Teoria
  • Contexto histórico: por que a proteção de dados se tornou prioridade na saúde;
  • A relação entre o cuidado assistencial e os dados pessoais do paciente;
  • Principais conceitos e atores envolvidos: dado pessoal, dado pessoal sensível, anonimização, consentimento, titular, controlador, operador e o encarregado de dados (DPO);
  • Visão geral da LGPD aplicada à saúde (arts. 5º, 6º, 7º, 11, 12,13, 18, 23 a 26, 37 a 41, 46 a 49, 48, 50, 52 a 54);
  • Diferença entre privacidade, segurança da informação e proteção de dados pessoais e sensíveis no âmbito da saúde.
Prática
  • Estudo de caso guiado: Análise de um prontuário fictício — identificar quais campos contêm dados sensíveis e quais medidas de proteção se aplicam, à luz da LGPD e dos normativos da Agência Nacional de Proteção de Dados (ANPD);
  • Exercício: Mapeamento rápido de fluxos de dados no dia a dia de um hospital (admissão, atendimento, alta, faturamento).
Teoria
  • Ciclo de vida do dado na assistência: coleta, registro, armazenamento, tratamento, compartilhamento e retenção/descarte;
  • Bases legais aplicáveis ao tratamento de dados na saúde (consentimento, tutela da saúde, execução de contrato cumprimento de obrigação legal ou regulatória e proteção da vida, conforme previsto na LGPD.);
  • Compartilhamento de dados entre equipes multiprofissionais: limites éticos, legais, assistenciais, observando o sigilo profissional, o princípio da necessidade e as disposições da LGPD;
  • Direitos dos titulares no contexto assistencial (acesso, correção, portabilidade, eliminação, anonimização, bloqueio, e revogação do consentimento).
Prática
  • Simulação: O paciente solicita acesso integral ao seu prontuário — como o serviço deve responder?
  • Elaborar o fluxo de atendimento ao direito do titular de dados;
  • Exercício em grupo: Elaborar um Termo de Consentimento Livre e Esclarecido (TCLE) para um procedimento que envolve coleta de dados genéticos.
Teoria
  • Medidas técnicas e administrativas exigidas pela LGPD (art. 46 e 47), voltadas à proteção de dados pessoais e dados pessoais sensíveis;
  • Controle de segurança da informação, incluindo controle de acesso, criptografia, pseudonimização e registros de logs de auditoria;
  • Gestão de incidentes: como identificar, notificar e responder a possíveis vazamentos;
  • A importância da política de privacidade e do plano de adequação institucional como instrumentos de governança e conformidade com a LGPD.
Prática
  • Workshop prático: Simulação de um incidente de vazamento de dados — o grupo deve decidir: (a) como conter o vazamento e mitigação de riscos, (b) a quem notificar (interno e externo), (c) qual o prazo legal para comunicar a ANPD;
  • Checklist de adequação: Cada participante avalia seu setor/serviço contra uma lista de verificação de conformidade com a LGPD.
Teoria
  • Como a IA está sendo usada na saúde: diagnóstico assistido por algoritmos, predição de riscos, chatbots para triagem, prontuário inteligente;
  • Riscos específicos: viés algorítmico, opacidade decisional, risco de reidentificação de dados anonimizados e potenciais impactos na equidade, segurança e confiabilidade das decisões clínicas automatizadas ou assistidas por sistemas de IA;
  • O tratamento de dados para treinamento de modelos de IA — bases legais aplicáveis;
  • Regulamentações emergentes: Marco Legal da IA no Brasil (PL 2338/2023) e o AI Act europeu;
  • Resolução CFM nº 2.454/2026;
  • Limites éticos: autonomia do profissional vs. decisão algorítmica.
Prática
  • Estudo de caso real: Um hospital implementa um algoritmo de predição de sepse usando dados históricos de pacientes — quais seriam os requisitos legais e éticos antes de colocar em produção?
  • Debate guiado: "Até que ponto um modelo de IA pode tomar decisões assistenciais sem violar a privacidade do paciente?"
Teoria
  • Estruturando um Programa de Governança de Dados na instituição de saúde;
  • Papéis e responsabilidades: DPO, comitê de privacidade, equipe assistencial e área de TI;
  • Elaboração de Relatório de Impacto à Proteção de Dados (RIPD) — quando é obrigatório;
  • Como integrar proteção de dados à cultura organizacional.
Prática
  • Oficina final: Cada participante (ou grupo) elaborará um Plano de Ação Personalizado para sua instituição/setor, contendo:
    • 3 ações prioritárias de curto prazo (30 dias);
    • 3 ações de médio prazo (6 meses);
    • Indicadores de sucesso;
    • Apresentação e feedback dos planos.




Rolar para cima