Odontologia e LGPD: O Que Consultórios e Clínicas Precisam Saber

O Brasil tem o maior número de cirurgiões-dentistas do mundo — aproximadamente 450.000 profissionais ativos, segundo o CFO (Conselho Federal de Odontologia). São mais de 75.000 clínicas odontológicas registradas, atendendo dezenas de milhões de pacientes por ano. Cada um desses atendimentos gera dados pessoais sensíveis: prontuários clínicos, radiografias, fotos intraorais, modelos digitais 3D, histórico de tratamentos.

Apesar disso, a LGPD raramente é discutida no contexto odontológico. A maioria dos dentistas sabe que precisa guardar prontuários, mas poucos entendem que os dados neles contidos — e nos softwares de gestão, nos grupos de WhatsApp e nas redes sociais do consultório — estão sujeitos às regras mais rigorosas da lei de proteção de dados.

Este guia trata das obrigações específicas da LGPD para consultórios e clínicas odontológicas — com foco nos pontos mais críticos: prontuário, imagens, software, convênios e marketing.

Quais dados a odontologia trata

Um consultório odontológico típico trata uma variedade de dados pessoais maior do que a maioria dos profissionais percebe:

Dados de identificação

Nome, CPF, RG, data de nascimento, endereço, telefone, e-mail
Dados do responsável legal (para pacientes menores)
Dados do convênio odontológico (operadora, carteirinha, plano)

Dados de saúde (sensíveis)

Prontuário odontológico: anamnese, odontograma, plano de tratamento, evolução clínica
Radiografias: periapicais, panorâmicas, cefalométricas
Imagens 3D: tomografia computadorizada de feixe cônico (CBCT), escaneamento intraoral
Fotos clínicas: intraorais, extraorais, fotos de antes/depois de tratamentos
Modelos digitais: moldagens digitais para ortodontia, próteses, alinhadores
Informações de saúde geral: doenças sistêmicas (diabetes, hipertensão, cardiopatias), alergias, medicamentos em uso — dados relevantes para o planejamento odontológico

Dados financeiros

Orçamentos, pagamentos, parcelas
Dados de cartão de crédito ou PIX
Notas fiscais

Base legal principal: tutela da saúde

Cirurgiões-dentistas são profissionais de saúde por definição legal. Isso permite que consultórios e clínicas tratem dados sensíveis dos pacientes sob a base legal do Art. 11, II, f da LGPD — tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

O que essa base legal cobre

Registro e manutenção do prontuário odontológico
Realização de radiografias e exames por imagem
Plano de tratamento e evolução clínica
Prescrição de medicamentos e orientações pós-operatórias
Encaminhamento para especialistas (com compartilhamento dos dados necessários)
Dados de anamnese (doenças sistêmicas, alergias, medicamentos)

O que essa base legal NÃO cobre

Uso de fotos do paciente para marketing e redes sociais
Compartilhamento de dados com parceiros comerciais (laboratórios de prótese com finalidade de prospecção, por exemplo)
Envio de dados para empresas de alinhadores invisíveis para fins que excedam o tratamento
Campanhas de e-mail marketing ou WhatsApp promocional

Para essas finalidades, é necessário consentimento específico (Art. 11, I) — e o consentimento deve ser em destaque, informado e documentado.

Prontuário odontológico: obrigações do CFO

O prontuário odontológico é o documento central da relação entre dentista e paciente. O CFO regulamenta sua manutenção por meio de resoluções específicas.

Resolução CFO nº 91/2009 — Guarda e digitalização

A Resolução CFO nº 91/2009 autoriza o arquivamento digital de prontuários e estabelece prazos de retenção:

Prontuário em papel: guarda mínima de 10 anos a partir da data do último registro
Prontuário digitalizado (meio óptico, microfilmado ou digital): guarda permanente, considerando a evolução tecnológica

Na prática, a maioria dos especialistas em responsabilidade civil odontológica recomenda guarda indefinida — porque ações judiciais por danos (incluindo "vícios ocultos" em tratamentos) podem ser propostas anos ou décadas depois do atendimento, e o prontuário é a principal prova de defesa do profissional.

Resolução CFO nº 118/2012 — Código de Ética Odontológica

O Código de Ética Odontológica (aprovado pela Resolução CFO nº 118/2012, em vigor desde janeiro de 2013) estabelece obrigações adicionais:

Obrigatório criar e manter prontuário em forma legível e atualizada, seja físico ou digital
Cada registro deve conter: data, horário, nome do profissional, assinatura e número de inscrição no CRO, em ordem cronológica
Infração ética (Art. 9º): negar ao paciente acesso ao prontuário, recusar fornecer cópia quando solicitado, ou não dar explicações necessárias para sua compreensão

Essa última obrigação dialoga diretamente com o Art. 18, I e II da LGPD — o direito do titular de confirmar a existência de tratamento e acessar seus dados.

LGPD e prontuário: prazo de retenção

A LGPD exige que dados pessoais sejam mantidos apenas pelo tempo necessário para a finalidade ou pelo prazo legal aplicável (Art. 15-16). Para o prontuário odontológico, o prazo é definido pela regulamentação do CFO — e é longo:

Tipo de prontuário	Prazo	Base normativa
Papel	Mínimo 10 anos (último registro)	Resolução CFO 91/2009
Digital	Permanente	Resolução CFO 91/2009

A base legal para essa retenção prolongada é o Art. 16, I da LGPD — cumprimento de obrigação legal ou regulatória. O dentista não precisa eliminar prontuários digitais enquanto a Resolução CFO 91/2009 estiver vigente.

Mas atenção: a retenção se justifica para o prontuário clínico. Dados coletados para outras finalidades (marketing, fidelidade, prospecção) têm prazos diferentes e devem ser eliminados quando cessada a finalidade.

Radiografias digitais e imagens 3D: guarda e segurança

A radiologia odontológica é regulamentada pela RDC ANVISA nº 611/2022, que se aplica a todos os serviços de diagnóstico por imagem, incluindo radiologia odontológica intraoral e extraoral. As instruções normativas complementares IN 94 e IN 95 definem requisitos específicos para sistemas odontológicos.

Retenção de imagens

Radiografias e tomografias são parte do prontuário. Seguem a mesma regra de retenção: 10 anos para meio físico, permanente para digital (Resolução CFO 91/2009). Na prática, com a migração para sistemas digitais, a guarda tende a ser permanente.

Segurança de imagens digitais

Criptografia em repouso: imagens armazenadas em servidor ou nuvem devem ser criptografadas
Controle de acesso: apenas profissionais autorizados (dentista titular, auxiliares com permissão) devem acessar as imagens
Backup: cópias de segurança regulares, preferencialmente em local diferente do servidor principal
Formato padronizado: o padrão DICOM (Digital Imaging and Communications in Medicine) é o formato recomendado para interoperabilidade e integridade

Escaneamento intraoral e modelos 3D

Escaneamentos digitais e modelos 3D (usados em ortodontia, implantodontia e prótese) contêm dados biométricos do paciente — a anatomia dentária é única e identificável. Esses dados devem ter o mesmo nível de proteção que qualquer dado sensível.

Quando o modelo 3D é enviado para um laboratório de prótese ou uma empresa de alinhadores (como Invisalign, ClearCorrect, ou alternativas nacionais), o destinatário atua como operador de dados — e é necessário DPA formal.

Fotos de antes e depois: a regra do CFO para redes sociais

O uso de imagens de pacientes para marketing odontológico é uma das áreas de maior risco — e uma das mais regulamentadas pelo CFO.

Resolução CFO nº 196/2019 — Imagens em redes sociais

A Resolução CFO nº 196/2019 regulamenta especificamente o uso de imagens por dentistas em mídias sociais:

Permitido:

Publicação de fotos de antes e depois de tratamentos (diagnóstico e conclusão)
Selfies com pacientes (com autorização por escrito)
Imagens publicadas apenas pelo profissional que realizou o procedimento

Obrigatório:

TCLE (Termo de Consentimento Livre e Esclarecido) assinado pelo paciente autorizando o uso da imagem
Nome do profissional e número de inscrição no CRO visíveis na publicação

Proibido:

Imagens ou vídeos do procedimento em andamento (o "durante") — infração ética nos termos do Art. 44, item 12 do Código de Ética (Resolução 118/2012)
Imagens mostrando equipamentos, instrumentos, materiais ou tecidos biológicos
Publicação por pessoa jurídica (clínica/consultório como empresa) — apenas o profissional pessoa física pode publicar
Publicação de casos realizados por terceiros

Intersecção com a LGPD

O TCLE exigido pelo CFO para uso de imagem cumpre parte dos requisitos da LGPD — mas não todos. Para conformidade completa, o consentimento deve:

Ser específico para cada uso (redes sociais, site, materiais impressos, palestras)
Informar quais plataformas receberão a imagem (Instagram, Facebook, site da clínica)
Permitir revogação a qualquer momento — e o dentista deve ter processo para remover as imagens quando solicitado
Cobrir dados sensíveis: fotos intraorais revelam condições de saúde e são dados sensíveis — o consentimento deve ser em destaque (Art. 11, I)

Modelo prático: o TCLE deve conter: identificação do paciente, descrição das imagens, finalidades autorizadas (listadas), plataformas, prazo, possibilidade de revogação, assinatura de ambas as partes.

Software de gestão de consultório: o operador que você esqueceu

A maioria dos consultórios odontológicos usa software de gestão — Simples Dental, Clinicorp, Dental Office, ControleODONTO, EasyDental, entre outros. Esses sistemas armazenam todo o prontuário digital, agenda, financeiro e dados de pacientes.

Quem é controlador e quem é operador

Controlador: o consultório/clínica (o dentista ou a pessoa jurídica titular)
Operador: o fornecedor do software, que processa dados em nome do consultório

DPA com o fornecedor de software

O contrato com o fornecedor de software de gestão deve incluir cláusulas de proteção de dados (DPA) que definam:

Quais dados o sistema processa e armazena
Que o fornecedor não pode usar os dados de pacientes para finalidades próprias
Onde os dados são armazenados (servidor local? nuvem? em qual país?)
Medidas de segurança implementadas (criptografia, controle de acesso, backup)
Procedimento em caso de incidente de segurança
O que acontece com os dados ao término do contrato (portabilidade, exclusão)
Se há suboperadores (provedores de nuvem, CDN, analytics)

Migração entre sistemas

Quando o consultório troca de software, os dados dos pacientes precisam ser migrados. Esse processo envolve:

Portabilidade: o sistema antigo deve permitir exportação dos dados em formato utilizável
Segurança na migração: dados em trânsito devem ser criptografados
Eliminação no sistema antigo: após confirmação da migração, solicitar ao fornecedor anterior a eliminação dos dados
Documentação: registrar o processo de migração como evidência de conformidade

Compartilhamento com convênios odontológicos

Clínicas que atendem por convênios odontológicos compartilham dados de pacientes com as operadoras por meio do padrão TISS (Troca de Informação de Saúde Suplementar), regulamentado pela ANS (Agência Nacional de Saúde Suplementar).

O que é compartilhado

Dados de identificação do paciente (nome, CPF, carteirinha)
Procedimentos realizados (códigos TUSS)
Dados clínicos necessários para autorização (radiografias, justificativas)
Valores cobrados

Base legal

Para auditoria e faturamento: execução de contrato entre clínica e operadora
Para autorização prévia de procedimentos: execução do contrato de assistência odontológica
Vedação (Art. 11, §5º LGPD): a operadora não pode usar os dados para seleção de risco na contratação ou exclusão de beneficiários

Cuidado adicional

Quando a operadora solicita radiografias ou relatórios clínicos para auditoria, o compartilhamento deve ser proporcional — enviar apenas o estritamente necessário para a finalidade da auditoria, não o prontuário completo.

Tratamentos prolongados: ortodontia e estética

Ortodontia, implantodontia e estética dental envolvem tratamentos que duram meses ou anos. Isso significa:

Volume de dados acumulado: dezenas de radiografias, fotos de evolução, modelos 3D, ajustes de plano
Envolvimento de múltiplos fornecedores: laboratórios de prótese, empresas de alinhadores, fornecedores de implantes — cada um potencialmente recebendo dados do paciente
Risco de exposição prolongada: quanto mais tempo o tratamento dura, mais dados existem e mais oportunidades de incidente

Para tratamentos prolongados, o consultório deve:

Manter o inventário de dados atualizado durante todo o tratamento
Ter DPA com cada fornecedor que recebe dados do paciente
Revisar e atualizar o consentimento quando a finalidade do tratamento mudar (exemplo: tratamento ortodôntico que evolui para cirurgia)

WhatsApp no consultório: o que pode e o que não pode

O WhatsApp é quase universal nos consultórios odontológicos brasileiros — para agendamento, confirmação de consultas, envio de orientações pós-operatórias. Não existe proibição do CFO para uso do WhatsApp em comunicação com pacientes, mas há limites importantes.

O que é aceitável

Agendamento e confirmação de consultas: dados mínimos (nome, data, horário)
Lembretes de retorno: "Olá [nome], sua consulta é amanhã às 14h"
Orientações gerais pós-procedimento: instruções que não contenham diagnóstico
Envio de boletos ou links de pagamento

O que é arriscado

Envio de radiografias pelo WhatsApp: dados sensíveis em canal sem controle de acesso — o paciente pode encaminhar, o celular pode ser acessado por terceiros
Fotos clínicas pelo WhatsApp: mesmo problema — fotos intraorais são dados sensíveis
Discussão de diagnóstico ou tratamento: o CFO proíbe consultas remotas sem a devida regulamentação
Grupos de WhatsApp com pacientes: expõe dados de contato de todos os participantes

Boas práticas

Use o WhatsApp Business (permite separar perfil pessoal do profissional)
Configure mensagens automáticas para confirmação de consultas
Não envie dados clínicos por WhatsApp — direcione o paciente ao portal ou app do consultório
Se o paciente insistir em receber radiografia por WhatsApp, documente a solicitação e o consentimento

DPO para consultório odontológico: obrigatório?

O Art. 41 da LGPD exige a nomeação de encarregado de proteção de dados (DPO). A Resolução CD/ANPD nº 18/2024 trouxe critérios para dispensa — agentes de tratamento de pequeno porte podem ser dispensados em certas condições.

Para consultórios de pequeno porte, a obrigação pode ser flexibilizada. Mas a dispensa não elimina as demais obrigações da LGPD. Na prática, o consultório precisa de alguém (mesmo que não formalmente nomeado como DPO) que:

Conheça as obrigações de proteção de dados
Responda a solicitações de pacientes (acesso, correção, exclusão)
Gerencie incidentes de segurança
Mantenha a documentação de conformidade atualizada

Para clínicas maiores ou redes, com múltiplos profissionais e alto volume de pacientes, a nomeação formal de DPO é recomendada — e pode ser via DPO as a Service para manter o custo acessível.

Checklist de conformidade para consultórios odontológicos

Conclusão

A odontologia brasileira trata dados sensíveis em escala massiva — 450.000 dentistas, 75.000 clínicas, dezenas de milhões de prontuários com radiografias, fotos clínicas e dados de saúde geral. A LGPD se aplica integralmente, mas a boa notícia é que a base legal de tutela da saúde (Art. 11, II, f) cobre a operação assistencial principal sem exigir consentimento adicional.

Os pontos de maior risco não estão no atendimento clínico, mas nas atividades periféricas: fotos de antes/depois publicadas sem TCLE adequado, software de gestão sem DPA, dados enviados por WhatsApp sem controle, convênios recebendo mais dados do que necessário. São esses os pontos onde a maioria dos consultórios precisa agir — e onde a conformidade gera mais resultado com menos esforço.

A Confidata oferece funcionalidades específicas para consultórios e clínicas de saúde: registro de atividades de tratamento com classificação de dados sensíveis, gestão de consentimentos e TCLEs, controle de DPAs com fornecedores de software e laboratórios, e canal do titular — permitindo que o consultório documente sua conformidade de forma simples e estruturada.