A digitalização da saúde caminhou, no Brasil, da promessa à infraestrutura. Prontuários eletrônicos, plataformas de telemedicina, laudos por imagem, faturamento e bases progressivamente interoperáveis convergem hoje para o cuidado do paciente e para a gestão do sistema. Esse mesmo movimento, contudo, multiplicou o volume e a sensibilidade das informações em circulação. Dados de saúde são, por definição legal, dados pessoais sensíveis (BRASIL, 2018), capazes de gerar discriminação, estigmatização e danos irreversíveis a seus titulares. A pergunta que se impõe deixou de ser se a saúde deve tratar dados — ela já o faz, intensamente — e passou a ser como, e sob qual responsabilidade.

1. A RESPONSABILIDADE PROATIVA COMO EIXO DO MODELO BRASILEIRO

O artigo 6º, inciso X, da Lei Geral de Proteção de Dados — LGPD (BRASIL, 2018) consagra o princípio da responsabilização e prestação de contas, exigindo que o agente demonstre a adoção de medidas eficazes e capazes de comprovar a observância das normas de proteção de dados. Não basta cumprir; é preciso poder provar que se cumpriu. Essa inversão de lógica desloca o eixo do instituto da reparação posterior do dano para a prevenção documentada e contínua. Parte expressiva da doutrina brasileira qualifica esse modelo como uma responsabilidade proativa, de cunho preventivo, em que o agente é responsável por demonstrar que agiu de modo a evitar a ocorrência de lesões.

A consequência prática é decisiva. A accountability, o ônus argumentativo recai sobre quem trata os dados: é o controlador que deve evidenciar o relatório de impacto à proteção de dados pessoais previamente elaborado, as medidas técnicas e administrativas adotadas, os registros de incidentes e os fluxos de resposta (BRASIL, 2025).

A conformidade (para integridade e mitigação de riscos) não pressupõe perfeição, mas pressupõe demonstração — e demonstração só existe onde há estrutura. Quem nada estrutura nada tem a demonstrar, e essa ausência, longe de ser neutra, é juridicamente eloquente.

Importa observar que mesmo as leituras que reconhecem a responsabilidade civil da LGPD como subjetiva sublinham que o agente apenas se exonera se provar a adoção das condutas esperadas pela norma (MACHADO MEYER, 2025). A diligência, no léxico da proteção de dados e Inteligência Artificial tem nome — Governança.

2. GOVERNANÇA DIGITAL NA SAÚDE: DO DEVER-SER AO PADRÃO EXIGÍVEL

Governança digital, no setor de saúde, não é um software nem um documento isolado. É o arranjo organizacional que define quem pode acessar quais dados, com qual finalidade, por quanto tempo e sob qual controle — e que registra tudo isso de modo auditável. Seus instrumentos mínimos já estão delineados na própria legislação e nas orientações setoriais: o relatório de impacto à proteção de dados pessoais, a designação de encarregado, o inventário das operações e dos sistemas, as políticas internas de segurança da informação, a privacidade desde a concepção e por padrão, e os planos de resposta a incidentes.

O ponto que merece ênfase é normativo, não apenas gerencial: esses instrumentos deixaram de ser recomendações de mercado para se tornarem o standard de conduta esperado. O Conselho Federal de Medicina, ao normatizar o uso da inteligência artificial na medicina por meio da Resolução CFM nº 2.454/2026, tornou a governança um dever institucional — alcançando diretores técnicos, gestores e estabelecimentos, e não apenas o médico individual (CFM, 2026). A literatura especializada já interpreta a ausência de política interna de governança como possível negligência institucional perante o próprio Conselho, a Anvisa, a Agência Nacional de Proteção de Dados e o Judiciário (PROLINX, 2026).

Esse deslocamento se reforça pela arquitetura do setor. A interoperabilidade crescente das bases de saúde e a contratação de fornecedores externos — sistemas de gestão, prontuário, telerradiologia e soluções em nuvem — significam que o dado sensível trafega para fora do perímetro físico da instituição. A legislação é clara ao estabelecer a corresponsabilidade entre controlador e operador, de modo que contratar um sistema de terceiros não transfere nem dilui a responsabilidade do estabelecimento (PROLINX, 2026; TRATAMENTO…, 2026).

A cadeia é tão forte quanto seu elo mais frágil, e a governança é precisamente o que sustenta a vigilância sobre esse elo.

3. A OMISSÃO COMO ILÍCITO: CONSEQUÊNCIAS DA NÃO IMPLEMENTAÇÃO

Uniam-se assim as premissas — responsabilidade proativa e governança como padrão exigível —, a conclusão se impõe com naturalidade: a não implementação da governança digital é, em si, conduta reprovável apta a fundamentar a responsabilização, ainda antes e independentemente da materialização de um vazamento. Se o dever é prevenir e demonstrar, a omissão na construção dos meios de prevenção e demonstração configura o descumprimento do próprio dever.

O ilícito não está apenas no incidente; está, sobretudo, na ausência das estruturas que deveriam tê-lo evitado ou contido.

Essa leitura não é abstrata. A Agência Nacional de Proteção de Dados, ao sancionar o Ministério da Saúde por incidente de segurança, valorou negativamente a comunicação tardia e a insuficiência de medidas adequadas, exigindo cronograma de correções e reforçando a necessidade de mecanismos proativos de proteção (MAYER BROWN, 2025). A mensagem regulatória é límpida: a Agência não pune apenas o dano; pune a desorganização que o tornou possível e a incapacidade de prestar contas.

As consequências da inação se distribuem por planos distintos e cumulativos. No plano administrativo, a LGPD prevê sanções que vão da advertência à multa de até dois por cento do faturamento, limitada a cinquenta milhões de reais por infração (PROLINX, 2026).

No plano civil, abre-se a via da reparação aos titulares lesados, tanto mais provável quanto mais frágil for a demonstração de diligência.

No plano ético-profissional, médicos e instituições respondem perante o Conselho Federal de Medicina por falhas de governança no uso de tecnologias (CFM, 2026). E há, ainda, o plano assistencial e reputacional: a indisponibilidade de sistemas em ambiente hospitalar não é inconveniente operacional, mas risco direto à vida do paciente (PROLINX, 2026).

Cabe registrar a objeção previsível: a governança plena imporia custos proibitivos e a conformidade integral seria, diante da velocidade tecnológica, quase inalcançável.

O dever de prestar contas não exige perfeição; exige proporcionalidade e demonstração de esforço idôneo. Para um consultório, governança enxuta — inventário, política de uso e responsável formal — já satisfaz o mínimo; para um hospital, exige-se estrutura multidisciplinar (CFM, 2026).

O que a norma não tolera é o nada: a ausência completa de estrutura é o único cenário que não encontra abrigo no princípio da proporcionalidade.

Conclusão

Em um setor que trata dados sensíveis em escala e sob crescente automação, essa demonstração depende de estruturas que muitos ainda tratam como facultativas.

A governança digital deixou de ser virtude diferencial para se tornar o piso de conduta exigível — e seu reverso, a inação, deixou de ser zona cinzenta para se tornar risco jurídico concreto. A responsabilidade proativa é um ato de respeito ao paciente, cuja informação mais íntima foi confiada ao sistema de cuidado. Reconhecer isso, antes que um incidente o imponha, é a diferença entre a instituição que previne e a que apenas se justifica.

Referências

____________________

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 6023: informação e documentação: referências: elaboração. 3. ed. Rio de Janeiro: ABNT, 2025.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 9 jun. 2026.

BRASIL. Ministério da Saúde. Secretaria de Vigilância em Saúde e Ambiente. Guia básico para privacidade de dados e segurança da informação. Brasília, DF: Ministério da Saúde, 2025. E-book. Disponível em: https://bvsms.saude.gov.br/bvs/publicacoes/guiabasico_privacidade_seguranca_informacao.pdf. Acesso em: 9 jun. 2026.

CONSELHO FEDERAL DE MEDICINA. CFM normatiza uso da IA na medicina. Brasília, DF: CFM, 27 fev. 2026. Disponível em: https://portal.cfm.org.br/noticias/cfm-normatiza-uso-da-ia-na-medicina/. Acesso em: 9 jun. 2026.

MACHADO MEYER ADVOGADOS. Responsabilidade subjetiva na LGPD. São Paulo: Machado Meyer, 2025. Disponível em: https://www.machadomeyer.com.br/pt/inteligencia-juridica/publicacoes-ij/tecnologia/responsabilidade-subjetiva-na-lgpd. Acesso em: 9 jun. 2026.

MAYER BROWN. Um olhar retrospectivo sobre a ANPD e a proteção de dados no Brasil em 2024. São Paulo: Mayer Brown, jan. 2025. Disponível em: https://www.mayerbrown.com/pt/insights/publications/2025/01/um-olhar-retrospectivo-sobre-a-anpd-e-a-protecao-de-dados-no-brasil-em-2024. Acesso em: 9 jun. 2026.

PROLINX. Segurança da informação na saúde: hospitais e clínicas em 2026. [S. l.]: Prolinx, 27 abr. 2026. Disponível em: https://prolinx.com.br/seguranca-da-informacao-saude/. Acesso em: 9 jun. 2026.

RESPONSABILIDADE civil na LGPD: problemas e soluções. CONPEDI Law Review, [S. l.], v. 6, n. 1, p. 158-174, jan./dez. 2020. Disponível em: https://indexlaw.org/index.php/conpedireview/article/download/7024/pdf/20619. Acesso em: 9 jun. 2026.

TRATAMENTO de dados em saúde: bases legais, limites e boas práticas. Migalhas, [S. l.], 13 fev. 2026. Disponível em: https://www.migalhas.com.br/depeso/449916/tratamento-de-dados-em-saude-bases-legais-limites-e-boas-praticas. Acesso em: 9 jun. 2026