# Segurança LGPD para Clínicas | Checklist Compliance 2026 > Checklist completo de compliance LGPD para clínicas médicas com 20 itens de verificação e penalidades por violação. Source: https://doutor.dev.br/blog/seguranca-lgpd-clinicas/ Multa por violar a LGPD: até R$ 50 milhões por infração. Mesmo assim, 40% das clínicas brasileiras não sabem quais são suas obrigações. Se você nunca fez um checklist de compliance, este é o momento. ## O que é compliance LGPD pra clínicas É o conjunto de práticas que protege dados sensíveis de pacientes conforme a Lei 13.709/2018. Dados de saúde têm proteção especial — consentimento explícito, criptografia e controle rígido de acesso são obrigatórios, não opcionais. ## Os 4 pilares ### Pilar 1: Transparência Paciente precisa saber o que você faz com os dados dele. Sem letra miúda. - Política de privacidade clara e acessível no site - Termo de consentimento específico pra dados de saúde - Informação sobre compartilhamento com terceiros - Canal de comunicação pra dúvidas sobre dados ### Pilar 2: Controle do paciente Os dados são dele. Ele decide: - **Acesso:** pode pedir cópia de tudo - **Correção:** pode atualizar informações - **Exclusão:** pode pedir que apague - **Portabilidade:** pode transferir pra outro profissional Exceção importante: prontuário médico tem guarda obrigatória de 20 anos (Resolução CFM). ### Pilar 3: Armazenamento seguro Proteção técnica de verdade: - Criptografia AES-256 pra dados em repouso - HTTPS/TLS pra dados em trânsito - Backup redundante em datacenter brasileiro - Controle de acesso por função (recepcionista vê agenda, não prontuário completo) ### Pilar 4: Auditoria Quem acessou o quê, quando, por quê: - Logs de acesso imutáveis - Revisão trimestral de permissões - Alertas pra acessos suspeitos - Relatório anual de compliance ## Checklist de 20 itens ### Governança - DPO (Encarregado de Dados) nomeado - Política de privacidade no site - Registro de atividades de tratamento - Plano de resposta a incidentes documentado ### Consentimento - Termo específico pra dados de saúde - Consentimento registrado com data e hora - Revogação fácil e acessível - Consentimento separado pra marketing ### Segurança técnica - Criptografia em repouso e trânsito - Autenticação de dois fatores - Backup automático diário - Firewall e antivírus atualizados - Controle de acesso por função ### Processos - Procedimento pra pedidos de acesso/exclusão - Treinamento anual da equipe - Contratos com fornecedores incluindo cláusulas LGPD - Avaliação de impacto pra novos tratamentos ### Monitoramento - Logs de acesso a dados sensíveis - Auditoria trimestral de segurança - Teste anual de resposta a incidentes Se você marcou menos de 15, tem trabalho a fazer. Menos de 10? Urgente. ## O que acontece se der errado Tipo Penalidade Advertência Prazo pra correção Multa simples Até 2% do faturamento (max R$ 50M) Multa diária Até R$ 50M por dia Publicização Infração divulgada publicamente Bloqueio Proibição de usar os dados Eliminação Obrigação de apagar todos os dados A publicização é subestimada. Ter o nome da clínica associado a vazamento de dados de pacientes é um dano reputacional que não se repara com dinheiro. ## FAQ **P: Clínica pequena precisa cumprir?** R: Sim. A LGPD se aplica a qualquer pessoa ou empresa que trate dados pessoais. Pequenas têm obrigações simplificadas, mas não estão isentas. **P: Preciso de advogado especializado?** R: Pra implementação inicial, recomendo. Depois, manutenção pode ser interna com revisão jurídica anual. **P: Meu prontuário eletrônico já garante compliance?** R: Parcialmente. Prontuário cuida do armazenamento, mas compliance envolve consentimento, processos, treinamento e governança que vão além de qualquer software. **P: Vazou dado, e agora?** R: Comunique a ANPD e os pacientes afetados em prazo razoável. Documente o incidente. Tome medidas corretivas. Registre tudo. Quanto mais rápido e transparente, menor o dano. ## Na prática Compliance LGPD não é projeto que você faz uma vez e esquece. É rotina. Use este checklist como ponto de partida, corrija o que falta, e crie hábito de revisão trimestral. Quer uma auditoria dos pontos críticos? Oferecemos avaliação gratuita. --- **Leia também:** - [LGPD e Automação de WhatsApp](/blog/lgpd-automacao-whatsapp-saude) - [IA no WhatsApp: O que Diz o CFM](/blog/ia-whatsapp-clinica-cfm-2336-2023) - [Como Automatizar Agendamento com Segurança](/blog/como-automatizar-agendamento-clinica)