Privacidade & Segurança (LGPD/HIPAA/ISO 27001)

Panorama

Dados de saúde são sensíveis pela LGPD, exigindo bases legais adequadas, controles reforçados e governança. Nos EUA, a HIPAA impõe salvaguardas administrativas, físicas e técnicas para proteger ePHI. A ISO/IEC 27001 provê um ISMS auditável que organiza políticas, processos e controles de segurança em qualquer setor — muito útil para demonstrar maturidade e sobreposição com a HIPAA Security Rule. ^[1][2][3][4]

Privacy by design no Edge

• Minimização: processar localmente waveform e subir apenas observações/alertas necessários ao propósito — reduzindo exposição. ^[5]
• Pseudonimização/Segregação: separar identificadores dos dados de sinais; trilhas de auditoria sem PHI.
• Retenção: políticas de retenção mínima e descarte seguro conforme finalidade (LGPD). ^[4]
• DPIA/LIA: avaliação de impacto quando pertinente (risco, escala, tecnologia emergente).

O design do HealthTrack (inferência local + Observations FHIR) facilita a minimização e a governança sem impedir analytics posteriores.

Salvaguardas técnicas

• Criptografia em trânsito (TLS 1.2+) e at rest (AES‑256), gestão de chaves/hardening do gateway.
• IAM com MFA, RBAC/ABAC; segregação de funções e least privilege.
• Logs sem PHI, monitoramento e resposta a incidentes (planos e exercícios).
• Continuidade: BIA/DR, testes periódicos e restauração.

LGPD: bases e diretrizes

A LGPD (Lei 13.709/2018) define dados de saúde como sensíveis e lista 10 bases legais possíveis para tratamento de dados pessoais (incluindo consentimento, execução de contrato, tutela da saúde por profissionais/entidades e proteção da vida). Em saúde, o princípio da necessidade/minimização é central; conselhos profissionais (CFM) e guias setoriais (ANVISA cibersegurança em dispositivos) complementam a disciplina. ^[1][4]

HIPAA Security Rule (ePHI)

A HIPAA Security Rule exige salvaguardas proporcionais ao risco, cobrindo confidencialidade, integridade e disponibilidade de ePHI, análise de risco contínua e revisão dos controles. Resumos oficiais do HHS/CDC cobrem escopo, entidades cobertas e obrigações. ^[2][6]

ISO/IEC 27001 para organizações de saúde

A ISO 27001 estrutura um ISMS completo (políticas, pessoas, processos e tecnologia) e reforça o alinhamento com a HIPAA — diversos controles (Anexo A) se sobrepõem às salvaguardas exigidas. Guias setoriais mostram benefícios e passos de implementação em saúde. ^[3][7][8][9]

Quando vira SaMD e que padrão seguir

Se o software for SaMD (apoio à decisão), aplicar IEC 62304 no ciclo de vida e observar orientação da FDA para AI/ML (incluindo PCCP para mudanças de modelo). ^[10][11][12]

Referências

1. IBA — Proteção de dados de saúde no Brasil (2024). Link
2. HHS — Summary of the HIPAA Security Rule. Link
3. HIPAA Journal — ISO/IEC 27001 in Healthcare (2024). Link
4. ICLG — Data Protection Brazil (2025/2026). Link
5. MDPI Future Internet (2024) — Edge em saúde (privacidade/latência). Link
6. CDC — HIPAA overview (2024). Link
7. Vanta — ISO 27001 para Healthcare (2025). Link
8. Sprinto — ISO 27001 for Healthcare (2025). Link
9. ISMS.online — ISO 27001 in Healthcare (2024). Link
10. Qualio — IEC 62304 (2025). Link
11. FDA — AI em SaMD. Link
12. Federal Register — PCCP AI‑Enabled DSF (2024). Link