Adequação LGPD em 5 Passos para Clínicas de Estética: Checklist Prático

Em 12 anos assessorando clínicas de estética em processos de compliance, aprendi que a adequação à LGPD falha por dois motivos: complexidade percebida (parece um projeto de 6 meses) e falta de prioridade (sempre fica para depois).

A realidade é que uma clínica de pequeno ou médio porte pode estar em conformidade básica em menos de duas semanas, seguindo um roteiro claro.

Este é esse roteiro.

Por onde começar?

Antes de qualquer passo, responda honestamente:

1. Sua clínica tem política de privacidade? (documento explicando como usa os dados dos pacientes)
2. Você pede consentimento específico antes de tirar fotos e usar para marketing?
3. Há um canal de contato para pacientes pedirem acesso, correção ou exclusão dos seus dados?
4. Sua equipe sabe o que é LGPD e o que não pode fazer com dados dos pacientes?
5. Você sabe quais sistemas externos têm acesso aos dados dos seus pacientes?

Se respondeu "não" para 3 ou mais perguntas, este guia é para você.

---

Passo 1: Mapeie seus dados (ROPA)

Tempo estimado: 2 a 4 horas

O primeiro passo é entender quais dados você coleta, por quê, onde ficam armazenados e por quanto tempo.

Isso se chama ROPA — Registro das Operações de Processamento de Atividades — e é exigido pela LGPD para clínicas que tratam dados sensíveis (que é o caso de qualquer clínica de estética).

Como fazer na prática

Liste todas as situações em que sua clínica coleta dados:

Dados do paciente no primeiro atendimento:

• Nome, CPF, telefone, e-mail → dados pessoais comuns
• Data de nascimento, sexo → dados pessoais comuns
• Histórico de saúde, alergias, medicamentos → dados sensíveis (saúde)
• Fotos antes/depois → dados sensíveis (imagem corporal)

Dados durante o relacionamento:

• Histórico de procedimentos → dados sensíveis
• Dados de pagamento (cartão, PIX) → dados financeiros
• Comunicações por WhatsApp → registro de comunicação

Dados de fornecedores e funcionários:

• Não esqueça: LGPD também protege dados de colaboradores e parceiros

Para cada categoria, registre:

Campo	O que preencher
Tipo de dado	Ex: dados de saúde, foto, CPF
Finalidade	Para que você usa esse dado
Base legal	Consentimento, obrigação legal, tutela da saúde...
Onde fica armazenado	Sistema de gestão, planilha, papel, WhatsApp
Por quanto tempo	Defina um prazo de retenção
Com quem compartilha	Fornecedores de software, parceiros

Checklist do Passo 1:

• Listei todas as atividades de coleta de dados
• Identifiquei a base legal para cada uma
• Documentei onde cada dado é armazenado
• Defini prazos de retenção para cada categoria
• Identifiquei todos os terceiros com acesso aos dados

---

Passo 2: Organize a base legal e o consentimento

Tempo estimado: 1 a 2 horas + criação dos documentos

Com o mapeamento em mãos, você vai perceber que algumas atividades já têm base legal clara (ex: guardar prontuários por exigência do conselho de classe). Outras precisam de consentimento explícito.

Quando o consentimento é obrigatório

Você sempre precisa de consentimento para:

• Usar fotos dos pacientes em redes sociais ou materiais de marketing
• Enviar newsletters e e-mails promocionais
• Compartilhar dados com parceiros comerciais
• Fazer qualquer uso de dados que vá além da prestação do serviço contratado

Como obter consentimento válido

O consentimento precisa ser:

• Livre — o paciente não pode ser prejudicado por negar
• Informado — ele precisa saber exatamente para o que está autorizando
• Específico — um consentimento para "uso de dados" não vale para tudo
• Inequívoco — precisa ser um ato afirmativo (marcar uma caixa, assinar digitalmente)

Não vale: cláusula genérica no rodapé da ficha de cadastro, consentimento embutido em outros contratos, campos pré-marcados.

Template de consentimento para fotos

"Autorizo a [Nome da Clínica] a utilizar as fotografias realizadas antes e após os procedimentos realizados em meu atendimento, para as seguintes finalidades: ( ) publicação em redes sociais da clínica, ( ) portfólio impresso, ( ) materiais institucionais. Entendo que posso revogar esta autorização a qualquer momento mediante solicitação."

Checklist do Passo 2:

• Identifiquei quais atividades precisam de consentimento
• Criei termos de consentimento específicos (fotos, marketing, etc.)
• Removi cláusulas genéricas e pré-marcadas das fichas
• Defini como registrar e guardar os consentimentos

---

Passo 3: Crie seu Aviso de Privacidade

Tempo estimado: 2 a 3 horas

O Aviso de Privacidade (ou Política de Privacidade) é o documento que explica, em linguagem acessível, como sua clínica trata os dados dos pacientes.

Deve estar disponível:

• No site da clínica (link no footer, acessível em 1 clique)
• Na recepção (impresso ou em tablet)
• Enviado por e-mail no primeiro atendimento

O que o Aviso precisa conter

Seção 1 — Quem somos e como falar conosco Nome da clínica, CNPJ, endereço, e-mail do responsável pelos dados (DPO ou encarregado).

Seção 2 — Quais dados coletamos e para quê Liste as categorias de dados e as finalidades de forma clara. Use linguagem simples.

Seção 3 — Com quem compartilhamos Mencione todos os fornecedores de software (sistema de agendamento, CRM, plataforma de e-mail, etc.) e o que eles fazem com os dados.

Seção 4 — Por quanto tempo guardamos Defina os prazos de retenção. Exemplo: "dados de contato de ex-pacientes são mantidos por 2 anos após o último atendimento".

Seção 5 — Seus direitos Liste os 9 direitos dos titulares da LGPD (acesso, correção, eliminação, portabilidade, etc.) e explique como exercê-los.

Seção 6 — Segurança Descreva as medidas de segurança adotadas (sem precisar ser técnico em excesso).

Checklist do Passo 3:

• Aviso de privacidade criado com todas as seções obrigatórias
• Linguagem acessível (testei com alguém que não é da área)
• Publicado no site da clínica
• Disponível na recepção
• Enviado aos pacientes existentes com comunicado sobre a política

---

Passo 4: Configure o canal DSR (Solicitações de Titulares)

Tempo estimado: 1 hora

DSR é a sigla para Data Subject Requests — solicitações dos seus pacientes para exercer os direitos que a LGPD garante.

Sua clínica é obrigada a atender essas solicitações em até 15 dias. Não ter um processo para isso é uma das infrações mais comuns — e mais fáceis de evitar.

O mínimo necessário

1. Um e-mail dedicado — ex.: privacidade@suaclinica.com.br — divulgado no aviso de privacidade
2. Um formulário simples — papel ou digital — para registrar as solicitações
3. Uma planilha de controle — com data de recebimento, tipo de solicitação, responsável e prazo de resposta

Tipos de solicitação mais comuns

Acesso aos dados: o paciente quer saber quais dados você tem. Resposta: gere um relatório com todos os dados cadastrais, histórico de procedimentos e comunicações registradas.

Exclusão de dados: o paciente quer que você apague seus dados. Resposta: exclua o que for possível; mantenha o que for exigido por lei (prontuários: 5 anos após o atendimento, conforme ANVISA). Informe ao paciente o que foi excluído e o que não pode ser excluído e por quê.

Correção: dado desatualizado ou errado. Resposta: corrija no sistema e confirme por e-mail.

Revogar consentimento para marketing: o paciente não quer mais receber comunicações. Resposta: remova da lista imediatamente. É crime ignorar.

Checklist do Passo 4:

• Canal de contato para DSR definido e divulgado
• Formulário de registro de solicitações criado
• Processo de resposta em até 15 dias documentado
• Responsável pelas respostas definido
• Processo de escalada para solicitações complexas definido

---

Passo 5: Treine sua equipe

Tempo estimado: 2 a 4 horas (inicialmente)

A norma mais bem elaborada falha se quem lida com os dados no dia a dia não sabe o que pode ou não pode fazer.

Sua recepcionista, esteticistas e assistentes precisam entender:

O básico que toda a equipe deve saber

O que NÃO fazer:

• Compartilhar fotos de pacientes em grupos de WhatsApp pessoais
• Acessar dados de pacientes por curiosidade (sem necessidade de serviço)
• Deixar fichas físicas em locais visíveis à espera de atendimento
• Usar e-mail pessoal para comunicar dados de pacientes
• Dar informações sobre pacientes para terceiros (incluindo familiares) sem autorização

O que fazer se um paciente perguntar sobre LGPD:

• Encaminhar ao responsável designado
• Não prometer prazos sem verificar com a gestão
• Anotar a solicitação e comunicar imediatamente

O que fazer em caso de incidente (perda de dados, invasão, roubo de equipamento):

• Comunicar imediatamente ao responsável LGPD da clínica
• Não tentar resolver sozinho
• Não apagar nenhum registro que possa ser evidência

Periodicidade do treinamento

• Treinamento inicial: para todos os funcionários, ao implantar o programa
• Treinamento de integração: para novos contratados, no primeiro mês
• Atualização anual: treinamento de reciclagem, com foco em incidentes recentes

Checklist do Passo 5:

• Treinamento inicial realizado com toda a equipe
• Registro de participação arquivado (evidência para fiscalização)
• Treinamento de integração criado para novos funcionários
• Responsável por LGPD designado e comunicado à equipe
• Canal interno para dúvidas e reporte de incidentes definido

---

Você não precisa fazer isso manualmente

Se você chegou até aqui e pensou "isso vai demandar muito tempo que não tenho", entendo. A boa notícia é que hoje existem ferramentas especializadas que automatizam grande parte desse processo.

O Assenti é uma plataforma desenvolvida especificamente para clínicas de estética que:

• Guia você pelo diagnóstico inicial em minutos
• Gera automaticamente o ROPA com base no perfil da sua clínica
• Produz documentos jurídicos (aviso de privacidade, termos de consentimento) personalizados
• Oferece um canal DSR integrado para receber e responder solicitações
• Inclui módulos de treinamento curtos para a equipe, com certificado

Adequação LGPD não é um projeto de seis meses. Com o roteiro certo — e as ferramentas certas — é uma semana de trabalho focado.

Quer ver como funciona na prática? Comece gratuitamente — sem cartão de crédito.