Prontuários eletrônicos contêm dados de saúde — a categoria mais sensível prevista na LGPD. Telemedicina expande o perímetro de dados processados. Aplicativos de saúde coletam informações em tempo real. E a ANPD já sinalizou que o setor de saúde está entre suas prioridades de fiscalização.
Se você dirige uma clínica, consultório, laboratório ou hospital, estas são as 5 obrigações que você precisa conhecer — e cumprir — agora.
1. Consentimento Explícito para Dados de Saúde
Dados de saúde são considerados dados sensíveis pela LGPD — e o padrão de consentimento é muito mais rigoroso. Não basta um aviso genérico no cadastro. O paciente precisa consentir de forma livre, informada e inequívoca para cada finalidade de uso dos seus dados: prontuário eletrônico, compartilhamento com laboratórios, uso em pesquisas, envio de comunicações de marketing.
O consentimento deve ser documentado, registrado com data e hora, e o paciente deve ter o direito de revogar a qualquer momento — sem nenhum prejuízo ao seu atendimento.
2. Indicação Formal de DPO (Encarregado de Dados)
Clínicas que tratam dados de saúde em larga escala são obrigadas a ter um DPO (Data Protection Officer) formalmente indicado e registrado junto à ANPD. O DPO é o canal oficial entre a clínica, os pacientes e o órgão regulador.
Para a maioria das clínicas, a solução mais eficiente é o DPO terceirizado (DPO as a Service) — sem custo de contratação interna e com expertise jurídica dedicada.
3. Mapeamento de Dados (ROPA)
Você sabe exatamente quais dados de pacientes sua clínica coleta? Onde eles ficam armazenados? Quem tem acesso? Por quanto tempo são mantidos? Se a resposta é "não tenho certeza", você tem um problema.
O mapeamento de dados — também chamado de ROPA (Registro das Operações de Processamento de Atividades) — é obrigatório e deve ser mantido atualizado. Ele é o primeiro documento solicitado em qualquer fiscalização.
4. Política de Segurança da Informação
Prontuários eletrônicos precisam de controle de acesso. Sistemas de telemedicina precisam de criptografia. Colaboradores precisam de treinamento sobre o que podem e o que não podem fazer com os dados dos pacientes.
A LGPD exige medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, vazamentos e incidentes. Isso inclui senhas seguras, backups, controle de permissões e registro de acessos.
5. Plano de Resposta a Incidentes
Se ocorrer um vazamento de dados — seja por ataque hacker, erro humano ou falha no sistema — você tem até 72 horas para notificar a ANPD. Sem um plano estruturado, essa janela é impossível de cumprir.
O plano de resposta a incidentes define quem aciona o protocolo, o que comunicar, como conter o vazamento e como documentar o ocorrido. Ter esse plano pronto é tanto uma obrigação legal quanto uma proteção real para a reputação da sua clínica.
Resumo: Checklist Rápido para a Sua Clínica
- Termo de consentimento de dados atualizado e assinado
- DPO indicado formalmente (interno ou terceirizado)
- Mapeamento de dados (ROPA) completo e documentado
- Política de segurança da informação implementada
- Plano de resposta a incidentes estruturado
O que acontece se a clínica não se adequar?
A ANPD pode aplicar advertências, multas de até 2% do faturamento (limitado a R$ 50 milhões por infração), suspensão do banco de dados e publicização da infração — o que afeta diretamente a reputação da sua clínica com os pacientes.
Compliance não é burocracia. É proteção do seu negócio e dos seus pacientes.
A SafetyFYI é especialista em LGPD para o setor de saúde. Nossa plataforma combina tecnologia e consultoria jurídica para que sua clínica fique adequada de forma simples, rápida e sem dor de cabeça.
Falar com um especialista