* Maria Thereza Henriques
Introdução
Poucos setores avançaram tanto na digitalização nos últimos anos — e se tornaram alvo de tantos ataques — quanto o setor de saúde. A transformação digital trouxe ganhos significativos em eficiência e acesso aos serviços, mas também expôs vulnerabilidades críticas. Um relatório publicado em março de 2023 revelou que o custo médio de uma violação de dados no mercado em geral é de US$ 4,45 milhões. No setor da saúde, porém, esse número mais que dobra: os prejuízos médios chegam a US$ 10,93 milhões, sendo os mais altos entre todos os setores analisados.
A mesma pesquisa aponta que o tempo médio para detectar e conter uma violação é de 291 dias — número que, na saúde, é ainda maior: são necessários, em média, 310 dias. A complexidade das aplicações clínicas e administrativas, muitas vezes integradas a sistemas legados e operando em diferentes ambientes, contribui para esse cenário.
Além dos crescentes riscos cibernéticos, o avanço da consolidação no setor de saúde brasileiro impõe desafios adicionais de grande complexidade. Entre 2003 e 2023, foram contabilizadas 817 operações de fusões e aquisições, exigindo a integração de sistemas diversos e frequentemente incompatíveis. Um exemplo emblemático é a fusão entre a Rede D’Or e a SulAmérica, que resultou em um negócio avaliado em aproximadamente R$ 16 bilhões. Integrações dessa magnitude, distribuídas por diferentes Estados, exigem atenção redobrada à interoperabilidade dos sistemas e à segurança da informação.
De acordo com dados do Check Point Research1, somente no segundo trimestre de 2024, o Brasil registrou mais de 1.600 tentativas semanais de ataques cibernéticos — um aumento de 67% em relação ao mesmo período de 2023. No contexto da saúde, as consequências são ainda mais graves: a perda de um dado não representa apenas um impacto financeiro ou operacional, mas pode significar, literalmente, a perda de uma vida.
Nesse contexto, garantir a proteção dos dados sensíveis dos pacientes não é apenas uma obrigação legal — é também um ativo competitivo. A confiança do público depende da solidez das práticas de segurança e da aderência a normas rigorosas. Por isso, regulamentações como a LGPD, no Brasil, e a HIPAA, nos Estados Unidos, tornam-se referência para empresas que buscam operar com excelência e conformidade.
Esse olhar ganha ainda mais relevância diante do crescente número de healthtechs brasileiras com ambições internacionais. Entender as exigências legais de mercados como o norte-americano e compará-las com o que já é exigido por aqui é essencial para startups e empresas que pretendem crescer globalmente — seja por meio de exportação de tecnologia, captação de investimentos ou internacionalização direta de suas operações.
Neste artigo, exploramos os principais pontos da HIPAA, seus paralelos e diferenças em relação à LGPD, e por que as healthtechs brasileiras devem se preparar desde já para adotar padrões internacionais de proteção de dados em saúde.
O que é a HIPAA?
A HIPAA (Health Insurance Portability and Accountability Act) é uma legislação norte-americana criada em 1996 com o objetivo principal de proteger a privacidade e a segurança das informações de saúde dos pacientes. Embora seu nome remeta originalmente à portabilidade e continuidade dos planos de saúde, a norma ganhou força e visibilidade especialmente por suas diretrizes de segurança da informação — principalmente após uma série de ataques cibernéticos a hospitais e clínicas nos Estados Unidos, que expuseram dados sigilosos e causaram prejuízos financeiros e reputacionais severos.
A HIPAA estabelece um conjunto de requisitos técnicos, administrativos e físicos que devem ser seguidos por entidades de saúde e seus parceiros (covered entities e business associates). Isso inclui desde clínicas e operadoras de planos até empresas de tecnologia que processam ou armazenam dados médicos. O objetivo é garantir a confidencialidade, integridade e disponibilidade das chamadas PHI – Protected Health Information, ou seja, todas as informações que permitam identificar uma pessoa e estejam relacionadas à sua saúde, diagnóstico, tratamento ou pagamento por serviços médicos.
Embora a HIPAA não tenha aplicação obrigatória no Brasil, ela traz conceitos compatíveis com a Lei Geral de Proteção de Dados (LGPD), especialmente no que se refere à proteção de dados sensíveis, tais como os dados de saúde. Mais do que isso, seguir as boas práticas da HIPAA pode ser um diferencial competitivo relevante para healthtechs brasileiras que lidam com informações médicas e desejam se posicionar com maior maturidade e confiabilidade no mercado — seja nacional ou internacional.
Para implementar a conformidade com a HIPAA, no entanto, é necessário um esforço estratégico e técnico: exige-se uma análise crítica sobre o porte e a complexidade da instituição de saúde, a infraestrutura tecnológica disponível (hardware, software, redes), os custos de adequação, bem como o monitoramento ativo de vulnerabilidades. A partir dessa avaliação, podem ser definidos elementos como o firewall mais adequado, antivírus e antimalware eficientes, políticas de acesso segmentadas e monitoramento de data centers.
Assim, em um cenário de ataques cibernéticos cada vez mais frequentes e sofisticados, normas como a HIPAA funcionam como uma camada adicional de defesa contra invasões e vazamentos, permitindo não apenas o cumprimento de exigências legais em determinados mercados, mas também a proteção da reputação da empresa e da qualidade dos serviços prestados à população.
A LGPD e os dados de saúde
No Brasil, a proteção de dados pessoais ganhou novo patamar com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018). Inspirada em regulamentações internacionais como o GDPR europeu e convergente com diretrizes como a HIPAA norte-americana, a LGPD classifica informações sobre a saúde do indivíduo como dados pessoais sensíveis — exigindo bases legais específicas para seu tratamento e cuidados reforçados com a sua segurança.
A crescente digitalização do setor de saúde brasileiro — com o uso de prontuários eletrônicos, plataformas de telemedicina e soluções baseadas em nuvem — trouxe avanços importantes, mas também expôs o ecossistema a riscos cibernéticos sem precedentes. Como resposta, entidades e empresas têm buscado alinhar-se não só à LGPD, mas também a normas como a HIPAA, adotando um padrão mais alto de conformidade e segurança da informação.
Uma das vantagens da HIPAA é justamente sua especificidade técnica: ela vai além dos princípios gerais e define um conjunto detalhado de medidas práticas de proteção, organizadas em categorias como:
- Garantias Administrativas (Rule §164.308): exige a nomeação de responsáveis por segurança da informação, políticas de acesso e controle de incidentes;
- Garantias Físicas (Rule §164.310): abrange proteção física de servidores, redes e dispositivos, com medidas como controle de entrada/saída e mapeamento de acessos;
- Garantias Técnicas (Rule §164.312): inclui autenticação forte, criptografia de dados e limitação de acesso por credenciais, dispositivos e perfis;
- Documentação e Procedimentos (Rule §164.316): obriga a formalização de políticas, relatórios e evidências de conformidade;
- Notificação de Violação (Rules §§164.404–410): determina protocolos claros de resposta a incidentes e comunicação transparente sobre violações.
A LGPD, embora não detalhe essas exigências de forma tão granular, exige que o controlador e o operador dos dados pessoais adotem medidas técnicas e administrativas aptas a proteger os dados tratados contra acessos não autorizados e situações acidentais ou ilícitas. Assim, a adoção das diretrizes da HIPAA pode servir como guia para o cumprimento das obrigações gerais da LGPD, especialmente no setor da saúde, que lida com dados sensíveis e alta exposição a riscos.
Nesse cenário, soluções tecnológicas como Inteligência Artificial (IA) e automação têm se tornado grandes aliadas da conformidade e da segurança. Healthtechs e instituições de saúde que adotaram plataformas avançadas de NDR (Network Detection and Response) e Next-Generation Firewalls (NGFW) com recursos de IA conseguiram, segundo estudo da IBM, reduzir os custos de vazamentos em até US$ 850 mil em comparação com a média global.
Um exemplo vem do DCRO, um dos maiores centros médicos da Polônia, que implementou IA para detectar padrões de ataque em tempo real e automatizar respostas contra ameaças. A iniciativa elevou o nível de proteção da instituição como um todo, mostrando como a inteligência artificial pode ser decisiva na defesa de dados sensíveis, inclusive em contextos de regulamentação como a HIPAA e a LGPD.
À medida que dados de pacientes continuam sendo altamente valorizados na dark web, o alinhamento simultâneo à LGPD e à HIPAA — somado à modernização da infraestrutura com IA — pode ser a chave para fortalecer o setor de saúde brasileiro, mitigar riscos e abrir portas para uma atuação mais segura e global.
Semelhanças entre HIPAA e LGPD
Embora a HIPAA seja uma norma norte-americana e a LGPD tenha sido criada para reger o tratamento de dados pessoais no Brasil, as duas regulamentações compartilham valores e objetivos fundamentais no que diz respeito à proteção das informações de saúde. Ambas têm como foco principal a preservação da privacidade, integridade e segurança dos dados pessoais, e convergem nos princípios que orientam o tratamento adequado dessas informações pelas organizações.
Na prática, estar em conformidade com a HIPAA auxilia instituições de saúde brasileiras a atenderem a diversos preceitos da LGPD, uma vez que os requisitos estabelecidos pela norma americana são, em muitos casos, mais específicos e detalhados — especialmente no que se refere à infraestrutura técnica. Enquanto a LGPD apresenta diretrizes mais principiológicas e generalistas, a HIPAA aprofunda aspectos operacionais e estruturais que contribuem para a efetiva implementação das boas práticas de segurança da informação.
Ambas as normas reconhecem o valor dos dados sensíveis e exigem que as empresas adotem medidas robustas de proteção. Entre os pontos em comum entre a HIPAA e a LGPD, destacam-se:
- Confidencialidade, integridade e disponibilidade dos dados como pilares da segurança da informação;
- Obrigação de prevenir acessos não autorizados, vazamentos e outros incidentes de segurança;
- Importância da gestão de riscos e da análise de vulnerabilidades como ferramenta estratégica de proteção;
- Responsabilização das instituições que tratam dados de forma direta ou indireta; e
- Transparência e prestação de contas quanto às políticas adotadas para proteção e uso dos dados.
Essa convergência faz com que muitas organizações brasileiras busquem o alinhamento simultâneo à LGPD e à HIPAA, especialmente aquelas que desejam ser reconhecidas por sua maturidade em segurança da informação. A conformidade com a HIPAA — ainda que não obrigatória no Brasil — é vista como um selo informal de excelência internacional, reforçando a credibilidade da instituição no ecossistema de saúde.
É importante ressaltar, contudo, que não existe uma “certificação HIPAA” oficial no Brasil. O que se busca, na verdade, é a adequação às diretrizes da norma, por meio da implementação de controles, políticas e práticas que reforcem a segurança dos dados de saúde. Ferramentas como firewalls, antivírus, autenticação reforçada, criptografia e sistemas de prevenção de intrusões são parte fundamental desse processo.
Para facilitar essa jornada, algumas empresas oferecem projetos estruturados de avaliação — como o HIPAA Compliance Assessment, que atua como um diagnóstico técnico da infraestrutura da instituição de saúde. Nessa avaliação, são analisados elementos como:
- Segurança física dos data centers;
- Controles de acesso lógico;
- Políticas e documentação de segurança;
- Presença de soluções de firewall e rede;
- Mecanismos de detecção e resposta a intrusões; e
- Prevenção contra softwares maliciosos.
Assim, além de apoiar a conformidade com a LGPD, a adequação aos parâmetros da HIPAA representa uma evolução da governança e da maturidade digital da instituição, contribuindo diretamente para a proteção dos pacientes e para a sustentabilidade do negócio em um setor cada vez mais visado por cibercriminosos.
Diferenças principais
Apesar das muitas convergências entre a HIPAA e a LGPD, é fundamental compreender que se trata de normas com escopos distintos, criadas em países diferentes e com níveis variados de detalhamento técnico. Enquanto a LGPD é uma lei geral, aplicável a todos os setores da economia brasileira que tratem dados pessoais, a HIPAA tem foco exclusivo no setor de saúde norte-americano, sendo mais específica e técnica nas exigências voltadas à proteção de informações médicas.
Na prática, isso significa que a HIPAA funciona como um complemento técnico valioso para instituições brasileiras que desejam não apenas estar em conformidade com a LGPD, mas também adotar padrões internacionais mais robustos, especialmente se tiverem planos de internacionalização ou atuação junto a parceiros dos Estados Unidos.
Abaixo, destacamos algumas das principais diferenças entre as duas normas:
| Aspecto | HIPAA (EUA) | LGPD (Brasil) |
| Escopo | Específica para o setor da saúde | Abrangente, aplica-se a todos os setores que tratam dados pessoais |
| Jurisdição | Lei federal norte-americana | Lei federal brasileira |
| Tipo de dado protegido | PHI – Protected Health Information (informações identificáveis de saúde) | Dados pessoais e dados pessoais sensíveis (incluindo saúde, biometria, etc.) |
| Base legal para tratamento | Limitada e focada na necessidade do serviço de saúde | Diversificada (consentimento, obrigação legal, tutela da saúde, etc.) |
| Exigência técnica | Altamente específica: requer controles físicos, lógicos e administrativos detalhados | Princípios gerais com menor nível de detalhamento técnico |
| Requisitos de documentação | Exige políticas formais, relatórios e planos de resposta a incidentes | Exige registro das operações e relatório de impacto em alguns casos |
| Notificação de incidentes | Obrigatória com prazos definidos (máximo de 60 dias) | Obrigatória, com norma geral de 3 dias úteis |
| Sanções | Multas civis e criminais, inclusive por violação negligente | Multas administrativas (até 2% do faturamento limitado a R$ 50 milhões por infração) e possibilidade de indenizações por dano moral |
Enquanto a LGPD dá maior liberdade para o controlador de dados definir quais medidas adotar com base em risco e proporcionalidade, a HIPAA impõe obrigações objetivas e estruturadas, exigindo um comprometimento institucional com políticas de segurança da informação, controle de acesso, proteção física dos ambientes e resposta a incidentes.
Portanto, para healthtechs brasileiras e instituições de saúde que desejam operar em padrão de excelência, observar os requisitos da HIPAA pode representar não apenas uma vantagem competitiva, mas também um forte diferencial reputacional, abrindo portas para negociações internacionais e parcerias com players globais.
Por que healthtechs brasileiras devem se preocupar com a HIPAA?
Mesmo sem obrigatoriedade legal no Brasil, seguir normas bem estruturadas e reconhecidas internacionalmente, como a HIPAA, é uma prática estratégica para qualquer empresa que atua com dados sensíveis — especialmente em um setor tão exposto quanto o da saúde. Assim como muitos negócios brasileiros se anteciparam à LGPD adotando as diretrizes da GDPR europeia, alinhar-se à HIPAA pode preparar healthtechs para operar com segurança, maturidade e diferencial competitivo, inclusive em cenários de internacionalização.
A HIPAA fornece parâmetros técnicos claros para o desenvolvimento seguro de soluções digitais, promovendo uma cultura de proteção de dados que vai além do básico exigido pela lei. Mesmo que a LGPD hoje ofereça um arcabouço sólido, seus princípios — como visibilidade, controle e transparência — ganham força quando sustentados por práticas objetivas e tecnicamente estruturadas, como as previstas na legislação norte-americana.
A adoção de boas práticas inspiradas na HIPAA pode gerar ganhos significativos para as healthtechs brasileiras. Entre elas, destacam-se:
- Fortalecimento da conformidade com a LGPD
A LGPD exige que as empresas adotem medidas técnicas e administrativas adequadas à proteção dos dados pessoais. Ao seguir os preceitos da HIPAA, a healthtech avança na direção certa, reforçando sua capacidade de cumprir não apenas a lei brasileira, mas também de atender a padrões internacionais, o que é especialmente útil em projetos com operadoras, hospitais ou parceiros estrangeiros.
- Aprimoramento da infraestrutura de dados
Tanto a LGPD quanto a HIPAA exigem que o armazenamento, o tratamento e a transmissão dos dados ocorram em ambientes seguros e bem gerenciados. Isso implica, por exemplo, revisar a atual estrutura de TI da empresa e avaliar se ela está preparada para lidar com o volume e a sensibilidade dos dados tratados. Tecnologias como ERP, soluções em nuvem e ferramentas de segurança de rede podem ser cruciais nesse processo.
- Investimento em autenticação e controle de acessos
Com a digitalização de prontuários, exames, contratos e demais documentos sensíveis, o controle sobre quem acessa e compartilha essas informações é fundamental. Soluções como assinaturas eletrônicas, autenticação em múltiplos fatores e registros de logs de acesso ajudam a garantir a integridade, rastreabilidade e confiabilidade dos dados.
- Monitoramento e prevenção de vazamentos
Boa parte das violações de dados ocorre durante a operação cotidiana dos sistemas, muitas vezes por engenharia social ou falhas humanas. Por isso, o monitoramento contínuo do uso das informações, políticas de acesso baseadas em perfil, e o treinamento frequente da equipe são ações altamente recomendadas tanto pela HIPAA quanto pelas melhores práticas de segurança.
Em resumo, a HIPAA representa mais do que uma norma estrangeira: ela é um guia técnico valioso para healthtechs brasileiras que desejam estruturar seus processos de forma segura, escalar com responsabilidade e demonstrar alto nível de governança digital.
Adotar suas diretrizes — mesmo sem obrigação formal no Brasil — pode ser o diferencial necessário para conquistar a confiança do mercado, ampliar a atuação internacional e garantir que a transformação digital aconteça sem criar novas brechas de risco.
Conclusão
A transformação digital do setor de saúde no Brasil trouxe ganhos inegáveis em eficiência, inovação e acesso. Mas também impôs desafios sérios em relação à proteção de dados sensíveis. A adoção da LGPD foi um passo essencial nesse processo, e hoje, cada vez mais, as organizações buscam se alinhar também a normas como a HIPAA, que oferecem diretrizes técnicas mais aprofundadas e reconhecidas internacionalmente.
Como vimos ao longo deste artigo, HIPAA e LGPD compartilham valores essenciais, como a confidencialidade, a integridade e a disponibilidade das informações. Mas enquanto a LGPD estabelece os princípios, a HIPAA entrega o “como fazer” — com requisitos claros sobre infraestrutura, controle de acesso, resposta a incidentes e monitoramento contínuo. As duas normas, quando aplicadas de forma complementar, ajudam as healthtechs a elevar seu padrão de governança e segurança da informação.
Para healthtechs brasileiras, essa adequação é mais do que uma formalidade: é uma oportunidade estratégica. Estar em conformidade com a HIPAA pode abrir portas para parcerias internacionais, investimentos, fusões e expansão para mercados mais exigentes. Além disso, oferece segurança jurídica e reputacional, reduzindo riscos operacionais e financeiros.
Além do atendimento às exigências legais e técnicas trazidas pela LGPD e por referenciais internacionais como a HIPAA, é fundamental destacar que toda a governança de dados em saúde se materializa, na prática, por meio de uma Política de Privacidade bem estruturada. É esse documento que traduz, de forma clara e transparente, como os dados pessoais e sensíveis dos pacientes são coletados, utilizados, armazenados, compartilhados e protegidos ao longo do ciclo de vida da informação. Para healthtechs — especialmente aquelas em processo de crescimento ou internacionalização — a Política de Privacidade deixa de ser um mero requisito formal e passa a ser um instrumento estratégico de compliance, mitigação de riscos e construção de confiança com usuários, parceiros e investidores. Esse tema é aprofundado no artigo “Política de Privacidade na Prática: Como estruturar para a sua plataforma”, que aborda os principais cuidados jurídicos na elaboração de Políticas de Privacidade para startups e empresas de base tecnológica.
A recomendação é clara: Invista na avaliação da sua estrutura de dados, implemente boas práticas de segurança, treine seu time e documente tudo. Se sua empresa atua com dados de saúde — mesmo que exclusivamente no Brasil — seguir os parâmetros da HIPAA é um passo natural rumo à maturidade digital. O Caputo Duarte Advogados é especializado em proteção de dados e assessoria jurídica para empresas de base tecnológica e healthtechs. Oferecemos suporte completo para adequação à LGPD, análise contratual com parceiros internacionais, elaboração de políticas internas de segurança, além de orientação estratégica para projetos de internacionalização, confira nossos artigos sobre!
*Maria Thereza Henriques, advogada júnior no Caputo Duarte Advogados Associados, assessoria empresarial full service com ênfase em Startups e Estúdios de Games. Bacharela em Direito pela Universidade Federal da Paraíba (UFPB), Pós Graduanda em Direito Privado, Tecnologia e Inovação pela Escola Brasileira de Direito (EBRADI).
Referências
Cibersegurança na Saúde: como a norma americana HIPAA pode ajudar. Medicina S/A, publicado em 18 de setembro de 2024. Disponível em: https://medicinasa.com.br/norma-hipaa. Acesso em: 19 jun. 2025.
EQUIPE DE CONTEÚDO FLOWTI. HIPAA: o que é e porque seguir este modelo? Flowti Blog, publicado em 03 de agosto de 2023. Disponível em: https://flowti.com.br/blog/hipaa-o-que-e-e-porque-seguir-este-modelo. Acesso em: 19 jun. 2025.
HIPAA: entendendo e implementando padrões de privacidade. DocuSign Blog, atualizado em 11 de fevereiro de 2025. Disponível em: https://www.docusign.com/pt-br/blog/hipaa. Acesso em: 19 jun. 2025.
NASCIMENTO, Jadielson. Setor de saúde: alinhamento ao HIPAA e à LGPD e uso de IA podem dificultar que dados do paciente cheguem à Dark Web. Saúde Digital News, publicado em 30 de janeiro de 2024. Disponível em: https://saudedigitalnews.com.br/30/01/2024/setor-de-saude-alinhamento-ao-hipaa-e-a-lgpd-e-uso-de-ia-podem-dificultar-que-dados-do-paciente-cheguem-a-dark-web/. Acesso em: 19 jun. 2025.
1https://medicinasa.com.br/norma-hipaa/
2Lei nº 15.040/2024 art. 87.
3Artigo 75, §§ 4º e 5º da Lei nº 15.040/2024
4Art. 9º, § 2º, Art. 57 e Art. 59 da Lei nº 15.040/2024.
5REsp 2.150.776, https://www.conjur.com.br/2024-out-23/em-caso-de-indenizacao-securitaria-cabe-a-seguradora-provar-exclusao-de-cobertura/
