Prontuário Eletrônico na Clínica de Estética: Obrigações, Benefícios e LGPD

O prontuário é a memória clínica do paciente. Nele ficam registrados todos os procedimentos realizados, as fichas de anamnese, as reações observadas, as evolução dos tratamentos, as fotos de acompanhamento. É o documento mais completo — e mais sensível — que uma clínica de estética produz.

Por anos, esse documento viveu em papel, em pastas organizadas por ordem alfabética ou data. Hoje, com sistemas de gestão para clínicas cada vez mais acessíveis, o prontuário eletrônico é uma realidade para clínicas de todos os tamanhos.

E com o prontuário eletrônico vêm responsabilidades específicas de proteção de dados que a LGPD e as normas do setor exigem.

O que a legislação exige sobre prontuários

ANVISA e normas setoriais

A ANVISA, por meio da RDC 36/2013 e outras normas, estabelece que estabelecimentos de saúde (incluindo clínicas de estética com serviços que envolvam procedimentos com risco à saúde) devem manter prontuários dos pacientes por no mínimo 5 anos após o último atendimento.

Para procedimentos específicos que envolvam substâncias injetáveis, laser ou outros com maior risco, pode haver exigências adicionais de documentação.

CFM (para clínicas com médicos)

Quando há um médico envolvido nos procedimentos (aplicação de toxina botulínica, preenchimentos, procedimentos a laser de maior potência), o Conselho Federal de Medicina exige o prontuário médico com prazo mínimo de 20 anos — muito superior ao prazo da ANVISA.

LGPD

A LGPD não define prazo mínimo de prontuário, mas estabelece que os dados devem ser mantidos apenas pelo tempo necessário para a finalidade (princípio da necessidade) ou pelo prazo definido por legislação específica. Para prontuários, o prazo da ANVISA/CFM é o parâmetro.

O que a LGPD adiciona é a exigência de segurança no armazenamento e controle de acesso adequado.

Prontuário em papel vs. eletrônico: o que a LGPD prefere

A LGPD não exige prontuário eletrônico. Papel é legal. Mas o prontuário eletrônico é qualitativamente superior em conformidade:

Critério de conformidade LGPD	Papel	Eletrônico
Controle de acesso por perfil	Difícil	Sim
Trilha de auditoria (quem acessou)	Impossível	Sim
Criptografia dos dados	Impossível	Possível
Backup seguro	Trabalhoso	Automático
Portabilidade (enviar dados ao paciente)	Manual	Automático
Eliminação ao fim do prazo	Manual	Automático
Rastreabilidade de alterações	Impossível	Sim

O prontuário eletrônico não apenas facilita — ele demonstra que a clínica adota medidas de segurança adequadas.

O que um bom sistema de prontuário eletrônico precisa ter

Controle de acesso por perfil

O sistema precisa permitir que você configure quem vê o quê:

• Recepcionista: dados de cadastro, histórico de agendamentos, dados de contato
• Esteticista: ficha de anamnese, histórico de procedimentos, fotos clínicas
• Gerente: acesso completo + relatórios
• Médico parceiro: apenas prontuários dos seus próprios atendimentos

Sem controle de acesso, qualquer funcionário vê todos os dados de todos os pacientes — violação direta do princípio da necessidade.

Trilha de auditoria

Registro de quem acessou cada prontuário, quando e o que visualizou. Em caso de suspeita de acesso indevido ou vazamento, a trilha de auditoria é a principal ferramenta de investigação.

Criptografia dos dados em repouso e em trânsito

Os dados armazenados no banco de dados e os dados em trânsito (quando acessados pelo app ou browser) precisam ser criptografados. Pergunte ao fornecedor: "Os dados são criptografados em repouso (AES-256 ou equivalente) e em trânsito (TLS 1.2+)?"

Backup automático e recuperação

Prontuário é documento legal obrigatório. Perda de prontuário por falha técnica não elimina a obrigação de tê-lo. O sistema deve ter:

• Backup automático diário
• Armazenamento do backup em localização diferente do servidor principal
• Processo testado de recuperação

Exportação e portabilidade

O paciente tem direito à portabilidade dos seus dados (Art. 18, V da LGPD). O sistema precisa permitir que você exporte os dados de um paciente específico em formato legível (PDF, CSV) para atender essa solicitação.

Assinatura e autenticação de documentos

Para termos de consentimento, fichas de anamnese e autorizações, o sistema deve ter mecanismo de assinatura digital ou, no mínimo, registro auditável de que o documento foi apresentado e aceito.

Como migrar do papel para o eletrônico com segurança

Etapa 1: Escolha o sistema com due diligence de privacidade

Antes de contratar, use o checklist do nosso artigo sobre software de gestão e LGPD. Os itens críticos: DPA disponível, criptografia confirmada, servidores no Brasil.

Etapa 2: Defina o que migrar e o que arquivar

Nem tudo precisa ser digitalizado. Prontuários de pacientes que não retornam há mais de 2 anos podem ser mantidos em arquivo físico seguro até o fim do prazo legal, sem necessidade de digitalização.

Para pacientes ativos, a digitalização progressiva (no próximo atendimento, o paciente confirma e atualiza os dados) é mais eficiente do que uma grande migração massiva.

Etapa 3: Determine o destino dos papéis digitalizados

Após digitalização, os documentos físicos que foram digitalizados com fidelidade podem ser descartados de forma segura (fragmentadora). Mas verifique com um advogado se para o seu tipo de procedimento algum documento original precisa ser mantido fisicamente.

Etapa 4: Treine a equipe

Migrar para prontuário eletrônico muda fluxos de trabalho. A equipe precisa ser treinada não apenas no uso do sistema, mas nas práticas corretas de:

• Qual informação entra em qual campo
• Como registrar consentimentos digitalmente
• Como atender um pedido de portabilidade

---

O prontuário eletrônico é a espinha dorsal do compliance LGPD em clínicas de estética. Com o sistema certo, você cumpre a lei, protege seus pacientes e tem tudo documentado para qualquer fiscalização.

O Assenti é construído em torno do prontuário eletrônico seguro — com controle de acesso, trilha de auditoria, criptografia e assinatura digital integrada. Experimente grátis por 14 dias.