à telemedicina.
Quando ocorre transferência internacional
- Paciente no Brasil consultando médico no exterior
- Médico no Brasil consultando paciente no exterior
- Teleconsulta entre profissionais em países diferentes (teleinterconsulta)
- Plataforma de telemedicina com servidores fora do Brasil
Resolução CD/ANPD nº 19/2024
Publicada em 23 de agosto de 2024, regulamenta os Arts. 33-36 da LGPD sobre transferência internacional. O prazo de adequação encerrou em 23 de agosto de 2025. Mecanismos disponíveis:
- Cláusulas-padrão contratuais predefinidas pela ANPD
- Cláusulas contratuais específicas negociadas entre as partes
- Normas corporativas globais (para redes hospitalares internacionais)
- Decisões de adequação da ANPD sobre países específicos
Para teleconsulta internacional, a clínica deve: (1) identificar se há transferência internacional, (2) escolher o mecanismo adequado, (3) documentar e (4) informar o paciente.
Por que WhatsApp não é canal adequado para teleconsulta
O WhatsApp é amplamente utilizado para comunicação médico-paciente no Brasil — agendamento, dúvidas, acompanhamento. Mas para teleconsulta formal, os riscos são desproporcionais:
Posição do CFM
O Parecer CFM nº 14/2017 e a Resolução CFM 2.314/2022 estabelecem que a troca de mensagens pelo WhatsApp não substitui consulta médica (presencial ou por telemedicina regulamentada). O WhatsApp é permitido para comunicação complementar — tirar dúvidas, acompanhar evolução, informar sobre funcionamento da clínica. Toda informação fornecida ou recebida via WhatsApp deve ser registrada no prontuário.
Problemas de LGPD
- Servidores no exterior: dados trafegam e são armazenados em servidores da Meta nos Estados Unidos, configurando transferência internacional de dados sensíveis
- Sem conformidade NGS2: o WhatsApp não atende aos requisitos de Nível de Garantia de Segurança 2 exigidos pela Resolução CFM 2.314/2022 para sistemas de telemedicina
- Sem trilha de auditoria adequada: não há registro padronizado de quem acessou qual dado e quando
- Facilidade de vazamento: encaminhamento acidental, capturas de tela, dispositivos compartilhados
- Sem controle de retenção: o médico não controla por quanto tempo a mensagem fica no dispositivo do paciente (ou vice-versa)
Violações possíveis
O uso de WhatsApp para teleconsulta pode resultar em:
- Processo ético no CRM
- Sanção da ANPD por tratamento inadequado de dados sensíveis
- Ação civil do paciente (indenização por danos morais se houver exposição)
- Responsabilização por violação de sigilo médico
O que é aceitável
- Uso do WhatsApp para agendamento de consultas
- Envio de lembretes de consulta (sem dados clínicos)
- Orientações gerais pós-consulta (desde que registradas no prontuário)
- Respostas a dúvidas pontuais do paciente sobre tratamento já em andamento
Para teleconsulta, a clínica deve utilizar plataforma dedicada que atenda aos requisitos da Resolução CFM 2.314/2022.
Plataformas nacionais vs. internacionais
| Aspecto | Plataforma nacional | Plataforma internacional |
|---|---|---|
| Sede no Brasil | Sim | Geralmente não |
| Resolução CFM 2.314 | Pode estar em conformidade | Pode não conhecer requisitos brasileiros |
| Certificação SBIS | Disponível | Raramente |
| Transferência internacional | Não se aplica (servidores no Brasil) | Aplica-se — requer mecanismo da Resolução ANPD 19/2024 |
| ICP-Brasil | Pode integrar | Geralmente não suporta |
| Suporte regulatório | Conhece LGPD e CFM | Pode estar focada em HIPAA/GDPR |
| Jurisdição em caso de incidente | Jurisdição brasileira | Pode ser jurisdição estrangeira |
A recomendação para clínicas brasileiras é priorizar plataformas com sede no Brasil, certificação SBIS (ou conformidade demonstrável com NGS2) e suporte a assinatura ICP-Brasil para receitas de controlados.
RIPD para serviços de telemedicina
O tratamento de dados sensíveis de saúde por meio de plataformas digitais — com transmissão de vídeo, áudio e dados clínicos em tempo real — configura tratamento de alto risco que quase sempre aciona a necessidade de RIPD. Os gatilhos:
- Dados sensíveis (saúde) tratados em escala
- Transmissão de dados em tempo real por redes públicas (internet)
- Gravação de consultas (dados biométricos — voz e imagem)
- Uso de IA para triagem, diagnóstico ou priorização (quando aplicável)
- Envolvimento de operadores (plataformas de terceiros)
- Potencial transferência internacional de dados
O RIPD para telemedicina deve avaliar riscos específicos: interceptação de comunicação durante teleconsulta, acesso não autorizado a gravações, vazamento de prescrições digitais, indisponibilidade da plataforma durante atendimento de urgência.
Checklist de conformidade para clínicas que oferecem telemedicina
- Plataforma de telemedicina em conformidade com Resolução CFM 2.314/2022 (NGS2, sede no Brasil, registro no CRM)
- DPA formalizado com a plataforma de telemedicina (operador)
- Consentimento livre e esclarecido do paciente para teleconsulta, obtido antes do atendimento
- Consentimento específico e documentado para gravação de consultas (quando aplicável)
- Criptografia end-to-end para transmissão de vídeo e áudio
- Criptografia em repouso para dados armazenados (laudos, gravações, prontuários remotos)
- Assinatura eletrônica qualificada (ICP-Brasil) para receitas de controlados e atestados
- Registro completo da teleconsulta em prontuário médico (físico ou S-RES certificado)
- Avaliação de transferência internacional de dados (se plataforma usa servidores no exterior)
- Mecanismo de transferência documentado conforme Resolução ANPD 19/2024 (se aplicável)
- RIPD elaborado para o serviço de telemedicina
- Controles de acesso granulares: apenas equipe assistencial acessa dados de teleconsulta
- Logs de auditoria para todo acesso a gravações e prontuários remotos
- Aviso de privacidade específico para telemedicina, informando: dados coletados, finalidades, compartilhamento, direitos do titular
- Plano de contingência para indisponibilidade da plataforma (garantia de atendimento presencial alternativo)
- DPO nomeado e publicado
- WhatsApp não utilizado como canal de teleconsulta (apenas comunicação complementar)
Conclusão
A telemedicina multiplicou o acesso à saúde no Brasil — mas também multiplicou os pontos de vulnerabilidade para dados sensíveis de pacientes. A transmissão de vídeo, áudio e dados clínicos por redes públicas, o armazenamento em plataformas de terceiros e a prescrição digital criam uma superfície de risco que não existia na consulta presencial.
A convergência entre a Lei 14.510/2022, a Resolução CFM 2.314/2022, a Lei 14.063/2020 e a LGPD cria um marco regulatório robusto — mas que exige atenção coordenada. A clínica que oferece telemedicina precisa garantir conformidade em múltiplas frentes: regulação médica (CFM), segurança da informação (SBIS/NGS2), proteção de dados (LGPD) e, quando aplicável, transferência internacional (ANPD).
A Confidata oferece funcionalidades específicas para gestão de conformidade em telemedicina: registro de atividades de tratamento com classificação de dados sensíveis, gestão de DPAs com plataformas e operadores, RIPD com avaliação de riscos específicos de saúde digital e controle de transferências internacionais de dados.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.