LGPD em clínicas: o que você precisa saber para estar em conformidade

O que é a LGPD e por que clínicas devem se preocupar

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais no Brasil. Para clínicas, o tema ganha relevância especial: dados de saúde são classificados como dados sensíveis pela lei, recebendo camada extra de proteção.

O descumprimento pode resultar em multas de até 2% do faturamento (limitadas a R$ 50 milhões por infração), além de advertências, bloqueio de dados e proibição de atividades relacionadas ao tratamento de informações.

Dados de saúde como categoria sensível

Segundo o artigo 5º da LGPD, dados sensíveis incluem informações sobre saúde, origem racial, convicções religiosas, opiniões políticas e dados genéticos ou biométricos. Na prática, isso significa que clínicas lidam diariamente com:

• Prontuários médicos
• Resultados de exames
• Histórico de consultas
• Diagnósticos e prescrições
• Dados de convênios
• Informações de contato dos pacientes

Esses dados exigem bases legais específicas para tratamento, como consentimento explícito do titular ou necessidade para execução de serviços de saúde.

Bases legais para tratamento de dados em clínicas

A LGPD permite o tratamento de dados sensíveis de saúde em situações específicas:

1. Consentimento: O paciente autoriza expressamente o uso de seus dados para finalidades determinadas

2. Tutela da saúde: Procedimentos realizados por profissionais de saúde ou entidades sanitárias

3. Proteção da vida: Situações emergenciais que exigem acesso imediato aos dados

4. Cumprimento de obrigação legal: Notificações compulsórias de doenças, por exemplo

Para operações rotineiras, a base legal mais comum é a tutela da saúde, que dispensa consentimento específico para atos médicos. Porém, ações de marketing, pesquisas ou compartilhamento com terceiros geralmente exigem consentimento explícito.

Direitos dos pacientes sob a LGPD

Os pacientes têm direitos garantidos que as clínicas devem respeitar:

• Confirmação e acesso: Saber se a clínica trata seus dados e acessá-los
• Correção: Solicitar atualização de dados incompletos ou incorretos
• Anonimização ou bloqueio: Pedir que dados desnecessários sejam anonimizados
• Eliminação: Requisitar exclusão de dados tratados com consentimento
• Portabilidade: Receber dados em formato estruturado para transferência
• Revogação de consentimento: Retirar autorização previamente concedida

As clínicas devem ter processos claros para atender essas solicitações em prazos razoáveis.

Checklist de adequação para clínicas

Mapeamento de dados

• Identifique todos os dados coletados (cadastro, prontuário, exames, financeiro)
• Documente fluxos: quem acessa, onde armazena, quanto tempo guarda
• Liste fornecedores que têm acesso a dados (softwares, laboratórios, contadores)

Documentação obrigatória

• Elabore Política de Privacidade clara e acessível
• Crie Termos de Consentimento específicos (marketing, pesquisas, telemedicina)
• Mantenha registro de atividades de tratamento de dados

Segurança da informação

• Implemente controles de acesso (senhas fortes, autenticação)
• Faça backups regulares e criptografados
• Estabeleça protocolos para descarte seguro de documentos físicos
• Treine equipe sobre boas práticas de segurança

Processos internos

• Nomeie responsável pela proteção de dados (DPO, se aplicável)
• Crie canal para solicitações de titulares
• Desenvolva procedimento de resposta a incidentes de segurança
• Revise contratos com fornecedores para incluir cláusulas de proteção de dados

Erros comuns em clínicas

Compartilhamento inadequado: Enviar exames por WhatsApp sem criptografia ou deixar prontuários acessíveis a funcionários sem necessidade.

Retenção excessiva: Guardar dados além do necessário. A LGPD exige que dados sejam mantidos apenas pelo tempo adequado à finalidade.

Ausência de termos: Não apresentar Política de Privacidade ou coletar consentimento para usos além do atendimento médico.

Terceirização sem controle: Contratar softwares ou serviços sem verificar conformidade com LGPD.

Prazos de retenção de dados

O Conselho Federal de Medicina estabelece que prontuários devem ser guardados por no mínimo 20 anos após o último atendimento. Para dados financeiros, a Receita Federal exige 5 anos. Combine essas obrigações com o princípio da necessidade da LGPD: mantenha dados apenas enquanto houver propósito legítimo.

Tecnologia como aliada da conformidade

Sistemas de gestão especializados facilitam a adequação à LGPD ao oferecer:

• Controles de acesso granulares
• Logs de auditoria
• Armazenamento seguro em nuvem
• Gestão de consentimentos
• Relatórios para atendimento de solicitações

Ao escolher um software para sua clínica, verifique certificações de segurança, políticas de backup e compromissos contratuais com proteção de dados. Plataformas como o Clinz já incorporam funcionalidades pensadas para conformidade legal.

Próximos passos

A adequação à LGPD não acontece de uma vez. Comece pelo mapeamento de dados, implemente controles de segurança básicos e desenvolva documentação essencial. Considere consultar advogado especializado para situações específicas da sua clínica.

A proteção de dados não é apenas obrigação legal, mas demonstração de respeito aos pacientes e profissionalismo na gestão da informação de saúde.