Segurança da Informação

    LGPD para clínicas e consultórios: o que precisa estar em conformidade em 2026

    Saiba o que a LGPD exige de clínicas e consultórios em São Paulo em 2026: prontuários, consentimento, vazamentos e como se adequar sem paralisar a operação.

    Equipe Accertiva 25 Mar 2026 10 min de leitura
    LGPD para clínicas e consultórios: o que precisa estar em conformidade em 2026

    Introdução

    Clínicas médicas, odontológicas, psicológicas e consultórios de qualquer especialidade lidam diariamente com o tipo de dado mais sensível que existe: informações de saúde. Diagnósticos, prontuários, resultados de exames, histórico de tratamentos, todos classificados pela LGPD como dados pessoais sensíveis, com exigências de proteção muito mais rígidas do que dados comuns.

    Desde 2021, a ANPD (Autoridade Nacional de Proteção de Dados) está ativa e aplicando sanções. Em 2025, as primeiras multas significativas foram aplicadas a empresas do setor de saúde. Em 2026, a fiscalização se intensificou. Clínicas e consultórios que ainda não fizeram a adequação estão correndo um risco real, não apenas de multa, mas de processos judiciais, dano à reputação e perda de pacientes.

    Este artigo explica o que a LGPD exige especificamente para clínicas e consultórios, os erros mais comuns e o caminho prático para se adequar.

    Por que clínicas e consultórios têm obrigações especiais na LGPD

    A LGPD classifica dados de saúde como dados pessoais sensíveis (art. 5º, inciso II). Isso significa que sua clínica tem obrigações adicionais em relação a qualquer empresa que trate apenas dados comuns como nome e e-mail.

    Para tratar dados sensíveis de saúde, sua clínica precisa de uma base legal específica, geralmente o consentimento explícito e documentado do paciente, ou a necessidade de proteção da vida. Não basta o paciente comparecer à consulta: ele precisa ser informado de como os dados serão usados, por quanto tempo serão armazenados e com quem serão compartilhados.

    Além disso, em caso de vazamento de dados de saúde, a obrigação de notificar a ANPD e os pacientes afetados é imediata, e a multa pode chegar a 2% do faturamento, limitada a R$ 50 milhões por infração.

    Os 7 pontos que a LGPD exige da sua clínica

    1. Mapeamento de dados (Data Mapping)

    Sua clínica precisa saber exatamente quais dados coleta, onde estão armazenados, quem tem acesso e por quanto tempo são mantidos. Isso inclui: prontuários físicos e eletrônicos, fichas de anamnese, resultados de exames, dados de contato, informações de convênio, histórico de pagamentos e imagens (fotos, raio-x, tomografias).

    2. Consentimento documentado

    Antes de coletar qualquer dado de saúde, o paciente deve consentir explicitamente e de forma informada. O termo de consentimento precisa ser claro, sem linguagem jurídica inacessível, e explicar: quais dados serão coletados, para qual finalidade, por quanto tempo serão mantidos e se serão compartilhados com terceiros (laboratórios, convênios, especialistas).

    3. Política de privacidade publicada

    Toda clínica precisa ter uma política de privacidade disponível, no site, na recepção e no prontuário. Ela deve descrever todas as práticas de tratamento de dados da clínica em linguagem compreensível.

    4. Controle de acesso aos prontuários

    Apenas profissionais com necessidade real de acesso devem consultar os prontuários de cada paciente. Sistemas de prontuário eletrônico devem ter logs de acesso, quem acessou, quando e o que visualizou. Acesso indiscriminado de recepcionistas ou administradores ao histórico clínico completo dos pacientes é uma violação da LGPD.

    5. Segurança dos dados

    Todos os sistemas que armazenam dados de pacientes precisam ter: criptografia, controle de acesso com senha forte e MFA, backup regular com teste de restauração, e proteção contra acesso não autorizado. Prontuários em papel precisam de controle físico, armários com chave, acesso restrito, descarte seguro (fragmentação, não apenas lixo comum).

    6. DPO — Encarregado de Proteção de Dados

    Clínicas que tratam dados sensíveis em larga escala devem nomear um DPO (Data Protection Officer), que pode ser interno ou terceirizado. Esse profissional é o canal entre a clínica, os pacientes e a ANPD.

    7. Plano de resposta a incidentes

    Se ocorrer um vazamento de dados, seja por ataque hacker, perda de dispositivo ou erro humano, a clínica tem prazo de 72 horas para notificar a ANPD. Sem um plano documentado, esse prazo é quase impossível de cumprir.

    Os erros mais comuns em clínicas que ainda não se adequaram

    WhatsApp como canal oficial de comunicação com pacientes

    Enviar resultados de exames, laudos ou informações de saúde pelo WhatsApp pessoal do médico ou da recepcionista é uma violação grave. O WhatsApp não garante a segurança dos dados de saúde e não permite controle de acesso adequado. A alternativa é usar sistemas de comunicação com criptografia ponta a ponta e controle de acesso, ou o WhatsApp Business com políticas claras de retenção.

    Planilhas Excel com dados de pacientes sem senha

    Planilhas abertas na área de trabalho de computadores da recepção, sem senha e sem controle de acesso, são um risco crítico. Qualquer pessoa que tenha acesso físico ao computador, funcionário, técnico de manutenção, visitante, pode acessar dados sensíveis.

    Software de gestão desatualizado ou sem backup

    Sistemas de prontuário eletrônico desatualizados têm vulnerabilidades conhecidas. Sem backup regular e testado, um ataque de ransomware pode destruir todos os dados de pacientes sem possibilidade de recuperação.

    Câmeras de segurança sem política de retenção

    Câmeras de segurança em consultórios e clínicas também coletam dados pessoais (imagem). Sem política de retenção definida e comunicada aos pacientes, isso pode ser contestado.

    Compartilhamento de dados com convênios sem contrato adequado

    Planos de saúde e convênios recebem dados de saúde dos pacientes regularmente. Esse compartilhamento precisa estar coberto por um contrato específico de operador de dados, que define responsabilidades de proteção.

    Como se adequar na prática — passo a passo

    Passo 1 — Diagnóstico (1 semana)

    Mapeie todos os dados que sua clínica coleta e onde estão armazenados. Identifique os riscos mais críticos: sistemas sem senha, dados em planilha, prontuários físicos sem controle.

    Passo 2 — Documentação (2 semanas)

    Elabore o termo de consentimento, a política de privacidade e o registro de atividades de tratamento. Esses documentos podem ser adaptados de modelos, mas devem refletir a realidade da sua clínica.

    Passo 3 — Tecnologia (2 a 4 semanas)

    Implemente controles técnicos: senha forte e MFA em todos os sistemas, criptografia nos dispositivos, backup com monitoramento, controle de acesso ao prontuário eletrônico.

    Passo 4 — Treinamento (contínuo)

    Toda a equipe precisa entender o que pode e o que não pode fazer com dados de pacientes. Uma recepcionista bem treinada evita mais vazamentos do que qualquer tecnologia.

    Passo 5 — Nomear DPO

    Formalize quem é o responsável por proteção de dados na clínica, pode ser um profissional interno com capacitação, ou um serviço terceirizado.

    Como a Accertiva ajuda clínicas e consultórios em São Paulo

    A Accertiva oferece suporte técnico especializado para adequação de TI à LGPD em clínicas e consultórios em São Paulo:

    • Diagnóstico de segurança do ambiente de TI
    • Implementação de controles técnicos: MFA, criptografia, controle de acesso
    • Backup seguro em nuvem com monitoramento e teste de restauração
    • Configuração de sistemas de prontuário eletrônico com segurança adequada
    • Treinamento da equipe em segurança da informação e boas práticas de LGPD

    Segurança e continuidade para empresas

    TI para clínicas e consultórios

    Perguntas frequentes sobre LGPD para clínicas

    Consultório individual precisa se adequar à LGPD?

    Sim. A LGPD se aplica a qualquer pessoa física ou jurídica que trate dados pessoais, inclusive médicos e dentistas autônomos. O tamanho não importa: um consultório com um profissional e uma recepcionista trata dados sensíveis e precisa de adequação.

    Qual é a multa por descumprir a LGPD em uma clínica?

    A ANPD pode aplicar multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração. Além da multa administrativa, pacientes prejudicados podem entrar com ação judicial por danos morais. Em casos graves, pode haver responsabilização criminal.

    Prontuários em papel precisam ser protegidos pela LGPD?

    Sim. A LGPD se aplica a dados em qualquer formato, físico ou digital. Prontuários em papel devem ser armazenados em local com acesso restrito, com controle de quem acessa e quando, e descartados de forma segura (fragmentação) quando não forem mais necessários.

    Por quanto tempo uma clínica deve manter os dados de um paciente?

    O Conselho Federal de Medicina determina que prontuários devem ser mantidos por no mínimo 20 anos após o último registro. A LGPD exige que os dados sejam eliminados quando não forem mais necessários para a finalidade que justificou sua coleta, o que, para prontuários, está alinhado com o prazo do CFM.

    Como comunicar a adequação à LGPD para os pacientes?

    Atualize o termo de consentimento e a ficha de cadastro para incluir as informações exigidas. Coloque a política de privacidade visível na recepção e no site. Em próximas consultas, apresente o novo termo ao paciente e registre o consentimento.

    Leia também

    Precisa de ajuda com segurança da informação?

    Fale com nossos especialistas e descubra como a Accertiva pode ajudar sua empresa.

    Falar com Especialista
    Voltar para o Blog