LGPD na saúde: guia prático para clínicas e consultórios

A LGPD na saúde para clínicas deixou de ser tema apenas jurídico e virou parte da rotina de quem atende pacientes no Brasil. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) trata dados de saúde como dados pessoais sensíveis, o que exige cuidado redobrado de médicos, fisioterapeutas, psicólogos, dentistas e gestores de consultório. Este guia explica, de forma direta, o que muda na prática, quais obrigações você precisa cumprir e como organizar processos e tecnologia para reduzir riscos sem travar o atendimento.

Por que a LGPD na saúde para clínicas é tão sensível

Dados de saúde recebem proteção especial porque revelam aspectos íntimos da vida das pessoas: diagnósticos, histórico clínico, exames, medicamentos e condições psicológicas. A LGPD classifica essas informações como sensíveis (art. 5º, II) e impõe regras mais rígidas para tratá-las.

Além da LGPD, a clínica convive com normas setoriais que reforçam o dever de sigilo e guarda:

Sigilo profissional previsto no Código de Ética Médica (Resolução CFM nº 2.217/2018) e nos códigos de ética dos demais conselhos (CRP, CREFITO, CRN, CRO, CRFa, COREN).

Guarda do prontuário por, no mínimo, 20 anos a partir do último registro, conforme a Resolução CFM nº 1.821/2007.

Padronização de informações em saúde suplementar pelo padrão TISS da ANS, que também envolve troca de dados de pacientes.

Em resumo: a conformidade com a LGPD não substitui essas obrigações — ela se soma a elas.

Conceitos essenciais para o dia a dia da clínica

Antes de montar processos, vale alinhar o vocabulário com a equipe.

Quem é quem no tratamento de dados

Titular: o paciente, dono dos dados.

Controlador: a clínica ou o profissional que decide como os dados são tratados.

Operador: quem trata dados em nome do controlador, como um sistema de gestão ou laboratório parceiro.

Encarregado (DPO): pessoa responsável por ser o canal de comunicação com titulares e com a Autoridade Nacional de Proteção de Dados (ANPD).

Bases legais que mais aparecem na saúde

Nem todo tratamento de dados exige consentimento. A LGPD prevê hipóteses específicas para a área (art. 11), e as mais comuns na clínica são:

Tutela da saúde, em procedimento realizado por profissionais de saúde ou serviços de saúde.

Cumprimento de obrigação legal ou regulatória (por exemplo, guarda de prontuário e notificações compulsórias à vigilância).

Consentimento do titular, quando nenhuma outra base se aplica — como em ações de marketing, fotos para redes sociais ou compartilhamento não obrigatório.

O erro frequente é pedir consentimento para tudo. Para o atendimento em si, a base costuma ser a tutela da saúde; o consentimento fica reservado para usos que vão além do cuidado.

Passo a passo para adequar sua clínica

A adequação é um processo contínuo, mas pode começar com etapas claras.

1. Mapeie os dados que você coleta

Liste tudo: nome, CPF, telefone, histórico clínico, exames, dados financeiros e de convênio. Para cada item, registre de onde vem, onde fica armazenado, quem acessa e por quanto tempo. Esse inventário é a base de todas as decisões seguintes.

2. Defina a base legal de cada tratamento

Para cada finalidade (atendimento, faturamento TISS, agendamento, comunicação, marketing), aponte a base legal correspondente. Documente essa decisão: em uma eventual fiscalização da ANPD, demonstrar o raciocínio é parte da conformidade.

3. Revise consentimentos e avisos de privacidade

Crie um aviso de privacidade acessível ao paciente, explicando quais dados são coletados, para quê e quais são seus direitos. Quando o consentimento for necessário, ele deve ser livre, informado e específico — nada de termos genéricos escondidos em um formulário extenso.

4. Implemente segurança técnica e administrativa

A LGPD exige medidas de segurança adequadas (art. 46). Na prática:

Criptografia de dados sensíveis, em repouso e em trânsito.

Controle de acesso por perfil: cada profissional vê apenas o que precisa.

Senhas fortes, autenticação e registro de quem acessou o quê.

Política de backup e plano de resposta a incidentes.

5. Estruture o atendimento aos direitos do titular

O paciente pode solicitar acesso, correção e portabilidade de seus dados, além de informações sobre com quem foram compartilhados. Tenha um canal e um prazo definidos para responder.

6. Cuide dos contratos com fornecedores

Laboratórios, contabilidade, sistema de gestão e qualquer parceiro que trate dados de pacientes são operadores. Os contratos devem prever obrigações de proteção de dados e responsabilidades em caso de incidente.

O papel da tecnologia na conformidade

Planilhas soltas, mensagens de WhatsApp com exames e prontuários em papel espalhados dificultam o controle e aumentam o risco. Um sistema de gestão pensado para saúde reduz boa parte do esforço de adequação.

O AtendeBem é uma plataforma SaaS brasileira de gestão para clínicas e consultórios que reúne prontuário eletrônico, agenda, financeiro, telemedicina e assistente de IA em um só lugar. Do ponto de vista de conformidade, alguns pontos ajudam diretamente:

Conformidade com a LGPD como premissa da plataforma, com criptografia AES-256 para os dados de saúde.

Retenção de prontuário por 20 anos, alinhada à Resolução CFM nº 1.821/2007.

Cada profissional tem sua própria clínica isolada, o que reforça a privacidade e a separação de dados.

Receita digital com assinatura ICP-Brasil (e-CPF/e-CNPJ) e QR Code de validação pública, válida em farmácias e em conformidade com o CFM, reduzindo a circulação de documentos em papel.

Faturamento TISS no padrão ANS, com mais de 10.000 códigos TUSS e classificações CID-10/11, organizando o compartilhamento de dados com operadoras.

A plataforma é multiespecialidade e atende médicos, fisioterapeutas (CREFITO), psicólogos (CRP), nutricionistas (CRN), dentistas (CRO), fonoaudiólogos (CRFa), terapeutas ocupacionais (CREFITO) e enfermeiros (COREN) — o que ajuda clínicas com equipes diversas a manter um padrão único de organização e segurança.

Erros comuns que aumentam o risco

Compartilhar exames e laudos por aplicativos de mensagens pessoais sem controle de acesso.

Usar uma única conta e senha para toda a equipe.

Guardar prontuários em papel sem backup e sem controle de quem acessa.

Pedir consentimento para o atendimento quando a base correta é a tutela da saúde.

Não ter um responsável claro para responder solicitações de pacientes.

Corrigir esses pontos costuma trazer ganho de conformidade rápido e com baixo custo.

Perguntas frequentes

Toda clínica precisa de um encarregado (DPO)?

A LGPD prevê a indicação de um encarregado pelo controlador. A ANPD admite tratamento proporcional ao porte do negócio, mas é recomendável definir um responsável pelo tema, mesmo em consultórios pequenos, para centralizar a comunicação com pacientes e com a autoridade.

Posso continuar guardando o prontuário em papel?

Pode, mas a guarda precisa ser segura e respeitar o prazo mínimo de 20 anos (Resolução CFM nº 1.821/2007). O prontuário eletrônico facilita controle de acesso, backup e criptografia, reduzindo riscos previstos na LGPD.

Preciso de consentimento para faturar pelo convênio via TISS?

Em regra, o tratamento de dados para o atendimento e o faturamento se apoia em bases como a tutela da saúde e o cumprimento de obrigação contratual ou regulatória, não dependendo de consentimento específico. Ainda assim, informe o paciente de forma transparente em seu aviso de privacidade.

Comece sua adequação hoje

Adequar-se à LGPD é um processo, mas você não precisa começar do zero nem fazer tudo manualmente. Centralizar prontuário, agenda, financeiro e receita digital em uma plataforma segura encurta o caminho e reduz riscos no dia a dia. Crie sua conta gratuita no AtendeBem — o teste é gratuito, sem cartão de crédito e com setup em minutos, para você organizar a gestão da sua clínica com segurança e conformidade.