LGPD em clínicas médicas: o que muda no tratamento de dados de pacientes

A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) entrou em vigor em 2020 e desde então transformou a forma como clínicas, hospitais e consultórios tratam informações de pacientes. Mais de cinco anos depois, ainda existe muita confusão sobre o que a lei realmente exige na prática clínica do dia a dia.

Dados de saúde como categoria sensível

A LGPD classifica dados sobre saúde como dados pessoais sensíveis, exigindo nível de proteção mais elevado do que dados comuns. O tratamento desses dados só pode ocorrer mediante consentimento específico e destacado, ou para cumprimento de obrigação legal, ou para a execução de políticas públicas de saúde.

Quem é controlador, quem é operador

A clínica que coleta dados dos seus pacientes é o controlador. Sistemas SaaS que armazenam esses dados, como a plataforma Neumann Partners, atuam como operadores, processando dados em nome do controlador. Essa distinção define responsabilidades legais distintas em caso de incidente.

Obrigações práticas que poucas clínicas cumprem

Três obrigações são negligenciadas: manutenção de registro das operações de tratamento (RIPD), nomeação de Encarregado pelo Tratamento de Dados (DPO) para clínicas com volume relevante, e estabelecimento de procedimento documentado para resposta a incidentes em até 72 horas para a ANPD.

Como uma plataforma adequada ajuda

Uma plataforma de gestão médica conforme à LGPD oferece logs auditáveis de acesso a cada prontuário, criptografia de dados em repouso e em trânsito, controle de acesso por papel, atendimento a requisições de titulares com agilidade, e infraestrutura em datacenters certificados ISO 27001. A Neumann Partners construiu todos esses controles desde o primeiro dia.