Por que a LGPD é mais rigorosa com clínicas médicas
A LGPD para clínicas médicas exige atenção redobrada porque dados de saúde são classificados como dados sensíveis — a categoria com mais restrições da Lei Geral de Proteção de Dados (Lei 13.709/2018). Isso coloca clínicas em um patamar de obrigação superior ao de empresas comuns.
O descumprimento pode resultar em multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração. Mas o risco real vai além da multa: uma violação de dados de pacientes pode destruir a reputação da clínica de forma irreversível.
O que são dados sensíveis na prática clínica
Não é só o prontuário médico. A LGPD considera dados sensíveis tudo que revela informações sobre saúde:
| Tipo de dado | Exemplos | Classificação LGPD |
|---|---|---|
| Dados clínicos | Diagnósticos, exames, prontuário | Sensível |
| Dados de tratamento | Procedimentos realizados, prescrições | Sensível |
| Dados biométricos | Fotos clínicas, impressão digital | Sensível |
| Dados de pagamento | Cartão de crédito, CPF | Pessoal (PCI-DSS) |
| Dados de contato | Telefone, e-mail, endereço | Pessoal |
| Dados de agendamento | Horários, frequência de visitas | Pessoal |
Perceba: até o fato de que alguém é paciente de determinada clínica já é dado sensível — revela uma condição de saúde.
As 6 obrigações da sua clínica
1. Consentimento informado e específico
O paciente precisa autorizar explicitamente o uso dos seus dados, e essa autorização precisa ser específica para cada finalidade. O termo de consentimento médico não cobre automaticamente o uso de dados para cobrança, marketing ou compartilhamento com laboratórios.
Na prática: tenha um termo de consentimento LGPD separado do consentimento médico, detalhando cada finalidade.
2. Segurança no armazenamento
Dados de pacientes devem ser armazenados com criptografia e acesso controlado. Planilhas em Google Sheets, Excel compartilhados ou agendas em papel não atendem aos requisitos.
Requisitos técnicos mínimos:
- Criptografia AES-256 para dados em repouso
- TLS 1.2+ para dados em trânsito
- Autenticação multifator para acessos administrativos
- Backup criptografado com redundância geográfica
3. Controle de acesso por função
Nem todo funcionário precisa acessar todos os dados. A recepcionista precisa de dados de agendamento, não do prontuário completo.
| Perfil | Acesso permitido |
|---|---|
| Profissional de saúde | Prontuário, tratamentos, agendamento |
| Administrador financeiro | Dados de pagamento, faturamento, repasses |
| Recepção | Agendamento, contato, confirmação |
| Contador | Dados fiscais, NF-e, relatórios |
4. Direito de acesso e exclusão
O paciente tem direito de solicitar:
- Acesso a todos os seus dados armazenados
- Correção de dados incorretos
- Exclusão de dados (com exceções legais — prontuário médico tem guarda obrigatória de 20 anos conforme Resolução CFM 1.821/2007)
5. Registro de atividades de tratamento
Sua clínica precisa manter um registro documentado de:
- Quais dados são coletados e por quê
- Quem acessa cada tipo de dado
- Com quem os dados são compartilhados (laboratórios, planos de saúde, contadores)
- Por quanto tempo cada dado é retido
6. DPO (Encarregado de Dados)
Toda organização que trata dados sensíveis deve nomear um Encarregado de Dados (DPO). Para clínicas menores, essa função pode ser acumulada por um responsável interno, desde que esteja formalmente designado.
Como a conformidade impacta o financeiro
Dados de pagamento exigem conformidade com PCI-DSS além da LGPD. Isso significa que o sistema financeiro da clínica precisa atender a dois frameworks de segurança simultaneamente.
| Requisito | LGPD | PCI-DSS |
|---|---|---|
| Criptografia de dados | Obrigatório | Obrigatório |
| Logs de auditoria | Obrigatório | Obrigatório |
| Controle de acesso | Obrigatório | Obrigatório |
| Teste de vulnerabilidades | Recomendado | Obrigatório |
| Notificação de incidentes | 72 horas (ANPD) | Imediato (bandeira) |
Usar um sistema financeiro que já nasce em conformidade com ambos os frameworks elimina a complexidade de gerenciar isso internamente.
O que a Kuria faz pela segurança dos dados
O Escudo Fiscal da Kuria foi projetado para atender tanto LGPD quanto PCI-DSS nativamente:
- Criptografia AES-256 para dados em repouso e TLS 1.3 em trânsito
- Conformidade PCI-DSS Level 1 para dados de pagamento
- Logs de auditoria completos — quem acessou o quê, quando e de onde
- Controle de acesso granular por perfil (administrador, profissional, recepção)
- Backup automático com redundância geográfica
- Infraestrutura hospedada no Brasil — dados nunca saem do país
3 erros comuns que expõem clínicas
- Planilhas compartilhadas — Google Sheets com dados de pacientes acessível por link é uma violação direta da LGPD
- WhatsApp pessoal para cobranças — enviar boletos pelo WhatsApp pessoal do administrador mistura dados e dificulta rastreabilidade
- Falta de política de retenção — manter dados de pacientes indefinidamente sem justificativa legal é desnecessário e arriscado
Conclusão
A conformidade com a LGPD não é opcional para clínicas médicas — é uma obrigação legal com consequências financeiras e reputacionais severas. A boa notícia é que usar ferramentas que já nasceram em conformidade simplifica drasticamente o processo. O investimento em segurança é, na prática, um seguro contra um risco que nenhuma clínica pode ignorar.
