Início Blog LGPD e compliance

LGPD para profissionais de saúde: o que seu site precisa ter em 2026

· LGPD e compliance · 3 min leitura
TL;DR: Em conformidade com a LGPD, o site de um profissional de saúde precisa: (1) política de privacidade clara, (2) consentimento explícito antes de coletar dados sensíveis, (3) HTTPS obrigatório, (4) retenção mínima necessária, (5) canal para exercer direitos do titular.

Por que LGPD é especialmente sensível na saúde

A LGPD (Lei 13.709/2018) classifica dados relacionados à saúde como dados pessoais sensíveis (art. 5º, II). Isso significa que o tratamento exige base legal mais rigorosa e o descumprimento gera multa que pode chegar a 2% do faturamento, até R$ 50 milhões por infração.

Na prática, quase todo formulário de consultório coleta dado sensível: sintomas, queixa principal, histórico, exames. Se seu site tem formulário ou se você armazena informação digital do paciente, a LGPD te afeta.

Os 5 itens obrigatórios no site

1. Política de privacidade acessível

Precisa existir, precisa estar linkada no rodapé de toda página, precisa ser escrita de forma compreensível (não juridiquês). Tem que informar:

  • Quem é o controlador dos dados (você, pessoa física ou a pessoa jurídica da clínica).
  • Quais dados você coleta (contato, saúde).
  • Para quê (agendamento, atendimento, cumprimento legal).
  • Base legal de cada tratamento (art. 7º para dados comuns, art. 11 para sensíveis).
  • Com quem compartilha (provedor SMTP, plataforma de agenda, prontuário eletrônico).
  • Por quanto tempo retém os dados.
  • Como o titular pode exercer direitos (contato direto para acesso, exclusão, portabilidade).

2. Consentimento explícito para dados sensíveis

Para dados de saúde, a base legal mais comum é consentimento específico e informado (art. 11, I) ou tutela da saúde (art. 11, II, alínea f). Nos dois casos, a pessoa precisa saber o que está consentindo.

Na prática: se seu formulário de contato pergunta "qual sua queixa principal", precisa ter um checkbox como: *"Autorizo o tratamento dos meus dados pessoais e de saúde para agendamento e atendimento, conforme a Política de Privacidade."*. Sem pré-marcado.

3. HTTPS em toda página

Certificado SSL (HTTPS) é pré-requisito técnico para qualquer operação com dados pessoais. Sem HTTPS, os dados trafegam em texto limpo. O que é considerado falha de segurança e pode gerar multa. Quase todos os provedores de hospedagem dão HTTPS grátis via Let's Encrypt; não há desculpa para não ter.

4. Retenção mínima necessária

Não guarde dado sem motivo. Exemplos práticos:

  • Contato de lead que nunca agendou: excluir em 6–12 meses.
  • Dados de paciente ativo: manter enquanto houver relação.
  • Dados de paciente inativo: seguir a retenção legal do prontuário (mínimo 20 anos pelo CFM para prontuário médico; varia por profissão).
  • Logs de navegação do site: 13 meses padrão Google Analytics, ou conforme necessidade de auditoria.

5. Canal para exercer direitos do titular (art. 18)

O paciente pode, a qualquer momento: pedir acesso aos dados, correção, eliminação, portabilidade. Você precisa ter um email ou canal específico para receber esses pedidos e responder em até 15 dias.

Coloque um email claro na política: *"Para exercer direitos previstos na LGPD, envie email para privacidade@seudominio.com."*

Erros comuns que geram risco

  • Google Analytics sem Consent Mode (v2) configurado. Coleta de dados antes de consentimento.
  • Meta Pixel ou outro tracker ativado por padrão, sem opt-in.
  • Política de privacidade genérica de template que não descreve seus fluxos reais.
  • Formulário pré-marcado com aceite de cookies ou política. Contra a LGPD (consentimento precisa ser ativo).
  • Backup de planilha com dados de paciente em serviço público (Google Drive pessoal, Dropbox sem DPA).

Ferramenta prática: Consent Mode v2

Para sites que usam Google Analytics ou Google Ads, o Consent Mode v2 é o padrão técnico para respeitar consentimento. Ele define "denied" por padrão e só ativa o tracking depois que o usuário aceita cookies não-essenciais via banner.

Muitas plataformas por assinatura já entregam isso pronto. No BigDuck AI, por exemplo, está configurado por padrão em todos os sites gerados.

Próximos passos práticos

  • Auditoria rápida: seu site tem política de privacidade linkada no rodapé de TODA página? Se não, é o item 1.
  • Tem certificado HTTPS em todas as rotas? Teste em ssllabs.com.
  • Se usa formulário com dados de saúde, tem checkbox de consentimento explícito (não pré-marcado)?
  • Tem um email de contato para exercício de direitos mencionado na política?

Quer um site pronto em poucos dias?

A BigDuck AI cria seu site profissional conversando pelo WhatsApp. A partir de R$ 29,90/mês.

Ver planos e entrar na lista

Leia também

Referência Política de privacidade da BigDuck AI Artigo Publicidade para psicólogos: regras do CFP Produto Ver planos da BigDuck AI