Guia LGPD para Clínicas: Os Erros Mais Comuns e Como Corrigi-los

  • Médico e Hospitalar
  • 23 de fevereiro, 2026
  • 16:11h

Por Que Clínicas Precisam Estar em Conformidade com a LGPD

A LGPD (Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018) trouxe importantes obrigações para todos os setores que lidam com informações pessoais, inclusive – e principalmente – o setor da saúde.

Dados sobre exames, diagnósticos, medicações, histórico clínico e afins são classificados como dados sensíveis, e o seu tratamento exige uma postura ainda mais cautelosa por parte dos profissionais e das instituições.

Apesar disso, ainda é comum que clínicas, consultórios e prestadores de serviço da área da saúde cometam erros básicos na tentativa de se adequar à legislação. Em alguns casos, por desconhecimento técnico e em outros, por acreditar que a norma só seria aplicável a grandes hospitais ou laboratórios.A seguir, trato dos equívocos mais frequentes, explicando por que cada um deles compromete a conformidade jurídica e expõe a clínica a riscos legais concretos.

A seguir, trato dos equívocos mais frequentes, explicando por que cada um deles compromete a conformidade jurídica e expõe a clínica a riscos legais concretos.

1. Achar que a LGPD Só se Aplica a Grandes Hospitais

O Erro Mais Recorrente na Interpretação da Lei

Esse é, sem dúvida, o erro mais recorrente: presumir que a LGPD diz respeito apenas a grandes instituições. Isso não corresponde à realidade.

A lei é expressa ao dispor, no artigo 1º, que se aplica a toda e qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica de direito público ou privado.

O porte da empresa, o volume de dados ou o número de funcionários não são critérios de exclusão. Para que seja aplicado o disposto na LGPD, basta que haja:

  • Coleta
  • Armazenamento
  • Compartilhamento
  • Descarte de dados pessoais

E sabemos que isso ocorre em qualquer clínica, consultório ou centro médico, independentemente do tamanho.

O Agravante: Dados Sensíveis de Saúde

Se a clínica trata informações de pacientes, precisa observar as exigências da LGPD. E, no caso do setor da saúde, há um agravante: os dados de saúde são considerados sensíveis, nos termos do artigo 5º, II da lei, implicando em exigências ainda mais rigorosas quanto à:

  • Base legal utilizada
  • Segurança da informação
  • Controle de acesso

Art. 5º Para os fins desta Lei, considera-se:

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Sua clínica coleta dados de pacientes, armazena prontuários e envia exames por e-mail?

Então a LGPD se aplica integralmente a você – e não importa se há dez ou mil atendimentos por mês.

LGPD para clínicas

Não Designar um Responsável pela Proteção de Dados (Encarregado ou DPO)

A Figura Essencial Prevista no Art. 41 da LGPD

Outro ponto crítico, e muitas vezes negligenciado, é a ausência de um responsável formalmente designado para tratar das questões relativas à proteção de dados dentro da instituição.

Trata-se da figura do encarregado pelo tratamento de dados pessoais, também chamado de DPO (Data Protection Officer), prevista no artigo 41 da LGPD.

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em:

  • I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • II – receber comunicações da autoridade nacional e adotar providências;
  • III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  • IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O Papel do Encarregado na Prática

O encarregado é quem faz a ponte entre a clínica, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). É ele quem:

  • Orienta a equipe
  • Responde às solicitações de acesso, correção ou exclusão de dados
  • Acompanha a conformidade com a legislação

É verdade que a Resolução nº 2/2022 da ANPD traz flexibilizações para agentes de tratamento de pequeno porte. No entanto, ainda que a designação do DPO não seja obrigatória em todos os casos, o que se espera de qualquer organização que trate dados sensíveis é que exista alguém minimamente capacitado e responsável por esse tema, nem que seja um profissional interno com função acumulada.

A inexistência dessa estrutura demonstra desorganização e pode ser interpretada como ausência de política de proteção de dados, enfraquecendo a defesa institucional em caso de fiscalização ou incidente.

Coletar Consentimento de Forma Genérica, Ampla e Sem Clareza

Quando o Consentimento Genérico se Torna Juridicamente Inválido

É comum encontrar clínicas que utilizam formulários padrão, com termos de consentimento genéricos, redigidos de maneira vaga ou técnica demais, que o paciente sequer compreende. E isso é um problema real.

O consentimento, para ser válido, precisa ser livre, informado e inequívoco, como previsto no artigo 8º da LGPD. Isso significa que o paciente deve saber, de forma clara e objetiva:

  • Quais dados estão sendo coletados
  • Para que finalidade
  • Por quanto tempo serão armazenados
  • Com quem eventualmente serão compartilhados

Não basta solicitar uma assinatura genérica dizendo que o paciente “autoriza o uso de seus dados”.

Nem Todo Tratamento Exige Consentimento

Além disso, é importante lembrar que nem todo tratamento exige consentimento. Muitas vezes, a base legal adequada será:

  • Cumprimento de obrigação legal (art. 7º, II)
  • Tutela da saúde (art. 11, II, b)
  • Legítimo interesse (art. 7º, IX), desde que obedecidos os critérios legais

Utilizar consentimento em todos os casos, inclusive nos que não exigem, pode gerar ainda mais insegurança jurídica, especialmente se o paciente resolver revogar esse consentimento no futuro.

Exemplo Prático de Consentimento Inválido

Para exemplificar: imagine um termo de consentimento em que o paciente “autoriza o uso de seus dados pessoais para fins administrativos e de divulgação de campanhas”.

A redação é vaga:

  • Não define o que seriam essas campanhas
  • Não especifica a quem os dados seriam encaminhados

Caso esse documento seja impugnado judicialmente, há forte chance de o consentimento ser considerado nulo, abrindo margem para responsabilização civil.

Permitir que Qualquer Colaborador Acesse os Dados Sensíveis

A Violação ao Princípio da Necessidade (Art. 6º, III)

Em muitos estabelecimentos, ainda é comum que os sistemas e arquivos médicos sejam acessíveis por qualquer funcionário da clínica: recepcionistas, administrativos, estagiários ou terceiros.

Essa prática, além de extremamente arriscada, é expressamente vedada pela LGPD.

A legislação impõe o princípio da necessidade (art. 6º, III), segundo o qual o acesso aos dados deve se limitar ao mínimo necessário para o cumprimento da finalidade pretendida.

Isso significa que:

  • Apenas os profissionais diretamente envolvidos no atendimento ao paciente devem ter acesso às informações clínicas
  • E mesmo assim, apenas ao que for estritamente necessário

Exemplo de Violação por Acesso Indevido

Imagine-se a seguinte situação: uma colaboradora da recepção acessa o prontuário de um paciente que não foi atendido por ela, apenas por curiosidade. Em seguida, comenta com outra funcionária o diagnóstico sensível contido no laudo.

Esse simples episódio já caracteriza:

  • Violação à LGPD
  • Quebra do dever de confidencialidade
  • Possibilidade de dano moral, tanto em sede judicial quanto perante os conselhos de classe

Consequências do Acesso Irrestrito

Permitir acesso irrestrito fere não só a LGPD, mas também o dever de sigilo profissional previsto em outras normas, como:

  • Código de Ética Médica
  • Lei nº 13.787/2018

Além disso:

  • Dificulta a identificação de eventuais acessos indevidos
  • Aumenta o risco de vazamento
  • Fragiliza a defesa da instituição em caso de incidente

Ignorar Incidentes de Segurança ou Deixar de Comunicar Vazamentos

A Obrigação Legal do Artigo 48 da LGPD

Nem toda clínica sabe disso, mas a LGPD determina que, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, é obrigatório comunicar:

  • A Autoridade Nacional de Proteção de Dados (ANPD)
  • O próprio paciente afetado

Conforme previsto no artigo 48.

Mesmo assim, muitas instituições preferem silenciar quando ocorrem falhas, acessos indevidos, perdas de prontuários ou vazamentos. Algumas sequer possuem protocolo de resposta a incidentes, o que agrava ainda mais a situação.

Consequências da Omissão

A ANPD já deixou claro que a ausência de registro e comunicação pode ser considerada fator agravante na dosimetria da penalidade (Resolução nº 1/2021).

Além disso, a omissão:

  • Reforça a impressão de negligência
  • Pode ensejar responsabilização civil, administrativa e até ética, a depender do caso

Exemplo Prático: Ataque Ransomware

Um exemplo prático: a clínica sofre um ataque de ransomware, que criptografa os prontuários digitais. Os sistemas ficam fora do ar por dois dias.

Mesmo com impacto direto nos atendimentos:

  • Nenhum incidente é registrado internamente
  • Tampouco há comunicação à ANPD

Em eventual fiscalização, essa omissão será interpretada como descumprimento do artigo 48 da LGPD, agravando a responsabilização administrativa da clínica.

A Importância do Plano de Resposta

Ter um plano de resposta a incidentes, mesmo simples, já é um grande diferencial.

O ideal é que a clínica:

  • Mantenha registros internos de qualquer falha de segurança
  • Realize análise do impacto do incidente
  • Se necessário, comunique formalmente o ocorrido

Recomendações Práticas para Clínicas e Consultórios

Para que a adequação à LGPD não seja apenas uma formalidade documental, mas efetivamente incorporada à rotina da clínica, é fundamental que algumas medidas práticas sejam adotadas.

Designe um Responsável Interno

Em primeiro lugar, recomenda-se que a clínica designe formalmente um responsável interno pelas questões relacionadas à proteção de dados, ainda que não se trate de um DPO (Data Protection Officer) com dedicação exclusiva.

O simples fato de haver uma pessoa capacitada e encarregada de:

  • Orientar os colaboradores
  • Responder às dúvidas dos titulares
  • Manter interlocução com a ANPD

Já demonstra comprometimento com a conformidade.

Revise os Formulários de Consentimento

Também é indispensável revisar os formulários de consentimento utilizados junto aos pacientes, adaptando a linguagem para ser:

  • Acessível
  • Clara
  • Específica quanto às finalidades do tratamento de dados

O uso de modelos genéricos e padronizados, sem explicitação dos propósitos reais da coleta, tende a fragilizar juridicamente a operação e, em muitos casos, torna o consentimento inválido.

Mapeie o Fluxo de Dados Pessoais

Paralelamente, a clínica deve mapear o fluxo de dados pessoais em todos os seus processos, desde:

  • O agendamento de consultas
  • Até o descarte de prontuários

Identificando:

  • Onde estão os pontos de maior vulnerabilidade
  • Quais medidas técnicas e administrativas são necessárias para mitigação dos riscos

Elabore um Plano de Resposta a Incidentes

Outra medida essencial é a elaboração de um plano de resposta a incidentes de segurança.

Ainda que simples, o plano deve prever etapas mínimas de:

  • Contenção
  • Avaliação de impacto
  • Comunicação interna
  • Quando aplicável, comunicação à ANPD e aos pacientes afetados

A ausência de protocolo formal pode agravar a responsabilização da clínica em caso de vazamentos ou falhas de segurança.

Invista em Treinamentos Periódicos

Por fim, é recomendável investir em treinamentos periódicos com todos os colaboradores, reforçando:

  • Boas práticas de sigilo
  • Condutas esperadas no manuseio de prontuários
  • A importância da confidencialidade das informações de saúde

A cultura de proteção de dados precisa ser construída no dia a dia da clínica, não se trata apenas de adotar um sistema ou assinar termos, mas de transformar a forma como os dados pessoais são encarados institucionalmente.

Benefícios da Conformidade

Adotar essas medidas demonstra não apenas conformidade com a legislação, mas também:

  • Respeito à privacidade dos pacientes
  • Responsabilidade ética na prestação de serviços de saúde

Muito Além de uma Tendência Passageira

A LGPD não é uma moda, tampouco uma formalidade burocrática. Trata-se de uma lei em vigor, com aplicação concreta e fiscalização ativa.

No setor da saúde, o descumprimento das normas de proteção de dados pode gerar consequências severas, inclusive com impacto direto na:

  • Confiança dos pacientes
  • Reputação institucional da clínica

Exposição a riscos que se podem evitar

Os erros que abordei aqui são os mais comuns, mas também os mais fáceis de corrigir com uma postura minimamente responsável.

Implementar a LGPD exige:

  • Comprometimento
  • Revisão de processos
  • Capacitação de pessoal
  • Principalmente, uma mudança de cultura organizacional

Clínicas que negligenciam esse tema estão se expondo, desnecessariamente, a riscos que podem ser evitados com planejamento e orientação adequada.

E aquelas que se organizam desde já tendem a prestar um serviço:

  • Mais ético
  • Mais seguro
  • Mais confiável para seus pacientes

REFERÊNCIAS

ASSOCIAÇÃO NACIONAL DOS PROCURADORES DOS ESTADOS E DO DISTRITO FEDERAL (ANAPE). Lei Geral de Proteção de Dados e reflexos na saúde pública. Disponível em: https://anape.org.br/publicacoes/artigos/lei-geral-de-protecao-de-dados-e-reflexos-na-saude-publica. Acesso em: 27 jul. 2025.

ASSOCIAÇÃO DOS NOTÁRIOS E REGISTRADORES DO BRASIL (ANOREG). LGPD e o Regulamento de Dosimetria das Sanções Administrativas. Disponível em: https://www.anoreg.org.br/site/artigo-lgpd-e-o-regulamento-de-dosimetria-das-sancoes-administrativas/?utm_source. Acesso em: 27 jul. 2025.

SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO). Paciente no comando: LGPD, dados sensíveis e saúde. 2019. Disponível em: https://www.serpro.gov.br/lgpd/noticias/2019/paciente-no-comando-lgpd-dados-sensiveis-saude. Acesso em: 27 jul. 2025.

SECURITI. Regulamento da ANPD sobre sanções administrativas. Disponível em: https://securiti.ai/pt-br/blog/brazil-anpd-regulation-on-administrative-sanctions/?utm_source. Acesso em: 27 jul. 2025.

LGPD BRASIL. Resolução CD/ANPD nº 2: tudo o que você precisa saber. 2022. Disponível em: https://www.lgpdbrasil.com.br/wp-content/uploads/2022/07/Resolucao-CD-ANPD-No-2-tudo-o-que-voce-precisa-saber.pdf?utm_source. Acesso em: 27 jul. 2025.

WIKIPÉDIA. Autoridade Nacional de Proteção de Dados. Disponível em: https://pt.wikipedia.org/wiki/Autoridade_Nacional_de_Prote%C3%A7%C3%A3o_de_Dados?utm_source. Acesso em: 27 jul. 2025.

Autor (a)

Fabiane Cuzziol

Advogada no escritório Battaglia & Pedrosa Advogados. Graduada em Direito pela Universidade Presbiteriana Mackenzie. Pós-graduanda em Direito Médico e Bioética pela Faculdade de Ciências Médicas da Santa Casa de São Paulo. Atuação profissional em Direito Médico e da Saúde.
  • fabiane@bpadvogados.com.br

Atuações relacionadas

navegue por outros conteúdos

thumb-tvjustiça

Dr. Paulo Pedrosa é convidado no Programa Fórum da TV Justiça

Leia mais
Jardim-alfomares-1

Entrevista para Rede Record sobre o caso do desmatamento irregular do Jardim Alfomares em Santo Amaro

Leia mais
entrevista-holding4

Dia de gravação para BandNews – Matéria sobre Holding

Leia mais

Nossas redes sociais

Facebook Youtube Linkedin Instagram

Links importantes

Nossas unidades

Unidade 1 – São Paulo

Rua Funchal, 573 – sala 51/52 – Vila Olímpia
São Paulo / SP – CEP 04551-060.

 

Atendimento de segunda à sexta–feira de 9h às 19h.

Unidade 2 – São Paulo

Rua Funchal, 573 – sala 53 – Vila Olímpia
São Paulo / SP – CEP 04551-060.

 

Atendimento de segunda à sexta–feira de 9h às 19h.

Unidade 3 – Sorocaba e Votorantim

Av. Gisele Constantino, 1.850 – CJ 1216, Pq. Bela Vista Iguatemi Business 
Votorantim / SP – CEP 18110-650.

Atendimento de segunda à sexta–feira de 9h às 19h.

Celebrando o passado, construindo o futuro.
Obrigado por fazer parte da nossa história!

Saiba mais

(11) 99504-9829 – (11) 3845-9369 relacionamento@bpadvogados.com.br – CNPJ 03.372.958/0001-00

Políticas de Privacidade e Uso de Cookies
Estamos usando cookies para oferecer a melhor experiência em nosso site. Se você está de acordo, basta clicar em "Aceitar". Você também pode ler nossa Políticas de Cookies e escolher os tipos de cookies que deseja desativá-los clicando em "Configurações". Para saber mais, visite nossa Política de Privacidade e Proteção de Dados: Leia nossa Política de Cookies
Configurações Aceitar tudo
Políticas de Privacidade e Uso de Cookies
Políticas de Cookies https://bpadvogados.com.br/lgpd Leia nossa Política de Cookies
Salvar Aceitar tudo