LGPD em clínicas e consultórios: guia prático de conformidade
Dados de saúde são considerados dados pessoais sensíveis pela LGPD (Lei 13.709/2018). Isso significa proteção mais rígida, base legal específica e responsabilidade ampliada para clínicas, consultórios e laboratórios. Este guia traduz a lei em ações práticas.
Por que clínicas estão na mira da ANPD
Clínicas tratam, simultaneamente, dados de identificação (nome, CPF, endereço), dados de saúde (prontuário, exames, diagnósticos) e dados financeiros (carteirinha, planos). Esse acúmulo de informações sensíveis faz do setor um alvo prioritário em fiscalizações e ataques cibernéticos.
A ANPD (Autoridade Nacional de Proteção de Dados) já aplicou sanções no setor e tem reforçado guias específicos para saúde.
Base legal para tratar dados de saúde
Para dados sensíveis, o art. 11 da LGPD restringe as bases legais. Para clínicas, as mais comuns são:
- Cumprimento de obrigação legal/regulatória (ex.: prontuário, faturamento TISS exigido pela ANS).
- Execução de contrato com o titular (relação clínica × paciente).
- Proteção da vida em urgências.
- Tutela da saúde por profissionais da área.
- Consentimento — usado apenas quando nenhuma das anteriores se aplica (ex.: marketing).
Quem precisa ter encarregado (DPO)?
Toda organização que trata dados pessoais precisa indicar um Encarregado pelo Tratamento de Dados — o DPO. Em clínicas pequenas, o DPO pode ser um profissional interno acumulando a função; em médias e grandes, recomenda-se externo ou dedicado.
O canal do DPO precisa estar visível no site e no consultório (geralmente um e-mail). Em paralelo, a clínica deve manter um Registro das Atividades de Tratamento — documento obrigatório que descreve o que se trata e por quê.
Prazos de retenção e descarte
Prontuário médico tem prazo mínimo de retenção de 20 anos após o último registro (Resolução CFM 1.821/07). Documentos fiscais seguem prazos do CDC (5 anos) e da legislação tributária. Dados de marketing devem ser descartados ao fim do consentimento.
Não confunda: você pode reter o prontuário, mas precisa descartar planilhas auxiliares, anexos por e-mail e exportações que excederam sua finalidade.
Compartilhamento com terceiros (operadores)
Operadoras de plano, laboratórios parceiros, contabilidades, sistemas de prontuário, ferramentas de validação TISS — todos são "operadores" sob a LGPD. A clínica (controladora) é responsável por contratos formais que estabeleçam responsabilidade, segurança e finalidade do tratamento.
Antes de contratar um SaaS, exija contrato com cláusula LGPD, política de privacidade pública e descrição da arquitetura de segurança. O TISS Manager tem sua política pública com essas informações.
Direitos do titular que a clínica precisa atender
Pacientes podem solicitar, a qualquer tempo:
- Confirmação de tratamento e acesso aos próprios dados.
- Correção de informações incompletas ou desatualizadas.
- Eliminação de dados que excederam a finalidade.
- Portabilidade para outro prestador.
- Revogação de consentimento (quando essa for a base legal).
Checklist de conformidade para começar amanhã
Se sua clínica ainda não fez nada, comece por aqui:
- Indicar um Encarregado (DPO) e publicar o contato.
- Publicar Política de Privacidade no site.
- Atualizar termos de aceite em fichas de cadastro.
- Mapear sistemas que tratam dados de pacientes.
- Revisar contratos com operadores (TI, contabilidade, parceiros).
- Implementar backup criptografado e controle de acesso por usuário.
- Treinar a equipe — 80% dos vazamentos começam internamente.
Perguntas frequentes
Clínica pequena também precisa cumprir LGPD?
Sim. A LGPD não diferencia por porte. O que muda é a proporcionalidade das medidas — uma clínica de 1 médico não precisa do mesmo aparato de um hospital.
Posso enviar prontuário pelo WhatsApp?
Não. WhatsApp comum não atende aos requisitos de segurança da LGPD para dados sensíveis. Use canais corporativos com criptografia e controle de acesso documentado.
Qual a multa da ANPD?
Pode chegar a 2% do faturamento da empresa, limitada a R$ 50 milhões por infração, além de obrigação de comunicar incidentes a titulares e autoridade.
Conclusão
LGPD na saúde não é projeto pontual: é cultura. Comece pelo básico (DPO, política, contratos), evolua para processos (descarte, treinamento, resposta a incidentes) e escolha fornecedores que já tratem o tema com seriedade — como descrevemos na nossa Política de Privacidade.
Continue lendo
- Gestão
Fluxo de faturamento de convênios: do zero ao recebimento (passo a passo)
Um mapa claro de todas as etapas do faturamento de convênios — do agendamento ao recebimento — com responsáveis, prazos e pontos de controle.
- Tutoriais
Como ler o demonstrativo de pagamento TISS (XML de retorno) sem se perder
O demonstrativo é o XML que fecha o ciclo do faturamento. Veja como ler campo a campo, conciliar com o lote enviado e identificar glosas rapidamente.
- Tutoriais
OPME no TISS: guia prático para faturar sem glosa
OPME é o item que mais derruba faturamento cirúrgico. Veja regras de orçamento, nota fiscal e como faturar no TISS sem ser glosado.