Pular para o conteúdo
Clínica em ordem

LGPD na clínica médica: o que muda no tratamento dos dados de saúde do paciente

Da sala de espera ao descarte do papel: a base legal certa, o prazo de comunicação à ANPD e o passo a passo para adequar a clínica sem ferir o sigilo médico.

Por Maxsuell Bomfim18 min de leitura
Recepção de clínica médica com computador exibindo prontuário e a tela voltada para longe da área de espera dos pacientes, ilustrando o cuidado com dados de saúde exigido pela LGPD

Na clínica médica, o dado de saúde do paciente é dado pessoal sensível (LGPD, art. 5º, II) e o tratamento segue o regime próprio do art. 11, não a regra comum do art. 7º. Isso muda quem pode ver o quê, com qual base legal e por quanto tempo, e atinge rotinas banais: o nome chamado em voz alta na espera, o exame enviado por WhatsApp, a agenda de pacientes numa planilha na nuvem. O consentimento é só uma das bases possíveis, e raramente a melhor para o núcleo do atendimento. Este texto parte dessas cenas concretas, mostra o que cada uma exige da lei, e fecha com um passo a passo de adequação e um checklist.

1. Por que o dado de saúde tem regra própria

Quando o paciente entrega um diagnóstico, mostra um exame ou conta o histórico, ele revela um dado pessoal sensível. A LGPD classifica dado referente à saúde nessa categoria especial (art. 5º, II). Por isso, o tratamento na clínica não segue a regra geral do art. 7º. Segue o art. 11, que tem hipóteses próprias e mais estreitas.

Na prática, a clínica não trata dado de saúde com base num aceite genérico de termo de uso. As bases mais usadas no consultório são outras. A primeira é a tutela da saúde, em procedimento realizado por profissionais de saúde ou por serviços de saúde, que cobre o núcleo do atendimento clínico. A segunda é o cumprimento de obrigação legal ou regulatória, que ampara a guarda do prontuário, as notificações compulsórias e as exigências do conselho.

O consentimento existe e tem seu lugar, mas não é a única base nem sempre a melhor. Ele costuma ser exigido para usos que fogem do cuidado direto, como divulgar foto de paciente ou enviar comunicação de marketing. Escolher consentimento onde a base correta seria a tutela da saúde cria um problema prático. O paciente pode revogar o consentimento, e a clínica fica sem amparo para continuar tratando um dado que precisa manter.

Três pontos atravessam todas as bases. A finalidade exige que cada dado seja coletado para um propósito determinado e informado. A necessidade pede que você colete só o que o atendimento exige, e não tudo por garantia. A transparência obriga a clínica a deixar claro ao paciente o que faz com os dados dele.

Fonte: Planalto — Lei 13.709/2018 (LGPD), arts. 5º, II, 7º e 11

2. A clínica é controladora: o que isso significa

Quem decide sobre o tratamento dos dados do paciente é a clínica. Na linguagem da LGPD, ela é a controladora: a pessoa, física ou jurídica, a quem competem as decisões sobre o tratamento de dados pessoais (art. 5º, VI). É a clínica que define por que coleta, o que coleta e por quanto tempo guarda.

Os fornecedores que tratam dados em nome dela são operadores (art. 5º, VII). O sistema de prontuário eletrônico, o software de agenda, a empresa de contabilidade que processa a folha, o serviço de nuvem onde ficam os arquivos: todos tratam dado do seu paciente porque você os contratou. Por isso essa relação precisa estar regida por contrato, com cláusulas de proteção de dados, e não só pelo aceite de termos do fornecedor.

Esse mapa importa porque a responsabilidade não some quando o dado sai da clínica. Se o laboratório parceiro recebe a lista inteira de pacientes sem necessidade, ou se o contador guarda planilhas com dados clínicos que não deveria ter, a clínica controladora responde pela escolha e pela falta de controle sobre quem acessa o quê.

O encarregado, também chamado DPO, é o terceiro papel (art. 5º, VIII). É a pessoa indicada para ser o canal de comunicação entre a clínica, os titulares e a ANPD. É quem recebe a reclamação do paciente e a comunicação da autoridade.

Fonte: Planalto — Lei 13.709/2018 (LGPD), art. 5º

3. Cena 1: o nome chamado na sala de espera

A recepcionista chama em voz alta o nome completo do paciente, junto com a especialidade ou o motivo do retorno. Nessa frase, você expôs para a sala inteira que aquela pessoa é paciente e, às vezes, qual é a condição dela. É tratamento de dado sensível por difusão, e desnecessário.

O ajuste é de rotina, não de tecnologia. Chame pelo primeiro nome, por senha, por número de chamada ou por painel. A especialidade e o motivo do retorno não precisam ser anunciados. A necessidade resolve a cena: você comunica o mínimo para o paciente saber que chegou a vez dele.

A mesma lógica vale para a tela da recepção virada para o balcão, com a agenda do dia visível a quem chega. Posicione o monitor, use bloqueio de tela e limite o que aparece para cada função.

4. Cena 2: exame e resultado pelo WhatsApp

O paciente pede o resultado, a recepção fotografa o laudo e manda pelo WhatsApp do número que estava na ficha. Aqui moram dois riscos. O número pode estar errado ou desatualizado. E a mensagem pode cair em aparelho compartilhado, grupo ou backup fora de controle.

O WhatsApp não está proibido. O que a LGPD exige é cuidado com segurança e com necessidade. Confirme o canal com o próprio paciente, registre que ele autorizou aquele meio, envie só o que foi pedido e prefira canais com controle de acesso quando o conteúdo for sensível.

Some a isso o sigilo médico. O Código de Ética Médica veda revelar fato conhecido em razão da profissão, salvo justo motivo, dever legal ou consentimento por escrito do paciente, e proíbe que pessoas não obrigadas ao sigilo manuseiem o conteúdo clínico. Enviar laudo para o número errado fere a LGPD e o dever ético ao mesmo tempo.

Fonte: CFM — Código de Ética Médica (Res. CFM nº 2.217/2018), Cap. IX

5. Cena 3: a planilha de pacientes na nuvem e o descarte do papel

A agenda da clínica vive numa planilha compartilhada na nuvem, com link aberto e sem senha, acessível por todo mundo que um dia entrou no time. No fim do dia, fichas e exames vão para o lixo comum, inteiros, com nome e diagnóstico legíveis.

A LGPD impõe a todos os agentes de tratamento o dever de adotar medidas de segurança técnicas e administrativas para proteger os dados de acessos não autorizados e de perda, alteração ou difusão (art. 46). A planilha com link aberto contraria esse dever. O caminho é controle de acesso por pessoa, permissões por função, senha forte e revisão de quem ainda precisa entrar.

O descarte também é tratamento de dado. Papel com informação clínica precisa ser fragmentado ou destruído de forma que ninguém remonte. Arquivo digital obsoleto precisa de eliminação segura. Uma ficha inteira jogada no lixo comum entrega ao acaso o histórico de saúde do paciente.

Fonte: Planalto — Lei 13.709/2018 (LGPD), art. 46

6. Cena 4: marketing com foto e depoimento de paciente

A clínica quer postar o antes e depois, o vídeo do paciente agradecendo, a foto do atendimento. Isso é uso de dado sensível para uma finalidade que não é o cuidado, e a base correta aqui costuma ser o consentimento específico e destacado, por escrito, separado da autorização de tratamento do atendimento.

Um consentimento genérico colado no termo de atendimento não cobre publicidade. O paciente precisa entender que aquela imagem ou depoimento irá para redes sociais, com qual alcance, e que pode revogar a autorização. Sem essa base bem feita, a publicação trata dado sensível sem amparo.

Há ainda a camada das regras de publicidade médica do próprio conselho, que convivem com a LGPD. Para esse recorte, veja o artigo Publicidade médica nas redes sociais. Imagem e depoimento de paciente não entram em campanha sem base legal adequada e registro de que ela existe.

7. Encarregado (DPO), registro de operações e relatório de impacto

A LGPD prevê a figura do encarregado (art. 5º, VIII), canal de comunicação entre a clínica, os titulares e a ANPD. O controlador deve indicá-lo e divulgar a identidade e o contato, com as atribuições do art. 41: aceitar reclamações de pacientes e prestar esclarecimentos, receber comunicações da ANPD, e orientar a equipe.

A atuação do encarregado foi regulamentada pela Resolução CD/ANPD nº 18, de 16 de julho de 2024 (publicada no DOU em 17/07/2024), que trata da indicação por ato formal, da divulgação do contato, dos deveres dos agentes e das situações de conflito de interesse. Não há exigência legal de certificação ou de formação específica para a função. Fontes que acompanham o tema apontam ser possível acumular funções, desde que sem conflito de interesse, ponto que se recomenda conferir no texto vigente da resolução.

Para consultórios menores, a LGPD prevê tratamento mais flexível a agentes de pequeno porte, em norma própria da ANPD. Isso pode flexibilizar a indicação do encarregado em certos casos. Não presuma dispensa automática: avalie a aplicabilidade ao seu caso e confirme na regulamentação vigente antes de concluir que o consultório não precisa indicar ninguém.

Dois instrumentos sustentam a governança. O registro das operações de tratamento é dever do controlador e do operador (art. 37). É o mapa de quais dados a clínica coleta, para quê e com quem compartilha. O relatório de impacto à proteção de dados (RIPD), que a ANPD pode exigir, descreve os tipos de dados coletados, a metodologia de coleta e de segurança e as medidas de mitigação de risco (art. 38). Como clínica trata dado sensível em volume, manter esse registro e ter um RIPD à mão é recomendável, mesmo antes de qualquer exigência formal.

Fonte: ANPD (gov.br) — Resolução CD/ANPD nº 18/2024 (atuação do encarregado)

8. Guarda do prontuário: 20 anos, sem ferir o sigilo

Eliminar o dado quando a finalidade acaba é regra da LGPD. Só que o prontuário tem regra própria de guarda, que prevalece. A Lei 13.787/2018 fixa prazo mínimo de 20 anos, a partir do último registro, para a preservação de prontuários em papel que não tenham sido arquivados eletronicamente. A mesma lei dá ao prontuário digitalizado, com certificação no padrão ICP-Brasil, o mesmo valor probatório do original.

Isso significa que o paciente não pode exigir que você apague o prontuário dele em nome do direito de eliminação enquanto corre o prazo legal de guarda. O dever de manter o documento é uma obrigação legal que ampara a retenção. Guardar, porém, não é deixar acessível a qualquer um.

O sigilo médico governa o acesso e o descarte ao longo desses anos. O Código de Ética Médica (Res. CFM nº 2.217/2018, em vigor desde 30/04/2019) proíbe que pessoas não obrigadas ao sigilo manuseiem o prontuário. A conformidade aqui é dupla: a camada da LGPD, de proteção de dados, e a camada ético-profissional do CFM, de sigilo. Para aprofundar a guarda e o valor probatório, veja o artigo Prontuário eletrônico: digitalização, guarda e prazo e a área Prontuário e prova.

Fonte: Planalto / CONARQ — Lei 13.787/2018

9. Compartilhamento com laboratório, plano, telemedicina e contador

O dado do paciente circula para fora da clínica em contextos diferentes, e cada um pede a sua base legal. O laboratório e a plataforma de telemedicina recebem dado clínico dentro da tutela da saúde, porque atuam no próprio cuidado. O plano de saúde costuma receber no cumprimento de obrigação contratual e regulatória.

O contador é o caso que mais gera excesso. Ele precisa do dado fiscal e financeiro, não do conteúdo clínico do paciente. Compartilhar com o contador planilhas com diagnóstico ou queixa é entregar dado sensível sem necessidade, e contraria o princípio de coletar e compartilhar o mínimo.

Em todos esses fluxos, o sigilo médico desenha o limite junto com a LGPD. Quem recebe o dado em nome da clínica é operador e precisa estar regido por contrato. Quem opera por telemedicina encontra o recorte regulatório no artigo Telemedicina no Brasil: o que a regulação permite.

10. Direitos do paciente e o que responder quando ele pede

O paciente é o titular dos dados e pode exercer direitos a qualquer momento, mediante requisição (art. 18). Ele pode confirmar que existe tratamento, acessar os dados, corrigir informação incompleta ou desatualizada, e pedir anonimização, bloqueio ou eliminação de dado desnecessário ou tratado em desconformidade. Há ainda portabilidade, informação sobre compartilhamento e revogação do consentimento.

Esses direitos têm prazo (art. 19). A confirmação de existência ou o acesso aos dados são providenciados em formato simplificado, de imediato. Ou por declaração clara e completa, com origem, critérios e finalidade do tratamento, em até 15 dias contados do pedido.

O art. 9º reforça o pano de fundo. O titular tem direito a acesso facilitado e transparente às informações sobre o tratamento, incluindo finalidade, forma, duração, identidade do controlador e com quem os dados são compartilhados. É exatamente o conteúdo de um bom aviso de privacidade na recepção e no site. Na rotina, a clínica precisa de um caminho definido para receber e responder esses pedidos, normalmente pelo encarregado.

Fonte: Planalto — Lei 13.709/2018 (LGPD), arts. 9º, 18 e 19

11. Incidente de segurança: o prazo de 3 dias úteis à ANPD

Um notebook com a base de pacientes é furtado. Um e-mail com exames vai para a pessoa errada. Uma planilha vaza de uma nuvem sem senha forte. Quando o incidente pode acarretar risco ou dano relevante ao paciente, a clínica controladora tem o dever de comunicar à ANPD e ao titular (art. 48).

A comunicação deve descrever, no mínimo, os dados afetados, os titulares envolvidos, as medidas de segurança usadas, os riscos do incidente e as medidas adotadas para reverter ou mitigar os efeitos.

O prazo está na Resolução CD/ANPD nº 15, de 24 de abril de 2024 (publicada no DOU em 26/04/2024). A comunicação à ANPD e ao titular deve ser feita pelo controlador em 3 dias úteis, contados do conhecimento de que o incidente afetou dados pessoais. Atenção a um erro frequente: o prazo brasileiro é de 3 dias úteis, não as 72 horas do regime europeu (GDPR). Confundir os dois leva a decisão errada sob pressão.

Fontes indicam que a comunicação pode ser preliminar e depois complementada em até 20 dias úteis, e que o prazo pode ser contado em dobro para agentes de pequeno porte. Esses pontos acessórios, e a numeração interna dos artigos da Resolução, devem ser conferidos no texto vigente da ANPD antes de qualquer decisão. O núcleo verificado é claro: 3 dias úteis, Resolução 15/2024.

Por isso o plano de resposta a incidente não pode nascer no dia do incidente. Defina antes quem é avisado, quem decide se houve risco relevante, quem redige a comunicação e onde estão os contatos da ANPD.

Fonte: ANPD (gov.br) — Comunicado de Incidente de Segurança (CIS)

12. Fiscalização e sanções da ANPD

A fiscalização e a aplicação de sanções competem à ANPD (art. 52). As medidas vão da advertência, com prazo para correção, à multa simples de até 2% do faturamento da pessoa jurídica de direito privado no Brasil, no último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração. Há ainda multa diária, publicização da infração, bloqueio e eliminação de dados, e suspensão ou proibição do tratamento.

Cuidado com dois mal-entendidos. O teto de 2% incide sobre o faturamento no Brasil, não sobre faturamento mundial. E o limite é por infração. O valor também não é automático: o cálculo segue o Regulamento de Dosimetria, aprovado pela Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023 (DOU 27/02/2023), que pondera gravidade, boa-fé, reincidência, grau do dano, cooperação e a adoção de boas práticas de governança.

Esse último fator interessa diretamente à clínica. Registro de operações, contratos com operadores, encarregado indicado e plano de incidente não evitam só o problema. Pesam a favor da clínica se um dia a ANPD avaliar a conduta. Não há aqui valores de multas aplicadas a casos concretos: cada processo administrativo tem a sua decisão.

Fonte: ANPD (gov.br) — Regulamento de Dosimetria (Res. CD/ANPD nº 4/2023)

13. Passo a passo de adequação da clínica

Adequação não é evento, é processo. Esta é a sequência que organiza o trabalho sem virar projeto eterno.

Primeiro, o mapa de dados. Liste o que a clínica coleta (cadastro, prontuário, exames, financeiro), de onde vem, onde fica, quem acessa e com quem compartilha (laboratório, plano de saúde, telemedicina, contabilidade). Esse mapa é o registro de operações do art. 37 na prática, e revela coleta excessiva.

Segundo, a base legal por finalidade. Para cada uso, escreva qual hipótese o sustenta: tutela da saúde para o atendimento, obrigação legal para a guarda do prontuário, consentimento específico para divulgação e pesquisa. Uma finalidade, uma base, registrada.

Terceiro, os contratos com operadores. Sistema de prontuário, agenda, nuvem e contabilidade precisam de cláusula de proteção de dados, definindo instrução, segurança, dever de sigilo e descarte ao fim do contrato. Contrato genérico não basta para dado sensível.

Quarto, política de privacidade e aviso ao paciente em linguagem clara, com finalidade, prazo de guarda, direitos e canal do encarregado. Isso atende ao art. 9º e dá endereço para os pedidos do art. 18.

Quinto, treinamento da equipe. Recepção, enfermagem e administrativo lidam com dado sensível todos os dias. As cenas deste artigo se corrigem com gente orientada, não com software.

Sexto, o plano de resposta a incidente escrito, com papéis definidos e a contagem de 3 dias úteis em mente. Para organizar essas frentes em conjunto, veja a área Clínica em ordem e o artigo Como estruturar a clínica médica em quatro frentes.

14. Checklist rápido de conformidade

Mapa de dados feito e atualizado, com quem acessa cada base.

Base legal definida para cada finalidade, sem usar consentimento onde a tutela da saúde resolve.

Contratos com operadores (prontuário eletrônico, agenda, nuvem, contabilidade) com cláusula de proteção de dados.

Encarregado indicado por ato formal, com contato divulgado ao paciente.

Aviso de privacidade visível na recepção e no site, com finalidade, prazo e direitos.

Rotinas de espera, WhatsApp, recepção e descarte ajustadas ao princípio da necessidade.

Controle de acesso e senha em planilhas, agendas e arquivos na nuvem.

Prazo de guarda do prontuário respeitado (mínimo de 20 anos) sem expor o conteúdo a quem não tem dever de sigilo.

Plano de resposta a incidente escrito, com a contagem de 3 dias úteis para comunicar à ANPD e ao paciente.

Equipe treinada nas cenas reais da clínica, não só num manual guardado na gaveta.

15. Perguntas frequentes

A clínica precisa do consentimento do paciente para tratar os dados de saúde dele? Nem sempre. O atendimento clínico costuma se apoiar na tutela da saúde, e a guarda do prontuário, no cumprimento de obrigação legal. O consentimento entra para usos fora do cuidado, como foto e depoimento em marketing. Usar consentimento onde a base correta seria outra cria fragilidade, porque ele pode ser revogado a qualquer momento.

A clínica é controladora ou operadora dos dados do paciente? Em regra, controladora. É a clínica que decide por que coleta, por quanto tempo guarda e com quem compartilha os dados (art. 5º, VI). Os fornecedores que tratam esses dados em nome dela, como o sistema de prontuário ou a contabilidade, são operadores (art. 5º, VII) e devem estar regidos por contrato.

Todo consultório precisa de um encarregado (DPO) certificado? Não há exigência legal de certificação ou formação específica para ser encarregado. O art. 41 manda indicá-lo, e a Resolução CD/ANPD nº 18/2024 regulamenta sua atuação. Para agentes de pequeno porte, a LGPD prevê tratamento mais flexível em norma própria da ANPD, que pode flexibilizar a indicação. Confirme a aplicabilidade ao seu caso na regulamentação vigente antes de presumir dispensa.

Posso enviar resultado de exame por WhatsApp? Não é proibido, mas exige cuidado. Confirme o número, combine o canal com o paciente, envie só o necessário e prefira canais com controle de acesso para conteúdo sensível (art. 46). Mandar laudo para o número errado pode configurar incidente comunicável à ANPD e fere o sigilo médico ao mesmo tempo.

Em quanto tempo devo comunicar um vazamento de dados de paciente? O prazo verificado é de 3 dias úteis, contados do conhecimento de que o incidente afetou dados pessoais, conforme a Resolução CD/ANPD nº 15/2024. Não confunda com as 72 horas do GDPR europeu. Pontos acessórios, como complementação em até 20 dias úteis e prazo em dobro para pequeno porte, devem ser conferidos no texto vigente da resolução.

Por quanto tempo preciso guardar o prontuário? A Lei 13.787/2018 fixa prazo mínimo de 20 anos, a partir do último registro, para prontuários em papel não arquivados eletronicamente. O prontuário digitalizado com certificação ICP-Brasil tem o mesmo valor probatório do original. Resoluções do CFM e do CONARQ tratam de tabelas de temporalidade que merecem consulta específica. Esse dever de guarda convive com o direito de eliminação do titular, que não é automático quando há obrigação legal de manter o registro.

Qual o valor das multas da LGPD? A multa simples pode chegar a 2% do faturamento da empresa no Brasil no último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração (art. 52, II). O cálculo segue a Resolução CD/ANPD nº 4/2023, que considera gravidade, boa-fé, reincidência e adoção de boas práticas de governança, entre outros fatores.

A LGPD substitui o sigilo médico do CFM? Não. As duas camadas se somam. O Código de Ética Médica (Res. CFM nº 2.217/2018, Cap. IX) veda revelar fato conhecido na profissão, salvo justo motivo, dever legal ou consentimento por escrito, e proíbe que pessoas não obrigadas ao sigilo manuseiem prontuários. A conformidade exige atender à LGPD e ao dever ético-profissional ao mesmo tempo.

Fonte: CFM — Código de Ética Médica (Res. CFM nº 2.217/2018)

Adequar a clínica à LGPD não é comprar um software e pendurar um certificado na parede. É mudar rotina e definir quem tem acesso a quê. A maior parte dos riscos que você viu aqui mora em hábitos: o nome dito alto demais, a mensagem mandada rápido demais, a planilha aberta para gente demais. O lado bom desse diagnóstico é que ele aponta para ações concretas e baratas. Mapear os dados, escolher a base legal certa para cada finalidade, ajustar a recepção e o descarte, treinar a equipe e ter um plano para o dia ruim. Some a isso o respeito ao prazo de guarda do prontuário e ao sigilo médico do CFM, que continuam valendo por cima da lei de dados. A clínica organizada não desaparece no momento do incidente: ela sabe quem comunica, o que comunica e em quanto tempo. Se a sua clínica está montando esse programa de adequação, recebeu uma notificação ou passou por um incidente, é possível falar com o escritório para conversar sobre o caso. Este conteúdo é informativo e educativo, e não substitui a orientação jurídica sobre a situação concreta da sua clínica.

Leitura relacionada