Pular para o conteúdo
Voltar ao diárioSinthoma
IA na clínica

Prontuário com IA é seguro? 6 perguntas antes de deixar uma IA ler suas sessões

Prontuário com IA é seguro? Veja o que a LGPD e a ética CFP exigem e as 6 perguntas que separam software seguro de marketing antes de uma IA ler sua sessão.

Equipe Sinthoma

8 min de leitura

IA na clínica
sinthoma.com.br
Neste artigo

Pode ser seguro, mas a palavra "IA" no marketing não garante nada. Hoje praticamente todo prontuário diz que tem IA — virou paridade, não diferencial. O que separa seguro de perigoso são detalhes que quase ninguém mostra na landing page: onde a IA roda, se ela treina com os seus dados, se identificadores do paciente saem antes do envio ao modelo, e se há contrato de operador. Este texto te dá as 6 perguntas exatas a fazer antes de deixar uma IA ler o conteúdo das suas sessões, com o que olhar em cada resposta.

Conteúdo de sessão é dado de saúde mental — ou seja, dado sensível segundo a Lei 13.709/2018 (LGPD). Mandar isso para uma IA é um tratamento de dado sensível, com tudo que a lei exige em cima: base legal, minimização, segurança e um operador idôneo. Não é proibido. É só algo que precisa ser feito com cuidado — e o cuidado é verificável.

"Com IA" virou paridade: o que separa seguro de marketing

Em 2026, dizer "prontuário com IA" não diz mais nada sobre segurança. A frase está em quase todo concorrente. O que importa é como a IA é usada. Dois produtos podem ter exatamente o mesmo selo "com IA" e estarem em extremos opostos: um anonimiza identificadores, tem contrato de operador e não treina modelo com seus dados; o outro manda a transcrição crua para uma API genérica que pode usar tudo para treinar. A diferença não aparece no botão. Aparece nas respostas a 6 perguntas.

O que a LGPD e a ética do CFP exigem

Pela LGPD, dado de saúde é sensível (art. 11). Para tratá-lo você precisa de base legal (em geral o consentimento do paciente ou a tutela da saúde), minimização (mandar só o necessário) e segurança técnica. Se um software processa esses dados em seu nome, ele é operador e deve haver um contrato de tratamento — o famoso DPA.

Do lado da ética: até 2026 não existe resolução do CFP que proíba IA no prontuário. Há orientações preliminares e princípios que se sustentam sozinhos:

  • A IA não substitui seu julgamento clínico — ela organiza, você decide.
  • Transparência ao paciente: se há gravação, transcrição ou análise por IA, isso consta no termo de consentimento.
  • Os dados clínicos não devem treinar modelos de IA.
  • Anonimização dos identificadores antes de enviar conteúdo ao modelo.

Guarde esses quatro pontos. As 6 perguntas a seguir são a forma prática de checá-los em qualquer software — inclusive no Sinthoma.

As 6 perguntas antes de deixar uma IA ler suas sessões

1. Qual modelo e onde ele roda?

Você tem o direito de saber qual IA está lendo a sua sessão. Se a empresa responde só "usamos IA de ponta", é sinal de alerta. O que olhar: o modelo deve ser nomeado (ex.: Claude, da Anthropic) e a documentação deve dizer por onde o dado passa e onde fica armazenado. "IA própria e secreta" raramente é melhor — costuma ser uma API genérica embrulhada, sem as garantias contratuais que um provedor sério oferece.

No Sinthoma, o modelo é nomeado (Claude) e o tratamento é descrito. Sem caixa-preta.

2. Meus dados treinam o modelo?

Esta é a pergunta que mais separa seguro de perigoso. Se o conteúdo das suas sessões vira material de treino, ele pode influenciar respostas a outros usuários — e você perdeu o controle. O que olhar: uma afirmação explícita de que dados de sessão não treinam modelos, idealmente reforçada por contrato. Quando o software usa um provedor via API com treino desativado, isso deve estar escrito.

O Sinthoma não treina modelos com dados de sessão. É uma regra, não uma intenção vaga.

3. Há anonimização de PII antes do envio?

PII são os identificadores: nome, telefone, e-mail, documentos. A boa prática é redigir esses identificadores antes de o conteúdo chegar ao modelo — o que reduz o dano se algo der errado e respeita a minimização da LGPD. O que olhar: se a empresa descreve uma etapa de redação/anonimização de PII antes do envio, ou se simplesmente manda a transcrição crua. "Mandamos tudo, mas é criptografado no caminho" não é a mesma coisa — criptografia em trânsito não substitui minimização.

No Sinthoma, identificadores são redigidos/anonimizados antes de o conteúdo ir ao modelo.

4. Tem DPA assinável e base legal clara?

Se o software é operador dos seus dados, precisa existir um contrato de tratamento (DPA) que você possa de fato assinar — e uma base legal nomeada para o tratamento. O que olhar: um DPA disponível e legível, não uma cláusula escondida nos termos de uso. A ausência de DPA é, sozinha, motivo para desconfiar.

O Sinthoma disponibiliza um DPA. Se você precisa responder a um paciente ou ao seu próprio advogado, há documento.

5. A IA inventa ou só organiza o que foi dito?

Modelos de linguagem alucinam: completam lacunas com conteúdo plausível que ninguém disse. Num prontuário, isso é grave — pode virar um registro de algo que o paciente nunca falou. O que olhar: algum mecanismo anti-alucinação e, principalmente, a regra de que você revisa e edita antes de salvar. A IA deve organizar o que foi dito, não preencher buracos.

O Sinthoma usa um pipeline anti-alucinação (gera → critica → regenera) para reduzir invenção. Mesmo assim, o registro final é seu: você revisa antes de salvar. Nenhum pipeline é perfeito — por isso a revisão humana é parte do desenho, não um extra.

6. O paciente consentiu?

Gravar, transcrever e analisar com IA são coisas distintas, e cada uma pode exigir consentimento próprio. O que olhar: um consentimento que distinga essas etapas (gravação, transcrição, análise, uso anônimo) e que fique registrado com data e versão — para você conseguir provar o que o paciente autorizou e quando.

O consentimento no Sinthoma é granular e versionado: gravação, transcrição, análise e uso anônimo são itens separados, com histórico.

Riscos reais, ditos sem rodeio

Vale nomear o que pode dar errado, porque o marketing costuma esconder:

  • Treino com seus dados. Conteúdo clínico virando material de treino é o pior cenário — perda de controle definitiva.
  • Alucinação. A IA registra algo que não foi dito e isso entra no prontuário como se fosse fato.
  • Falta de DPA. Sem contrato de operador, você fica exposto perante a LGPD e sem respaldo se um paciente questionar.
  • Dados saindo do Brasil sem garantias. Transferência internacional sem salvaguardas é um risco real e específico da LGPD.
  • Gravação sem consentimento. Gravar sessão sem o paciente saber é problema ético e legal, independentemente da IA.
  • Opacidade. Não saber qual modelo lê suas sessões impede qualquer avaliação séria de risco.

Anonimização e redação de PII, em uma frase

Anonimizar não é criptografar. Criptografia protege o dado guardado e em trânsito; anonimização tira o identificador antes do dado ser processado. As duas coisas se somam: o ideal é cifrar o que está armazenado e redigir identificadores antes de enviar ao modelo. No Sinthoma, a PII em repouso é cifrada na camada de aplicação com AES-256-GCM, e os identificadores são redigidos antes de qualquer envio à IA. Não é perfeição — é o conjunto de cuidados que reduz dano de verdade.

Sinal de marketing × sinal de segurança real

Sinal de marketingSinal de segurança real
"Powered by IA de ponta"Modelo nomeado (ex.: Claude) e fluxo do dado documentado
"Seus dados são seguros"DPA assinável + base legal LGPD nomeada
"Criptografia de ponta a ponta"Cifragem em repouso e redação de PII antes do envio à IA
"A IA gera tudo pra você"Pipeline anti-alucinação e revisão humana obrigatória
Termo único de "uso de IA"Consentimento granular e versionado por etapa
Silêncio sobre treinoAfirmação explícita: dados de sessão não treinam modelos

Se um produto marca só a coluna da esquerda, a "IA" provavelmente é argumento de venda, não de segurança.

Onde o Sinthoma se encaixa (com honestidade)

Não vamos prometer infalibilidade — desconfie de quem promete. O que dá para dizer é como o sistema foi desenhado para responder bem às 6 perguntas: PII cifrada em repouso com AES-256-GCM; redação de identificadores antes do envio ao modelo; pipeline anti-alucinação (gera → critica → regenera); consentimento granular e versionado; dados de sessão que não treinam modelos; e modelo nomeado (Claude). É um exemplo concreto de "como deveria ser" — e um padrão que você pode cobrar de qualquer fornecedor, inclusive de nós.

Se você ainda está decidindo entre opções, vale ler também prontuário gratuito com IA: vale a pena? e o guia de LGPD para psicólogos.

Perguntas frequentes

O CFP proíbe IA no prontuário?

Não. Até 2026 não há resolução do CFP que proíba IA no prontuário; existem orientações preliminares. Os princípios que se sustentam são: a IA não substitui seu julgamento clínico, há transparência ao paciente, os dados não treinam modelos e os identificadores são anonimizados antes do envio ao modelo.

A IA pode inventar o que o paciente disse?

Pode — é a chamada alucinação, quando o modelo completa lacunas com conteúdo plausível que ninguém disse. Por isso o desenho importa: mecanismos anti-alucinação reduzem o risco, mas o registro final deve sempre passar pela sua revisão antes de ser salvo. A IA organiza; quem decide é você.

Preciso avisar o paciente?

Sim. Se há gravação, transcrição ou análise por IA, isso deve constar no termo de consentimento, idealmente de forma granular (cada etapa separada) e versionada, com data. Assim você consegue provar o que foi autorizado e quando.

Meus dados treinam a IA?

Não devem. Conteúdo clínico não pode virar material de treino de modelo — isso fere a minimização da LGPD e a ética profissional. Exija do fornecedor uma afirmação explícita de que dados de sessão não treinam modelos. No Sinthoma, não treinam.

Continue lendo: LGPD para psicólogos
Tags:IALGPDsigiloprontuário

Continue lendo