ZapAgenda
EntrarIniciar teste grátis
Voltar ao blog

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020 e passou a ter caráter sancionatório em agosto de 2021. Desde então, clínicas de saúde e estética que tratam dados de pacientes — inclusive via WhatsApp — precisam estar em conformidade.

Mas a maioria das clínicas ainda opera em zona cinza: sem política de privacidade, sem registro de consentimento e sem processos claros para atender direitos dos pacientes.

Neste guia, explicamos o que a LGPD exige especificamente para clínicas e como adequar o atendimento via WhatsApp.

O Que é a LGPD e Por Que Clínicas Precisam se Preocupar

A LGPD (Lei 13.709/2018) regula como empresas e organizações coletam, armazenam e usam dados pessoais de cidadãos brasileiros. Para clínicas, os dados tratados incluem:

  • Nome, telefone e email dos pacientes
  • Histórico de procedimentos realizados
  • Dados de saúde (anamnese, condições médicas, medicamentos)
  • Preferências e informações financeiras

Dados de saúde são classificados como dados sensíveis pela LGPD e têm proteção reforçada — exigindo consentimento explícito para coleta e tratamento.

Penalidades por descumprimento: Advertência, multa de até R$50 milhões por infração ou 2% do faturamento anual, publicização da infração e suspensão das atividades de tratamento de dados.

Dados Sensíveis de Saúde: Regras Especiais

Para dados de saúde (histórico médico, diagnósticos, procedimentos, medicamentos), a LGPD exige que o tratamento seja realizado exclusivamente por:

  • Profissionais de saúde legalmente habilitados
  • Para fins legítimos ligados à prestação de cuidados de saúde
  • Com consentimento explícito do titular

Isso significa que você pode armazenar informações de saúde do paciente para prestar o serviço — mas não pode compartilhá-las com terceiros sem autorização específica, nem usar para fins de marketing sem consentimento separado.

O Que Pode e o Que Não Pode no WhatsApp

Pode:

  • Coletar nome, telefone e serviço de interesse para agendamento
  • Enviar confirmações e lembretes de consulta (com consentimento implícito do agendamento)
  • Responder perguntas sobre serviços e preços
  • Enviar marketing e novidades — apenas com opt-in explícito
  • Armazenar histórico de conversa para continuidade do atendimento

Não pode:

  • Compartilhar dados do paciente com terceiros sem consentimento específico
  • Usar dados de saúde para fins além do atendimento sem consentimento
  • Enviar marketing para quem não autorizou
  • Manter dados por tempo indefinido sem necessidade justificável

Consentimento: Como Coletar Corretamente no WhatsApp

Para atividades de marketing via WhatsApp (campanhas, novidades, promoções), você precisa de opt-in explícito. Modelos adequados:

No primeiro contato via WhatsApp:

"Olá! Para melhorar seu atendimento, posso enviar lembretes de consulta e novidades da clínica por aqui? Você pode cancelar a qualquer momento respondendo 'SAIR'."

No agendamento presencial:

"Posso entrar em contato com você pelo WhatsApp para confirmações de consulta e eventualmente novidades da clínica?"

No site (formulário):

☐ Aceito receber comunicações da clínica via WhatsApp (opcional)

Registre sempre: quem autorizou, quando autorizou e como autorizou.

Direito do Paciente: Acesso, Correção e Exclusão

A LGPD garante ao titular dos dados (seu paciente) os seguintes direitos:

  • Acesso: Saber quais dados a clínica tem sobre ele
  • Correção: Corrigir dados incorretos ou desatualizados
  • Exclusão: Solicitar remoção dos dados (com exceções legais)
  • Portabilidade: Receber os dados em formato estruturado
  • Revogação: Revogar consentimento para marketing a qualquer momento

Quando um paciente solicitar exercício desses direitos (pode ser via WhatsApp), você tem 15 dias para responder. Crie um processo interno para isso.

Canal de atendimento de privacidade: Indique um email ou WhatsApp específico para solicitações de privacidade — ex: privacidade@[clínica].com.br.

Como Documentar o Tratamento de Dados

A LGPD exige que empresas que tratam dados mantenham um Registro de Atividades de Tratamento — um documento que descreve:

  • Quais dados são coletados
  • Para qual finalidade
  • Quem tem acesso
  • Por quanto tempo são mantidos
  • Como são protegidos

Para uma clínica pequena, um documento simples em Google Docs já atende. Exemplos de atividades a registrar:

| Atividade | Dados | Finalidade | Retenção | |---|---|---|---| | Agendamento via WhatsApp | Nome, telefone, serviço | Agendamento de consulta | Duração do relacionamento | | Anamnese | Saúde, histórico | Prestação do serviço | 5 anos (obrigação legal) | | Marketing via WhatsApp | Nome, telefone | Marketing com opt-in | Até revogação do consentimento |

Ferramentas e IA Conformes com a LGPD

Ao usar plataformas de IA para atendimento no WhatsApp, verifique:

  • Onde os dados são armazenados: Preferencialmente no Brasil ou com garantias de proteção equivalente
  • Quem tem acesso: Apenas colaboradores autorizados da empresa
  • Política de privacidade: Transparente sobre o que é feito com os dados
  • Contrato de processamento de dados (DPA): Obrigatório quando terceiros processam dados em seu nome
  • Certificações de segurança: SOC 2, ISO 27001 ou equivalente

O ZapAgenda é LGPD compliant: servidores no Brasil, criptografia de dados em trânsito e repouso, política de privacidade transparente e DPA disponível para assinatura.

Penalidades por Descumprimento

A ANPD (Autoridade Nacional de Proteção de Dados) já aplica penalidades administrativas. Para clínicas, os riscos práticos incluem:

  • Multa: Até 2% do faturamento bruto anual, limitado a R$50 milhões por infração
  • Advertência: Com prazo para adequação
  • Publicização: Divulgação pública da infração — dano reputacional sério
  • Suspensão: Do banco de dados ou das atividades de tratamento

Além das penalidades da ANPD, pacientes podem buscar reparação civil por danos causados pelo tratamento irregular de dados.

Primeiros Passos Para Adequação

Se sua clínica ainda não está adequada, comece por:

  1. Mapeie os dados que coleta: Liste todas as informações de pacientes e onde ficam armazenadas
  2. Crie política de privacidade: Documento público explicando como trata os dados
  3. Implante opt-in para marketing: Pare de enviar campanhas para quem não autorizou
  4. Documente o tratamento: Registro simples das atividades de tratamento
  5. Treine a equipe: Todos precisam saber o básico de LGPD
  6. Escolha parceiros conformes: Plataformas que processam dados em seu nome precisam ser LGPD compliant

O ZapAgenda ajuda nessa jornada com uma plataforma já adequada à LGPD, política de privacidade transparente e suporte para adequação do processo de consentimento. Teste grátis por 14 dias.

Pronto para automatizar seu WhatsApp?

Configure seu assistente em menos de 10 minutos.

Iniciar teste grátis por 14 dias