Política de Privacidade para Clínica de Estética: Modelo Completo 2025
Dra. Camila Ferreira
Advogada | DPO Certificada
Se você pesquisou "política de privacidade para clínica de estética" e encontrou um texto genérico para copiar e colar — cuidado. Esse tipo de documento sem personalização não só é ineficaz do ponto de vista jurídico como pode agravar sua situação em caso de fiscalização.
A ANPD, ao verificar se uma empresa cumpre a LGPD, analisa se a política de privacidade reflete a realidade operacional da empresa. Um texto genérico que menciona "dados de saúde" quando você só faz design de sobrancelhas, ou que omite o uso de WhatsApp para agendamentos, é um indicador de que não há compliance real.
Neste guia, explico o que deve constar na política da sua clínica e ofereço uma estrutura detalhada para você construir a sua.
Política de privacidade x Aviso de privacidade: qual a diferença?
Os termos são usados de forma intercambiável, mas há uma distinção técnica:
- Política de privacidade: documento interno ou externo que descreve as práticas de proteção de dados da organização
- Aviso de privacidade: documento voltado ao titular dos dados (o paciente), escrito em linguagem acessível
Na prática, para clínicas de pequeno e médio porte, um único documento bem escrito cumpre ambas as funções. É isso que vamos construir aqui.
O que é obrigatório pela LGPD
O Art. 9º da LGPD lista as informações que devem ser disponibilizadas ao titular no momento da coleta. São o mínimo que seu documento precisa cobrir:
- Finalidade específica do tratamento
- Forma e duração do tratamento
- Identificação do controlador (sua clínica)
- Informações de contato do controlador
- Informações acerca do uso compartilhado de dados
- Responsabilidades dos agentes envolvidos
- Direitos do titular com menção explícita ao Art. 18
Estrutura completa: seção por seção
1. Identificação do Controlador
Quem é responsável pelos dados? Deixe claro desde o início.
O que incluir:
- Razão social e nome fantasia da clínica
- CNPJ
- Endereço completo
- E-mail de contato para assuntos de privacidade (ex:
privacidade@suaclinica.com.br) - Nome do Responsável LGPD / DPO (se houver)
Exemplo:
"[Nome da Clínica], inscrita no CNPJ sob o nº XX.XXX.XXX/0001-XX, com sede na [Endereço Completo], é a controladora responsável pelo tratamento dos dados pessoais descritos nesta política. Contato para assuntos de privacidade: [e-mail]."
2. Quais dados coletamos e para quê
Esta é a seção mais importante — e a mais frequentemente errada. Liste cada categoria de dado e sua finalidade. Não use termos vagos como "para melhorar nossos serviços".
Estrutura recomendada:
| Dado coletado | Finalidade | Base legal |
|---|---|---|
| Nome, CPF, e-mail, telefone | Cadastro e agendamento | Execução de contrato |
| Histórico de procedimentos | Continuidade do cuidado estético | Tutela da saúde |
| Ficha de anamnese (saúde, alergias) | Segurança na aplicação dos procedimentos | Tutela da saúde |
| Fotos antes/depois | Acompanhamento clínico e, com consentimento, marketing | Tutela da saúde / Consentimento |
| Dados de pagamento | Processamento financeiro | Execução de contrato |
| E-mail para newsletter | Envio de comunicações e promoções | Consentimento |
3. Com quem compartilhamos os dados
Esta seção é obrigatória e frequentemente omitida. Se você usa qualquer sistema externo que acessa dados dos seus pacientes, precisa mencioná-lo.
Exemplos de terceiros comuns em clínicas:
- Sistema de agendamento online (ex: Docway, Ninsaúde, Mind, etc.)
- Plataforma de cobrança e pagamento (Stripe, Cielo, PagSeguro)
- Ferramenta de e-mail marketing (Mailchimp, RD Station)
- Contabilidade (acessa notas fiscais com dados de pacientes)
- Fornecedores de TI com acesso ao servidor ou sistema
O que afirmar: que o compartilhamento ocorre apenas na medida necessária para a prestação do serviço, que os fornecedores operam sob obrigações de confidencialidade e que não há venda de dados a terceiros.
4. Por quanto tempo guardamos os dados
A LGPD exige que os dados sejam mantidos apenas pelo tempo necessário para a finalidade que justificou a coleta (princípio da necessidade).
Prazos recomendados por categoria:
| Categoria | Prazo de retenção | Fundamento |
|---|---|---|
| Prontuários e fichas clínicas | Mínimo 5 anos após o último atendimento | ANVISA / CFM |
| Dados financeiros | 5 anos | Código Tributário Nacional |
| Dados de cadastro de ex-pacientes | 2 anos após o último atendimento | Critério razoável de prescrição |
| Fotos de procedimentos | Enquanto durar o consentimento | Consentimento |
| E-mails de marketing | Até a revogação do consentimento | Consentimento |
5. Direitos dos titulares
Liste todos os direitos garantidos pelo Art. 18 da LGPD e explique como exercê-los:
- Acesso: solicitar cópia de todos os seus dados que a clínica mantém
- Correção: pedir a atualização de dados incompletos ou incorretos
- Eliminação: requerer a exclusão de dados tratados com base em consentimento
- Portabilidade: receber seus dados em formato estruturado para levá-los a outro prestador
- Informação sobre compartilhamento: saber com quem seus dados foram compartilhados
- Revogação do consentimento: cancelar autorizações concedidas previamente
Como exercer: indique o canal (e-mail, formulário no site) e o prazo de resposta (15 dias conforme a lei).
6. Segurança dos dados
Descreva as medidas adotadas — sem precisar ser técnico em excesso.
Exemplos de medidas a mencionar:
- Controle de acesso por perfil de usuário nos sistemas
- Criptografia nos sistemas de armazenamento
- Política de senha forte e autenticação em dois fatores
- Treinamento regular da equipe sobre boas práticas
- Descarte seguro de documentos físicos
7. Cookies e dados de navegação (se tiver site)
Se o site da clínica usa Google Analytics, pixels de redes sociais ou qualquer outra ferramenta de rastreamento, mencione aqui quais cookies são utilizados e para quê.
8. Contato e canal de privacidade
Finalize com o canal dedicado para questões de privacidade:
"Para exercer seus direitos, tirar dúvidas sobre esta política ou registrar uma reclamação, entre em contato pelo e-mail: [privacidade@suaclinica.com.br]. Responderemos em até 15 dias úteis."
Erros mais comuns a evitar
Copiar a política de outra empresa: além de não refletir sua realidade, pode resultar em contradições que agravam sua situação em fiscalização.
Usar linguagem técnica e jurídica: o documento é voltado ao paciente, não ao juiz. Escreva de forma que uma pessoa leiga entenda.
Omitir o WhatsApp e outras ferramentas: se você usa o WhatsApp para comunicação com pacientes — e provavelmente usa — mencione.
Não atualizar: a política precisa ser revisada sempre que suas práticas de tratamento mudarem (novo sistema, nova finalidade, novo parceiro).
Não publicar em lugar visível: de nada adianta ter o documento e escondê-lo. O link deve estar no footer do site, acessível em um clique.
Frequência de revisão
Revisão obrigatória quando:
- Você adotar um novo sistema que acessa dados de pacientes
- Iniciar um novo tipo de tratamento de dados (ex: começar a enviar newsletter)
- Alterar prazos de retenção
- Houver mudança na legislação
Revisão recomendada anualmente, independente de mudanças.
A política de privacidade é muitas vezes o primeiro documento que um fiscal da ANPD analisa. Ter uma bem estruturada — que reflete a realidade da sua clínica — é o sinal mais visível de que você leva a proteção de dados a sério.
O Assenti gera automaticamente uma política de privacidade personalizada para a realidade da sua clínica, com base nas informações que você cadastra na plataforma. Experimente gratuitamente.
Dra. Camila Ferreira
Advogada | DPO Certificada
Advogada especialista em Direito Digital e Proteção de Dados, com LLM pela Universidade de São Paulo. Certificada como DPO pela EXIN e IAPP. Assessorou mais de 60 clínicas de estética e saúde na jornada de adequação à LGPD, sendo referência nacional na aplicação da lei para o setor.
