Guia · · 11 min de leitura
LGPD para clínicas médicas: o guia prático de conformidade em 2026
LGPD aplicada a clínicas e consultórios médicos: dado sensível, bases legais, consentimento, WhatsApp, prontuário, marketing e multas reais. Guia completo.
Resposta rápida: dado de paciente é categoria especial pela LGPD — exige base legal específica, governança de acesso reforçada, contrato com fornecedor de software (DPA) e processo de incidente. Em 2026, a ANPD já aplicou multas reais a clínicas e hospitais brasileiros por descumprimento. Este guia destrincha o que faz diferença na operação: bases legais corretas, consentimento bem escrito, inventário de dado, WhatsApp e marketing em compliance, e o que fazer se acontecer vazamento. Não é burocracia opcional — é proteção do paciente E do CRM.
A LGPD entrou em vigor em 2020, mas a fiscalização começou seriamente em 2023. Em 2024-2025, a ANPD assinou termos de ajustamento de conduta com redes hospitalares e aplicou multas a clínicas privadas. Em 2026, o assunto deixou de ser "preocupação futura" e virou exigência operacional. Esse guia é o playbook prático.
Por que LGPD é diferente em saúde
A Lei Geral de Proteção de Dados aplica-se a toda organização que trate dado pessoal. Mas dado de saúde é categoria especial (art. 11) — recebe proteção dobrada. Três consequências:
1. Base legal mais estrita. Pra dado sensível (saúde, biometria, religião, orientação sexual, etc.), a LGPD reduz as opções de base legal. Você não pode tratar dado de saúde por "legítimo interesse" do mesmo jeito que faria com dado cadastral. As bases utilizáveis em clínica são bem específicas (próxima seção).
2. Governança maior. A obrigação de proteger dado sensível exige mais medidas técnicas e administrativas — controle de acesso, criptografia, log de auditoria, processo de incidente. Clínica com sistema amador onde tudo abre pra qualquer funcionário não está em compliance.
3. Compartilhamento mais restrito. Você não pode passar dado de paciente pra parceiro, fornecedor ou marketing sem amarração contratual específica e, em vários casos, sem consentimento explícito.
A consequência operacional: a clínica precisa tratar dado de paciente como ela trata medicamento controlado — com inventário, governança e processo. Quem não faz, exposição é grande. Mais sobre como isso se conecta com publicidade médica em CFM 2336 na prática e publicidade médica: o que pode.
As bases legais aplicáveis a uma clínica médica
A LGPD lista 10 bases legais pra dado pessoal e 8 pra dado sensível. Em clínica médica, as bases utilizáveis na prática são:
1. Consentimento (art. 11, I)
O paciente concorda explicitamente com o tratamento, com finalidade específica e destacada. Base mais "segura" mas exige termo bem escrito e renovação periódica.
Quando usar: marketing por email/WhatsApp, envio de conteúdo educativo, uso de imagem em redes sociais (com cautela), participação em pesquisa.
Quando NÃO usar: atendimento clínico (a base é outra), cobrança de procedimento (idem), envio de NF-e ao Receita (idem).
2. Execução de contrato (art. 7, V — pra dado pessoal; art. 11, V — pra dado sensível em contratos de saúde)
Você trata o dado porque é necessário pra executar o contrato de prestação de serviço médico com o paciente.
Quando usar: marcação de consulta, prontuário, exame, retorno, lembretes operacionais, emissão de receita.
Quando NÃO usar: marketing fora do contrato, comunicação não relacionada ao atendimento.
3. Obrigação legal ou regulatória (art. 7, II; art. 11, II)
A clínica precisa tratar o dado porque a lei manda — CRM, Receita Federal, vigilância sanitária, Sistema de Informações em Saúde.
Quando usar: envio de notificação compulsória, prontuário (obrigação ética CFM), conservação de dado mínimo por prazo legal, comunicação a vigilância em casos previstos.
4. Tutela da saúde (art. 11, II, "f")
Base específica pra tratamento de dado sensível por profissional de saúde, dentro do exercício da medicina, no interesse do paciente.
Quando usar: todo o atendimento clínico — diagnóstico, terapêutica, prontuário, evolução, exame. Esta é a base primária do consultório médico.
5. Exercício regular de direitos (art. 7, VI)
Defesa em processo, cobrança judicial, comprovação de fato.
Quando usar: retenção de dado durante prazo prescricional pra defesa em processo, comprovação de prestação de serviço em cobrança.
Resumo prático
A clínica típica opera com 3 bases simultâneas:
| Operação | Base legal |
|---|---|
| Marcar consulta, atender, fazer prontuário | Tutela da saúde + Execução de contrato |
| Cobrar, emitir NF, enviar pra contador | Execução de contrato + Obrigação legal |
| Conservar dado por 20 anos após última consulta | Obrigação legal CFM |
| Enviar conteúdo educativo, ofertas de novos serviços | Consentimento (específico) |
| Pesquisa clínica / publicação | Consentimento (com termo dedicado) |
| Compartilhar com laboratório/imagem | Execução de contrato + Tutela da saúde |
Termo de consentimento — o que precisa ter
Quem trabalha com consentimento (especialmente pra marketing) precisa escrever bem. Termo curto, sem juridiquês, com itens marcáveis separadamente.
Estrutura mínima:
- Identificação do controlador — nome da clínica, CNPJ, endereço, contato do encarregado.
- Finalidade específica — pra quê o dado vai ser usado. NÃO use frases genéricas como "fins comerciais" — descreva exatamente.
- Lista de tipos de dado coletados — nome, telefone, email, dado clínico, foto.
- Compartilhamento com terceiros — quem mais acessa (laboratório, plano de saúde, contador).
- Prazo de retenção — quanto tempo o dado fica guardado.
- Direitos do titular — confirmação, acesso, correção, eliminação, portabilidade, oposição.
- Forma de revogação — como o paciente cancela o consentimento.
- Caixas separadas pra cada finalidade — atendimento clínico, lembrete operacional, marketing, conteúdo educativo. Paciente pode aceitar uma sem aceitar outra.
O que NÃO fazer no termo:
- Termo de 4 páginas em fonte 8 (anula consentimento, vira "consentimento mal informado")
- Caixa única pra "concordo com tudo"
- Linguagem que confunde tutela da saúde com marketing
- Esconder o termo no fim de outro documento
Inventário de dado — o que você precisa saber
Antes de qualquer outra coisa, a clínica precisa mapear o que tem.
Inventário básico (ROPA — Registro de Operações de Tratamento de Dados):
| Item | Descrição |
|---|---|
| Categoria de titular | Pacientes, funcionários, fornecedores |
| Tipo de dado | Cadastrais, financeiros, clínicos, imagem, biometria |
| Finalidade | Pra quê o dado é usado |
| Base legal | Qual base sustenta o tratamento |
| Local de armazenamento | Sistema X, planilha Y, papel arquivado em Z |
| Quem acessa | Função e nome |
| Prazo de retenção | Quanto tempo guarda |
| Compartilhamento | Pra quem é enviado |
Esse inventário é exigido pela LGPD e é o que a ANPD pede em fiscalização. Não precisa ser sofisticado — pode ser planilha — mas precisa existir e estar atualizado.
Os 6 pontos onde clínica mais falha em LGPD
1. WhatsApp pessoal da secretária
Dado de paciente passando em aparelho pessoal sem governança. Resolução: WhatsApp Business em número dedicado da clínica, com perfil comercial, equipe acessando via WhatsApp Web ou Business API. Setup completo em WhatsApp Business para clínicas médicas.
2. Planilha de paciente compartilhada na nuvem aberta
Google Sheets / Drive sem controle de acesso, link aberto. Resolução: sistema de gestão de paciente com acesso por usuário, log de auditoria, criptografia.
3. Sistema de gestão sem DPA
A clínica usa iClinic, Feegow, Amplimed (ou outros) mas não assinou contrato específico de tratamento de dado (DPA). Resolução: solicitar e assinar o DPA — fornecedores sérios já têm modelo pronto.
4. Funcionário acessa o que não deveria
Secretária vê prontuário clínico, faxineira tem acesso à sala onde fica o servidor. Resolução: perfis de acesso por função, controle físico do ambiente.
5. Marketing usando dado sem base
"Vamos mandar um WhatsApp pra todos os pacientes oferecendo o novo serviço" — sem base legal. Resolução: consentimento específico pra marketing, captado no cadastro ou em ação dedicada. Mais sobre marketing em compliance em aumentar agendamentos com marketing digital.
6. Vazamento sem processo
Pen drive com backup perdido, computador roubado, planilha caiu em endereço errado — sem processo de notificação ao paciente e à ANPD. Resolução: plano de incidente formal (próxima seção).
Quando acontece incidente — o que fazer
Vazamento, perda de dispositivo, ataque cibernético, acesso indevido — todos são incidentes. A LGPD exige processo formal.
Passo 1 — Contenção (primeiras 24h)
- Identificar o que vazou, quando, como
- Conter (cortar acesso indevido, trocar senhas, recuperar dispositivo)
- Documentar tudo
Passo 2 — Avaliação (48-72h)
- Quantos titulares foram afetados
- Qual tipo de dado foi exposto
- Qual o risco real (financeiro, reputacional, físico)
- Se houve violação de dado sensível, o risco é maior
Passo 3 — Notificação
Se há risco relevante aos titulares, notificar:
- ANPD: prazo "razoável" (a recomendação é 5-10 dias úteis)
- Titulares afetados: comunicação direta, em linguagem clara, descrevendo o ocorrido e as medidas tomadas
Passo 4 — Correção e prevenção
- Identificar causa raiz
- Implementar medida pra não repetir
- Documentar lições aprendidas
- Atualizar processo se necessário
A clínica que não tem esse plano formal é também a clínica que panika em incidente e acaba descumprindo prazo da ANPD — multa por descumprimento de notificação chega a ser maior que multa pelo vazamento original.
Direitos do titular — o que paciente pode pedir
Todo paciente, a qualquer momento, pode exigir:
- Confirmação — saber se você trata dado dele
- Acesso — ver os dados que você tem (incluindo cópia)
- Correção — corrigir dado incorreto ou desatualizado
- Anonimização ou eliminação — apagar dado desnecessário (com limites quando há obrigação legal de conservar)
- Portabilidade — receber dado em formato estruturado pra levar pra outro lugar
- Informação sobre compartilhamento — quem mais teve acesso
- Informação sobre não-consentimento — saber as consequências de não consentir
- Revogação do consentimento — desfazer consentimento anterior
- Oposição — opor-se ao tratamento quando feito sob base legal diferente de consentimento
Você tem 15 dias pra responder. Resposta vaga ou negativa sem fundamento vira reclamação na ANPD. Tenha um e-mail ou canal padrão pra receber esses pedidos (geralmente o do encarregado).
Encarregado (DPO) — quem precisa
A LGPD obriga indicar encarregado. Quem pode ser:
- Médico responsável da clínica — em clínica pequena (até ~5 médicos, faturamento até R$ 4,8mi)
- Sócio administrativo — em clínica média
- Profissional dedicado interno — em clínica grande
- Terceirizado (escritório de advocacia, consultoria) — em qualquer porte
Quem quer que seja, precisa:
- Estar formalmente designado em documento (ata, contrato, decisão da diretoria)
- Ter contato público (geralmente no site, em "Política de Privacidade")
- Ter atribuições claras: receber comunicação do titular, da ANPD, orientar funcionários, executar planos de incidente
- Ter independência (não pode ser punido por opinar contra a clínica)
Em clínica pequena, o caminho mais comum é o próprio médico-sócio acumular, mantendo contato dedicado (DPO@clinica.com.br) que ele lê.
Política de Privacidade no site
Todo site de clínica precisa de Política de Privacidade pública. Conteúdo mínimo:
- Identificação do controlador
- Tipos de dado coletados (cadastrais via formulário, prontuário via consulta, cookies, etc.)
- Finalidades de cada tratamento
- Bases legais
- Compartilhamento com terceiros (sistemas, plano de saúde, laboratório)
- Tempo de retenção
- Direitos do titular e canal para exercê-los
- Contato do encarregado
- Versão e data de atualização
Não use template genérico copiado. Política que não reflete a operação real é pior que política nenhuma — vira prova de má-fé em fiscalização. Adapte ao seu caso ou peça pra advogado/consultoria especializada montar.
LGPD e marketing — o que pode
Marketing médico em LGPD exige:
- Consentimento específico pra marketing, separado do consentimento pro atendimento
- Caixa de cancelamento (descadastro) em todas as comunicações — exigência da LGPD e do Marco Civil
- Base de pacientes não é base de marketing automaticamente — o paciente do prontuário não autorizou marketing só porque foi atendido
- Cookies de tracking (pixel Meta, GA) exigem aviso e consentimento — banner de cookies não é "moda européia", é exigência
Mais sobre estratégia de marketing em compliance em Meta Ads para médicos, Google Ads para médicos e tendências marketing médico 2026.
Sanções — o tamanho real do risco
A LGPD prevê:
- Advertência
- Multa simples de até 2% do faturamento do grupo (limitada a R$ 50 milhões por infração)
- Multa diária
- Publicização da infração
- Bloqueio dos dados envolvidos
- Eliminação dos dados envolvidos
Em 2024-2025, multas aplicadas pela ANPD em saúde ficaram entre R$ 30 mil e R$ 14 milhões dependendo do porte e da gravidade. Pra clínica de porte médio, multa típica em incidente de gravidade média fica entre R$ 50 mil e R$ 500 mil.
Mas o dano civil costuma ser maior. Pacientes podem entrar com ação individual ou coletiva. Indenização por dano moral por vazamento de dado de saúde tem ficado entre R$ 5 mil e R$ 30 mil por paciente atingido. Vazamento que expõe 500 pacientes pode somar R$ 5-10 milhões em civil — antes da multa da ANPD.
Custo de prevenir LGPD bem feita: R$ 5-30 mil em consultoria inicial + sistema bom + processos. Custo de remediar incidente: 10-100× isso. Conta básica.
Próximos passos pra colocar a clínica em compliance
Pra clínica que ainda não fez nada:
- Mês 1: Inventário de dado (ROPA). Mapeie o que tem, onde tá, quem acessa.
- Mês 2: Política de Privacidade + Termo de Consentimento. Use modelo ajustado, não copiado.
- Mês 3: Designar encarregado, criar canal de comunicação, treinar equipe.
- Mês 4: DPA com sistemas (iClinic, Feegow, etc.), revisar contratos de fornecedor.
- Mês 5: Plano de incidente formal, simular um teste interno.
- Mês 6: Auditoria interna. Revisar tudo, ajustar onde não tá batendo.
Mais sobre regulamentação em resolução CFM 2336 na prática e publicidade médica: o que pode.
A Gota não substitui escritório de advocacia ou consultoria especializada em LGPD — mas trabalha em compliance integrada (CFM + LGPD + Meta + Google policies) no marketing médico. Se você quer crescer agenda sem expor a clínica em risco regulatório, conheça nossa metodologia e fale com a gente sobre como funciona o diagnóstico inicial gratuito.
Respostas rápidas.
Toda. A LGPD se aplica a qualquer organização que trate dado pessoal — independente de porte, faturamento ou volume de paciente. Consultório individual de médico autônomo está sujeito do mesmo jeito que rede de hospitais. A diferença é a proporção da estrutura: o consultório pequeno precisa ter base legal, termo de consentimento, inventário, política de privacidade e processo de incidente — mas pode usar templates e o próprio médico como controlador. Hospital grande precisa de encarregado dedicado, comitê, auditoria. A obrigação é a mesma; o tamanho do aparato é proporcional.
Depende. A LGPD obriga indicar um encarregado, mas a ANPD permite que clínica pequena (a chamada "agente de tratamento de pequeno porte") tenha tratamento simplificado: o próprio médico responsável pode acumular a função. Resolução CD/ANPD n° 2/2022 detalha. Pra clínica até 5 médicos, faturamento até R$ 4,8 milhões/ano e tratamento não em larga escala, o próprio sócio-médico pode ser o encarregado. Acima disso ou em operação que envolve volumes grandes de dado sensível, vale formalizar encarregado dedicado — pode ser terceirizado em escritório de advocacia ou consultoria especializada. O ponto crítico é ter alguém formalmente designado e contato público no site.
Pode, com duas condições. Primeira: o paciente deu base legal pra esse contato — o consentimento explícito no momento do cadastro ("autorizo receber comunicações da clínica por WhatsApp") OU a base de execução do contrato (lembrete operacional de consulta agendada é considerado execução de contrato, mesmo sem consentimento ativo para marketing). Segunda: o canal é seguro — WhatsApp Business (não pessoal) em número da clínica, atendido por equipe treinada, sem encaminhamento pra grupo. Marketing por WhatsApp (campanha promocional, conteúdo educativo periódico) exige consentimento específico — o paciente precisa ter optado por receber. Lembrete não é marketing — é parte do serviço contratado.
Três pontos críticos. Primeiro: o sistema é operador, não controlador — a responsabilidade pelo dado é da clínica, não do fornecedor (iClinic, Feegow, Amplimed, etc.). Você precisa de contrato (DPA — Data Processing Agreement) com o sistema, definindo responsabilidades, prazo de retenção, processo de notificação de incidente. Segundo: controle de acesso real — cada usuário com login próprio, perfil de acesso definido por função (secretária não vê prontuário clínico), log de auditoria preservado. Terceiro: backup com criptografia e processo de continuidade — em caso de falha do fornecedor, você precisa de cópia dos dados em formato exportável. Sistemas sérios já oferecem tudo isso; sistemas amadores expõem a clínica. Audite antes de assinar.
Multa pode chegar a 2% do faturamento (limitada a R$ 50 milhões por infração), publicação da infração, bloqueio temporário do dado, eliminação dos dados envolvidos. Em 2024-2025 a ANPD já aplicou multas a estabelecimentos de saúde por vazamento, falta de transparência sobre tratamento de dado e falta de medidas de segurança. Mas o risco não é só financeiro — é também reputacional (incidente vira notícia) e civil (paciente pode entrar com ação por dano moral). Em saúde, dano moral por vazamento de dado pode chegar a R$ 5.000-30.000 por paciente atingido. Custo de prevenir LGPD bem feita é muito menor que custo de remediação depois de incidente.
Continue lendo.
- Guia
Médicos no interior do Brasil em 2026: o movimento de retorno que está redefinindo a medicina regional
O Brasil viveu um êxodo médico centralizador por décadas — agora vive o movimento contrário. Médicos formados nos grandes centros e com fellowships internacionais estão voltando pra cidades médias, trazendo medicina de ponta pra regiões antes desabastecidas. Este artigo analisa o fenômeno com dados públicos, posiciona Campos dos Goytacazes como caso emblemático no norte fluminense, e destrincha o que isso muda na prática — pra médico, pra paciente e pro marketing médico no interior.
21 min - Guia
Novas regulações do CFM para 2027: o que esperar e como se preparar
O Conselho Federal de Medicina está em ciclo de revisão regulatória ativa em 2026-2027. Temas em pauta: uso de IA na prática médica, atualização da telemedicina, redes sociais e transparência, sigilo em ambiente digital, publicidade em novos canais. Este guia mapeia o que está em consulta pública, o que provavelmente vai mudar e como se preparar.
5 min - Guia
Telemedicina e marketing em 2026: o que o CFM permite e como crescer com método
Telemedicina passou de exceção pandêmica a modalidade permanente regulamentada. A Resolução CFM 2.314/2022 e atualizações posteriores definem o que pode e o que não pode — e o marketing precisa acompanhar. Este guia cobre a base regulatória, plataformas em uso, prescrição digital com ICP-Brasil, LGPD reforçada e estratégias específicas pra capturar e converter paciente em consulta online.
11 min
Quer um olhar de quem já operou?
Vinte minutos, sem compromisso. Mostramos o que enxergamos de oportunidade no seu perfil atual.