IA para psicólogo e LGPD: checklist do que verificar antes de usar (seus dados treinam o modelo?)
Antes de usar qualquer ferramenta de IA no consultório, verifique 8 pontos críticos: residência dos dados, treinamento de modelo, LGPD art. 11 e o que a Cartilha do CFP exige.
Neste artigo
- O que verificar antes de usar qualquer IA no consultório
- 1. Os dados treinam o modelo?
- 2. Onde os dados são processados e armazenados?
- 3. Há cifragem em repouso além da criptografia padrão do banco?
- 4. Quem tem acesso aos dados além do sistema de IA?
- 5. O fornecedor assina um DPA (Data Processing Agreement)?
- 6. O que acontece com os dados se você cancelar?
- 7. A IA é genérica ou foi desenvolvida para contexto de saúde?
- 8. O que diz a Cartilha do CFP sobre a ferramenta que você quer usar?
- Checklist resumido (para consulta rápida)
- O que perguntar ao fornecedor antes de contratar
- Perguntas frequentes
- Usar ChatGPT para escrever evoluções viola a LGPD?
- Preciso do consentimento do paciente para usar IA no prontuário?
- A IA do Sinthoma usa os dados dos meus pacientes para treinamento?
- Como explicar para o paciente que uso IA no prontuário?
A pergunta que mais psicólogos não fazem antes de adotar uma ferramenta de IA no consultório é também a mais importante: os dados que você digita treinam o modelo? A resposta determina se você está usando uma ferramenta de trabalho ou inadvertidamente cedendo material clínico sigiloso para uma empresa de tecnologia usar como quiser.
A LGPD (Lei nº 13.709/2018, art. 11) classifica dados referentes à saúde como dados sensíveis, sujeitos a proteção reforçada. Isso vale para tudo que você descreve num prontuário, numa sessão de transcrição ou num campo de "evolução clínica" de qualquer software. A ferramenta de IA que processa esses dados precisa cumprir requisitos específicos, e você é o responsável por verificar isso antes de usar.
A Cartilha de Inteligência Artificial do CFP (publicada em dezembro de 2025) reforça o mesmo ponto: o psicólogo é responsável pelos dados que insere em qualquer ferramenta, independentemente de quem desenvolveu o software.
O que verificar antes de usar qualquer IA no consultório
1. Os dados treinam o modelo?
É a pergunta central. Muitas ferramentas de IA — especialmente as versões gratuitas de serviços como ChatGPT, Gemini e similares — usam as conversas dos usuários para aprimorar os modelos por padrão, salvo configuração manual contrária.
Para prontuário e registros clínicos, isso significa que o conteúdo que você digita pode acabar nos dados de treinamento de um modelo comercial. Não como um arquivo identificado, mas como parte do corpus que melhora o sistema.
O que verificar: a política de privacidade do serviço diz explicitamente que não usa dados dos usuários para treinar modelos? Se a resposta for "os dados podem ser usados para melhorar a experiência do usuário" sem especificação, essa é a resposta.
2. Onde os dados são processados e armazenados?
A LGPD, art. 11, exige que dados sensíveis recebam tratamento em conformidade com a lei brasileira. A transferência internacional de dados sensíveis exige garantias específicas: o país de destino deve ter nível de proteção equivalente ao brasileiro, ou deve haver mecanismo de proteção válido (art. 33).
Serviços de IA com servidores exclusivamente nos EUA ou Europa, sem cláusulas contratuais específicas para transferência internacional, podem não cumprir esse requisito para dados de saúde.
O que verificar: onde ficam os servidores que processam e armazenam os dados que você envia? Há mecanismo documentado de transferência internacional para dados sensíveis?
3. Há cifragem em repouso além da criptografia padrão do banco?
"Dados criptografados" é uma afirmação que cobre uma variação enorme de práticas. Criptografia em trânsito (HTTPS) é o mínimo — protege os dados no caminho entre o seu navegador e o servidor. Mas o que acontece com os dados quando chegam ao servidor e ficam armazenados?
Cifragem em repouso na camada de aplicação (não apenas a criptografia padrão do sistema de banco de dados) é um nível significativamente mais alto de proteção. Significa que, mesmo se alguém acessar o banco de dados diretamente, não consegue ler o conteúdo sem a chave específica.
O que verificar: o fornecedor documenta cifragem em repouso explicitamente, com especificação do método (AES-256, por exemplo)? Ou a menção de "criptografia" é genérica sem detalhe?
4. Quem tem acesso aos dados além do sistema de IA?
Sua equipe de suporte pode ler os prontuários dos meus pacientes? Os dados são acessíveis a terceiros para qualquer finalidade? A LGPD, art. 46, determina que os agentes de tratamento devem adotar medidas para proteger os dados de acessos não autorizados.
O que verificar: a política de acesso interno do fornecedor. Quem na empresa pode ver os dados dos seus pacientes? Para qual finalidade? Há logs de acesso auditáveis?
5. O fornecedor assina um DPA (Data Processing Agreement)?
Um DPA é o contrato que formaliza como o fornecedor trata os dados que você confia a ele. Em LGPD, o fornecedor de tecnologia é o "operador" e você (psicólogo) é o "controlador" dos dados do paciente. Isso significa que você responde pela escolha do fornecedor — o CFP e a ANPD não aceitam "mas era o software que usava" como justificativa.
O que verificar: o fornecedor tem um DPA disponível e assinável? Se a resposta for "não sabemos o que é isso", é um sinal de alerta relevante para um serviço que processa dados de saúde.
6. O que acontece com os dados se você cancelar?
Quando um contrato termina, os dados dos pacientes ficam com o fornecedor por quanto tempo? São deletados de forma verificável? A LGPD, art. 18, garante ao titular dos dados (o paciente) o direito de exclusão dos dados após o término do tratamento para a finalidade original.
O que verificar: a política de exclusão de dados pós-cancelamento. Há confirmação de exclusão? Em quanto tempo? É auditável?
7. A IA é genérica ou foi desenvolvida para contexto de saúde?
Uma IA de propósito geral (um chatbot de produtividade com um prompt sobre clínica) e uma IA desenvolvida especificamente para prontuário psicológico têm diferenças práticas importantes além do vocabulário: as salvaguardas éticas, o tratamento de dados e a responsabilização do fornecedor tendem a ser diferentes.
O que verificar: o serviço foi desenvolvido para saúde mental ou é uma IA genérica com interface clínica? O fornecedor tem experiência documentada com LGPD e CFP, ou menciona apenas "LGPD" como selo sem detalhe?
8. O que diz a Cartilha do CFP sobre a ferramenta que você quer usar?
A Cartilha de Inteligência Artificial do CFP (dez/2025) não tem força normativa equivalente a uma Resolução, mas é o posicionamento oficial do Conselho sobre IA na psicologia. Ela pode ser usada como referência em processos éticos.
A cartilha estabelece que o profissional é responsável por verificar onde os dados são processados, por quanto tempo e quais são as garantias de não uso para treinamento de modelos. Não é uma responsabilidade que se delega ao software. Veja uma análise detalhada em ChatGPT no consultório: os riscos éticos que a Cartilha do CFP aponta.
Checklist resumido (para consulta rápida)
Antes de usar qualquer IA no consultório:
- [ ] Os dados não treinam o modelo (verificado na política de privacidade, não apenas prometido verbalmente)
- [ ] Os servidores estão no Brasil ou há mecanismo documentado de transferência internacional (LGPD art. 33)
- [ ] Há cifragem em repouso com método especificado (ex.: AES-256-GCM)
- [ ] O acesso interno ao dado está documentado e restrito
- [ ] O fornecedor assina ou disponibiliza um DPA
- [ ] Há política clara de exclusão de dados pós-cancelamento
- [ ] A ferramenta foi desenvolvida para contexto de saúde, não adaptada de uso geral
- [ ] O fornecedor cita corretamente a legislação aplicável (LGPD art. 11, Resoluções CFP)
Uma ferramenta que não passa em mais de dois itens desse checklist não deveria processar prontuário psicológico.
O que perguntar ao fornecedor antes de contratar
"Meus dados treinam o modelo?" é a primeira. Mas vale ir além:
- Por quanto tempo os dados são retidos após o cancelamento?
- Você tem um DPA que posso assinar?
- Quem na sua equipe pode acessar o conteúdo dos prontuários?
- Onde ficam os servidores que processam os dados enviados pela IA?
- Como documentar o consentimento dos meus pacientes para o uso de IA no prontuário?
Sobre essa última pergunta, a prática recomendada é incluir o uso de IA no TCLE ou documento de consentimento do paciente antes de começar o atendimento. Detalhes de como redigir esse documento em modelo de TCLE para uso de IA na sessão.
Perguntas frequentes
Usar ChatGPT para escrever evoluções viola a LGPD?
Depende de como você usa. Se você descreve o caso do paciente (mesmo sem nome) no ChatGPT gratuito, está enviando dados de saúde para servidores de uma empresa norte-americana sem garantias de conformidade com LGPD art. 11. O ChatGPT gratuito usa as conversas para treinamento por padrão. A versão paga tem termos mais restritivos, mas ainda exige que você configure a conta para não usar dados em treinamento — e a transferência internacional continua a ser um ponto a verificar. Leia a análise completa em ChatGPT no consultório: os riscos éticos.
Preciso do consentimento do paciente para usar IA no prontuário?
A LGPD, art. 11, exige base legal para tratar dados sensíveis. Para prontuário, a base mais comum é a execução do contrato de prestação de serviços e o exercício regular de direito pelo profissional de saúde. Mas o uso de IA como ferramenta de processamento adicional traz uma camada nova: o paciente deve saber que um sistema de IA processa os dados da sessão, especialmente se houver qualquer uso além do registro. A prática recomendada é mencionar isso no TCLE ou consentimento de atendimento.
A IA do Sinthoma usa os dados dos meus pacientes para treinamento?
Não. O Sinthoma usa o modelo Claude (Anthropic) via API. Os dados dos pacientes não são enviados para treinamento de nenhum modelo — a API da Anthropic, nos termos de uso comercial, não usa dados de chamadas de API para treinar os modelos públicos. Os dados ficam em servidores na região sa-east-1 (São Paulo) com cifragem em repouso. Veja mais em segurança e privacidade.
Como explicar para o paciente que uso IA no prontuário?
Você não precisa entrar em detalhe técnico com o paciente, mas precisa ser transparente sobre o fato. Uma forma simples: no TCLE, incluir algo como "Os registros das sessões podem ser processados por sistema de inteligência artificial para apoio à documentação clínica, com os dados mantidos em conformidade com a LGPD e as Resoluções do CFP." O paciente tem o direito de saber que seus dados de saúde são processados por ferramenta automatizada.
Veja também: ChatGPT no consultório: os riscos éticos que a Cartilha do CFP aponta · prontuário com IA é seguro? · sigilo no prontuário psicológico: LGPD e CFP.
Receba os guias no e-mail
Prontuário, fiscal, IA na clínica e CFP — sem juridiquês. Um e-mail quando sai conteúdo novo. Sem spam, cancele quando quiser.
Ao inscrever, você concorda em receber e-mails do Sinthoma. Tratamos seu e-mail conforme a Política de Privacidade.