Resposta direta: dado referente à saúde é dado pessoal sensível (art. 5º, II, da Lei nº 13.709/2018, a LGPD), e seu tratamento exige uma base legal específica: consentimento do paciente, dado de forma destacada e para finalidade determinada (art. 11, I), ou uma das hipóteses do art. 11, II, que dispensam consentimento, como a tutela da saúde conduzida por profissional sujeito a sigilo. Uma cláusula genérica de "aceite os termos" na ficha de cadastro não cumpre esse requisito. O porte da clínica não afasta o risco: o que eleva o rigor é a natureza sensível do dado tratado, não o faturamento do consultório.
Por que o dado de paciente recebe tratamento mais restrito
A LGPD separa dado pessoal comum de dado pessoal sensível. O art. 5º, II, inclui expressamente na segunda categoria o "dado pessoal sobre saúde ou vida sexual", o que abrange prontuário, exames, diagnósticos, prescrições e até a informação de que uma pessoa é paciente de determinada especialidade. Na prática, isso significa duas coisas para a clínica: a base legal de tratamento precisa vir do rol mais estrito do art. 11 (não do art. 7º, usado para dado comum), e uma falha na proteção desse dado tende a ser classificada como infração mais grave pela ANPD, por afetar diretamente a intimidade do paciente.
As bases legais do art. 11 na rotina da clínica
- Consentimento específico e destacado (art. 11, I): precisa estar separado de outras cláusulas do cadastro, identificar a finalidade exata (ex.: envio de lembrete de consulta, uso de imagem em antes-e-depois) e ser revogável a qualquer momento pelo paciente;
- Tutela da saúde (art. 11, II, "f"): dispensa consentimento quando o tratamento do dado é conduzido por profissional de saúde ou por serviço de saúde, sujeito a sigilo profissional, é a base que ampara o prontuário clínico em si, sem depender de formulário assinado a cada atendimento;
- Cumprimento de obrigação legal ou regulatória (art. 11, II, "a"): cobre exigências de órgãos como CRM, ANVISA e vigilância sanitária, que impõem guarda de registros por prazo determinado;
- Exercício regular de direitos (art. 11, II, "d"): permite usar o prontuário, por exemplo, para defesa em processo ético-profissional ou ação judicial.
O sigilo profissional do médico é um dever autônomo, previsto no Código de Ética Médica (Resolução CFM nº 2.217/2018) e anterior à LGPD: revelar informação obtida no exercício da profissão, sem justa causa, dever legal ou consentimento por escrito do paciente, é infração ética por si só, independentemente da análise de proteção de dados.
A clínica precisa nomear um encarregado de dados?
A Resolução CD/ANPD nº 2/2022 criou um regime facilitado para pequenos negócios (faturamento anual de até R$ 4,8 milhões): dispensa da indicação formal de encarregado, prazos em dobro para atender pedidos de titulares e relatório de impacto simplificado, desde que o negócio não realize tratamento de alto risco ou em larga escala, mantendo apenas um canal de comunicação com os titulares.
O ponto de atenção: tratamento de dado sensível de saúde tende a ser enquadrado como tratamento de risco justamente pela natureza do dado, não pelo volume. Isso significa que uma clínica pequena não pode presumir automaticamente que se enquadra na dispensa. Na dúvida, a orientação mais segura é manter, no mínimo, um canal de contato claro para o paciente exercer seus direitos e, sempre que o volume de prontuários e a complexidade do fluxo de dados justificarem, formalizar um encarregado, que pode ser o próprio responsável técnico ou um sócio, sem necessidade de contratação externa.
O que está em jogo em caso de descumprimento
A Resolução CD/ANPD nº 4/2023 (regulamento de dosimetria) classifica infrações em leves, médias e graves, com alíquotas de multa que vão de 0,08% a 1,5% do faturamento afetado, sempre limitadas a R$ 50 milhões por infração (art. 52 da LGPD). Além da multa, a ANPD pode aplicar advertência, determinar a eliminação dos dados irregularmente tratados, ou suspender o tratamento de dados enquanto a irregularidade não for sanada. Em incidente de segurança (vazamento de prontuários, por exemplo), a comunicação à ANPD e aos titulares afetados é exigida em prazo razoável, nos termos do art. 48 da LGPD.
Checklist prático de adequação
- Mapear quais dados são coletados em cada etapa (cadastro, anamnese, exames, imagens, faturamento) e onde ficam armazenados;
- Revisar a ficha de cadastro e os termos assinados pelo paciente, separando o consentimento específico (quando exigido) das demais cláusulas contratuais;
- Definir, para cada tipo de dado, qual base legal do art. 11 está sendo usada, e documentar essa decisão;
- Disponibilizar uma política de privacidade acessível ao paciente, com linguagem clara sobre como os dados são usados e por quanto tempo são guardados;
- Revisar contratos com fornecedores que também tratam esses dados (sistema de prontuário eletrônico, laboratório parceiro, plataforma de agendamento), incluindo cláusulas de proteção de dados e de notificação em caso de incidente;
- Ter um canal simples para o paciente pedir acesso, correção ou eliminação de seus dados, e um plano mínimo de resposta caso ocorra um incidente de segurança.
Perguntas frequentes
Preciso pedir consentimento assinado de cada paciente para tudo?
Não necessariamente. O atendimento em si e o registro em prontuário se apoiam na base "tutela da saúde" (art. 11, II, "f"), sem depender de consentimento formal. O consentimento específico e destacado é necessário para usos que vão além do atendimento, como divulgar imagem do paciente em rede social ou enviar comunicação de marketing.
Minha clínica é pequena. Ainda assim preciso me preocupar com isso?
Sim. O regime facilitado da Resolução CD/ANPD nº 2/2022 reduz obrigações formais para pequenos negócios, mas não afasta a exigência de base legal para tratar dado sensível, nem elimina o risco de sanção em caso de incidente, porque o critério de risco está ligado à natureza do dado (saúde), não só ao porte do negócio.
Posso compartilhar o prontuário com outro médico sem autorização do paciente?
Depende da finalidade. Para continuidade do próprio tratamento (encaminhamento, junta médica), o compartilhamento costuma se apoiar na tutela da saúde e nas normas éticas da profissão. Para finalidades distintas do atendimento, é recomendável consentimento específico do paciente.
Houve um vazamento de dados de pacientes. O que fazer primeiro?
Conter o incidente, documentar o que ocorreu (quantos registros, que tipo de dado, causa provável) e avaliar com orientação jurídica se a comunicação à ANPD e aos titulares afetados é exigida no caso concreto, conforme o art. 48 da LGPD. Quanto mais rápida a resposta documentada, menor tende a ser o risco de agravamento da sanção.
Fontes
- Lei nº 13.709/2018 (LGPD), arts. 5º, II; 7º; 11; 46; 48; 52 e 53;
- Resolução CD/ANPD nº 2/2022 (agentes de tratamento de pequeno porte);
- Resolução CD/ANPD nº 4/2023 (dosimetria e aplicação de sanções administrativas);
- Código de Ética Médica, Resolução CFM nº 2.217/2018 (sigilo profissional).
Fale conosco sobre a adequação da sua clínica