LGPD para Clínicas de Estética: O Guia Completo 2025
Dra. Camila Ferreira
Advogada | DPO Certificada
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020, mas muitas clínicas de estética ainda operam em zona cinzenta: coletam dados sensíveis dos pacientes sem base legal definida, sem política de privacidade e sem processo para atender solicitações de titulares.
O resultado? Risco de multas de até R$ 50 milhões por infração, além de danos reputacionais que podem inviabilizar o negócio.
Neste guia completo, vou explicar tudo que sua clínica precisa saber — e fazer — para estar em conformidade com a LGPD em 2025.
Por que clínicas de estética são especialmente vulneráveis?
A maioria dos segmentos do mercado lida com dados pessoais comuns: nome, e-mail, telefone. Clínicas de estética vão muito além.
Você provavelmente coleta e trata:
- Dados de saúde — fichas de anamnese, histórico clínico, alergias, doenças pré-existentes
- Fotos antes e depois — imagens corporais e faciais que revelam condições estéticas e de saúde
- Dados biométricos — em alguns casos, sistemas de reconhecimento facial para controle de acesso
- Dados financeiros — informações de pagamento, histórico de compras, planos parcelados
- Dados de menores — quando a clínica atende adolescentes com autorização dos responsáveis
Pela LGPD, dados de saúde e dados biométricos são classificados como dados sensíveis (Art. 11). Isso significa que as exigências legais para tratá-los são significativamente mais rígidas do que para dados comuns.
O que a LGPD exige das clínicas?
1. Base Legal para cada tratamento
Antes de qualquer coisa, você precisa identificar por que está coletando cada dado e qual fundamento legal sustenta esse tratamento.
Para clínicas de estética, as bases legais mais aplicáveis são:
| Situação | Base Legal | Artigo LGPD |
|---|---|---|
| Coleta de dados para execução do procedimento | Execução de contrato | Art. 7º, V |
| Fotos antes/depois para marketing (com autorização) | Consentimento | Art. 7º, I |
| Fichas de anamnese e dados clínicos | Tutela da saúde | Art. 11, II, f |
| Cumprimento de obrigação regulatória (CFM, CRF) | Obrigação legal | Art. 7º, II |
| Envio de promoções e newsletters | Consentimento | Art. 7º, I |
Atenção: o consentimento precisa ser específico, informado e inequívoco. Uma cláusula genérica no fundo da ficha de cadastro não é suficiente.
2. Aviso de Privacidade (Política de Privacidade)
Toda clínica deve ter um Aviso de Privacidade — um documento acessível que explica:
- Quais dados são coletados e por quê
- Com quem os dados são compartilhados (parceiros, sistemas de gestão, plataformas de pagamento)
- Por quanto tempo os dados são mantidos
- Quais os direitos dos titulares e como exercê-los
- Quem é o responsável pelo tratamento (e o DPO, se houver)
Esse documento deve estar no site da clínica, na área de atendimento e ser entregue ao paciente no primeiro atendimento.
3. Direitos dos Titulares — e como atendê-los
Seus pacientes têm direitos garantidos por lei. A ANPD pode receber reclamações e instaurar processos administrativos quando esses direitos são violados.
Os principais direitos são:
Acesso — O paciente pode pedir uma cópia de todos os dados que a clínica tem sobre ele. Você tem até 15 dias para responder.
Correção — Dados desatualizados ou incorretos devem ser corrigidos quando solicitado.
Eliminação — O paciente pode pedir a exclusão dos seus dados, salvo quando há obrigação legal de mantê-los (ex: prontuários).
Portabilidade — O paciente pode solicitar seus dados em formato estruturado para levá-los a outro prestador.
Revogação do consentimento — Quando o tratamento se baseia em consentimento, o titular pode revogá-lo a qualquer momento.
Para atender essas solicitações, sua clínica precisa de um canal de contato dedicado — pode ser um e-mail específico, um formulário no site ou um botão na recepção.
4. Segurança e Controle de Acesso
A LGPD exige medidas técnicas e administrativas para proteger os dados. Para clínicas, isso significa:
- Acesso restrito — apenas funcionários que precisam dos dados para exercer sua função devem ter acesso
- Senhas e criptografia — sistemas de gestão com autenticação segura
- Descarte seguro — fichas em papel devem ser destruídas de forma segura (fragmentadora)
- Controle de terceiros — softwares e sistemas que processam dados dos seus pacientes devem ter contrato (DPA — Data Processing Agreement)
5. Registro de Atividades (ROPA)
O Registro das Operações de Processamento de Atividades (ROPA) é o mapa de todos os dados que sua clínica trata. É exigido para controladores que realizam tratamento de dados em larga escala ou que tratam dados sensíveis.
A maioria das clínicas se enquadra nessa exigência por tratar dados de saúde.
O ROPA deve conter, para cada atividade de tratamento:
- Finalidade
- Base legal
- Categorias de dados e titulares
- Prazo de retenção
- Medidas de segurança aplicadas
- Transferências internacionais (se houver)
Calendário ANPD 2025: o que está em vigor
A Autoridade Nacional de Proteção de Dados (ANPD) está em plena atividade fiscalizatória. Em 2024, foram aplicadas as primeiras sanções administrativas, e 2025 marca a intensificação das ações.
Cronograma de fiscalização prioritário da ANPD:
- Saúde e estética estão na lista prioritária de setores fiscalizados
- Clínicas com mais de 10 funcionários ou que tratam dados de mais de 500 pacientes estão no radar
- O processo de fiscalização pode ser iniciado por denúncia de pacientes insatisfeitos
Checklist de adequação rápida
Use essa lista para avaliar onde sua clínica está hoje:
Documentação:
- Aviso de privacidade publicado no site e na recepção
- Termo de consentimento específico para uso de fotos e dados sensíveis
- Política de retenção e descarte de dados definida
- Contrato de DPA com fornecedores de software (sistema de agendamento, CRM, etc.)
Processos:
- Canal dedicado para solicitações de titulares (DSR)
- Procedimento documentado para responder solicitações em 15 dias
- Plano de resposta a incidentes de segurança
Segurança:
- Controle de acesso por função (quem vê o quê)
- Senhas fortes e autenticação em sistemas de gestão
- Descarte seguro de documentos físicos
Governança:
- Mapeamento de dados (ROPA) concluído
- Responsável LGPD designado (DPO ou encarregado interno)
- Equipe treinada sobre LGPD e boas práticas de privacidade
Como o Assenti pode ajudar
A adequação LGPD parece complexa — e de fato exige atenção a vários pontos. Mas não precisa ser feita do zero, manualmente, com planilhas e documentos Word.
O Assenti foi desenvolvido especificamente para clínicas de estética e automatiza toda a jornada de conformidade:
- Diagnóstico automático — avalie sua situação atual em minutos
- ROPA integrado — mapeie seus dados com templates prontos para o setor
- Documentos jurídicos — política de privacidade, termos de consentimento e avisos gerados automaticamente
- Central DSR — receba e responda solicitações de titulares dentro do prazo legal
- Treinamentos — capacite sua equipe com módulos curtos e certificados
Sua clínica pode estar em conformidade com a LGPD em menos de uma semana. Sem advogado caro, sem planilhas complexas.
Dúvidas? Entre em contato com nossa equipe pelo canal de suporte — atendimento em português, sem jargão jurídico.
Dra. Camila Ferreira
Advogada | DPO Certificada
Advogada especialista em Direito Digital e Proteção de Dados, com LLM pela Universidade de São Paulo. Certificada como DPO pela EXIN e IAPP. Assessorou mais de 60 clínicas de estética e saúde na jornada de adequação à LGPD, sendo referência nacional na aplicação da lei para o setor.
