LGPD e Software de Clínica: Penalidades para Quem Não se Adequar
Clínicas que tratam dados de pacientes em software sem conformidade com a Lei Geral de Proteção de Dados (LGPD) estão expostas a multas de até R$ 50 milhões por infração, suspensão das operações de tratamento de dados e publicização do nome da organização como infratora. Dados de saúde são classificados como dados sensíveis pela lei — e exigem proteção reforçada.
LGPD e software de clínica não é um tema de TI. É uma responsabilidade jurídica da própria clínica como controladora dos dados dos pacientes. Isso significa que, quando um sistema armazena prontuários, agendamentos, pagamentos ou qualquer dado identificável de um paciente, a clínica responde pela conformidade — independentemente de quem desenvolveu o software.
Desde 2021, a Autoridade Nacional de Proteção de Dados (ANPD) fiscaliza o cumprimento da lei. Em 2023, as primeiras sanções administrativas foram aplicadas. O setor de saúde está entre os mais monitorados porque lida com dados sensíveis em grande volume e com alto risco de dano ao titular.
Quais são as penalidades da LGPD para clínicas?
A ANPD pode aplicar cinco categorias de sanções administrativas, previstas no artigo 52 da LGPD. As penas não são excludentes — uma única infração pode gerar advertência, multa e publicização simultâneas.
| Sanção | O que significa na prática | Gravidade |
|---|---|---|
| Advertência | Notificação formal com prazo para correção. Primeira resposta em infrações leves ou inéditas. | Baixa |
| Multa simples | Até 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração. | Alta |
| Multa diária | Acumulada enquanto a infração persiste, também limitada a R$ 50 milhões no total. | Alta |
| Publicização da infração | Divulgação do nome do infrator em meios oficiais. Impacto direto na reputação com pacientes. | Muito alta |
| Bloqueio ou eliminação de dados | Suspensão forçada do tratamento ou exclusão total dos dados envolvidos na infração. | Muito alta |
| Suspensão ou proibição de tratamento | Operação parcial ou total do banco de dados suspensa por até 6 meses, prorrogáveis. | Crítica |
Para clínicas, a suspensão de tratamento de dados é a pena mais grave na prática: significa não poder acessar prontuários, agendamentos e histórico de pacientes enquanto a infração não for resolvida. Uma clínica com 500 atendimentos mensais pode ficar operacionalmente paralisada.
Por que dados de saúde têm proteção especial na LGPD?
O dado de saúde é definido como dado pessoal sensível pelo artigo 5º, inciso II da LGPD — junto a dados sobre origem racial, religião, opinião política, vida sexual e genética. O tratamento de dados sensíveis segue regras mais restritivas que dados pessoais comuns: o artigo 11 da LGPD exige consentimento específico e destacado do titular, ou uma das bases legais alternativas expressamente listadas na lei.
Na prática, isso significa que uma clínica não pode simplesmente guardar prontuários "porque sempre fez assim". Cada dado coletado precisa de justificativa legal documentada: qual é a base? Onde está o consentimento? Quanto tempo esse dado será mantido? Quem tem acesso?
O Guia de Segurança da ANPD para agentes de pequeno porte lista explicitamente clínicas e consultórios como operadores de dados sensíveis e recomenda medidas técnicas proporcionais ao risco — o que inclui criptografia de dados em repouso, controle de acesso baseado em função e logs de auditoria.
Quais erros de software mais geram infrações em clínicas?
A maioria das infrações em clínicas não acontece por negligência intencional. Acontece porque o software em uso não foi projetado com a LGPD em mente — e a clínica não sabia o que exigir do fornecedor. Os cinco problemas mais comuns:
Ausência de controle de acesso por função: recepcionista vê prontuário clínico completo; médico acessa dados financeiros. Sem segregação de acesso, qualquer funcionário pode visualizar mais dados do que precisa — violação direta do princípio da necessidade da LGPD.
Dados sem criptografia em repouso: banco de dados de prontuários armazenado sem criptografia. Se houver invasão ou vazamento, o dano é imediato e documentado.
Sem registro de atividades de tratamento (ROPA): a LGPD exige que a clínica saiba o que coleta, para quê, por quanto tempo e com quem compartilha. Software sem esse relatório impossibilita a conformidade documental.
Sem processo para solicitações de titulares (DSAR): paciente tem direito a acessar, corrigir ou solicitar exclusão de seus dados. Clínica que não responde em prazo razoável (a ANPD considera 15 dias como referência) está em infração.
Compartilhamento de dados sem DPA assinado: integrar o software a plataformas de telemedicina, prescrição digital ou marketplaces de saúde sem um Acordo de Processamento de Dados (DPA) transforma a clínica em responsável solidária por eventuais vazamentos dessas terceiras partes.
O checklist de conformidade LGPD para software de clínica detalha como verificar cada um desses pontos com seu fornecedor atual.
Como a ANPD investiga uma clínica?
A ANPD pode instaurar processo de fiscalização de três formas: mediante denúncia de um paciente, por iniciativa própria setorial (auditorias temáticas no setor de saúde), ou após vazamento de dados notificado. O artigo 48 da LGPD obriga a clínica a comunicar incidentes de segurança à ANPD e aos titulares afetados em prazo razoável — a autarquia considera 72 horas como referência para comunicação inicial.
Na fase de instrução, a ANPD solicita documentos específicos. Quem não tiver esses registros organizados leva desvantagem imediata:
- Registro de atividades de tratamento (mapeamento de dados)
- Bases legais documentadas para cada tratamento
- Política de privacidade publicada e atualizada
- Evidências de medidas de segurança técnica (logs, criptografia, controle de acesso)
- Evidências de DPA com fornecedores de software e integrações
- Registros de treinamento da equipe em privacidade
- Identificação do DPO (Encarregado pelo Tratamento de Dados Pessoais)
Segundo o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD (Resolução CD/ANPD nº 4/2023), a autoridade considera como atenuantes: cooperação com a investigação, adoção voluntária de medidas corretivas e inexistência de dano efetivo ao titular. Estar documentado ajuda — mesmo quando há falha.
O que um software de clínica deve ter para ser LGPD-compliant?
A conformidade não depende de um único recurso. É uma combinação de funcionalidades técnicas no software e processos administrativos na clínica. Antes de contratar ou renovar um sistema, avalie os seguintes itens com o fornecedor:
| Requisito | O que verificar no software | Impacto em caso de ausência |
|---|---|---|
| Controle de acesso por perfil | Cada usuário acessa somente o que sua função exige | Violação do princípio da necessidade — infração direta |
| Criptografia em repouso e em trânsito | Banco de dados e comunicações protegidos por TLS/AES-256 ou equivalente | Risco crítico em caso de vazamento |
| Logs de auditoria | Rastreabilidade de quem acessou, modificou ou exportou dados | Impossibilidade de provar conformidade em investigação |
| DPA disponível para assinar | Contrato de operador LGPD com cláusulas de subcontratação, incidente e exclusão | Responsabilidade solidária em vazamentos do fornecedor |
| Exportação/exclusão de dados do titular | Funcionalidade para atender DSAR: exportar ou anonimizar dados de um paciente específico | Impossibilidade de cumprir direitos do titular em prazo |
| Relatório de atividades de tratamento | Mapeamento de quais dados são tratados, com quais finalidades | Documentação insuficiente para defesa em processo ANPD |
Para clínicas que já usam um sistema e querem saber onde estão, o post sobre como verificar a conformidade LGPD do software da sua clínica traz um roteiro prático com perguntas para enviar ao fornecedor.
A clínica é responsável mesmo usando software de terceiro?
Sim — e esse é o ponto que mais surpreende gestores de clínicas. A LGPD distingue dois papéis: o controlador (quem define as finalidades do tratamento) e o operador (quem trata dados em nome do controlador). A clínica é o controlador. O software é o operador.
Se o operador — o fornecedor do sistema — sofre um vazamento por falha técnica, a clínica pode ser investigada por não ter contratado um operador que oferecia garantias suficientes de segurança. O artigo 46 da LGPD exige que controladores adotem medidas técnicas e administrativas aptas a proteger os dados — inclusive na escolha e supervisão dos operadores.
Isso tem consequência prática: não basta que o software diga que é "conforme a LGPD" no site. A clínica precisa de documentação que comprove isso — o DPA assinado, a política de privacidade do fornecedor, evidências de certificações de segurança (ISO 27001, SOC 2) e cláusulas contratuais de notificação em caso de incidente.
Clínicas que usam o prontuário eletrônico do ByDoctor têm DPA disponível, criptografia de dados em repouso e logs de auditoria — recursos que permitem responder a uma investigação da ANPD com documentação pronta.
Perguntas frequentes sobre LGPD e software de clínica
Qual é a multa máxima da LGPD para clínicas médicas?
A ANPD pode aplicar multa simples de até 2% do faturamento da organização no Brasil, limitada a R$ 50 milhões por infração. Dados de saúde são dados sensíveis e podem resultar nas sanções mais graves previstas na lei — incluindo publicização do nome da clínica e suspensão do tratamento de dados.
Dados de saúde do paciente exigem tratamento especial pela LGPD?
Sim. O artigo 5º, II da LGPD classifica dados de saúde como dados pessoais sensíveis. O artigo 11 exige consentimento específico e destacado do titular — ou uma das seis bases alternativas — para qualquer tratamento desses dados. Armazenar prontuários sem documentar a base legal é infração desde a entrada em vigor da lei.
Um software de clínica precisa ter DPO (Encarregado)?
A indicação de DPO é obrigatória para controladores de dados. A clínica é o controlador dos dados dos seus pacientes. Clínicas de pequeno porte podem indicar um DPO externo ou compartilhado; o que não é permitido é operar sem nenhuma pessoa designada para o papel e publicada na política de privacidade.
O que a ANPD verifica primeiro ao investigar uma clínica?
Segundo orientações da ANPD, as primeiras verificações incluem: existência de base legal para cada tratamento de dado, registro de atividades de tratamento (ROPA), capacidade de resposta a solicitações de titulares (DSAR) e evidência de medidas técnicas de segurança no software utilizado.
Minha clínica pode ser punida por falha do software contratado?
Sim. A clínica é o controlador dos dados e responde pela conformidade, mesmo quando usa software de terceiros. É essencial contratar fornecedores com DPA assinado e evidências de segurança. Sem esse contrato, a clínica assume responsabilidade solidária por incidentes causados pelo fornecedor.
Resumo
Em resumo: clínicas que operam com software sem conformidade LGPD estão expostas a multas de até R$ 50 milhões por infração, suspensão de acesso a dados e exposição pública como infratoras — e a responsabilidade é da clínica, não do fornecedor. Dados de saúde exigem base legal documentada, controle de acesso, criptografia, logs de auditoria e DPA assinado com o software contratado.
O primeiro passo prático é revisar o contrato com o seu fornecedor de software e solicitar o DPA. Se ele não existir ou o fornecedor não souber o que é, isso já é um sinal de alerta. O ByDoctor oferece prontuário eletrônico, agendamento e gestão financeira com conformidade LGPD documentada — DPA disponível, criptografia e controle de acesso por perfil incluídos em todos os planos.