LGPD para clínicas médicas: o que o gestor precisa fazer agora

Por que a LGPD exige atenção especial de clínicas de saúde

A Lei Geral de Proteção de Dados (Lei 13.709/2018) classifica informações de saúde como dados sensíveis — a categoria mais protegida da lei. Uma clínica que coleta prontuários, laudos, anamneses e históricos de atendimento opera com obrigações mais rígidas do que a maioria dos negócios. Autuações da ANPD (Autoridade Nacional de Proteção de Dados) para esse setor podem resultar em multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. Para orientação jurídica específica ao porte e modelo da sua clínica, consulte um advogado especializado em proteção de dados.

Passo 1: mapeie os dados que sua clínica coleta

O ponto de partida é o inventário de dados. Muitas clínicas coletam informações além do necessário sem perceber. Documente o que você coleta, onde armazena, quem tem acesso e por quanto tempo retém:

• Dados clínicos: prontuário, anamnese, laudos, prescrições, fotos de evolução
• Dados cadastrais: CPF, data de nascimento, endereço, contatos
• Dados financeiros: forma de pagamento, histórico de cobranças
• Dados de profissionais: contratos, dados bancários para repasse, documentos do conselho

Para cada categoria, identifique o sistema onde fica armazenado e quem dentro da equipe tem acesso. Esse mapeamento simples já revela vulnerabilidades prioritárias.

Passo 2: defina a base legal para cada tratamento

Toda coleta e uso de dado precisa de uma base legal prevista na LGPD. Para clínicas, as mais aplicáveis são:

• Tutela da saúde (art. 11, II, f): tratamento por profissional de saúde para prestação de cuidados — base para o prontuário clínico
• Consentimento do titular (art. 11, I): o paciente autoriza usos além do atendimento direto, como comunicações de marketing
• Cumprimento de obrigação legal (art. 11, II, a): dados exigidos por órgãos reguladores como CFM e ANS

Documentar a base legal de cada fluxo protege a clínica em auditoria e demonstra governança responsável.

Passo 3: revise contratos com sistemas e fornecedores

Qualquer software que processa dados de pacientes — sistema de prontuário, agendamento online, plataforma de telemedicina — é um operador de dados nos termos da LGPD. A lei exige um contrato formal de processamento de dados (DPA) entre a clínica e cada fornecedor. Ao contratar ou renovar sistemas, verifique: se o fornecedor assina um Aditivo de Proteção de Dados, se oferece controle de acesso por perfil, se mantém log de auditoria e se faz backup criptografado com plano de resposta a incidentes. Evite armazenar prontuários em planilhas compartilhadas sem controle de acesso ou transmitir laudos por aplicativos de mensagem sem criptografia — práticas que aumentam significativamente o risco de vazamento.

Passo 4: atualize o termo de consentimento do paciente

O Termo de Consentimento Livre e Esclarecido (TCLE) precisa incluir consentimento explícito de dados, informando: quais dados serão coletados e para quais finalidades, com quem podem ser compartilhados (convênios, laboratórios), por quanto tempo serão retidos e como o paciente pode solicitar acesso, correção ou exclusão. O consentimento deve estar destacado — não enterrado em cláusulas gerais do contrato de prestação de serviços.

Passo 5: nomeie um responsável e documente as políticas

A LGPD prevê a figura do Encarregado de Dados (DPO). Para clínicas de pequeno e médio porte, nomear um responsável interno com treinamento básico é o caminho mais prático. Esse responsável mantém atualizados: o registro de operações de tratamento, a política de privacidade publicada no site e o plano de resposta a incidentes.

O que monitorar para saber se está evoluindo

Implemente um checklist trimestral com os cinco itens acima e acompanhe a evolução por score (percentual de itens atendidos). A conformidade com a LGPD não é um projeto com data de conclusão — é um processo contínuo. Comece pelo mapeamento de dados e pelo contrato com seu fornecedor de sistema; esses dois passos eliminam as principais vulnerabilidades em prazo curto. Meça, documente, itere.