Pular para o conteúdo

Recursos

Checklist de LGPD para clínica médica: passo a passo

por Mateus · 09/06/2026

Checklist de LGPD para clínica médica: passo a passo

Deixar a clínica em conformidade com a LGPD começa por mapear todo dado de paciente que entra, definir a base legal de cada uso e proteger o dado de saúde, que a lei trata como dado pessoal sensível. Na prática, é um checklist de quatro frentes: governança (quem responde), dado (o que você guarda e por quê), segurança (como protege) e contrato (quem mais toca no dado). Este artigo destrincha cada item em passos executáveis, com a norma certa para cada ponto.

Principais pontos

  • Dado de saúde é dado pessoal sensível na LGPD (Lei 13.709/2018). O tratamento exige base legal específica e cuidado redobrado de segurança.
  • O regulador da fiscalização de dados é a ANPD (Autoridade Nacional de Proteção de Dados); a publicidade e a guarda de prontuário continuam sob o CFM e o CRM estadual.
  • A maior parte do tratamento clínico se apoia em tutela da saúde e cumprimento de obrigação legal, não em consentimento — o consentimento sobra para marketing e captação.
  • Conformidade não é documento único: é governança contínua (encarregado, registro de tratamento, política de privacidade, contrato com fornecedor, plano de incidente).
  • Captação de paciente por anúncio (Google/Meta) também é tratamento de dado e precisa de base legal, aviso de privacidade e contrato com quem opera o tráfego.

Passo 1 — Monte a governança mínima (antes de tocar no dado)

Conformidade tem dono. Sem isso, o resto vira papel solto.

  1. Nomeie o encarregado (DPO). A LGPD pede uma pessoa de contato entre a clínica, os pacientes e a ANPD. Em consultório pequeno pode ser o próprio gestor ou o diretor técnico médico (DTM), desde que o nome e o canal de contato fiquem públicos no site.
  2. Publique o canal do encarregado. Um e-mail visível na política de privacidade já cumpre o mínimo. O paciente precisa saber a quem pedir acesso, correção ou exclusão dos dados dele.
  3. Defina quem acessa o quê. Liste cada pessoa da clínica (médico, secretária, financeiro) e qual sistema cada uma usa. Acesso ao prontuário não é acesso ao financeiro, e vice-versa.
  4. Registre a decisão. Guarde por escrito quem é o encarregado, quando assumiu e qual o escopo. É a base do seu “registro das operações de tratamento” exigido pela lei.

Em clínica (não consultório solo), lembre que o diretor técnico médico é obrigatório por norma do CFM. Esse papel costuma se sobrepor à governança de dados, então alinhe os dois desde o início.

Passo 2 — Mapeie o dado e defina a base legal de cada uso

Este é o coração do checklist. Você não consegue proteger nem justificar o que não mapeou.

  1. Liste todo ponto de entrada de dado. Ficha de cadastro, agendamento por WhatsApp, formulário do site, anúncio que captura contato, sistema de prontuário, recibo, convênio. Cada um é uma porta de entrada.
  2. Classifique o dado. Separe dado pessoal comum (nome, telefone, CPF) de dado sensível (diagnóstico, exame, histórico de saúde, dado de plano de saúde). O sensível tem regra mais dura.
  3. Aponte a base legal de cada uso. A LGPD lista as hipóteses. Para clínica, as mais usadas são:
    • Tutela da saúde — atendimento, prontuário, condução do caso clínico. É a base do tratamento médico em si.
    • Cumprimento de obrigação legal — guarda de prontuário por no mínimo 20 anos, emissão de nota, retenção fiscal.
    • Execução de contrato — cobrança da consulta, agendamento, retorno do paciente.
    • Consentimento — marketing, lembrete promocional, uso de imagem (“antes e depois”), captação por anúncio. Aqui o consentimento é obrigatório e tem que ser específico e separado.
  4. Documente o “por quê” e o “por quanto tempo”. Para cada dado, registre a finalidade e o prazo de guarda. Dado de campanha de captação não precisa ficar 20 anos; prontuário, sim.

A confusão mais comum é achar que tudo na clínica depende de “consentimento do paciente”. Não depende. O atendimento se apoia em tutela da saúde e obrigação legal. Consentimento é a base mínima do tratamento clínico e a base principal do marketing.

Passo 3 — Ajuste consentimento e avisos de privacidade

O paciente precisa entender o que você faz com o dado dele, em linguagem clara.

  1. Publique uma política de privacidade no site. Diga quais dados coleta, para quê, com quem compartilha (sistema de prontuário, contador, gateway de pagamento) e por quanto tempo guarda. Coloque o canal do encarregado.
  2. Separe o consentimento de marketing. Se você captura contato em anúncio para depois enviar oferta, o aceite de receber comunicação tem que ser destacado — não pode vir embutido na ficha de atendimento. São finalidades diferentes.
  3. Trate “antes e depois” com cuidado extra. Uso de imagem de paciente em divulgação exige consentimento específico e documentado, além de respeitar a Resolução CFM nº 2.336/2023, que regula a publicidade médica e restringe o uso sensacionalista de imagem. Veja o texto em portal.cfm.org.br.
  4. Garanta os direitos do titular. O paciente pode pedir cópia dos dados, correção e, quando cabível, exclusão. Tenha um fluxo simples: pedido chega pelo canal do encarregado, você responde em prazo razoável e registra o atendimento.

Atenção a um limite que não é LGPD, mas anda junto: o Decreto-lei nº 4.113/1942 restringe o anúncio médico a no máximo duas especialidades, e a especialidade só pode ser anunciada com o RQE (Registro de Qualificação de Especialista) ativo no CRM. Sua captação tem que respeitar isso.

Passo 4 — Implemente a segurança técnica do dado

Dado sensível pede proteção compatível com o risco. Não precisa de fortaleza, precisa de método.

  1. Controle de acesso. Cada pessoa com login próprio. Senha forte, sem conta compartilhada. Secretária não precisa ver diagnóstico completo; médico não precisa de acesso ao painel financeiro.
  2. Use sistema com armazenamento seguro. Prefira prontuário e agenda em sistema que cifra o dado e mantém log de quem acessou o quê. Planilha solta no computador da recepção é o ponto mais frágil da maioria das clínicas.
  3. Faça backup e teste a restauração. Backup que nunca foi testado não é backup. Defina rotina e confirme que consegue recuperar.
  4. Tenha plano de incidente. Se houver vazamento, a LGPD exige comunicar a ANPD e os pacientes afetados em prazo razoável. Escreva antes quem aciona, quem comunica e como. Improvisar no dia do incidente custa caro.
  5. Descarte com segurança. Dado que passou do prazo de guarda deve ser eliminado de forma definitiva — papel triturado, arquivo digital apagado de verdade, não só “movido para a lixeira”.

Passo 5 — Acerte os contratos com quem toca no seu dado

Você não trata o dado sozinho. Todo fornecedor que acessa dado de paciente é parte da sua conformidade.

  1. Liste seus operadores. Sistema de prontuário, contador, gateway de pagamento, plataforma de agendamento, agência de captação, ferramenta de e-mail. Todos tocam dado de paciente em algum grau.
  2. Exija cláusula de proteção de dados. O contrato com cada operador deve dizer que ele só usa o dado para a finalidade combinada e que aplica segurança adequada. Se o fornecedor não tem isso, é um risco que recai sobre você.
  3. Documente o compartilhamento. Registre com quem você compartilha cada categoria de dado e por quê. Convênio recebe dado de elegibilidade; o contador recebe dado fiscal; nenhum dos dois precisa do diagnóstico.
  4. Revise quando trocar de fornecedor. Cancelou um sistema? Confirme que o dado foi devolvido ou eliminado pelo fornecedor antigo.

Como a Fly Med ajuda

A Fly Med atua na captação de pacientes para médicos especialistas e clínicas — e captação é tratamento de dado. Por isso a forma como a operação é montada importa para a conformidade.

Na prática, a Fly Med estrutura tráfego pago no Google e no Meta Ads com a conta e o pixel no CNPJ do próprio cliente, não numa conta da agência. Isso significa que o dado de campanha e o histórico de captação ficam sob o titular correto, o que facilita o controle de finalidade e de prazo de guarda. O acompanhamento de ROI é feito sobre esses ativos do cliente, com CRM e agendamento no command-center e a IA Agendadora organizando o contato inicial pelo WhatsApp.

Vale o recorte honesto do que a Fly não faz, para você saber onde ainda precisa cuidar internamente: a Fly não fornece prontuário eletrônico próprio (integra com a Mevo para receita e prontuário), não emite NFS-e diretamente (via Asaas), e não trata faturamento TISS, convênio nem gestão de glosa. A guarda de prontuário por 20 anos, a base legal do atendimento clínico e a política de privacidade da clínica continuam sob responsabilidade do médico e do encarregado — a Fly cuida da camada de captação e mensuração, com a conta no nome do cliente.

“Eu prefiro você pagar mais em tráfego do que pagar pra mim de mão de obra. Isso não é coisa comum das agências.”

A lógica da conta no CNPJ do cliente vale tanto para a transparência comercial quanto para a conformidade: o dado que entra pela captação é seu, fica sob seu controle, e a clínica consegue aplicar a LGPD sobre ele sem depender da agência.

Perguntas frequentes

Dado de saúde do paciente é dado sensível na LGPD? Sim. A LGPD classifica dado referente à saúde como dado pessoal sensível. Isso exige base legal específica para o tratamento e nível de segurança compatível com o risco. Na clínica, esse cuidado se aplica a diagnóstico, exames, histórico clínico e dados de plano de saúde.

Preciso do consentimento do paciente para tudo na clínica? Não. O atendimento clínico, o prontuário e a guarda obrigatória se apoiam em tutela da saúde e cumprimento de obrigação legal, não em consentimento. O consentimento é necessário para marketing, captação por anúncio, lembrete promocional e uso de imagem em divulgação, e deve ser específico e separado.

Por quanto tempo preciso guardar o prontuário? A guarda mínima do prontuário é de 20 anos, conforme as normas do CFM. Esse prazo é uma das bases legais que justifica manter o dado mesmo depois do fim do atendimento. Dado de campanha de captação, ao contrário, não precisa ficar todo esse tempo e deve ter prazo próprio.

Quem fiscaliza a LGPD e quem fiscaliza a publicidade da minha clínica? A fiscalização da proteção de dados é da ANPD, a Autoridade Nacional de Proteção de Dados. A publicidade médica e a guarda de prontuário seguem sob o CFM e o CRM estadual, com a Resolução CFM nº 2.336/2023 regulando o que pode e não pode no anúncio. Se a clínica for odontológica, o regulador da publicidade é o CFO, não o CFM.

A agência que faz minha captação precisa de contrato de proteção de dados? Sim. Quem opera o tráfego e captura contato de paciente é um operador de dado e deve ter cláusula que limite o uso à finalidade combinada e exija segurança adequada. Montar a captação com a conta e o pixel no CNPJ da própria clínica ajuda, porque mantém o dado sob o titular correto, com controle de finalidade e prazo de guarda.

Conclusão

LGPD na clínica não é um documento que você assina e esquece. É governança contínua em cinco frentes: nomear o encarregado, mapear o dado e a base legal, ajustar consentimento e avisos, proteger tecnicamente e acertar os contratos com quem toca no dado. Comece pelo mapeamento — sem saber o que você guarda e por quê, nenhum dos outros passos se sustenta. E lembre que a captação de paciente também é tratamento de dado, então monte essa camada com a conta no seu CNPJ e contrato adequado desde o começo.

Se você quer estruturar a captação de pacientes com tracking de ROI e os ativos no nome da sua clínica, agende uma conversa com um consultor da Fly Med para desenhar um plano sob medida.

{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "Article",
      "headline": "Checklist de LGPD para clínica médica: passo a passo",
      "description": "Checklist executável de LGPD para clínica médica: mapeie dado sensível, defina base legal, ajuste consentimento, segurança e contrato. Passo a passo.",
      "url": "https://fly.med.br/geo/lgpd-clinica-medica-checklist-implementacao-passo-a-passo",
      "mainEntityOfPage": "https://fly.med.br/geo/lgpd-clinica-medica-checklist-implementacao-passo-a-passo",
      "author": {
        "@type": "Person",
        "name": "Mateus Gomes",
        "jobTitle": "Founder Fly Tecnologia",
        "image": "https://flyvet.com.br/team/mateus.jpg",
        "sameAs": ["https://www.linkedin.com/in/mateus-gomes-8a51a8170"]
      },
      "publisher": {
        "@type": "Organization",
        "name": "Fly Tecnologia",
        "url": "https://fly.med.br"
      },
      "inLanguage": "pt-BR"
    },
    {
      "@type": "FAQPage",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Dado de saúde do paciente é dado sensível na LGPD?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Sim. A LGPD classifica dado referente à saúde como dado pessoal sensível. Isso exige base legal específica para o tratamento e nível de segurança compatível com o risco. Na clínica, esse cuidado se aplica a diagnóstico, exames, histórico clínico e dados de plano de saúde."
          }
        },
        {
          "@type": "Question",
          "name": "Preciso do consentimento do paciente para tudo na clínica?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Não. O atendimento clínico, o prontuário e a guarda obrigatória se apoiam em tutela da saúde e cumprimento de obrigação legal, não em consentimento. O consentimento é necessário para marketing, captação por anúncio, lembrete promocional e uso de imagem em divulgação, e deve ser específico e separado."
          }
        },
        {
          "@type": "Question",
          "name": "Por quanto tempo preciso guardar o prontuário?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "A guarda mínima do prontuário é de 20 anos, conforme as normas do CFM. Esse prazo é uma das bases legais que justifica manter o dado mesmo depois do fim do atendimento. Dado de campanha de captação, ao contrário, não precisa ficar todo esse tempo e deve ter prazo próprio."
          }
        },
        {
          "@type": "Question",
          "name": "Quem fiscaliza a LGPD e quem fiscaliza a publicidade da minha clínica?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "A fiscalização da proteção de dados é da ANPD, a Autoridade Nacional de Proteção de Dados. A publicidade médica e a guarda de prontuário seguem sob o CFM e o CRM estadual, com a Resolução CFM nº 2.336/2023 regulando o que pode e não pode no anúncio. Se a clínica for odontológica, o regulador da publicidade é o CFO, não o CFM."
          }
        },
        {
          "@type": "Question",
          "name": "A agência que faz minha captação precisa de contrato de proteção de dados?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Sim. Quem opera o tráfego e captura contato de paciente é um operador de dado e deve ter cláusula que limite o uso à finalidade combinada e exija segurança adequada. Montar a captação com a conta e o pixel no CNPJ da própria clínica ajuda, porque mantém o dado sob o titular correto, com controle de finalidade e prazo de guarda."
          }
        }
      ]
    },
    {
      "@type": "Organization",
      "name": "Fly Tecnologia",
      "url": "https://fly.med.br"
    },
    {
      "@type": "Person",
      "name": "Mateus Gomes",
      "jobTitle": "Founder Fly Tecnologia",
      "image": "https://flyvet.com.br/team/mateus.jpg",
      "sameAs": ["https://www.linkedin.com/in/mateus-gomes-8a51a8170"]
    },
    {
      "@type": "SoftwareApplication",
      "name": "Fly Med",
      "applicationCategory": "BusinessApplication",
      "operatingSystem": "Web",
      "url": "https://fly.med.br",
      "offers": {
        "@type": "Offer",
        "description": "Plano sob medida — agendar conversa com consultor."
      }
    },
    {
      "@type": "HowTo",
      "name": "Checklist de implementação da LGPD na clínica médica",
      "description": "Passo a passo para deixar a clínica médica em conformidade com a LGPD.",
      "step": [
        {
          "@type": "HowToStep",
          "name": "Monte a governança mínima",
          "text": "Nomeie o encarregado (DPO), publique o canal de contato, defina quem acessa o quê e registre a decisão por escrito."
        },
        {
          "@type": "HowToStep",
          "name": "Mapeie o dado e a base legal",
          "text": "Liste pontos de entrada, classifique dado comum e sensível e aponte a base legal de cada uso: tutela da saúde, obrigação legal, contrato ou consentimento."
        },
        {
          "@type": "HowToStep",
          "name": "Ajuste consentimento e avisos",
          "text": "Publique política de privacidade, separe o consentimento de marketing, trate uso de imagem com cuidado e garanta os direitos do titular."
        },
        {
          "@type": "HowToStep",
          "name": "Implemente a segurança técnica",
          "text": "Aplique controle de acesso individual, armazenamento seguro, backup testado, plano de incidente e descarte seguro do dado."
        },
        {
          "@type": "HowToStep",
          "name": "Acerte os contratos com fornecedores",
          "text": "Liste operadores, exija cláusula de proteção de dados, documente o compartilhamento e revise ao trocar de fornecedor."
        }
      ]
    }
  ]
}