Muitos médicos ainda acham que a LGPD é coisa de empresa grande. Não é. Qualquer consultório que coleta, armazena ou usa dados de pacientes está sujeito à lei, independentemente do tamanho.
E dados de saúde têm proteção ainda mais rígida do que dados comuns. Isso muda o que você precisa fazer, e muda o quanto pode custar se você não fizer.
Por que dados médicos têm proteção especial na LGPD
A Lei 13.709/2018, a LGPD, classifica dados de saúde como dados sensíveis. Esse grupo inclui informações sobre saúde física e mental, histórico de doenças, diagnósticos, exames e qualquer dado que revele condição clínica.
Dados sensíveis exigem base legal específica para tratamento. No caso dos consultórios, a base mais comum é a execução do contrato de saúde. Mas isso precisa estar documentado.
Um prontuário médico, uma anamnese, um laudo, um resultado de exame: todos são dados sensíveis. Isso significa que o tratamento desses dados exige medidas de segurança mais rigorosas do que um cadastro comum.
A LGPD também garante ao paciente direitos sobre seus próprios dados: acesso, correção, exclusão e portabilidade. O consultório precisa estar preparado para atender essas solicitações em até 15 dias.
O sigilo médico já obrigava o médico a proteger os dados do paciente muito antes da LGPD. A lei não criou uma obrigação nova: ela formalizou o que a ética médica já determinava e adicionou penalidades específicas.
O que o consultório precisa adequar na prática
O primeiro passo é mapear todos os dados que o consultório coleta: nome, CPF, data de nascimento, histórico de saúde, exames, contatos. Saber o que você tem é a base de qualquer adequação.
Para cada tipo de dado, você precisa saber: por que está coletando, onde está armazenado, quem tem acesso e por quanto tempo vai guardar. Essas quatro perguntas formam a base de um inventário de dados.
O prontuário eletrônico precisa ter controle de acesso por usuário. Recepcionista, enfermeiro e médico não precisam ver as mesmas informações. O sistema precisa permitir configurar esse nível de acesso.
A ANPD recomenda a nomeação de um encarregado de dados, o DPO, mesmo para consultórios de pequeno porte. Em consultórios individuais, o próprio médico pode assumir essa função de forma documentada.
O formulário de cadastro do paciente precisa incluir o aviso de privacidade. Esse documento explica quais dados são coletados, por que são usados e com quem podem ser compartilhados. É obrigatório e precisa ser assinado ou aceito pelo paciente.
Compartilhar dados de pacientes com convênios, laboratórios ou outros médicos sem base legal documentada é uma violação da LGPD. Para cada compartilhamento, precisa haver um registro de por que aquele dado foi transferido.
Como organizar a adequação sem contratar uma consultoria cara
Comece pelo inventário de dados. Liste todas as formas de coleta de informação do seu consultório: ficha de cadastro, prontuário, e-mail, WhatsApp, agenda. Esse mapeamento pode ser feito em uma tarde.
Elabore um aviso de privacidade simples e direto. A ANPD disponibiliza modelos no seu portal. Não precisa ser um documento jurídico complexo: precisa ser claro e informar ao paciente o que acontece com os dados dele.
Migre os dados de pacientes para um sistema com armazenamento criptografado. Isso resolve de uma vez o problema do WhatsApp, do e-mail, da planilha e do pendrive.
Defina por quanto tempo cada tipo de dado fica armazenado e o que acontece depois. Para prontuários, o prazo mínimo é o exigido pelo CFM. Para outros dados, o prazo deve ser o necessário para a finalidade declarada.
Treine a equipe. Recepcionistas e auxiliares precisam saber que dados de pacientes não podem ser comentados fora do consultório, não podem ser enviados por canais inseguros e não podem ser acessados por curiosidade.
Por fim, documente tudo. A LGPD não exige perfeição, mas exige evidência de que você faz o esforço. Registros de treinamento, aviso de privacidade assinado e contrato com o fornecedor de software contendo cláusulas de proteção de dados são a sua defesa em caso de notificação.
O MDMed tem conformidade com a LGPD integrada ao sistema
O MDMed foi desenvolvido com os requisitos da LGPD desde a arquitetura do sistema. O prontuário eletrônico tem controle de acesso por nível de usuário, armazenamento criptografado e rastreabilidade de todas as ações realizadas no sistema.
Todos os dados dos seus pacientes ficam em servidores no Brasil, com backup automático diário e criptografia em trânsito e em repouso. Você não precisa gerenciar nada disso manualmente.
O sistema permite exportar o histórico do paciente em formato legível quando solicitado, atendendo ao direito de portabilidade da LGPD sem nenhum processo manual.
O contrato do MDMed inclui cláusulas específicas de proteção de dados, com descrição do papel do fornecedor como operador e do médico como controlador. Veja as soluções completas em mdmed.com.br.
A equipe de suporte orienta consultórios na adequação das práticas internas que dependem do sistema. Você não precisa fazer isso sozinho.
Agende uma demonstração gratuita e veja como o MDMed organiza a segurança dos dados do seu consultório. Fale com a equipe e entenda o que muda na sua rotina ao adotar um sistema em conformidade.
