LGPD em clínicas e consultórios: guia prático de conformidade

Dados de saúde são considerados dados pessoais sensíveis pela LGPD (Lei 13.709/2018). Isso significa proteção mais rígida, base legal específica e responsabilidade ampliada para clínicas, consultórios e laboratórios. Este guia traduz a lei em ações práticas.
Por que clínicas estão na mira da ANPD
Clínicas tratam, simultaneamente, dados de identificação (nome, CPF, endereço), dados de saúde (prontuário, exames, diagnósticos) e dados financeiros (carteirinha, planos). Esse acúmulo de informações sensíveis faz do setor um alvo prioritário em fiscalizações e ataques cibernéticos.
A ANPD (Autoridade Nacional de Proteção de Dados) já aplicou sanções no setor e tem reforçado guias específicos para saúde.
Base legal para tratar dados de saúde
Para dados sensíveis, o art. 11 da LGPD restringe as bases legais. Para clínicas, as mais comuns são:
- Cumprimento de obrigação legal/regulatória (ex.: prontuário, faturamento TISS exigido pela ANS).
- Execução de contrato com o titular (relação clínica × paciente).
- Proteção da vida em urgências.
- Tutela da saúde por profissionais da área.
- Consentimento — usado apenas quando nenhuma das anteriores se aplica (ex.: marketing).
Quem precisa ter encarregado (DPO)?
Toda organização que trata dados pessoais precisa indicar um Encarregado pelo Tratamento de Dados — o DPO. Em clínicas pequenas, o DPO pode ser um profissional interno acumulando a função; em médias e grandes, recomenda-se externo ou dedicado.
O canal do DPO precisa estar visível no site e no consultório (geralmente um e-mail). Em paralelo, a clínica deve manter um Registro das Atividades de Tratamento — documento obrigatório que descreve o que se trata e por quê.
Prazos de retenção e descarte
Prontuário médico tem prazo mínimo de retenção de 20 anos após o último registro (Resolução CFM 1.821/07). Documentos fiscais seguem prazos do CDC (5 anos) e da legislação tributária. Dados de marketing devem ser descartados ao fim do consentimento.
Não confunda: você pode reter o prontuário, mas precisa descartar planilhas auxiliares, anexos por e-mail e exportações que excederam sua finalidade.
Compartilhamento com terceiros (operadores)
Operadoras de plano, laboratórios parceiros, contabilidades, sistemas de prontuário, ferramentas de validação TISS — todos são "operadores" sob a LGPD. A clínica (controladora) é responsável por contratos formais que estabeleçam responsabilidade, segurança e finalidade do tratamento.
Antes de contratar um SaaS, exija contrato com cláusula LGPD, política de privacidade pública e descrição da arquitetura de segurança. O TISS Manager tem sua política pública com essas informações.
Direitos do titular que a clínica precisa atender
Pacientes podem solicitar, a qualquer tempo:
- Confirmação de tratamento e acesso aos próprios dados.
- Correção de informações incompletas ou desatualizadas.
- Eliminação de dados que excederam a finalidade.
- Portabilidade para outro prestador.
- Revogação de consentimento (quando essa for a base legal).
Checklist de conformidade para começar amanhã
Se sua clínica ainda não fez nada, comece por aqui:
- Indicar um Encarregado (DPO) e publicar o contato.
- Publicar Política de Privacidade no site.
- Atualizar termos de aceite em fichas de cadastro.
- Mapear sistemas que tratam dados de pacientes.
- Revisar contratos com operadores (TI, contabilidade, parceiros).
- Implementar backup criptografado e controle de acesso por usuário.
- Treinar a equipe — 80% dos vazamentos começam internamente.
Perguntas frequentes
Clínica pequena também precisa cumprir LGPD?
Sim. A LGPD não diferencia por porte. O que muda é a proporcionalidade das medidas — uma clínica de 1 médico não precisa do mesmo aparato de um hospital.
Posso enviar prontuário pelo WhatsApp?
Não. WhatsApp comum não atende aos requisitos de segurança da LGPD para dados sensíveis. Use canais corporativos com criptografia e controle de acesso documentado.
Qual a multa da ANPD?
Pode chegar a 2% do faturamento da empresa, limitada a R$ 50 milhões por infração, além de obrigação de comunicar incidentes a titulares e autoridade.
Conclusão
LGPD na saúde não é projeto pontual: é cultura. Comece pelo básico (DPO, política, contratos), evolua para processos (descarte, treinamento, resposta a incidentes) e escolha fornecedores que já tratem o tema com seriedade — como descrevemos na nossa Política de Privacidade.
Continue lendo
- Tecnologia
Prontuário eletrônico é obrigatório em 2026? O que diz o CFM na prática
Entenda de vez as regras do CFM e da LGPD para prontuário eletrônico em 2026: certificação SBIS, guarda de 20 anos, backup e assinatura digital.
- Operadoras
Credenciamento em plano de saúde: como se credenciar (passo a passo 2026)
Guia direto para médicos e clínicas se credenciarem em operadoras: documentos, contratos, tabela, prazos e armadilhas contratuais.
- Tecnologia
Prescrição eletrônica em 2026: como funciona, é obrigatória e como emitir
Guia definitivo da prescrição eletrônica médica em 2026: validade legal, assinatura digital, receitas azul e amarela, e como implantar em clínica.