Conversar WhatsApp
LGPD · LGPD · 7 min de leitura

Prontuário, convênio e foto pré/pós: o que a LGPD exige da sua clínica

Todo dado de saúde é dado pessoal sensível. Isso coloca a clínica médica no nível máximo de exigência da LGPD desde o primeiro cadastro do paciente. Prontuário eletrônico com acesso genérico, foto pré/pós sem consentimento específico e laudo enviado por e-mail sem criptografia: três situações rotineiras que já configuram desconformidade com a lei.

Prontuário, convênio e foto pré/pós: o que a LGPD exige da sua clínica
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

A clínica ou consultório médico raramente se enxerga como empresa de tecnologia. Mas processa dado sensível em escala todo dia: diagnóstico, histórico clínico, exame de imagem, biometria de controle de acesso, foto pré e pós de procedimento estético. Cada um desses itens está no art. 5º, II da LGPD como dado pessoal sensível, e dado sensível tem regras específicas, mais rígidas do que um cadastro comum de cliente.

A pergunta que a maioria dos gestores de clínica faz é: "precisamos mesmo nos preocupar com LGPD?" A resposta é sim, e o argumento não é filosófico. A ANPD já instaurou processos administrativos no setor de saúde, e a multa chega a 2% do faturamento bruto no Brasil, limitada a R$ 50 milhões por infração. Clínica pequena não está fora desse radar, está só mais perto do caso que vai virar exemplo.

O prontuário eletrônico tem dono: e não é a clínica

O paciente é o titular do dado contido no prontuário. A clínica é a controladora, ou seja, quem define como e por que o dado é tratado. Isso muda a lógica de quem decide o que acontece com aquelas informações. A base legal para tratar dado de saúde sem consentimento expresso do paciente está no art. 11, II, f da LGPD: tutela da saúde, em procedimento realizado por profissional de saúde ou entidade sanitária.

Isso não significa acesso livre para todo mundo na clínica. O sistema de prontuário eletrônico precisa de controle de acesso por perfil. O médico assistente vê o histórico completo. A recepcionista precisa de nome, data de nascimento e agendamento, não de diagnóstico nem prescrição. O profissional de faturamento acessa código de procedimento e convênio, não anamnese. Log com registro de quem acessou o quê e quando é obrigatório, não diferencial.

Nossa leitura: o problema raramente é o sistema de prontuário em si. É a permissão genérica de "administrador" dada a todo funcionário na hora da implantação, por pressa ou por comodidade. Essa configuração mal feita é a primeira coisa que uma fiscalização vai verificar.

CFM quer 20 anos, LGPD quer o mínimo necessário. Quem ganha?

A Resolução CFM nº 1.821/2007 exige que o prontuário seja mantido por 20 anos a partir do último registro. A LGPD diz que dado pessoal deve ser eliminado quando a finalidade for atingida ou o prazo legal expirar (art. 16). Parece conflito. Não é.

O mesmo art. 16 autoriza a conservação de dados por cumprimento de obrigação legal ou regulatória. A resolução do CFM é exatamente isso: regulação legal de prática médica. Os 20 anos do CFM são, dentro da LGPD, a base legal que justifica a retenção prolongada do prontuário. A clínica não precisa escolher entre as duas normas.

O que não pode: usar o prontuário de 15 anos atrás para mandar campanha de reativação por WhatsApp. A retenção autorizada por obrigação legal serve para fins médicos e de defesa legal da clínica, não para marketing. Usar o dado guardado por imposição do CFM para finalidade comercial é desvio de finalidade, que a LGPD trata como infração autônoma.

O convênio pediu os dados do paciente: você pode mandar tudo?

Não. A operadora de plano de saúde tem interesse legítimo em verificar o que foi realizado para autorizar e pagar o procedimento. Isso é realidade do setor. A LGPD não proíbe o compartilhamento, mas exige que ele seja proporcional à finalidade: a operadora precisa do que é necessário para a auditoria, não do prontuário completo desde a primeira consulta.

  • O que o convênio pode pedir: diagnóstico, CID, procedimento realizado, data, identificação do profissional e instituição.
  • O que você não precisa enviar sem pedido fundamentado: histórico clínico completo, anotações subjetivas do médico, laudos de outras especialidades sem relação com o procedimento auditado.
  • O compartilhamento deve estar previsto em contrato ou termo com a operadora. Se não está, regularize.
  • O paciente deve saber, no momento do cadastro, que dados são compartilhados com o plano. É obrigação de transparência, não favor.
  • Log do que foi enviado: quem solicitou, qual dado, em que data. Sem esse registro, você não consegue provar proporcionalidade se questionado.
  • Dado de saúde enviado por e-mail sem criptografia é problema duplo: falha de segurança técnica e descumprimento do dever de proteção da LGPD.

Falando sério: o modelo de "anexar PDF no e-mail pra auditora do convênio" ainda é o padrão em boa parte das clínicas de Blumenau e do Vale do Itajaí. Ninguém questiona porque funciona operacionalmente. Mas funcionar não é o mesmo que estar dentro da lei.

Foto pré/pós, biometria e exame de imagem: cada um com sua regra

Biometria é dado pessoal sensível por definição no art. 5º, II da LGPD. Catraca com leitor de digital, reconhecimento facial na entrada, assinatura biométrica em termo de consentimento: tudo isso exige base legal explícita, informação ao titular e política de retenção. Quanto tempo você guarda a impressão digital do funcionário ou do paciente depois que ele vai embora? Se não sabe responder, já há um problema.

Foto de antes e depois em procedimento estético é o ponto mais delicado. O consentimento para realizar o procedimento não autoriza o uso da imagem para divulgação. São dois atos jurídicos distintos. Você precisa de consentimento específico e separado para usar foto pré/pós em redes sociais, site, portfólio ou qualquer material de comunicação. Esse consentimento precisa ser livre, informado e inequívoco, ou seja, não pode estar enterrado no meio de um formulário de admissão de 4 páginas.

Exame de imagem (raio-x, tomografia, ressonância) também entra na categoria de dado sensível de saúde. Quando o sistema de imagens fica em servidor sem criptografia, ou quando o link de acesso ao exame não tem autenticação por credencial, você tem vazamento em potencial aguardando acontecer. E "vazamento potencial" na ANPD não precisa virar vazamento real para gerar processo.

Portal do paciente e os 15 dias que a clínica costuma ignorar

O art. 18 da LGPD garante ao paciente o direito de acessar seus dados, pedir correção, solicitar portabilidade e revogar consentimento. O art. 19 dá à clínica 15 dias corridos para responder a qualquer dessas solicitações. Não são 15 dias úteis. Não tem prorrogação automática como no CDC.

Portal do paciente que só exibe resultado de exame não cumpre essa exigência. O titular precisa saber: quais dados a clínica tem dele, com quem foram compartilhados e por quanto tempo serão guardados. Se o portal não entrega essa transparência, a clínica precisa ter processo manual com registro de prazo para responder por outros canais.

Na prática: crie um canal específico para solicitações de titulares, seja um e-mail dedicado, seja um formulário no site. Toda solicitação entra com data registrada. O prazo de 15 dias começa no recebimento. A resposta precisa ser documentada. Se o paciente pedir a exclusão dos dados e a clínica tiver base legal para manter (como a obrigação do CFM), a resposta não é silêncio: é explicar por escrito por que a exclusão não pode ser feita naquele momento.

O que fazer nos próximos 15 dias

Sem contratar consultoria agora, sem comprar software novo. O que é possível fazer imediatamente:

  • Mapeie quem acessa o quê no sistema de prontuário. Revogue permissões de administrador que não fazem sentido pela função.
  • Confirme com o fornecedor do sistema se o log de acesso está ativo e por quanto tempo fica armazenado.
  • Identifique todo dado biométrico coletado: catraca, reconhecimento facial, assinatura digital. Verifique se há política de retenção.
  • Separe o termo de consentimento para uso de foto pré/pós em divulgação do consentimento clínico ou cirúrgico. São documentos diferentes.
  • Crie um canal formal para solicitações de titulares e documente o processo de resposta em 15 dias.
  • Revise o contrato com operadoras de convênio: o que está escrito sobre compartilhamento de dados e em que extensão?
  • Indique formalmente um encarregado de dados (art. 41 da LGPD). Em clínica pequena pode ser o próprio médico-gestor, desde que a indicação seja registrada e o nome seja público.

Clínica com mais de 20 colaboradores, rede de unidades, operação de telemedicina ou que trata dado de crianças e adolescentes precisa ir além dessa lista com urgência. Mas mesmo o consultório de um profissional solo com dois funcionários processa dado sensível em volume suficiente para gerar processo administrativo na ANPD. A fiscalização não avisa antes de chegar.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →