Ir para o conteúdo principal
whatsapp

WhatsApp Business e GDPR na área da saúde: Registros médicos e primeira cópia gratuita

por 26 de fevereiro de 2026Sem comentarios

WhatsApp Business e GDPR na área da saúde: o que há de novo para registros médicos?

O WhatsApp Business e o RGPD (Regulamento Geral sobre a Proteção de Dados) na área da saúde estão cada vez mais interligados na gestão digital de registos médicos e dados de pacientes. O WhatsApp Business e o RGPD definem um novo quadro de direitos, obrigações e processos que as empresas de saúde já não podem ignorar.

A recente decisão do Tribunal de Justiça da União Europeia no processo C-307/22 confirmou definitivamente que a primeira cópia dos dados pessoais contidos num registo médico é gratuita, nos termos do artigo 15.º do RGPD (Regulamento (UE) 2016/679), mesmo quando o pedido é feito para fins jurídicos. Este princípio prevalece sobre as regulamentações nacionais que impõem encargos financeiros ao requerente e insere-se num contexto de crescente digitalização, comunicação instantânea e automatização dos processos de saúde.

No ecossistema digital moderno, onde canais como e-mail, portais da web e ferramentas de conversação — incluindo canais integrados por API, como o WhatsApp Business — tornaram-se parte integrante dos fluxos de interação com o paciente, o gerenciamento adequado dos direitos de acesso aos dados desempenha um papel fundamental na conformidade, na eficiência e na experiência do cliente.

WhatsApp Business e o RGPD: Princípios da Decisão C-307/22 do Tribunal de Justiça da UE

No centro do debate está a decisão do Tribunal de Justiça da União Europeia no Caso C-307/22, originário da Alemanha. Um paciente havia solicitado ao seu dentista uma cópia de seu prontuário médico para avaliar possíveis erros durante o tratamento; o dentista, nos termos do artigo 630g do Código Civil Alemão (BGB), condicionou a liberação do documento ao reembolso das despesas.

O paciente considerou aplicável o direito a uma cópia gratuita, nos termos do Artigo 15 do RGPD, e recorreu aos tribunais alemães, incluindo o Bundesgerichtshof, que encaminhou o caso ao TJUE. O Tribunal definiu alguns princípios fundamentais que também impactam a forma como as instituições organizam os processos digitais e os canais de contacto (incluindo os automatizados, como chatbots, ou sistemas integrados com...). WhatsApp Business) e sistemas de gerenciamento de documentos.

Gratuito, independentemente da finalidade.

O Tribunal de Justiça da União Europeia esclareceu que a obrigação de fornecer ao titular dos dados, gratuitamente, uma primeira cópia dos dados pessoais que estão sendo tratados recai sobre o responsável pelo tratamento, mesmo que o pedido seja motivado por uma finalidade não relacionada com as indicadas no considerando 63 do RGPD. Isso inclui também os pedidos de instauração de processos judiciais contra o profissional de saúde.

Este princípio reforça a eficácia do direito de acesso e impede que as motivações "defensivas" do responsável pelo tratamento dos dados — por exemplo, o receio de litígios — limitem ou tornem o direito do titular dos dados mais oneroso.

Proibição de regulamentações nacionais onerosas

O Tribunal decidiu que uma lei nacional, mesmo que anterior ao RGPD, não pode exigir que o titular dos dados pague pela primeira cópia dos seus dados pessoais se tal servir para proteger os interesses económicos do responsável pelo tratamento. Tal mecanismo violaria o direito de acesso previsto no artigo 15.º e a sua eficácia.

Para os sistemas nacionais de saúde, isso significa adaptar regulamentos internos, tarifas e práticas administrativas, passando de um modelo baseado em "direitos autorais" para um que valorize processos digitais eficientes, talvez apoiados por automação e canais inteligentes, como... WhatsApp Business para o processamento de solicitações ou para o andamento de pedidos (não para o fornecimento de dados sensíveis de saúde).

Definição abrangente de "cópia" e conteúdo mínimo garantido.

A definição de "cópia" adotada pelo Tribunal de Justiça da União Europeia (TJUE) é ampla: na relação médico-paciente, o direito de obter uma cópia dos dados pessoais implica o fornecimento de uma reprodução fiel e inteligível de todos esses dados. Quando necessário para garantir a exatidão, a integridade e a inteligibilidade, isso pode significar uma cópia integral dos documentos contidos no prontuário médico.

Em qualquer caso, o conteúdo mínimo garantido inclui dados como diagnósticos, resultados de exames, pareceres dos médicos assistentes, terapias ou intervenções realizadas. Para saber mais sobre o quadro regulamentar, é útil consultar o texto do Regulamento (UE) 2016/679 e as análises especializadas disponíveis, por exemplo, no portal de Garantidor da proteção de dados pessoais.

Acesso a dados e acesso a documentos de acordo com o RGPD: dois níveis distintos

No contexto italiano, a decisão destacou o conflito — apenas aparente — entre o direito de acesso a dados pessoais, nos termos do artigo 15.º do RGPD, e o acesso a documentos, nos termos da Lei 241/1990. As duas instituições, embora possam dizer respeito ao mesmo objeto material (por exemplo, registos médicos), têm pré-requisitos, finalidades e consequências diferentes.

Acesso a dados pessoais nos termos do art. 15 do RGPD

Este é o direito do titular dos dados de obter do responsável pelo tratamento a confirmação de que os seus dados pessoais estão ou não a ser tratados e, em caso afirmativo, de aceder a esses dados e obter uma cópia dos mesmos. A primeira cópia é gratuita, não requer qualquer justificação e aplica-se a qualquer responsável pelo tratamento, público ou privado.

O titular dos dados exerce direitos estritamente pessoais: o foco está nos dados, e não necessariamente no documento em si. Por essa razão, as organizações devem ser capazes de distinguir, em seus fluxos de trabalho e formulários, entre solicitações de acesso a dados (RGPD) e solicitações de cópias de documentos administrativos.

Acesso a documentos nos termos da Lei 241/1990

O acesso a documentos administrativos, nos termos da Lei 241/1990, exige um interesse direto, concreto e atual, só pode ser exercido junto às administrações públicas e está sujeito ao pagamento de custos de reprodução. O objeto do pedido é o documento administrativo, que pode ou não conter dados pessoais ou de saúde.

A Autoridade tem criticado repetidamente as instituições de saúde que, ao receberem pedidos de acesso a dados pessoais contidos em registos de saúde submetidos nos termos do artigo 15.º do RGPD, os tratam como pedidos de acesso a documentos, cobrando uma taxa. A primeira cópia dos dados pessoais deve, contudo, ser fornecida gratuitamente.

O responsável pelo tratamento dos dados deve avaliar se, para garantir a exatidão, integridade e inteligibilidade dos dados, é necessário fornecer uma cópia integral dos registros médicos. Para solicitações gerais, o responsável pelo tratamento dos dados pode solicitar ao titular dos dados que especifique se está solicitando dados pessoais, documentos ou ambos.

Impacto organizacional nas empresas de saúde e o papel da digitalização.

É razoável supor que a decisão C-307/22 tenha levado a um aumento significativo nos pedidos de acesso a registros médicos ao abrigo do Artigo 15.º do RGPD. Este aumento tem um impacto direto nos custos e na organização interna das unidades de saúde.

O aumento nos pedidos

Entre os principais fatores:

WhatsApp Business e GDPR na área da saúde: Registros médicos e primeira cópia gratuita
  • Maior conscientizaçãoA cobertura midiática da decisão informou os cidadãos sobre seu direito de obter gratuitamente a primeira cópia de seus registros médicos.
  • conveniência econômicaAs taxas para emissão de uma cópia impressa ou digital podem variar de 8 a mais de 30 euros, incentivando o exercício do direito de acesso gratuito.
  • Para fins pré-litigiososEscritórios de advocacia e grupos de defesa dos pacientes têm promovido o uso do Artigo 15 do GDPR para analisar prontuários médicos em busca de possíveis ações por negligência médica.

encargos e custos administrativos

O aumento das solicitações gera custos relacionados a:

  • reprodução (papel, toner, mídia digital, manutenção de equipamentos);
  • pessoal (pesquisa, duplicação, verificação, entrega de documentação);
  • Envio (em caso de entrega postal);
  • organização (treinamento, procedimentos, gestão de reclamações).

Esses custos, anteriormente recuperados por meio de direitos autorais de acordo com a Lei 241/1990, agora impactam os orçamentos das empresas de saúde, pelo menos para a primeira cópia liberada em conformidade com o GDPR. Daí a necessidade de acelerar os processos de digitalização e automação, inclusive aproveitando ferramentas de comunicação e fluxo de trabalho que possam integrar canais conversacionais como... WhatsApp Business Para notificações e interações não sensíveis.

Registros médicos digitais, registros eletrônicos de saúde e auditorias do Tribunal de Contas.

Na Itália, o impulso em direção aos registros eletrônicos de saúde (RES) tem seu fundamento na Lei nº 35, de 4 de abril de 2012, artigo 47-bis, que prioriza a gestão eletrônica das práticas clínicas e, a partir de 1º de janeiro de 2013, permite a preservação digital de registros em conformidade com o Código de Administração Digital (Decreto Legislativo 82/2005) e a legislação de privacidade.

Apesar disso, a maioria dos arquivos ainda está armazenada em formato analógico, o que torna a reprodução cara, ao contrário do que a digitalização completa com arquivos digitais nativos e conservação padrão permitiriam. Tribunal de Contas, por meio da Resolução nº 84 de 30 de maio de 2025 (Seção de Controle Regional do Piemonte, exercício financeiro de 2022), analisou as práticas de emissão de cópias de prontuários médicos, destacando uma grande disparidade nos preços e na aplicação entre as empresas de saúde.

Apenas a Autoridade Sanitária Local da Cidade de Turim (ASL) declarou conformidade com a decisão do Tribunal de Justiça da União Europeia (TJUE), emitindo gratuitamente a primeira cópia do prontuário médico; outra empresa manifestou a intenção de cumprir a decisão assim que o desenvolvimento do prontuário médico digital for concluído. A Seção Regional espera a aplicação uniforme da jurisprudência da UE.

Gestão de solicitações, limites de solicitações e soluções operacionais

Uma interpretação correta do quadro regulamentar, também à luz das FAQs da Autoridade de Proteção de Dados, exige uma distinção entre o direito de acesso a dados pessoais e o direito de acesso à documentação. O artigo 15.º do RGPD diz respeito a dados pessoais, e não necessariamente a toda a documentação.

Triagem de solicitações e o papel do DPO

Os estabelecimentos de saúde devem adotar procedimentos claros para distinguir:

  • pedidos explícitos de uma primeira cópia gratuita, nos termos do artigo 15.º do RGPD, que devem levar à sua disponibilização gratuita;
  • solicitações genéricas, para as quais o controlador de dados deve entrar em contato com o solicitante e esclarecer se ele pretende exercer o direito de acesso a dados pessoais ou acesso a documentos;
  • Solicitações feitas de acordo com a Lei 241/1990, às quais se aplicam as tarifas da empresa.

O Encarregado da Proteção de Dados (EPD) deve coordenar esses fluxos, garantindo uma resposta dentro dos prazos do Artigo 12 do RGPD. Os escritórios responsáveis pela reprodução devem registrar em um registro interno a emissão da "primeira via" para cada arquivo e para cada titular dos dados, requisito para legitimar eventuais taxas por vias subsequentes.

Processos digitais, automação e tecnologias de suporte

A solução mais eficaz para conter o custo da primeira cópia gratuita é otimizar os processos internos e acelerar a digitalização. Algumas alavancas principais:

  • AutomatizaçãoUtilização de software de gestão que automatiza a busca, extração e geração de cópias de pastas.
  • Identidade digitalUtilização do SPID/CIE para submeter pedidos e aceder ao Registo Eletrónico de Saúde.
  • TreinamentoTreinamento específico sobre os diferentes regimes de acesso de acordo com o RGPD e a Lei 241/1990.

A adoção de registros eletrônicos de saúde nativos digitais, a transmissão via e-mail certificado, e-mail seguro ou portais dedicados, e a vinculação sistemática ao Registro Eletrônico de Saúde reduzem os custos marginais e as solicitações formais de cópias. Medidas para limitar solicitações manifestamente infundadas ou excessivas estão previstas no Artigo 12, parágrafo 5 do RGPD, que permite ao controlador cobrar uma taxa razoável ou recusar solicitações repetitivas, desde que possa demonstrar seu caráter excessivo.

WhatsApp Business e o RGPD na área da saúde: impacto no marketing e nos negócios

O WhatsApp Business e o RGPD (Regulamento Geral sobre a Proteção de Dados) na área da saúde vão além da conformidade legal; eles impactam diretamente o marketing, a comunicação e o posicionamento de organizações e empresas de saúde. A forma como o acesso aos dados, a transparência para o paciente e a digitalização dos fluxos de trabalho são gerenciados afeta a percepção da marca e a confiança no público.

Uma instituição que se comunica de forma clara, utiliza canais modernos (sites, portais, notificações de aplicativos e canais de conversação) e simplifica solicitações como a cópia de prontuários médicos, demonstra atenção à experiência do cliente. Nesse contexto, WhatsApp Business Pode se tornar um canal de comunicação para:

  • Envio de lembretes de agendamento e notificações sobre o status da solicitação (sem transmitir dados sensíveis em texto não criptografado);
  • Suporte automatizado de informações via chatbot sobre direitos, prazos e documentos necessários;
  • Coletar feedback sobre a qualidade dos serviços e a experiência do paciente.

Para empresas privadas de saúde, grupos clínicos, clínicas ambulatoriais e seguradoras, o WhatsApp Business e a gestão em conformidade com o RGPD permitem integrar o canal aos sistemas CRM de saúde, rastrear interações e orquestrar campanhas de prevenção ou de recolhimento de dados de forma a cumprir as regulamentações e os requisitos de consentimento.

As oportunidades de negócio surgem da fidelização, do aumento da satisfação do paciente e da redução dos custos administrativos, graças à automatização de pedidos e informações repetitivas. A chave é separar rigorosamente os fluxos de comunicação de marketing daqueles que envolvem a troca de dados de saúde, adotando políticas, informações e ferramentas técnicas adequadas.

Como a SendApp pode ajudar com o WhatsApp Business e o RGPD na área da saúde

Para gerenciar o WhatsApp Business e a conformidade com o GDPR na área da saúde de forma estruturada, as organizações de saúde precisam de plataformas profissionais capazes de integrar APIs oficiais, automação, gerenciamento de consentimento e controle de acesso centralizado. É aí que entra o ecossistema SendApp.

Com SendApp Official, as organizações podem usar o APIs oficiais do WhatsApp Business Para orquestrar comunicações escaláveis e seguras: notificações de consultas, lembretes de exames e alertas sobre a disponibilidade de documentos, sempre em conformidade com as políticas do WhatsApp e o RGPD. As integrações com sistemas de gestão de saúde e CRM permitem que os dados sejam mantidos em infraestruturas controladas, reduzindo o risco de uso indevido.

SendApp Agent Permite gerenciar as conversas com pacientes em equipe, com atribuições de chat, tags personalizadas, anotações internas e relatórios. Dessa forma, a equipe de atendimento pode responder de maneira consistente e rastreada às solicitações de informações sobre direitos de acesso, status de solicitações e fluxos clínicos, mantendo quaisquer dados sensíveis de saúde fora do canal, que devem trafegar por canais mais seguros.

Para cenários mais avançados, SendApp Cloud Oferece recursos de automação de marketing e fluxo de trabalho omnichannel: é possível configurar jornadas que, com consentimento prévio, informam o paciente sobre exames periódicos, campanhas de prevenção ou atualizações de serviço, integrando o WhatsApp Business com e-mail, SMS e outros pontos de contato, sempre em conformidade com os requisitos de segurança e privacidade.

Num contexto em que o direito de acesso aos dados de saúde se torna cada vez mais central e a digitalização se acelera, a adoção de uma plataforma estruturada como a SendApp permite transformar a conformidade numa alavanca de valor: menos tempo em microtarefas repetitivas, mais foco no relacionamento com o paciente e na qualidade do serviço. Para organizações de saúde que procuram evoluir as suas comunicações e alinhar o WhatsApp Business com o RGPD (Regulamento Geral de Proteção de Dados) para a saúde, este é o momento ideal para agendar uma consultoria especializada e iniciar um teste gratuito das soluções SendApp.

Deixe uma resposta