IA na saúde avança — governança e proteção de dados se tornam essenciais

Por Antonielle Freitas

Nos últimos meses, o mercado foi inundado por anúncios de assistentes de IA “especializados em saúde”, voltados tanto a interações diretas com pacientes quanto ao apoio a rotinas clínicas e administrativas. Contudo, por trás da empolgação com a automação de tarefas, a aceleração de diagnósticos e o suporte a profissionais de saúde, há um ponto incontornável: essas novas IAs ampliam de forma significativa o uso de dados clínicos por chatbots e modelos generativos. E, no Brasil, isso significa entrar em terreno de dados pessoais sensíveis, com exigências mais rígidas sob a Lei Geral de Proteção de Dados (LGPD).

A pergunta não é se a IA em saúde vai avançar, pois isso já é uma realidade. A questão é: como garantir que esse avanço seja juridicamente sólido, eticamente responsável e tecnicamente seguro?

Para hospitais, clínicas, operadoras, laboratórios, healthtechs e empresas de tecnologia que atuam nesse ecossistema, o recado é direto: adotar IA em saúde é, necessariamente, falar de LGPD e governança de dados.

Por que as novas IAs em saúde mudam o jogo

Os assistentes de IA voltados ao setor de saúde vão muito além de responder dúvidas genéricas sobre sintomas. Eles apoiam a elaboração de relatórios, notas clínicas e documentos profissionais; automatizam tarefas administrativas, como faturamento, autorizações e rotinas de backoffice; e analisam dados provenientes de prontuários, exames e até aplicativos de saúde.

Embora sejam ofertados com promessas de ambientes “isolados” e de não utilização de dados para treinar modelos em larga escala, esses dados de saúde, muitas vezes em grande volume e elevado grau de detalhamento, passam a circular por sistemas de IA, em cenários em que erros, vazamentos ou usos indevidos podem ter impacto real na vida dos pacientes.

Dados de saúde na LGPD: sensíveis por definição

Do ponto de vista da LGPD, o ponto de partida é claro: dado de saúde é dado pessoal sensível, e isso traz consequências diretas:

• Exige bases legais específicas, de acordo com o contexto (atendimento, tutela da saúde, políticas públicas, pesquisa, etc.).
• Impõe um padrão reforçado de segurança da informação (criptografia, controle de acesso, logs, testes de segurança).
• Demanda governança robusta, com políticas, treinamentos e processos adaptados ao risco.

Quando esse dado entra num fluxo de IA, a barra sobe:

• A avaliação de risco não pode ser a mesma usada para soluções que tratam apenas dados cadastrais ou de navegação.
• Qualquer incidente de segurança, uso incompatível com a finalidade ou exposição indevida tende a ser mais grave, tanto para o titular quanto para a organização que trata os dados.

Ambientes isolados e promessas de privacidade: o que precisa ser checado

Muitos fornecedores têm destacado que suas IAs de saúde funcionam em ambientes isolados, com criptografia e controles adicionais e, em alguns casos, com compromissos de não usar dados de conversas para treinar modelos.

Tudo isso é bem-vindo, mas, do ponto de vista de governança, não basta.

As organizações de saúde (hospitais, clínicas, operadoras, laboratórios, healthtechs) precisam responder perguntas como:

1. Como esse “ambiente isolado” é implementado na prática?
   o É uma instância dedicada?
   o A segregação é lógica, física ou contratual?
   o Quem controla as chaves de criptografia: a instituição ou o fornecedor?

2. O que acontece com os dados depois do uso?
   o São mantidos apenas para auditoria e segurança?
   o São utilizados para “melhorar o serviço” ou treinar modelos específicos?
   o Há opção real de desativar o uso das informações para treinamento?

3. Qual é a base legal para cada tipo de tratamento?
   o Atendimento e apoio direto a profissionais de saúde têm um enquadramento.
   o Uso para melhoria contínua do modelo ou P&D pode ter outro, muitas vezes mais delicado.
   o Consentimento genérico e pouco transparente não resolve problemas estruturais de finalidade.

Sem respostas claras a essas questões, o “ambiente isolado” corre o risco de ser apenas um rótulo de marketing, e não uma garantia real de proteção.

Treino de modelos: finalidade, transparência e limites

Um dos pontos mais sensíveis é o uso de dados de saúde para treinar ou aperfeiçoar modelos de IA.

Pela LGPD:

• O tratamento deve ser compatível com a finalidade informada ao titular.
• O titular deve ser informado, de forma clara e compreensível, sobre como seus dados serão utilizados.
• Em muitos cenários, o uso para treino exigirá uma base legal específica e transparência reforçada.

Na prática, há dois grandes modelos que começam a se delinear:

• IAs que não usam dados clínicos dos usuários para treinar modelos
  • Trabalham em maior alinhamento com o princípio da finalidade e com a expectativa de privacidade de pacientes e profissionais.
  • Reduzem o risco de reutilizações inesperadas de informações extremamente sensíveis.

• IAs que usam dados para treinar ou ajustar modelos
  • Exigem análise rigorosa: qual a base legal? A finalidade é compatível com o atendimento? O titular foi claramente informado?
  • Pedem salvaguardas adicionais, como minimização, anonimização quando possível, controles de acesso e políticas de retenção bem definidas.

Em todos os casos, vale a regra: dado de saúde não é “insumo grátis” para aprimorar algoritmos.

Integrações com prontuários, sistemas e apps: onde o risco aumenta

Grande parte do valor dessas soluções está nas integrações com prontuários eletrônicos, sistemas hospitalares e aplicativos de saúde:

• Consolidação de dados de diferentes sistemas.
• Geração de resumos e insights clínicos.
• Interação com pacientes via app ou chat.
• Acesso a históricos, exames, prescrições e outras informações sensíveis.

Cada nova integração é um novo ponto de atenção

Transparência

• Pacientes, beneficiários e profissionais precisam saber que há uma IA processando seus dados, para quais finalidades, com quais parceiros e por quanto tempo.

Consentimento, quando aplicável

• Em usos que não são estritamente necessários à prestação do serviço de saúde, o consentimento tende a ganhar relevância e deve ser sempre de forma específica, destacada e revogável.

 Controle pelo usuário

• Sempre que viável, permitir que o usuário escolha quais dados serão utilizados, em quais contextos e com possibilidade clara de limitar ou encerrar o uso da IA.

Integrações mal explicadas ou opacas abrem espaço para desconfiança, questionamentos regulatórios e desgaste reputacional.

O que a LGPD espera de quem adota IA na saúde

A adoção de IA na saúde não é apenas uma decisão tecnológica; é uma decisão regulatória e estratégica. Sob a LGPD, organizações que utilizam essas soluções devem garantir, no mínimo:

Minimização de dados: utilizar apenas as informações estritamente necessárias para a finalidade específica da interação com a IA.

Segurança da informação reforçada: criptografia, gestão de identidades, segmentação de acesso por perfil (clínico, administrativo, suporte), registros de log e políticas claras de resposta a incidentes.

Documentação das operações de tratamento: mapear e registrar fluxos de dados envolvendo a IA: quais dados entram, para onde vão, com qual base legal e por quanto tempo permanecem.

Avaliação de impacto (RIPD) quando o risco for elevado: em cenários de uso massivo de dados sensíveis, decisões automatizadas com impacto significativo ou ampla integração entre sistemas, a elaboração de Relatório de Impacto à Proteção de Dados Pessoais é uma prática alinhada às expectativas regulatórias.

Governança contínua: monitorar o desempenho da IA, revisar periodicamente riscos e aderência à LGPD, e manter canais internos para reporte de problemas e incidentes.

O que sua organização pode fazer agora

Para hospitais, clínicas, operadoras de saúde, laboratórios e healthtechs que estão avaliando ou já usando IA em saúde, alguns passos práticos:

Mapear onde e como a IA está sendo (ou será) utilizada

Atendimento ao paciente? Apoio a profissionais? Backoffice? Pesquisa?

Rever contratos e termos com fornecedores de IA
Verificar claramente:
– uso (ou não) de dados para treinamento;
– local de armazenamento;
– responsabilidades em caso de incidente;
– garantias de segurança e confidencialidade.

Atualizar avisos e políticas de privacidade
Incluir informações específicas sobre o uso de IA, finalidades, bases legais e direitos dos titulares.

Engajar jurídico, privacidade, TI e área assistencial
A adoção de IA em saúde não pode ser decisão isolada de um único departamento. Exige visão integrada.

Planejar governança de IA desde o início
Em vez de “regularizar depois”, incorporar privacidade e segurança desde o desenho da solução (privacy by design e security by design).

Conclusão: inovação em saúde só se sustenta com governança

A IA na saúde avança em ritmo acelerado e já começa a transformar a forma como pacientes e profissionais interagem com sistemas e dados. Os ganhos potenciais são enormes: menos burocracia, mais eficiência, melhor qualidade assistencial e novas formas de cuidado.

Mas há um ponto inegociável: sem governança forte e proteção adequada de dados sensíveis, esse avanço se torna frágil — jurídica, ética e reputacionalmente.

A mensagem é clara: inovação em saúde não afasta responsabilidade em proteção de dados. Pelo contrário, torna essa responsabilidade ainda mais central. Quem conseguir combinar IA, LGPD e governança de dados de forma estruturada não só reduzirá riscos, como também construirá vantagem competitiva em um dos setores mais sensíveis e estratégicos da economia.

Antonielle Freitas
Advogada pós-graduada em Direito Processual Civil, Digital, Compliance e Proteção de Dados, com 22 anos de experiência em compliance, contratual, cível, trabalhista e tributária. Especialista em proteção de dados e DPO certificada pelo EXIN, com ampla experiência em empresas nacionais e multinacionais. Líder em implementação de áreas jurídicas e compliance, gestão de equipes e resolução de conflitos.

https://itshow.com.br/ia-saude-lgpd-governanca-dados/