LGPD para clínicas: o guia prático que não é jurídiquês

A LGPD (Lei Geral de Proteção de Dados, 13.709/2018) está em vigor desde 2020. A pergunta não é mais "isso se aplica a clínicas?". Aplica. A pergunta é: o que, concretamente, uma clínica precisa fazer?

Este guia é operacional. Não cobre toda a lei — cobre o que impacta a rotina de uma clínica de dentista, psicólogo, médico ou veterinário. No fim, há um checklist direto.

Dado de saúde é dado sensível

A LGPD divide dados pessoais em duas categorias: comuns (nome, email, CPF) e sensíveis (origem racial, religião, orientação sexual, dados de saúde, biometria, opinião política).

Dado sensível exige base legal mais estreita para tratamento. Para clínicas, as bases mais comuns são:

• Consentimento específico do titular — o paciente concorda com o tratamento do dado para uma finalidade clara.
• Tutela da saúde — em procedimentos por profissional de saúde, serviços de saúde e autoridade sanitária.
• Obrigação legal ou regulatória — obrigações fiscais, por exemplo.

Na prática, a clínica coleta o consentimento no primeiro contato e, para tratamentos médicos, se apoia na base de tutela da saúde. O registro do consentimento é o que comprova conformidade. Se não está registrado, não existe.

Os 5 princípios que você precisa operacionalizar

A LGPD lista 10 princípios. Cinco exigem ação concreta de clínica:

1. Finalidade. O dado coletado tem que ter finalidade declarada. Telefone para avisar sobre consulta é uma finalidade; enviar propaganda de tratamento estético é outra. Cada uma exige consentimento próprio.
2. Necessidade. Coletar só o que é necessário para a finalidade. CPF para emissão de NFS-e é necessário; CPF em cadastro de lead do site é questionável.
3. Livre acesso. O paciente pode pedir a cópia dos dados dele, a qualquer momento, gratuitamente.
4. Qualidade dos dados. Dado errado tem que ser corrigível. O paciente pode solicitar retificação.
5. Segurança. Medidas técnicas e administrativas para proteger os dados. Criptografia, senhas fortes, logs de acesso, backup.

Direitos do titular (paciente)

O paciente pode exercer 9 direitos. Em clínica, quatro aparecem com frequência:

Direito de acesso

"Quero todos os dados que vocês têm sobre mim."

A resposta precisa vir em até 15 dias, gratuita e em formato que ele consiga ler. Se o sistema da clínica não exporta o prontuário inteiro em um clique, esse prazo fica apertado. No prontuário eletrônico da NuvClinic, a exportação é um comando só.

Direito de correção

"Meu endereço está errado."

Simples. Sistema precisa permitir edição com rastro (auditoria: quem alterou, quando, o quê).

Direito de eliminação

"Quero que apaguem meus dados."

Aqui tem sutileza: dados necessários para cumprir obrigação legal (ex: prontuário, por 20 anos no Brasil) não podem ser apagados mesmo que o paciente peça. A clínica informa o motivo por escrito.

Dados que não são obrigatórios — cookies de marketing, dados comerciais de lead — têm que ser deletáveis.

Direito de revogar consentimento

"Parei de querer receber lembrete de aniversário."

A revogação é a qualquer momento, pelo mesmo meio que foi coletada. Se o paciente assinou no tablet da recepção, tem que poder revogar lá (ou por canal equivalente).

Logs de acesso: o que é obrigatório na prática

A lei não cita "logs" explicitamente, mas a ANPD (Autoridade Nacional de Proteção de Dados) já orientou, e o entendimento jurídico é: se houve vazamento, a clínica tem que conseguir mostrar quem acessou o dado, quando e de onde.

Em clínica, isso significa:

• Cada leitura de prontuário registra usuário, timestamp e IP.
• Cada alteração fica rastreável (antes × depois).
• Retenção dos logs por pelo menos 6 meses, idealmente 2 anos.

Sistemas antigos (ou feitos em planilha) não fazem isso. Sistemas modernos fazem — mas só se estiverem configurados corretamente.

Retenção: quanto tempo cada dado fica

| Tipo de dado | Prazo mínimo | Base | |---|---|---| | Prontuário clínico | 20 anos | CFM (para médicos); análogo para outras áreas | | NFS-e e documentos fiscais | 5 anos | Fisco | | Termos de consentimento | enquanto tratamento | Prova da base legal | | Logs de acesso a dados sensíveis | ≥ 6 meses | Prática recomendada | | Dados de lead comercial sem conversão | 1 ano | Finalidade cessa |

Depois do prazo, o dado deve ser eliminado ou anonimizado. Clínicas que guardam tudo "para ter" não estão mais seguras — estão mais expostas.

Vazamento: o plano que você espera nunca usar

Se houver incidente com risco a titulares, a clínica tem que:

1. Comunicar a ANPD em prazo razoável (a lei não define número; prática recomenda 72h).
2. Comunicar os titulares afetados.
3. Registrar o que aconteceu, impacto e medidas tomadas.

Não ter plano de resposta é o que transforma incidente pequeno em crise. Um documento simples — quem é o DPO, qual é o fluxo de comunicação, que dados são considerados sensíveis — bastando, mas bastando existir.

DPO: preciso ter?

A LGPD exige encarregado pelo tratamento de dados (DPO) de todos os tratadores, salvo exceções que a ANPD pode dispensar. Em clínica pequena (até 40 agentes de tratamento, hipótese da Resolução CD/ANPD nº 2/2022), há dispensa parcial, mas continua obrigada a:

• indicar canal de comunicação para o titular;
• manter documentação básica;
• responder requisições.

Na prática, a clínica pequena indica o proprietário ou gestor como responsável, publica um email (dpo@clinica.com.br) e mantém o mínimo de organização.

Checklist operacional

Para uma clínica fechar o básico, cinco ações:

• [ ] Termo de consentimento assinado por todo paciente novo, explicando finalidades (atendimento, lembretes, cobrança, marketing — separados).
• [ ] Canal de DPO publicado no site e na recepção (email ou WhatsApp dedicado).
• [ ] Sistema com logs de acesso a prontuário e dados sensíveis, com retenção mínima de 6 meses.
• [ ] Política de privacidade publicada no site (obrigatório, mesmo para clínica sem e-commerce).
• [ ] Procedimento documentado para atender direitos do titular (acesso, correção, eliminação) em até 15 dias.

Quem tem os cinco está razoavelmente coberto para uma auditoria simples. Quem não tem nenhum, está em dívida — e o risco cresce a cada paciente novo.

O que o sistema da sua clínica tem que oferecer

Independente de marca, esses pontos são não-negociáveis:

• Exportação do prontuário completo de um paciente em um clique.
• Logs de quem acessou o prontuário e quando.
• Criptografia em trânsito (HTTPS) e em repouso (dados sensíveis no banco).
• Controle de acesso por papel: recepção não vê evolução clínica.
• Backup diário com retenção configurável.

A NuvClinic já vem com tudo isso ligado por padrão — não é configuração opcional. Entendemos LGPD como princípio de arquitetura, não como checklist de venda.

Isenção final

Este artigo é educacional, não jurídico. Para situações específicas da sua clínica, um profissional do direito com experiência em LGPD e saúde é o caminho. Mas o operacional — os cinco itens do checklist — qualquer clínica pode começar hoje.