DPO Obrigatório: Quando Sua Clínica de Estética Precisa de um Encarregado de Dados
Dra. Camila Ferreira
Advogada | DPO Certificada
DPO. Encarregado de dados. Responsável pela privacidade. Você já ouviu esses termos em algum treinamento ou consultoria de LGPD. Mas o que significa na prática para uma clínica de estética?
Vamos desmistificar o tema — porque há muita confusão (e, pior, muita informação errada circulando no mercado).
O que é o DPO?
DPO é a sigla em inglês para Data Protection Officer — em português, Encarregado pelo Tratamento de Dados Pessoais (Art. 41 da LGPD).
É a pessoa designada pelo controlador (sua clínica) para:
- Ser o canal de comunicação entre a clínica, os titulares (seus pacientes) e a ANPD
- Orientar os funcionários sobre práticas de proteção de dados
- Receber e processar solicitações de titulares (acesso, correção, exclusão)
- Reportar incidentes de segurança quando necessário
O DPO não é necessariamente um advogado. Pode ser qualquer pessoa com conhecimento adequado sobre a LGPD — um funcionário interno, um consultor externo ou um serviço especializado.
Quando o DPO é obrigatório?
A LGPD (Art. 41) exige a indicação de um encarregado, mas a ANPD publicou regulamentações que estabelecem regras diferenciadas para pequenos agentes de tratamento.
Para clínicas de pequeno porte
A Resolução CD/ANPD nº 2/2022 define critérios para microempresas e empresas de pequeno porte (MEI, ME e EPP) que se enquadram como "agentes de tratamento de pequeno porte":
Se sua clínica se enquadra como agente de pequeno porte:
- A indicação de DPO é facultativa (não obrigatória)
- Mas é fortemente recomendada — especialmente porque você trata dados de saúde
- Você ainda precisa ter um canal de comunicação para receber solicitações de titulares
Se sua clínica trata dados de saúde em larga escala ou tem mais de um estabelecimento:
- A indicação de DPO pode se tornar obrigatória mesmo sendo de pequeno porte
- A ANPD usa o critério de "tratamento em larga escala" como gatilho para a obrigatoriedade
Como saber se precisa mesmo?
Responda a estas perguntas:
- Sua clínica é MEI, ME ou EPP? (Faturamento anual até R$ 4,8 milhões) → Você é um agente de pequeno porte
- Você trata dados de saúde de muitos pacientes? → Analise o volume
- Você tem mais de 2 estabelecimentos ou atende múltiplas cidades? → Considere o DPO obrigatório
- Você usa sistemas de terceiros que acessam dados de saúde? → Considere o DPO recomendado
Regra prática: mesmo que não seja estritamente obrigatório, qualquer clínica que trate dados de saúde regularmente deveria ter alguém designado para essa função.
O que acontece se não tiver DPO (ou canal de comunicação)?
Não ter um canal de comunicação para titulares é infração direta à LGPD — mesmo para pequenos agentes. Se um paciente pedir para acessar seus dados e não encontrar canal para isso, você já está em descumprimento.
Em caso de fiscalização ou reclamação, a ANPD verifica:
- Se há canal de comunicação publicado (site, recepção)
- Se as solicitações de titulares são respondidas em até 15 dias
- Se há uma pessoa responsável por essas respostas
Não ter isso pode resultar em advertência e obrigação de adequação imediata.
Quem pode ser o DPO da minha clínica?
Opção 1: DPO interno (funcionário)
Você designa alguém da equipe — a secretária, a gerente, ou você mesma — para acumular a função de DPO.
Vantagens: custo zero, conhecimento da realidade da clínica Desvantagens: precisa de treinamento, pode não ter conhecimento jurídico adequado, acúmulo de funções
O que essa pessoa precisa saber:
- Como responder solicitações de titulares
- O que é dado pessoal e dado sensível
- Como registrar e reportar incidentes
- Quais dados a clínica coleta e para quê
Opção 2: DPO externo (consultor ou escritório)
Você contrata um profissional ou empresa especializada para exercer a função externamente.
Vantagens: expertise jurídica, sem custo de treinamento, atualização constante Desvantagens: custo mensal, menor conhecimento da operação diária
Custo estimado: entre R$ 500 e R$ 2.000/mês para clínicas de pequeno porte, dependendo do escopo.
Opção 3: DPO como serviço (DPOaaS)
Plataformas especializadas oferecem o serviço de DPO de forma estruturada, com sistemas para gestão de solicitações, modelos de documentos e suporte.
Melhor para: clínicas que querem conformidade documentada sem contratar um profissional dedicado.
Como publicar a indicação do DPO
A LGPD exige que o encarregado seja publicamente indicado — geralmente na Política de Privacidade da clínica.
O que divulgar:
- Nome ou cargo do encarregado (pode ser o nome da empresa se for DPO externo)
- Formas de contato: e-mail específico (ex:
privacidade@suaclinica.com.br) e/ou formulário - Prazo de resposta (15 dias úteis conforme a lei)
Onde publicar:
- Site da clínica (na Política de Privacidade e no footer)
- Recepção da clínica (aviso visível para os pacientes)
- Nas fichas de atendimento
O DPO tem responsabilidade pessoal?
Essa é uma dúvida comum e importante. O Art. 42 da LGPD estabelece que o DPO não responde pessoalmente pelas infrações cometidas pela clínica, desde que:
- Tenha agido dentro das suas atribuições
- Não tenha participado ou contribuído para a infração
- Não tenha omitido informações relevantes
A responsabilidade final é sempre do controlador (a clínica). O DPO é um facilitador, não um escudo jurídico.
Resumo prático: o que você deve fazer agora
| Porte | Obrigação mínima |
|---|---|
| MEI / ME / EPP (autônoma ou pequena clínica) | Canal de comunicação + pessoa designada para responder solicitações |
| Clínica média com dados de saúde em volume | DPO indicado + política de privacidade publicada |
| Clínica com múltiplos estabelecimentos | DPO formal (interno ou externo) + programa de governança |
Independente do porte: você precisa de um canal de comunicação e de alguém que responda solicitações em até 15 dias. Isso é o mínimo irredutível.
O Assenti inclui um canal de privacidade integrado e um sistema de gestão de solicitações de titulares — sem precisar contratar um DPO externo para clínicas de pequeno porte. Saiba mais.
Este artigo tem caráter informativo e não substitui assessoria jurídica especializada. Para análise da sua situação específica, consulte um advogado especialista em proteção de dados.
Dra. Camila Ferreira
Advogada | DPO Certificada
Advogada especialista em Direito Digital e Proteção de Dados, com LLM pela Universidade de São Paulo. Certificada como DPO pela EXIN e IAPP. Assessorou mais de 60 clínicas de estética e saúde na jornada de adequação à LGPD, sendo referência nacional na aplicação da lei para o setor.
