LGPD para Clínicas: Guia Prático para Proteger Dados de Pacientes
Entenda como a LGPD se aplica a clínicas médicas, odontológicas e de saúde mental: dado sensível, bases legais, direitos do paciente, segurança e WhatsApp.
LGPD & Compliance A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) não é assunto apenas para grandes empresas de tecnologia. Toda clínica que registra nome, telefone, diagnóstico ou evolução de pacientes trata dados pessoais — e, na maioria dos casos, dados sensíveis de saúde. Isso cria obrigações concretas que vão desde a forma como você organiza o prontuário até a maneira como a recepcionista usa o WhatsApp para confirmar consultas.
Este guia apresenta os pontos mais relevantes da LGPD para o dia a dia de clínicas médicas, odontológicas, psicológicas, psiquiátricas e similares, com referência direta aos artigos da lei. O objetivo não é substituir uma assessoria jurídica, mas dar uma base sólida para que gestores e profissionais de saúde compreendam o que está em jogo e tomem decisões informadas.
Por que Dado de Saúde É Diferente dos Outros
O Art. 5º, II da LGPD define dados pessoais sensíveis como aqueles referentes, entre outros aspectos, à saúde e à vida sexual. O dado de saúde merece proteção reforçada por ser especialmente capaz de gerar discriminação ou prejuízo ao titular — um histórico de doenças pode afetar contratações, seguros e relacionamentos.
É aí que entra o Art. 11, o coração da LGPD para clínicas. Enquanto o Art. 7º lista as bases legais para dados pessoais comuns (consentimento, contrato, interesse legítimo, entre outras), o Art. 11 traz bases específicas e mais restritas para dados sensíveis. Para saúde, as principais são:
- Consentimento do titular, dado de forma específica e destacada (Art. 11, I).
- Tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (Art. 11, II, “f”).
- Proteção da vida ou da incolumidade física do titular ou de terceiro (Art. 11, II, “e”).
Na prática clínica, o prontuário se enquadra sobretudo na base da tutela da saúde. Isso significa que a clínica pode tratar os dados do paciente para prestar o serviço assistencial sem precisar de um “aceite” a cada registro — mas deve manter documentação clara da finalidade e do responsável pelo tratamento.
O Art. 11, § 4º proíbe expressamente a comunicação ou o uso compartilhado de dados sensíveis de saúde entre controladores com objetivo de obter vantagem econômica. Em termos práticos: vender ou ceder listas de pacientes a laboratórios, planos de saúde ou parceiros comerciais sem base legal adequada é infração direta à LGPD.
Quais Direitos o Paciente Tem Sobre os Próprios Dados
O Art. 18 é o artigo do paciente. Ele garante ao titular — neste caso, ao seu paciente — o direito de, a qualquer momento e mediante requisição, obter da clínica (controladora dos dados):
- Confirmação de que existe tratamento dos seus dados.
- Acesso aos dados tratados.
- Correção de informações incompletas, inexatas ou desatualizadas.
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a lei.
- Portabilidade dos dados a outro prestador de serviço (conforme regulamentação da ANPD).
- Eliminação dos dados tratados com base em consentimento, salvo exceções legais.
- Informação sobre com quem os dados foram compartilhados.
- Revogação do consentimento a qualquer tempo.
Para clínicas, isso se traduz em processos concretos: ter um canal para receber pedidos de acesso ou correção, saber onde cada dado está armazenado e conseguir responder em prazo razoável. Uma clínica que usa um prontuário eletrônico centralizado tem muito mais facilidade para atender esses pedidos do que uma que mistura papéis, planilhas e conversas de WhatsApp.
LGPD na Prática: Prontuário, Agenda e WhatsApp
Prontuário Eletrônico
O prontuário concentra os dados mais sensíveis: diagnósticos, evoluções, medicamentos, histórico familiar. Além das obrigações da LGPD, o Conselho Federal de Medicina (CFM) e os demais conselhos profissionais têm normas próprias de guarda. A LGPD adiciona a camada de segurança técnica e administrativa exigida pelo Art. 46 (ver seção abaixo) e o dever de minimização: registrar apenas o dado necessário para a finalidade assistencial.
Agenda e Cadastro de Pacientes
Nome, telefone, e-mail e data de nascimento são dados pessoais comuns (Art. 5º, I). A base legal mais frequente aqui é a execução de contrato (Art. 7º, V) — o paciente fornece esses dados para que a clínica possa agendá-lo e contatá-lo. Ainda assim, a clínica deve informar a finalidade do uso e não utilizar esses dados para fins distintos sem nova base legal.
WhatsApp para Confirmações e Atendimento
O WhatsApp utiliza criptografia de ponta a ponta nas mensagens, mas a clínica não controla a infraestrutura do canal — o servidor e os metadados ficam sob gestão da Meta, e dispositivos comprometidos podem expor o histórico de conversas. Por isso, boas práticas incluem:
- Não enviar dados clínicos sensíveis (diagnósticos, exames, medicamentos) pelo WhatsApp. Use-o para confirmações, lembretes e orientações administrativas.
- Registrar o consentimento do paciente para receber mensagens nesse canal.
- Cuidado com áudios: uma IA que entende áudio e converte para texto passa o dado por processamento adicional — certifique-se de que o fornecedor tem política de privacidade adequada e contrato de processamento de dados (DPA) firmado.
- Ferramentas que fazem o repasse para atendimento humano com histórico da conversa devem garantir que esse histórico só seja acessível a quem tem necessidade legítima.
Documente em uma política interna quais dados podem ser tratados por cada canal (WhatsApp, e-mail, sistema, telefone). Isso simplifica auditorias, treina a equipe e demonstra boa-fé em caso de incidente — um fator que o Art. 52 considera na graduação das sanções.
Segurança: A Obrigação do Art. 46
O Art. 46 exige que os agentes de tratamento adotem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.
“Medidas técnicas” incluem controle de acesso por senha individual, autenticação em dois fatores, criptografia de dados em repouso e em trânsito, backups regulares e logs de auditoria. “Medidas administrativas” incluem treinamento de equipe, política de mesa limpa, contratos de confidencialidade e processos claros para resposta a incidentes.
Para aprofundar as práticas de segurança aplicadas à realidade de uma clínica digital, veja nossa página sobre segurança de dados na Agiliza Clínica.
Sanções: O Que Está em Jogo (Art. 52)
O Art. 52 atribui à Autoridade Nacional de Proteção de Dados (ANPD) competência exclusiva para aplicar sanções administrativas. As penalidades vão desde advertência com prazo para correção até multa simples de até 2% do faturamento da empresa no Brasil no último exercício (excluídos os tributos), limitada a R$ 50 milhões por infração (Art. 52, I), além de multa diária, publicização da infração, bloqueio ou eliminação dos dados envolvidos e, em casos graves, suspensão parcial ou proibição total do tratamento.
As sanções são aplicadas de forma graduada, considerando fatores como a boa-fé do infrator, a adoção de políticas internas, a gravidade do dano e a reincidência. Em outras palavras: uma clínica que documentou suas práticas, treinou a equipe e tomou providências quando identificou um problema está em posição muito mais favorável do que uma que simplesmente ignorou a lei.
A Agiliza Clínica foi desenvolvida com práticas de segurança e privacidade integradas ao fluxo de atendimento — agenda, prontuário, WhatsApp e cobranças em um só lugar.
Conheça a plataformaFontes
- Lei nº 13.709/2018 (LGPD) — texto oficial, Planalto
- Lei nº 13.787/2018 — digitalização e guarda de prontuários, Planalto
- Resolução CFM nº 1.821/2007 — guarda de prontuários
Perguntas Frequentes
LGPD para Clínicas — Dúvidas Comuns
Clínica pequena, com poucos pacientes, também precisa cumprir a LGPD? +
Sim. A LGPD não tem limites de porte ou faturamento para a maioria das obrigações. Qualquer estabelecimento que trate dados de pacientes — seja uma clínica com um profissional ou uma com dezenas — está sujeito às regras. O porte pode influenciar na graduação das sanções, mas não isenta de cumprir os princípios fundamentais.
Preciso de consentimento do paciente para registrar o prontuário? +
Não necessariamente. O prontuário geralmente se apoia na base legal de tutela da saúde (Art. 11, II, 'f'), que permite o tratamento sem consentimento quando realizado por profissional de saúde no exercício de suas funções. O consentimento é uma das bases possíveis, mas não é a única — e forçá-lo como única justificativa pode gerar problemas se o paciente revogar.
Posso usar o WhatsApp para enviar resultados de exames ou diagnósticos? +
É uma prática arriscada. Embora o WhatsApp utilize criptografia de ponta a ponta nas mensagens, a clínica não controla a infraestrutura do canal, e dispositivos comprometidos ou acessos indevidos podem expor dados sensíveis de saúde sem que a clínica consiga garantir o nível de segurança exigido pelo Art. 46. Prefira canais seguros e autenticados para informações clínicas; use o WhatsApp para comunicações administrativas como confirmações, lembretes e orientações gerais.
Por quanto tempo devo guardar os dados dos pacientes? +
A LGPD exige eliminação quando os dados não são mais necessários para a finalidade original — mas há legislação setorial que prevalece. A guarda mínima legal para prontuários é de 20 anos a contar do último registro (Lei nº 13.787/2018 e Resolução CFM nº 1.821/2007). Sempre combine os requisitos da LGPD com as normas do conselho profissional da sua especialidade.
O que fazer se ocorrer um vazamento de dados? +
A LGPD exige comunicação à ANPD e ao titular em prazo razoável quando o incidente puder acarretar risco ou dano relevante. Tenha um plano de resposta documentado: identificar o incidente, conter, avaliar impacto, notificar as partes cabíveis e registrar tudo. A transparência e a agilidade na resposta são consideradas positivamente na eventual aplicação de sanções (Art. 52).
Um sistema de IA administrativa que responde pacientes pelo WhatsApp precisa seguir a LGPD? +
Sim. O sistema de IA é um operador de dados — trata dados pessoais em nome da clínica (controladora). A clínica deve garantir que o fornecedor do sistema tenha contrato de processamento de dados adequado, que os dados não sejam usados para finalidades alheias ao serviço contratado e que medidas técnicas de segurança estejam implementadas. A IA administrativa não toma decisões clínicas, mas trata dados pessoais e, eventualmente, sensíveis.