LGPD em Clínicas: Guia Completo para Adequação e Proteção de Dados

O que é LGPD e por que clínicas precisam se preocupar

A Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor em setembro de 2020 e estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Para clínicas médicas, odontológicas e estabelecimentos de saúde, a atenção precisa ser redobrada: dados de saúde são considerados dados sensíveis pela lei.

Segundo a LGPD, dados sensíveis são aqueles que podem gerar discriminação ao titular. Informações sobre diagnósticos, tratamentos, histórico médico e exames se enquadram nessa categoria e exigem cuidados específicos de proteção.

Penalidades previstas na LGPD

A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções que incluem:

• Advertência com prazo para adequação
• Multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração
• Multa diária
• Publicização da infração
• Bloqueio ou eliminação dos dados
• Suspensão parcial ou total do banco de dados

Em 2023, a ANPD aplicou as primeiras multas no Brasil, sinalizando que a fiscalização está ativa. Clínicas de todos os portes estão sujeitas à lei.

Principais obrigações para clínicas

1. Base legal para tratamento de dados

A clínica precisa ter justificativa legal para coletar e usar dados dos pacientes. As bases mais comuns são:

• Consentimento: autorização clara e específica do paciente
• Execução de contrato: dados necessários para prestar o serviço contratado
• Tutela da saúde: procedimentos realizados por profissionais de saúde
• Proteção da vida: situações de emergência
• Obrigação legal: cumprimento de exigências de conselhos profissionais e vigilância sanitária

2. Consentimento documentado

Quando o consentimento for a base legal escolhida, ele deve ser:

• Livre e informado
• Específico para cada finalidade
• Destacado das demais cláusulas contratuais
• Registrado de forma comprovável
• Revogável a qualquer momento

Exemplo prático: se a clínica quer enviar campanhas de marketing por WhatsApp, precisa de consentimento específico para isso, separado da autorização para realizar o tratamento médico.

3. Direitos dos pacientes

A LGPD garante aos titulares (pacientes) diversos direitos que a clínica deve estar preparada para atender:

• Confirmação de que seus dados são tratados
• Acesso aos dados armazenados
• Correção de dados incompletos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários
• Portabilidade dos dados a outro fornecedor
• Informação sobre compartilhamento com terceiros
• Revogação do consentimento

A clínica deve responder essas solicitações em até 15 dias.

4. Segurança da informação

Dados de saúde exigem medidas técnicas e administrativas de segurança:

• Controle de acesso: apenas colaboradores autorizados podem acessar prontuários
• Sistemas seguros: softwares com criptografia e backups regulares
• Armazenamento adequado: documentos físicos em arquivos com chave
• Descarte correto: fragmentação de documentos e exclusão definitiva de arquivos digitais
• Treinamento: capacitação regular da equipe sobre proteção de dados

5. Compartilhamento com terceiros

Ao enviar dados para laboratórios, operadoras de planos de saúde ou sistemas de terceiros, a clínica deve:

• Garantir que o terceiro também está adequado à LGPD
• Formalizar a relação por contrato
• Compartilhar apenas dados necessários
• Informar o paciente sobre o compartilhamento

Passo a passo para adequação

Etapa 1: Mapeamento de dados

Identifique todos os dados pessoais que a clínica coleta, onde estão armazenados e quem tem acesso. Inclua:

• Fichas de anamnese
• Prontuários eletrônicos
• Agendas e cadastros
• E-mails e mensagens
• Imagens de exames
• Contratos e termos

Etapa 2: Revisão de processos

Avalie se cada tratamento de dados tem base legal adequada e se está sendo usado apenas para a finalidade informada ao paciente.

Etapa 3: Adequação de documentos

Atualize:

• Termos de consentimento
• Contratos com fornecedores
• Política de privacidade
• Procedimentos internos

Etapa 4: Implementação de segurança

Invista em:

• Sistema de gestão com segurança certificada
• Controles de acesso por usuário
• Registro de logs de acesso
• Backups criptografados

Etapa 5: Treinamento da equipe

Todos os colaboradores devem entender:

• O que é a LGPD e por que é importante
• Quais dados são sensíveis
• Como manusear informações com segurança
• Procedimentos em caso de vazamento

Etapa 6: Nomeação de responsável

Designe alguém na clínica (pode ser o próprio gestor em clínicas menores) como responsável pela proteção de dados. Essa pessoa será o ponto de contato para dúvidas de pacientes e equipe.

Embora a LGPD exija um Encarregado de Dados (DPO) apenas em situações específicas, é recomendável ter alguém monitorando a conformidade.

Erros comuns que clínicas cometem

• Deixar prontuários físicos em locais de fácil acesso
• Usar aplicativos pessoais (WhatsApp particular) para tratar de casos clínicos
• Não ter controle sobre quem acessa o sistema
• Manter dados de pacientes inativos sem necessidade
• Compartilhar fotos de antes/depois sem autorização específica
• Não ter cópia dos consentimentos assinados

Tecnologia como aliada

Sistemas de gestão desenvolvidos para o setor de saúde já incorporam funcionalidades que facilitam a conformidade com a LGPD, como controle de acesso, registro de alterações, termos digitais e armazenamento seguro em nuvem.

Ao escolher uma solução tecnológica, verifique se o fornecedor oferece garantias de segurança e está adequado à legislação. Plataformas como a Clinz já incluem recursos que auxiliam na proteção de dados e na gestão de consentimentos.

Conclusão

A adequação à LGPD não é apenas uma obrigação legal, mas uma demonstração de respeito aos pacientes e profissionalismo. Clínicas que tratam dados com responsabilidade constroem reputação e evitam problemas jurídicos que podem comprometer o negócio.

Comece pelo básico: mapeie seus dados, treine a equipe e implemente medidas de segurança. A conformidade é um processo contínuo que deve fazer parte da cultura da clínica.