LGPD em clínicas: guia prático para adequação e conformidade

O que é a LGPD e por que clínicas precisam se preocupar

A Lei Geral de Proteção de Dados (Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil desde setembro de 2020. Para clínicas de saúde, a atenção deve ser redobrada: informações médicas são classificadas como dados sensíveis, categoria com regras mais rigorosas de proteção.

Clínicas lidam diariamente com prontuários, exames, histórico de consultas, diagnósticos e informações sobre saúde física e mental dos pacientes. Qualquer vazamento, uso indevido ou compartilhamento inadequado dessas informações pode resultar em sanções pesadas.

Penalidades previstas na lei

A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar as seguintes sanções:

• Advertência com prazo para adequação
• Multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração
• Multa diária
• Publicização da infração
• Bloqueio ou eliminação dos dados
• Suspensão parcial ou total das atividades de tratamento de dados

Em 2023, a ANPD iniciou o ciclo de fiscalização ativa, com foco em setores que tratam dados sensíveis, incluindo saúde.

Bases legais para tratamento de dados na área da saúde

Clínicas podem tratar dados pessoais de pacientes com base em:

Consentimento: autorização expressa do paciente para finalidades específicas. Deve ser documentado, claro e revogável a qualquer momento.

Tutela da saúde: procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária. Esta base dispensa consentimento para o atendimento em si.

Obrigação legal: quando a lei exige o armazenamento, como no caso de prontuários médicos que devem ser mantidos por 20 anos segundo o Conselho Federal de Medicina.

Proteção da vida: em situações de emergência onde não é possível obter consentimento.

Passos práticos para adequação

1. Mapeamento de dados

Identifique todos os dados coletados:

• Quais informações são solicitadas no cadastro?
• Onde ficam armazenados (papel, sistema, nuvem)?
• Quem tem acesso a esses dados?
• Por quanto tempo são mantidos?
• Com quem são compartilhados (laboratórios, convênios, outros médicos)?

Documente cada fluxo em um relatório de mapeamento.

2. Nomeação de responsáveis

Designe um encarregado de dados (DPO), responsável por:

• Orientar equipe e pacientes sobre práticas de proteção
• Receber comunicações da ANPD
• Atender solicitações dos titulares

Em clínicas menores, o próprio gestor pode acumular essa função, mas precisa ter conhecimento específico sobre a lei.

3. Revisão de documentos

Atualize:

• Termo de consentimento: especifique finalidades, prazo de armazenamento e possibilidade de revogação
• Política de privacidade: disponível no site e na recepção
• Contratos com fornecedores: laboratórios, empresas de software e prestadores de serviço devem assinar termos de responsabilidade compartilhada

4. Segurança da informação

Implemente medidas técnicas:

• Senhas fortes e individuais para cada funcionário
• Controle de acesso por níveis (recepcionista não precisa ver prontuários completos)
• Backup regular e criptografado
• Antivírus e firewall atualizados
• Prontuários físicos em armários trancados
• Descarte seguro de documentos (fragmentação)

5. Treinamento da equipe

Todos os colaboradores devem entender:

• O que são dados pessoais e sensíveis
• Como manusear informações com segurança
• Proibição de compartilhar dados fora do contexto profissional
• Procedimentos em caso de incidente

Realize treinamentos a cada 6 meses e registre a participação.

6. Procedimentos para direitos dos titulares

Pacientes têm direito de:

• Confirmar se seus dados são tratados
• Acessar seus dados
• Corrigir informações incompletas ou desatualizadas
• Solicitar anonimização ou eliminação (exceto quando há obrigação legal de manter)
• Revogar consentimento
• Obter portabilidade (receber dados em formato estruturado)

Crie um procedimento padrão para atender essas solicitações em até 15 dias.

Marketing e captação de pacientes

O uso de dados para envio de lembretes de consulta, campanhas de vacinação ou comunicação institucional exige consentimento específico.

Não é permitido:

• Enviar mensagens promocionais sem autorização
• Compartilhar listas de pacientes com terceiros
• Usar dados de saúde para segmentação publicitária

É permitido (com consentimento):

• Lembrete de retorno ou consulta agendada
• Comunicados sobre alteração de horário
• Informações sobre saúde pública relevantes ao histórico do paciente

Incidentes de segurança

Em caso de vazamento ou acesso indevido:

1. Contenha o problema imediatamente
2. Avalie o risco aos titulares
3. Comunique a ANPD em até 48 horas se houver risco relevante
4. Notifique os pacientes afetados
5. Documente o ocorrido e as medidas tomadas

Tecnologia como aliada

Sistemas de gestão especializados facilitam a conformidade com recursos nativos de segurança, controle de acesso e backup automático. Ao escolher uma solução, verifique se o fornecedor está adequado à LGPD e oferece termo de responsabilidade compartilhada.

A adequação à LGPD não é apenas uma obrigação legal, mas demonstração de respeito aos pacientes e diferencial competitivo. Clínicas que investem em proteção de dados constroem reputação sólida e relação de confiança duradoura.