LGPD em saúde corporativa: o que muda para o RH

Quando uma empresa contrata um plano de saúde coletivo, ela passa a tratar uma das categorias mais sensíveis de dados pessoais previstas em lei: dados sobre a saúde dos colaboradores e dependentes. A LGPD (Lei 13.709/2018) não veio mudar isso — veio formalizar obrigações que muitas vezes não eram cumpridas.

Este guia é objetivo: o que muda na prática para o RH e o jurídico interno, sem teoria desnecessária.

O que a LGPD considera "dado sensível"

O artigo 5º, inciso II da LGPD lista dados pessoais sensíveis. Em saúde corporativa, são tratados quase todos:

• Dados sobre a saúde (diagnósticos, exames, internações, tratamentos)
• Dados sobre vida sexual ou orientação sexual (em alguns programas de saúde)
• Dados biométricos (em telemedicina ou wearables vinculados ao plano)
• Dados genéticos (em programas preventivos avançados)

Quem é responsável pelo quê

No fluxo de plano de saúde empresarial, três figuras coexistem com responsabilidades diferentes:

• A empresa contratante é controladora dos dados dos colaboradores. Define finalidade e meios do tratamento.
• A operadora é controladora dos dados clínicos do beneficiário (a partir do momento que o cuidado é prestado).
• A corretora/consultoria é operadora dos dados — trata em nome da empresa contratante, sob contrato.

Essa distinção define quem responde por quê em caso de incidente. Por isso o contrato com a corretora deve explicitar o papel — DPA (Data Processing Agreement) é boa prática, mesmo que ainda não seja exigência expressa da ANPD.

Bases legais aplicáveis

A LGPD lista 10 bases legais para tratamento de dados pessoais (art. 7º) e 8 para dados sensíveis (art. 11). Em saúde corporativa, as três que importam:

1. Cumprimento de obrigação legal/regulatória

A empresa precisa coletar dados para cumprir CLT, NR-7, eSocial, declarações à ANS. Não exige consentimento, mas exige finalidade explícita.

2. Execução de contrato

O plano de saúde é benefício contratual. O tratamento dos dados necessários para inclusão na operadora é parte da execução do contrato. Também não exige consentimento — mas a finalidade tem que ser clara no contrato de trabalho ou em política de benefícios anexa.

3. Tutela da saúde

O art. 11, II, "f" da LGPD permite tratamento de dados sensíveis para tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. A redação é estreita — e isso importa.

Em programas corporativos, a base legal precisa ser definida caso a caso. Navegação clínica, telemedicina e acompanhamento assistencial conduzidos por profissionais de saúde podem se apoiar nessa hipótese. Já ações de bem-estar genérico, pesquisa interna ou comunicação de RH frequentemente exigem outra base legal (consentimento ou legítimo interesse com avaliação prévia) e governança própria.

Cinco obrigações práticas do RH

1. Documentar finalidade explícita do tratamento — colaborador precisa saber por que aqueles dados estão sendo coletados.
2. Garantir acesso apenas a quem precisa — princípio de minimização. Não basta ter senha do sistema, precisa ter justificativa funcional.
3. Manter registros de tratamento — quem acessou, quando, para quê. A ANPD pode pedir essa rastreabilidade em fiscalização.
4. Responder solicitações de titulares — colaborador tem direito de saber quais dados são tratados, pedir correção e, em casos específicos, eliminação. Confirmação ou acesso simplificado deve ser imediato; declaração completa em até 15 dias (art. 19 da LGPD).
5. Comunicar incidentes em prazo razoável — vazamento ou acesso indevido precisa ser comunicado à ANPD e aos titulares afetados.

Documentos que precisam existir

Esses são os documentos mínimos de conformidade que recomendamos para empresas com plano coletivo acima de 30 vidas:

• Política de Privacidade interna — escopo geral do tratamento de dados de colaboradores.
• Aviso específico de saúde corporativa — anexo na política ou documento separado, explicando o ciclo do dado do plano.
• Contrato com a corretora/consultoria com cláusula de proteção de dados ou DPA separado.
• Contrato com a operadora revisado pós-LGPD — operadoras grandes têm padrão; conferir alinhamento.
• Registro das Operações de Tratamento (também chamado RoPA, do inglês Record of Processing Activities) — exigido pelo art. 37 da LGPD.
• Designação formal do Encarregado (DPO) — regra geral é indicar; agentes de pequeno porte têm exceções regulatórias, mas tratamento de dados sensíveis em saúde pede cuidado extra independente do porte.

Riscos de não cumprir

A ANPD começou a aplicar sanções de forma mais estruturada a partir de 2023. Em saúde, os riscos têm três naturezas:

• Sanção administrativa — multa de até 2% do faturamento, limitada a R$ 50 milhões por infração.
• Sanção judicial — ação de titulares lesados, individual ou coletiva, pode gerar indenização proporcional ao dano.
• Sanção reputacional — incidentes com dados de saúde têm peso noticioso amplificado. O impacto comercial costuma superar o financeiro direto.

O ponto-chave para o RH

Conformidade LGPD em saúde corporativa não é projeto pontual — é prática contínua. A maturidade se constrói em três frentes: documentação ativa (não em PDF arquivado), governança trimestral entre RH e jurídico, e contratação consultiva que carregue parte dessa responsabilidade junto.

Quando a empresa contrata uma corretora ou consultoria, é razoável perguntar: como você trata os dados que recebe da minha carteira? Existe DPA? Quem tem acesso? Qual o prazo de retenção? Essas perguntas separam fornecedor de parceiro técnico.