Os maiores erros de LGPD em clínicas com PACS e RIS são: ausência de controle de acesso às imagens médicas, falta de criptografia no tráfego de dados e inexistência de um plano de resposta a incidentes. Esses três pontos, por si só, podem expor a clínica a multas de até 2% do faturamento bruto, limitadas a R$ 50 milhões por infração, conforme previsto na Lei nº 13.709/2018. Além disso, o custo de adequação para uma clínica de pequeno porte começa em torno de R$ 5 mil; para as de médio porte, esse valor sobe para R$ 15 mil a R$ 30 mil, considerando consultoria especializada, ajuste dos sistemas e treinamento da equipe.
Portanto, o que parece um investimento alto se mostra bastante razoável quando comparado ao risco de uma autuação. Por isso, neste artigo você vai entender exatamente onde estão as falhas mais comuns nos sistemas PACS e RIS em relação à LGPD, quais os custos reais de correção e o que fazer agora para colocar sua clínica em conformidade.
O Que São PACS e RIS e Por Que Eles Estão no Centro da LGPD na Saúde
O PACS (Picture Archiving and Communication System) é o sistema responsável por armazenar, recuperar e compartilhar imagens diagnósticas. O RIS (Radiology Information System), por sua vez, gerencia todo o fluxo administrativo e clínico de uma clínica de imagem, do agendamento à emissão de laudos.
Juntos, esses sistemas concentram um volume enorme de dados que a LGPD classifica como sensíveis: prontuários, laudos radiológicos, tomografias, ressonâncias e histórico clínico completo. Isso significa que qualquer falha neles não é apenas um problema técnico; é, também, uma infração legal com consequências reais.
Atualmente, a maioria das clínicas brasileiras usa PACS e RIS de forma integrada. Embora essa integração traga eficiência operacional, ela também amplia a superfície de risco. Pois, se um sistema estiver vulnerável, o outro também estará exposto.
Os 5 Erros Mais Comuns de LGPD em Clínicas com PACS e RIS
Ao longo de anos acompanhando a gestão de clínicas de imagem no Brasil, pude observar que os problemas se repetem com uma consistência assustadora. Não são casos isolados, são padrões estruturais que precisam ser corrigidos antes de qualquer fiscalização.
1. Acesso sem Controle de Permissões
O erro mais frequente: qualquer funcionário consegue visualizar qualquer exame. No entanto, a LGPD determina que o acesso a dados sensíveis deve ser restrito conforme a função de cada profissional. O RIS moderno permite configurar perfis de acesso individualizados, mas muitas clínicas simplesmente não ativam essa funcionalidade.
Por exemplo, um técnico de agendamento não precisa ver o laudo radiológico de um paciente. Assim, liberar esse acesso sem necessidade viola diretamente o princípio da minimização de dados previsto no art. 6º, III, da LGPD.
2. Transmissão de Imagens Sem Criptografia
Em contextos de telerradiologia, é comum que exames sejam enviados por e-mail ou aplicativos de mensagens como o WhatsApp. Embora pareça prático, esse hábito representa uma das maiores brechas de segurança. A LGPD exige que dados sensíveis trafeguem com proteção adequada, e o WhatsApp, por exemplo, não é um canal homologado para dados de pacientes.
Além disso, quando o PACS não utiliza protocolo HTTPS ou VPN para acesso remoto, qualquer interceptação de tráfego pode expor laudos e imagens de forma irreversível.
3. Ausência de Trilha de Auditoria
Saber quem acessou qual exame, em qual horário e por qual dispositivo é uma exigência implícita da LGPD, e explícita nas boas práticas de segurança da informação. Porém, muitos sistemas mais antigos simplesmente não registram logs de acesso detalhados.
Em caso de vazamento, sem essa trilha a clínica não consegue demonstrar que adotou medidas preventivas, o que agrava a penalidade aplicável pela ANPD conforme a Resolução nº 1/2021.
4. Falta de Plano de Resposta a Incidentes
A clínica sofre um ataque de ransomware. Os prontuários ficam inacessíveis por dois dias. O que fazer? Se não há um protocolo definido, a tendência é o silêncio, e o silêncio é exatamente o que a LGPD proíbe. O art. 48 da lei obriga a comunicação de incidentes à ANPD em até 3 dias úteis, conforme a Resolução CD/ANPD nº 15/2024.
Portanto, omitir um incidente não resolve o problema; ao contrário, transforma uma falha técnica em infração administrativa agravada. Um plano simples, documentado e treinado com a equipe já é suficiente para demonstrar boa-fé perante o regulador.
5. Ausência do DPO (Encarregado de Dados)
Muitas clínicas ainda acreditam que o DPO é obrigatório apenas para grandes hospitais. Isso é um equívoco com respaldo técnico importante: a ANPD entende que clínicas de saúde, independentemente do porte, tratam dados de alto risco, e, portanto, a nomeação de um encarregado é considerada obrigatória nesse contexto.
Apesar disso, o DPO não precisa ser um funcionário interno. Pode ser um profissional externo contratado por hora ou mensalidade. Em suma, o custo é menor do que a maioria dos gestores imagina.
Leia também: Erros fatais na gestão hospitalar
Quanto Pode Custar Não Se Adequar: Sanções da ANPD
A LGPD prevê um conjunto escalonado de penalidades. Confira o resumo das sanções aplicáveis conforme a gravidade da infração, de acordo com o art. 52 da Lei nº 13.709/2018:
Tipo de Sanção | Descrição | Referência |
Advertência | Prazo para correção com indicação das medidas a adotar | Art. 52, I |
Multa simples | Até 2% do faturamento bruto, limitada a R$ 50 milhões por infração | Art. 52, II |
Multa diária | Cobrança diária até que a irregularidade seja sanada | Art. 52, III |
Publicização | Divulgação pública da infração, impacto direto na reputação | Art. 52, IV |
Bloqueio de dados | Suspensão temporária do uso dos dados até regularização | Art. 52, VI |
Eliminação dos dados | Exclusão compulsória dos dados pessoais envolvidos | Art. 52, VII |
Além das multas administrativas da ANPD, a clínica ainda pode responder por ações civis de titulares prejudicados. Nos Estados Unidos, um caso de vazamento de dados médicos resultou em indenização de US$ 65 milhões para 134 mil pacientes, um número que ilustra bem o potencial de exposição quando a proteção de dados é negligenciada.
Quanto Custa Adequar uma Clínica à LGPD com Foco em PACS e RIS
Essa é a pergunta que os gestores mais fazem, e a resposta honesta é: depende do tamanho da clínica e do nível de desorganização atual. No entanto, é possível estabelecer faixas realistas com base no mercado atual.
Porte da Clínica | Investimento Estimado | O que inclui |
Pequena (1–3 médicos) | R$ 5.000 – R$ 12.000 | Consultoria básica, revisão de documentos, treinamento de equipe, DPO externo parcial |
Média (4–15 médicos) | R$ 15.000 – R$ 30.000 | Consultoria completa, adequação dos sistemas PACS/RIS, RIPD, DPO externo, política de privacidade |
Grande (acima de 15) | R$ 30.000 – R$ 80.000+ | Consultoria especializada, auditoria de sistemas, DPO interno ou dedicado, plano de continuidade de negócios |
Esses valores contemplam consultoria jurídica especializada, revisão e ajuste de sistemas, elaboração do RIPD (Relatório de Impacto à Proteção de Dados), treinamento da equipe e definição do encarregado de dados. Em comparação, uma multa de 2% sobre o faturamento de uma clínica com R$ 1 milhão ao ano seria de R$ 20 mil, sem contar os danos reputacionais.
Como Adequar Sua Clínica: 6 Passos Práticos Começando Hoje
A adequação à LGPD não acontece em um dia. Porém, é perfeitamente possível iniciar o processo de forma organizada e sem paralisar a operação da clínica. Estes são os passos que recomendo, na ordem certa:
Passo 1 - Mapeie os Dados que Circulam nos Seus Sistemas
Identifique quais dados entram, onde ficam armazenados, quem tem acesso e com quem são compartilhados. No PACS e no RIS, esse mapeamento envolve imagens, laudos, cadastros de pacientes e registros de acesso. Esse levantamento é a base de todo o processo de adequação.
Passo 2 - Configure Controles de Acesso no RIS e no PACS
Revise as permissões de cada usuário. Recepcionistas não devem acessar laudos; técnicos não devem ver histórico clínico completo. Também revogue imediatamente o acesso de funcionários desligados, isso é uma obrigação da LGPD e, apesar disso, é uma das falhas mais comuns que vejo em auditoria.
Passo 3 - Ative ou Exija Criptografia e Logs de Auditoria
Verifique se o seu fornecedor de PACS/RIS oferece criptografia em repouso e em trânsito. Bem como registros de logs por usuário. Se o sistema atual não oferece isso, é hora de renegociar o contrato ou migrar para um fornecedor adequado. Aliás, sistemas mais modernos já entregam isso como padrão.
Passo 4 - Elabore o RIPD
O Relatório de Impacto à Proteção de Dados é o documento que demonstra que você avaliou os riscos do tratamento de dados da clínica e adotou medidas para mitigá-los. Embora não seja exigido em todos os casos, o setor de saúde está enquadrado em situações de alto risco, o que torna sua elaboração fortemente recomendada.
Passo 5 - Nomeie um DPO
Mesmo que seja um profissional externo contratado por projeto ou mensalidade, o DPO precisa ser nomeado e publicado. Ele será o ponto de contato com a ANPD e com os pacientes em caso de dúvidas ou incidentes. Pois, ter esse canal identificado já demonstra maturidade regulatória.
Passo 6 - Treine a Equipe e Crie um Plano de Resposta a Incidentes
A maioria dos vazamentos de dados não vem de hackers. Vem de um funcionário que enviou um exame pelo WhatsApp ou abriu um e-mail de phishing. Portanto, o treinamento periódico da equipe é, talvez, o investimento com melhor custo-benefício em todo o processo de adequação.
LGPD Como Diferencial Competitivo, Não Apenas Como Obrigação
Em mais de duas décadas acompanhando a gestão de clínicas e serviços de saúde no Brasil, percebi uma virada de chave importante: os pacientes estão cada vez mais atentos a como seus dados são tratados. Uma clínica que comunica claramente suas políticas de privacidade e demonstra conformidade com a LGPD transmite mais confiança do que aquela que simplesmente ignora o tema.
Além disso, muitas operadoras de planos de saúde já exigem evidências de conformidade LGPD nos contratos de credenciamento. Logo, estar adequado não é apenas evitar multas, é também abrir portas comerciais que antes estavam fechadas.
Resumo: O Que Priorizar Primeiro
Ação | Prioridade | Impacto na Conformidade |
Controle de acesso RIS/PACS | Alta | Reduz risco de acesso indevido e viola princípio da minimização |
Criptografia e logs | Alta | Protege dados em trânsito e permite auditoria de acessos |
Plano de resposta a incidentes | Alta | Evita agravamento de penalidades em caso de vazamento |
Nomeação do DPO | Média-Alta | Exigida pelo contexto de alto risco do setor de saúde |
Elaboração do RIPD | Média | Documenta avaliação de riscos e medidas adotadas |
Treinamento da equipe | Contínua | Principal barreira contra erros humanos e incidentes internos |
Conclusão
A LGPD chegou ao setor de saúde com força total, e os sistemas PACS e RIS estão exatamente no centro dessa exigência, pois concentram os dados mais sensíveis que uma clínica pode ter. Os erros mais comuns, como acesso livre, falta de criptografia e ausência de plano de incidentes, são também os mais caros quando se materializam em multa ou vazamento.
Portanto, adequar-se não é opção; é estratégia de sobrevivência e de credibilidade. Felizmente, o caminho está bem mapeado: começa pelo mapeamento dos dados, passa pela configuração dos sistemas e se consolida com treinamento e governança contínua. Em suma, quem começa hoje já está um passo à frente dos concorrentes que ainda estão adiando essa conversa.
