Prontuário em SaaS estrangeiro: o risco LGPD que 90% das clínicas ignoram

Recebi uma pergunta de uma médica dono de clínica em São Paulo no mês passado: “O nosso sistema de prontuário tem certificado SSL, isso já é suficiente para a LGPD, né?”

Não. Não é.

O certificado SSL garante que o dado vai criptografado do navegador até o servidor. O problema começa quando você descobre que o servidor fica na Virgínia, nos EUA — e a clínica nunca leu o contrato do SaaS com atenção suficiente para saber disso.

Esse cenário não é raro. É a regra. E é exatamente onde está o risco que a maioria das clínicas ignora completamente.

O mito do SSL como proteção suficiente

SSL resolve um problema específico: evita que alguém intercepte a comunicação entre o computador do usuário e o servidor. É necessário. Mas é só o começo da segurança de dados — não o fim.

A LGPD não pergunta se o dado trafegou criptografado. Ela pergunta: onde o dado está armazenado? Quem tem acesso? Esse país tem proteção equivalente à brasileira? Existe contrato formal de processamento?

Um prontuário médico armazenado em servidor americano, mesmo com SSL ativo, está sujeito às leis dos EUA — incluindo ordens judiciais que podem obrigar a empresa a entregar dados sem avisar a clínica brasileira. O SSL não muda isso. O certificado ISO da empresa americana não muda isso. O fato de o SaaS ter atendimento em português não muda isso.

O que muda é o contrato. Especificamente, se ele contém as cláusulas exigidas pela LGPD para transferência internacional.

O que diz o Art. 33 da LGPD sobre dados de saúde fora do Brasil

A LGPD trata transferência internacional de dados pessoais no Capítulo V, Artigo 33. A lei permite a transferência em situações específicas. As duas mais relevantes para clínicas são:

1. País com proteção adequada: o país destino precisa ter um nível de proteção de dados equivalente ao brasileiro, reconhecido formalmente pela ANPD. Em 2026, a ANPD reconheceu a União Europeia como jurisdição adequada (Resolução CD/ANPD nº 32/2026). Os EUA não constam nessa lista — o que significa que transferir dado de paciente para servidor americano não se enquadra automaticamente nessa hipótese.

2. Garantias contratuais: o controlador (a clínica) pode adotar cláusulas contratuais específicas aprovadas pela ANPD (Resolução CD/ANPD nº 19/2024). Essas cláusulas devem ser adotadas na íntegra, sem modificação — e responsabilizam tanto a clínica quanto o operador (o SaaS) pelo cumprimento da LGPD.

Dado de saúde é classificado como dado sensível pela LGPD — a categoria mais restrita, com obrigações adicionais. Isso significa que a base legal para o tratamento precisa ser mais robusta, e qualquer falha na transferência internacional fica mais exposta a sanções.

Amplimed usa Amazon. E daí?

Não é incomum. Muitos SaaS brasileiros de prontuário, incluindo o Amplimed — que serve mais de 9 mil estabelecimentos de saúde no Brasil — operam em infraestrutura de nuvem americana (Amazon Web Services). Isso não é necessariamente ilegal. O que determina a conformidade é o que está no contrato e quais garantias foram adotadas.

O Amplimed, como empresa brasileira, tem CNPJ no Brasil e responde ao mercado nacional. O risco aumenta quando a clínica usa SaaS de empresa americana diretamente — sem intermediário com responsabilidade jurídica no Brasil e sem contrato adequado de transferência.

O problema real não é a AWS em si. É a combinação de três fatores:

1. SaaS estrangeiro sem CNPJ no Brasil (sem responsabilidade jurídica local clara)
2. Contrato sem cláusulas de transferência internacional conforme ANPD
3. Clínica sem mapeamento de onde o dado fica — literalmente não sabe onde o prontuário está armazenado

Esse triângulo é o risco. E ele existe em clínicas que usam Google Drive para guardar documentação de paciente, Dropbox para compartilhar laudos, ou qualquer ferramenta generalista americana sem contrato de processamento de dados para saúde.

Por que 90% das clínicas não sabem disso

O mercado de conformidade LGPD para clínicas concentrou esforços em consentimento, DPO e controle de acesso. São etapas importantes — mas criaram um ponto cego.

A transferência internacional de dados aparece no fim do contrato do SaaS, nas seções que ninguém lê. Está enterrada entre “política de privacidade” e “termos de serviço”. E quando aparece, diz algo vago como “seus dados podem ser processados nos servidores da empresa parceira nos Estados Unidos” — sem mencionar o que isso significa para a clínica em termos de LGPD.

Nenhum consultor de LGPD que fez o checklist rápido de “você tem termo de consentimento? tem DPO?” vai falar sobre isso. É mais fácil deixar passar.

Resultado: clínicas que fizeram “a adequação LGPD” com direito a certificado da consultoria ainda têm prontuário de paciente viajando para servidor americano sem garantia jurídica nenhuma.

O que a clínica precisa verificar no contrato do SaaS

Não é necessário abandonar o SaaS que você usa. Mas é necessário verificar o contrato. Aqui está o que procurar:

1. Onde os dados estão armazenados: Procure por menções a localização de servidores, data centers, regiões de cloud (us-east, us-west, eu-west). Se o contrato não diz, peça por escrito ao fornecedor.

2. Se existe DPA (Data Processing Agreement): É o contrato de processamento de dados. Deve definir que o fornecedor é “operador” sob a LGPD, quais dados processa, com que finalidade e por quanto tempo. Sem DPA, a responsabilidade do tratamento recai inteira na clínica.

3. Se o contrato inclui cláusulas de transferência internacional: Conforme o modelo ANPD (Resolução CD/ANPD nº 19/2024). Se o SaaS é empresa americana, isso é obrigatório para que a transferência seja legal.

4. O que acontece com o dado em caso de encerramento do contrato: A LGPD exige que o dado seja devolvido ou destruído de forma verificável. O contrato precisa prever isso.

Se o fornecedor não consegue responder essas perguntas com documento, ou se o contrato padrão não tem essas cláusulas, você tem um problema real.

Cenário de risco concreto: o que acontece em uma auditoria da ANPD

A ANPD instaurou 5 processos sancionadores em 2024 — e um dos casos de maior repercussão envolveu o próprio Ministério da Saúde, que foi sancionado por incidente de segurança com dados pessoais. O ritmo de fiscalização aumenta anualmente.

Em uma auditoria, a ANPD pode solicitar à clínica: onde estão os dados dos pacientes, quem tem acesso, quais contratos existem com fornecedores de tecnologia, e como você garante que dado sensível de saúde está protegido.

Se o prontuário fica em servidor americano sem contrato adequado, a clínica não consegue responder a segunda e a terceira pergunta com documentação. A incapacidade de provar conformidade já é fundamento para sanção — independente de ter ocorrido vazamento.

As penalidades vão de advertência a multa de 2% do faturamento anual (limite de R$50 milhões por infração), podendo chegar à suspensão das atividades de tratamento de dados. Para uma clínica pequena, suspensão do prontuário eletrônico equivale a paralisação operacional.

O que fazer agora: 3 ações em ordem de prioridade

Não é necessário migrar o sistema amanhã. Mas é necessário agir. Em ordem:

Ação 1 — Mapeie onde seus dados estão (1 dia): Abra o contrato e a política de privacidade do seu SaaS de prontuário. Procure por localização de servidores. Se não encontrar, envie e-mail para o suporte pedindo formalmente: “Em quais países os dados dos meus pacientes são armazenados e processados?” Guarde a resposta.

Ação 2 — Verifique se existe DPA (3 dias): Pergunte ao fornecedor se existe um Contrato de Processamento de Dados (DPA) adequado à LGPD. Empresas sérias têm isso pronto. Se não têm, considere se é o fornecedor certo para dado sensível de saúde.

Ação 3 — Decida o que fazer com as lacunas (1 semana): Se o fornecedor não tem DPA e dados ficam nos EUA sem cláusulas de transferência, você tem três opções: exigir adequação contratual do fornecedor, migrar para SaaS nacional com contrato adequado, ou montar infra própria com dados dentro do Brasil. Cada opção tem custo e prazo diferentes — avaliar qual se encaixa no perfil da clínica é o próximo passo.

Como a Inteligência Avançada ajuda clínicas médicas nesse cenário

A Inteligência Avançada estrutura infraestrutura AI-ready para clínicas que precisam manter dado sensível dentro do Brasil, sob controle da própria clínica — sem dependência de SaaS estrangeiro sem garantia jurídica.

O trabalho começa com diagnóstico: mapeamos onde os dados da clínica estão, quais contratos existem, e quais são os riscos concretos de transferência internacional sem adequação.

A partir do diagnóstico, estruturamos o ambiente:

• Infra com dados dentro do Brasil: servidor próprio ou cloud nacional, com isolamento por paciente, criptografia e backup testado
• Contratos com fornecedores: revisão de DPA com SaaS existentes ou suporte para migração quando necessário
• Compliance técnico: segregação de acesso, audit trail, monitoramento de ambiente com alertas automáticos
• Agentes de IA sobre infra segura: se a clínica quiser avançar para automação (triagem de WhatsApp, resumo de consulta, análise de laudo), a infra segura já está pronta como base

Se quiser entender o risco real da sua clínica antes de qualquer proposta, o próximo passo é uma conversa de diagnóstico — sem custo, sem compromisso.

Conclusão

SSL não é conformidade LGPD. Servidor americano sem contrato adequado é risco real. E a maioria das clínicas fez “a adequação” sem tocar nessa parte.

O Art. 33 da LGPD é direto: dado de saúde de paciente brasileiro não pode simplesmente morar fora do país sem garantias formais. A lei existe desde 2021. A ANPD está fiscalizando. A responsabilidade é da clínica — não do SaaS americano que vendeu o sistema.

Verifique o contrato. Mapeie onde o dado está. Se há lacuna, feche antes que alguém peça para você provar conformidade.

Perguntas frequentes sobre prontuário em SaaS estrangeiro e LGPD