LGPD em clínicas: guia prático para proteção de dados de pacientes

O que é a LGPD e por que clínicas precisam se preocupar

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais no Brasil. Para clínicas de saúde, o impacto é direto: prontuários, históricos médicos, exames e até cadastros simples contêm dados sensíveis que exigem proteção reforçada.

Dados de saúde são considerados sensíveis pela LGPD, o que significa maior responsabilidade legal e proteções obrigatórias. Uma falha pode resultar em multas de até R$ 50 milhões ou 2% do faturamento anual da empresa, além de danos à reputação e processos judiciais.

Principais obrigações da LGPD para clínicas

Consentimento explícito

Clínicas devem obter autorização clara e específica dos pacientes para coletar e usar seus dados. O consentimento precisa ser:

• Específico: para cada finalidade (atendimento, envio de lembretes, pesquisas)
• Destacado: em linguagem clara, sem esconder informações em termos jurídicos
• Documentado: guardado como prova de que o paciente autorizou

O consentimento pode ser revogado a qualquer momento pelo paciente.

Finalidade definida

Cada dado coletado deve ter um propósito claro. Não é permitido usar informações de consultas para enviar publicidade sem autorização específica para isso.

Segurança da informação

A clínica é responsável por proteger os dados contra:

• Acessos não autorizados
• Vazamentos
• Perda ou destruição acidental

Isso inclui medidas técnicas (criptografia, backups, controle de acesso) e administrativas (treinamento de equipe, políticas internas).

Direitos dos pacientes

A LGPD garante aos pacientes o direito de:

• Acessar seus dados
• Corrigir informações incorretas
• Solicitar exclusão (respeitando obrigações legais de guarda de prontuários)
• Portar dados para outro prestador
• Revogar consentimento

A clínica deve ter processos para atender essas solicitações em até 15 dias.

Passos práticos para adequação à LGPD

1. Mapeie os dados

Identifique todos os dados pessoais que sua clínica coleta:

• Cadastro de pacientes (nome, CPF, endereço, telefone)
• Prontuários médicos
• Resultados de exames
• Imagens (raio-x, tomografias)
• Registros de agendamento
• Dados financeiros

Documente de onde vêm, como são armazenados e quem tem acesso.

2. Revise contratos e processos

• Atualize termos de consentimento e políticas de privacidade
• Revise contratos com fornecedores (laboratórios, software médico, empresas de TI)
• Garanta que parceiros também cumprem a LGPD

3. Implemente medidas de segurança

Técnicas:

• Criptografia de dados sensíveis
• Backups regulares e seguros
• Senhas fortes e autenticação em dois fatores
• Sistemas atualizados e com antivírus

Administrativas:

• Controle de acesso por função (recepcionista não precisa ver prontuários completos)
• Políticas de uso de dispositivos móveis
• Termo de confidencialidade para funcionários

4. Nomeie um Encarregado de Dados (DPO)

A LGPD exige a designação de um responsável pela proteção de dados. Pode ser:

• Um funcionário da clínica (com treinamento específico)
• Um profissional externo contratado
• Uma empresa especializada

O encarregado é o canal entre clínica, pacientes e a Autoridade Nacional de Proteção de Dados (ANPD).

5. Treine sua equipe

Todos os funcionários devem entender:

• O que é a LGPD e por que importa
• Como manusear dados com segurança
• O que fazer em caso de incidente
• Como responder solicitações de pacientes

Realize treinamentos ao menos uma vez por ano e sempre que contratar novos colaboradores.

6. Crie um plano de resposta a incidentes

Se houver vazamento ou perda de dados:

• Contenha o problema imediatamente
• Avalie o impacto
• Notifique a ANPD em até 72 horas (em casos graves)
• Comunique os pacientes afetados
• Documente tudo

Retenção e descarte de dados

Prontuários médicos devem ser guardados por 20 anos após o último atendimento (Resolução CFM nº 1.821/2007). Após esse período, dados não mais necessários devem ser descartados de forma segura:

• Documentos físicos: destruição com picotador ou incineração
• Dados digitais: exclusão permanente com ferramentas apropriadas

Erros comuns a evitar

• Usar WhatsApp pessoal para compartilhar dados de pacientes sem criptografia adequada
• Deixar prontuários físicos visíveis na recepção
• Não atualizar sistemas com brechas de segurança conhecidas
• Compartilhar dados com laboratórios ou convênios sem base legal
• Manter dados de pacientes inativos sem necessidade

Penalidades por descumprimento

A ANPD pode aplicar:

• Advertência com prazo para correção
• Multa de até R$ 50 milhões por infração
• Publicização da infração
• Bloqueio ou eliminação dos dados
• Suspensão do banco de dados

Além disso, pacientes podem processar a clínica por danos materiais e morais.

Benefícios além da conformidade

Adequar-se à LGPD traz vantagens:

• Maior confiança dos pacientes
• Processos organizados e eficientes
• Redução de riscos operacionais
• Diferencial competitivo no mercado

Clínicas que demonstram compromisso com privacidade fortalecem sua reputação e atraem pacientes mais exigentes.

Próximos passos

A adequação à LGPD não é um projeto único, mas um processo contínuo. Comece pelo mapeamento de dados e revisão de segurança básica. Se necessário, busque consultoria jurídica especializada em saúde.

Sistemas de gestão adequados facilitam a conformidade ao centralizar dados com segurança e controles de acesso apropriados. Avaliar ferramentas que já consideram a LGPD em sua arquitetura economiza tempo e reduz riscos.