Software de Gestão de Clínica e LGPD: O Que Verificar Antes de Contratar
Dr. Rafael Nunes
Consultor de Compliance | Especialista em Saúde e Estética
Você contratou um sistema de gestão para a sua clínica. Nele, você cadastra seus pacientes, armazena fichas de anamnese, agenda procedimentos, registra pagamentos. Em alguns sistemas, guarda prontuários completos, fotos de antes e depois, histórico clínico detalhado.
Esse sistema acessa e processa dados pessoais e de saúde dos seus pacientes. Pela LGPD, ele é seu operador de dados — e você, a clínica, é a controladora responsável.
O que muitas clínicas não sabem: quando o sistema tem uma brecha de segurança, ou usa os dados dos pacientes para fins não autorizados, a clínica responde junto — mesmo que a falha tenha sido exclusivamente do fornecedor.
Controlador vs. Operador: entenda a diferença
| Controlador (sua clínica) | Operador (o sistema) | |
|---|---|---|
| Quem é | Você — toma decisões sobre quais dados coletar e para quê | O sistema de gestão — processa os dados por sua instrução |
| Responsabilidade | Principal — responde perante a ANPD e os titulares | Secundária — responde conforme o contrato com o controlador |
| Obrigação | Contratar operadores confiáveis e firmar DPA | Processar dados apenas conforme instruções do controlador |
A responsabilidade do controlador não desaparece quando você contrata um operador. Você pode transferir a operação técnica — não a responsabilidade legal.
O que exigir de qualquer sistema de gestão
1. Contrato de Processamento de Dados (DPA)
Este é o documento mais importante. O DPA (Data Processing Agreement) é o contrato que define como o operador pode tratar os dados dos seus pacientes.
Um DPA adequado deve conter:
- Quais dados são tratados e para quais finalidades
- Que o operador só processa dados conforme instruções do controlador
- Medidas de segurança implementadas
- Como são tratados os subprocessadores (outros fornecedores que o sistema usa)
- Procedimento em caso de incidente de segurança
- Como ocorre a devolução ou eliminação dos dados ao fim do contrato
- Prazo de retenção dos dados
Se o fornecedor não tem DPA ou se recusa a assinar um, descarte-o. Contratar um operador sem DPA é infração direta à LGPD.
2. Política de Privacidade atualizada
O sistema deve ter uma Política de Privacidade pública, atualizada e que aborde:
- O tratamento de dados de clientes dos seus clientes (os seus pacientes)
- Transferência internacional de dados (os servidores ficam fora do Brasil?)
- Subprocessadores utilizados
3. Medidas técnicas de segurança
Pergunte especificamente:
Criptografia:
- Os dados são criptografados em repouso? (banco de dados)
- Os dados são criptografados em trânsito? (conexão HTTPS)
- Os backups são criptografados?
Controle de acesso:
- O sistema permite criar perfis de usuário com permissões diferentes? (recepcionista não vê ficha clínica completa)
- Há autenticação em dois fatores disponível?
- Há registro de quem acessou o quê (trilha de auditoria)?
Localização dos dados:
- Os servidores ficam no Brasil? Se não, em qual país?
- Se fora do Brasil, como é garantida a adequação proteção?
Backup e recuperação:
- Com qual frequência os backups são realizados?
- Qual o RTO (tempo de recuperação) em caso de falha?
4. Política de incidentes
- O fornecedor notifica a clínica em caso de incidente de segurança? Em qual prazo?
- Qual o processo de contenção e comunicação?
- Há histórico de incidentes anteriores? Como foram tratados?
5. Portabilidade e saída
- É possível exportar todos os dados dos pacientes em formato legível (CSV, PDF)?
- O que acontece com os dados após o cancelamento do contrato?
- Qual o prazo de eliminação dos dados após a rescisão?
Perguntas para fazer ao fornecedor antes de contratar
Use esta lista como roteiro de avaliação:
- "Vocês têm DPA disponível para assinatura?"
- "Os dados dos meus pacientes ficam em servidores no Brasil?"
- "O sistema tem criptografia de dados em repouso e em trânsito?"
- "Posso criar perfis de acesso diferentes para recepcionista e profissional técnico?"
- "Há trilha de auditoria — registro de quem acessou o quê e quando?"
- "Em caso de incidente de segurança, em quanto tempo vocês me notificam?"
- "Posso exportar todos os dados dos meus pacientes em qualquer momento?"
- "O que acontece com os dados se eu cancelar o contrato?"
- "Vocês têm ISO 27001 ou outra certificação de segurança da informação?"
- "Com quais subprocessadores vocês trabalham?" (outros sistemas que acessam os dados)
Se o fornecedor não souber responder a maioria dessas perguntas, considere isso um sinal de alerta.
Red flags: quando desistir do contrato
Sem DPA disponível: sinal de que a empresa não tem maturidade em compliance
"Nossos dados ficam em nuvem segura" sem especificar: resposta vaga que esconde falta de controles reais
"Não compartilhamos dados com ninguém" sem detalhar: toda empresa de software usa subprocessadores (hospedagem, e-mail transacional, analytics)
Impossibilidade de exportar dados: lock-in que também viola direito de portabilidade dos titulares
Contrato que diz que a empresa pode usar dados para "melhorar produtos": uso dos dados dos seus pacientes para fins próprios do fornecedor, sem sua autorização
Resposta defensiva a perguntas de segurança: fornecedores sérios têm essas respostas prontas
Antes de contratar: o checklist de due diligence
| Critério | Verificado |
|---|---|
| DPA disponível para assinatura | ☐ |
| Política de Privacidade adequada | ☐ |
| Criptografia em repouso e em trânsito | ☐ |
| Controle de acesso por perfil | ☐ |
| Trilha de auditoria | ☐ |
| Servidores no Brasil ou país adequado | ☐ |
| Processo de notificação de incidentes | ☐ |
| Exportação de dados disponível | ☐ |
| Política de eliminação de dados | ☐ |
| Subprocessadores identificados | ☐ |
Um "não" em qualquer dos itens de segurança críticos (criptografia, controle de acesso) deve levar a uma conversa aprofundada com o fornecedor — ou a reconsiderar o contrato.
Escolher um sistema de gestão não é mais apenas uma decisão de funcionalidade e preço. É uma decisão de compliance. O fornecedor certo não apenas organiza sua clínica — ele te protege. O errado pode ser a origem do próximo incidente de segurança.
O Assenti foi construído com conformidade LGPD desde o primeiro dia — DPA padrão, criptografia, controle de acesso, trilha de auditoria e dados em servidores no Brasil. Veja como funciona.
Dr. Rafael Nunes
Consultor de Compliance | Especialista em Saúde e Estética
Consultor de compliance com 12 anos de experiência no setor de saúde e estética. Criador do método 'Clínica Conforme', utilizado por mais de 200 estabelecimentos para implementar programas de conformidade com a LGPD de forma ágil e acessível. Palestrante nos principais congressos de estética do Brasil.
