LGPD para clínicas: o que muda no dia a dia do seu consultório

Desde agosto de 2021, a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) está em plena vigência no Brasil, com aplicação de penalidades pela Autoridade Nacional de Proteção de Dados (ANPD). Para clínicas e consultórios, a lei tem implicações diretas porque dados de saúde são classificados como dados sensíveis, com exigências mais rígidas do que dados comuns.

Este guia explica o que a LGPD exige das clínicas e como adaptar os processos do dia a dia.

O que são dados sensíveis segundo a LGPD

A LGPD define dados sensíveis no artigo 5º, inciso II. Para clínicas e consultórios, os dados que se enquadram nessa categoria são:

• Prontuários e histórico de saúde
• Diagnósticos e condições médicas
• Resultados de exames
• Medicamentos e tratamentos em uso
• Dados biométricos, como impressão digital ou reconhecimento facial

O tratamento desses dados exige base legal específica. Para clínicas, a base mais comum é a execução de contrato (o serviço de saúde prestado) e o cumprimento de obrigação legal (normas do CFM, CRO, CRP etc.).

O que a clínica precisa garantir

A LGPD não exige um sistema específico, mas exige resultados que comprovem a proteção dos dados. Na prática, isso significa:

• Controle de acesso: somente profissionais autorizados acessam os dados dos pacientes.
• Finalidade clara: os dados são coletados para um propósito específico e não usados para outras finalidades.
• Armazenamento seguro: os dados precisam estar protegidos contra acesso não autorizado, perda ou destruição.
• Política de privacidade: a clínica precisa informar ao paciente como os dados são tratados.
• Atendimento a direitos: o paciente pode pedir acesso, correção ou exclusão dos seus dados.

Prontuários em papel e a LGPD

Prontuários físicos não são proibidos pela LGPD, mas são mais difíceis de proteger e auditar. Uma pasta de prontuários acessível a qualquer funcionário da recepção não atende ao princípio do acesso mínimo necessário. Além disso, em caso de auditoria ou solicitação do paciente, localizar e comprovar a integridade dos dados é trabalhoso.

A digitalização não é exigida por lei, mas resolve de forma mais eficiente a maioria das exigências da LGPD.

Como um sistema digital ajuda na conformidade

Um bom sistema de gestão clínica oferece recursos que facilitam a conformidade com a LGPD:

• Cada profissional acessa apenas os dados necessários para sua função
• Log de acesso registra quem visualizou cada prontuário e quando
• Dados armazenados com criptografia e backup automático
• Processo definido para exclusão de dados após o período de retenção legal

Penalidades pelo descumprimento

A ANPD pode aplicar multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Para clínicas pequenas, a penalidade mais provável no curto prazo é a advertência e a obrigação de adequar os processos. Entretanto, vazamentos de dados de saúde podem gerar também ações cíveis individuais por parte dos pacientes afetados.

Adequar a clínica à LGPD é mais simples do que parece. O primeiro passo costuma ser mapear quais dados são coletados, onde estão armazenados e quem tem acesso a eles. Um sistema de prontuário eletrônico com controle de acesso por perfil já resolve boa parte das exigências.