Segurança LGPD para Clínicas | Checklist Compliance 2026
Checklist completo de compliance LGPD para clínicas médicas com 20 itens de verificação, obrigações legais e penalidades por violação.
Multa por violar a LGPD: até R$ 50 milhões por infração. Mesmo assim, 40% das clínicas brasileiras não sabem quais são suas obrigações. Se você nunca fez um checklist de compliance, este é o momento.
O que é compliance LGPD pra clínicas
É o conjunto de práticas que protege dados sensíveis de pacientes conforme a Lei 13.709/2018. Dados de saúde têm proteção especial — consentimento explícito, criptografia e controle rígido de acesso são obrigatórios, não opcionais.
Os 4 pilares
Pilar 1: Transparência
Paciente precisa saber o que você faz com os dados dele. Sem letra miúda.
- Política de privacidade clara e acessível no site
- Termo de consentimento específico pra dados de saúde
- Informação sobre compartilhamento com terceiros
- Canal de comunicação pra dúvidas sobre dados
Pilar 2: Controle do paciente
Os dados são dele. Ele decide:
- Acesso: pode pedir cópia de tudo
- Correção: pode atualizar informações
- Exclusão: pode pedir que apague
- Portabilidade: pode transferir pra outro profissional
Exceção importante: prontuário médico tem guarda obrigatória de 20 anos (Resolução CFM).
Pilar 3: Armazenamento seguro
Proteção técnica de verdade:
- Criptografia AES-256 pra dados em repouso
- HTTPS/TLS pra dados em trânsito
- Backup redundante em datacenter brasileiro
- Controle de acesso por função (recepcionista vê agenda, não prontuário completo)
Pilar 4: Auditoria
Quem acessou o quê, quando, por quê:
- Logs de acesso imutáveis
- Revisão trimestral de permissões
- Alertas pra acessos suspeitos
- Relatório anual de compliance
Checklist de 20 itens
Governança
- DPO (Encarregado de Dados) nomeado
- Política de privacidade no site
- Registro de atividades de tratamento
- Plano de resposta a incidentes documentado
Consentimento
- Termo específico pra dados de saúde
- Consentimento registrado com data e hora
- Revogação fácil e acessível
- Consentimento separado pra marketing
Segurança técnica
- Criptografia em repouso e trânsito
- Autenticação de dois fatores
- Backup automático diário
- Firewall e antivírus atualizados
- Controle de acesso por função
Processos
- Procedimento pra pedidos de acesso/exclusão
- Treinamento anual da equipe
- Contratos com fornecedores incluindo cláusulas LGPD
- Avaliação de impacto pra novos tratamentos
Monitoramento
- Logs de acesso a dados sensíveis
- Auditoria trimestral de segurança
- Teste anual de resposta a incidentes
Se você marcou menos de 15, tem trabalho a fazer. Menos de 10? Urgente.
O que acontece se der errado
| Tipo | Penalidade |
|---|---|
| Advertência | Prazo pra correção |
| Multa simples | Até 2% do faturamento (max R$ 50M) |
| Multa diária | Até R$ 50M por dia |
| Publicização | Infração divulgada publicamente |
| Bloqueio | Proibição de usar os dados |
| Eliminação | Obrigação de apagar todos os dados |
A publicização é subestimada. Ter o nome da clínica associado a vazamento de dados de pacientes é um dano reputacional que não se repara com dinheiro.
FAQ
P: Clínica pequena precisa cumprir? R: Sim. A LGPD se aplica a qualquer pessoa ou empresa que trate dados pessoais. Pequenas têm obrigações simplificadas, mas não estão isentas.
P: Preciso de advogado especializado? R: Pra implementação inicial, recomendo. Depois, manutenção pode ser interna com revisão jurídica anual.
P: Meu prontuário eletrônico já garante compliance? R: Parcialmente. Prontuário cuida do armazenamento, mas compliance envolve consentimento, processos, treinamento e governança que vão além de qualquer software.
P: Vazou dado, e agora? R: Comunique a ANPD e os pacientes afetados em prazo razoável. Documente o incidente. Tome medidas corretivas. Registre tudo. Quanto mais rápido e transparente, menor o dano.
Na prática
Compliance LGPD não é projeto que você faz uma vez e esquece. É rotina. Use este checklist como ponto de partida, corrija o que falta, e crie hábito de revisão trimestral.
Quer uma auditoria dos pontos críticos? Oferecemos avaliação gratuita.
Leia também: