A LGPD em anestesiologia é uma questão concreta e imediata — não uma preocupação abstrata de departamento jurídico. O serviço de anestesiologia coleta, processa e armazena dados sensíveis de saúde em cada procedimento que realiza: diagnósticos, alergias, medicamentos utilizados, parâmetros vitais intraoperatórios, intercorrências, histórico de reações a anestésicos. Todos esses dados são dados pessoais sensíveis sob a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e exigem tratamento específico.
Para os gestores do serviço de anestesiologia — sejam eles diretores médicos, coordenadores de bloco ou responsáveis técnicos — entender as obrigações da LGPD não é opcional. As penalidades por violação chegam a R$ 50 milhões por infração, e eventos de vazamento de dados de saúde têm impacto reputacional severo.
O que são dados sensíveis de saúde e por que a anestesiologia é uma área crítica
A LGPD classifica os dados relativos à saúde como dados pessoais sensíveis, categoria que exige requisitos mais rigorosos de tratamento do que dados pessoais comuns. Qualquer informação que revele a condição de saúde de um indivíduo — incluindo diagnósticos, histórico de procedimentos, medicamentos, alergias e resultados de exames — se enquadra nessa categoria.
O serviço de anestesiologia é uma das áreas de maior densidade de dados sensíveis em qualquer hospital. A ficha anestésica de um único procedimento pode conter dezenas de informações sensíveis sobre o paciente. Multiplicado pelo volume de procedimentos mensais de um hospital de médio porte — 150 a 300 cirurgias mês — o volume de dados sensíveis gerados é expressivo.
Além disso, esses dados circulam entre múltiplos sistemas e atores: prontuário eletrônico, sistema de gestão do bloco cirúrgico, registros da SRPA, relatórios enviados ao grupo de anestesiologia terceirizado, e eventuais sistemas de telemedicina ou consulta remota pré-anestésica.
Base legal para o tratamento de dados em anestesiologia
A LGPD exige que todo tratamento de dados pessoais sensíveis tenha uma base legal específica. Para a anestesiologia hospitalar, as bases legais mais aplicáveis são:
Consentimento do titular: o paciente pode consentir expressamente com o tratamento de seus dados de saúde. O consentimento para fins de saúde deve ser separado de outros consentimentos e específico quanto à finalidade. Isso significa que o termo de consentimento para a anestesia — já exigido pelo CFM — pode ser expandido para incluir também o consentimento LGPD.
Tutela da saúde: a LGPD permite o tratamento de dados sensíveis de saúde sem consentimento quando necessário para a tutela da saúde, em procedimento realizado por profissionais de saúde ou por entidades sanitárias. Esta é a base legal mais robusta para o tratamento de dados no contexto clínico intraoperatório.
Obrigação legal: o tratamento de dados necessário para cumprimento de obrigações regulatórias — como a emissão de prontuário e relatórios obrigatórios ao CFM — também tem base legal específica.
Na prática, o serviço de anestesiologia deve documentar formalmente qual base legal sustenta cada finalidade de tratamento de dados — uma exigência do princípio da responsabilização previsto na LGPD.
Consentimento informado: adequação para a LGPD
O termo de consentimento informado para anestesia já é uma exigência do CFM. A adequação para a LGPD adiciona alguns requisitos:
- Informar claramente quais dados serão coletados e com qual finalidade
- Indicar com quem os dados poderão ser compartilhados (médicos da equipe, hospital, seguradora, sistemas de saúde)
- Informar o prazo de retenção dos dados
- Garantir ao paciente o direito de acesso, correção e portabilidade dos seus dados
O ideal é integrar esses elementos ao termo de consentimento já existente, sem criar documentos adicionais que aumentem a burocracia sem acrescentar proteção real.
Responsabilidade do operador: o grupo terceirizado e a LGPD
Quando o serviço de anestesiologia é terceirizado, a relação de proteção de dados envolve dois atores: o hospital (controlador dos dados, que define a finalidade do tratamento) e o grupo de anestesiologia (operador, que trata dados em nome do controlador).
A LGPD impõe obrigações específicas para o operador, e o contrato entre hospital e grupo deve incluir cláusulas que regulem:
- As finalidades para as quais o grupo pode tratar os dados dos pacientes
- As medidas de segurança que o grupo deve adotar
- A proibição de subcontratação do tratamento de dados sem autorização prévia
- O procedimento em caso de incidente de segurança (prazo de notificação ao hospital: imediato)
- A devolução ou destruição dos dados ao fim do contrato
Hospitais que terceirizam a anestesiologia e não incluem essas cláusulas no contrato estão em desconformidade com a LGPD — e podem ser responsabilizados por eventuais violações cometidas pelo grupo operador.
Medidas técnicas e organizacionais de segurança
A LGPD exige que controladores e operadores adotem medidas técnicas e organizacionais adequadas para proteger os dados pessoais. Para o serviço de anestesiologia, as medidas mais relevantes incluem:
Controle de acesso: quem pode acessar os dados dos pacientes — fichas anestésicas, relatórios, prontuários — deve ser definido com base na necessidade de acesso para exercício da função. Anestesiologistas têm acesso aos dados de seus pacientes; não necessariamente a todos os dados de todos os pacientes do hospital.
Segurança dos sistemas: prontuários eletrônicos e sistemas de gestão do bloco que armazenam dados de anestesiologia devem ter autenticação forte, criptografia em repouso e em trânsito, e log de acesso auditável.
Treinamento da equipe: todos os profissionais que manuseiam dados de pacientes — incluindo anestesiologistas, técnicos de enfermagem e pessoal administrativo do bloco — devem receber treinamento básico sobre obrigações da LGPD.
Plano de resposta a incidentes: o hospital deve ter um procedimento documentado para o caso de violação de dados (acesso não autorizado, perda, destruição, vazamento). A LGPD exige notificação à ANPD em até 72 horas após a ciência do incidente.
Retenção e descarte de dados de anestesiologia
Dados de prontuário médico — incluindo fichas anestésicas — devem ser retidos por no mínimo 20 anos contados da data do último atendimento, conforme o CFM. Após esse prazo, o descarte deve ser feito de forma segura, com documentação do procedimento adotado.
Dados de gestão do serviço — relatórios de indicadores, escalas, registros de auditorias internas — têm prazos de retenção menores, que devem ser definidos pela política de retenção de dados da instituição.
O conflito entre o prazo de retenção do CFM (20 anos) e a minimização de dados da LGPD (manter apenas pelo tempo necessário) é resolvido pela prevalência da obrigação legal: o prazo do CFM prevalece sobre a minimização de dados para os registros clínicos.
Checklist de adequação LGPD para o serviço de anestesiologia
Para gestores que querem fazer um diagnóstico rápido do nível de conformidade do seu serviço, os itens mais críticos são:
- [ ] Mapeamento de dados: quais dados de pacientes são coletados, onde são armazenados e quem tem acesso?
- [ ] Base legal documentada para cada finalidade de tratamento
- [ ] Termo de consentimento atualizado com informações de privacidade
- [ ] Contrato com grupo terceirizado (se aplicável) com cláusulas LGPD
- [ ] Controle de acesso aos sistemas que contêm dados de anestesiologia
- [ ] Plano de resposta a incidentes documentado
- [ ] Treinamento da equipe realizado e documentado
A Pivovar Anestesiologia opera com políticas de proteção de dados alinhadas à LGPD, incluindo controle de acesso, cláusulas contratuais específicas e procedimentos documentados para resposta a incidentes. Entre em contato para discutir como estruturar a conformidade LGPD no serviço de anestesiologia da sua instituição.