Como Coletar Consentimento LGPD Corretamente: Guia para Clínicas Odontológicas

As 10 Bases Legais da LGPD e Quando Cada Uma se Aplica à Clínica

O Art. 7º da LGPD lista dez hipóteses que autorizam o tratamento de dados pessoais. O consentimento é apenas uma delas — e nem sempre é a mais adequada. Confundir bases legais é um dos erros mais comuns em clínicas odontológicas.

Para dados pessoais comuns (nome, telefone, CPF, e-mail), as principais bases aplicáveis a uma clínica são:

• I — Consentimento (Art. 7º, I): o titular autorizou expressamente. Necessário para marketing, fotos em redes sociais, envio de promoções.
• II — Obrigação legal (Art. 7º, II): a lei exige o tratamento. Guarda do prontuário pelo prazo do CFO (mínimo 10 anos), emissão de nota fiscal, recolhimento de encargos trabalhistas da equipe.
• V — Execução de contrato (Art. 7º, V): necessário para prestar o serviço contratado. Dados de contato do paciente para agendar consulta, informações de cobrança.
• VI — Exercício regular de direitos (Art. 7º, VI): defesa da clínica em processos judiciais ou administrativos. Permite manter dados mesmo após pedido de exclusão se houver litígio.
• IX — Legítimo interesse (Art. 7º, IX): pode cobrir comunicações administrativas essenciais (confirmação de consulta por SMS simples, sem oferta comercial), mas requer teste de proporcionalidade documentado.

Para dados sensíveis (saúde, biometria), o Art. 7º não é suficiente — aplica-se o Art. 11, que tem lista própria e mais restrita (ver seção abaixo).

Erro frequente: clínicas que usam "legítimo interesse" para enviar promoções de implante via WhatsApp. Legítimo interesse não ampara marketing direto quando o titular não tem relação razoável de expectativa com aquela comunicação — a ANPD segue o entendimento europeu (EDPB Guidelines 06/2020).

Requisitos do Consentimento Válido (Art. 8º da LGPD)

O Art. 8º define que o consentimento deve ser manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada. Cada adjetivo tem peso jurídico:

Livre

O titular não pode estar em situação de desequilíbrio que o force a consentir. Em clínicas, isso significa: não condicionem o atendimento ao consentimento de marketing. Se o paciente se recusar a receber promoções por WhatsApp, a clínica não pode negar a consulta. Consentimento dado como condição de atendimento é inválido (Art. 8º §3º — o tratamento baseado em consentimento condicionado é nulo se o consentimento for requisito para execução de contrato quando não necessário).

Informado

O titular precisa saber: (a) quem é o controlador; (b) qual dado será tratado; (c) para qual finalidade específica; (d) com quem será compartilhado; (e) por quanto tempo ficará armazenado; (f) quais são seus direitos e como exercê-los. Frases genéricas como "concordo com o uso dos meus dados" não preenchem esse requisito.

Inequívoco

A manifestação precisa ser ativa e clara. Silêncio, inação ou caixa pré-marcada não equivalem a consentimento. O paciente precisa marcar ativamente a caixa, assinar o campo ou clicar no botão de confirmação.

Para finalidade determinada

Cada finalidade precisa de consentimento próprio. Consentimento genérico ("para qualquer finalidade") é inválido. Uma clínica pode coletar, na mesma tela, dois consentimentos distintos: um para lembretes de consulta e outro para envio de promoções — mas cada um com campo independente.

Dados de Saúde: Regras Específicas do Art. 11

Prontuário odontológico, ficha de anamnese, radiografias, diagnósticos, medicamentos prescritos e alergias são dados de saúde — categoria especial sob o Art. 11 da LGPD. O tratamento só é permitido nas hipóteses taxativas desse artigo:

• Art. 11, I — Consentimento do titular ou responsável legal: consentimento explícito e específico para a finalidade. É a base mais usada para coleta da anamnese, fotos intra-orais e radiografias.
• Art. 11, II, b — Obrigação legal ou regulatória: guarda obrigatória do prontuário conforme Resolução CFO-63/2005 e Código de Ética Odontológico.
• Art. 11, II, f — Tutela da saúde em procedimentos realizados por profissional de saúde: permite tratar dados de saúde sem consentimento quando necessário ao próprio atendimento clínico (ex.: acesso à ficha de anamnese durante emergência). É a base do atendimento, não do armazenamento prolongado.
• Art. 11, II, g — Garantia da prevenção à fraude e da segurança do titular: raramente aplicável a clínicas.

Implicação prática: a maioria das clínicas precisa de dois consentimentos para dados de saúde: (1) consentimento para o tratamento clínico e coleta da anamnese; (2) consentimento separado para uso de imagens em marketing ou envio a laboratórios parceiros não identificados no contrato original.

O Ônus da Prova É da Clínica (Art. 8º §2º)

O Art. 8º §2º é uma das disposições mais relevantes na prática: "Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei."

Traduzindo: se o paciente registrar reclamação na ANPD alegando que nunca consentiu com o envio de mensagens de marketing, a clínica precisa provar que o consentimento foi dado. A palavra do dentista não basta.

O que constitui prova suficiente:

• Registro digital com timestamp (data e hora exata), endereço IP do dispositivo usado, e hash criptográfico do texto apresentado no momento do consentimento (para provar que o texto não foi alterado após a aceitação).
• Assinatura física no formulário de papel, com data, texto legível das finalidades e campo de aceite independente.
• Gravação de vídeo (em telemedicina/teleconsulta) com confirmação verbal — menos usual mas juridicamente aceita.

Consentimento verbal na recepção, sem qualquer registro, é inválido para fins probatórios. Da mesma forma, e-mail de confirmação de consulta sem campo de aceite explícito não constitui prova de consentimento para marketing.

Direito de Revogação e Como a Clínica Deve Tratar (Art. 8º §5º)

O Art. 8º §5º garante que "o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado."

Isso significa que a clínica precisa:

1. Disponibilizar canal de revogação gratuito — não pode cobrar, exigir justificativa ou criar burocracia para a revogação. Um e-mail de solicitação para a secretaria é suficiente, desde que processado em prazo razoável.
2. Cessar o tratamento para a finalidade revogada — se o paciente revoga o consentimento de marketing, a clínica para de enviar promoções. O prontuário continua armazenado (base legal: obrigação legal/CFO), mas não pode ser usado para finalidades que dependiam do consentimento.
3. Informar sobre os efeitos da revogação — o Art. 8º §6º exige que o titular seja informado de que a revogação não afeta os tratamentos já realizados com base no consentimento anterior (efeito ex nunc, não retroativo).

Cenário prático: Maria Silva, paciente da Clínica Sorriso, solicita por e-mail que parem de enviar mensagens de promoção pelo WhatsApp. A clínica tem obrigação de: (a) confirmar o recebimento da solicitação; (b) remover o número do paciente das listas de marketing imediatamente; (c) manter o prontuário normalmente; (d) documentar a revogação e a data de cessação do tratamento de marketing.

O Que Invalida o Consentimento LGPD

A ANPD e os tribunais consideram inválidos os seguintes formatos de coleta de consentimento:

1. Caixa Pré-Marcada (Opt-out)

O campo já vem marcado e o paciente precisa desmarcá-lo para não consentir. Inválido porque o silêncio não equivale a manifestação inequívoca de vontade (Art. 8º). Substituir por opt-in: caixa vazia que o paciente marca ativamente.

2. Consentimento em Bloco (Blanket Consent)

Uma única cláusula que autoriza "qualquer tratamento de dados para qualquer finalidade". Inválido porque a LGPD exige finalidade determinada. A ANPD já sinalizou, no Guia Orientativo de 2021, que consentimentos genéricos não atendem ao requisito de especificidade.

3. Consentimento Bundled com Contrato

Texto de consentimento embutido nos termos gerais do contrato de prestação de serviços, sem destaque nem campo de aceite independente. O Art. 8º §1º determina que o consentimento deve ser fornecido por escrito ou outro meio que demonstre a manifestação de vontade — e o §3º veda que seja condição de execução do contrato quando desnecessário ao serviço.

4. Consentimento Obtido Sob Pressão

Condicionar o agendamento da consulta ao aceite de marketing, ou colher o consentimento de pacientes em situação de emergência quando não relacionado ao atendimento imediato. A LGPD exige que o consentimento seja livre — desequilíbrio de poder invalida.

5. Texto Inacessível ou Incompreensível

Cláusulas em linguagem jurídica complexa, fontes miúdas ou enviadas apenas por e-mail sem confirmação de leitura. O Art. 8º exige consentimento "informado" — a informação precisa ser acessível ao público-alvo da clínica.

Como Estruturar o Formulário de Consentimento para Clínica Odontológica

Um formulário válido para clínica odontológica deve conter:

Identificação do Controlador

Nome da clínica, CNPJ, endereço e canal de contato para exercício de direitos. Ex.: "Clínica Sorriso Ltda, CNPJ 00.000.000/0001-00, Rua das Flores, 123 — São Paulo/SP. Dúvidas sobre seus dados: dados@clinicasorriso.com.br"

Dados Coletados

Liste especificamente: nome completo, CPF, data de nascimento, número de telefone, e-mail, informações de saúde coletadas na anamnese (histórico médico, medicamentos em uso, alergias), imagens clínicas (radiografias, fotos intra-orais).

Finalidades — Campos Separados por Finalidade

• [ ] Atendimento clínico e elaboração de prontuário — obrigatório para o atendimento (base legal: execução de contrato + tutela da saúde)
• [ ] Envio de lembretes de consulta por WhatsApp — opcional, base legal: consentimento
• [ ] Envio de promoções e novidades da clínica por e-mail ou WhatsApp — opcional, base legal: consentimento
• [ ] Uso de fotos de antes/depois para fins de divulgação da clínica — opcional, base legal: consentimento

Compartilhamento com Terceiros

Identifique todos os terceiros que recebem dados: laboratório de prótese (indicar nome ou categoria), operadora de convênio dental, software de prontuário (indicar o fornecedor), contador/escritório de contabilidade.

Prazo de Retenção

Ex.: "Prontuário odontológico: mínimo de 10 anos conforme Resolução CFO-63/2005. Dados de marketing: até revogação do consentimento."

Direitos do Titular e Como Exercê-los

Informar que o paciente pode, a qualquer momento: acessar seus dados, corrigi-los, solicitar portabilidade, pedir exclusão (exceto dados cuja guarda é obrigatória por lei) e revogar o consentimento — gratuitamente, pelo e-mail ou portal indicado.

Assinatura/Aceite com Registro

Em papel: campo de data e assinatura próprio para o consentimento. Em formato digital: botão de confirmação que grava timestamp, IP e hash do texto — armazenados pelo sistema por pelo menos o prazo de retenção dos dados.

Consentimento Clínico vs. Consentimento de Marketing: Por Que São Diferentes

Este é o ponto que mais gera confusão nas clínicas. A distinção é fundamental:

Uma clínica que usa o mesmo formulário de consentimento para ambas as finalidades — sem campos independentes — está coletando consentimento de marketing inválido. Em caso de reclamação do paciente à ANPD, não terá como provar que o consentimento de marketing foi dado de forma livre e destacada.

FAQ — Perguntas Frequentes sobre Consentimento LGPD

O consentimento verbal na recepção é válido?

Não para fins de prova. O Art. 8º §2º impõe o ônus da prova ao controlador. Sem registro documentado, a clínica não consegue demonstrar o consentimento numa auditoria da ANPD.

Posso incluir o consentimento LGPD junto com o contrato de prestação de serviços?

Não de forma genérica. O Art. 8º §1º veda consentimento que prejudique seu caráter livre e informado quando dado em conjunto com outras declarações. Use campo ou cláusula destacada com aceite independente.

O paciente pode revogar o consentimento a qualquer momento?

Sim. O Art. 8º §5º garante esse direito. A clínica deve cessar o tratamento para a finalidade revogada — mas o prontuário, mantido por obrigação legal, não é afetado.

Caixa pré-marcada vale como consentimento?

Não. O Art. 8º exige manifestação inequívoca. Opt-out (caixa pré-marcada que o usuário precisa desmarcar) não satisfaz esse requisito.

E para pacientes menores de 18 anos?

O Art. 14 da LGPD exige consentimento específico dado por pelo menos um dos pais ou pelo responsável legal para o tratamento de dados de crianças e adolescentes. O menor não pode consentir sozinho.

Automatize a Coleta de Consentimento na Sua Clínica

O Consentimento LGPD gera formulários válidos para clínicas odontológicas com campos separados por finalidade, coleta de consentimento via WhatsApp ou QR Code na recepção, registro automático de timestamp e IP, e portal do titular para gerenciar revogações. Em conformidade com o Art. 8º e o Art. 11 da LGPD.

Planos a partir de R$ 79,90/mês. 15 dias grátis, sem cartão de crédito.