Pular para o conteúdo
Governança e Conformidade

O que é a HIPAA (lei de dados de saúde dos EUA)?

A HIPAA (Health Insurance Portability and Accountability Act) é a lei federal de proteção de dados de saúde dos Estados Unidos. Ela obriga planos de saúde, prestadores e seus fornecedores a proteger a informação de saúde do paciente, define regras de privacidade, de segurança e de notificação de vazamento, e é fiscalizada pelo órgão de direitos civis do governo (OCR), que pode aplicar multa por descumprimento. Como dado de saúde é categoria sensível em quase toda lei de privacidade, a HIPAA alcança qualquer organização, dentro ou fora dos EUA, que trate dados de saúde de pacientes norte-americanos.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como a HIPAA funciona na prática

A HIPAA não é um software que se instala. É um conjunto de deveres sobre quem toca a informação de saúde do paciente (o PHI), do prontuário eletrônico ao e-mail que menciona um diagnóstico. O ciclo tem quatro peças.

1

Saber quem está sujeito à lei

A HIPAA distingue a entidade coberta (plano, prestador, câmara de compensação de saúde) do fornecedor que trata PHI em nome dela (o business associate). Um sistema de agendamento, uma nuvem, um call center: todos entram na cadeia de responsabilidade.

2

Proteger o PHI por três frentes

A Regra de Privacidade limita o uso e a divulgação da informação; a Regra de Segurança exige controles técnicos, físicos e administrativos sobre o PHI eletrônico; a Regra de Notificação obriga a avisar quem foi afetado quando há vazamento.

3

Formalizar o vínculo com cada fornecedor

Contratar um fornecedor que toca PHI sem um acordo de proteção de dados (o BAA) não transfere o risco: a entidade coberta continua respondendo pelo que o fornecedor faz.

4

Notificar o vazamento dentro do prazo

Um incidente que exponha PHI precisa ser comunicado aos pacientes e ao órgão de direitos civis em prazo definido em lei, não escondido até vir à tona.

Fonte: U.S. Department of Health and Human Services (HHS), Office for Civil Rights (OCR) e as regras da HIPAA.

As três regras que formam a HIPAA

  • Regra de Privacidade Define o que é PHI e limita como a informação de saúde pode ser usada e compartilhada, garantindo ao paciente o direito de acessar o próprio prontuário.
  • Regra de Segurança Exige salvaguardas administrativas, físicas e técnicas sobre o PHI em formato eletrônico, começando por uma análise de risco documentada.
  • Regra de Notificação de Vazamento Obriga a comunicar pacientes, o governo e, em incidentes grandes, a imprensa, dentro de prazos definidos, quando o PHI é exposto.

Por que a informação de saúde é o alvo mais caro

US$ 7,42 mi
é o custo médio de uma violação no setor de saúde, o mais caro entre todos os setores há 14 anos (IBM, 2025)
279 dias
é o tempo médio para identificar e conter uma violação de dados de saúde (IBM, 2025)
US$ 2,19 mi
é o teto anual de multa por categoria de violação da HIPAA (HHS/OCR, ajuste de 2025)

Dado de saúde vale mais no mercado criminoso do que número de cartão, porque não se cancela: um histórico médico não expira. Isso se traduz em custo. O setor de saúde é, há 14 anos seguidos, o que mais paga por uma violação de dados: US$ 7,42 milhões em média por incidente, contra US$ 4,44 milhões da média global de todos os setores (IBM, 2025). E o tempo de exposição é longo, 279 dias em média para identificar e conter um incidente no setor. Do lado regulatório, o órgão de direitos civis dos EUA pode multar em várias faixas de gravidade, com teto anual de US$ 2,19 milhões por categoria de violação (ajuste de 2025). Nada disso depende do porte: a lei não isenta a clínica pequena.

Como uma organização se prepara para a HIPAA

Conformidade com a HIPAA não é um certificado que se pendura na parede, é uma rotina que se sustenta. O caminho mais direto:

  1. Mapeie onde o PHI vive e por onde fluiListe onde a informação de saúde é criada, armazenada e transmitida, e por quem passa. Sem esse mapa, a análise de risco fica cega.
  2. Faça a análise de risco e trate o que ela acharÉ o controle que o regulador mais cobra: identificar as ameaças ao PHI eletrônico e reduzir cada risco relevante, com registro do que foi feito.
  3. Feche um acordo com cada fornecedor que toca PHITodo business associate precisa de um BAA assinado. Sem ele, a responsabilidade recai inteira sobre a entidade coberta.
  4. Tenha um plano de resposta a incidente prontoDescobrir o processo de notificação durante o vazamento custa dias que a lei não concede. O plano testado antes é o que encurta o prazo.

Na prática

A pergunta que revela o risco real: se o órgão de direitos civis pedisse hoje a análise de risco de PHI da organização, alguém entregaria um documento atual, ou uma planilha de três anos atrás?

Como a Zamak trata a conformidade com a HIPAA

A Zamak Technologies apoia a adequação à HIPAA como parte da Governança e Conformidade do Método Zamak: mapeamento de controles, coleta contínua de evidência e trilha de auditoria sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a organização está mais exposta.

Perguntas frequentes sobre a HIPAA

A HIPAA vale só para hospital americano?
Não. A lei alcança planos de saúde, prestadores e, principalmente, os fornecedores que tratam informação de saúde em nome deles (os business associates), estejam onde estiverem. Uma empresa de tecnologia fora dos EUA que processa dado de saúde de paciente norte-americano entra no alcance da lei.
Qual a diferença entre entidade coberta e business associate?
A entidade coberta é quem presta o serviço de saúde ou o plano; o business associate é o fornecedor que toca PHI em nome dela, um sistema, uma nuvem, um call center. Ambos respondem pela HIPAA, e o vínculo entre eles precisa de um contrato específico (o BAA).
O que é PHI?
PHI (Protected Health Information) é qualquer informação de saúde que possa identificar uma pessoa: diagnóstico, exame, histórico, junto de dados como nome, endereço e identificadores ligados a esse contexto de saúde.
A HIPAA exige criptografia?
A Regra de Segurança trata a criptografia como um item endereçável, não como obrigação em toda situação. Na prática, quando a análise de risco aponta exposição de PHI eletrônico, cifrar é quase sempre a medida esperada, e a falta dela pesa na multa.
Empresa pequena precisa cumprir a HIPAA?
Sim. Não existe isenção por porte. O órgão de direitos civis pondera o tamanho na dosimetria da multa, não na obrigação de proteger o PHI.
HIPAA e LGPD são a mesma coisa?
Não. A HIPAA é específica de dados de saúde nos EUA; a LGPD (no Brasil) e o GDPR (na Europa) são leis gerais de proteção de dados que tratam saúde como categoria sensível. Uma organização global costuma responder a mais de uma ao mesmo tempo.