Freelancers e Parceiros na Clínica de Estética: Como Compartilhar Dados sem Violar a LGPD
Dr. Rafael Nunes
Consultor de Compliance | Especialista em Saúde e Estética
A maioria das clínicas de estética não funciona só com funcionários CLT. Há a manicure que atende três vezes por semana, a maquiadora que faz atendimentos eventuais, o médico parceiro que assina laudos de alguns procedimentos, a fotógrafa que documenta resultados, o técnico de TI que cuida do sistema.
Cada um desses profissionais, ao exercer sua função na clínica, tem contato com dados pessoais dos seus pacientes. E pela LGPD, quando você compartilha dados com terceiros sem contrato adequado, você está cometendo uma infração — independente de quanto o profissional é confiável ou de quanto tempo vocês trabalham juntos.
Por que isso é um problema jurídico
A LGPD (Art. 39) exige que o controlador — sua clínica — garanta que todos os operadores que tratam dados sob sua instrução estejam vinculados por obrigações de confidencialidade e proteção de dados. Isso é feito através do Contrato de Processamento de Dados (DPA).
Sem DPA:
- Você não tem como controlar o que o terceiro faz com os dados dos seus pacientes
- Se o terceiro vazar, perder ou usar indevidamente os dados, você responde junto
- Em fiscalização, a ausência de DPA com operadores é autuada diretamente
Mapeando quem acessa dados na sua clínica
Antes de qualquer ação, faça um levantamento: quem, fora da sua equipe CLT, tem contato com dados de pacientes?
Profissionais que atendem na sua estrutura:
- Esteticistas autônomos/freelancers que usam seu espaço
- Médicos parceiros (para procedimentos que exigem supervisão médica)
- Nutricionistas, fisioterapeutas ou outros que complementam o serviço
Prestadores de serviço com acesso a sistemas:
- Técnico ou empresa de TI (acessa o servidor ou sistema de gestão)
- Contador ou escritório de contabilidade (acessa NF com dados de clientes)
- Desenvolvedor de site ou app (pode ter acesso a formulários com dados)
Prestadores de serviço com acesso físico:
- Fotógrafo contratado para documentar procedimentos
- Profissional de marketing que gerencia redes sociais da clínica
- Empresa de limpeza que acessa áreas com documentos físicos
O Contrato de Processamento de Dados (DPA): o que é e o que precisa ter
O DPA não precisa ser um documento jurídico complexo de 20 páginas. Para freelancers e pequenos prestadores, pode ser uma cláusula adicionada ao contrato de prestação de serviços já existente.
O que o DPA precisa conter:
- Identificação do controlador e do operador (sua clínica e o prestador)
- Quais dados são compartilhados e para quais finalidades
- Obrigação de confidencialidade — o prestador não pode usar os dados para fins próprios
- Medidas de segurança que o prestador deve adotar
- Proibição de subcontratação sem autorização prévia (o freelancer não pode passar os dados para outra pessoa)
- O que fazer em caso de incidente — obrigação de notificar a clínica
- Eliminação dos dados após o término do contrato ou do projeto
- Prazo e condições de término
Modelos de cláusula para diferentes situações
Para freelancer que atende na clínica
"O(a) PRESTADOR(A), no exercício de suas atividades nas dependências da CONTRATANTE, poderá ter acesso a dados pessoais de pacientes da clínica. O(a) PRESTADOR(A) se compromete a: (i) tratar tais dados apenas na medida necessária para a prestação dos serviços contratados; (ii) manter sigilo absoluto sobre os dados acessados; (iii) não compartilhar dados com terceiros sem autorização prévia e por escrito da CONTRATANTE; (iv) adotar medidas de segurança razoáveis para proteção dos dados; (v) notificar imediatamente a CONTRATANTE em caso de qualquer incidente de segurança envolvendo dados de pacientes."
Para empresa de TI com acesso ao sistema
"A PRESTADORA reconhece que, em razão da prestação de serviços de suporte técnico, poderá acessar sistemas que contêm dados pessoais e dados de saúde de pacientes da CONTRATANTE. A PRESTADORA obriga-se a: (i) acessar os sistemas apenas quando necessário para a prestação dos serviços; (ii) utilizar os dados exclusivamente para fins de suporte técnico; (iii) não acessar ou copiar dados além do estritamente necessário; (iv) implementar autenticação segura em acessos remotos; (v) eliminar quaisquer dados de pacientes dos seus próprios sistemas ao término do contrato."
Para profissional de marketing com acesso a redes sociais
"O(a) PRESTADOR(A) de serviços de marketing terá acesso às redes sociais da CONTRATANTE e poderá eventualmente ter acesso a imagens de pacientes previamente autorizadas. O(a) PRESTADOR(A) compromete-se a: (i) utilizar apenas imagens e dados de pacientes para os quais existe autorização documentada de uso; (ii) não publicar conteúdo que identifique pacientes sem verificação prévia da autorização; (iii) não salvar ou utilizar imagens de pacientes em equipamentos ou plataformas pessoais; (iv) devolver ou eliminar todo conteúdo de pacientes ao término do contrato."
Situações especiais que exigem atenção extra
Médicos parceiros e laudos
Quando um médico assina laudos ou prescrições com base em informações dos seus pacientes, ele se torna co-controlador de parte desses dados — não apenas operador. A relação jurídica é mais complexa e pode exigir um acordo de co-controladores além do DPA simples.
Plataformas de marketplaces de beleza (iFood, Booksy, etc.)
Quando você cadastra sua clínica em plataformas de agendamento marketplace, há um fluxo de dados dos pacientes que passam por essas plataformas. Verifique os termos de serviço e a política de privacidade dessas plataformas — especialmente se elas permitem uso dos dados dos seus pacientes para fins próprios delas.
Escolas e estágios
Estagiários que acessam dados de pacientes são uma situação frequente e pouco regulamentada. O estudante, durante o estágio, é um operador de dados — o mesmo contrato de estágio deve conter cláusulas de confidencialidade.
Controlar quem acessa dados dos seus pacientes é uma responsabilidade que não pode ser terceirizada informalmente. Com contratos adequados, você trabalha com parceiros confiáveis e ainda mantém sua conformidade legal.
O Assenti disponibiliza modelos de DPA e cláusulas de privacidade para diferentes tipos de prestadores, adaptados para clínicas de estética. Acesse os modelos.
Este artigo tem caráter informativo e não substitui assessoria jurídica especializada.
Dr. Rafael Nunes
Consultor de Compliance | Especialista em Saúde e Estética
Consultor de compliance com 12 anos de experiência no setor de saúde e estética. Criador do método 'Clínica Conforme', utilizado por mais de 200 estabelecimentos para implementar programas de conformidade com a LGPD de forma ágil e acessível. Palestrante nos principais congressos de estética do Brasil.
