ByDoctor
Voltar ao Blog
Capa: Segurança de Dados em Sistema de Gestão para Clínicas

Segurança de Dados em Sistema de Gestão para Clínicas

16 min readPedro Impulcetto

A segurança de dados em sistema de gestão para clínicas depende de três camadas combinadas: criptografia dos dados em trânsito e em repouso, controle de acesso por perfil com autenticação em dois fatores e backup automático em servidores no Brasil. Sem as três, o sistema cumpre o básico operacional, mas deixa a clínica exposta a sanções da ANPD e a vazamentos.

Segurança de dados em saúde é o conjunto de práticas técnicas, processuais e legais que garante a confidencialidade, a integridade e a disponibilidade das informações de pacientes registradas em sistemas digitais. Para clínicas, isso vai além do antivírus: envolve LGPD, certificação SBIS-CFM, gestão de senhas e procedimento documentado de resposta a incidentes.

Os números justificam a atenção. Segundo o relatório da Autoridade Nacional de Proteção de Dados (ANPD) de 2024, o setor de saúde foi o segundo mais notificado por incidentes de segurança no Brasil, atrás apenas do varejo. Um estudo da IBM Security publicado no mesmo ano apontou que o custo médio global de uma violação de dados em saúde supera os USD 10 milhões — o maior entre todos os setores. No Brasil, a multa máxima prevista na Lei Geral de Proteção de Dados (Lei 13.709/2018) chega a R$ 50 milhões por infração.

Profissional de saúde acessando sistema de gestão para clínicas com autenticação segura em ambiente clínico moderno

Como proteger dados de pacientes em um sistema de gestão para clínicas?

Comece pelas três camadas técnicas que protegem o dado durante seu ciclo de vida: criptografia, controle de acesso e backup. Cada uma resolve um vetor diferente de ataque, e nenhuma substitui a outra. Um sistema com criptografia forte mas sem controle de acesso é um cofre com a porta aberta.

A criptografia em trânsito protege os dados enquanto eles viajam entre o navegador da recepcionista e o servidor do sistema. O padrão atual é TLS 1.3, identificável pelo cadeado HTTPS no navegador. A criptografia em repouso protege os dados armazenados no banco — o padrão de mercado é AES-256, o mesmo usado por bancos brasileiros. Pergunte ao fornecedor qual padrão ele usa: a resposta deve ser específica, não genérica.

O controle de acesso por perfil garante que cada pessoa veja apenas o que precisa. Recepcionista vê agenda e dados de contato, não o prontuário clínico. Médico contratado vê apenas seus pacientes. Administrador vê tudo, mas com logs de auditoria. Esse princípio do menor privilégio é exigência direta da LGPD para dados sensíveis e está detalhado no checklist de conformidade LGPD para software de clínica.

O backup automático não é segurança em si — é continuidade. Mas sem ele, qualquer incidente vira perda permanente. O backup precisa ser diário, criptografado e armazenado em região geográfica diferente da produção. O artigo sobre backup automático em sistema médico na nuvem mostra como avaliar isso na prática.

Autenticação em dois fatores não é opcional

Senha forte sozinha já não é suficiente. Em 2024, a ANPD passou a tratar a ausência de autenticação em dois fatores (2FA) em sistemas de saúde como agravante em casos de vazamento. Significa que, mesmo que o fornecedor não exija, a clínica deve exigir — porque a responsabilidade pelo dado é do controlador, não do operador.

O 2FA pode ser via SMS, aplicativo autenticador (Google Authenticator, Authy) ou chave física. Aplicativos autenticadores são mais seguros que SMS, que pode ser interceptado por SIM swap. Sistemas modernos, como o ByDoctor, oferecem 2FA via app nativo sem custo adicional para todos os usuários.

Quais são os pilares técnicos da segurança de dados em sistemas de gestão para clínicas?

Os pilares se desdobram em sete componentes auditáveis que separam um sistema realmente seguro de um sistema com marketing de segurança. A tabela abaixo organiza o que perguntar ao fornecedor antes de contratar.

Camadas de segurança digital sobrepostas em painel de servidores em data center brasileiro
Pilares técnicos e como avaliá-los em um sistema de gestão para clínicas
PilarO que verificarResposta esperada
Criptografia em trânsitoVersão do TLS, certificado SSL válidoTLS 1.2 ou superior, cadeado HTTPS em todas as páginas
Criptografia em repousoPadrão usado para dados em banco e backupAES-256, chave gerenciada pelo provedor de nuvem
Controle de acessoPerfis disponíveis, granularidade por móduloPelo menos 4 perfis (admin, médico, recepção, financeiro)
Autenticação em dois fatoresMétodos suportados, política de obrigatoriedadeApp autenticador disponível, ativável por administrador
Logs de auditoriaQuem acessou o quê, quando, por quanto tempoLog retido por no mínimo 6 meses, exportável
Backup automáticoFrequência, retenção, localizaçãoDiário, retenção de 30 dias, redundância em regiões diferentes
Localização do data centerPaís e região onde os dados ficamBrasil (AWS São Paulo, Google Cloud, Azure Brazil South)

Note o que não está nessa tabela: certificações genéricas tipo "ISO 9001" ou "selo de confiança" sem auditor independente. Para o setor de saúde, o que conta é a certificação SBIS-CFM, emitida pela Sociedade Brasileira de Informática em Saúde, e a conformidade LGPD verificada por DPO. Sistemas certificados como Nível de Garantia de Segurança 2 (NGS2) atendem aos requisitos da Resolução CFM nº 1.821/2007 para substituir o papel.

O que a LGPD exige de um sistema de gestão para clínicas?

A LGPD trata dados de saúde como dados pessoais sensíveis (artigo 5º, II), o que eleva o nível de proteção exigido. A clínica é a controladora desses dados, e o fornecedor do sistema é o operador. As duas figuras respondem solidariamente em caso de incidente, conforme artigos 42 e 43 da lei.

Na prática, isso se traduz em seis obrigações concretas que o sistema precisa habilitar:

  1. Consentimento específico e granular: o paciente precisa autorizar o tratamento de dados para finalidades distintas (atendimento, pesquisa, marketing). Um único checkbox genérico no cadastro não atende.
  2. Registro de tratamento de dados: a clínica deve documentar quais dados coleta, para quê, por quanto tempo retém e com quem compartilha. O sistema deve permitir exportar esse registro.
  3. Direito de acesso e portabilidade: o paciente pode pedir uma cópia de todos os dados em formato legível. O sistema precisa gerar esse relatório em até 15 dias.
  4. Direito de exclusão: o paciente pode pedir a exclusão de dados que não tenham obrigação legal de retenção. O guia sobre como excluir dados de pacientes conforme a LGPD detalha o procedimento.
  5. Logs de acesso: o sistema precisa registrar quem acessou cada prontuário e quando, com retenção mínima de 6 meses.
  6. Notificação de incidentes: em caso de vazamento, a clínica tem até dois dias úteis para notificar a ANPD e os titulares afetados.

O artigo sobre como a LGPD impacta o software de clínica aprofunda cada uma dessas obrigações. Quem ainda não entende as consequências práticas pode revisar o levantamento de penalidades aplicáveis a clínicas que descumprem a LGPD.

O papel do DPO (encarregado de proteção de dados)

A LGPD obriga toda organização que trate dados pessoais a indicar um encarregado (artigo 41). Para clínicas pequenas, esse papel pode ser exercido por um sócio com treinamento em proteção de dados ou por um DPO terceirizado. O contato do DPO precisa estar visível no site e nos contratos de atendimento.

O fornecedor do sistema de gestão também deve ter seu próprio DPO. Pergunte o nome e o e-mail antes de contratar — a ausência dessa informação é sinal de que a estrutura de compliance não existe.

Como verificar na prática se o sistema da sua clínica é seguro?

Auditoria começa com perguntas diretas ao fornecedor e termina com testes que a própria clínica pode rodar. O guia de verificação de conformidade LGPD para software de clínica traz o roteiro completo. Aqui está a versão resumida do que importa.

Recepcionista de clínica conferindo lista de verificação de segurança em laptop com prontuário eletrônico aberto
  1. Peça o relatório de impacto à proteção de dados (RIPD): documento exigido pela ANPD que descreve riscos e mitigações. Fornecedor sério tem esse relatório atualizado.
  2. Confirme a certificação SBIS-CFM: o artigo sobre requisitos de segurança e certificação CFM explica como validar o selo no site da SBIS.
  3. Teste o controle de acesso: crie um usuário de recepção e tente abrir um prontuário clínico. Se conseguir, o sistema falha no princípio do menor privilégio.
  4. Verifique os logs de auditoria: faça um acesso de teste e confira se aparece no log com data, hora, usuário e IP. Logs ausentes ou genéricos são sinal de risco.
  5. Simule a exportação de dados de um paciente: o sistema deve gerar um relatório legível em formato aberto (PDF ou JSON), não uma tabela bruta do banco.
  6. Pergunte sobre o procedimento de resposta a incidente: o fornecedor deve descrever em quanto tempo notifica a clínica, qual o canal de comunicação e qual a estrutura de plantão.
  7. Confira a localização dos dados: em contrato ou em documentação técnica, verifique se a região de armazenamento está no Brasil. O guia de certificação SBIS para sistemas em nuvem mostra como avaliar isso.

Algumas dessas verificações exigem alguns minutos. Outras exigem reunião com o fornecedor. Em todos os casos, o fornecedor que evita responder ou pede tempo para "verificar" itens básicos como criptografia ou localização do servidor está sinalizando o tipo de operação que você quer evitar.

Boas práticas internas: o que depende da clínica, não do sistema

O sistema cobre a parte técnica, mas o vetor mais comum de vazamento em clínicas é interno. Senha compartilhada na recepção, ex-funcionário com acesso ainda ativo e prontuário aberto em tela visível na sala de espera respondem por mais de 60% dos incidentes notificados à ANPD em 2024.

As cinco práticas abaixo cobrem o que o sistema sozinho não consegue resolver:

  • Política de senhas escrita: defina por contrato que cada profissional tem um login pessoal, intransferível, com troca obrigatória a cada 90 dias.
  • Revogação imediata em desligamento: o acesso ao sistema deve ser desativado no mesmo dia da saída do funcionário, com log do desligamento.
  • Termo de confidencialidade no onboarding: todo profissional, inclusive estagiário, assina termo específico sobre dados de paciente antes do primeiro acesso.
  • Treinamento anual em LGPD: a equipe precisa entender o que é dado sensível, o que é compartilhamento autorizado e o que fazer em caso de pedido judicial. Um treinamento de duas horas por ano resolve.
  • Tela bloqueada por inatividade: configure o sistema operacional para bloquear após 5 minutos sem uso — recepções movimentadas costumam deixar telas abertas com dados visíveis.

Para clínicas que oferecem acesso aos pacientes pelo portal, o guia sobre proteção de dados em portal do paciente traz orientação adicional sobre consentimento e canais de comunicação. Quem está implementando o sistema agora pode usar o guia completo de sistema de gestão para clínicas como referência de funcionalidades-base antes de avançar para a camada de segurança.

Perguntas frequentes sobre segurança de dados em sistemas de gestão para clínicas

Onde os dados de pacientes ficam armazenados em um sistema de gestão na nuvem?

Em data centers no Brasil, na maioria dos sistemas brasileiros responsáveis. As três regiões mais usadas são AWS São Paulo, Google Cloud São Paulo e Azure Brazil South. Hospedar fora do país não é proibido pela LGPD, mas exige cláusulas contratuais específicas e dificulta a fiscalização da ANPD em caso de incidente.

Quais são as multas por vazamento de dados de pacientes em uma clínica?

A ANPD pode aplicar multa de até 2% do faturamento anual da clínica, com teto de R$ 50 milhões por infração. Para clínicas pequenas, isso costuma representar entre R$ 30 mil e R$ 200 mil por incidente, sem contar ações cíveis individuais movidas pelos pacientes afetados e o impacto reputacional, que costuma ser o mais difícil de reverter.

Backup automático sozinho garante segurança dos dados?

Não. Backup é continuidade, não segurança. Um sistema seguro precisa de criptografia, controle de acesso, logs e procedimento documentado de resposta a incidentes. O backup garante que os dados existam após uma falha técnica, mas não impede acesso indevido enquanto eles estão em produção. Os dois trabalham juntos.

Posso usar o mesmo sistema de gestão em uma clínica e em casa?

Sim, desde que o acesso seja feito pelo navegador via HTTPS, com login pessoal e 2FA ativado. Evite redes Wi-Fi públicas para acessar prontuários — use a rede móvel do celular ou uma VPN confiável. O sistema deve registrar o IP de cada login para auditoria posterior.

O que fazer se um funcionário acessar dados de paciente sem autorização?

Acione o procedimento de incidente: registre o ocorrido, exporte os logs do sistema, notifique o DPO da clínica e avalie se o caso configura violação de dados. Se houver vazamento real, a ANPD precisa ser notificada em até dois dias úteis. O afastamento imediato do funcionário é parte do procedimento padrão.

Resumo

Em resumo, a segurança de dados em sistema de gestão para clínicas exige três camadas técnicas — criptografia, controle de acesso e backup — somadas a conformidade com a LGPD e a práticas internas que cubram o vetor humano. Sem certificação SBIS-CFM, sem 2FA e sem logs auditáveis, o sistema não atende ao que a ANPD espera de quem trata dados sensíveis em saúde.

Para colocar isso em prática, comece pela auditoria do sistema atual: aplique o checklist de sete pilares acima, peça o relatório de impacto ao fornecedor e teste o controle de acesso com um usuário de recepção. Se o resultado mostrar lacunas, o ByDoctor oferece prontuário eletrônico certificado, agenda integrada e portal do paciente em conformidade com a LGPD, com 2FA nativo e dados hospedados em São Paulo. Veja também as ferramentas gratuitas para profissionais de saúde disponíveis para apoiar a rotina clínica.

Artigos relacionados