Por João Pedro Mamede
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) completou quase cinco anos de vigência e, ainda assim, muitos estabelecimentos de saúde seguem com dúvidas sobre sua aplicação prática, especialmente clínicas de pequeno e médio porte. Por lidarem diretamente com dados pessoais sensíveis, como informações sobre o estado de saúde dos pacientes, exames, diagnósticos e históricos clínicos, essas instituições possuem um elevado grau de responsabilidade e risco na conformidade à legislação.
A LGPD define como dado pessoal sensível qualquer informação relativa à saúde de uma pessoa natural identificada ou identificável (art. 5º, II). Esse tipo de dado exige um tratamento reforçado, com medidas específicas de segurança, confidencialidade e limitação de acesso. O vazamento ou uso indevido dessas informações pode expor pacientes a constrangimentos, riscos à dignidade e até discriminação em contextos sociais ou laborais, o que amplia a exposição jurídica das clínicas e seus responsáveis legais.
Apesar de alguns profissionais acreditarem que a proteção de dados se resume a “ter uma política de privacidade no site”, a realidade é mais ampla e exige uma abordagem preventiva e estratégica. As clínicas são, na maior parte dos casos, controladoras de dados, ou seja, responsáveis por decidir quais informações serão coletadas, como serão usadas e com quem serão compartilhadas. Essa condição impõe obrigações específicas previstas na LGPD, como garantir que os dados sejam tratados com base legal adequada, em conformidade com os princípios da necessidade, da finalidade, da segurança e da transparência (art. 6º).
No contexto da saúde, é comum que o tratamento de dados ocorra com base no art. 11, inciso II, alíneas “e” e “f” da LGPD, que autorizam o uso de dados sensíveis sem consentimento quando necessário para proteção da vida ou para a tutela da saúde em procedimentos realizados por profissionais ou serviços de saúde. Ainda assim, isso não dispensa a clínica de garantir que o tratamento ocorra de forma minimamente invasiva, restrita ao necessário e com registro de suas finalidades. O uso do consentimento, apesar de previsto na lei, deve ser reservado a situações em que haja real liberdade de escolha, como o envio de material publicitário ou o compartilhamento com parceiros externos que não sejam essenciais ao atendimento.
Além disso, o princípio da transparência exige que os pacientes sejam informados, de forma clara e acessível, sobre como seus dados estão sendo utilizados. Isso inclui não apenas a exibição de uma política de privacidade, mas também a adoção de condutas proativas por parte da equipe: desde o momento da recepção até a entrega de exames, é essencial que todos saibam lidar com os dados com o mesmo cuidado dispensado à integridade física do paciente.
Nesse cenário, a proteção de dados não é apenas uma obrigação legal: é um dever ético e um diferencial de confiança no relacionamento com os pacientes. E isso se reflete na adoção de boas práticas. A adoção de boas práticas é o caminho mais eficiente (e menos oneroso) para que clínicas estejam em conformidade com a LGPD e evitem riscos legais desnecessários. Essas práticas não exigem, necessariamente, grandes investimentos em tecnologia, mas sim organização, clareza nos procedimentos e capacitação das equipes.
Uma das primeiras providências é a elaboração de uma Política de Privacidade objetiva e acessível, que informe os pacientes sobre quais dados são coletados, para que finalidade, com quem são eventualmente compartilhados e por quanto tempo são armazenados. Ainda que a clínica utilize sistemas de terceiros para agendamento, prontuários ou envio de lembretes, ela continua sendo responsável pelo tratamento desses dados.
Outro ponto essencial é o controle de acesso às informações sensíveis. Nem todo colaborador precisa acessar o histórico clínico completo de um paciente para cumprir suas funções. A restrição baseada em perfis, associada a senhas individuais e registros de acesso, é uma medida simples que reduz drasticamente o risco de uso indevido ou exposição acidental de dados.
A formalização contratual com fornecedores também exige atenção: clínicas que utilizam plataformas terceirizadas de gestão médica, laboratórios, sistemas de cobrança ou mesmo serviços de marketing precisam garantir que esses parceiros adotem medidas mínimas de segurança e atuem em conformidade com a LGPD. Cláusulas específicas sobre proteção de dados e responsabilidade devem estar presentes em todos esses contratos.
Além disso, a capacitação dos colaboradores é um dos pilares da proteção de dados. O conhecimento da equipe sobre o que pode e o que não pode ser feito com as informações dos pacientes é o que efetivamente evita práticas de risco, como o envio de exames por aplicativos de mensagens, comentários em espaços comuns sobre casos clínicos, ou o descarte incorreto de documentos impressos.
A Autoridade Nacional de Proteção de Dados (ANPD) tem reforçado, por meio de seus guias e orientações, a importância de ações preventivas. A Resolução CD/ANPD nº 02/2024 reconhece que micro e pequenas clínicas podem adotar medidas proporcionais à sua realidade, mas não estão isentas de cumprir a lei. Já o Guia Orientativo de Segurança da Informação, publicado pela ANPD, apresenta recomendações mínimas como controle de acesso, inventário de dados, backup e uso de criptografia, medidas que podem ser adaptadas mesmo em estruturas modestas.
Descumprimentos à LGPD podem resultar em sanções administrativas, como advertência, multa (limitada a 2% do faturamento, até R$ 50 milhões por infração), publicização da infração e bloqueio ou eliminação de dados (art. 52). Além disso, clínicas podem responder civilmente por danos causados aos pacientes, inclusive em ações individuais por danos morais ou coletivas promovidas por órgãos de defesa do consumidor.
No setor da saúde, a proteção de dados deve ser encarada como uma extensão do compromisso com o cuidado, o sigilo e a ética profissional. Clínicas que investem em boas práticas demonstram não apenas respeito à legislação, mas também responsabilidade com a dignidade e a confiança de seus pacientes.
Estar em conformidade com a LGPD não é um luxo reservado às grandes redes hospitalares. Ao contrário, é um requisito para todas as organizações que tratam dados pessoais, inclusive as clínicas de pequeno e médio porte. E quanto mais cedo as medidas forem adotadas, menores os riscos e maiores os benefícios.
O CHENUT alcançou por nove vezes o 1° lugar como o escritório mais admirado de Minas Gerais pela publicação Análise Editorial ADVOCACIA. Quer conhecer mais sobre a nossa Equipe e nossos serviços? Entre em contato com novosnegocios@chenut.online e agende uma conversa.