"Isso é coisa de grande hospital, não do meu consultório." É o que muitos médicos pensam sobre a LGPD — e é justamente esse ponto cego que os expõe. Dados de saúde são sensíveis, têm proteção reforçada na lei, e o seu consultório é o controlador desses dados. A ANPD (Autoridade Nacional de Proteção de Dados) já fiscaliza clínicas e consultórios. Entenda o que está em jogo e os erros do dia a dia que colocam você em risco.
Por que a LGPD se aplica ao seu consultório
Tudo o que identifica um paciente — nome, CPF, data de nascimento, histórico, diagnósticos, exames — é dado pessoal, e os dados clínicos entram numa categoria especial, a dos dados sensíveis, que exige cuidado redobrado. Como controlador, você tem um dever que assusta à primeira vista: em caso de vazamento, precisa provar que tomou medidas para se proteger. Ninguém está imune a um incidente — o que a lei cobra é que você tenha agido com diligência.
E o que está em jogo não é pouco. A LGPD prevê multa de até 2% do faturamento, limitada a R$ 50 milhões por infração, além de bloqueio de dados. Some a isso ações por dano moral, a quebra de confiança do paciente e até o risco de complicações com credenciamentos. Para uma clínica, uma multa dessas — muitas vezes num momento de aperto de caixa ou de expansão — pode ser um golpe sério.
Os erros que expõem a sua clínica
A maioria dos problemas não vem de um ataque hacker sofisticado — vem de descuidos do dia a dia. Os mais comuns:
- Chamar o paciente pelo nome completo na sala de espera. Parece inofensivo, mas expõe a identidade de quem está ali. Chame pelo primeiro nome (ou primeiro nome e um sobrenome), nunca pelo nome completo em voz alta.
- Enviar laudos e exames por WhatsApp ou e-mail comum. Sem criptografia e sem confirmar que quem abre o arquivo é o dono dos dados, você está expondo informação sigilosa. Documentos sensíveis pedem um canal protegido.
- Usar um WhatsApp ou sistema compartilhado sem níveis de acesso. Quando toda a equipe usa o mesmo login, não há como rastrear quem acessou o quê. O ideal é um sistema com usuário individual e registro de quem fez cada ação.
- Dar à secretária acesso a dados clínicos. A recepção precisa agendar e cadastrar — não precisa ver laudos, diagnósticos ou relatórios. Pedir que ela envie um documento sigiloso a um paciente, sem termo assinado, é compartilhar dado sensível com quem está fora do cuidado clínico.
- Coletar dados desnecessários no agendamento. Perguntar escolaridade, estado civil ou local de trabalho já na primeira ligação viola o princípio da minimização: colete só o necessário para aquela finalidade.
- Entregar o prontuário sem verificar quem pede. O acesso é do próprio paciente, de quem tem procuração ou por ordem judicial — mesmo diante de um escândalo na recepção, a equipe não pode flexibilizar. Confirme a identidade e a autorização, sempre.
Onde o MEDC entra: boa parte desses erros se resolve com a ferramenta certa. O MEDC guarda os dados dos pacientes de forma criptografada, com controle de acesso por usuário (cada pessoa vê só o que precisa) e rastreabilidade de quem acessou cada informação — o oposto do WhatsApp compartilhado e da planilha aberta. Assim, o prontuário e os laudos ficam protegidos e você tem como comprovar que agiu para se proteger.
Conclusão
A LGPD não é assunto só de hospital: é responsabilidade de todo consultório que lida com dados de saúde — ou seja, todos. E a exposição, na maioria das vezes, mora em hábitos pequenos: o nome completo na sala de espera, o laudo no WhatsApp, o acesso sem controle. Corrigir esses pontos protege o paciente, protege a sua reputação e, cada vez mais, protege o seu bolso. No próximo passo, veja o checklist prático para adequar a clínica.
Este conteúdo é informativo e não substitui a orientação de um advogado ou de um encarregado de dados (DPO). Avalie o seu caso concreto com um profissional.