LGPD: o que é e como adequar a sua clínica odontológica

O consultório odontológico é, dentro do universo dos pequenos negócios brasileiros, um dos mais expostos à Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Anamnese, fotografias intra e extra-orais, radiografias, prontuário, evolução clínica, dados financeiros do paciente — tudo isso é dado pessoal. Boa parte é, juridicamente, dado pessoal sensível (art. 5º, II, da LGPD), categoria que recebe proteção reforçada por se tratar de informação de saúde.

Ainda assim, a maior parte dos consultórios brasileiros não fez a adequação básica à lei. O motivo mais comum é a percepção equivocada de que LGPD é “problema de grande empresa”. Não é. É problema de qualquer pessoa jurídica que trate dados pessoais — e o consultório de um único dentista trata centenas deles todo mês.

Este artigo apresenta os pontos centrais da LGPD aplicada à clínica odontológica e descreve um caminho prático de adequação em quatro etapas, sem alarmismo e sem promessa de solução mágica.

O que a LGPD exige da clínica

A LGPD organiza todo o tratamento de dados pessoais em três pilares: finalidade legítima, base legal adequada e garantia de direitos do titular.

Para o consultório odontológico, as bases legais mais frequentes são:

• Consentimento do titular (art. 7º, I, e art. 11, I) — pedido expresso ao paciente, antes do início do tratamento, para usar fotografias clínicas em apresentações, redes sociais ou material acadêmico.
• Execução de contrato (art. 7º, V) — usar os dados do paciente para prestar o próprio serviço odontológico contratado é dispensa expressa de consentimento adicional.
• Cumprimento de obrigação legal (art. 7º, II, e art. 11, II) — manter o prontuário pelo prazo regulamentar do Conselho Federal de Odontologia é dever profissional; não exige consentimento separado.
• Proteção da vida ou tutela da saúde (art. 7º, IV, e art. 11, II) — bases utilizadas em situações de urgência ou em procedimentos que envolvam compartilhamento de dados com profissionais de saúde para tratamento.

Misturar as bases legais — pedir consentimento para algo que se ampara em obrigação legal, por exemplo — não é só desnecessário: enfraquece a posição do controlador, porque o consentimento pode ser revogado pelo titular a qualquer momento (art. 8º, §5º).

Os três papéis dentro da clínica

A LGPD trabalha com três figuras principais:

Controlador. A clínica (ou o cirurgião-dentista pessoa jurídica) — quem toma as decisões sobre o tratamento dos dados. É o responsável principal por todas as obrigações da lei.

Operador. Quem trata os dados em nome do controlador. No contexto odontológico, são operadores: o laboratório protético que recebe modelos e fotos do paciente, o software de gestão do consultório, o Planning Center que recebe DICOM e STL para planejar o caso, a agência de marketing que faz a campanha do consultório. Cada operador precisa estar formalizado por contrato com cláusulas específicas de proteção de dados.

Encarregado pelo tratamento de dados (DPO). Pessoa indicada pelo controlador para ser o ponto de contato com os titulares e com a ANPD. Em clínicas de pequeno porte, pode ser função acumulada por um sócio ou um funcionário com treinamento; em clínicas maiores, pode ser função contratada externamente. A designação formal precisa estar publicada — normalmente na política de privacidade.

O caminho prático de adequação em quatro etapas

A adequação à LGPD não é projeto eterno. Uma clínica de pequeno e médio porte chega à conformidade básica em três a seis meses com trabalho estruturado.

1. Mapeamento de dados. Inventário de todos os dados pessoais tratados pela clínica, com suas finalidades, bases legais, prazo de retenção e fluxos. Inclui dados que saem da clínica (envio ao laboratório, ao Planning, ao seguro). Sem mapeamento, qualquer documento subsequente é cego.

2. Produção de documentos. Política de privacidade pública do consultório, termos de consentimento para os tratamentos que exigem essa base legal, contratos com operadores (laboratórios, software, planning, marketing) com cláusulas LGPD, e procedimento interno de resposta a solicitações de titulares.

3. Treinamento da equipe. Recepção, secretária, auxiliares de saúde bucal e demais profissionais que tocam dados precisam entender o básico — o que pode e o que não pode ser conversado em frente a outros pacientes, como tratar pedido de acesso a prontuário, o que fazer em caso de incidente.

4. Operação assistida. Plano de resposta a incidentes (vazamento, perda, acesso não autorizado), revisão periódica da política e suporte a solicitações pontuais de titulares. Aqui termina a adequação e começa a manutenção.

Sanções e riscos reais

A ANPD pode aplicar advertência, multa simples (até 2% do faturamento do grupo, limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio temporário e até eliminação compulsória dos dados (art. 52). Até hoje, em 2026, o número de multas aplicadas a clínicas odontológicas é pequeno em relação ao universo de não-adequados.

O risco mais frequente e mais subestimado não é a multa da ANPD: é a ação individual de paciente por danos morais decorrentes de vazamento, uso indevido de imagem ou compartilhamento não autorizado de informação clínica. Esse risco é silencioso, recorrente e fica fora dos holofotes — mas é o que efetivamente onera o consultório que não se adequa. O papel do assistente técnico em ações cíveis odontológicas tem relação direta com essa frente: é nesses processos que o prontuário e os termos de consentimento da clínica viram peça central da prova.

Em resumo

LGPD não é tema corporativo distante: é um conjunto de práticas que organizam o que a clínica já deveria estar fazendo por dever ético e profissional. O custo da adequação inicial é muito menor que o custo de uma ação judicial — e, mais importante, do que o custo reputacional de um vazamento.

Se você quer estruturar a adequação da sua clínica, conheça a consultoria LGPD do instituto. Nosso objetivo é deixar o consultório autônomo para operar em conformidade — não criar dependência de consultoria permanente.