Chatbots de saúde e riscos regulatórios: desafios de dados e transparência

Os chatbots inteligentes de saúde baseados em modelos de linguagem de grande escala evoluem rapidamente e começam a oferecer funcionalidades que mergulham em águas regulatórias ainda não mapeadas. A capacidade de sincronizar prontuários eletrônicos completos com plataformas comerciais de inteligência artificial, como o ChatGPT Health lançado em janeiro de 2026, marca um ponto de inflexão no tratamento de dados sensíveis de saúde e coloca questões jurídicas prementes sobre privacidade, transparência e responsabilidade.

Contexto

Desde o surgimento dos primeiros chatbots de saúde, questões de proteção de dados, qualidade das informações médicas e indução a condutas terapêuticas inapropriadas já despertavam preocupação. O cenário se complexificou exponencialmente quando a tecnologia permitiu que usuários carregassem seus prontuários integrais em plataformas de terceiros.

A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) estabelece regime rigoroso para tratamento de dados pessoais sensíveis, incluindo informações sobre saúde. Dados de saúde constituem categoria especial que exige consentimento explícito, propósito legítimo e medidas de segurança robustas. Todavia, a regulação brasileira ainda não abordou especificamente como esses dispositivos operam em escala internacional, quem assume responsabilidade por vazamentos ou usos indevidos, e como se garante conformidade quando dados são processados por entidades sediadas fora do país.

A questão torna-se ainda mais delicada considerando que registros médicos não são repositórios neutros: contêm vieses, linguagem estigmatizante e erros diagnósticos que refletem o próprio sistema de saúde que os produziu. A incorporação indiscriminada desses dados em algoritmos corre risco de amplificar inequidades sistemicamente presentes nos prontuários.

O que foi decidido

Não houve decisão judicial ou normativa específica até o momento. Trata-se de análise prospectiva sobre lacunas regulatórias identificadas por pesquisadores e juristas. A reflexão centra-se em como as arquiteturas atuais de chatbots de saúde operam sem barreiras regulatórias significativas, permitindo que dados sensíveis fluam para plataformas comerciais sem mecanismos claros de auditoria externa, transparência ou accountability.

O problema fundamental é que a sincronização automática de prontuários completos elimina a curadoria seletiva que ocorre nas práticas médicas convencionais. Quando um paciente busca segunda opinião tradicional, o médico encaminhante seleciona os registros clinicamente relevantes—exames, histórico pertinente, patologia. Omite-se propositalmente dados prejudiciais ou irrelevantes que poderiam enviesarar a avaliação do colega consultor. Os chatbots de saúde de nova geração removem essa etapa de filtragem clínico-contextual, expondo todo o prontuário.

Base normativa e precedentes

• Lei 13.709/2018 (LGPD) — Regime especial para dados sensíveis de saúde; exige consentimento informado, explícito, específico e revogável; responsabilidade compartilhada entre controlador e operador; direito ao acesso, portabilidade e exclusão.

• Resolução CFM 2.228/2019 — Define critérios para uso de tecnologias de inteligência artificial no cuidado médico; médico permanece responsável por decisões e orientações clínicas; IA é ferramenta auxiliar, não substitutiva.

• PNDP (Plano Nacional de Proteção de Dados) — Diretrizes do governo para proteção de dados; sinaliza que setor de saúde requer regulação específica para tecnologias emergentes.

• Jurisprudência consolidada — Tribunais brasileiros já reconhecem que consentimento para coleta não autoriza automaticamente reutilização ou compartilhamento indiscriminado com terceiros, especialmente em contexto de dados sensíveis (precedentes do STJ em matéria de responsabilidade civil por vazamento).

Impacto prático

Para advogados:

• Aumenta risco de ações coletivas (CDC, Lei 8.078/1990) por práticas abusivas de tratamento de dados ou fornecimento de informações médicas inexatas que induzem diagnósticos errados.
• Possibilita defesa baseada em violação da LGPD em processos envolvendo danos causados por recomendações de chatbots.
• Abre espaço para ações de improbidade administrativa caso órgãos públicos de saúde utilizem esses chatbots sem conformidade legal.

Para provedores de saúde e hospitais:

• Exposição a litígio por responsabilidade civil se pacientes forem prejudicados por recomendações de IA que utilizaram dados sensíveis de suas plataformas sem segurança adequada.
• Necessidade imediata de revisar políticas de proteção de dados e mapear fluxos de sincronização de prontuários eletrônicos com terceiros.
• Risco regulatório perante ANPD (Autoridade Nacional de Proteção de Dados) e órgãos de vigilância sanitária (Anvisa).

Para pacientes:

• Perda de controle sobre quais informações clínicas sensíveis são processadas e por quem.
• Amplificação de vieses presentes em prontuários (sobretudo quanto a pacientes negros e populações marginalizadas), com potencial de impactar recomendações futuras de saúde.
• Impossibilidade prática de auditar ou questionar como dados foram utilizados em treinamento de modelos, já que plataformas comerciais controlam acesso.

Para pesquisadores:

• Embora chatbots ofereçam oportunidade de acelerar pesquisa em doenças raras, ausência de transparência e auditabilidade impede validação científica independente do desempenho em diferentes populações.

O que observar

Regulação pendente: A ANPD e a Anvisa precisarão estabelecer diretrizes específicas sobre consentimento informado para sincronização de prontuários, requisitos de transparência algorítmica, responsabilidade por erros e mecanismos de auditoria independente.

Requisitos de transparência: Atualmente, empresas como OpenAI e Microsoft controlam integralmente acesso aos dados de uso e resultados, inviabilizando auditoria externa. Legislação futura deverá impor obrigação de publicar relatórios de impacto, metodologia de treinamento e incidentes de segurança.

Responsabilidade civil: Advogados devem preparar-se para argumentar que empresas de IA foram negligentes ao permitir sincronização massiva de dados sensíveis sem salvaguardas adequadas, particularmente se vieses ampliados causaram danos.

Qualidade de dados: A premissa de que dados de prontuários são "precisos, imparciais e contextualizados adequadamente" é frágil. Danos decorrentes de recomendações baseadas em prontuários viciados abrem espaço para responsabilidade solidária.

Moderação de IA em saúde: Pode ser que órgãos reguladores brasileiros venham a proibir ou restringir sincronização automática de prontuários completos, exigindo filtragem prévia similar à prática médica tradicional.