LGPD em clínicas: o que você precisa saber para estar em conformidade

O que é a LGPD e por que clínicas precisam se preocupar

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) está em vigor desde setembro de 2020 e estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Para clínicas médicas, odontológicas e estabelecimentos de saúde, o tema é ainda mais sensível.

Dados de saúde são classificados como dados sensíveis pela LGPD. Isso significa que recebem uma camada extra de proteção legal, exigindo cuidados redobrados no manuseio de prontuários, exames, históricos médicos e informações de pacientes.

Penalidades para quem descumpre a lei

A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções que incluem:

• Advertência com prazo para adequação
• Multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração
• Multa diária
• Publicização da infração
• Bloqueio ou eliminação dos dados
• Suspensão parcial ou total das atividades de tratamento de dados

Em 2023, a ANPD iniciou o ciclo de fiscalizações em estabelecimentos de saúde. Clínicas de todos os portes estão no radar.

Principais obrigações da LGPD para clínicas

1. Base legal para tratamento de dados

Você precisa identificar a base legal que justifica a coleta de cada tipo de dado. Para clínicas, as principais são:

• Consentimento: autorização explícita do paciente para tratamentos não obrigatórios
• Tutela da saúde: procedimentos realizados por profissionais de saúde
• Execução de contrato: dados necessários para prestação do serviço contratado
• Obrigação legal: cumprimento de normas do CFM, vigilância sanitária e outras

2. Consentimento documentado

O consentimento deve ser:

• Livre e informado
• Específico para cada finalidade
• Destacado das demais cláusulas contratuais
• Registrado e comprovável

Exemplo prático: se você envia lembretes de consulta por WhatsApp ou SMS, precisa de autorização específica para isso. O mesmo vale para uso de imagens em marketing.

3. Direitos dos titulares

Seus pacientes têm direito a:

• Saber quais dados você possui sobre eles
• Solicitar correção de dados incorretos
• Pedir a exclusão de dados (com exceções legais para históricos médicos)
• Revogar consentimento
• Solicitar portabilidade de dados

Você precisa ter processos para atender essas solicitações em até 15 dias.

4. Segurança da informação

Implementar medidas técnicas e administrativas para proteger os dados:

• Controle de acesso (apenas profissionais autorizados)
• Senhas fortes e autenticação em dois fatores
• Backup regular e criptografia
• Computadores com antivírus e firewall
• Rede Wi-Fi protegida
• Descarte seguro de documentos físicos

5. Encarregado de dados (DPO)

É obrigatório indicar um responsável pela proteção de dados. Em clínicas menores, pode ser o próprio gestor. Suas funções incluem:

• Orientar funcionários sobre práticas de proteção
• Atender solicitações de pacientes
• Ser o canal de comunicação com a ANPD

O contato do encarregado deve estar disponível no site ou recepção.

Situações comuns que exigem atenção

Prontuários em papel: devem ficar em local trancado com acesso restrito. O descarte precisa ser feito por fragmentação ou incineração.

Sistemas e softwares: verifique se o fornecedor do seu sistema de gestão está adequado à LGPD. Exija contrato de processamento de dados.

WhatsApp e aplicativos: não compartilhe dados de pacientes em grupos. Use ferramentas profissionais com criptografia.

Recepção: treine sua equipe para não falar nomes ou diagnósticos em voz alta. Evite deixar documentos visíveis no balcão.

Marketing: ao usar fotos ou depoimentos de pacientes, tenha autorização por escrito especificando onde e como serão usados.

Exames terceirizados: laboratórios e clínicas parceiras são operadores de dados. Formalize a relação com contratos adequados.

Checklist de adequação à LGPD

• [ ] Mapear todos os dados coletados e suas finalidades
• [ ] Revisar e atualizar termos de consentimento
• [ ] Nomear encarregado de proteção de dados
• [ ] Criar procedimentos para atender direitos dos titulares
• [ ] Implementar controles de segurança digital e física
• [ ] Treinar toda a equipe sobre LGPD
• [ ] Revisar contratos com fornecedores
• [ ] Estabelecer política de retenção e descarte de dados
• [ ] Documentar todas as medidas adotadas
• [ ] Criar plano de resposta a incidentes

Retenção de dados médicos

O Conselho Federal de Medicina estabelece que prontuários devem ser mantidos por no mínimo 20 anos. Mesmo que o paciente solicite exclusão, você tem obrigação legal de manter o histórico médico.

Após o período de retenção, os dados devem ser anonimizados ou eliminados de forma segura.

Próximos passos

A adequação à LGPD não é um evento único, mas um processo contínuo. Comece pelas medidas básicas de segurança e vá aprimorando seus procedimentos.

Documente tudo: políticas, treinamentos, consentimentos e incidentes. Em caso de fiscalização, demonstrar esforço de conformidade conta a seu favor.

Contar com sistemas de gestão que já foram desenvolvidos considerando as exigências da lei facilita significativamente o processo de adequação e reduz riscos operacionais no dia a dia da clínica.