A segurança de dados em sistema de gestão para clínicas depende de três camadas combinadas: criptografia dos dados em trânsito e em repouso, controle de acesso por perfil com autenticação em dois fatores e backup automático em servidores no Brasil. Sem as três, o sistema cumpre o básico operacional, mas deixa a clínica exposta a sanções da ANPD e a vazamentos.
Segurança de dados em saúde é o conjunto de práticas técnicas, processuais e legais que garante a confidencialidade, a integridade e a disponibilidade das informações de pacientes registradas em sistemas digitais. Para clínicas, isso vai além do antivírus: envolve LGPD, certificação SBIS-CFM, gestão de senhas e procedimento documentado de resposta a incidentes.
Os números justificam a atenção. Segundo o relatório da Autoridade Nacional de Proteção de Dados (ANPD) de 2024, o setor de saúde foi o segundo mais notificado por incidentes de segurança no Brasil, atrás apenas do varejo. Um estudo da IBM Security publicado no mesmo ano apontou que o custo médio global de uma violação de dados em saúde supera os USD 10 milhões — o maior entre todos os setores. No Brasil, a multa máxima prevista na Lei Geral de Proteção de Dados (Lei 13.709/2018) chega a R$ 50 milhões por infração.
Comece pelas três camadas técnicas que protegem o dado durante seu ciclo de vida: criptografia, controle de acesso e backup. Cada uma resolve um vetor diferente de ataque, e nenhuma substitui a outra. Um sistema com criptografia forte mas sem controle de acesso é um cofre com a porta aberta.
A criptografia em trânsito protege os dados enquanto eles viajam entre o navegador da recepcionista e o servidor do sistema. O padrão atual é TLS 1.3, identificável pelo cadeado HTTPS no navegador. A criptografia em repouso protege os dados armazenados no banco — o padrão de mercado é AES-256, o mesmo usado por bancos brasileiros. Pergunte ao fornecedor qual padrão ele usa: a resposta deve ser específica, não genérica.
O controle de acesso por perfil garante que cada pessoa veja apenas o que precisa. Recepcionista vê agenda e dados de contato, não o prontuário clínico. Médico contratado vê apenas seus pacientes. Administrador vê tudo, mas com logs de auditoria. Esse princípio do menor privilégio é exigência direta da LGPD para dados sensíveis e está detalhado no checklist de conformidade LGPD para software de clínica.
O backup automático não é segurança em si — é continuidade. Mas sem ele, qualquer incidente vira perda permanente. O backup precisa ser diário, criptografado e armazenado em região geográfica diferente da produção. O artigo sobre backup automático em sistema médico na nuvem mostra como avaliar isso na prática.
### Autenticação em dois fatores não é opcionalSenha forte sozinha já não é suficiente. Em 2024, a ANPD passou a tratar a ausência de autenticação em dois fatores (2FA) em sistemas de saúde como agravante em casos de vazamento. Significa que, mesmo que o fornecedor não exija, a clínica deve exigir — porque a responsabilidade pelo dado é do controlador, não do operador.
O 2FA pode ser via SMS, aplicativo autenticador (Google Authenticator, Authy) ou chave física. Aplicativos autenticadores são mais seguros que SMS, que pode ser interceptado por SIM swap. Sistemas modernos, como o ByDoctor, oferecem 2FA via app nativo sem custo adicional para todos os usuários.
Os pilares se desdobram em sete componentes auditáveis que separam um sistema realmente seguro de um sistema com marketing de segurança. A tabela abaixo organiza o que perguntar ao fornecedor antes de contratar.
| Pilar | O que verificar | Resposta esperada |
|---|---|---|
| Criptografia em trânsito | Versão do TLS, certificado SSL válido | TLS 1.2 ou superior, cadeado HTTPS em todas as páginas |
| Criptografia em repouso | Padrão usado para dados em banco e backup | AES-256, chave gerenciada pelo provedor de nuvem |
| Controle de acesso | Perfis disponíveis, granularidade por módulo | Pelo menos 4 perfis (admin, médico, recepção, financeiro) |
| Autenticação em dois fatores | Métodos suportados, política de obrigatoriedade | App autenticador disponível, ativável por administrador |
| Logs de auditoria | Quem acessou o quê, quando, por quanto tempo | Log retido por no mínimo 6 meses, exportável |
| Backup automático | Frequência, retenção, localização | Diário, retenção de 30 dias, redundância em regiões diferentes |
| Localização do data center | País e região onde os dados ficam | Brasil (AWS São Paulo, Google Cloud, Azure Brazil South) |
Note o que não está nessa tabela: certificações genéricas tipo "ISO 9001" ou "selo de confiança" sem auditor independente. Para o setor de saúde, o que conta é a certificação SBIS-CFM, emitida pela Sociedade Brasileira de Informática em Saúde, e a conformidade LGPD verificada por DPO. Sistemas certificados como Nível de Garantia de Segurança 2 (NGS2) atendem aos requisitos da Resolução CFM nº 1.821/2007 para substituir o papel.
A LGPD trata dados de saúde como dados pessoais sensíveis (artigo 5º, II), o que eleva o nível de proteção exigido. A clínica é a controladora desses dados, e o fornecedor do sistema é o operador. As duas figuras respondem solidariamente em caso de incidente, conforme artigos 42 e 43 da lei.
Na prática, isso se traduz em seis obrigações concretas que o sistema precisa habilitar:
O artigo sobre como a LGPD impacta o software de clínica aprofunda cada uma dessas obrigações. Quem ainda não entende as consequências práticas pode revisar o levantamento de penalidades aplicáveis a clínicas que descumprem a LGPD.
### O papel do DPO (encarregado de proteção de dados)A LGPD obriga toda organização que trate dados pessoais a indicar um encarregado (artigo 41). Para clínicas pequenas, esse papel pode ser exercido por um sócio com treinamento em proteção de dados ou por um DPO terceirizado. O contato do DPO precisa estar visível no site e nos contratos de atendimento.
O fornecedor do sistema de gestão também deve ter seu próprio DPO. Pergunte o nome e o e-mail antes de contratar — a ausência dessa informação é sinal de que a estrutura de compliance não existe.
Auditoria começa com perguntas diretas ao fornecedor e termina com testes que a própria clínica pode rodar. O guia de verificação de conformidade LGPD para software de clínica traz o roteiro completo. Aqui está a versão resumida do que importa.
Algumas dessas verificações exigem alguns minutos. Outras exigem reunião com o fornecedor. Em todos os casos, o fornecedor que evita responder ou pede tempo para "verificar" itens básicos como criptografia ou localização do servidor está sinalizando o tipo de operação que você quer evitar.
O sistema cobre a parte técnica, mas o vetor mais comum de vazamento em clínicas é interno. Senha compartilhada na recepção, ex-funcionário com acesso ainda ativo e prontuário aberto em tela visível na sala de espera respondem por mais de 60% dos incidentes notificados à ANPD em 2024.
As cinco práticas abaixo cobrem o que o sistema sozinho não consegue resolver:
Para clínicas que oferecem acesso aos pacientes pelo portal, o guia sobre proteção de dados em portal do paciente traz orientação adicional sobre consentimento e canais de comunicação. Quem está implementando o sistema agora pode usar o guia completo de sistema de gestão para clínicas como referência de funcionalidades-base antes de avançar para a camada de segurança.
Em data centers no Brasil, na maioria dos sistemas brasileiros responsáveis. As três regiões mais usadas são AWS São Paulo, Google Cloud São Paulo e Azure Brazil South. Hospedar fora do país não é proibido pela LGPD, mas exige cláusulas contratuais específicas e dificulta a fiscalização da ANPD em caso de incidente.
### Quais são as multas por vazamento de dados de pacientes em uma clínica?A ANPD pode aplicar multa de até 2% do faturamento anual da clínica, com teto de R$ 50 milhões por infração. Para clínicas pequenas, isso costuma representar entre R$ 30 mil e R$ 200 mil por incidente, sem contar ações cíveis individuais movidas pelos pacientes afetados e o impacto reputacional, que costuma ser o mais difícil de reverter.
### Backup automático sozinho garante segurança dos dados?Não. Backup é continuidade, não segurança. Um sistema seguro precisa de criptografia, controle de acesso, logs e procedimento documentado de resposta a incidentes. O backup garante que os dados existam após uma falha técnica, mas não impede acesso indevido enquanto eles estão em produção. Os dois trabalham juntos.
### Posso usar o mesmo sistema de gestão em uma clínica e em casa?Sim, desde que o acesso seja feito pelo navegador via HTTPS, com login pessoal e 2FA ativado. Evite redes Wi-Fi públicas para acessar prontuários — use a rede móvel do celular ou uma VPN confiável. O sistema deve registrar o IP de cada login para auditoria posterior.
### O que fazer se um funcionário acessar dados de paciente sem autorização?Acione o procedimento de incidente: registre o ocorrido, exporte os logs do sistema, notifique o DPO da clínica e avalie se o caso configura violação de dados. Se houver vazamento real, a ANPD precisa ser notificada em até dois dias úteis. O afastamento imediato do funcionário é parte do procedimento padrão.
Em resumo, a segurança de dados em sistema de gestão para clínicas exige três camadas técnicas — criptografia, controle de acesso e backup — somadas a conformidade com a LGPD e a práticas internas que cubram o vetor humano. Sem certificação SBIS-CFM, sem 2FA e sem logs auditáveis, o sistema não atende ao que a ANPD espera de quem trata dados sensíveis em saúde.
Para colocar isso em prática, comece pela auditoria do sistema atual: aplique o checklist de sete pilares acima, peça o relatório de impacto ao fornecedor e teste o controle de acesso com um usuário de recepção. Se o resultado mostrar lacunas, o ByDoctor oferece prontuário eletrônico certificado, agenda integrada e portal do paciente em conformidade com a LGPD, com 2FA nativo e dados hospedados em São Paulo. Veja também as ferramentas gratuitas para profissionais de saúde disponíveis para apoiar a rotina clínica.