Como Fazer um Diagnóstico de LGPD na Sua Clínica de Estética (Sem Contratar Consultor)
Ana Beatriz Cortez
Especialista em Gestão de Clínicas | Transformação Digital
Antes de contratar um consultor, comprar uma ferramenta ou assinar qualquer serviço, você precisa entender onde está. Um diagnóstico honesto do estado atual da sua clínica é o primeiro passo de qualquer programa de conformidade — e você pode fazer isso sozinha, em menos de 2 horas.
Este guia te conduz por 7 áreas de avaliação, com perguntas diretas e uma pontuação simples. No final, você saberá quais são suas prioridades reais.
Como usar este diagnóstico
Responda a cada pergunta com honestidade. Não existe resposta certa que você precisa dar para aparentar conformidade — o objetivo é identificar suas lacunas reais para corrigi-las.
Pontuação:
- "Sim, documentado e verificável" → 2 pontos
- "Sim, mas informal/sem documentação" → 1 ponto
- "Não / Não sei" → 0 pontos
Área 1: Transparência e Política de Privacidade
- Sua clínica tem uma política de privacidade publicada?
- A política está disponível no site e na recepção?
- A política lista explicitamente quais dados são coletados e para quê?
- A política menciona os sistemas terceiros que acessam dados dos pacientes?
- A política foi revisada nos últimos 12 meses?
Máximo: 10 pontos
O que significa:
- 8-10: Boa transparência
- 4-7: Precisa de atualização
- 0-3: Prioridade alta — comece por aqui
Área 2: Coleta e Base Legal
- Você tem base legal identificada para cada tipo de dado que coleta?
- Para dados de saúde (anamnese), a base legal está explicitada ao paciente?
- Para fotos usadas em marketing, há consentimento específico e documentado?
- Você coleta apenas os dados necessários para cada finalidade?
- Pacientes são informados no momento da coleta sobre como seus dados serão usados?
Máximo: 10 pontos
Área 3: Armazenamento e Segurança
- Os dados dos pacientes ficam em sistemas com controle de acesso por perfil?
- Há senha forte e autenticação em dois fatores nos sistemas que guardam dados de saúde?
- Backups são realizados regularmente e de forma segura?
- Documentos físicos são armazenados em local com acesso restrito?
- Você tem procedimento definido para descarte seguro de documentos com dados pessoais?
Máximo: 10 pontos
Área 4: Compartilhamento com Terceiros
- Você sabe exatamente quais sistemas e fornecedores acessam dados dos seus pacientes?
- Com todos eles você tem DPA (contrato de processamento de dados) assinado?
- Você não compartilha dados de pacientes por WhatsApp com profissionais externos?
- Prestadores de serviço que acessam fisicamente dados (TI, contabilidade) têm cláusula de confidencialidade?
- Você não vendeu ou cedeu dados de pacientes para terceiros sem autorização?
Máximo: 10 pontos
Área 5: Direitos dos Titulares
- Há um canal de comunicação publicado para solicitações de privacidade (e-mail, formulário)?
- Você tem processo definido para responder solicitações em até 15 dias?
- Você consegue localizar e fornecer todos os dados de um paciente específico quando solicitado?
- Você consegue excluir todos os dados de um paciente quando solicitado (respeitando prazos legais)?
- Você registra as solicitações recebidas e as respostas dadas?
Máximo: 10 pontos
Área 6: Gestão de Incidentes
- Você tem um plano (mesmo básico) de resposta a incidentes de segurança?
- A equipe sabe o que é um incidente e para quem reportar?
- Você conhece os critérios para notificar a ANPD em caso de incidente?
- Há registro histórico de incidentes ocorridos e como foram tratados?
- Dispositivos com dados de pacientes têm bloqueio remoto configurado?
Máximo: 10 pontos
Área 7: Cultura e Governança
- A equipe recebeu treinamento sobre LGPD nos últimos 12 meses?
- Há registro documentado desse treinamento?
- As novas contratações recebem orientação sobre proteção de dados no onboarding?
- Há alguém na clínica designado como responsável por questões de privacidade?
- Você revisa periodicamente se as práticas de tratamento de dados mudaram?
Máximo: 10 pontos
Interpretando seu resultado
| Pontuação total | Nível | O que significa |
|---|---|---|
| 56–70 | Avançado | Boa maturidade em conformidade. Foco em manter e aprimorar. |
| 42–55 | Intermediário | Estrutura básica presente, mas lacunas significativas. Priorize as áreas com menor pontuação. |
| 28–41 | Iniciante | Conformidade parcial e informal. Risco moderado. Plano de adequação urgente. |
| 14–27 | Vulnerável | Poucos controles implementados. Risco alto. Ação imediata necessária. |
| 0–13 | Crítico | Sem programa de compliance. Exposição grave. Comece hoje. |
Por onde começar, independente do resultado
Se você está em Crítico ou Vulnerável: Foque em 3 ações imediatas:
- Publique uma política de privacidade (mesmo básica)
- Crie um e-mail dedicado para privacidade e publique-o
- Implante consentimento documentado para uso de fotos em marketing
Essas 3 ações não eliminam todos os riscos, mas demonstram boa-fé e reduzem significativamente sua exposição.
Se você está em Iniciante: Priorize as áreas com menor pontuação no diagnóstico. Geralmente é armazenamento seguro e direitos de titulares. Considere um sistema de gestão com controle de acesso adequado.
Se você está em Intermediário ou Avançado: Refine a documentação, formalize o que é informal, implemente treinamento regular e revise contratos com fornecedores.
Um diagnóstico honesto é o ponto de partida. O Assenti realiza um diagnóstico automatizado com base nas informações da sua clínica e gera um plano de adequação priorizado. Faça o diagnóstico gratuito em 5 minutos.
Ana Beatriz Cortez
Especialista em Gestão de Clínicas | Transformação Digital
Gestora de clínicas com 10 anos de experiência no setor estético. Especialista em transformação digital e processos administrativos para clínicas de pequeno e médio porte. Autora do blog 'Clínica Moderna' e mentora de mais de 300 proprietários de clínicas em todo o Brasil.
