LGPD para profissional de saúde: o que você precisa saber (sem ser advogado)

Quando a LGPD entrou em vigor em 2020, muita gente da área de saúde olhou e pensou: "isso é pra empresa grande, não tem a ver comigo". Errado. Qualquer profissional que atende paciente trata dados pessoais — e dados de saúde estão na categoria mais sensível da lei. Você não precisa ter clínica grande pra LGPD se aplicar; basta atender 1 paciente.

A boa notícia é que você já cumpre boa parte da LGPD por hábito profissional. Sigilo é parte do trabalho desde sempre. O que a LGPD faz é estruturar isso, dar nome e estabelecer sanções. Esse artigo te dá o panorama prático, sem juridiquês, do que muda.

O básico: o que é LGPD

A Lei Geral de Proteção de Dados (Lei 13.709/2018) regula como dados pessoais são coletados, armazenados, usados e compartilhados no Brasil. Entrou em vigor em setembro de 2020, com sanções aplicáveis desde agosto de 2021.

Conceitos-chave:

• Dado pessoal: qualquer informação que identifica ou pode identificar uma pessoa (nome, CPF, telefone, e-mail, endereço, foto)
• Dado sensível: categoria especial que inclui dados de saúde, origem racial, religião, orientação sexual, biometria. Tudo o que você trata como profissional de saúde se enquadra aqui.
• Titular: a pessoa de quem é o dado (seu paciente)
• Controlador: quem decide o que fazer com o dado (você)
• Operador: quem trata o dado em nome do controlador (ex: o sistema que você usa, sua secretária)

Por que profissional de saúde precisa entender

3 motivos práticos:

1. Você trata dados sensíveis

Anotação de anamnese, prontuário, evolução, observações clínicas — tudo é dado de saúde, e dado de saúde é a categoria mais protegida pela LGPD. Não importa se você atende 5 pacientes ou 50: a lei se aplica.

2. As sanções podem ser pesadas

A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar multas que vão de advertência até 2% do faturamento (limitada a R$ 50 milhões por infração). Pra autônomo solo, multas são proporcionais — mas o problema maior costuma ser reputacional: vazamento de dados de paciente é catástrofe pra prática clínica.

3. Cliente está mais consciente

Cada vez mais paciente pergunta "como meus dados são guardados?". Quem responde com clareza demonstra profissionalismo. Quem responde "ah, fica no caderno" passa amadorismo.

O que muda na sua prática (em 5 áreas)

Área 1: coleta de dados

Quando você cadastra um novo paciente, está coletando dados pessoais (nome, CPF, telefone, endereço) e dados sensíveis (queixa, histórico clínico).

O que fazer:

• Coletar só o necessário — não pede CPF se não vai emitir nota
• Informar o paciente sobre como os dados serão usados (basta uma frase: "Seus dados ficam guardados para fins de atendimento e em conformidade com a LGPD")
• Ter consentimento informado pra atendimento (parte do código de ética profissional já cobre isso)

Área 2: armazenamento

Onde você guarda essas informações? Caderno, planilha solta no computador, foto no WhatsApp são pontos de risco.

O que fazer:

• Caderno físico: guardar em gaveta com chave, escritório trancado
• Planilhas digitais: arquivo com senha, em pasta não-compartilhada
• Sistema profissional: com criptografia, controle de acesso e backup
• Nunca guardar dado clínico em WhatsApp (mesmo "salvo em mensagens")

Área 3: acesso

Quem acessa seus dados além de você? Secretária? Estagiária? Contador?

O que fazer:

• Definir quem pode ver o quê (secretária vê agenda, mas não prontuário clínico)
• Senhas individuais por usuário, não compartilhadas
• Logs de acesso (sistema profissional registra quem viu o quê)
• Termos de confidencialidade com quem tem acesso (mesmo família, se compartilha computador)

Área 4: compartilhamento

Você compartilha dados do paciente com convênio, perícia, outro profissional?

O que fazer:

• Só compartilhar com consentimento explícito do paciente
• Exceções: ordem judicial, dever de notificação (ex: doença infectocontagiosa), risco de morte
• Documentar o que foi compartilhado e com quem
• Quando paciente solicita "encaminhamento", peça por escrito (WhatsApp registrado serve)

Área 5: descarte

Paciente terminou o tratamento. Quanto tempo guardar os dados?

O que fazer:

• Respeitar a obrigação de guarda do prontuário (varia por profissão — psicólogo 5 anos, dentista 10 anos, médico tipicamente 20 anos)
• Após o prazo, descarte seguro (não jogar caderno no lixo comum; triturar)
• Dados eletrônicos: exclusão definitiva, sem ficar em backup acessível

Por profissão: nuances específicas

Psicólogo

Sua regulamentação principal é a Resolução CFP 001/2009 (prontuário) + CFP 010/2005 (Código de Ética). Guarda mínima de prontuário: 5 anos após último contato. Sigilo absoluto — a única exceção é risco de morte (ético) ou ordem judicial. Ver guia completo do psicólogo.

Médico

Resolução CFM 1.821/2007 regula prontuário eletrônico. Guarda mínima geralmente 20 anos. Quando paciente solicita acesso ao próprio prontuário, é obrigado a fornecer (CFM e LGPD coincidem nisso).

Dentista

Resolução CFO 118/2012. Guarda mínima de 10 anos. Particularidade: muitos dentistas tiram fotos clínicas — são dados sensíveis, precisam de consentimento específico pra uso (mesmo "antes e depois" pra portfólio precisa de autorização escrita).

Fisioterapeuta

Resolução COFFITO 414/2012. Prontuário deve conter avaliação inicial, evolução, plano terapêutico. Compartilhamento com médico do paciente: precisa de autorização explícita.

Nutricionista

Resolução CFN 599/2018. Dados de saúde (peso, IMC, exames) são sensíveis. Em consultas a distância (modelo digital), redobrar cuidados com plataforma utilizada.

10 boas práticas que você adota essa semana

1. Use senha forte no computador / celular onde tem dados de paciente
2. Bloqueia a tela quando sai do consultório (mesmo pra ir no banheiro)
3. Não guarda dado clínico no WhatsApp — mesmo "salvo nas mensagens importantes"
4. Pasta com dados não fica em Drive/Dropbox público — só em pasta privada com senha
5. Email com dado clínico: usa email profissional, não Gmail pessoal que compartilha com família
6. Caderno físico: guardado em gaveta com chave
7. Conversa com secretária / estagiária sobre sigilo
8. Quando paciente pergunta "como meus dados são guardados?", responde com clareza
9. Se sofreu vazamento (sumiu pen drive, computador hackeado), avisa pacientes afetados
10. Anota a base legal: você trata dados por causa da relação clínica + obrigação legal de guarda de prontuário. Essa é sua justificativa pela LGPD.

O que NÃO precisa fazer (alívio)

• Não precisa contratar DPO (Encarregado de Dados) sendo autônomo solo — é exigência pra organizações maiores
• Não precisa "política de privacidade" gigante — uma frase clara na sua bio do Instagram e no link público de agendamento já cumpre
• Não precisa pedir consentimento formal em papel pra cada paciente — o atendimento clínico tem amparo legal próprio (cumprimento de obrigação contratual + tutela da saúde)
• Não precisa parar de usar tecnologia — só usar com cuidado

Como o Guru ajuda

Sistemas profissionais de gestão pra autônomo (como o Guru) já vêm com:

• Criptografia em trânsito (TLS) — dados nunca trafegam abertos
• Criptografia em repouso — banco de dados não é legível mesmo se vazar
• Controle de acesso — só você (e equipe autorizada) acessa
• Logs de acesso — fica registrado quem viu o quê
• Backup automático diário — perda de dados é improvável
• Exclusão segura quando paciente solicita

Adotar um sistema desses é o caminho mais simples pra cumprir LGPD sem virar consultor jurídico. Você cuida do paciente; o sistema cuida da estrutura.

Resumo prático

1. Dados de paciente = sensíveis. LGPD se aplica a 100% das suas anotações clínicas.
2. Guarda em local seguro (gaveta com chave, ou sistema com criptografia)
3. Acesso restrito (você + equipe autorizada com sigilo)
4. Compartilhamento só com consentimento ou base legal específica
5. Descarte após o prazo da sua profissão (5 anos psi, 10 dentista, 20 médico)
6. Comunicar paciente brevemente sobre como dados são tratados
7. Sistema profissional reduz risco e simplifica conformidade

LGPD não é monstro. É estrutura que você provavelmente já segue por hábito profissional, agora com nome formal. Quem tem sistema decente, faz tudo certo. Quem ainda tá no caderno solto, é hora de arrumar.