# Como Verificar se o Software da Sua Clínica está em Conformidade com LGPD

> Guia passo a passo para auditar o software da sua clínica médica e confirmar conformidade com a LGPD. Perguntas obrigatórias ao fornecedor, documentos exigidos e o que testar internamente.

- **Data**: 2026-04-26
- **Autor**: Pedro Impulcetto (https://bydoctor.com.br/sobre/pedroimpulcetto)
- **URL**: https://bydoctor.com.br/blog/como-verificar-conformidade-lgpd-software-clinica

---


{/*
<script type="application/ld+json">
[
  {
    "@context": "https://schema.org",
    "@type": "Article",
    "headline": "Como Verificar se o Software da Sua Clínica está em Conformidade com LGPD",
    "description": "Guia passo a passo para auditar o software da sua clínica médica e confirmar conformidade com a LGPD. Perguntas obrigatórias ao fornecedor, documentos exigidos e o que testar internamente.",
    "image": "https://bydoctor.com.br/blog/como-verificar-conformidade-lgpd-software-clinica/featured.png",
    "author": {
      "@type": "Organization",
      "name": "ByDoctor",
      "url": "https://bydoctor.com.br"
    },
    "publisher": {
      "@type": "Organization",
      "name": "ByDoctor",
      "logo": {
        "@type": "ImageObject",
        "url": "https://bydoctor.com.br/logo-horizontal.svg"
      }
    },
    "datePublished": "2026-04-26",
    "dateModified": "2026-04-26",
    "mainEntityOfPage": "https://bydoctor.com.br/blog/como-verificar-conformidade-lgpd-software-clinica",
    "keywords": "software clínica LGPD, conformidade LGPD software médico, auditoria LGPD clínica, proteção de dados pacientes"
  },
  {
    "@context": "https://schema.org",
    "@type": "HowTo",
    "name": "Como Verificar se o Software da Sua Clínica está em Conformidade com LGPD",
    "description": "Processo passo a passo para auditar a conformidade LGPD do software de gestão de uma clínica médica.",
    "step": [
      {
        "@type": "HowToStep",
        "name": "Confirme o contrato e o DPA",
        "text": "Solicite ao fornecedor o Acordo de Processamento de Dados (DPA) assinado e verifique se ele nomeia o software como operador e a clínica como controladora dos dados dos pacientes."
      },
      {
        "@type": "HowToStep",
        "name": "Avalie a segurança técnica",
        "text": "Verifique criptografia em trânsito (TLS 1.2+) e em repouso, autenticação multifator e logs de acesso com identificação por usuário."
      },
      {
        "@type": "HowToStep",
        "name": "Teste o fluxo de consentimento",
        "text": "Simule um cadastro de paciente e verifique se o sistema coleta, registra e permite revogar o consentimento para tratamento de dados sensíveis de saúde."
      },
      {
        "@type": "HowToStep",
        "name": "Verifique o exercício de direitos do titular",
        "text": "Simule uma solicitação de acesso, correção e exclusão de dados por parte de um paciente e meça o tempo de resposta do sistema e do fornecedor."
      },
      {
        "@type": "HowToStep",
        "name": "Confirme o plano de resposta a incidentes",
        "text": "Peça ao fornecedor o protocolo escrito de notificação à ANPD em caso de vazamento, que deve ocorrer em até 2 dias úteis."
      }
    ]
  },
  {
    "@context": "https://schema.org",
    "@type": "FAQPage",
    "mainEntity": [
      {
        "@type": "Question",
        "name": "O que é um DPA e por que toda clínica precisa ter um com o fornecedor do software?",
        "acceptedAnswer": {
          "@type": "Answer",
          "text": "DPA (Data Processing Agreement) é o Acordo de Processamento de Dados entre a clínica (controladora) e o fornecedor do software (operador). A LGPD exige esse contrato nos termos do art. 39. Sem o DPA assinado, a clínica responde sozinha por eventuais irregularidades no tratamento dos dados dos pacientes pelo software."
        }
      },
      {
        "@type": "Question",
        "name": "Minha clínica pode ser multada mesmo sem ter sofrido um vazamento de dados?",
        "acceptedAnswer": {
          "@type": "Answer",
          "text": "Sim. A Autoridade Nacional de Proteção de Dados (ANPD) pode autuar por descumprimento de obrigação preventiva — como ausência de consentimento documentado, falta de política de privacidade ou não nomeação de DPO quando exigível — mesmo sem incidente de segurança confirmado. As multas chegam a R$ 50 milhões por infração."
        }
      },
      {
        "@type": "Question",
        "name": "Com que frequência devo fazer a auditoria LGPD do software da minha clínica?",
        "acceptedAnswer": {
          "@type": "Answer",
          "text": "Pelo menos uma vez por ano e sempre que o fornecedor atualizar a plataforma, mudar a infraestrutura ou alterar a política de privacidade. Mudanças de versão do software podem introduzir novos fluxos de dados não mapeados que criam passivos de conformidade."
        }
      },
      {
        "@type": "Question",
        "name": "Dados de saúde exigem cuidados extras além da LGPD padrão?",
        "acceptedAnswer": {
          "@type": "Answer",
          "text": "Sim. O art. 11 da LGPD classifica dados de saúde como dados sensíveis. Isso exige base legal reforçada (consentimento explícito ou tutela da saúde por profissional habilitado) e medidas de segurança mais rigorosas. O software precisa registrar qual base legal foi usada em cada tratamento."
        }
      },
      {
        "@type": "Question",
        "name": "O que fazer se o fornecedor não conseguir responder às perguntas de conformidade LGPD?",
        "acceptedAnswer": {
          "@type": "Answer",
          "text": "Documente as perguntas e a ausência de resposta por escrito. Depois avalie migrar para um software que forneça DPA, relatório de conformidade e suporte técnico específico para LGPD. A responsabilidade formal permanece da clínica, mas o risco operacional aumenta muito quando o fornecedor não coopera."
        }
      }
    ]
  },
  {
    "@context": "https://schema.org",
    "@type": "BreadcrumbList",
    "itemListElement": [
      { "@type": "ListItem", "position": 1, "name": "Blog", "item": "https://bydoctor.com.br/blog" },
      { "@type": "ListItem", "position": 2, "name": "Como Verificar Conformidade LGPD Software Clínica", "item": "https://bydoctor.com.br/blog/como-verificar-conformidade-lgpd-software-clinica" }
    ]
  }
]
</script>
*/}

<section>

<p>Para verificar se o software da sua clínica está em conformidade com a LGPD, você precisa fazer quatro coisas: solicitar o Acordo de Processamento de Dados (DPA) ao fornecedor, confirmar os controles técnicos de segurança, testar o fluxo de consentimento de pacientes e simular uma solicitação de direitos do titular. A ausência de qualquer um desses elementos já configura risco legal para a clínica.</p>

<p><strong>Conformidade LGPD em software clínica</strong> é o conjunto de medidas técnicas, contratuais e organizacionais que garantem que o tratamento de dados pessoais de pacientes — armazenados no sistema de gestão — está alinhado com a <a href="https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm" target="_blank">Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018)</a>. Para clínicas, o nível de exigência é maior: dados de saúde são classificados como sensíveis pelo art. 11 da LGPD e exigem base legal reforçada.</p>

<p>Segundo a <a href="https://www.gov.br/anpd/pt-br" target="_blank">Autoridade Nacional de Proteção de Dados (ANPD)</a>, qualquer estabelecimento que processe dados de saúde — inclusive consultórios individuais — está sujeito às sanções previstas, que chegam a R$ 50 milhões por infração. O problema prático é que muitas clínicas delegam a conformidade ao fornecedor sem verificar de forma ativa. Este guia mostra como fazer essa verificação em cinco passos.</p>

</section>

<figure><img src="/blog/como-verificar-conformidade-lgpd-software-clinica/featured.png" alt="Profissional de saúde revisando software de clínica em tela com dados de pacientes protegidos por LGPD" /></figure>

<aside>

**Pontos-chave deste artigo:**

- **DPA obrigatório**: a LGPD exige contrato escrito entre clínica e fornecedor do software (art. 39); sem ele, a clínica responde sozinha por falhas do sistema
- **Segurança técnica auditável**: pergunte sobre TLS 1.2+, criptografia em repouso, logs de acesso e autenticação multifator — e peça prova documental
- **Consentimento registrado**: o software deve coletar, armazenar e permitir revogação de consentimento para dados sensíveis de saúde
- **Direitos do titular funcionam na prática**: simule uma solicitação de exclusão de dados; o sistema deve executá-la em até 15 dias
- **Plano de incidentes documentado**: fornecedores sérios têm protocolo escrito de notificação à ANPD em até 2 dias úteis após confirmação de vazamento

</aside>

<section>

## Passo 1: Confirme o contrato com o fornecedor (DPA)

<p>O primeiro ponto de verificação é documental, não técnico. A LGPD diferencia o <strong>controlador</strong> — a clínica, que decide a finalidade do tratamento dos dados — do <strong>operador</strong> — o fornecedor do software, que processa os dados por conta da clínica. O art. 39 exige que o operador trate dados apenas conforme as instruções do controlador, e essa relação precisa estar formalizada em contrato.</p>

<p>Peça ao fornecedor o <strong>DPA (Data Processing Agreement)</strong> ou Acordo de Processamento de Dados. Esse documento deve conter:</p>

<ul>
  <li>A identificação clara da clínica como controladora e do fornecedor como operador</li>
  <li>Quais dados são tratados e para quais finalidades</li>
  <li>Prazo de guarda e protocolo de eliminação após o fim do contrato</li>
  <li>Obrigação de notificação em caso de incidente de segurança</li>
  <li>Proibição de subcontratação de operadores sem anuência prévia da clínica</li>
</ul>

<p>Se o fornecedor não souber o que é um DPA ou disser que o contrato padrão "já cobre tudo", considere isso um sinal de alerta. Sem DPA, você está juridicamente desprotegido na eventualidade de um incidente causado pelo software. Para entender melhor o que a LGPD exige especificamente de softwares médicos, o post sobre <a href="/blog/lgpd-software-clinica-medica-o-que-e-como-impacta">LGPD em clínicas médicas: o que é e como afeta seu software</a> detalha as obrigações legais de base.</p>

</section>

<section>

## Passo 2: Avalie os controles técnicos de segurança

<p>Conformidade LGPD não se prova apenas com documentos. Existem requisitos técnicos que o software precisa implementar de forma verificável. O art. 46 da LGPD exige medidas de segurança "aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas".</p>

<figure><img src="/blog/como-verificar-conformidade-lgpd-software-clinica/section_0.png" alt="Tela de painel de controle de segurança de dados de software médico com indicadores de conformidade LGPD" /></figure>

<p>Solicite ao fornecedor respostas escritas para estas perguntas:</p>

<table>
  <thead>
    <tr>
      <th>Controle técnico</th>
      <th>O que verificar</th>
      <th>Risco se ausente</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td>Criptografia em trânsito</td>
      <td>TLS 1.2 ou superior em todas as conexões (confirme no certificado do domínio)</td>
      <td>Interceptação de dados em redes públicas ou Wi-Fi da recepção</td>
    </tr>
    <tr>
      <td>Criptografia em repouso</td>
      <td>Banco de dados e backups criptografados (AES-256 ou equivalente)</td>
      <td>Acesso direto a dados em caso de invasão ao servidor</td>
    </tr>
    <tr>
      <td>Logs de acesso</td>
      <td>Registro individual por usuário: quem acessou qual prontuário e quando</td>
      <td>Impossibilidade de rastrear vazamento interno</td>
    </tr>
    <tr>
      <td>Autenticação multifator (MFA)</td>
      <td>MFA disponível — idealmente obrigatório para administradores</td>
      <td>Vulnerabilidade a invasões por senha fraca ou reutilizada</td>
    </tr>
    <tr>
      <td>Controle de permissões por perfil</td>
      <td>Recepcionista não acessa prontuário completo; médico não acessa financeiro de outros</td>
      <td>Acesso desnecessário a dados sensíveis por funcionários sem necessidade profissional</td>
    </tr>
    <tr>
      <td>Localização dos servidores</td>
      <td>Dados armazenados no Brasil ou em país com nível de proteção equivalente</td>
      <td>Transferência internacional sem respaldo legal nos termos do art. 33 da LGPD</td>
    </tr>
  </tbody>
</table>

<p>Peça documentação ou laudo técnico para cada item — não apenas afirmações verbais. Fornecedores sérios têm essas informações no Política de Segurança da Informação ou no próprio DPA. Você também pode usar o <a href="https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-guia-orientativo-sobre-seguranca-da-informacao" target="_blank">guia de segurança da ANPD</a> como base de referência para avaliar as respostas.</p>

</section>

<section>

## Como testar o fluxo de consentimento na prática?

<p>O consentimento para dados de saúde precisa ser explícito, registrado e revogável. Não basta ter uma cláusula no contrato de prestação de serviços: a LGPD exige que o paciente consinta especificamente para o tratamento de dados sensíveis e que a clínica consiga provar isso caso a ANPD solicite.</p>

<p>Faça este teste com um cadastro fictício de paciente no sistema:</p>

<ol>
  <li><strong>Cadastro inicial</strong>: o sistema apresenta aviso de privacidade antes de coletar dados? O texto informa a finalidade do tratamento, o prazo de guarda e os direitos do titular?</li>
  <li><strong>Registro de consentimento</strong>: ao finalizar o cadastro, o sistema gera um registro com data, hora e o texto que o paciente aceitou? Esse registro fica auditável?</li>
  <li><strong>Revogação</strong>: existe um caminho no sistema para registrar que o paciente revogou o consentimento? A revogação impede novos acessos ou novos usos dos dados?</li>
  <li><strong>Atualização de dados</strong>: o paciente consegue corrigir seus dados por algum canal documentado (portal, formulário, atendimento registrado)?</li>
</ol>

<p>Se o sistema não tiver nenhum desses fluxos nativos, a clínica precisa implementar controles paralelos — formulários impressos assinados, e-mails com confirmação explícita — e mantê-los arquivados. O <a href="/blog/software-clinica-lgpd-checklist-conformidade">checklist completo de conformidade LGPD para software de clínica</a> lista 32 itens que podem complementar essa verificação interna.</p>

<figure><img src="/blog/como-verificar-conformidade-lgpd-software-clinica/section_1.png" alt="Gestor de clínica médica discutindo conformidade LGPD com fornecedor de software em reunião presencial" /></figure>

</section>

<section>

## Passo 4: Simule o exercício dos direitos dos titulares

<p>A LGPD dá aos pacientes o direito de acessar, corrigir, portabilizar, anonimizar e excluir seus dados. A clínica tem 15 dias para responder a essas solicitações. Mas quem executa a operação tecnicamente é o fornecedor do software. Se ele não conseguir fazer isso de forma rastreável, você está com um passivo real.</p>

<p>Simule o processo completo de exclusão de dados para um paciente fictício:</p>

<ul>
  <li>Solicite ao fornecedor a remoção dos dados de um cadastro de teste</li>
  <li>Peça confirmação escrita de que os dados foram excluídos dos servidores de produção <strong>e</strong> dos backups</li>
  <li>Verifique se os logs de acesso anterior ao cadastro excluído também foram removidos (ou anonimizados, dependendo da base legal)</li>
  <li>Confirme o prazo: sistemas bem estruturados executam isso em até 5 dias úteis</li>
</ul>

<p>Muitos fornecedores executam a exclusão no banco principal mas esquecem os backups ou as tabelas de auditoria. Isso não configura exclusão completa nos termos da LGPD. Se o fornecedor não conseguir demonstrar o processo com evidência, exija um SLA escrito para esse tipo de demanda.</p>

</section>

<section>

## Passo 5: Confirme o plano de resposta a incidentes

<p>O art. 48 da LGPD obriga o controlador a comunicar à ANPD e aos titulares afetados qualquer incidente que possa acarretar risco ou dano relevante. O prazo: 2 dias úteis após a confirmação do incidente. O fornecedor precisa ter um protocolo escrito para isso — não uma promessa verbal de que "vão avisar caso aconteça algo".</p>

<p>Peça ao fornecedor os seguintes documentos:</p>

<ul>
  <li><strong>Política de Resposta a Incidentes</strong> (Incident Response Policy): descreve as etapas de contenção, investigação e comunicação</li>
  <li><strong>Histórico de incidentes reportados</strong> (últimos 24 meses): transparência aqui é sinal positivo — fornecedores que nunca tiveram um incidente reportado, em qualquer categoria, são raros e essa afirmação merece questionamento</li>
  <li><strong>Contato direto do DPO ou responsável pela privacidade</strong>: para acionar em caso de emergência fora do horário comercial</li>
</ul>

<p>Alguns fornecedores de software médico operam sem Encarregado de Dados (DPO) nomeado. A ANPD não exige DPO para empresas de pequeno porte nos termos da Resolução CD/ANPD nº 2/2022, mas a ausência de um ponto de contato interno para privacidade complica o atendimento das suas obrigações como clínica controladora.</p>

</section>

<section>

## Perguntas frequentes sobre conformidade LGPD em software de clínica

### O que é um DPA e por que toda clínica precisa ter um com o fornecedor do software?

<p><strong>DPA (Data Processing Agreement)</strong> é o contrato formal que define as responsabilidades de cada parte no tratamento dos dados dos pacientes. A LGPD exige esse documento no art. 39. Sem o DPA assinado, a clínica responde sozinha por eventuais irregularidades no tratamento de dados feito pelo software — mesmo que a falha seja do fornecedor.</p>

### Minha clínica pode ser multada mesmo sem ter sofrido um vazamento de dados?

<p>Sim. A ANPD pode autuar por descumprimento de obrigação preventiva — ausência de política de privacidade publicada, falta de consentimento documentado ou não atendimento de solicitação de titular dentro do prazo. As multas chegam a 2% do faturamento anual, limitadas a R$ 50 milhões por infração, independentemente de incidente.</p>

### Com que frequência devo fazer a auditoria LGPD do software da minha clínica?

<p>Pelo menos uma vez por ano. Refaça também sempre que o fornecedor atualizar a plataforma, mudar a infraestrutura de servidores ou alterar a Política de Privacidade. Atualizações de versão podem introduzir novos fluxos de dados não mapeados — e com eles novos riscos de conformidade que você não cobriu na auditoria anterior.</p>

### Dados de saúde exigem cuidados extras além da LGPD padrão?

<p>Sim. O art. 11 da LGPD classifica dados de saúde como <strong>dados sensíveis</strong>. O tratamento exige consentimento explícito ou base legal específica (como tutela da saúde por profissional habilitado). O software deve registrar qual base legal foi aplicada em cada tratamento — e o médico ou gestor precisa saber apontar isso em caso de fiscalização.</p>

### O que fazer se o fornecedor não conseguir responder às perguntas de conformidade?

<p>Documente as perguntas e a ausência de resposta por escrito (e-mail com leitura confirmada serve). Isso limita a responsabilidade da clínica em caso de autuação futura. Em seguida, avalie a migração para um software que ofereça DPA, documentação técnica e ponto de contato de privacidade. A responsabilidade legal permanece sua, mas o risco operacional aumenta quando o fornecedor não coopera.</p>

</section>

<section>

## Resumo

<p>Verificar a conformidade LGPD do software da sua clínica exige cinco verificações práticas: DPA assinado com o fornecedor, confirmação de controles técnicos documentados (criptografia, logs, MFA), teste do fluxo de consentimento de pacientes, simulação do exercício de direitos dos titulares e análise do plano de resposta a incidentes. Nenhuma dessas etapas depende de conhecimento jurídico avançado — mas todas precisam ser feitas de forma ativa, não assumidas.</p>

<p>O <a href="https://bydoctor.com.br" target="_blank">ByDoctor</a> foi desenvolvido com conformidade LGPD desde a arquitetura: criptografia em repouso e em trânsito, controle de permissões por perfil, registro de consentimento de pacientes e DPA disponível para todos os clientes. Para saber como o software pode ajudar sua clínica a operar dentro da lei enquanto simplifica a gestão, <a href="/#funcionalidades">conheça as funcionalidades</a> ou acesse diretamente a <a href="https://app.bydoctor.com.br" target="_blank">demonstração gratuita</a>.</p>

</section>


## Artigos relacionados

- [Software de Clínica e LGPD: Perguntas que Médicos Fazem à ANPD](https://bydoctor.com.br/blog/software-clinica-lgpd-perguntas-medicos-anpd)
- [Como Excluir Dados de Pacientes em Conformidade com a LGPD](https://bydoctor.com.br/blog/como-excluir-dados-pacientes-lgpd)
- [LGPD e Software de Clínica: Penalidades para Quem Não se Adequar](https://bydoctor.com.br/blog/lgpd-software-clinica-penalidades)

---

- [Voltar ao Blog](https://bydoctor.com.br/blog)
- [Ferramentas gratuitas](https://bydoctor.com.br/ferramentas)
- [ByDoctor](https://bydoctor.com.br)