A LGPD na clínica médica é um tema que muitos gestores ainda tratam com descaso, acreditando que a lei é voltada principalmente para grandes empresas de tecnologia. Esse equívoco pode custar caro: clínicas lidam diariamente com dados sensíveis de saúde, que têm o mais alto nível de proteção na Lei Geral de Proteção de Dados, e o descumprimento das obrigações legais pode resultar em multas, sanções e ações de indenização por parte dos pacientes.
Neste artigo, a RM Advogados explica as principais obrigações da LGPD na clínica médica, como adequar os processos internos e quais são os riscos concretos do não cumprimento.
Por Que a LGPD é Especialmente Relevante para Clínicas
A Lei 13.709/2018 classifica os dados de saúde como dados sensíveis, categoria que recebe proteção reforçada. Isso significa que clínicas precisam atender a requisitos mais rigorosos do que empresas que tratam apenas dados pessoais comuns. Qualquer dado que revele informações sobre a saúde de uma pessoa, incluindo diagnósticos, prontuários, resultados de exames e histórico de atendimentos, é dado sensível e exige tratamento diferenciado.
Além disso, clínicas tratam dados de um volume expressivo de pessoas, em situação de vulnerabilidade, e frequentemente compartilham esses dados com terceiros como laboratórios, operadoras de planos de saúde e outros profissionais de saúde. Cada um desses fluxos de dados precisa estar mapeado e regulamentado por base legal adequada.
As Principais Obrigações da LGPD para Clínicas
Nomear um Encarregado de Dados (DPO)
A LGPD exige que organizações que tratam dados em larga escala nomeiem um Encarregado de Proteção de Dados, o DPO. Para clínicas, a lei não define um limiar exato de atendimentos que torna a nomeação obrigatória, mas a ANPD recomenda que qualquer estabelecimento que trate dados de saúde regularmente nomeie um DPO. Esse profissional é responsável por orientar a clínica sobre as obrigações legais e ser o canal de comunicação com a ANPD e com os titulares dos dados.
Elaborar Política de Privacidade
A clínica precisa ter uma política de privacidade clara e acessível, que informe os pacientes sobre quais dados são coletados, para qual finalidade, por quanto tempo são armazenados e com quem são compartilhados. Essa política deve estar disponível no site da clínica, no aplicativo de agendamento, se houver, e deve ser apresentada ao paciente no momento do cadastro.
Mapear os Fluxos de Dados
O mapeamento de dados, também chamado de ROPA (Registro das Atividades de Processamento), é o inventário de todos os dados pessoais tratados pela clínica, com indicação da finalidade, da base legal, dos destinatários e do prazo de retenção. Esse documento é o ponto de partida de qualquer programa de conformidade com a LGPD na clínica médica.
Revisar Contratos com Terceiros
Laboratórios, empresas de software de prontuário, plataformas de telemedicina e outros fornecedores que tenham acesso a dados de pacientes da clínica são operadores de dados e precisam assinar contratos que incluam cláusulas de proteção de dados. A clínica é responsável por garantir que seus operadores também cumprem a LGPD.
Implementar Medidas de Segurança
A LGPD exige que a clínica adote medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, vazamentos e destruição. No ambiente de saúde, isso inclui controle de acesso ao sistema de prontuário com autenticação individual para cada usuário, criptografia dos dados armazenados e transmitidos, política de senhas e bloqueio de tela, e treinamento regular da equipe sobre boas práticas de proteção de dados.
Direitos dos Pacientes que a Clínica Precisa Garantir
A LGPD garante aos titulares dos dados, neste caso os pacientes, um conjunto de direitos que a clínica deve estar preparada para atender.
- Direito de acesso: o paciente pode solicitar cópia de todos os dados que a clínica possui sobre ele
- Direito de correção: o paciente pode exigir a correção de dados incorretos ou desatualizados
- Direito de eliminação: em alguns casos, o paciente pode solicitar a exclusão dos seus dados, mas esse direito é limitado quando a clínica tem obrigação legal de manter o prontuário
- Direito de portabilidade: o paciente pode solicitar que seus dados sejam transferidos para outro prestador de saúde
- Direito de informação: o paciente tem direito de saber com quem seus dados foram compartilhados
Quais São as Sanções por Descumprimento
A ANPD pode aplicar sanções que vão de advertência com prazo para correção até multa de 2% do faturamento do último exercício, limitada a R$ 50 milhões por infração. Além das sanções administrativas, a clínica pode ser acionada judicialmente por pacientes que sofreram danos em razão de vazamento ou uso indevido de seus dados, com direito a indenização por danos materiais e morais.
Em 2024 e 2025, a ANPD intensificou as fiscalizações no setor de saúde, tornando o risco de autuação mais concreto. Para entender como a LGPD se articula com a responsabilidade civil da clínica, leia: Responsabilidade Civil Clínica Médica: Como se Proteger e Prontuário Médico: Obrigações Legais da Clínica.
FAQ
Programa de Conformidade com a LGPD: Por Onde Comecar
Implementar um programa de conformidade com a LGPD na clinica medica nao precisa ser um projeto de grande complexidade. O ponto de partida e o mapeamento dos dados: identificar quais dados a clinica coleta, onde sao armazenados, quem tem acesso e com quem sao compartilhados. Esse inventario, feito em parceria com o setor de TI e com apoio juridico, revela os principais riscos e orienta as prioridades do programa.
Em seguida, a clinica deve revisar e atualizar seus formularios de cadastro de pacientes, incluindo o aviso de privacidade, e treinar a equipe sobre as obrigacoes basicas da LGPD, como nao compartilhar dados de pacientes por aplicativos pessoais como WhatsApp sem criptografia adequada. A conformidade nao e um projeto de uma vez so, mas um processo continuo de revisao e melhoria, especialmente a medida que a clinica cresce e adota novas tecnologias. Para entender como a LGPD se articula com os contratos da clinica, leia: Contratos para Medicos: Erros que Devem ser Evitados.
A clínica pode compartilhar dados do paciente com a operadora do plano de saúde sem autorização?
Um ponto pratico que merece atencao especial e o uso de aplicativos de mensagens instantaneas, como WhatsApp, para comunicacao com pacientes. Muitas clinicas utilizam o WhatsApp para confirmacao de consultas, envio de resultados de exames e orientacoes pos-procedimento. Embora seja uma pratica comum, o uso de aplicativos pessoais para transmissao de dados de saude gera riscos de conformidade com a LGPD na clinica medica. A recomendacao e utilizar versoes corporativas dessas plataformas, com politicas de retencao e exclusao de dados, ou migrar para sistemas especificos de comunicacao medico-paciente que oferecam as garantias tecnicas exigidas pela lei.
Sim, desde que o compartilhamento seja necessário para a execução do contrato de plano de saúde e o paciente tenha sido informado sobre esse compartilhamento na política de privacidade. A base legal é o cumprimento de contrato e o exercício regular de direitos. Compartilhamentos para finalidades distintas, como marketing ou venda de dados, exigem consentimento específico do paciente.
Fotografias e vídeos de procedimentos precisam seguir a LGPD?
Sim. Imagens médicas que identificam o paciente são dados pessoais sensíveis. A captura, armazenamento e eventual uso dessas imagens para fins didáticos ou científicos exige consentimento específico, documentado em termo separado do consentimento geral de tratamento.
O que fazer em caso de vazamento de dados de pacientes?
A clínica deve notificar a ANPD e os titulares afetados em prazo razoável, geralmente 72 horas para situações de risco relevante. A notificação deve descrever a natureza do incidente, os dados afetados, as medidas adotadas para conter o vazamento e os contatos para que os pacientes possam obter mais informações. A demora na notificação agrava as sanções aplicáveis.
Atendimento personalizado para empresas, imobiliárias e profissionais. Consulta sem compromisso.
