Vazamento de Dados na Clínica: O Que Fazer nas Primeiras 72 Horas
Dr. Rafael Nunes
Consultor de Compliance | Especialista em Saúde e Estética
São 22h de uma segunda-feira. Você recebe uma mensagem da sua recepcionista: o celular da clínica foi furtado no caminho para casa. Nele, o WhatsApp com as conversas de 200 pacientes. As fotos de antes e depois. Alguns documentos de anamnese enviados por foto.
O que você faz?
Se você não tem um plano, vai perder horas preciosas tomando decisões erradas — ou pior, não tomando decisão nenhuma e deixando o problema crescer.
A LGPD não exige que você seja infalível. Exige que você reaja corretamente quando algo dá errado.
O que é um incidente de segurança pela LGPD?
O Art. 46 da LGPD exige medidas de segurança adequadas para proteger dados pessoais. Quando essas medidas falham — ou são insuficientes para prevenir um evento — ocorre um incidente de segurança.
Exemplos práticos em clínicas de estética:
| Evento | Incidente? |
|---|---|
| Celular com dados de pacientes perdido ou roubado | Sim |
| E-mail com ficha de anamnese enviado para o endereço errado | Sim |
| Sistema de gestão invadido (ransomware, acesso não autorizado) | Sim |
| Ex-funcionário com acesso a dados que deveria ter sido revogado | Sim |
| Ficha de anamnese encontrada na lixeira comum (sem descarte seguro) | Sim |
| Foto de paciente publicada sem consentimento | Não (infração diferente) |
| Funcionário acessou dados que não precisava, mas internamente | Pode ser (avaliar) |
A janela de 72 horas: o que diz a LGPD
O Art. 48 da LGPD estabelece que, quando um incidente puder acarretar risco ou dano relevante aos titulares, o controlador deve notificar a ANPD em prazo razoável — e a regulamentação da ANPD define que, para incidentes graves, esse prazo é de 72 horas a partir do conhecimento do fato.
Isso não significa que você tem 72 horas para resolver tudo. Significa que, em casos graves, você tem 72 horas para notificar a ANPD e os titulares afetados.
Quando a notificação é obrigatória:
- O incidente envolve dados sensíveis (saúde, biometria) → quase sempre obrigatório
- O incidente pode causar dano financeiro ou moral aos titulares
- O número de titulares afetados é significativo
Quando pode não ser obrigatório:
- Os dados estavam criptografados de forma que tornaram o acesso inviável
- O incidente não envolveu dados sensíveis
- O risco de dano ao titular é baixo ou improvável
Em caso de dúvida: notifique. A omissão agrava muito mais do que a notificação desnecessária.
O protocolo das 72 horas: passo a passo
Hora 0 — Contenção imediata
O que fazer primeiro: interromper o acesso não autorizado, se possível.
- Celular perdido → imediatamente bloqueie o aparelho remotamente (Find My iPhone, Google Find My Device) e execute o apagamento remoto se necessário
- Acesso não autorizado ao sistema → altere senhas, revogue tokens de acesso, contate o suporte do sistema
- E-mail enviado para pessoa errada → envie e-mail de retificação imediatamente e solicite que o destinatário delete o conteúdo
- Ex-funcionário com acesso ativo → revogue todos os acessos agora
Documente tudo: hora da descoberta, quem descobriu, primeiras medidas tomadas.
Horas 1-4 — Avaliação do dano
O que avaliar:
- Quais dados foram expostos? (nome, CPF, saúde, foto, ficha completa?)
- Quantos titulares foram afetados?
- Quem pode ter tido acesso aos dados?
- O acesso ainda está ocorrendo ou foi contido?
- Os dados eram criptografados?
Anote tudo. Esse levantamento vai alimentar a notificação para a ANPD.
Horas 4-24 — Decisão de notificação
Com base na avaliação, decida:
- O incidente envolve risco relevante para os titulares? → Notificação obrigatória
- Quantos titulares afetados? → Impacta o escopo da notificação
- Preciso de assessoria jurídica? → Para incidentes graves, sim
Como notificar a ANPD: Atualmente a notificação é feita pelo portal da ANPD (gov.br) através do formulário específico. Você precisará informar:
- Natureza do incidente
- Dados e titulares afetados
- Medidas de contenção adotadas
- Riscos decorrentes
- Medidas corretivas planejadas
Horas 24-72 — Comunicação com os titulares
Os titulares afetados precisam ser informados quando o incidente puder causar dano a eles. A comunicação deve ser:
- Clara: explique o que aconteceu em linguagem simples
- Completa: informe quais dados foram expostos e o risco potencial
- Orientadora: diga o que o titular pode fazer para se proteger
- Documentada: guarde cópia de todas as comunicações
Modelo de comunicação para titulares:
"Prezado(a) [Nome], informamos que em [data] identificamos um incidente de segurança em nossa clínica que pode ter afetado seus dados pessoais. Os dados potencialmente expostos incluem [liste os dados]. Tomamos imediatamente as seguintes medidas: [liste as ações]. Recomendamos que você [orientações específicas]. Para dúvidas, entre em contato com [canal de privacidade]. Pedimos desculpas pelo ocorrido e reforçamos nosso compromisso com a proteção de seus dados."
O que NÃO fazer em caso de incidente
Não espere para ver se alguém reclama. A obrigação de notificar não depende de alguém reclamar. Depende do risco potencial.
Não minimize internamente. "Foi só um celular, provavelmente não tem nada importante" não é avaliação de risco — é esperança. Faça o levantamento real.
Não diga ao paciente que "está tudo bem" antes de ter certeza. Uma comunicação falsa pode agravar muito sua situação jurídica.
Não apague evidências. Em caso de incidente grave, os registros (logs de acesso, conversas, e-mails) podem ser necessários para a investigação e para demonstrar boa-fé.
Não deixe de comunicar a ANPD com medo da multa. Ocultar um incidente agrava significativamente as penalidades. A notificação proativa, por outro lado, é fator atenuante.
Prevenção: o plano de resposta a incidentes
O melhor momento para criar um plano de resposta a incidentes é antes de precisar usá-lo.
Um plano básico para clínicas de estética deve conter:
- Definição do que é um incidente (os exemplos da sua clínica)
- Quem notificar primeiro (responsável da clínica, não resolver sozinho)
- Checklist de contenção por tipo de incidente (celular, sistema, e-mail)
- Modelo de comunicação para titulares
- Contatos da ANPD e procedimento de notificação
- Registro de incidentes (data, o que ocorreu, medidas, resultado)
Guarde esse plano em local acessível — de preferência impresso e salvo em nuvem — para que esteja disponível mesmo se o sistema principal estiver comprometido.
Incidentes de segurança não são exceção — são uma questão de quando, não de se. A diferença entre uma clínica que supera um incidente e uma que sofre consequências graves está, quase sempre, na qualidade da resposta.
O Assenti inclui um módulo de gestão de incidentes com alertas, checklist de resposta e registro documentado de todas as ações tomadas. Conheça a plataforma.
Este artigo tem caráter informativo e não substitui assessoria jurídica especializada. Em caso de incidente grave, consulte imediatamente um advogado especialista em proteção de dados.
Dr. Rafael Nunes
Consultor de Compliance | Especialista em Saúde e Estética
Consultor de compliance com 12 anos de experiência no setor de saúde e estética. Criador do método 'Clínica Conforme', utilizado por mais de 200 estabelecimentos para implementar programas de conformidade com a LGPD de forma ágil e acessível. Palestrante nos principais congressos de estética do Brasil.
