← Todos os guias
sitelgpdprivacidadeconsultorio

LGPD no site de saúde: o que o consultório precisa

LGPD no site de saúde sem juridiquês: dado de paciente é sensível, e o consultório tem deveres concretos. O que fazer na prática, com a lei do lado.

No minuto em que um paciente digita o nome e o telefone no seu site pra marcar, você passou a tratar dado pessoal. E se em algum ponto aparece a razão da consulta, você está tratando dado de saúde, que a lei protege com régua mais alta. LGPD no site de saúde não é papelada pra ter medo: é um punhado de deveres concretos que, feitos direito, protegem você e o paciente. Este guia mostra quais são, sem juridiquês e com a lei do lado. Um aviso honesto: isto é orientação geral, não parecer jurídico. Para o seu caso específico, valide com um advogado.

É um aprofundamento do site para consultório, na parte que ninguém gosta de olhar e todo mundo devia.

Dado de saúde é "sensível" (e por isso a régua sobe)

A LGPD separa dado pessoal comum de dado pessoal sensível, e coloca informação sobre a saúde da pessoa explicitamente nessa segunda categoria (art. 5, II). Na prática: nome e telefone já são dados pessoais que pedem cuidado; qualquer coisa que revele uma condição, um sintoma ou um tratamento é dado sensível, e a lei exige mais rigor pra tratar. Não é motivo pra pânico, é motivo pra não coletar no site o que você não precisa.

Peça o mínimo

O princípio mais útil da lei pra um consultório é o da necessidade: você só pode coletar o que for indispensável pra finalidade (art. 6). Um formulário de agendamento precisa do nome e de um contato, não do histórico clínico da pessoa. Quanto menos dado sensível você junta antes da consulta, menos você tem que proteger depois, e menor o seu risco. Isso conversa direto com o caminho de agendamento enxuto: marcar com o essencial, o resto é assunto do atendimento, não do site.

Diga pra que serve

A lei pede transparência (art. 6): a pessoa tem direito de saber o que você coleta, pra quê, e como pedir pra ver ou apagar. Isso vira, no site, uma política de privacidade acessível, escrita em português de gente, que diz quais dados o site coleta (formulário, WhatsApp, cookies), com que finalidade, e como o paciente exerce os direitos dele de acesso, correção e eliminação (art. 18). Não é um texto decorativo no rodapé; é o documento que mostra que você leva a sério o dado de quem confia em você.

Aqui mora uma confusão comum. A LGPD permite tratar dado de saúde sem consentimento na hipótese de "tutela da saúde" (art. 11), mas ela vale só para procedimento feito por profissionais de saúde, serviços de saúde ou autoridade sanitária, ou seja, o atendimento em si. O seu site de captação e agendamento não é isso. Para o formulário, a lista de contatos e qualquer uso de marketing, a base costuma ser o consentimento da pessoa, dado de forma livre e clara. Assumir que "sou da saúde, então estou coberto" é justamente o erro. O prontuário é uma coisa; o site é outra.

Cookies e rastreamento

Se o seu site usa ferramentas de medição ou pixel de rede social, ele está coletando dado de navegação, e isso também entra na LGPD. A ANPD, a autoridade do tema, orienta que o site informe sobre os cookies e ofereça escolha, com uma política de cookies e um aviso visível ao entrar, não só um parágrafo enterrado na política de privacidade. Medir o site é ótimo e necessário; só precisa ser feito avisando quem chega.

Segurança e os direitos do paciente

Dois fechos práticos. Primeiro, segurança: o site tem que rodar em HTTPS e ser feito com cuidado técnico, porque proteger o dado é obrigação, não item opcional. Um site montado às pressas num template costuma falhar aqui sem ninguém perceber. Segundo, os direitos: o paciente pode pedir pra ver, corrigir ou apagar os dados que você guarda, e você precisa ter como atender a esse pedido. Saber onde os dados estão já é meio caminho.

Não é pra ter medo, é pra ter cuidado

Repare que nada disso é bicho de sete cabeças. Coletar pouco, dizer pra que serve, ter uma política clara, pedir consentimento, avisar dos cookies e rodar seguro. É a mesma postura sóbria que o seu conselho e o Google já esperam de você, aplicada ao dado. A LGPD não está brigando com o seu site; está descrevendo o site sério que você já queria ter. Para as decisões finas, base legal exata, contratos, encarregado de dados, sente com um advogado. Para a estrutura do site fazer a parte dele, é comigo.

Onde eu entro

Um site que coleta só o necessário, roda em HTTPS, tem política de privacidade e aviso de cookies no lugar certo e guarda o dado com cuidado é o tipo de coisa que se resolve na construção, não depois do susto. É isso que eu entrego: a estrutura técnica que já nasce respeitando o dado do paciente, dentro das regras do seu conselho, feita por um programador de verdade (portfólio em igor.solutions), enquanto você foca no atendimento e valida o jurídico com quem é da área.

Se você não sabe dizer o que o seu site coleta hoje nem se está protegido, me chama no WhatsApp. A gente olha isso junto, sem compromisso.


Fontes

  • Dado sobre a saúde é dado pessoal sensível (art. 5, II); tratamento exige consentimento destacado ou hipótese do art. 11 (a "tutela da saúde" vale só em procedimento de profissional/serviço de saúde); princípios de finalidade, necessidade e transparência (art. 6); direitos de acesso, correção e eliminação (art. 18). Lei nº 13.709/2018 (LGPD)
  • Recomendação de informar sobre cookies e oferecer escolha, com política de cookies e aviso visível, além da política de privacidade. ANPD, Guia Orientativo Cookies e Proteção de Dados Pessoais (2022)

Ficou com uma dúvida do seu caso específico? Me chama — quem responde sou eu.

WhatsApp