LGPD em clínicas: guia prático para adequação e segurança de dados

O que é LGPD e por que clínicas precisam se preocupar

A Lei Geral de Proteção de Dados (Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil. Para clínicas de saúde, a atenção precisa ser redobrada: informações médicas são classificadas como dados sensíveis, categoria que exige cuidados extras sob risco de penalidades severas.

Segundo a Autoridade Nacional de Proteção de Dados (ANPD), dados sensíveis incluem informações sobre saúde, características físicas e biométricas. Ou seja, praticamente tudo que uma clínica coleta de seus pacientes.

Penalidades previstas na lei

O descumprimento da LGPD pode resultar em:

• Advertências e notificações para adequação
• Multas simples de até 2% do faturamento (limitadas a R$ 50 milhões por infração)
• Multas diárias
• Publicização da infração
• Bloqueio ou eliminação dos dados
• Suspensão parcial ou total das atividades

Em 2023, a ANPD aplicou as primeiras multas no Brasil, sinalizando fiscalização mais rigorosa. Uma clínica que sofra vazamento de dados pode enfrentar não apenas multas, mas processos judiciais de pacientes e danos irreparáveis à reputação.

Principais obrigações para clínicas

1. Base legal para tratamento de dados

A LGPD exige que você tenha uma justificativa legal para coletar e usar dados. Para clínicas, as bases mais comuns são:

• Consentimento explícito: o paciente autoriza de forma clara e específica
• Execução de contrato: dados necessários para realizar o atendimento
• Cumprimento de obrigação legal: envio de informações para ANS, convênios ou autoridades sanitárias
• Tutela da saúde: procedimentos realizados por profissionais de saúde

2. Termo de consentimento adequado

O consentimento precisa ser:

• Por escrito ou em meio eletrônico verificável
• Destacado das demais cláusulas contratuais
• Em linguagem clara e acessível
• Específico para cada finalidade
• Revogável a qualquer momento

Evite termos genéricos como "concordo com a política de privacidade". Especifique: "Autorizo o uso de meus dados para agendamento de consultas, envio de lembretes e comunicação de resultados de exames".

3. Direitos dos pacientes

Sua clínica deve garantir que pacientes possam:

• Confirmar se há tratamento de seus dados
• Acessar seus dados completos
• Corrigir dados incompletos ou desatualizados
• Solicitar anonimização, bloqueio ou eliminação
• Revogar consentimento
• Receber informações sobre compartilhamento com terceiros

Estabeleça um procedimento claro para atender essas solicitações em até 15 dias.

4. Segurança da informação

Medidas técnicas obrigatórias incluem:

• Criptografia de dados sensíveis em trânsito e em repouso
• Controle de acesso com usuários e senhas individuais
• Backup regular com teste de recuperação
• Registro de acessos (logs) para auditoria
• Anonimização quando a identificação não for necessária
• Descarte seguro de documentos físicos e digitais

Prontuários em papel devem ficar em armários trancados com acesso restrito. Computadores precisam ter bloqueio automático de tela e antivírus atualizado.

Passo a passo para adequação

Etapa 1: Mapeamento de dados

Documente:

• Quais dados você coleta (nome, CPF, endereço, histórico médico, etc.)
• Como coleta (formulários, sistemas, telefonemas)
• Onde armazena (servidores, nuvem, papel)
• Quem tem acesso (médicos, recepcionistas, terceiros)
• Por quanto tempo mantém
• Com quem compartilha (laboratórios, convênios)

Etapa 2: Adequação dos processos

• Revise contratos com fornecedores (laboratórios, software, contabilidade)
• Atualize termos de consentimento e avisos de privacidade
• Implemente controles de segurança identificados como ausentes
• Estabeleça procedimento para atender solicitações dos pacientes
• Crie plano de resposta a incidentes de segurança

Etapa 3: Nomeação de responsáveis

Embora nem todas as clínicas sejam obrigadas a ter um Encarregado de Dados (DPO), é recomendável designar alguém responsável pela conformidade. Pode ser o gestor, desde que treinado.

Etapa 4: Treinamento da equipe

Todos os colaboradores devem entender:

• O que é LGPD e por que é importante
• Quais dados não podem ser compartilhados
• Como identificar e reportar incidentes
• Procedimentos de segurança do dia a dia

Realize treinamentos ao menos anualmente.

Etapa 5: Documentação

Mantenha registrado:

• Relatório de impacto à proteção de dados (quando aplicável)
• Políticas internas de privacidade e segurança
• Termos de consentimento assinados
• Contratos com operadores de dados
• Incidentes de segurança e medidas tomadas

Cuidados com fornecedores e sistemas

Ao escolher softwares para sua clínica, verifique:

• Certificações de segurança (ISO 27001, por exemplo)
• Cláusulas contratuais sobre proteção de dados
• Localização dos servidores (dados no Brasil têm proteção adicional)
• Política de backup e recuperação
• Histórico de segurança da empresa

Fornecedores que acessam dados de pacientes (como laboratórios) devem assinar termo de compromisso conforme LGPD.

Adequação como diferencial competitivo

Mais que obrigação legal, a conformidade com a LGPD demonstra profissionalismo e respeito aos pacientes. Clínicas que comunicam suas práticas de proteção de dados constroem confiança e se destacam no mercado.

Sistemas de gestão que já incorporam funcionalidades de conformidade facilitam esse processo, permitindo que você foque no atendimento enquanto a tecnologia cuida da segurança. A adequação não precisa ser complexa quando você conta com as ferramentas certas.