Dado de paciente é dado sensível pela LGPD?

Sim. Dados sobre saúde são classificados como dados pessoais sensíveis pela LGPD (art. 5º, II), com exigências mais rígidas de base legal, finalidade e segurança. Isso vale para conversas no WhatsApp que mencionem sintomas, procedimentos ou histórico.

Onde ficam os dados quando uso um agente de IA na clínica?

Depende do fornecedor. Muitas ferramentas SaaS rodam em nuvem pública e podem trafegar dados por servidores fora do Brasil. O ideal para dado de saúde é infraestrutura própria, hospedada no Brasil, com acesso controlado e contrato (DPA) claro.

O que perguntar para o fornecedor antes de contratar?

Onde os dados são armazenados (país e provedor), quem tem acesso, se há contrato de tratamento de dados (DPA), como é feita a exclusão a pedido do titular e se as conversas são usadas para treinar modelos de terceiros.

// segurança

ia para clínica e lgpd: onde os dados ficam.

um agente de ia no whatsapp da clínica conversa sobre sintomas, procedimentos e histórico — ou seja, lida com dado de paciente. e dado de saúde é dado sensível pela lgpd. antes de escolher a ferramenta mais barata, vale entender uma pergunta simples: onde esses dados ficam?

por que dado de paciente é caso à parte

a lgpd classifica dado sobre saúde como dado pessoal sensível (art. 5º, II). na prática, isso significa base legal mais rígida, finalidade específica e um dever maior de segurança. uma conversa de whatsapp em que o paciente descreve um sintoma já entra nessa categoria — mesmo que pareça "só uma mensagem".

o problema da ferramenta barata em nuvem pública

boa parte das ferramentas de chatbot roda em nuvem pública e pode trafegar ou armazenar dados em servidores fora do brasil — às vezes usando as conversas para treinar modelos de terceiros. não é ilegal por si só, mas aumenta a superfície de risco e o trabalho de conformidade. para uma clínica, é o tipo de detalhe que ninguém olha até dar problema.

o que perguntar antes de contratar

onde os dados são armazenados? (país e provedor)
quem tem acesso às conversas — e como esse acesso é controlado?
existe contrato de tratamento de dados (DPA) por escrito?
como funciona a exclusão a pedido do paciente (titular)?
as conversas são usadas para treinar modelos de terceiros?

se o fornecedor enrola em qualquer uma dessas, é um sinal.

por que infraestrutura própria no brasil importa

quando a infra é própria e hospedada no brasil, os dados não saem do perímetro do fornecedor, o acesso é controlado e a conformidade fica mais simples de demonstrar. é a diferença entre "confiar que a nuvem de terceiros está ok" e saber onde o dado está. na noovicrew, isso é lgpd por desenho: servidor dedicado próprio no brasil, sem nuvem pública terceirizada, com as conversas do seu paciente ficando onde deveriam — com você.

// próximo passo

quer um agente que atende bem e mantém o dado do paciente no lugar certo? no diagnóstico gratuito a gente explica exatamente como isso funciona na sua clínica.

// agendar diagnóstico gratuito

← voltar pro blog · veja também: agente de ia para clínica: o que é e quanto custa