LGPD em clínicas: guia prático para adequação e segurança de dados

O que é LGPD e por que clínicas precisam se preocupar

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais no Brasil. Para clínicas médicas, odontológicas e demais estabelecimentos de saúde, a atenção precisa ser redobrada: dados de saúde são classificados como dados sensíveis pela legislação.

Dados sensíveis recebem proteção adicional porque sua exposição pode gerar discriminação ou constrangimento. Isso inclui prontuários, diagnósticos, exames, histórico de tratamentos e qualquer informação relacionada à saúde física ou mental do paciente.

Penalidades previstas na LGPD

O descumprimento da LGPD pode resultar em sanções aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD):

• Advertência com prazo para regularização
• Multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração)
• Multa diária
• Publicização da infração
• Bloqueio ou eliminação dos dados
• Suspensão parcial ou total das atividades

Em 2023, a ANPD iniciou processos de fiscalização ativa, com foco especial no setor de saúde devido à natureza crítica dos dados envolvidos.

Bases legais para tratamento de dados em clínicas

Para tratar dados pessoais de forma legal, clínicas precisam se apoiar em ao menos uma base legal prevista na LGPD. As mais relevantes para o setor são:

Consentimento: autorização clara e específica do paciente para determinada finalidade. Deve ser documentado e o paciente pode revogá-lo a qualquer momento.

Tutela da saúde: permite o tratamento de dados por profissionais e estabelecimentos de saúde para prestação de serviços, sem necessidade de consentimento específico.

Exercício regular de direitos: aplicável quando o tratamento é necessário para exercer direitos em processos judiciais, administrativos ou arbitrais.

Cumprimento de obrigação legal: quando há exigência do CFM, vigilância sanitária ou outros órgãos reguladores.

É importante identificar qual base legal sustenta cada tipo de tratamento realizado na clínica.

Direitos dos pacientes (titulares de dados)

A LGPD garante aos pacientes diversos direitos que as clínicas devem estar preparadas para atender:

• Confirmação e acesso: saber se a clínica possui seus dados e obter cópia
• Correção: solicitar atualização de dados incompletos ou incorretos
• Anonimização, bloqueio ou eliminação: quando os dados forem desnecessários ou tratados irregularmente
• Portabilidade: receber dados em formato estruturado para transferir a outro prestador
• Informação sobre compartilhamento: saber com quais terceiros seus dados foram compartilhados
• Revogação do consentimento: quando essa for a base legal utilizada

As clínicas devem estabelecer processos para responder a essas solicitações dentro dos prazos legais.

Passos práticos para adequação à LGPD

1. Mapeamento de dados

Identifique todos os dados coletados, desde o primeiro contato até o pós-atendimento:

• Formulários de anamnese
• Prontuários físicos e eletrônicos
• Imagens e exames
• Dados financeiros
• Registros de comunicação (WhatsApp, e-mail, SMS)

Documente de onde vêm os dados, quem tem acesso, onde são armazenados e por quanto tempo.

2. Avaliação de fornecedores e parceiros

Laboratórios, sistemas de gestão, serviços de armazenamento em nuvem e outros prestadores precisam estar adequados à LGPD. Firme contratos com cláusulas específicas de proteção de dados que estabeleçam responsabilidades.

3. Implementação de medidas de segurança

• Controle de acesso: apenas colaboradores autorizados devem acessar dados de pacientes
• Criptografia: para dados armazenados e em transmissão
• Backups seguros: com teste periódico de restauração
• Senhas fortes: política obrigatória para todos os sistemas
• Descarte seguro: destruição adequada de documentos físicos e mídias digitais

4. Treinamento da equipe

Todos os colaboradores devem entender:

• O que é LGPD e por que importa
• Como identificar e reportar incidentes de segurança
• Boas práticas no dia a dia (não compartilhar senhas, não fotografar prontuários, etc.)
• Consequências de violações

Realize treinamentos periódicos, não apenas uma vez.

5. Documentação e políticas internas

Elabore e mantenha atualizados:

• Política de Privacidade: documento público explicando como a clínica trata dados
• Termos de Consentimento: quando aplicável
• Política de Segurança da Informação: normas internas
• Registro de tratamento de dados: documento obrigatório detalhando operações
• Plano de resposta a incidentes: procedimentos para caso de vazamento

6. Nomeação do encarregado de dados (DPO)

Embora não seja obrigatório para todas as clínicas, designar um responsável pela proteção de dados facilita a gestão. Pode ser um colaborador interno ou serviço terceirizado. Suas funções incluem:

• Canal de comunicação com pacientes e ANPD
• Orientação da equipe sobre práticas de proteção de dados
• Monitoramento de conformidade

Situações comuns que exigem atenção

WhatsApp e comunicação digital: evite enviar informações sensíveis por canais não seguros. Se necessário, use aplicativos com criptografia e peça consentimento específico.

Prontuários em papel: mantenha em local com acesso restrito, de preferência trancado. Descarte por meio de fragmentação.

Recepcionistas chamando pacientes: não mencione especialidade ou condição de saúde em voz alta na sala de espera.

Compartilhamento com planos de saúde: compartilhe apenas dados estritamente necessários para autorização e faturamento.

Adequação contínua, não pontual

A conformidade com a LGPD não é um projeto com data de término. À medida que a clínica cresce, adota novos sistemas ou processos, a adequação precisa ser revisitada.

Ferramentas de gestão especializadas podem facilitar significativamente esse processo, automatizando controles de acesso, backups seguros e gerenciamento de consentimentos. Sistemas como os oferecidos pelo Clinz já incorporam funcionalidades pensadas para auxiliar na conformidade legal.

A proteção de dados é, acima de tudo, uma questão de respeito ao paciente e profissionalismo na prestação de serviços de saúde.