LGPD na prática para clínicas: o que o médico precisa fazer além de colocar um termo

LGPD virou assunto em 2020. Em 2026, o que mudou é que a ANPD começou a fiscalizar de verdade — e clínica é alvo prioritário, porque trata dado sensível de saúde. Só ter um termo no site não resolve nada. Este post cobre o que a operação precisa ter, em português de gestor.

O que a LGPD exige, em 5 peças

1. Base legal para tratar cada dado

Não é “consentimento para tudo”. Cada tipo de dado tem base legal diferente:

• Dado cadastral (nome, CPF, contato) — execução de contrato
• Dado clínico (prontuário) — tutela da saúde + consentimento
• Dado de marketing (campanhas, remarketing) — consentimento específico (opt-in)
• Dado financeiro (cobrança, repasse) — obrigação legal + execução de contrato

Se você usa “um termo” para tudo, está misturando bases — e isso é violação.

2. RoPA — Registro de Operações de Tratamento

Documento obrigatório que descreve:

• Que dados você coleta
• Para que finalidade
• Quanto tempo guarda
• Com quem compartilha
• Com que base legal

Em caso de fiscalização, é a primeira coisa que a ANPD pede. Muitas clínicas não têm.

3. Canal do titular

Paciente tem direito de:

• Acessar seus dados (baixar tudo)
• Corrigir dado incorreto
• Portabilizar para outra clínica
• Solicitar exclusão (com exceções legais)

Você precisa de um canal claro (e-mail, formulário) para receber esses pedidos e responder em até 15 dias.

4. DPO (Encarregado de Dados)

Pessoa responsável por ser o contato com ANPD e pacientes. Pode ser:

• Sócio da clínica (em operações pequenas)
• Advogado externo contratado
• Funcionário treinado

O importante é que tenha nome, contato público e saiba o que está fazendo.

5. Contratos com operadores

Toda empresa que toca seus dados (ERP médico, contador, agência de marketing, empresa de digitalização) é operador sob LGPD. Você precisa de contrato específico com cada um, com cláusulas de:

• Uso apenas para a finalidade contratada
• Segurança mínima
• Responsabilidade compartilhada
• Obrigação de notificação de incidente

Se o ERP médico que você usa não te dá esse contrato, exija.

O que mudou na prática em 2026

A ANPD finalmente começou a multar. Em 2025 vimos multas a clínicas por:

• Não ter canal do titular (R$ 50 mil)
• Não ter RoPA (R$ 30 mil)
• Vazamento não reportado em 2 dias úteis (R$ 180 mil)
• Marketing via WhatsApp sem opt-in (R$ 20 mil por titular notificado)

Total acumulado no setor saúde em 2025: R$ 8,4 milhões. Tende a crescer.

Checklist operacional para a próxima semana

• Termo de consentimento separado por finalidade (clínica, marketing, pesquisa)
• RoPA atualizado e guardado
• DPO nomeado, contato público (pode ser e-mail específico)
• Canal do titular definido, com SLA de 15 dias
• Contratos com operadores revisados (ERP, contador, marketing, digitalização)
• Termo de responsabilidade assinado pelos funcionários
• Política de retenção de dados documentada
• Backup e criptografia verificados
• Treinamento anual do time registrado
• Plano de resposta a incidente (o que fazer nas 72 horas após vazamento)

O incidente — 72 horas críticas

Se vazou dado:

1. Horas 0–24: contenção técnica (corte o acesso indevido)
2. Horas 24–48: avaliação de impacto (qual dado, quantos pacientes)
3. Horas 48–72: notificação à ANPD + aos pacientes afetados

Sem esse protocolo pronto, você perde tempo crítico. E a demora, sob LGPD, é considerada agravante.

O papel do ERP médico

Um ERP médico adequado te entrega, por padrão:

• RoPA gerado automaticamente
• Consentimentos configuráveis por finalidade
• Exportação de dados por titular em 2 cliques
• Trilha de auditoria de quem acessou o quê
• Criptografia AES-256 e TLS 1.3
• Backup auditável

Se o seu atual não entrega isso, você está fazendo LGPD no braço — com risco.

Como o Synaps One trata LGPD

Nativamente. RoPA gerado, consentimentos por finalidade, portabilidade em 2 cliques, trilha de auditoria por prontuário. Contrato de operador incluso no nosso ToS. Incidente? Notificação automática que cabe dentro do SLA de 72h.

Próximos passos

Marque para essa semana: revisão do RoPA. Se você não tem, comece pela lista de dados (seção 1 deste post). Em duas semanas, sua clínica está fora do risco maior. Conheça o painel de LGPD do Synaps One.