Checklist de LGPD para terapeutas individuais (sem juridiquês)

A LGPD entrou em vigor em 2020 e dela não se escapa — terapeuta autônomo é controlador de dados pessoais sensíveis (dados de saúde) e tem todas as obrigações da lei. A boa notícia: na prática, adequar uma clínica individual leva uma tarde, não um mês.

Esta lista de 12 itens é o mínimo. Se você marca todos, está em condição razoável de compliance. Se faltam mais que 3, vale colocar na agenda da semana — não da próxima década.

• 1. Você sabe quais dados coleta de cada cliente

  Liste tudo: nome, CPF, telefone, e-mail, dados de saúde (queixa, histórico, medicações), pagamento. Esse inventário é a base de qualquer adequação LGPD. Se você não sabe o que coleta, não tem como proteger.

• 2. Cliente assina termo de consentimento ANTES da primeira sessão

  Não é o termo de responsabilidade clínica — é o consentimento de tratamento de dados pessoais. Precisa explicar: o que você coleta, para que usa, com quem compartilha (ex: contador, plataforma de cobrança), por quanto tempo guarda, como o cliente acessa/exclui.

• 3. Você guarda prontuário com criptografia

  WhatsApp pessoal e Word no notebook NÃO contam — uma falha de segurança seu prontuário vaza. Use sistema com criptografia em repouso. Se for em planilha, criptografe o arquivo (ex: AES-256 via 7-zip ou similar) e a senha não pode estar no mesmo lugar.

• 4. Senha forte + segundo fator (MFA) onde der

  Senha de 12+ caracteres, única (não reusada). Onde possível (Google, sistema do consultório, banco), ative 2FA — preferencialmente TOTP (Google Authenticator, Authy) e não SMS.

• 5. Backup automático e off-site

  Disco local pode falhar. Pen drive pode ser perdido. Tenha backup em pelo menos 2 lugares geograficamente separados — idealmente automatizado e criptografado. Snapshot diário é o mínimo civilizado.

• 6. Você tem prazo de retenção definido

  CFP exige 5 anos de guarda mínima de prontuário. LGPD exige que você descarte quando não houver mais base legal. Defina sua política: 5 anos após última sessão, depois exclusão definitiva — e siga.

• 7. Se trabalha com IA, sabe se a ferramenta retém os dados

  ChatGPT free retém entradas para treinamento. Se você cola conteúdo de prontuário lá, está vazando. Use ferramentas com cláusula explícita de não-treinamento e descarte de dados (OpenAI API tem; ChatGPT na versão gratuita não).

• 8. Comunicação com cliente passa por canal seguro

  WhatsApp pessoal é OK para 'oi, tudo bem?' mas não para enviar relatório clínico, senha de acesso, dados de pagamento. Email criptografado, plataformas com TLS, ou portal do próprio sistema.

• 9. Você tem trilha de auditoria (quem acessou o quê, quando)

  Em caso de incidente, precisa provar que o acesso foi legítimo. Sistema sério registra cada leitura/edição de prontuário. Planilha solta não — então quem acessou, quando, do quê fica indemonstrável.

• 10. Cliente pode pedir os próprios dados (portabilidade)

  Direito previsto em lei. Se ele pedir tudo o que você tem dele, você tem 15 dias para entregar em formato legível. Tenha um processo: exporta CSV/PDF, envia por email criptografado, registra a entrega.

• 11. Cliente pode pedir exclusão (com limites)

  Se a base legal cessou, você exclui. Mas atenção: prontuário tem retenção mínima legal (5 anos pelo CFP) — esse prazo prevalece. Documente quando o cliente pede exclusão e quando você efetivamente exclui (ou justifica retenção).

• 12. Você tem plano para o pior cenário

  Vazamento, roubo de notebook, ataque de ransomware. Se acontecer, ANPD precisa ser comunicada em até 72h, e clientes afetados em prazo razoável. Tenha por escrito o passo-a-passo: a quem ligar, o que comunicar, em que ordem.

E se eu deixar para depois?

A multa por descumprimento da LGPD vai até 2% do faturamento anual (limitado a R$50 milhões por infração). Para autônomos, o problema prático é outro: um único incidente — notebook roubado com prontuários em texto plano — vira ação cível e processo no conselho profissional. Custo: muito mais que sistema de gestão por mês.

Onde começar

O passo 1 é fazer o inventário (item 1). Sem saber o que coleta, você não tem como começar. Faça em 30 minutos: abra um documento, liste por categoria (identificação, contato, saúde, pagamento) e onde cada um é guardado. Esse documento é seu primeiro artefato de compliance — e normalmente já mostra a maior parte do que precisa mudar.

Esta página tem caráter informativo e não substitui consulta a um advogado especializado em proteção de dados. Cada caso é um caso — especialmente se você lida com público vulnerável ou alto volume.