LGPD para clínica médica: o que muda no WhatsApp e atendimento
Resumo
LGPD (Lei 13.709/2018) classifica dados de saúde como sensíveis (Art. 5º, II), exigindo consentimento explícito e finalidade clara. Pra clínica atender pelo WhatsApp em conformidade, precisa: termo de consentimento no primeiro contato, criptografia em repouso e trânsito, direito de exclusão acessível (Art. 18), e não compartilhar dados com terceiros sem autorização. Multa por descumprimento: até 2% do faturamento, limitado a R$50 milhões por infração.
Pontos principais
- →Dados de saúde são sensíveis pela LGPD (Art. 5º, II) — exigem consentimento explícito
- →Multa por descumprimento: até 2% do faturamento, limitado a R$50 milhões por infração
- →Paciente tem direito de pedir exclusão de dados a qualquer momento (Art. 18)
- →WhatsApp Business da empresa precisa estar com finalidade declarada e consentimento documentado
- →Anthropic (Claude) e outras IAs sérias não retêm dados de prompts da API — verifique antes de contratar
O que a LGPD considera dado sensível
A Lei Geral de Proteção de Dados (Lei 13.709/2018, Art. 5º, II) classifica como sensíveis: dados sobre origem racial, religião, opinião política, filiação a sindicato, dado genético, dado biométrico, e — relevante pra clínica — dados referentes à saúde ou à vida sexual. Pra tratar dado sensível, a clínica precisa de consentimento explícito, finalidade declarada, e medidas técnicas de proteção. Atendimento pelo WhatsApp se enquadra: nome, telefone, sintoma relatado, agendamento de exame específico — tudo dado sensível.
Consentimento explícito no primeiro contato
O paciente precisa concordar antes do tratamento de dados. No WhatsApp, isso significa: na primeira mensagem da clínica (ou na primeira resposta do paciente), enviar termo curto e claro. Exemplo: 'Pra atender você, tratamos dados conforme a LGPD. Suas informações são usadas só pra agendamento e atendimento, não compartilhadas com terceiros. Você pode pedir exclusão a qualquer momento. Concorda? Responda SIM pra continuar.' Sem essa concordância, qualquer dado coletado depois pode ser questionado.
Criptografia em repouso e em trânsito
Dados precisam ser armazenados criptografados (criptografia em repouso) e transmitidos por canal seguro (em trânsito, com TLS/HTTPS). Plataforma de gestão WhatsApp séria implementa AES-256 em banco de dados e TLS 1.2+ nas chamadas. Pra clínica, a responsabilidade é escolher plataforma que faça isso e documentar — em caso de incidente, a autoridade nacional (ANPD) vai pedir comprovação. TECHFLIP AI usa Supabase com criptografia em repouso e conexão TLS por padrão.
Direito de exclusão acessível
Art. 18 da LGPD: paciente tem direito de pedir exclusão dos dados a qualquer momento. Operacionalmente, a clínica precisa de processo simples pra atender esse pedido: paciente envia 'quero excluir meus dados' por WhatsApp, recebe confirmação em até 15 dias, e os dados saem do sistema (incluindo histórico de conversas, agendamentos, dados pessoais). Algumas obrigações legais permitem retenção (nota fiscal, prontuário médico por 20 anos — Resolução CFM 1.821/2007) — esses casos são exceção, e o paciente é informado.
IA e tratamento de dados
Quando clínica usa IA pra responder paciente, há tratamento adicional: o prompt enviado pra API contém dados do paciente. Pergunte ao fornecedor: 'Vocês retêm prompts pra treinamento?' A Anthropic (modelo Claude usado pela TECHFLIP AI) não retém dados de prompts da API pra treinar modelos — política explícita. OpenAI mudou política em 2023: API não retém pra treinamento, mas guarda 30 dias pra abuse monitoring. Verifique sempre. Se o fornecedor retém dados de paciente, sua clínica é corresponsável.
Não compartilhamento com terceiros
Dado de paciente não pode ser repassado sem autorização explícita pra cada finalidade. Exemplo de violação: clínica passa lista de pacientes pra empresa de marketing fazer remarketing — ilegal sem consentimento específico. Exemplo OK: clínica passa dados pra contador pra emitir nota fiscal — desde que documentado e necessário. Plataforma de gestão WhatsApp não pode usar seus dados de paciente pra outras finalidades (treinar IA pra concorrente, vender pra empresa de pesquisa) — leia política de privacidade do fornecedor.
Documentação e prontidão pra fiscalização
Em caso de denúncia ou incidente, a ANPD (Autoridade Nacional de Proteção de Dados) pode pedir comprovação de conformidade. Documentação mínima: política de privacidade publicada (no site da clínica), termo de consentimento usado, política de retenção de dados (quanto tempo guarda o quê), registro de incidentes (se aconteceu vazamento), nome do encarregado de proteção de dados (DPO — pode ser interno ou contratado). Clínica sem essa documentação fica vulnerável.
Multas e responsabilidade
LGPD tem sanções de advertência, multa de até 2% do faturamento (limitado a R$50 milhões por infração), bloqueio dos dados objeto da infração, eliminação dos dados, suspensão parcial do funcionamento do banco de dados, e suspensão do tratamento. Pra clínica pequena, o risco maior não é multa máxima, mas: dano de reputação após vazamento, processo cível de paciente, e perda de licença em caso de fiscalização CRM/CFM articulada com ANPD.
Como a TECHFLIP AI já vem em conformidade
A TECHFLIP AI: armazena dados em Supabase com criptografia AES-256 em repouso e TLS em trânsito, oferece termo de consentimento no onboarding do paciente (configurável), permite exclusão de dados a qualquer hora pelo painel, não compartilha dados com terceiros, usa Anthropic Claude que não retém dados de prompts pra treinamento, e tem política de privacidade pública. Cada clínica é responsável por seu próprio controle de acesso ao painel e por documentar quem tem acesso. Plano Enterprise R$797/mês inclui sub-contas com login individual e logs de auditoria por usuário.
Perguntas frequentes
Clínica pode atender paciente pelo WhatsApp dentro da LGPD?
Pode, desde que haja base legal e cuidado com os dados. Dados de saúde são sensíveis pela LGPD, então a clínica deve coletar só o necessário, informar como as informações serão usadas e proteger o acesso ao número. Na prática, basta ter consentimento ou justificar o atendimento médico, restringir quem vê as conversas e evitar compartilhar dados clínicos sem autorização.
O que é dado sensível de saúde na LGPD?
É qualquer informação que revele a condição de saúde de uma pessoa, como diagnósticos, exames, medicamentos, histórico clínico e até o motivo de uma consulta. A LGPD dá proteção reforçada a esses dados e exige cuidado extra no tratamento. Por isso clínicas precisam de controle de acesso, finalidade clara e, na maioria dos casos, consentimento do paciente.
Como proteger as conversas de pacientes no WhatsApp da clínica?
Limite quem tem acesso ao aparelho e ao número, não use grupos para falar de pacientes e evite trafegar laudos e exames sem necessidade. Registre a finalidade do atendimento e tenha uma política simples de privacidade. Ferramentas que centralizam o atendimento com controle de acesso e histórico, como a TECHFLIP, ajudam a manter as conversas organizadas e restritas à equipe autorizada.
Continue lendo
Melhores plataformas de atendimento no WhatsApp em 2026
Comparativo honesto das principais plataformas de WhatsApp pra PMEs em 2026: ManyChat, Blip, Botconversa, Zenvia, Octadesk, SocialHub e TECHFLIP AI.
IA no WhatsApp pra E-commerce: Vender e Atender 24h Sem Operador
Como uma loja virtual usa IA no WhatsApp pra tirar dúvida de produto, recuperar carrinho, fechar pedido, cobrar via PIX e dar status de entrega 24h.
Como Captar Pacientes pelo WhatsApp no Consultório com IA
Guia prático para médicos captarem e converterem novos pacientes pelo WhatsApp com IA: responda o lead na hora, agende a 1ª consulta e reduza no-show.