LGPD na saúde: o que clínicas precisam fazer em 2026

A Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor em 2020 e estabeleceu, pela primeira vez no Brasil, um regime único para tratamento de dados pessoais em qualquer setor. Para a saúde, a LGPD não substituiu as normas do CFM ou do Ministério da Saúde, mas as complementou em pontos sensíveis: direitos do titular, dever de informação, segurança técnica, e responsabilidade objetiva por incidentes. Cinco anos depois da entrada em vigor, a maioria das clínicas brasileiras ainda opera com cumprimento parcial. O custo desse atraso começou a aparecer.

Por que dado de saúde tem regime especial na LGPD

Dado de saúde é qualificado pela LGPD como dado pessoal sensível (art. 5º, II). A categoria inclui informação sobre estado de saúde, histórico clínico, exames, medicações, condições psicológicas, e identificação genética. Tratar dado sensível tem regras mais estritas que dado pessoal comum:

• Bases legais aplicáveis são mais restritas (não basta o legítimo interesse genérico)
• Compartilhamento exige justificativa documentada
• Incidentes de segurança envolvendo dado sensível devem ser comunicados à ANPD com mais urgência
• Sanções podem ser agravadas

Para clínicas, três bases legais cobrem a maioria dos tratamentos do dia a dia:

• Tutela da saúde (art. 11, II, f): permite tratamento por profissionais de saúde, serviços de saúde ou autoridade sanitária para o cuidado do próprio titular
• Execução de contrato (art. 7º, V): permite tratamento necessário para a prestação do serviço médico contratado pelo paciente
• Cumprimento de obrigação legal (art. 7º, II): cobre o que a Resolução CFM 1.821/2007 e outras normas exigem

Consentimento (art. 7º, I) é necessário apenas para usos secundários, como marketing direcionado, programas de fidelidade, ou pesquisa fora da prestação clínica.

Glossário LGPD essencial para clínicas

Direitos do paciente que a clínica precisa atender

A LGPD garante ao titular nove direitos principais, sendo que sete são diretamente aplicáveis no contexto clínico:

• Confirmação da existência de tratamento de seus dados
• Acesso aos dados, com cópia em até 15 dias
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
• Portabilidade dos dados a outro fornecedor de serviço
• Informação sobre entidades com quem os dados foram compartilhados
• Revogação do consentimento, quando o tratamento se baseou em consentimento

Os dois direitos não diretamente aplicáveis ao prontuário clínico são a eliminação após término do tratamento (sobrescrita pela obrigação de guarda do CFM) e a oposição (limitada pela tutela da saúde).

O que muda na operação da clínica

A LGPD exige da clínica três tipos de medida: organizacional, técnica e contratual.

Medidas organizacionais

• Mapeamento de dados: levantar todos os dados pessoais que a clínica trata, com origem, finalidade, base legal, prazo de guarda e compartilhamentos. É o documento que a ANPD pede primeiro em qualquer inspeção.
• Encarregado nomeado e divulgado: o Encarregado precisa ter nome e contato divulgados no site da clínica ou na recepção, conforme orientação da ANPD.
• Política de privacidade pública: documento que descreve o tratamento de dados em linguagem acessível, com canais para o titular exercer direitos.
• Treinamento da equipe: recepcionistas, médicos, enfermeiros e gestores precisam saber o básico (não compartilhar foto de paciente em grupo de WhatsApp, não comentar caso clínico em rede social).

Medidas técnicas

• Controle de acesso: cada usuário do sistema tem identificação única, senha forte, e perfil que limita o que pode ver. Login compartilhado entre recepcionistas é violação direta.
• Criptografia em trânsito e em repouso: dados em movimento (entre paciente e clínica, entre clínica e laboratório) e armazenados precisam estar criptografados.
• Log de auditoria: quem acessou qual prontuário, quando, e o que fez. Indispensável para responder a incidentes.
• Backup com retenção definida: com plano de recuperação testado.

Medidas contratuais

• Contrato de operação com todo fornecedor que processa dados em nome da clínica (sistema de prontuário, laboratório terceirizado, serviço de cobrança).
• Cláusulas de responsabilidade definindo quem responde por incidente em cada parte da cadeia.
• Direito de auditoria sobre o operador.

Multas e o que a ANPD efetivamente faz

A ANPD começou a aplicar sanções a partir de 2023, depois de período inicial focado em orientação. Em 2024 e 2025, fiscalizações em saúde já produziram multas e termos de ajustamento de conduta.

As sanções vão de advertência (mais comum em primeira infração) até multa de 2% do faturamento, limitada a R$ 50 milhões por infração. Para infrações sem faturamento associado (microempresas, autônomos), há tabela própria com multa fixa proporcional à gravidade. Há também sanções não pecuniárias: publicização da infração, bloqueio temporário do tratamento, suspensão parcial do funcionamento.

Os incidentes que mais geram inspeção são:

• Vazamento de prontuário (médico postou em rede social, sistema invadido, backup perdido)
• Compartilhamento indevido (clínica vendeu base para laboratório ou plano de saúde)
• Falta de Encarregado nomeado
• Negativa injustificada de pedido de acesso ou portabilidade
• Uso de dados de paciente para marketing sem base legal apropriada

Como a Carecode opera dentro da LGPD

A Carecode foi desenhada para operar como operadora das clínicas clientes, com critérios técnicos que cobrem o que a LGPD exige na camada de tratamento:

• Controle de acesso por usuário, com perfis e logs de auditoria por evento
• Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
• Hospedagem em provedor com certificação ISO 27001 e SOC 2
• Contrato padrão de operação disponível para clientes
• Mecanismos de portabilidade e eliminação ao fim do contrato

A clínica continua sendo a controladora dos dados de seus pacientes, com as responsabilidades organizacionais (Encarregado, política de privacidade, treinamento de equipe) que a LGPD atribui ao controlador. A Carecode cobre a camada técnica e contratual; a clínica responde pela camada organizacional.

O custo de não fazer

A LGPD começou em 2020 com cinco anos de adaptação. Em 2025, esse prazo já passou. Clínicas que ainda operam sem o aparato mínimo enfrentam três riscos crescentes.

O primeiro é regulatório direto. A ANPD passou de orientação para fiscalização ativa em 2024. Inspeções em saúde têm focado em rede de clínicas e em incidentes reportados por pacientes, mas começam a alcançar clínicas pequenas via denúncia.

O segundo é cível. Pacientes que sofrem dano por vazamento ou compartilhamento indevido podem buscar indenização individual. Casos recentes em saúde no Brasil resultaram em condenações na faixa de R$ 5.000 a R$ 50.000 por paciente afetado, com multiplicação em casos coletivos.

O terceiro é reputacional. Pacientes que descobrem vazamento de informação médica raramente voltam à clínica, e raramente deixam de contar para outros pacientes.

Cumprir a LGPD não é tarefa única. É operação contínua que envolve sistema, contrato e processo. Mas a maior parte do trabalho técnico pode ser delegada ao fornecedor de prontuário e operação, deixando à clínica as responsabilidades organizacionais que cabem ao controlador. A escolha de fornecedor passa a ser, então, parte da estratégia de compliance, não apenas decisão operacional.