Guia IA Saúde

Usando IA na sua organização de saúde sem criar exposição ao GDPR

A IA na saúde avança rapidamente. Ferramentas administrativas, suporte à decisão clínica e auxiliares de diagnóstico chegam aos comitês de aquisição de hospitais, clínicas e grupos de saúde em toda a Europa e além. O problema é que a maioria dessas ferramentas processa dados de saúde, e dados de saúde sob o GDPR pertencem a uma categoria com regras específicas que orientações genéricas sobre IA ignoram completamente.

8 de maio de 2026
7 min de leitura
Principais conclusões
  • Dados de pacientes são dados de categoria especial do Artigo 9, o nível mais alto de proteção do GDPR, com condições rígidas de tratamento
  • Sistemas de IA usados em tomada de decisão clínica são classificados como alto risco pelo Anexo III da Lei de IA da UE
  • Uma DPIA é obrigatória antes de implantar qualquer ferramenta de IA que trate dados de categoria especial em escala
  • Se sua DPIA identificar alto risco residual, é obrigatório consultar a autoridade supervisora nacional antes da implantação
  • Ferramentas de IA baseadas nos EUA criam obrigações de transferência de dados sob o Capítulo V do GDPR. Contratos isolados podem não ser suficientes

O risco real: dados de saúde e IA são uma combinação específica

Dados de saúde são dados de categoria especial nos termos do Artigo 9 do GDPR. Seu tratamento requer uma base legal segundo o Artigo 6 e uma condição separada nos termos do Artigo 9(2). As condições são mais restritas do que a maioria das organizações supõe. O interesse legítimo, a base mais flexível para dados pessoais comuns, não está disponível para dados de categoria especial. São necessários consentimento explícito, obrigação legal, interesses vitais ou uma base específica de prestação de serviços de saúde.

Isso importa para a IA porque muitas ferramentas processam dados de formas que não são óbvias pela interface do usuário. Uma ferramenta de resumo clínico recebe notas de pacientes. Uma IA de agendamento pode processar códigos de diagnóstico para otimizar horários. Um chatbot administrativo pode armazenar o histórico de conversas contendo sintomas ou informações sobre medicamentos. Cada um desses casos constitui tratamento de dados de saúde de categoria especial, e cada um exige uma condição válida do Artigo 9(2) e uma base legal documentada antes que a ferramenta entre em operação.

Ferramentas de IA de terceiros amplificam esse risco. Quando sua organização usa um produto de IA SaaS, o fornecedor trata dados em seu nome como subcontratante. Isso significa que você, como responsável pelo tratamento, permanece responsável pela legalidade do tratamento. A política de privacidade de um fornecedor que declara "não usamos seus dados para treinar nossos modelos" não substitui sua própria avaliação da base legal.

Art. 9
GDPR: dados de saúde exigem base legal separada, além da base legal padrão do Art. 6
Alto risco
Classificação da Lei de IA da UE para sistemas de IA usados em tomada de decisão na saúde
DPIA
obrigatória antes de implantar qualquer IA que trate dados de saúde em escala

A classificação da Lei de IA da UE para IA na saúde

A Lei de IA da UE entrou em vigor em agosto de 2024, com a maioria das disposições aplicando-se a partir de agosto de 2026. As organizações de saúde que implantam IA precisam compreender como a Lei classifica suas ferramentas agora, porque as etapas de conformidade exigidas antes da implantação levam tempo.

Sistemas de IA utilizados em contextos clínicos são classificados como alto risco pelo Anexo III da Lei. Isso abrange sistemas destinados a serem utilizados como dispositivos médicos, sistemas que auxiliam no diagnóstico clínico e sistemas que influenciam decisões de tratamento. Sistemas de IA de alto risco exigem avaliação de conformidade antes de serem colocados no mercado ou em serviço, mantêm documentação técnica detalhada, implementam mecanismos de supervisão humana e devem ser registrados na base de dados da UE para sistemas de IA de alto risco.

Sistemas de IA utilizados exclusivamente para tarefas administrativas, como agendamento, RH ou gestão financeira dentro de uma organização de saúde, podem não se enquadrar na categoria de alto risco da Lei de IA. A distinção importa porque a carga de conformidade é substancialmente menor para sistemas não classificados como alto risco. No entanto, as obrigações do GDPR aplicam-se independentemente da classificação da Lei de IA. Uma IA administrativa que trata dados de saúde ainda necessita de base legal válida e DPIA.

Distinção fundamental

Uma ferramenta que o fornecedor comercializa como "IA para administração de saúde" pode ou não ser de alto risco nos termos da Lei de IA, dependendo se influencia decisões clínicas. A descrição de marketing não é o teste jurídico. A questão é se o resultado do sistema provavelmente será usado para tomar ou influenciar decisões sobre a saúde de um paciente. Em caso afirmativo, é alto risco independentemente de como o fornecedor a posiciona.

Cinco perguntas a fazer antes de implantar qualquer ferramenta de IA

Aplique estas perguntas a cada ferramenta de IA em avaliação. Valem tanto para ferramentas adquiridas de fornecedores quanto para funcionalidades de IA incorporadas em plataformas de software existentes (cada vez mais comuns em prontuários eletrônicos, agendamento e sistemas de comunicação).

1
Que dados pessoais esta ferramenta trata e algum deles se qualifica como dado de saúde sob o GDPR?
Mapeie os fluxos de dados antes da aquisição, não depois. Solicite ao fornecedor um diagrama de fluxo de dados que mostre o que a ferramenta recebe, onde é processado e por quanto tempo é retido. Inclua subcontratantes.
2
Qual é a nossa base legal para tratar esses dados?
Identifique a base específica do Artigo 6 e a condição específica do Artigo 9(2). Documente-as. Se não for possível identificar ambas, a ferramenta não pode entrar em operação até que seja possível.
3
Este sistema se qualifica como alto risco nos termos da Lei de IA da UE?
Se a ferramenta puder influenciar decisões clínicas, trate-a como alto risco até obter um parecer jurídico claro em sentido contrário. Solicite a documentação de avaliação de conformidade do fornecedor.
4
Que direitos os pacientes têm sobre os dados que esta ferramenta trata?
O Artigo 22 do GDPR confere aos indivíduos o direito de não estarem sujeitos a decisões exclusivamente automatizadas que os afetem significativamente. Se a ferramenta de IA produzir resultados que alimentem diretamente decisões clínicas ou administrativas sobre pacientes sem revisão humana, há obrigação pelo Artigo 22 de divulgar isso e oferecer uma opção de revisão humana.
5
Para onde vão os dados desta ferramenta se deixarmos de usá-la?
Compreenda os termos de exclusão e portabilidade de dados antes de assinar. Dados de saúde retidos por um fornecedor após o término do contrato geram responsabilidade contínua para sua organização como responsável pelo tratamento.

Quando uma DPIA é obrigatória (e por que a maioria está sendo ignorada)

Uma Avaliação de Impacto sobre a Proteção de Dados é obrigatória pelo Artigo 35 do GDPR antes de iniciar um tratamento que "provavelmente resulte em alto risco" para os direitos e liberdades dos indivíduos. As diretrizes do Grupo de Trabalho do Artigo 29 (agora EDPB) especificam nove critérios para acionar uma DPIA obrigatória. O tratamento de dados de saúde em escala satisfaz o critério um e o critério dois: dados sensíveis e tratamento em larga escala. Qualquer ferramenta de IA na saúde implantada em uma operação clínica quase certamente está dentro do território de DPIA obrigatória.

O problema prático é que as DPIAs levam tempo: tipicamente de duas a seis semanas quando realizadas adequadamente. Os prazos de aquisição e a pressão para implantar ferramentas de IA rapidamente levam muitas organizações a pular a avaliação ou a conduzir uma versão superficial que não aborda os riscos reais. As autoridades supervisoras conhecem este padrão. A AP (Autoriteit Persoonsgegevens) holandesa e o ICO do Reino Unido publicaram orientações especificamente sobre IA e proteção de dados, e ambas incluem os requisitos de DPIA como verificação de conformidade primária.

Uma DPIA para uma ferramenta de IA na saúde precisa cobrir: a finalidade e necessidade do tratamento, fluxos de dados e retenção, riscos para os direitos dos pacientes (incluindo o risco de discriminação caso a IA produza resultados tendenciosos), medidas de segurança e o papel do fornecedor como subcontratante. Também precisa abordar explicitamente a questão da tomada de decisão automatizada do Artigo 22.

Importante

Se sua DPIA identificar alto risco residual que não pode ser mitigado, é obrigatório consultar a autoridade supervisora antes de prosseguir. A consulta prévia é um processo formal, não uma conversa informal. Incorporar tempo adequado para a DPIA nas decisões de aquisição de IA evita a situação em que uma ferramenta já foi contratada antes de você descobrir que a consulta prévia é necessária.

Como é uma implantação segura na prática

Três escolhas estruturais determinam se sua implantação de IA cria risco ou o gerencia.

Minimização de dados. Avalie quais dados a ferramenta realmente precisa para funcionar. Muitas ferramentas de IA estão configuradas por padrão para receber mais dados do que o necessário. Uma ferramenta de resumo clínico que exige registros completos de pacientes para resumir uma nota de consulta deve ser questionada: pode funcionar apenas com o conteúdo da consulta, sem outros identificadores? Quanto menos dados de saúde fluírem para um sistema de terceiros, menor será sua exposição.

Implantação local versus API em nuvem. Ferramentas de IA que processam dados localmente na sua infraestrutura, em vez de enviá-los para uma API em nuvem, reduzem substancialmente o risco de subcontratante terceirizado. Isso é mais relevante para IA administrativa do que para ferramentas clínicas SaaS, onde a implantação local raramente é uma opção. Para ferramentas de IA internas sendo construídas ou configuradas pela sua equipe, a implantação de modelo local deve ser a consideração padrão para qualquer coisa que envolva dados de saúde.

Mecanismos de supervisão humana. A Lei de IA da UE exige que sistemas de IA de alto risco incluam recursos que permitam supervisão humana, incluindo a capacidade de um humano intervir, substituir ou parar o sistema. Construa sua arquitetura de implantação em torno deste requisito. Um sistema de IA que produz resumos clínicos para revisão está em conformidade. O mesmo sistema, configurado para atualizar automaticamente registros de pacientes sem revisão, pode não estar.

A IA na saúde oferece valor operacional mensurável, e o objetivo é estruturar a implantação de forma que sua organização esteja protegida. Organizações que realizam a DPIA, documentam a base legal e incorporam mecanismos de supervisão estão em posição sólida perante os reguladores. As que implantam primeiro e avaliam depois enfrentam exposição a ações de fiscalização.

A Lei de IA da UE está publicada em EUR-Lex (Regulamento 2024/1689). As orientações da Comissão Europeia sobre classificação de IA de alto risco e avaliação de conformidade para aplicações de saúde estão disponíveis nas páginas de política de IA da UE.

Perguntas frequentes

A IA na saúde é classificada como alto risco pela Lei de IA da UE?

Sim, na maioria dos contextos clínicos e administrativos. O Anexo III da Lei de IA da UE classifica como alto risco os sistemas de IA utilizados na gestão e operação de infraestruturas críticas (incluindo hospitais), diagnóstico clínico assistido por IA, recomendação de tratamento e monitoramento de resultados de pacientes. A classificação de alto risco exige documentação técnica, avaliação de conformidade, registro na base de dados da UE e mecanismos de supervisão humana antes da implantação.

Quando é obrigatória uma DPIA para IA em ambiente de saúde?

Uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) é obrigatória pelo Artigo 35 do GDPR quando o tratamento provavelmente resultar em alto risco para os indivíduos. Para IA na saúde, esse limiar é quase sempre atingido. O tratamento de dados de categoria especial do Artigo 9 (dados de saúde) em escala, a tomada de decisão automatizada com efeitos significativos e o monitoramento sistemático de indivíduos são todos gatilhos. A DPIA deve ser concluída antes do início do tratamento. Realizá-la retroativamente não é compatível com a norma.

O que acontece se uma DPIA identificar risco residual elevado?

Se uma DPIA concluir que permanece alto risco residual após as medidas de mitigação, o Artigo 36 do GDPR exige consulta prévia à autoridade supervisora competente antes do início do tratamento. A autoridade tem até 8 semanas para responder, prorrogáveis por mais 6 semanas em casos complexos. Implantar sem concluir essa etapa expõe a organização a ação de fiscalização e potenciais multas de até 20 milhões de euros ou 4% do faturamento global.

Qual é a base legal para tratar dados de saúde com ferramentas de IA?

Dados de saúde (dados de categoria especial do Artigo 9) exigem tanto uma base legal nos termos do Artigo 6 do GDPR quanto uma condição adicional nos termos do Artigo 9(2). Na saúde, as condições mais comuns são o consentimento explícito do paciente, o tratamento necessário à prestação de serviços de saúde ou o tratamento por razões de saúde pública. O interesse legítimo, comumente utilizado para ferramentas de IA em geral, não satisfaz o Artigo 9. Cada caso de uso de IA necessita de sua própria base legal documentada.

Podemos usar ferramentas de IA americanas para tratar dados de pacientes?

É possível, mas exige estruturação cuidadosa. A transferência de dados pessoais para fora do EEE requer um mecanismo de transferência nos termos do Capítulo V do GDPR. As Cláusulas Contratuais Padrão são a rota mais comum para transferências para os EUA, mas devem ser complementadas por uma Avaliação de Impacto da Transferência. Alguns provedores americanos participam do Quadro de Privacidade de Dados UE-EUA, o que pode simplificar a base legal. Para dados de saúde de alta sensibilidade, muitas organizações optam pelo tratamento hospedado no EEE para reduzir o risco jurídico.

Fale com a Cyvra

Avaliando uma ferramenta de IA para sua organização de saúde?

Ajudamos organizações de saúde a avaliar ferramentas de IA quanto à conformidade com o GDPR, prontidão para a Lei de IA da UE e segurança, antes de entrarem em operação.

Aviso legal: Este artigo tem caráter exclusivamente informativo e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não garante a exatidão ou completude deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem buscar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita qualquer responsabilidade por perdas decorrentes do uso deste conteúdo.