Dados de saúde e IA: inovação sem abrir mão da privacidade

Quando uma consulta online custa US$ 30 e promete resolver “sem sair de casa”, a decisão parece óbvia. O detalhe menos óbvio é o que vai junto no pacote: seus dados de saúde. O caso da Amazon Clinic, nos EUA, expôs um ponto que muita gente ainda trata como burocracia: o termo de consentimento pode transformar informações sensíveis em matéria-prima para negócios, publicidade e modelos de inteligência artificial.

No fim de 2025, isso deixa de ser um debate abstrato. A IA já está presente em triagem, telemedicina, laudos assistidos, monitoramento remoto e descoberta de fármacos. E aqui vai o problema real: IA em saúde precisa de dados para funcionar bem — mas dados de saúde, quando mal governados, viram risco financeiro, social e até clínico para o paciente.

Nesta edição da série “IA na Saúde e Biotecnologia”, eu quero colocar o tema no chão: o que grandes plataformas podem fazer com dados médicos, por que “consentir” nem sempre significa “entender”, e quais práticas (técnicas e de governança) tornam possível usar IA de forma responsável no Brasil.

O que está em jogo quando você “autoriza” o uso dos seus dados

A resposta direta: o seu histórico médico pode virar ativo de negócio se a autorização for ampla e pouco específica. Em saúde, isso é especialmente sensível porque os dados revelam hábitos, doenças, vulnerabilidades e padrões que podem ser usados para inferir coisas que você nunca contou explicitamente.

No artigo que inspirou este texto, a Amazon Clinic aparece como exemplo de um modelo simples: atendimento barato e rápido, mas com uma autorização que permite à empresa usar os dados “como quiser” (no contexto descrito). Esse tipo de cláusula muda tudo, porque deixa de valer a lógica tradicional de confidencialidade clínica que a maioria das pessoas assume quando fala com um médico.

Na prática, uma autorização ampla abre portas para usos como:

• Segmentação de anúncios com base em sinais de saúde (diretos ou inferidos)
• Compartilhamento com terceiros (parceiros, prestadores, empresas do ecossistema)
• Criação de modelos de IA para prever risco de doenças e vender esses modelos/insights
• Enriquecimento de perfis combinando dados de saúde com consumo, geolocalização e comportamento digital

O ponto não é demonizar telemedicina ou plataformas. Eu sou totalmente a favor de acesso e eficiência. O ponto é simples: dados de saúde não são “dados como quaisquer outros”.

Uma boa regra prática: se o dado pode afetar seu acesso a emprego, seguro, crédito, relacionamento ou tratamento, então ele exige governança mais dura.

Por que “consentimento” costuma falhar (mesmo quando é legal)

A resposta direta: consentimento sozinho não garante proteção, porque a assimetria de informação é enorme. A maioria das pessoas não lê termos longos; quando lê, não consegue projetar implicações; quando entende, já está pressionada por preço e conveniência.

Consentimento não é sinônimo de escolha livre

Um serviço de baixo custo em saúde cria um empurrão econômico. Se a alternativa é esperar semanas por consulta ou pagar muito mais, a pessoa “escolhe” com pouca liberdade real. Isso vale nos EUA, e também pode acontecer no Brasil — especialmente em períodos de alta demanda (fim de ano, surtos sazonais, pós-feriados) em que o sistema fica mais pressionado.

Termos amplos viram autorização permanente

O risco prático é o escopo aberto:

• autorização “para melhorar serviços” (frase elástica)
• autorização “para pesquisa” sem detalhar limites
• autorização “para parceiros” sem listar quem são
• retenção por tempo indeterminado

Em 2025, com modelos generativos e preditivos cada vez melhores, um dado coletado hoje pode ter usos muito mais invasivos amanhã.

A IA amplifica a sensibilidade do dado

Um exame isolado já é sensível. Mas IA funciona bem quando junta muita coisa: sintomas + foto + histórico + hábitos + dispositivo wearable + compras + sono. O resultado é um perfil de saúde muito mais completo do que aquele que você acha que entregou.

Como a IA pode usar dados de saúde de forma ética (e ainda entregar valor)

A resposta direta: dá para avançar com IA em saúde se houver finalidade clara, minimização, proteção técnica e governança auditável.

Aqui eu tomo uma posição: o Brasil deveria priorizar modelos de inovação em saúde que sejam “privacy-first”. Não por idealismo, mas por eficiência e sustentabilidade. Sem confiança, dados somem; sem dados confiáveis, IA fica fraca; sem IA boa, a promessa de qualidade e redução de custo não se sustenta.

Finalidade específica: diga o que vai fazer, e só

Em projetos sérios de IA na saúde, a pergunta mais importante não é “qual modelo usar?”. É:

• Qual decisão clínica ou operacional a IA vai apoiar?
• Quais variáveis são realmente necessárias?
• Quem se beneficia, e quem pode ser prejudicado?

Exemplo concreto: um algoritmo para prever risco de reinternação pode exigir dados de internações anteriores, comorbidades e adesão a tratamento. Ele não precisa do seu histórico de compras ou localização detalhada.

Minimização e separação de dados

Dois princípios que funcionam no mundo real:

1. Colete o mínimo para a finalidade
2. Separe identificadores (nome, CPF, telefone) do dado clínico sempre que possível

Quando a arquitetura já nasce assim, o estrago de um vazamento — e a tentação de reuso indevido — diminuem.

Boas práticas técnicas que já dão resultado

Sem entrar em “juridiquês”, estas medidas são as que eu mais vejo fazerem diferença em saúde digital e biotecnologia:

• Criptografia em repouso e em trânsito
• Controle de acesso por função (médico vê uma coisa, analista vê outra)
• Logs e trilhas de auditoria (quem acessou o quê, quando e por quê)
• Anonimização/pseudonimização com avaliação de risco de reidentificação
• Ambientes seguros de pesquisa (data enclaves) para treinar IA sem “exportar” dados brutos
• Testes de privacidade antes de colocar o modelo em produção (incluindo risco de memorizar dados)

Em IA generativa aplicada à saúde (sumarização de prontuário, apoio a triagem, assistentes clínicos), eu adicionaria um cuidado: não enviar dados sensíveis para sistemas sem garantias contratuais e técnicas — e, quando possível, usar soluções com processamento local ou instâncias dedicadas.

Regulamentação e governança: o que o Brasil precisa cobrar na prática

A resposta direta: além da lei, precisamos de rotinas verificáveis. Governança que só existe em slide não protege ninguém.

O Brasil já tem uma base relevante com a LGPD, e o tema de IA ganha corpo em discussões regulatórias e setoriais. Na saúde, porém, o desafio é operacional: fazer hospitais, clínicas, operadoras, healthtechs e laboratórios falarem a mesma língua de risco.

O que eu cobraria como “mínimo aceitável” em qualquer projeto

Se você é gestor, pesquisador, fundador de healthtech, ou líder de dados em biotec, aqui vai um checklist objetivo:

1. Mapa de dados: de onde vem, para onde vai, quem acessa
2. Base legal e consentimento compreensível (curto, direto, com exemplos de uso)
3. Política de retenção (prazo e critérios de descarte)
4. Avaliação de impacto (risco ao titular + risco clínico)
5. Plano de resposta a incidentes com prazos e responsáveis
6. Auditoria periódica do modelo (viés, performance, drift e privacidade)

E um detalhe que quase sempre aparece tarde demais: contratos com fornecedores. Se um parceiro processa dados de saúde, ele precisa ter obrigações claras de segurança, subcontratação, localização de dados e notificação de incidentes.

Transparência que o paciente entende

A melhor transparência não é um PDF de 18 páginas. É algo como:

• “Seus dados serão usados para X, Y e Z.”
• “Não usamos seus dados para publicidade baseada em condição de saúde.”
• “Você pode revogar a autorização e pedir exclusão quando aplicável.”

Transparência boa reduz atrito e aumenta adesão. E isso melhora a qualidade dos próprios dados para treinar IA.

Perguntas comuns (e respostas diretas) sobre dados e IA na saúde

“Se meus dados forem anonimizados, está tudo resolvido?”

Não. Anonimização reduz risco, mas não zera. Conjuntos ricos (ex.: exames + datas + localização + imagens) podem permitir reidentificação, dependendo do contexto.

“IA precisa mesmo de tantos dados pessoais?”

Não necessariamente. Muitas aplicações funcionam com dados agregados, pseudonimizados e bem governados. O ganho vem mais de qualidade, padronização e representatividade do que de “coletar tudo”.

“O que muda quando uma big tech entra na saúde?”

Muda o incentivo. Big tech é excelente em escala, produto e dados. Sem regras claras, o modelo mental do negócio tende a tratar saúde como mais um domínio de dados — e isso é incompatível com a assimetria e vulnerabilidade do paciente.

O futuro desejável: IA forte com privacidade forte

O caminho que faz sentido para o Brasil é direto: usar IA para melhorar diagnóstico, monitoramento e pesquisa, mas com uma régua alta para privacidade e ética. A tentação de “crescer primeiro e regular depois” sai cara quando o assunto é prontuário, imagem clínica e histórico de doença.

Se você trabalha com IA na saúde e biotecnologia, eu recomendo começar por uma pergunta simples antes de qualquer piloto: “Se eu fosse o paciente, eu aceitaria este uso dos meus dados?” Quando a resposta é desconfortável, normalmente o desenho do projeto está errado — não a tecnologia.

A discussão sobre a Amazon Clinic é um alerta útil: conveniência e preço não podem virar licença para exploração irrestrita. A boa notícia é que dá para fazer diferente. Privacidade bem feita não atrapalha a IA; ela torna a IA viável no longo prazo.

Se você está desenhando um produto, pesquisa ou implementação de IA em saúde e quer um caminho prático de governança de dados (do consentimento à auditoria), qual parte hoje é o seu maior gargalo: jurídico, técnico ou cultural dentro da organização?