Saúde14 min de leitura

LGPD e Saúde Mental: Dados de Psicólogos, Psiquiatras e Plataformas de Terapia Online

Equipe Confidata·
Compartilhar

A saúde mental é o setor de saúde que mais cresce digitalmente no Brasil. Plataformas como Zenklub, Vittude e Psicologia Viva conectam milhões de brasileiros a psicólogos por videochamada. Empresas contratam programas de bem-estar mental para seus funcionários. Psicólogos e psiquiatras atendem cada vez mais por meios digitais — prática regulamentada pela Resolução CFP nº 9/2024, que revogou as normas anteriores e ampliou significativamente as possibilidades do atendimento online.

Essa digitalização gera um volume crescente de dados pessoais de saúde mental — a categoria mais sensível que existe. Dados sobre diagnósticos psiquiátricos, conteúdo de sessões terapêuticas, uso de medicação psicotrópica, histórico de ideação suicida ou dependência química são informações cujo vazamento pode causar danos irreparáveis: discriminação no trabalho, estigma social, dano à saúde do próprio paciente.

Dados de saúde mental como dados sensíveis: proteção máxima

Dados referentes à saúde — incluindo saúde mental — são dados pessoais sensíveis nos termos do Art. 5º, II da LGPD. Isso impõe um regime jurídico mais restritivo:

  1. Bases legais restritas: o Art. 11 da LGPD limita as hipóteses para tratamento de dados sensíveis a consentimento específico e em destaque, ou uma das hipóteses taxativas do Art. 11, II.

  2. Medidas de segurança reforçadas: o patamar de proteção exigido é proporcional ao risco — e dados de saúde mental são dos que apresentam maior risco em caso de exposição.

  3. RIPD para tratamento em larga escala: plataformas de terapia online que tratam dados de saúde mental de milhares de pacientes devem elaborar Relatório de Impacto à Proteção de Dados.

  4. Vedação de uso discriminatório: o Art. 11, §5º veda o tratamento de dados sensíveis para prática de discriminação ilícita — o que inclui uso de diagnósticos de saúde mental para negar emprego, seguro ou crédito.

Especificidade dos dados de saúde mental

Dados de saúde mental têm uma vulnerabilidade adicional em relação a outros dados de saúde: o estigma social. Um vazamento de dados de um paciente diabético é grave; um vazamento de dados de um paciente com esquizofrenia ou dependência química pode destruir relações pessoais e profissionais. Essa realidade exige que profissionais e plataformas de saúde mental adotem um nível de proteção ainda mais rigoroso.

Sigilo profissional e LGPD: proteções cumulativas

O psicólogo e o psiquiatra estão sujeitos a duas camadas de proteção dos dados do paciente:

Sigilo profissional (CFP e CFM)

O Código de Ética Profissional do Psicólogo (Resolução CFP nº 10/2005) estabelece, em seu Art. 9º, que é dever fundamental do psicólogo "respeitar o sigilo profissional a fim de proteger, por meio da confidencialidade, a intimidade das pessoas, grupos ou organizações, a que tenha acesso no exercício profissional".

O sigilo só pode ser quebrado:

  • Com consentimento do paciente
  • Por determinação judicial
  • Em situação de risco iminente à vida do paciente ou de terceiros
  • Quando necessário para evitar ou denunciar crimes

Para médicos psiquiatras, o Art. 73 do Código de Ética Médica (Resolução CFM nº 2.217/2018) estabelece proteção equivalente.

LGPD

A LGPD adiciona uma segunda camada: além do sigilo profissional, os dados estão protegidos pela legislação de proteção de dados pessoais, com direitos do titular (Art. 18), obrigação de segurança (Art. 46), comunicação de incidentes (Art. 48) e fiscalização pela ANPD.

As proteções são cumulativas, não alternativas. O profissional não pode argumentar que o sigilo profissional dispensa o cumprimento da LGPD, nem que a LGPD substitui as obrigações éticas de sigilo.

Plataformas de terapia online como operadores

Plataformas como Zenklub, Vittude e Psicologia Viva intermediam o atendimento psicológico por meio de sua infraestrutura tecnológica (videochamada, agendamento, pagamento, prontuário). A questão central é: quem é controlador e quem é operador?

Análise da cadeia de tratamento

O psicólogo é controlador dos dados do paciente para fins do atendimento clínico — ele decide como e por que os dados são tratados no contexto terapêutico.

A plataforma é operadora quando atua como infraestrutura tecnológica: hospeda a sessão de vídeo, processa o pagamento, armazena o prontuário a pedido do profissional.

A plataforma pode ser controladora conjunta quando define finalidades próprias para os dados — por exemplo, quando usa dados anonimizados para gerar relatórios de saúde mental para empresas clientes (como no modelo corporativo do Zenklub).

DPA obrigatório

Independente da classificação, o psicólogo que utiliza uma plataforma de terceiros para atendimento online deve formalizar (ou verificar a existência de) um contrato de tratamento de dados (DPA — Data Processing Agreement). O DPA deve prever:

  • Finalidade e duração do tratamento
  • Tipos de dados tratados
  • Medidas de segurança adotadas pela plataforma
  • Proibição de uso dos dados para finalidades não autorizadas pelo profissional
  • Procedimento em caso de incidente de segurança
  • Obrigação de excluir os dados ao término do contrato

Garantias de segurança das plataformas

As principais plataformas informam utilizar:

  • Criptografia ponta a ponta nas sessões de vídeo
  • Proibição de gravação de sessões
  • Dados de pagamento processados por gateways certificados
  • Servidores com criptografia em repouso

O psicólogo deve verificar essas garantias antes de adotar qualquer plataforma — e documentar essa verificação.

Prontuário psicológico: guarda e acesso

Regulamentação do CFP

A Resolução CFP nº 1/2009 regulamenta o registro documental do trabalho do psicólogo e estabelece:

  • O psicólogo deve manter registro documental do trabalho prestado (prontuário)
  • O prontuário contém: identificação do paciente, data de atendimento, procedimentos realizados, evolução e desfecho
  • Prazo de guarda do registro documental: 5 anos (Art. 15 da Resolução CFP nº 1/2009)
  • Prazo de guarda do prontuário: 20 anos a partir do último registro (Lei nº 13.787/2018), por analogia com o prontuário médico — prática consolidada recomendada pelos CRPs regionais
  • Após o prazo, os documentos podem ser eliminados

A Resolução CFP nº 6/2019 complementa as regras sobre elaboração de documentos psicológicos (laudos, pareceres, relatórios).

LGPD e prontuário psicológico

O prontuário psicológico contém dados de saúde mental — portanto, dados sensíveis. As obrigações da LGPD aplicáveis:

Acesso restrito: apenas o psicólogo responsável deve acessar o prontuário. Em clínicas com múltiplos profissionais, cada psicólogo acessa apenas os prontuários de seus próprios pacientes.

Base legal para retenção: a guarda do prontuário por 20 anos tem base em obrigação legal (Art. 7º, II e Art. 11, II, a da LGPD), conforme a Lei nº 13.787/2018 e prática consolidada recomendada pelos CRPs regionais.

Direito de acesso do titular: o paciente tem direito de acessar seus dados (Art. 18, II). No entanto, o acesso ao prontuário psicológico tem peculiaridades — as anotações pessoais do psicólogo (impressões clínicas, hipóteses diagnósticas em construção) podem não ser integralmente acessíveis ao paciente, conforme orientação do CFP, quando a revelação possa causar dano ao próprio paciente.

Eliminação: o paciente pode solicitar eliminação de dados tratados com consentimento. Porém, o prontuário mantido por obrigação legal não pode ser eliminado antes do prazo de 20 anos (Lei nº 13.787/2018) — a base legal para retenção prevalece.

Terapia online: Resolução CFP nº 9/2024

A Resolução CFP nº 9, de 18 de julho de 2024, regulamenta a prestação de serviços psicológicos mediados por Tecnologias Digitais da Informação e da Comunicação (TDICs). Essa resolução revogou as anteriores (Resolução CFP nº 11/2018 e Resolução CFP nº 4/2020) e trouxe mudanças significativas:

Principais mudanças

  1. Fim do cadastro obrigatório no e-Psi: anteriormente, o psicólogo precisava se cadastrar na plataforma e-Psi do CFP para realizar atendimentos online. A Resolução 9/2024 eliminou essa exigência — basta registro ativo no CRP da jurisdição de atuação.

  2. Ampliação de casos atendidos online: situações de violência, violação de direitos, urgência e emergência, que antes eram vedadas no atendimento online, agora podem ser atendidas via TDICs, a critério do profissional.

  3. Responsabilidade do profissional: a resolução estabelece que é responsabilidade de cada profissional avaliar a viabilidade e a adequação do atendimento online à demanda apresentada.

Obrigações de privacidade no atendimento online

A Resolução CFP nº 9/2024 não detalha obrigações específicas de proteção de dados, mas a prática ética exige:

  • Ambiente seguro: o profissional deve garantir que a sessão ocorra em plataforma com criptografia e em ambiente físico que preserve a privacidade do paciente e do profissional.
  • Consentimento informado: o paciente deve ser informado sobre as características do atendimento online, incluindo riscos de privacidade inerentes à tecnologia.
  • Proibição de gravação sem consentimento: sessões não podem ser gravadas sem consentimento expresso do paciente.
  • Armazenamento seguro: registros digitais de atendimento devem ser armazenados com as mesmas garantias de segurança do prontuário físico.

Dados de crianças e adolescentes em terapia

O atendimento psicológico de crianças e adolescentes envolve uma camada adicional de proteção:

Consentimento dos pais (Art. 14, §1º da LGPD)

O tratamento de dados de crianças (menores de 12 anos) exige consentimento específico de pelo menos um dos pais ou responsável legal. Para adolescentes (12 a 17 anos), o consentimento deve ser obtido considerando sua capacidade progressiva — mas a participação dos pais ou responsáveis é recomendada.

Sigilo terapêutico vs. direito dos pais à informação

Este é um ponto de tensão ética e legal: os pais têm direito de acesso aos dados do filho (como representantes legais), mas o sigilo terapêutico protege o conteúdo das sessões — especialmente com adolescentes. A orientação do CFP é que o profissional deve preservar o sigilo do que é revelado na sessão, compartilhando com os pais apenas o necessário para o acompanhamento terapêutico, sem expor conteúdos que possam prejudicar a relação terapêutica.

Plataformas e menores

Plataformas de terapia online que atendem menores de 18 anos devem implementar verificação de idade e obter consentimento parental documentado antes do início do atendimento.

Compartilhamento com planos de saúde: CID e risco de discriminação

Um dos pontos mais sensíveis da proteção de dados em saúde mental é o compartilhamento de informações com operadoras de planos de saúde.

O problema do CID

Para autorização e faturamento de sessões de psicoterapia ou consultas psiquiátricas, planos de saúde frequentemente exigem o CID (Classificação Internacional de Doenças) do paciente. CIDs de transtornos mentais — como F32 (episódio depressivo), F41 (transtornos ansiosos), F20 (esquizofrenia) ou F10 (transtornos mentais por uso de álcool) — revelam informações extremamente sensíveis.

Risco de discriminação

O compartilhamento do CID de transtorno mental com o plano de saúde pode levar a:

  • Aumento de prêmio ou recusa de cobertura em seguros de vida
  • Discriminação em processos de contratação (se o empregador tiver acesso via plano empresarial)
  • Estigma se os dados forem vazados

Base legal e limites

O compartilhamento do CID com o plano de saúde para fins de autorização de procedimentos tem base legal em execução de contrato (o contrato de assistência à saúde prevê a cobertura). Porém, o uso dos dados para qualquer outra finalidade — perfil de risco, precificação discriminatória, compartilhamento com empregadores — é vedado pelo Art. 11, §5º da LGPD.

Recomendações práticas

  • O profissional deve informar o paciente quando o CID será compartilhado com o plano de saúde
  • O paciente pode optar por pagar particular para evitar o compartilhamento do CID
  • Planos de saúde devem limitar o acesso ao CID ao estritamente necessário para autorização e auditoria
  • O empregador nunca deve ter acesso ao CID do funcionário via plano empresarial

Plataformas corporativas de bem-estar mental

Programas corporativos de bem-estar mental (EAP — Employee Assistance Programs) contratam plataformas como Zenklub para oferecer sessões de terapia como benefício. Isso gera uma questão crítica: o empregador tem acesso aos dados do funcionário?

A regra absoluta

O empregador não pode ter acesso a dados individualizados de saúde mental dos funcionários. Não pode saber quem usa o serviço, qual a frequência, qual o diagnóstico ou qual o conteúdo das sessões.

O que o empregador pode receber

Plataformas corporativas fornecem dados anonimizados e agregados para o RH:

  • Número total de sessões realizadas (sem identificação)
  • Temas mais frequentes em nível agregado (ansiedade, burnout, conflitos interpessoais)
  • Índices gerais de bem-estar da organização

Verificação necessária

O DPO da empresa ou o profissional de RH deve verificar:

  • A plataforma garante que dados individuais nunca são compartilhados com o empregador?
  • A anonimização é real? (Em equipes pequenas, dados "anonimizados" como "1 pessoa do departamento X usou o serviço" podem ser re-identificáveis)
  • Existe DPA entre a empresa e a plataforma?
  • O consentimento do funcionário é livre? (O funcionário não pode ser pressionado a usar o serviço ou penalizado por não usar)

WhatsApp para agendamento e contato terapêutico

O uso de WhatsApp na comunicação entre psicólogo e paciente é extremamente comum — e arriscado:

Riscos

  • Metadados: mesmo com criptografia ponta a ponta no conteúdo, o WhatsApp (Meta) coleta metadados — quem conversou com quem, quando, frequência. Esses metadados podem revelar que uma pessoa está em acompanhamento psicológico.
  • Backup em nuvem: se o paciente ativa backup do WhatsApp no Google Drive ou iCloud, as mensagens são armazenadas em texto legível — fora da criptografia ponta a ponta.
  • Dispositivo compartilhado: pacientes que compartilham telefone (famílias, casais) podem ter suas mensagens lidas por terceiros.
  • Termos de uso do WhatsApp: o uso do WhatsApp Business para fins de saúde não é expressamente previsto nos termos de serviço da plataforma.

Recomendações

  • Para agendamento: aceitável, desde que não contenha informações clínicas
  • Para envio de orientações clínicas, resultados ou conteúdo terapêutico: evitar — usar plataforma dedicada com criptografia e controle de acesso
  • Para atendimento (sessão por mensagem): não recomendado — preferir plataformas dedicadas com registro adequado
  • Grupos de WhatsApp terapêuticos: risco alto — membros podem ver números de telefone uns dos outros, quebrando a privacidade

Checklist de conformidade para profissionais de saúde mental

Para o psicólogo ou psiquiatra autônomo

  • Aviso de privacidade disponível para pacientes (digital ou físico)
  • Consentimento informado incluindo aspectos de proteção de dados
  • Prontuário armazenado com segurança (senha, criptografia, backup)
  • Prazo de guarda de 20 anos respeitado (Lei nº 13.787/2018)
  • Controle de acesso ao prontuário (apenas o profissional responsável)
  • Plataforma de atendimento online avaliada quanto à segurança
  • DPA com plataforma de terapia online (ou verificação dos termos)
  • WhatsApp limitado a agendamento (sem conteúdo clínico)
  • Dados de menores com consentimento parental documentado

Para clínicas de saúde mental

  • Todos os itens acima, para cada profissional
  • DPO nomeado (ou canal de comunicação com o titular, se pequeno porte)
  • Cada psicólogo acessa apenas os prontuários de seus próprios pacientes
  • Sistema de prontuário eletrônico com logs de acesso
  • Contratos com planos de saúde com cláusulas de proteção de dados
  • Política sobre compartilhamento de CID (informar o paciente)

Para plataformas de terapia online

  • DPA com todos os profissionais que utilizam a plataforma
  • Criptografia ponta a ponta nas sessões de vídeo
  • Proibição de gravação de sessões (a menos que paciente consinta)
  • Dados de pagamento processados por gateway certificado (PCI DSS)
  • Dados individuais de pacientes nunca compartilhados com empregadores
  • Anonimização real em relatórios corporativos (sem re-identificação)
  • RIPD elaborado para o tratamento de dados de saúde mental em larga escala
  • Procedimento de resposta a incidentes (comunicação à ANPD em 3 dias úteis)
  • Canal do titular implementado e monitorado

Conclusão

A saúde mental digital cresce rapidamente — e a proteção dos dados que ela gera não pode ficar para depois. Dados de saúde mental são, talvez, os dados pessoais mais sensíveis que existem: seu vazamento pode causar discriminação, estigma e dano psicológico adicional ao paciente. A combinação do sigilo profissional (CFP/CFM) com a LGPD cria um duplo escudo de proteção — mas esse escudo só funciona se for implementado na prática.

Para o profissional autônomo, a proteção começa em gestos simples: armazenamento seguro do prontuário, avaliação da plataforma de atendimento online, cuidado com o WhatsApp. Para clínicas e plataformas, a obrigação é mais ampla: governança de dados, DPAs, RIPD, controles de acesso e transparência sobre o que acontece com os dados do paciente.

A Confidata oferece funcionalidades adaptadas ao setor de saúde mental: registro de atividades de tratamento com classificação de dados sensíveis, gestão de solicitações de titulares com prazos legais, RIPD com avaliação de risco específica para dados de saúde e controle de acesso granular — permitindo que clínicas e plataformas documentem sua conformidade sem comprometer a agilidade do atendimento.

Compartilhar
#LGPD#saúde mental#psicólogo#psiquiatra#terapia online#dados sensíveis#CFP

Artigos relacionados

IA na Medicina: O Que Muda com a Resolução CFM 2.454/2026Saúde · 15 minLGPD em Hospitais Públicos e UBS: Guia de Adequação SUSSaúde · 14 minLGPD para Farmácias e Drogarias: Dados de Receitas, CPF e Programas de FidelidadeSaúde · 14 minTelemedicina e LGPD: Guia Completo para Plataformas e ClínicasSaúde · 14 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista