LGPD para Clínicas Médicas: Plano de Adequação em 6 Meses

Clínicas médicas tratam dados pessoais sensíveis em cada etapa do atendimento — da recepção ao consultório, do laboratório ao financeiro. E diferente de um hospital, que geralmente conta com equipe jurídica e de compliance, a maioria das clínicas de pequeno e médio porte precisa resolver a adequação à LGPD com recursos limitados e sem especialistas dedicados.

Este guia foi construído para essa realidade. Não é um resumo genérico da lei — é um roteiro prático, setor a setor, de tudo que uma clínica médica precisa fazer para estar em conformidade com a LGPD em 2026, incluindo as simplificações da Resolução CD/ANPD nº 2/2022 para agentes de tratamento de pequeno porte.

Por que dados de saúde exigem proteção reforçada

Dados de saúde são dados pessoais sensíveis nos termos do Art. 5º, II da LGPD. Na prática, isso significa:

Bases legais mais restritas. O Art. 11 da LGPD lista apenas duas hipóteses para tratar dados sensíveis: consentimento específico e em destaque, ou uma das hipóteses taxativas do Art. 11, II — que inclui a tutela da saúde.
Medidas de segurança mais rigorosas. O patamar de proteção exigido é mais alto: criptografia, controles de acesso granulares, logs de auditoria.
Sanções mais graves. Infrações envolvendo dados sensíveis são avaliadas com maior rigor na dosimetria de sanções da ANPD (Resolução CD/ANPD nº 4/2023). Multas podem chegar a R$ 50 milhões por infração.
RIPD obrigatório para tratamento em larga escala. Clínicas que atendem grandes volumes de pacientes ou usam sistemas de IA para diagnóstico devem elaborar Relatório de Impacto à Proteção de Dados.

Cada consulta médica, cada resultado de exame, cada prescrição gera dados sensíveis. Uma clínica que atende 50 pacientes por dia acumula, em um ano, dezenas de milhares de registros protegidos pela LGPD.

Mapeamento de dados em clínicas: onde estão os dados pessoais

O primeiro passo da adequação é saber exatamente quais dados pessoais circulam na clínica e por quê. Veja o mapeamento por setor:

Recepção e agendamento

Dados coletados: nome completo, CPF, RG, data de nascimento, endereço, telefone, e-mail, convênio (número da carteirinha), foto do documento
Finalidade: identificação do paciente, agendamento, faturamento
Base legal: execução de contrato (Art. 7, V) para dados cadastrais; tutela da saúde (Art. 11, II, f) para dados de saúde associados ao agendamento
Riscos: ficha de papel exposta no balcão, tela do computador visível para outros pacientes, chamada em voz alta com nome completo e especialidade

Consultório médico

Dados coletados: anamnese completa, histórico de doenças, medicações em uso, alergias, resultados de exames, diagnósticos (CID), prescrições, laudos
Finalidade: assistência à saúde do paciente
Base legal: tutela da saúde (Art. 11, II, f) — base legal central para todo tratamento assistencial
Riscos: prontuário aberto na tela quando outro paciente entra, impressão de receitas em impressora compartilhada

Laboratório e exames

Dados coletados: amostras biológicas (associadas ao CPF), resultados de exames laboratoriais e de imagem, laudos técnicos
Finalidade: diagnóstico e acompanhamento clínico
Base legal: tutela da saúde (Art. 11, II, f) para uso assistencial; obrigação legal (Art. 11, II, a) para registros exigidos pela ANVISA
Riscos: resultados enviados por e-mail ou WhatsApp sem criptografia, armazenamento em nuvem sem contrato adequado

Financeiro e faturamento

Dados coletados: dados bancários, cartão de crédito, notas fiscais, dados de convênio para faturamento TISS
Finalidade: cobrança, faturamento junto a operadoras de saúde, escrituração contábil
Base legal: execução de contrato (Art. 7, V) para cobrança direta; obrigação legal (Art. 7, II) para exigências fiscais e tributárias
Riscos: planilhas financeiras com CPF e dados de saúde sem controle de acesso

RH e funcionários

Dados coletados: dados cadastrais, atestados médicos, exames admissionais e periódicos, dados de dependentes
Finalidade: gestão trabalhista, segurança do trabalho
Base legal: obrigação legal (Art. 7, II) para exigências da CLT; execução de contrato (Art. 7, V) para relação de trabalho
Riscos: atestados médicos acessíveis a funcionários sem necessidade

Para uma metodologia completa de mapeamento, consulte o guia de inventário de dados pessoais.

Bases legais específicas para cada atividade da clínica

O erro mais comum é achar que tudo na clínica precisa de consentimento do paciente. Não precisa — e depender exclusivamente de consentimento é perigoso, porque o paciente pode revogá-lo a qualquer momento.

Quando usar tutela da saúde (Art. 11, II, f)

A tutela da saúde é a base legal principal para o tratamento de dados em contexto assistencial. Ela abrange:

Consultas médicas e anamnese
Acesso e atualização do prontuário
Solicitação e análise de exames
Prescrição de medicamentos
Encaminhamentos a especialistas
Teleconsultas

Limite: aplica-se exclusivamente a tratamentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária, e apenas para finalidade assistencial.

Quando usar obrigação legal (Art. 11, II, a)

Notificação de doenças compulsórias ao Ministério da Saúde
Registros exigidos pela ANVISA (receituários controlados)
Escrituração fiscal e tributária
Comunicação ao DATASUS
Laudos de saúde ocupacional (NR-7)
Guarda do prontuário conforme Resolução CFM nº 1.821/2007

Quando usar execução de contrato (Art. 7, V)

Dados cadastrais para formalizar o atendimento
Dados financeiros para cobrança
Faturamento TISS com operadoras de saúde

Quando o consentimento É necessário (Art. 11, I)

Marketing: envio de comunicações promocionais por e-mail ou WhatsApp
Pesquisa de satisfação vinculada a dados de saúde
Compartilhamento de dados com parceiros comerciais fora do contexto assistencial
Uso de imagem do paciente para redes sociais ou materiais da clínica
Pesquisa clínica comercial

Para uma análise completa sobre quando usar cada base legal, veja o guia de definição de bases legais.

Prontuário eletrônico em clínica de pequeno porte

Sistemas populares e suas responsabilidades

Clínicas de pequeno e médio porte geralmente usam sistemas comerciais de prontuário eletrônico — Doctoralia, iClinic, Amplimed, Feegow, entre outros. É essencial entender a cadeia de responsabilidade:

A clínica é controladora dos dados — ela define as finalidades e meios do tratamento.
O fornecedor do sistema é operador — ele processa os dados em nome da clínica.
O DPA (Data Processing Agreement) é obrigatório — a clínica deve formalizar contrato com o fornecedor do sistema, definindo obrigações de segurança, confidencialidade, subcontratação e resposta a incidentes.

O que verificar no contrato com o fornecedor

Onde os dados ficam armazenados — servidores no Brasil? Em qual provedor de nuvem?
Criptografia — dados em trânsito e em repouso são criptografados?
Backups — frequência, local de armazenamento, testes de restauração
Suboperadores — o fornecedor usa terceiros para processar dados? Quais?
Resposta a incidentes — prazo para notificar a clínica em caso de vazamento
Exclusão de dados — o que acontece com os dados se a clínica trocar de sistema?

Para um modelo completo de DPA, consulte o guia de elaboração de DPA.

Prazos de retenção do prontuário

A Resolução CFM nº 1.821/2007 estabelece:

Prontuário em papel: guarda mínima de 20 anos a partir do último registro
Prontuário eletrônico: guarda permanente — a resolução não estabelece prazo máximo para registros digitalizados ou eletrônicos
Pacientes menores: o prazo de 20 anos conta a partir do 18º aniversário

Na prática, a maioria das clínicas que usa prontuário eletrônico deve manter os registros indefinidamente, o que exige atenção especial à segurança de longo prazo dos dados armazenados.

WhatsApp na clínica: os riscos que ninguém conta

O WhatsApp virou canal padrão de comunicação entre clínicas e pacientes. Agendamentos, confirmações, envio de resultados de exame, comunicação médico-paciente — tudo pelo aplicativo. Mas poucos param para avaliar os riscos sob a ótica da LGPD.

O que pode ser enviado por WhatsApp

Confirmação e lembretes de consulta (sem mencionar especialidade ou procedimento)
Informações administrativas (horário de funcionamento, documentos necessários)
Orientações gerais pré e pós-procedimento (sem identificar o procedimento por nome)

O que NÃO deve ser enviado por WhatsApp

Resultados de exames — contêm dados sensíveis de saúde. Uma mensagem enviada para o número errado configura incidente de segurança com dados sensíveis, com obrigação de comunicação à ANPD.
Diagnósticos e CIDs — informações clínicas detalhadas não devem circular em canal sem criptografia end-to-end verificável e sem controle de acesso.
Prescrições médicas — receitas com dados do paciente e do diagnóstico são documentos sensíveis.
Fotos de prontuário — prática comum e extremamente arriscada.

Riscos concretos

Clonagem de WhatsApp: se o número da clínica for clonado, dados de pacientes ficam expostos. A responsabilidade é da clínica como controladora.
Grupos de WhatsApp: grupos de equipe médica onde se discutem casos clínicos com dados identificáveis são tratamento de dados sensíveis sem controle de acesso.
Dispositivo pessoal do médico: se o médico usa WhatsApp pessoal para se comunicar com pacientes, os dados ficam armazenados em dispositivo sem controle da clínica.
Backup automático do WhatsApp em nuvem: mensagens são copiadas para Google Drive ou iCloud sem criptografia — potencial transferência internacional de dados.

Recomendações práticas

Adote o WhatsApp Business com número institucional (não pessoal)
Desative backup automático em nuvem nos dispositivos que acessam dados de pacientes
Nunca envie resultados de exames, diagnósticos ou prescrições por WhatsApp — use o portal do paciente do sistema de prontuário
Documente em política interna o que pode e o que não pode ser comunicado por WhatsApp
Treine toda a equipe (recepção, enfermagem, médicos)

Recepção e sala de espera: dados expostos sem perceber

A recepção é o ponto mais vulnerável de muitas clínicas. Dados são expostos inadvertidamente de várias formas:

Problemas comuns

Chamada por nome completo e especialidade — "João da Silva, consultório 3, Dr. Cardoso, Psiquiatria" expõe dado de saúde (a especialidade revela a natureza do tratamento) para toda a sala de espera.
Ficha em papel sobre o balcão — pacientes que aguardam na recepção podem ver dados de outros pacientes.
Tela do computador exposta — o monitor da recepcionista voltado para o público mostra dados cadastrais e de agendamento.
Caixa de fichas clínicas acessível — em clínicas menores, o arquivo físico fica na própria recepção.

Soluções práticas

Chame pacientes por senha numérica ou painel eletrônico, sem mencionar especialidade
Use protetor de tela (película de privacidade) no monitor da recepção
Posicione o monitor de forma que o público não enxergue a tela
Mantenha fichas e prontuários físicos em local fechado, com acesso controlado
Instale triagem de atendimento por senhas para evitar filas na recepção

DPO para clínica médica: obrigatório ou não?

Regra geral: todo controlador deve indicar DPO

A Resolução CD/ANPD nº 18/2024 regulamentou a indicação do encarregado (DPO). A regra geral é que todo controlador de dados deve nomear um encarregado. A indicação deve ser formalizada por ato formal (documento escrito, datado e assinado), e o nome e dados de contato devem ser divulgados publicamente.

Exceção para agentes de pequeno porte

A Resolução CD/ANPD nº 2/2022 trouxe simplificações para agentes de tratamento de pequeno porte — o que inclui microempresas e empresas de pequeno porte com faturamento conforme a Lei Complementar 123/2006. Para esses agentes:

A indicação de DPO é facultativa — mas a ANPD recomenda fortemente que seja feita.
É obrigatório disponibilizar canal de comunicação com o titular — mesmo sem DPO, a clínica precisa ter um e-mail ou formulário para receber solicitações de titulares.
Registros de tratamento podem ser simplificados — mas não eliminados.
Prazo dobrado para responder titulares — agentes de pequeno porte têm o dobro do prazo para atender solicitações.

Soluções com pouco orçamento

DPO interno acumulando função: um administrador ou coordenador pode acumular a função, desde que não haja conflito de interesse (o responsável por TI, por exemplo, não é ideal — ele não pode fiscalizar a si mesmo).
DPO as a Service: contratar um DPO externo compartilhado. Custos variam de R$ 500 a R$ 3.000/mês para clínicas de pequeno porte, dependendo do escopo.
Consultoria pontual + canal de comunicação: mesmo sem DPO formal, garanta o canal de atendimento ao titular e busque orientação pontual quando necessário.

Para uma análise detalhada sobre DPO interno versus externo, veja o guia de DPO interno vs. externo.

Fornecedores: DPAs que sua clínica precisa ter

Clínicas dependem de diversos fornecedores que processam dados de pacientes. Cada um precisa de DPA:

Fornecedores que exigem DPA

Fornecedor	Dados processados	Prioridade
Sistema de prontuário eletrônico	Todos os dados clínicos	Crítica
Laboratório terceirizado	Amostras, resultados de exames	Crítica
Plataforma de telemedicina	Dados de consulta remota	Alta
Contabilidade / escritório contábil	Dados financeiros, CPF, notas	Alta
Operadoras de plano de saúde	Dados de procedimentos, CIDs	Alta
Serviço de armazenamento em nuvem	Backups, documentos	Média
Empresa de TI / suporte técnico	Acesso a sistemas e dados	Média
Serviço de e-mail marketing	Nome, e-mail, telefone	Média

O que cada DPA deve conter

Descrição do tratamento de dados realizado pelo fornecedor
Finalidades permitidas (e proibição de uso para fins próprios)
Medidas de segurança exigidas
Prazo e procedimento para notificação de incidentes
Regras sobre suboperadores
Obrigações de exclusão ao término do contrato
Direito de auditoria pela clínica

Modelo completo disponível no guia de cláusulas contratuais LGPD.

Plano de adequação em 6 meses para clínicas de pequeno e médio porte

Mês 1 — Diagnóstico e mapeamento

Nomear responsável interno pela adequação (futuro DPO ou ponto focal)
Mapear todos os dados pessoais tratados por setor (recepção, consultório, laboratório, financeiro)
Listar todos os sistemas e fornecedores que acessam dados de pacientes
Identificar dados em papel (fichas, prontuários físicos, prescrições)

Mês 2 — Bases legais e documentação

Definir base legal para cada atividade de tratamento mapeada
Elaborar registro de atividades de tratamento (ROPA simplificado)
Redigir ou atualizar política de privacidade para pacientes
Criar aviso de privacidade para fixar na recepção

Mês 3 — Contratos e fornecedores

Levantar contratos com todos os fornecedores que processam dados
Incluir cláusulas de proteção de dados (DPA) nos contratos existentes
Priorizar sistema de prontuário e laboratório terceirizado
Verificar se o sistema de prontuário tem criptografia e controle de acesso adequados

Mês 4 — Segurança e processos internos

Implementar controle de acesso por perfil no sistema de prontuário (médico, recepção, financeiro)
Ativar logs de auditoria de acesso ao prontuário
Definir política de uso de WhatsApp na clínica
Proteger telas da recepção (película de privacidade, posicionamento)
Criar procedimento para descarte seguro de papel com dados pessoais

Mês 5 — Direitos dos titulares e incidentes

Criar canal de comunicação para titulares (e-mail dedicado ou formulário no site)
Definir processo interno para responder solicitações de pacientes (acesso, correção, exclusão)
Elaborar plano básico de resposta a incidentes
Definir quem notifica a ANPD e em qual prazo (3 dias úteis conforme Resolução CD/ANPD nº 15/2024)

Mês 6 — Treinamento e melhoria contínua

Treinar toda a equipe (recepção, enfermagem, médicos, administrativo)
Documentar evidências de adequação (atas, registros, contratos assinados)
Revisar e ajustar o que foi implementado nos meses anteriores
Definir cronograma de revisão periódica (semestral)

Checklist completo de conformidade para clínicas médicas

Governança e organização (5 itens)

Responsável pela proteção de dados nomeado (DPO ou ponto focal)
Canal de comunicação com titulares publicado (site + recepção)
Registro de atividades de tratamento (ROPA) atualizado
Política de privacidade para pacientes disponível
Aviso de privacidade afixado na recepção

Bases legais e consentimento (4 itens)

Base legal documentada para cada atividade de tratamento
Tutela da saúde (Art. 11, II, f) como base principal para atendimento assistencial
Consentimento específico obtido quando necessário (marketing, imagem, pesquisa)
Formulário de consentimento separado do contrato de prestação de serviço

Segurança da informação (5 itens)

Controle de acesso por perfil no sistema de prontuário eletrônico
Logs de auditoria de acesso a dados de pacientes ativos
Criptografia de dados em trânsito e em repouso
Política de senhas implementada (complexidade, troca periódica)
Backup regular com teste de restauração

Fornecedores e contratos (3 itens)

DPA com fornecedor do sistema de prontuário
DPA com laboratório terceirizado
Cláusulas de proteção de dados em contratos com operadoras de saúde

Processos e procedimentos (3 itens)

Plano de resposta a incidentes documentado
Procedimento para atender solicitações de titulares
Política de retenção e descarte de dados (alinhada com Resolução CFM nº 1.821/2007)

Conclusão

A adequação de uma clínica médica à LGPD não exige orçamentos milionários nem equipes dedicadas. Exige método, priorização e consistência. O roteiro de 6 meses deste guia foi desenhado para clínicas de pequeno e médio porte que precisam resolver a conformidade de forma pragmática — começando pelo que mais importa (mapeamento e bases legais) e avançando até o que sustenta a conformidade no tempo (treinamento e revisão periódica).

O setor de saúde é prioridade declarada da ANPD no Mapa de Temas Prioritários 2026-2027 — especialmente no eixo de dados sensíveis e direitos dos titulares. Clínicas que postergam a adequação estão não apenas descumprindo a lei, mas se expondo ao risco concreto de fiscalização em um momento em que a ANPD, agora agência reguladora com autonomia e 200 novos cargos de especialistas (Lei 15.352/2026), tem capacidade de atuação sem precedentes.

A Confidata oferece ferramentas específicas para clínicas médicas e profissionais de saúde: registro de atividades de tratamento com classificação de dados sensíveis, RIPD simplificado, gestão de solicitações de titulares e controle de fornecedores com DPA — tudo em uma plataforma pensada para quem precisa de conformidade sem complexidade.