Em poucas linhas, o que este artigo responde
Dado de saúde é categoria sensível (art. 11 da LGPD) — exige base legal específica.
Para laboratórios clínicos, a base legal usual é 'tutela da saúde' (art. 11, II, f) — não consentimento.
Qual base legal usar
A LGPD trata dado de saúde como categoria sensível (art. 5º, II e art. 11). Para tratar esse dado, é preciso uma das hipóteses do art. 11. A maioria dos laboratórios clínicos usa "tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária" (art. 11, II, f) — não consentimento.
Por quê? Porque consentimento pode ser revogado e o laboratório precisa manter o laudo por décadas (CFM 1.821/2007 e normas sanitárias). Apoiar a operação inteira em consentimento cria fragilidade jurídica.
Consentimento é usado para finalidades acessórias: marketing, pesquisa científica não amparada por anonimização, envio de comunicação não essencial.
Prazo de retenção de dados
| Dado | Prazo mínimo | Origem |
|---|---|---|
| Laudo de exame | 20 anos | CFM 1.821/2007, art. 6º |
| Imagem/foto de lâmina e gel | 5 anos | Prática consolidada do setor |
| Dados de faturamento TISS | 5 anos | Decreto 6.022/2007 (SPED) + ANS |
| Trilha de acesso ao sistema | 6 meses | Marco Civil da Internet |
Importante: o prazo de retenção do laudo se aplica ao laudo. Dados acessórios (telefone, e-mail, endereço) podem ter prazo menor se você documentar isso na política.
Direitos do titular — o que aceitar e o que recusar
- Acesso e portabilidade: sempre aceitar — entregar cópia do laudo em formato legível em até 15 dias.
- Retificação: aceitar para dados cadastrais; para dados clínicos, exige revisão técnica do RT.
- Exclusão: recusar enquanto vigente a obrigação legal de retenção. Comunicar ao titular a base legal da recusa.
- Revogação de consentimento: aceitar para finalidades acessórias (marketing); manter as essenciais (tutela da saúde).
DPO, RIPD e ANPD
Toda operação que trata dados sensíveis em escala precisa de um Encarregado (DPO) com contato público. Não precisa ser dedicado — pode ser função acumulada — desde que tenha autonomia e conhecimento.
O RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é exigível quando há tratamento de alto risco. Laboratório clínico se enquadra. O RIPD descreve fluxo de dados, base legal, riscos e mitigações — é o documento que a ANPD pede primeiro em fiscalização.
Checklist mínimo de adequação
- Política de Privacidade publicada e linkada nos formulários de coleta.
- Termo de uso para portal do paciente e app.
- Encarregado (DPO) nomeado com e-mail público.
- RIPD assinado pela liderança.
- Contrato com operadores (LIS, cloud, terceirizados) com cláusulas LGPD.
- Trilha de auditoria de acesso aos resultados.
- Plano de resposta a incidentes de segurança.
- Treinamento anual da equipe.
Quer estruturar a qualidade do seu laboratório?
Agende uma demonstração do Labix e veja como evidenciar conformidade com RDC 786/978, PALC e ONA em um único painel auditável.