Prontuário Eletrônico e WhatsApp: Onde mora o perigo da LGPD na sua operação hoje?

A digitalização da saúde evoluiu mais rápido do que a capacidade das instituições de criarem barreiras de proteção. Não existe mais “perímetro de segurança”: hoje, os riscos não estão no servidor — estão no bolso do colaborador, nas trocas de mensagens, nas senhas compartilhadas e nos atalhos da rotina.

Esse é o cenário que hospitais, clínicas e laboratórios precisam enfrentar no final de 2025 e início de 2026. A dúvida já não é se haverá incidentes, mas onde eles surgirão primeiro.

Neste artigo, vamos direto aos dois maiores pontos cegos da LGPD hoje dentro das instituições de saúde.

1. A “cultura do print” e o WhatsApp: o inimigo que ninguém percebe

A cena é conhecida: um residente fotografa um exame com o nome do paciente, envia no grupo da equipe, pede opinião rápida do colega de plantão e a vida segue.

Só que, do ponto de vista da LGPD, é exatamente ali que mora o risco crítico. Porque o WhatsApp comum não é uma ferramenta homologada para troca de dados sensíveis, e a ANPD já classificou instituições de saúde como atividades de alto risco.

Isso significa que se o celular for roubado, se o grupo for compartilhado sem querer, se alguém fizer backup automático no iCloud ou Google Drive, o vazamento é caracterizado imediatamente, e a instituição pode ser responsabilizada — mesmo que a intenção tenha sido “só agilizar o caso”.

E não é exagero: esse é o tipo de incidente que não costuma vir da TI, mas dos grupos de WhatsApp da recepção, da enfermagem e da equipe médica.

O caminho de Compliance:

O ideal é instituir:

✔ plataformas corporativas de comunicação (criptografadas, auditáveis e com controle de acesso)

✔ política clara proibindo o envio de dados identificáveis em aplicativos pessoais

✔ anonimização obrigatória nas trocas informais

O problema é real, mas a solução é possível — desde que exista regra, treinamento e monitoramento.

2. Prontuário Eletrônico e o velho hábito de compartilhar senhas

O segundo ponto cego é tão comum quanto preocupante: múltiplas pessoas usando a mesma senha para acessar o PEP.

Muitas clínicas fazem isso para “economizar” licenças, mas o barato aqui sai muito, muito caro.

Quando vários colaboradores usam o mesmo login:

• não há rastreio individual

• qualquer exclusão, edição ou exportação fica sem autoria

• o hospital não consegue provar quem fez o quê

• a responsabilidade recai integralmente sobre a instituição

E pior: sistemas sem autenticação multifator (MFA) viram alvos fáceis de ataques ransomware e acesso indevido por engenharia social. Em um ambiente onde o prontuário é a espinha dorsal da operação, não controlar acesso é praticamente um convite à responsabilização jurídica.

Nesse caso, para garantir, é importante:

✔ login individual

✔ MFA obrigatório

✔ trilhas de auditoria ativas

✔ política de gestão de identidade e acessos

✔ revisão periódica da base de usuários

Rastreabilidade é autopreservação.

3. O que dizem a ANPD e os Conselhos?

A ANPD vem intensificando fiscalizações no setor de saúde. Multas de até 2% do faturamento assustam, claro. Mas o maior dano não é financeiro. O maior dano é reputacional.

Quando um paciente descobre que seus dados foram expostos, não existe retrabalho que recupere a confiança perdida. Em saúde, confiança é capital. Conselhos profissionais (CFM, COFEN, CFO, etc.) também reforçam: dados clínicos são extensão da dignidade do paciente. Vazamento é falha ética, falha técnica e falha institucional.

Conclusão: Segurança da Informação não é apenas coisa da TI, também deve envolver o Compliance.

A rotina da saúde exige agilidade, mas agilidade não pode atropelar governança. Para 2025 e 2026, a pauta é clara: treinar, revisar processos, controlar acessos e eliminar improvisos.

E lembre-se: treinar sua equipe custa menos do que lidar com um vazamento. Muito menos.

Se sua instituição precisa revisar políticas, atualizar processos, treinar equipes ou fazer um diagnóstico completo de riscos de LGPD, segurança da informação e processos operacionais, nós ajudamos.

Agende uma reunião gratuita para entender qual é o nível real de risco da sua operação e o que precisa ser cuidado antes que vire incidente: