# LGPD e Automação de WhatsApp na Saúde: O que Saber > Entenda como proteger dados sensíveis de pacientes ao automatizar WhatsApp na sua clínica com conformidade total com a LGPD. Source: https://doutor.dev.br/blog/lgpd-automacao-whatsapp-saude/ Deixar os dados sensíveis dos seus pacientes nas mãos de software sem criptografia ou do “sobrinho que mexe com TI” é pedir pra ter problema. Multa por violação da LGPD? Até R$ 50 milhões por infração. Não é exagero — é a lei. ## O básico que você precisa saber A LGPD classifica dados de saúde como “dados sensíveis”. Proteção reforçada, obrigatória, sem atalho. Qualquer automação de WhatsApp na sua clínica precisa garantir quatro coisas: consentimento explícito do paciente, criptografia, minimização de dados e direito ao esquecimento. ## Por que dados de saúde são tão visados Não é paranoia. São números: - Multa por violação: até 2% do faturamento ou R$ 50 milhões - 15% das clínicas brasileiras já tiveram violação detectada - 40% dos médicos desconhecem suas obrigações com a LGPD - Dados de saúde valem 10x mais no mercado negro do que dados financeiros Pensa nisso: um hacker prefere seu prontuário ao seu extrato bancário. ## As 5 obrigações que você não pode ignorar ### 1. Consentimento explícito Nada de “se não respondeu, concordou”. Antes de qualquer mensagem automatizada: - Autorização para receber mensagens por WhatsApp - Autorização para armazenamento de dados de saúde - Opção clara de cancelamento a qualquer momento - Registro do consentimento com data e hora ### 2. Minimização de dados Coleta só o que precisa. Parece óbvio, mas muita gente erra: - Nome e telefone para agendamento — OK - Histórico médico completo no WhatsApp — NÃO - Sintomas básicos para triagem — OK com consentimento - CPF para confirmação — só se realmente necessário ### 3. Criptografia ponta a ponta Toda comunicação precisa estar criptografada: - WhatsApp Business API já oferece criptografia nativa - Dados armazenados devem usar criptografia AES-256 - Transferência entre sistemas via HTTPS/TLS - Backups também precisam de criptografia ### 4. Direito ao esquecimento Paciente pediu exclusão? Você tem 15 dias pra resolver: - Processo claro e documentado para exclusão - Confirmação por escrito de que excluiu - Exceção: dados necessários por obrigação legal (prontuário = 20 anos de guarda) ### 5. Registro de acessos Toda interação com dados de pacientes fica registrada: - Quem acessou, quando e por quê - Logs de auditoria imutáveis - Revisão periódica de acessos - Alertas para acessos suspeitos ## Como a gente estrutura isso Na doutor.dev.br, compliance não é add-on — é a base. Cada camada tem sua função: **Camada 1 — Coleta:** WhatsApp Business API com consentimento registrado antes de qualquer interação. **Camada 2 — Processamento:** IA processa dados em servidores no Brasil. Nada sai do país. **Camada 3 — Armazenamento:** Banco de dados criptografado com acesso restrito por função. Recepcionista vê agenda, não prontuário. **Camada 4 — Auditoria:** Logs completos de tudo, revisão trimestral. Princípios inegociáveis: - Dados nunca saem do Brasil - Zero acesso humano não autorizado - Backup redundante em datacenter brasileiro - Auditoria trimestral de segurança ## Erros que vemos toda semana - Usar WhatsApp pessoal para atendimento (zero criptografia empresarial) - Dados de pacientes em planilhas do Google Drive abertas - Informações de pacientes em grupos de WhatsApp da equipe - Política de privacidade copiada da internet e nunca atualizada - Ferramentas de automação sem saber onde os dados ficam armazenados Se você se identificou em algum desses, não se desespere — mas resolva rápido. ## FAQ **P: WhatsApp Business comum serve pra LGPD?** R: Não. O WhatsApp Business App básico não basta pra clínicas. Você precisa da WhatsApp Business API, que oferece criptografia empresarial, controle de dados e integração com sistemas seguros. **P: Posso usar ChatGPT direto no atendimento?** R: Com muito cuidado. Dados de pacientes enviados ao ChatGPT vão pra servidores da OpenAI nos EUA — potencial violação da LGPD. Use APIs com configuração de privacidade adequada ou modelos hospedados no Brasil. **P: Preciso de DPO?** R: Sim. Toda empresa que trata dados de saúde deve nomear um Encarregado de Dados. Pode ser interno ou terceirizado, mas precisa estar registrado na ANPD. **P: Fui multado, e agora?** R: Além da multa (até R$ 50 milhões), sua clínica pode sofrer suspensão do banco de dados, publicização da infração e proibição de tratar dados. O dano reputacional muitas vezes machuca mais que o financeiro. **P: Como sei se minha automação atual tá em compliance?** R: Checklist rápido: consentimento registrado? Criptografia ativa? Dados no Brasil? Política de privacidade atualizada? Processo de exclusão funcionando? Se faltou algum, hora de corrigir. ## O resumo é esse Automatizar WhatsApp na clínica é legal e recomendado. Mas o custo de fazer errado — multas, processos, reputação no chão — é incomparavelmente maior do que fazer certo desde o início. Quer ter certeza de que sua automação está em conformidade? Solicite uma auditoria gratuita de compliance LGPD para sua clínica. --- **Leia também:** - [Checklist Compliance LGPD para Clínicas](/blog/seguranca-lgpd-clinicas) - [IA no WhatsApp: O que Diz o CFM](/blog/ia-whatsapp-clinica-cfm-2336-2023) - [Como Automatizar Agendamento de Clínica](/blog/como-automatizar-agendamento-clinica)