C
Compliance & LGPD

LGPD para Clínicas de Estética: Guia Prático 2026 (Checklist + Templates)

Equipe Estetia06 de mai. de 20267 min de leitura
Voltar para o Blog
Compartilhar:WhatsAppLinkedIn

A ANPD pode multar clínicas em até 2% do faturamento. Guia completo com 6 pontos críticos, checklist de conformidade e templates prontos para fotos antes/depois, prontuários e gestão de consentimento.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) não foi feita pensando em clínicas de estética — mas se aplica a elas com força total. Prontuários, fotos antes/depois, dados de saúde, histórico de procedimentos: tudo isso é dado sensível nos termos da LGPD, sujeito às exigências mais rígidas da lei. E o não-cumprimento pode custar caro.

Risco financeiro: A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar multas de até 2% do faturamento bruto da empresa, limitadas a R$ 50 milhões por infração. Para uma clínica com R$ 50.000/mês de faturamento, isso representa até R$ 12.000 de multa por ocorrência.

Além da multa, o dano à reputação de uma clínica que vaza fotos antes/depois de pacientes é incalculável. Este guia cobre os 6 pontos críticos de conformidade específicos para o setor estético — com orientações práticas que você pode implementar sem advogado.

Por que Clínicas de Estética Têm Exposição Especial à LGPD

A LGPD distingue entre dados pessoais comuns (nome, e-mail, telefone) e dados pessoais sensíveis. Clínicas de estética trabalham predominantemente com dados da segunda categoria:

  • Dados de saúde: histórico de doenças, alergias, medicamentos em uso
  • Dados biométricos: fotos faciais para análise de resultados (entram como biometria)
  • Dados genéticos: laudos de exames em alguns tratamentos dermatológicos
  • Dados sobre origem étnica/racial: relevante em protocolos de harmonização

Para dados sensíveis, a LGPD exige consentimento específico, livre, informado e inequívoco. Um formulário de anamnese genérico com "autorizo o uso dos meus dados" não é suficiente.

Os 6 Pontos Críticos de Conformidade para Clínicas

1. Consentimento Explícito para Fotos e Vídeos Antes/Depois

Fotos para documentação interna têm base legal no legítimo interesse clínico. Mas o uso dessas fotos para marketing (redes sociais, site, portfólio) exige consentimento específico e destacado, separado do consentimento clínico.

Erro comum: Incluir autorização de uso de imagem no mesmo documento que o termo de consentimento do procedimento. A LGPD exige que consentimentos para finalidades distintas sejam separados e que a recusa de um não impeça o outro.

Template de autorização de uso de imagem:

"Autorizo a [Nome da Clínica], inscrita no CNPJ [XX], a utilizar fotos e vídeos produzidos durante meu atendimento para as seguintes finalidades: [ ] Documentação interna do prontuário [ ] Publicação em redes sociais [ ] Publicação no site da clínica [ ] Material de treinamento. Esta autorização é revogável a qualquer momento mediante comunicação escrita e não afeta a realização do procedimento."

2. Bases Legais para Guarda do Histórico Clínico

A CFM (Conselho Federal de Medicina) e o CFF (Conselho Federal de Farmácia) determinam o prazo mínimo de guarda de prontuários em 20 anos após o último atendimento (CFM Resolução 1.821/2007). A LGPD respeita obrigações legais — você deve guardar os prontuários por 20 anos, mesmo que o paciente solicite a exclusão dos dados.

A base legal para tratamento de dados de saúde em prontuários é a obrigação legal (art. 7º, II da LGPD) e o exercício regular de direito (art. 7º, VI) — não o consentimento. Isso é importante porque significa que você pode manter o prontuário mesmo se o paciente revogar o consentimento para marketing.

3. Política de Retenção e Descarte

Você precisa ter documentado, para cada tipo de dado que coleta:

Tipo de Dado Prazo de Retenção Base Legal Descarte
Prontuário clínico 20 anos após último atendimento CFM Res. 1.821/2007 Eliminação segura com registro
Fotos para prontuário 20 anos (vinculado ao prontuário) Legítimo interesse + obrigação legal Com o prontuário
Fotos para marketing Enquanto autorização vigente Consentimento Imediato após revogação
Dados de contato (marketing) Até revogação de consentimento Consentimento Em até 15 dias após solicitação
Dados financeiros 5 anos (obrigação fiscal) Código Tributário Nacional Após vencimento do prazo fiscal

4. Direito ao Esquecimento vs. Registro Médico-Legal

Pacientes têm direito de solicitar a eliminação de seus dados (art. 18, IV da LGPD). Mas esse direito não é absoluto — ele cede quando há obrigação legal de retenção. A resposta correta para um pedido de eliminação de prontuário é:

Script de resposta: "Conforme a Resolução CFM 1.821/2007, somos obrigados a manter seu prontuário clínico pelo prazo de 20 anos após o último atendimento. Seus dados de saúde não podem ser eliminados neste período, mas podemos excluir seus dados de contato de nossas listas de comunicação de marketing. Você gostaria que fizéssemos isso?"

Esse script transforma um pedido potencialmente conflituoso em uma oportunidade de demonstrar transparência e compliance.

5. Segurança Técnica: Os Requisitos Mínimos

A LGPD exige "medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados". Para clínicas de estética, os requisitos mínimos são:

  • Criptografia em trânsito: HTTPS em todos os sistemas que lidam com dados de pacientes
  • Criptografia em repouso: Banco de dados de pacientes criptografado
  • Controle de acesso por perfil: Recepcionista não acessa prontuário; profissional não acessa dados financeiros
  • Log de auditoria: Registro de quem acessou, editou ou exportou dados de pacientes
  • Senhas robustas + 2FA: Para sistemas com dados sensíveis
  • Backup criptografado: Em local físico separado do servidor principal

6. Protocolo de Resposta a Vazamento

Se ocorrer um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a LGPD exige comunicação à ANPD e ao titular em prazo razoável — interpretado pelo regulador como 72 horas (alinhado ao GDPR europeu).

O protocolo básico para clínicas:

  1. Contenção imediata: Isolar o sistema afetado, revogar acessos comprometidos
  2. Avaliação do impacto: Quais dados foram expostos? De quantos titulares?
  3. Comunicação interna: Responsável pela proteção de dados (DPO ou gestor designado)
  4. Comunicação à ANPD: Via portal gov.br/anpd, com descrição do incidente, dados afetados e medidas tomadas
  5. Comunicação aos titulares: Pacientes afetados, com orientações sobre riscos e medidas de proteção
  6. Documentação: Registro completo do incidente, ações tomadas e aprendizados

Checklist de Conformidade LGPD para Clínicas

Checklist prático — marque o que já está implementado:

[ ] Mapeamento de todos os dados pessoais coletados (ex: anamnese, fotos, dados financeiros)
[ ] Consentimento específico para fotos de antes/depois (separado do consentimento clínico) [ ] Política de privacidade publicada no site e disponível na clínica
[ ] Política de retenção de dados documentada por tipo de dado
[ ] Controle de acesso por perfil no sistema de prontuários
[ ] Log de auditoria ativado no sistema de gestão
[ ] Canal de atendimento para solicitações de titulares (e-mail ou formulário)
[ ] Contrato de processamento de dados com fornecedores (softwares, laboratórios)
[ ] Protocolo de resposta a incidentes documentado
[ ] Treinamento básico de LGPD para toda a equipe

Como o Estetia CRM Suporta a Conformidade LGPD

O prontuário digital do Estetia foi desenvolvido com compliance LGPD nativo: log de auditoria completo, controle de acesso por perfil (recepcionista, profissional, gestor), criptografia de dados e gestão de consentimentos integrada ao fluxo de anamnese. O plano Business inclui relatório de auditoria exportável para demonstrar conformidade em inspeções.

Atenção: Este guia é informativo e não substitui assessoria jurídica especializada. Para situações específicas, consulte um advogado com experiência em LGPD na área de saúde.

Perguntas Frequentes

Clínicas de estética precisam ter um DPO (Encarregado de Proteção de Dados)?

A LGPD exige DPO formalmente para agentes de tratamento de grande porte ou que realizem tratamento de dados sensíveis em larga escala. Para clínicas pequenas e médias, a ANPD indica que um responsável interno designado (mesmo sem título formal de DPO) já atende à exigência — desde que haja canal de contato para titulares e que ele esteja preparado para responder a solicitações.

WhatsApp é seguro para enviar dados de pacientes?

O WhatsApp tem criptografia end-to-end, mas não é certificado para dados de saúde. Para comunicações clínicas sensíveis (laudos, prescrições, fotos antes/depois), use plataformas certificadas. Para confirmações de agendamento e informações gerais, WhatsApp é aceitável desde que o paciente tenha consentido com esse canal de comunicação.

Posso usar fotos de antes/depois de pacientes antigos (anteriores à LGPD) no marketing?

Não sem consentimento atualizado. A LGPD se aplica a todos os tratamentos de dados em curso, independente de quando os dados foram coletados. Se você tem uma biblioteca de fotos antigas sem autorização explícita de uso para marketing, precisa ou obter o consentimento retroativo ou parar de usar as imagens.

Leia tamb\u00e9m

Anamnese Digital em Clínicas de Estética: Como Digitalizar sem Perder Tempo na RecepçãoOs 7 KPIs Essenciais de Clínicas de Estética: LTV, Retenção, No-Show e Mais
Calcule o ROI do seu CRM

Newsletter

Conteúdo exclusivo para clínicas de estética

Dicas sobre gestão, captação de pacientes, LGPD e tecnologia. 1 email por semana, sem spam.

Continue lendo

MMarketing & Captação

SPIN Selling para Clínicas de Estética: Como Vender Procedimentos sem Parecer Vendedor

Ler artigo
GGestão Clínica

Como Reduzir No-Show em Clínicas de Estética em até 70% [Guia 2026]

Ler artigo

Estetia CRM

Pronto para implementar isso na sua clínica?

14 dias grátis. Sem cartão de crédito. Comece a automatizar suas vendas hoje.

Começar agora