LGPD na odontologia: o que sua clínica precisa saber agora

A Lei Geral de Proteção de Dados entrou em vigor em 2020. Cinco anos depois, a maioria das clínicas odontológicas brasileiras ainda opera como se a lei não existisse: prontuários em pastas físicas sem controle de acesso, planilhas de Excel circulando por WhatsApp, fotos de pacientes em smartphones pessoais de funcionários, backups inexistentes ou improvisados.

Não é negligência consciente. É falta de tradução. A LGPD foi escrita para empresas em geral, não para o cotidiano de uma clínica. Este guia faz essa tradução. Sem juridiquês, sem alarmismo, sem promessa de "blindagem total" — porque blindagem total não existe. O que existe é uma operação que reduz risco a um patamar gerenciável e responde rápido quando algo dá errado.

---

O que a LGPD diz, em uma frase

Dados pessoais pertencem ao titular, não a quem os coleta. Sua clínica é uma controladora de dados — ou seja, decide o que faz com eles — e por isso precisa ter base legal para cada coleta, transparência sobre cada uso e mecanismos para responder a pedidos de acesso, correção e exclusão.

Dados de saúde, incluindo prontuários odontológicos, são considerados dados sensíveis. Isso significa três camadas extras de cuidado: consentimento explícito (ou outra base legal específica), proteção reforçada e responsabilização agravada em caso de incidente.

Os cinco pilares que toda clínica precisa cobrir

1. Mapeamento de dados

Antes de proteger, é preciso saber o que se tem. Faça um inventário simples: quais dados de paciente sua clínica coleta, onde ficam armazenados, quem tem acesso e por quanto tempo são mantidos.

• ◦Cadastro: nome, CPF, RG, endereço, telefone, e-mail, data de nascimento.
• ◦Saúde: anamnese, prontuário, plano de tratamento, exames, fotos clínicas, radiografias.
• ◦Financeiros: dados de pagamento, parcelamentos, inadimplência.
• ◦Comportamentais: origem do lead, interações, consentimentos marcados.

2. Base legal para cada coleta

A LGPD exige que cada dado coletado tenha uma justificativa legal. Para clínicas odontológicas, as bases mais comuns são:

3. Termos e consentimentos

Termo de uso vago, em letra miúda, assinado às pressas no balcão da recepção, não cumpre a LGPD. O que cumpre:

1. ◦Linguagem clara — quem entendeu o documento foi quem assinou.
2. ◦Granularidade — separar consentimento de tratamento, de marketing e de uso de imagem em três marcações independentes.
3. ◦Revogabilidade — o paciente precisa poder retirar o consentimento com a mesma facilidade com que deu.
4. ◦Registro auditável — saber, em qualquer momento, quem assinou o quê, quando e em qual versão do termo.

4. Segurança técnica do prontuário digital

O prontuário em pastas físicas tem um problema óbvio: qualquer pessoa que entra na sala pode acessá-lo. O prontuário digital tem o mesmo risco quando feito errado — planilha compartilhada, drive sem permissão segmentada, foto no celular do dentista. A diferença é que o digital, quando bem feito, é incomparavelmente mais seguro que qualquer arquivo físico.

O mínimo aceitável para o prontuário eletrônico de uma clínica em 2026:

• ◦Login individual e nominal — nunca senha compartilhada por toda a equipe.
• ◦Permissões por perfil — recepção não vê anamnese clínica, financeiro não acessa fotos.
• ◦Criptografia em trânsito (HTTPS) e em repouso (banco encriptado).
• ◦Logs de auditoria — saber quem visualizou cada prontuário e quando.
• ◦Backup diário automatizado em local geograficamente separado.
• ◦Política de retenção — quanto tempo o dado fica, quando é descartado.

5. Encarregado pelo tratamento de dados (DPO)

A LGPD exige que toda controladora de dados nomeie um encarregado — Data Protection Officer, ou simplesmente DPO. Em clínicas pequenas e médias, esse papel pode ser acumulado por um sócio ou gestor, desde que ele de fato exerça a função: receber demandas de pacientes, comunicar a ANPD em caso de incidente, conduzir treinamentos e revisar processos.

Não é uma figura decorativa. Em uma fiscalização ou em um pedido formal de paciente, é o DPO que responde. Coloque o e-mail e contato dele em local visível no site da clínica — é exigência legal.

A LGPD não é um relatório para se entregar. É uma forma de operar. Quem trata como burocracia paga o preço quando o pior acontece.

Checklist mínimo para sair da zona de risco em 30 dias

1. ◦Mapear todos os dados que sua clínica coleta e onde estão armazenados.
2. ◦Reescrever os termos de uso, anamnese e autorização de uso de imagem em linguagem clara, com consentimentos separados.
3. ◦Revogar acessos de ex-funcionários e migrar logins compartilhados para acessos individuais.
4. ◦Configurar backup automático e testá-lo restaurando em ambiente paralelo.
5. ◦Designar e divulgar o encarregado (DPO) com canal de contato.
6. ◦Publicar política de privacidade e termos de uso no site, com data de versão.
7. ◦Treinar a equipe — uma reunião de 90 minutos resolve a maior parte dos riscos comportamentais.
8. ◦Migrar prontuários físicos remanescentes para sistema digital com criptografia e controle de acesso.

O que vem nos próximos 12 meses

A ANPD — Autoridade Nacional de Proteção de Dados — está finalizando regulamentação específica para o setor de saúde. As fiscalizações já começaram, com foco em hospitais e operadoras, mas vão chegar nas clínicas. Quem se preparar antes paga menos. Quem espera o ofício de notificação chegar paga muito.

A boa notícia é que adequação à LGPD, quando bem feita, vira ativo de marca. Em clínicas HOF, o paciente premium nota a diferença: assinatura digital limpa, portal dele para acessar exames, comunicação clara sobre o que está sendo coletado. Vira parte da experiência. Vira parte do que justifica o preço.

◦ DENTANEXA

Sua clínica está conforme com a LGPD?

A DentaNexa foi projetada com privacidade desde o primeiro dia. Criptografia, logs de auditoria, consentimento digital e portal seguro do paciente — tudo nativo.

Solicitar demonstração →