Assenti
FuncionalidadesPreçosBlogFAQ
EntrarComeçar grátis
BlogMultas da LGPD: O que sua Clínica de Estética Arrisca e Como Evitar
lgpd

Multas da LGPD: O que sua Clínica de Estética Arrisca e Como Evitar

Dra. Camila Ferreira

Dra. Camila Ferreira

Advogada | DPO Certificada

01 de maio de 2025
8 min de leitura
Multas da LGPD: O que sua Clínica de Estética Arrisca e Como Evitar

Índice do artigo

As sanções previstas na LGPD1. Advertência2. Multa simples3. Multa diária4. Publicização da infração5. Bloqueio e eliminação de dados6. Suspensão parcial ou total das atividadesAs infrações mais comuns em clínicas de estética1. Uso de fotos sem consentimento para marketing2. Compartilhamento de dados via WhatsApp3. Ausência de política de privacidade4. Dados de pacientes em planilhas sem controle de acesso5. Retenção indefinida de dados de ex-pacientes6. Não atender solicitações de titularesO que a ANPD leva em consideração na graduação da penaAlém das multas: o dano reputacionalComo se proteger: as 5 prioridades imediatasConclusão: o custo de não fazer nada é maior

"A LGPD não tem dente." Por anos, essa foi a narrativa dominante no mercado. A lei estava em vigor, mas a ANPD (Autoridade Nacional de Proteção de Dados) ainda não tinha capacidade plena para fiscalizar e sancionar.

Esse cenário mudou.

Em 2023, a ANPD aplicou sua primeira sanção administrativa. Em 2024, o ritmo aumentou. Em 2025, o setor de saúde e estética está na lista de prioridades de fiscalização. O dente cresceu — e está afiado.

Neste artigo, explico as sanções previstas na LGPD, os casos mais comuns em clínicas de estética e as medidas concretas para proteger o seu negócio.

As sanções previstas na LGPD

O Art. 52 da LGPD lista as penalidades que a ANPD pode aplicar. Elas são graduadas conforme a gravidade da infração:

1. Advertência

A penalidade mais leve — é uma notificação formal exigindo adequação em prazo determinado. Não tem valor financeiro, mas fica no histórico da empresa e pode agravar penalidades futuras se o problema não for corrigido.

2. Multa simples

Até 2% do faturamento da empresa no último exercício fiscal, limitado a R$ 50 milhões por infração.

Para uma clínica com faturamento de R$ 600 mil anuais, isso representa até R$ 12 mil por infração. E infrações são contadas individualmente — usar dados de 300 pacientes sem base legal pode resultar em 300 infrações.

3. Multa diária

A ANPD pode determinar multa por dia de descumprimento de uma obrigação, também limitada a R$ 50 milhões. Essa modalidade é usada quando a empresa é notificada e não toma providências.

4. Publicização da infração

A ANPD pode divulgar publicamente que a empresa cometeu uma infração, após apuração. Para clínicas, onde a reputação é tudo, esse pode ser o dano mais grave — maior até que a multa financeira.

5. Bloqueio e eliminação de dados

A ANPD pode determinar a suspensão do uso dos dados tratados irregularmente ou sua exclusão compulsória. Em casos extremos, isso pode inviabilizar operações da clínica.

6. Suspensão parcial ou total das atividades

A penalidade mais severa — suspender por até 6 meses as atividades de tratamento de dados, ou proibir definitivamente. Aplicável em casos de reincidência ou infração gravíssima.

As infrações mais comuns em clínicas de estética

Trabalhando com clínicas nos últimos anos, identifico padrões recorrentes. Essas são as situações que mais expõem as clínicas a risco:

1. Uso de fotos sem consentimento para marketing

Situação típica: a profissional tira fotos do antes e depois, posta no Instagram sem autorizar formalmente com o paciente.

Por que é infração: fotos que revelam condições estéticas são dados sensíveis (imagem corporal). Usar para fins comerciais sem consentimento específico e inequívoco viola o Art. 11 da LGPD.

Agravante: o paciente pode fazer uma denúncia à ANPD e pedir indenização por danos morais na justiça comum — simultaneamente.

O que fazer: obtenha consentimento por escrito, específico para cada finalidade (Instagram, portfólio, site, etc.). Mantenha o registro do consentimento arquivado.

2. Compartilhamento de dados via WhatsApp

Situação típica: fichas de anamnese, fotos e histórico de pacientes são compartilhados em grupos de WhatsApp entre profissionais da clínica, ou enviados para profissionais que prestam serviço eventualmente.

Por que é infração: WhatsApp não oferece nível de segurança adequado para dados de saúde. Além disso, quando você compartilha com profissionais externos, está transferindo dados a terceiros sem contrato de processamento (DPA).

O que fazer: proibir o compartilhamento de dados de pacientes via WhatsApp. Usar sistemas de gestão com controle de acesso adequado. Firmar contrato com prestadores externos que acessam dados dos seus pacientes.

3. Ausência de política de privacidade

Situação típica: a clínica não tem aviso de privacidade publicado, ou tem um documento genérico copiado da internet que não reflete a realidade da operação.

Por que é infração: a LGPD exige transparência ativa — o titular precisa ser informado sobre o tratamento de seus dados antes da coleta (Arts. 8º e 9º).

O que fazer: criar um aviso de privacidade próprio, em linguagem acessível, publicado no site e disponível na recepção. Revisar anualmente ou sempre que mudar práticas de tratamento.

4. Dados de pacientes em planilhas sem controle de acesso

Situação típica: toda a equipe tem acesso à planilha de cadastro de pacientes, incluindo funcionários que não precisam desse acesso para exercer sua função (ex.: profissional de limpeza, estagiários).

Por que é infração: a LGPD exige o princípio da necessidade (Art. 6º, III) — só coletar e dar acesso ao que for estritamente necessário. Acesso irrestrito aos dados viola esse princípio.

O que fazer: implementar controle de acesso por função. Usar sistemas de gestão com diferentes perfis de acesso. Auditar periodicamente quem tem acesso a quais dados.

5. Retenção indefinida de dados de ex-pacientes

Situação típica: a clínica guarda dados de pacientes que não retornam há anos, sem critério definido de descarte.

Por que é infração: o princípio da limitação do armazenamento (Art. 6º, V) determina que os dados sejam mantidos apenas pelo tempo necessário para a finalidade que justificou a coleta.

O que fazer: definir política de retenção por categoria de dado. Dados de ex-pacientes sem retorno em mais de 2 anos devem ser revisados. Prontuários têm prazo mínimo definido por normas do setor (geralmente 5 anos).

6. Não atender solicitações de titulares

Situação típica: um ex-paciente envia e-mail pedindo que seus dados sejam excluídos. A clínica ignora, não responde dentro do prazo ou nega sem justificativa legal.

Por que é infração: a LGPD garante o direito de eliminação de dados (Art. 18, VI). Ignorar ou recusar sem fundamento legal é infração direta.

O que fazer: criar processo formal para receber e responder solicitações em até 15 dias. Documentar todas as solicitações e respostas. Treinar a equipe para identificar e escalar esses pedidos.

O que a ANPD leva em consideração na graduação da pena

Não é automático: toda vez que a ANPD instaura um processo, ela avalia fatores que podem agravar ou atenuar a penalidade:

Fatores que atenuam:

  • Adoção voluntária de medidas corretivas antes ou durante o processo
  • Comprovação de boa-fé (ex: tentou se adequar mas cometeu erros)
  • Ausência de reincidência
  • Cooperação com a ANPD
  • Programa de governança em privacidade implementado

Fatores que agravam:

  • Reincidência
  • Violação de dados sensíveis (saúde, biometria, menores de idade)
  • Alto número de titulares afetados
  • Benefício econômico obtido com a infração
  • Negligência ou dolo comprovado

Isso significa que ter um programa de compliance, mesmo imperfeito, faz diferença. Clínicas que demonstram esforço real de adequação são tratadas de forma diferente daquelas que nunca consideraram o tema.

Além das multas: o dano reputacional

A LGPD criou também a responsabilidade civil para reparação de danos (Art. 42). Isso significa que, independentemente das sanções da ANPD, pacientes podem processar sua clínica na justiça por danos materiais e morais decorrentes de violações à privacidade.

Exemplos de situações que levaram a ações judiciais:

  • Foto de paciente publicada sem consentimento
  • Vazamento de dados de saúde para terceiros
  • Dados de menor de idade tratados sem autorização dos pais

O dano reputacional é o componente mais difícil de quantificar — mas em um mercado onde indicação e confiança são tudo, uma crise de privacidade pode ser devastadora.

Como se proteger: as 5 prioridades imediatas

Se você está começando agora, concentre-se nestas ações de maior impacto:

  1. Crie um aviso de privacidade real e publique no site e na recepção — é o sinal externo mais visível de conformidade

  2. Institua controle de acesso aos dados dos pacientes — quem precisa ver, vê; quem não precisa, não vê

  3. Pare de compartilhar dados via WhatsApp — crie política interna clara e use sistemas adequados

  4. Crie um canal para solicitações de titulares — um e-mail dedicado com processo de resposta em 15 dias já é suficiente para começar

  5. Obtenha consentimento explícito antes de usar fotos — especialmente para redes sociais

Conclusão: o custo de não fazer nada é maior

A pergunta que ouço mais é: "Mas a probabilidade de me fiscalizarem é baixa, não é?"

Talvez. Mas o risco não vem só da ANPD. Vem de:

  • Um paciente insatisfeito que faz uma denúncia (qualquer pessoa pode acionar a ANPD)
  • Um processo judicial por danos à privacidade
  • Um concorrente que usa sua falta de adequação como diferencial negativo
  • Uma crise de imagem nas redes sociais

O custo de uma adequação básica é muito menor do que o custo de qualquer um desses cenários.

O Assenti foi criado para tornar esse processo acessível para clínicas de todos os tamanhos — sem necessidade de contratar um escritório de advocacia ou um consultor caro. Comece com o diagnóstico gratuito e veja em minutos onde sua clínica está.

Este artigo tem caráter informativo e não substitui assessoria jurídica especializada. Para situações específicas, consulte um advogado especialista em proteção de dados.

multas lgpdanpdsanções lgpdclínicas de estéticafiscalização lgpd
Dra. Camila Ferreira

Dra. Camila Ferreira

Advogada | DPO Certificada

Advogada especialista em Direito Digital e Proteção de Dados, com LLM pela Universidade de São Paulo. Certificada como DPO pela EXIN e IAPP. Assessorou mais de 60 clínicas de estética e saúde na jornada de adequação à LGPD, sendo referência nacional na aplicação da lei para o setor.

OAB/SPDPO EXIN CertifiedLLM – USP

Artigos relacionados

LGPD em 2026: O Que Mudou e o Que a ANPD Está Fiscalizando Agora

LGPD em 2026: O Que Mudou e o Que a ANPD Está Fiscalizando Agora

5 min

Consentimento Digital na Clínica: Assinatura Eletrônica e LGPD

Consentimento Digital na Clínica: Assinatura Eletrônica e LGPD

5 min

E-mail Marketing e WhatsApp para Clínicas: Como Fazer Campanhas Dentro da LGPD

E-mail Marketing e WhatsApp para Clínicas: Como Fazer Campanhas Dentro da LGPD

6 min

Índice do artigo

As sanções previstas na LGPD1. Advertência2. Multa simples3. Multa diária4. Publicização da infração5. Bloqueio e eliminação de dados6. Suspensão parcial ou total das atividadesAs infrações mais comuns em clínicas de estética1. Uso de fotos sem consentimento para marketing2. Compartilhamento de dados via WhatsApp3. Ausência de política de privacidade4. Dados de pacientes em planilhas sem controle de acesso5. Retenção indefinida de dados de ex-pacientes6. Não atender solicitações de titularesO que a ANPD leva em consideração na graduação da penaAlém das multas: o dano reputacionalComo se proteger: as 5 prioridades imediatasConclusão: o custo de não fazer nada é maior

Sua clínica protegida.
Comece agora.

Cada dia sem conformidade é um dia de risco desnecessário. O diagnóstico é gratuito e leva 30 minutos. Não tem desculpa.

Fazer diagnóstico grátisVer planos

14 dias grátis · Cancele quando quiser · Suporte humano em português

Assenti© 2026
SobreTermosPrivacidadeContato