Direitos do Paciente na LGPD: Como Clínicas Odontológicas Devem Responder

Os 9 Direitos do Titular (Art. 18 da LGPD)

O Art. 18 da LGPD assegura ao titular dos dados os seguintes direitos em relação ao controlador:

I — Confirmação de Existência de Tratamento

O paciente pode perguntar: "Você tem dados meus?" A clínica deve confirmar sim ou não. Mesmo que a resposta seja negativa (ex.: a pessoa nunca foi paciente), a clínica deve responder. É o direito mais básico e a porta de entrada para todos os outros.

II — Acesso aos Dados

O paciente tem direito a receber uma cópia completa de todos os dados que a clínica possui sobre ele: dados do prontuário, anamnese, diagnósticos, tratamentos realizados, dados de contato, registros de consentimento. O Art. 19 define o prazo para essa resposta (ver abaixo).

III — Correção de Dados Incompletos, Inexatos ou Desatualizados

Se o paciente identificar erro nos próprios dados (telefone errado, data de nascimento incorreta, alergia não registrada), pode exigir correção. A clínica deve corrigir e confirmar a correção ao paciente.

IV — Anonimização, Bloqueio ou Eliminação de Dados Desnecessários

Dados que não têm mais finalidade legítima devem ser eliminados, anonimizados ou bloqueados quando solicitado. Atenção: dados cuja guarda é obrigatória por lei (como o prontuário) têm base legal autônoma — ver seção sobre o conflito com o CFO.

V — Portabilidade dos Dados

O paciente pode solicitar que seus dados sejam transferidos para outro controlador (ex.: outra clínica, um plano de saúde). O Art. 18 V garante portabilidade "a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional." Para dados de saúde, isso inclui arquivos digitais de radiografias e prontuário eletrônico.

VI — Eliminação dos Dados Tratados com Consentimento

Se o tratamento era baseado em consentimento (ex.: marketing por WhatsApp), o paciente pode solicitar a eliminação desses dados após revogar o consentimento. Não se aplica a dados mantidos por obrigação legal.

VII — Informação sobre Compartilhamento

O paciente pode perguntar: "Com quem você compartilha meus dados?" A clínica deve informar: laboratório de prótese, convênio dental, software de prontuário, contador. A resposta deve ser específica — não basta dizer "com parceiros comerciais".

VIII — Informação sobre Possibilidade de Não Consentir

O paciente tem direito de saber que pode não consentir e quais serão as consequências. Para o atendimento clínico: sem consentimento para os dados necessários ao tratamento, a clínica pode (e deve) recusar o atendimento. Para marketing: sem consentimento, apenas deixará de receber comunicações promocionais — não afeta o atendimento.

IX — Revogação do Consentimento

Ver Art. 8º §5º (detalhado no artigo sobre consentimento). A clínica deve disponibilizar canal gratuito e simples para revogação e cessar o tratamento para a finalidade revogada.

Prazo de Resposta: O Que Diz o Art. 19

O Art. 19 da LGPD estabelece dois modelos de resposta:

• Imediata e simplificada: a confirmação de existência e o acesso devem ser fornecidos imediatamente, de forma simplificada. Para uma clínica odontológica, isso significa que se o paciente perguntar pessoalmente ou por e-mail "vocês têm dados meus?", a resposta deve ser dada sem burocracia.
• Prazo de 15 dias corridos: para o acesso completo aos dados (declaração clara e completa), o prazo máximo é de 15 dias corridos a contar da data do requerimento. O prazo é contado em dias corridos, não úteis.

O Art. 19 §3º autoriza a clínica a cobrar custo real pelos serviços de portabilidade — mas o custo precisa ser justificado e proporcional, e não pode servir de barreira para o exercício do direito.

Boa prática: estabeleça internamente prazo de 10 dias para resposta, deixando 5 dias de margem. Documente a data de recebimento da solicitação e a data de envio da resposta — essa documentação é prova num eventual PAS.

Revisão de Decisão Automatizada (Art. 20)

O Art. 20 garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses — incluindo decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade.

Para clínicas odontológicas, isso é raramente aplicável na prática clínica atual. Mas pode ser relevante em sistemas de: triagem automatizada de pacientes com base em prontuário, scoring de risco clínico por IA, ou definição automática de preços com base no histórico do paciente. Se a clínica usar sistemas com essas funcionalidades, deve estar preparada para revisão humana quando solicitada.

Como Estruturar o Processo de Resposta a Solicitações de Titulares

Uma clínica organizada deve ter um processo documentado em cinco etapas:

Etapa 1 — Canal de Recebimento

Defina um canal específico para solicitações de titulares: e-mail dedicado (ex.: dados@clinicasorriso.com.br), formulário no site ou portal do titular. Divulgue o canal na política de privacidade e no formulário de consentimento.

Etapa 2 — Verificação de Identidade

Antes de fornecer dados, confirme que quem solicita é realmente o titular. Para pacientes, solicite confirmação de pelo menos dois dados que apenas o titular saberia (CPF + data de nascimento, ou CPF + número de prontuário). Não é necessário exigir cópia de documento — o nível de verificação deve ser proporcional ao risco.

Etapa 3 — Triagem do Tipo de Solicitação

Identifique qual direito está sendo exercido: acesso, correção, exclusão, portabilidade ou revogação de consentimento. Cada tipo tem procedimento diferente e pode ter bases legais que limitam o atendimento (como no caso do prontuário).

Etapa 4 — Resposta no Prazo

Responda dentro do prazo de 15 dias. Se não for possível atender integralmente (ex.: exclusão negada por obrigação legal), explique a razão com fundamento jurídico claro. Uma resposta "não podemos excluir porque a Resolução CFO-63/2005 exige guarda de 10 anos" é juridicamente válida e demonstra boa-fé.

Etapa 5 — Registro e Documentação

Registre: data de recebimento, identidade do solicitante (após verificação), tipo de solicitação, resposta enviada, data de envio e qualquer ação tomada (correção realizada, dado excluído, etc.). Esse registro é prova de conformidade numa eventual investigação.

Exclusão vs. Guarda Obrigatória: O Conflito com o CFO

Um dos cenários mais comuns e delicados em clínicas odontológicas: o paciente solicita exclusão do prontuário. A clínica pode negar?

Sim — e deve, com fundamento legal correto.

A Resolução CFO-63/2005 (Código de Ética Odontológico) e a Resolução CFO-118/2012 estabelecem que o prontuário odontológico deve ser mantido pelo prazo mínimo de 10 anos após o término do tratamento. Isso é obrigação legal do profissional de odontologia.

O Art. 16 II da LGPD prevê exceção expressa: os dados pessoais podem ser conservados após o término de seu tratamento nas seguintes hipóteses, entre outras: "para cumprimento de obrigação legal ou regulatória pelo controlador."

Portanto, a resposta correta ao paciente que solicita exclusão do prontuário é:

"Recebemos sua solicitação de exclusão de dados. Conforme o Art. 16 II da Lei nº 13.709/2018 (LGPD), mantemos o prontuário odontológico pelo prazo mínimo de 10 anos após o término do tratamento, por exigência da Resolução CFO-63/2005 do Conselho Federal de Odontologia. Durante esse período, seus dados estão protegidos conforme nossa política de privacidade e são utilizados exclusivamente para cumprimento dessa obrigação legal. Após o prazo regulatório, os dados serão eliminados. Para dados de marketing ou outros não relacionados ao prontuário clínico, efetuamos a exclusão imediata."

Essa resposta: (a) reconhece a solicitação; (b) cita a base legal específica; (c) informa o que foi ou não feito; (d) demonstra boa-fé. É o padrão que a ANPD espera.

Portabilidade de Radiografias e Imagens Clínicas

O direito de portabilidade (Art. 18 V) é frequentemente mal interpretado em clínicas odontológicas. Quando um paciente solicita portabilidade dos dados para outra clínica, isso inclui:

• Arquivos digitais de radiografias (formato DICOM, JPEG ou o formato nativo do sistema)
• Fotos intra-orais digitalizadas
• Prontuário eletrônico em formato estruturado (PDF, XML ou o formato do sistema)
• Histórico de procedimentos realizados
• Dados da ficha de anamnese

A clínica não pode fornecer apenas uma cópia impressa de baixa qualidade das radiografias digitais e considerar cumprida a obrigação. O Art. 18 V fala em dados "em formato estruturado, de uso corrente e de leitura por máquina" — o arquivo digital original atende esse requisito; a impressão, não.

A clínica pode cobrar custo real do suporte (pen drive, CD, transmissão digital), mas o custo não pode ser proibitivo. Custo razoável: R$ 20-50 por CD/pen drive. Custo proibitivo e vedado: R$ 500 por "serviço de transferência".

Radiografias em filme físico (não digital): a clínica deve fornecer o original ou cópia de qualidade equivalente. A ANPD reconhece que a portabilidade de dados analógicos tem limitações tecnológicas, mas a boa-fé e a razoabilidade do esforço são avaliadas.

O Que Acontece Se a Clínica Não Responder no Prazo

A ausência de resposta dentro do prazo de 15 dias é uma infração autônoma à LGPD, independente de qualquer outro descumprimento. Consequências:

• Reclamação na ANPD: o paciente pode registrar reclamação imediatamente após o vencimento do prazo. A ANPD tem tratado casos de omissão como infração a ser investigada.
• Ação civil: o Art. 22 da LGPD garante ao titular a defesa dos interesses em juízo. O paciente pode ajuizar ação pedindo cumprimento da obrigação + reparação por danos morais.
• Agravante no PAS: se a clínica já está sob investigação por outro motivo, a ausência de resposta às solicitações de titulares agrava a sanção (Art. 52 §1º, fatores de dosimetria).

A boa notícia: o simples ato de responder — mesmo que a resposta seja uma negativa fundamentada — cumpre a obrigação e fecha a porta para a maioria das reclamações. A maior parte dos conflitos acontece por omissão, não por conteúdo da resposta.

FAQ — Direitos do Titular LGPD em Clínicas

Em quanto tempo devo responder uma solicitação do paciente?

O Art. 19 determina imediatamente para confirmação de existência e até 15 dias corridos para acesso completo. Estabeleça prazo interno de 10 dias com margem de segurança.

O paciente pode pedir exclusão do prontuário?

Pode solicitar. A clínica pode negar com base no Art. 16 II LGPD + Resolução CFO-63/2005 (guarda mínima de 10 anos). Informe ao paciente a base legal da manutenção.

O paciente tem direito às radiografias digitais?

Sim. O direito de portabilidade (Art. 18 V) inclui arquivos digitais de imagens clínicas em formato estruturado. A clínica pode cobrar custo real do suporte.

O que acontece se eu não responder no prazo?

O paciente pode reclamar na ANPD imediatamente. A omissão é infração autônoma, sujeita a advertência ou multa.

Como verifico a identidade do solicitante?

Solicite confirmação de dois dados que apenas o titular saberia (CPF + data de nascimento, ou CPF + número de prontuário). O nível de verificação deve ser proporcional ao risco — não exija documentos em excesso.

Gerencie Solicitações de Titulares com Portal Integrado

O Consentimento LGPD inclui portal do titular integrado: os pacientes enviam solicitações pelo portal, a clínica recebe notificação, responde dentro do prazo e tudo fica registrado com timestamp. Controle total do prazo de 15 dias e histórico de conformidade gerado automaticamente.

Planos a partir de R$ 79,90/mês. 15 dias grátis, sem cartão de crédito.