LGPD para psicólogos: guia prático de proteção de dados na clínica (2026)
Guia prático de LGPD para psicólogos: dado sensível, base legal, controlador vs operador, 7 erros comuns, checklist de adequação e o que fazer em incidente.
Equipe Sinthoma
8 min de leitura
Neste artigo
- A LGPD se aplica ao seu consultório? Sim, mesmo sendo autônomo
- Dado de saúde mental é dado sensível — e isso muda a base legal
- Controlador vs. operador: você decide, o software executa
- Os princípios que regem tudo (art. 6º)
- Os 7 erros mais comuns (e por que cada um é risco)
- Checklist de adequação em 1 página
- Direitos do paciente (art. 18): o que ele pode te pedir
- O que fazer em caso de incidente de segurança
- Como o Sinthoma ajuda (sem prometer milagre)
- Perguntas frequentes
Se você atende pacientes, você trata dados de saúde mental — e isso te coloca, sim, dentro da LGPD. A boa notícia: adequar o consultório não é virar advogado nem comprar um sistema caríssimo. É entender quatro conceitos, corrigir alguns hábitos de risco e manter um checklist. Este guia traz isso de forma direta, com a lei pelo número e pelo artigo, para você sair daqui sabendo exatamente o que fazer.
Aviso honesto: este material é orientativo e não substitui consultoria jurídica. Para casos específicos, fale com um(a) advogado(a) especializado(a) em proteção de dados.
A LGPD se aplica ao seu consultório? Sim, mesmo sendo autônomo
Aplica. A Lei nº 13.709/2018 (LGPD) vale para qualquer pessoa física ou jurídica que trate dados pessoais — não importa se você é clínica grande, cooperativa ou psicólogo solo com 12 pacientes. Atender, anotar evolução, guardar contato, emitir recibo: tudo isso é "tratamento de dados".
Não existe isenção por porte. O que existe é proporcionalidade: ninguém espera que um consultório individual tenha a mesma estrutura de um hospital. Mas o básico — base legal definida, segurança razoável e respeito aos direitos do paciente — vale para todo mundo.
E mais: a LGPD não substitui nem enfraquece o sigilo profissional. Ela se soma ao Código de Ética Profissional do Psicólogo (CFP). Quando há conflito, vale a regra mais protetiva ao paciente. Na prática, sigilo e LGPD puxam para o mesmo lado: proteger a pessoa que confiou em você.
Dado de saúde mental é dado sensível — e isso muda a base legal
Anotações de sessão, diagnóstico, evolução clínica: tudo isso é dado pessoal sensível. A LGPD define dado sensível no art. 5º, II, e inclui expressamente "dado referente à saúde". Saúde mental entra aí.
Dado sensível tem proteção reforçada. Você não pode tratá-lo com qualquer justificativa — precisa de uma base legal específica do art. 11. As duas que mais cabem na clínica:
| Situação | Base legal (art. 11) |
|---|---|
| Registro clínico, evolução, anamnese, prontuário | Tutela da saúde, por profissional de saúde (art. 11, II, "f") |
| Envio de newsletter, marketing, pesquisa, foto para divulgação | Consentimento específico e destacado (art. 11, I) |
A diferença importa. Para o prontuário em si, você normalmente se apoia na tutela da saúde — não precisa de um "termo de consentimento para guardar prontuário". Mas para tudo que sai da finalidade clínica (mandar mensagem promocional, usar caso em palestra, postar depoimento), aí sim você precisa de consentimento livre, informado e destacado.
"É vedado o tratamento de dados pessoais sensíveis, salvo quando o titular ou seu responsável legal consentir [...] ou [...] for indispensável para [...] tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde."
— LGPD, art. 11, I e II, "f"
Controlador vs. operador: você decide, o software executa
Aqui está o conceito que mais confunde — e o que faz o DPA importar.
- Controlador é quem decide por que e como os dados são tratados. No consultório, o controlador é você, psicólogo(a). A responsabilidade pela finalidade e pelas decisões é sua.
- Operador é quem trata os dados em nome do controlador, seguindo suas instruções. O software de prontuário, a contadora, a plataforma de teleconsulta — todos são operadores.
Como você é o controlador, a responsabilidade não some quando você terceiriza. Se um fornecedor seu vaza dados, você continua respondendo perante o paciente e a ANPD. Por isso a LGPD exige que essa relação esteja formalizada num DPA (Acordo/Contrato de Tratamento de Dados), em que o operador se compromete a:
- tratar os dados só para a finalidade que você definiu;
- aplicar medidas de segurança;
- não compartilhar com terceiros sem autorização;
- ajudar você a responder pedidos de titulares e incidentes.
Tradução prática: antes de colocar prontuário em qualquer ferramenta, pergunte "essa empresa me oferece DPA assinável?". Se a resposta for não, esse é um risco que recai sobre você. (No Sinthoma, o DPA do Sinthoma é assinável dentro da conta.)
Os princípios que regem tudo (art. 6º)
A LGPD lista princípios no art. 6º. Cinco que cabem direto na clínica:
- Finalidade — colete só para um propósito legítimo e informado.
- Necessidade / minimização — peça só o que é preciso. Não precisa do RG do paciente para agendar.
- Segurança — proteja contra acesso indevido (senha, criptografia, controle de acesso).
- Limitação de armazenamento — não guarde para sempre "por garantia".
- Transparência — o paciente tem direito de saber o que você guarda e por quê.
Os 7 erros mais comuns (e por que cada um é risco)
Estes são os hábitos que mais aparecem em consultório e mais expõem você:
| Risco comum | Por que é problema | Como adequar |
|---|---|---|
| WhatsApp pessoal com conteúdo clínico, fotos de evolução, áudios | Mistura dado sensível com app pessoal, backup em nuvem fora de controle, sem registro de finalidade | Use WhatsApp só para logística (confirmar horário). Nada de conteúdo de sessão. Prefira canal com DPA |
| Google Drive / Dropbox pessoal com prontuários | Conta pessoal não tem DPA com você; sincroniza com dispositivos diversos; acesso não controlado | Use sistema de prontuário com base legal, cifragem e DPA |
| Planilha de Excel com nome, CPF, diagnóstico | Sem controle de acesso, sem criptografia, fácil de vazar por e-mail ou pen drive | Migre para prontuário online conforme o CFP |
| Fornecedor sem DPA (sistema, contador, secretária terceirizada) | Você responde pelo operador; sem contrato, não há instrução nem garantia | Assine DPA com todo fornecedor que toca dados |
| Sem política de retenção ("guardo tudo para sempre") | Viola limitação de armazenamento; aumenta superfície de risco | Defina prazo de guarda (alinhado ao CFP) e exclua/anonimize depois |
| Sem controle de acesso (computador sem senha, conta compartilhada) | Qualquer pessoa do consultório vê tudo; sem rastreabilidade | Senha individual, perfis de acesso, logs |
| Sem plano de resposta a incidente | Vazamento sem plano = atraso, omissão e exposição maior | Tenha um passo a passo pronto (veja abaixo) |
Checklist de adequação em 1 página
Cole isso na parede do consultório. Se marcar tudo, você está bem à frente da maioria.
- [ ] Defini a base legal de cada tratamento (tutela da saúde para prontuário; consentimento para marketing).
- [ ] Tenho registro/consentimento destacado para usos fora da clínica (newsletter, foto, depoimento).
- [ ] Pratico minimização: coleto só o necessário.
- [ ] Prontuário fica em sistema com controle de acesso e criptografia, não em planilha ou Drive pessoal.
- [ ] Tenho DPA assinado com cada fornecedor que toca dados (software, contador, secretária).
- [ ] Defini uma política de retenção (por quanto tempo guardo, quando excluo).
- [ ] Sei exportar e excluir os dados de um paciente que pedir.
- [ ] Tenho um plano de resposta a incidente escrito.
- [ ] Informo o paciente, em linguagem simples, o que guardo e por quê.
Direitos do paciente (art. 18): o que ele pode te pedir
O art. 18 da LGPD dá ao titular — seu paciente — direitos que você é obrigado a atender. Os principais:
| Direito | O que significa na prática |
|---|---|
| Acesso | O paciente pode pedir cópia dos dados que você guarda sobre ele |
| Correção | Pode pedir para corrigir dado incompleto ou errado |
| Eliminação | Pode pedir exclusão (respeitadas obrigações legais de guarda do prontuário) |
| Portabilidade | Pode pedir os dados em formato que permita levar a outro profissional |
Atenção: eliminação não é absoluta. O CFP define prazos mínimos de guarda de prontuário; você não pode apagar um registro clínico só porque o paciente pediu, se houver obrigação legal de retenção. Quando houver conflito, documente a justificativa.
Na prática, atender esses direitos fica trivial se o seu sistema permite exportar e definir retenção — duas coisas que o Sinthoma já entrega.
O que fazer em caso de incidente de segurança
Vazou, perdeu o notebook, alguém acessou indevidamente? Aja rápido e por etapas:
- Conter — interrompa o acesso, troque senhas, isole o que vazou.
- Avaliar — quais dados, quantos titulares, qual o risco real de dano.
- Registrar — documente o que houve, quando, e o que você fez (data e hora).
- Comunicar — se houver risco relevante a direitos dos titulares, a LGPD prevê comunicação à ANPD e aos pacientes afetados, em prazo razoável.
- Corrigir — feche a brecha para não repetir.
Ter esse roteiro pronto antes do incidente é o que separa uma resposta profissional de um problema que vira processo.
Como o Sinthoma ajuda (sem prometer milagre)
Adequação à LGPD é sobre processo, não sobre comprar um botão mágico. Dito isso, a infraestrutura certa tira muito peso das suas costas. O Sinthoma oferece:
- Controle de acesso por perfil, com senha individual;
- Cifragem de PII em repouso (AES-256-GCM) — dado sensível guardado criptografado;
- DPA assinável dentro da conta;
- Exportação dos dados e retenção configurável para você cumprir os direitos do art. 18 e sua política de guarda.
O que continua sendo seu papel: definir finalidades, obter consentimento quando preciso, e não jogar conteúdo clínico no WhatsApp. Ferramenta nenhuma faz isso por você.
Perguntas frequentes
Preciso de consentimento por escrito para guardar o prontuário? Para o prontuário em si, normalmente não — você se apoia na base legal de tutela da saúde (art. 11, II, "f"), já que o registro clínico é indispensável ao atendimento por profissional de saúde. O consentimento destacado entra quando você quer usar os dados fora da finalidade clínica: newsletter, marketing, foto de divulgação, depoimento. Esses sim exigem consentimento específico (art. 11, I).
Posso usar WhatsApp com paciente? Para logística (confirmar horário, lembrete), com cautela, sim. Para conteúdo clínico — relato de sessão, fotos, áudios terapêuticos — evite: é dado sensível num app pessoal, com backup em nuvem fora do seu controle e sem DPA. Mantenha o conteúdo clínico dentro de um sistema próprio.
O que é DPA e por que preciso? DPA é o Acordo de Tratamento de Dados entre você (controlador) e cada fornecedor que toca dados de pacientes (operador): software, contador, secretária terceirizada. Como a responsabilidade pelos dados continua sua mesmo terceirizando, o DPA formaliza que o operador trata os dados só conforme suas instruções, com segurança. Sem DPA, o risco do fornecedor vira risco seu.
Sou obrigado a ter DPO (encarregado)? A LGPD exige a indicação de um encarregado pelo controlador, mas a ANPD já sinalizou tratamento proporcional para agentes de pequeno porte, que podem ter regras mais flexíveis. Na prática, um psicólogo autônomo costuma acumular essa função ou indicar um contato responsável. Não deixe de ter um ponto de contato para pedidos de titulares e incidentes — mesmo que seja você.
Continue lendo: Prontuário com IA é seguro? O que a LGPD diz