LGPD em clínicas: o que você precisa fazer para estar em conformidade

O que é a LGPD e por que clínicas precisam se preocupar

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) entrou em vigor em setembro de 2020 e estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Para clínicas médicas, odontológicas e demais estabelecimentos de saúde, a atenção precisa ser redobrada: dados de saúde são classificados como dados sensíveis, categoria que recebe proteção especial pela lei.

O descumprimento pode resultar em multas de até R$ 50 milhões ou 2% do faturamento da empresa, além de advertências, bloqueio e eliminação dos dados. Mais importante que as penalidades, há o risco reputacional e a perda de confiança dos pacientes.

Dados que clínicas coletam e precisam proteger

Clínicas lidam diariamente com diversos tipos de dados pessoais:

• Dados cadastrais: nome, CPF, RG, endereço, telefone, e-mail, data de nascimento
• Dados de saúde: histórico médico, diagnósticos, exames, prescrições, alergias
• Dados financeiros: forma de pagamento, dados bancários, informações de convênio
• Imagens: fotos clínicas, radiografias, tomografias, ultrassonografias
• Dados biométricos: em alguns casos, impressões digitais ou reconhecimento facial

Todos esses dados precisam de proteção adequada segundo a LGPD.

Bases legais para tratamento de dados em clínicas

A LGPD exige uma base legal para processar dados pessoais. Para clínicas, as principais são:

Tutela da saúde: procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária não precisam de consentimento específico, pois têm base legal própria.

Consentimento: necessário para finalidades secundárias, como envio de newsletters, comunicações de marketing ou pesquisas de satisfação. O consentimento precisa ser livre, informado e inequívoco.

Cumprimento de obrigação legal: para atender exigências do Conselho Federal de Medicina, ANS ou outros órgãos reguladores.

Medidas práticas para adequação à LGPD

1. Mapeamento de dados

Identifique todos os dados coletados, onde são armazenados, quem tem acesso e por quanto tempo são mantidos. Documente:

• Formulários de cadastro (físicos e digitais)
• Prontuários eletrônicos
• Sistemas de agendamento
• E-mails e mensagens
• Backups e arquivos antigos

2. Política de privacidade clara

Elabore uma política de privacidade específica que explique:

• Quais dados são coletados e por quê
• Como os dados são armazenados e protegidos
• Com quem os dados podem ser compartilhados
• Quanto tempo os dados são mantidos
• Como o paciente pode exercer seus direitos

A política deve estar disponível no site, aplicativo e fisicamente na recepção.

3. Termo de consentimento

Crie termos de consentimento separados para:

• Tratamento de dados para fins assistenciais (quando não coberto pela tutela da saúde)
• Comunicações de marketing
• Compartilhamento com terceiros (laboratórios, convênios)
• Uso de imagens para fins não assistenciais

4. Segurança da informação

Implemente medidas técnicas e administrativas:

• Senhas fortes e autenticação em dois fatores
• Controle de acesso por nível (recepcionista, médico, administrador)
• Criptografia de dados sensíveis
• Backup regular com armazenamento seguro
• Software antivírus e firewall atualizados
• Certificado SSL no site e sistemas web

5. Treinamento da equipe

Toda equipe que tem contato com dados precisa entender:

• O que é a LGPD e por que é importante
• Quais dados podem acessar e para quais finalidades
• Como identificar e reportar incidentes de segurança
• Boas práticas de segurança (não compartilhar senhas, não deixar telas desbloqueadas)

6. Gestão de fornecedores

Softwares de gestão, empresas de TI, laboratórios e outros prestadores que acessam dados de pacientes são considerados operadores. Você precisa:

• Verificar se possuem medidas de segurança adequadas
• Formalizar a relação por contrato com cláusulas de proteção de dados
• Garantir que usem os dados apenas para a finalidade contratada

7. Procedimento para incidentes

Crie um protocolo para vazamentos ou acessos não autorizados:

• Identificação e contenção do incidente
• Avaliação do impacto
• Comunicação à ANPD em até 2 dias úteis (em casos graves)
• Notificação aos pacientes afetados
• Medidas corretivas

Direitos dos pacientes que você precisa garantir

A LGPD garante aos pacientes:

• Acesso: receber cópia dos seus dados
• Correção: atualizar dados incompletos ou incorretos
• Anonimização ou exclusão: quando não houver mais necessidade ou base legal
• Portabilidade: receber dados em formato estruturado
• Revogação do consentimento: retirar autorização previamente dada

Estabeleça um canal oficial para essas solicitações (e-mail, formulário) e responda em prazo razoável.

Encarregado de dados (DPO)

A lei exige a indicação de um encarregado de proteção de dados, que pode ser:

• Um profissional da própria clínica (com treinamento)
• Um consultor externo especializado
• Um serviço compartilhado para clínicas menores

O encarregado é o ponto de contato entre clínica, pacientes e ANPD.

Retenção de dados: por quanto tempo guardar

O Conselho Federal de Medicina determina que prontuários devem ser mantidos por no mínimo 20 anos após o último atendimento. Para outros dados:

• Dados fiscais: 5 anos (legislação tributária)
• Dados de marketing: enquanto houver consentimento válido
• Dados desnecessários: devem ser eliminados

Estabeleça uma política de retenção e descarte seguro.

Próximos passos

Adequar uma clínica à LGPD não acontece da noite para o dia. Comece pelas medidas mais críticas:

1. Revisar segurança de sistemas e acessos
2. Criar política de privacidade
3. Treinar equipe
4. Regularizar contratos com fornecedores

Softwares especializados para gestão de clínicas já incluem funcionalidades que facilitam a conformidade com a LGPD, centralizando dados e controlando acessos de forma automatizada.

A proteção de dados não é apenas uma obrigação legal: é um diferencial competitivo que demonstra profissionalismo e respeito aos pacientes.