A LGPD — Lei Geral de Proteção de Dados — entrou em vigor em 2020 e as multas passaram a ser aplicadas a partir de 2021. Mas a maioria dos fisioterapeutas autônomos e pequenas clínicas ainda opera sem nenhuma adequação formal.
O problema não é ignorância sobre a lei. É a sensação de que isso é coisa de empresa grande, de que ninguém vai fiscalizar uma clínica pequena, de que é burocracia desnecessária.
Essa percepção tem dois erros.
Primeiro: dados de saúde são classificados como dados sensíveis pela LGPD — a categoria de maior proteção da lei. Qualquer fisioterapeuta que armazena prontuário, histórico de atendimento, diagnóstico ou evolução clínica está lidando com dados sensíveis, independentemente do tamanho da operação.
Segundo: a fiscalização começou pelos maiores, mas a ANPD (Autoridade Nacional de Proteção de Dados) já declarou que pequenas empresas e profissionais liberais estão no escopo. O risco de processo por paciente insatisfeito também existe independentemente de fiscalização ativa.
Adequar não exige contratar escritório jurídico nem criar 40 documentos. Exige entender o que a lei pede e implementar o mínimo necessário.
O que a LGPD exige, na prática
A lei organiza as obrigações em torno de alguns princípios. Para uma clínica de fisioterapia, os que mais impactam a rotina são:
Base legal para tratar os dados: você precisa ter um motivo válido para coletar e usar os dados do paciente. No contexto de saúde, a base legal mais usada é a tutela da saúde — você precisa dos dados para prestar o atendimento. Isso cobre o prontuário, a evolução, a anamnese. Cobre também dados de contato para comunicação relacionada ao tratamento.
Consentimento explícito para o que vai além do atendimento: se você quer usar foto do paciente para post, enviar mensagens de marketing, ou compartilhar dados com terceiros (convênio, seguro), precisa de consentimento explícito — por escrito, específico para cada finalidade.
Segurança no armazenamento: você é responsável por proteger os dados que coletou. Isso não significa criptografia militar — significa não deixar prontuário em papel numa gaveta sem chave, não usar planilha compartilhada por link público, não enviar evolução clínica por e-mail não seguro sem necessidade.
Direitos do titular: o paciente tem direito de saber quais dados você tem sobre ele, de corrigir informação incorreta e de solicitar exclusão (com algumas ressalvas — dados de prontuário têm prazo mínimo de guarda definido pelo COFFITO).
O checklist prático
Coleta de dados
- Você sabe quais dados coleta de cada paciente?
- Você coleta apenas o que é necessário para o atendimento?
- Se coleta dado extra (como foto para post), tem autorização específica?
Consentimento
- Você tem um termo de consentimento que o paciente assina na primeira consulta?
- O termo explica: quais dados são coletados, para que são usados, por quanto tempo ficam armazenados e como o paciente pode solicitar acesso ou exclusão?
- Se você usa WhatsApp para enviar lembretes, o paciente foi informado e concordou?
Armazenamento
- Os prontuários físicos ficam em local com acesso controlado?
- As senhas do sistema onde ficam os dados são seguras e não são compartilhadas?
- Você usa sistema com backup automático dos dados dos pacientes?
- Se usa planilha, ela está em nuvem com acesso restrito (não link público)?
Compartilhamento
- Se você compartilha dados com convênio, tem base legal para isso?
- Se tem estagiário ou recepcionista, eles só acessam o que precisam para trabalhar?
Incidente
- Você sabe o que fazer se perder dados de pacientes (celular roubado, sistema hackeado)?
- A LGPD exige notificação à ANPD em até 72 horas para incidentes com risco relevante.
O que fazer primeiro
Se você ainda não tem nada, o ponto de partida é o termo de consentimento. É o documento mais importante e o que mais protege você em caso de questionamento.
Um termo de consentimento eficiente para fisioterapeuta autônomo precisa ter:
- Identificação do profissional e do paciente
- Listagem dos dados que são coletados (nome, CPF, dados de saúde, contato)
- Finalidade de cada dado (atendimento clínico, cobrança, lembretes)
- Prazo de retenção (prontuário tem prazo mínimo de 5 anos após o último atendimento, segundo o COFFITO)
- Como o paciente pode exercer seus direitos
- Assinatura e data
Esse documento pode ser físico (o paciente assina na primeira consulta) ou digital — desde que você consiga comprovar que foi apresentado e aceito.
Prontuário eletrônico e LGPD
Usar prontuário eletrônico não garante conformidade com a LGPD por si só — mas ajuda em vários pontos.
Um bom sistema de gestão mantém os dados em servidor seguro com backup, controla quem acessa o quê, e mantém histórico de alterações. Isso resolve vários dos requisitos de segurança sem exigir ação manual do fisioterapeuta.
O que o sistema não faz automaticamente é o consentimento — isso é um processo que você implementa na recepção do paciente, físico ou digital.
O risco mais real para o fisioterapeuta autônomo
Não é a multa da ANPD. É o paciente insatisfeito que descobre que você compartilhou dados dele sem autorização (com familiar, com convênio sem consentimento, em grupo de WhatsApp de profissionais) e decide acionar o Procon ou entrar com processo.
Esse risco existe independentemente do tamanho da clínica. E a proteção contra ele é exatamente o que a LGPD pede: consentimento claro, uso restrito ao necessário, dados protegidos.
O Clinvo e a proteção de dados
O Clinvo armazena os dados dos pacientes com criptografia, acesso por autenticação e backup automático — cumprindo os requisitos técnicos de segurança da LGPD. Os dados ficam em servidores seguros, não em planilha no seu computador ou em conversa de WhatsApp.
O que você precisa garantir do seu lado é o processo de consentimento na chegada do paciente. O sistema cuida do armazenamento.
14 dias grátis, sem cartão de crédito. Prontuário eletrônico seguro, backup automático e acesso controlado — do jeito que a LGPD pede. Criar conta gratuita.