Multas LGPD para Clínicas Odontológicas: Quanto Custa Não Cumprir a Lei

Atualizado em junho de 2026 · Leitura: 14 min

O Que Está em Jogo: Os Números Reais

Antes de qualquer explicação técnica, veja os números que importam:

  • Multa máxima por infração: 2% do faturamento bruto anual, limitada a R$ 50 milhões (Art. 52 II da LGPD)
  • Multa diária: até o mesmo teto de R$ 50 milhões — por dia de descumprimento
  • Primeira multa da história da ANPD: R$ 14.400 (Telekall Inboxy, 2023 — microempresa com faturamento de R$ 720 mil/ano)
  • Multa diária ativa em 2025: R$ 50.000/dia (caso Worldcoin — coleta de dados biométricos sem base legal)
  • Processo sancionador mais recente: Claro/Serasa, junho de 2026 — potencial de R$ 50 milhões

A pergunta não é "será que a ANPD vai me pegar?". A pergunta é: se pegar, quanto vai custar?

E a resposta depende do faturamento da sua clínica.

Como a ANPD Calcula a Multa da Sua Clínica

A fórmula legal é direta: 2% do faturamento bruto anual, antes dos impostos. Não é do lucro — é do faturamento total.

Exemplos concretos:

Faturamento mensal Faturamento anual Multa máxima (2%)
R$ 15.000 R$ 180.000 R$ 3.600
R$ 30.000 R$ 360.000 R$ 7.200
R$ 60.000 R$ 720.000 R$ 14.400
R$ 100.000 R$ 1.200.000 R$ 24.000
R$ 200.000 R$ 2.400.000 R$ 48.000

E isso é por infração. Se sua clínica cometeu 3 infrações distintas — digamos, marketing sem consentimento + não responder solicitação de paciente + compartilhamento indevido com laboratório — a multa pode ser triplicada.

Além do valor financeiro, a ANPD leva em conta fatores agravantes que aumentam a sanção:

  • Reincidência (já foi notificado antes)
  • Não colaboração durante a investigação
  • Vantagem obtida com a infração
  • Volume de pacientes afetados
  • Sensibilidade dos dados (dados de saúde têm peso maior)

E fatores atenuantes que reduzem:

  • Cooperação imediata com a ANPD
  • Adoção de medidas corretivas antes da decisão
  • Ausência de reincidência
  • Boa-fé demonstrada

Os 7 Erros Que Geram Multa em Clínicas Odontológicas

Esses são os comportamentos mais comuns em clínicas que resultam em infração à LGPD — e que um paciente pode denunciar à ANPD hoje mesmo:

1. Enviar marketing pelo WhatsApp sem consentimento específico

O erro: Você tem o número de WhatsApp do paciente porque ele agendou uma consulta. Você usa esse número para enviar promoção de clareamento, lembretes de retorno ou campanhas sazonais. Sem que ele tenha autorizado especificamente o recebimento de marketing.

Por que é infração: O consentimento para agendamento não abrange marketing. São finalidades distintas. A LGPD exige consentimento específico para cada finalidade.

Caso real: A Telekall Inboxy foi a primeira empresa multada pela ANPD exatamente por marketing não consentido via WhatsApp — R$ 14.400 de multa em 2023.

Como resolver: Na ficha de anamnese, incluir campo separado: "Autorizo o recebimento de comunicações de marketing (promoções, lembretes de retorno, campanhas) pelo WhatsApp: ( ) Sim ( ) Não". Documentar o aceite com timestamp.

2. Compartilhar dados de pacientes com laboratórios sem contrato DPA

O erro: Você envia nome, CPF, data de nascimento e pedido clínico do paciente para o laboratório de prótese por WhatsApp ou e-mail. Sem que o paciente saiba, sem contrato com o laboratório que garanta a proteção dos dados.

Por que é infração: Laboratório é operador de dados (Art. 39 LGPD). A clínica é responsável por garantir que ele trate os dados com o mesmo nível de proteção. Sem Acordo de Processamento de Dados (DPA), a clínica responde por violações do laboratório.

Cenário de risco: O laboratório sofre um vazamento. Os dados dos seus pacientes são expostos. A ANPD investiga — e encontra que a clínica não tinha contrato DPA. A clínica responde solidariamente.

Como resolver: Firmar DPA com cada laboratório, convênio e sistema de agendamento que acessa dados de pacientes.

3. Não responder solicitação de paciente no prazo legal

O erro: Um paciente envia e-mail pedindo acesso ao próprio prontuário, ou solicitando exclusão dos dados após o fim do tratamento. Você ignora, ou responde três semanas depois.

Por que é infração: O Art. 18 da LGPD garante ao titular o direito de acesso, correção, portabilidade e exclusão dos seus dados. O Art. 19 determina que o controlador deve responder em até 15 dias. O silêncio é infração autônoma — independente de qualquer outro problema.

Agravante: O paciente pode registrar reclamação diretamente no canal da ANPD. Esse é o gatilho mais comum de investigação contra clínicas pequenas. Não precisa de hackers, não precisa de vazamento — basta um paciente insatisfeito com 5 minutos de tempo.

Como resolver: Ter processo documentado para resposta a solicitações de titulares, com prazo de alerta interno em 10 dias.

4. Não ter política de privacidade publicada

O erro: Sua clínica não tem nenhum documento público explicando quais dados coleta, para que usa, com quem compartilha e por quanto tempo guarda. Muitos dentistas acham que só site grande precisa disso.

Por que é infração: O princípio da transparência (Art. 6º VI da LGPD) e o princípio da finalidade (Art. 6º I) exigem que o titular saiba o que acontece com seus dados antes de fornecê-los. Ausência de política de privacidade é descumprimento direto desses princípios.

Como resolver: Publicar política de privacidade no site da clínica e afixar versão resumida na recepção. Deve cobrir: dados coletados, finalidades, compartilhamento com terceiros, tempo de retenção, canais para exercício de direitos.

5. Manter dados de pacientes por tempo indeterminado

O erro: Sua clínica tem prontuários de pacientes de 15 anos atrás que nunca mais voltaram. Você guarda tudo, indefinidamente, "por precaução".

Por que é infração: O princípio da necessidade (Art. 6º III) e o da limitação de retenção (Art. 5º XI) exigem que dados sejam mantidos apenas pelo tempo necessário para a finalidade que os originou. Para prontuários odontológicos, o CFO determina guarda mínima de 5 anos — mas guardar por 20 anos sem necessidade clínica é violação da LGPD.

Exceção importante: Dados de menores devem ser guardados por mais tempo para eventual responsabilização legal. Consulte seu advogado sobre o prazo específico para cada tipo de dado.

Como resolver: Definir política de retenção por tipo de dado e implementar processo de eliminação periódica de dados fora do prazo.

6. Usar sistema de prontuário sem avaliar conformidade do fornecedor

O erro: Você usa um software de prontuário digital que tem acesso a todos os dados dos seus pacientes. Você nunca verificou se o fornecedor tem política de privacidade, onde armazena os dados, o que faz com eles, se tem medidas de segurança adequadas.

Por que é infração: O fornecedor do software é operador de dados. Assim como no caso do laboratório, você responde pelo que ele faz com os dados dos seus pacientes. Se o servidor deles for hackeado e dados de 2.000 pacientes seus forem expostos — você é o controlador e responde perante a ANPD.

Como resolver: Antes de contratar qualquer sistema que acesse dados de pacientes, verificar: onde os dados são armazenados (deve ser no Brasil ou em país com proteção equivalente), se o fornecedor tem DPA disponível, quais medidas de segurança técnica utiliza.

7. Não designar canal de comunicação com pacientes para questões de dados

O erro: Quando o paciente quer exercer seus direitos (acessar, corrigir ou excluir dados), não sabe para onde ligar, não tem e-mail específico, não encontra nenhuma informação na clínica.

Por que é infração: O Art. 41 da LGPD exige que o controlador disponibilize canal de comunicação com o Encarregado (DPO) ou responsável pela proteção de dados. Em dezembro de 2024, a ANPD notificou 20 grandes empresas — entre elas TikTok, Uber e Serasa — exatamente por esse motivo. Se acontece com gigantes, acontece com clínicas.

Como resolver: Designar um e-mail específico (ex: privacidade@suaclinica.com.br) publicado na política de privacidade e na recepção para receber solicitações de titulares.

Cenários Reais: Quanto Pagaria Sua Clínica

Para tornar o risco concreto, veja quatro cenários baseados em situações reais investigadas pela ANPD:

Cenário 1 — Clínica com 1 dentista, faturamento R$ 25.000/mês

Situação: Paciente solicita exclusão dos dados após tratamento concluído. A clínica não responde em 15 dias. Paciente registra reclamação na ANPD. Investigação revela também ausência de política de privacidade e uso de WhatsApp para marketing sem consentimento. São 3 infrações.

  • Faturamento anual: R$ 300.000
  • Multa por infração (2%): R$ 6.000
  • 3 infrações: até R$ 18.000
  • Advogado para defesa no PAS: R$ 5.000–15.000
  • Custo total estimado: R$ 23.000–33.000

Cenário 2 — Clínica com 3 dentistas, faturamento R$ 80.000/mês

Situação: Funcionária demitida envia dados de 300 pacientes para concorrente. Clínica não tinha controle de acesso por usuário no sistema de prontuário, nem contrato com ex-funcionária sobre confidencialidade. ANPD é notificada por paciente que recebeu contato da clínica concorrente.

  • Faturamento anual: R$ 960.000
  • Multa (2%): R$ 19.200
  • Publicização do caso: dano reputacional (estimativa: 15% de perda de novos pacientes por 6 meses) = R$ 57.600
  • Advogado + consultor de TI: R$ 20.000
  • Custo total estimado: R$ 96.800

Cenário 3 — Rede com 3 unidades, faturamento R$ 200.000/mês

Situação: Sistema de agendamento online é invadido. 1.800 dados de pacientes (nome, CPF, telefone, histórico de procedimentos) são expostos. A clínica não notifica a ANPD em 3 dias úteis como exige a Resolução nº 2/2022. Quando notifica, já se passaram 15 dias. A omissão é infração adicional.

  • Faturamento anual: R$ 2.400.000
  • Multa pela violação de dados (2%): R$ 48.000
  • Multa pela notificação tardia (infração adicional): R$ 24.000
  • Ações civis de pacientes (estimativa 5% dos afetados × R$ 5.000): R$ 45.000
  • Advogado + gestão de crise: R$ 30.000
  • Custo total estimado: R$ 147.000

Cenário 4 — O Pior Caso: Multa Diária

Situação: Após investigação, a ANPD determina que a clínica adote medidas corretivas em 30 dias. A clínica não adota. A ANPD aplica multa diária.

  • Multa diária: proporcional ao porte, mas pode começar em R$ 1.000/dia para pequenas clínicas
  • 30 dias de descumprimento: R$ 30.000
  • 60 dias: R$ 60.000
  • No caso Worldcoin: R$ 50.000 por dia

A multa diária é especialmente perigosa porque acumula silenciosamente enquanto o problema não é resolvido.

Além da Multa: Os Outros Custos Que Ninguém Conta

A multa da ANPD é o custo mais visível. Mas raramente é o maior. Os outros custos de não estar em conformidade incluem:

Dano reputacional

A ANPD tem poder de publicizar a infração (Art. 52 IV). Isso significa que o nome da sua clínica pode aparecer num comunicado oficial da ANPD como infratora da LGPD. Aparecer na busca "Clínica X LGPD multa" pode custar anos de reputação construída.

Para clínicas que dependem de indicação e confiança do paciente, o dano reputacional frequentemente supera o valor da multa.

Ações civis dos pacientes

Pacientes afetados por violação de dados têm direito de ação civil contra a clínica com base no Art. 42 da LGPD. Indenizações por dano moral em casos de exposição de dados de saúde têm sido arbitradas entre R$ 3.000 e R$ 20.000 por paciente em decisões recentes do TJSP. Se 100 pacientes forem afetados, o risco civil é de R$ 300.000 a R$ 2.000.000.

Bloqueio do sistema de prontuário

A ANPD pode determinar o bloqueio dos dados pessoais tratados irregularmente (Art. 52 V). Na prática, isso pode significar suspensão do acesso ao sistema de prontuário digital — impossibilitando o atendimento normal da clínica enquanto dura a medida.

Honorários advocatícios

Defender-se num Processo Administrativo Sancionador da ANPD exige advogado especializado em proteção de dados. Honorários para acompanhamento de PAS variam de R$ 10.000 a R$ 50.000, dependendo da complexidade.

Tempo e desgaste

Um PAS pode levar de 6 meses a 2 anos. Durante esse período, o gestor da clínica precisa fornecer documentos, responder questionamentos, comparecer a reuniões — tempo que não está atendendo paciente.

Como Uma Investigação Começa — E Você Nem Fica Sabendo

A maioria dos dentistas imagina que uma investigação da ANPD começa com um grande vazamento, uma notícia no jornal, algo óbvio. Na realidade, a porta de entrada mais comum é silenciosa:

1. Um paciente insatisfeito (o gatilho mais comum para clínicas)

O processo é simples: o paciente acessa gov.br, clica em "Registrar reclamação na ANPD", preenche um formulário em 10 minutos descrevendo a infração, e envia. A ANPD triagem, analisa e, se entender que há indício de infração, inicia investigação preliminar. Você recebe uma notificação oficial — frequentemente sem oportunidade de resolver antes de se tornar investigação formal.

Motivos que mais levam pacientes a reclamar: marketing não solicitado, negativa de acesso ao prontuário, descoberta de que dados foram compartilhados sem autorização.

2. Fiscalização setorial de ofício

A ANPD definiu saúde como setor prioritário de fiscalização para 2026-2027 (Resolução CD/ANPD nº 30/2025). Isso significa que a ANPD pode selecionar aleatoriamente clínicas odontológicas para investigação — sem que nenhum paciente tenha reclamado. É uma auditoria proativa, como a Receita Federal faz com tributos.

3. Vazamento que chama atenção pública

Se dados de pacientes da sua clínica aparecerem num fórum de hackers ou forem reportados em notícia, a ANPD pode iniciar investigação de ofício.

O ponto central: você não precisa fazer algo dramaticamente errado para ser investigado. Um único paciente com uma única queixa legítima é suficiente para abrir um processo que pode custar dezenas de milhares de reais.

Conformidade Custa Menos do Que Você Imagina

Agora que o risco está claro, a boa notícia: adequar uma clínica odontológica à LGPD é muito mais simples e barato do que parece.

As medidas essenciais são:

  1. Mapear os dados que você coleta — quem são os titulares, quais dados, para que finalidade, com quem compartilha, por quanto tempo guarda
  2. Publicar política de privacidade — documento explicando tudo isso ao paciente, disponível no site e na recepção
  3. Documentar consentimento — para finalidades que exigem (especialmente marketing), ter registro com timestamp de que o paciente autorizou
  4. Criar canal de comunicação — e-mail ou formulário para solicitações de titulares, com processo para responder em até 15 dias
  5. Firmar DPA com fornecedores — laboratórios, sistema de prontuário, agendamento online

Comparativo de custo:

Opção Custo estimado
Advogado especializado em LGPD para adequação completa R$ 5.000–20.000
Consultoria de conformidade R$ 2.000–8.000
Plataforma especializada (ex: Consentimento LGPD) R$ 79,90–150/mês
Multa mínima realista por infração R$ 3.600–24.000
Defesa jurídica num PAS R$ 10.000–50.000

Em outras palavras: 1 ano de conformidade com plataforma especializada custa menos de R$ 1.800. Uma única multa pode custar 10–50 vezes mais.

A conformidade não é um gasto. É um seguro — e um dos mais baratos da sua clínica.

Proteja Sua Clínica Antes Que a ANPD Bata na Porta

O Consentimento LGPD foi desenvolvido especificamente para clínicas odontológicas. Em menos de 30 minutos sua clínica tem mapa de dados, política de privacidade, registro de consentimentos e portal do titular — tudo o que a ANPD exige documentado e organizado.

Planos a partir de R$ 79,90/mês. 15 dias grátis, sem cartão de crédito.

Adequar minha clínica agora — 15 dias grátis

FAQ — Multas LGPD para Clínicas Odontológicas

Qual o valor máximo de multa que a ANPD pode aplicar à minha clínica?

2% do faturamento bruto anual, limitado a R$ 50 milhões por infração. Para uma clínica que fatura R$ 30 mil/mês, isso significa até R$ 7.200 por infração — e a ANPD pode identificar múltiplas infrações no mesmo processo.

Uma clínica pequena também pode ser multada?

Sim. Não há isenção por porte. A proporcionalidade existe na dosimetria — clínicas menores recebem multas menores — mas a obrigação de conformidade é universal. O caso Telekall (primeira multa da ANPD) foi contra uma microempresa.

Se um paciente reclamar, tenho tempo de me regularizar antes da multa?

Às vezes. Em casos menos graves, a ANPD aplica advertência com prazo para adequação antes de multar. Mas a tendência de 2026 é de aceleração: com a ANPD transformada em agência regulatória e equipe ampliada, os prazos estão encurtando e as decisões chegando mais rápido.

Posso ser processado civilmente pelos pacientes além da multa da ANPD?

Sim. O Art. 42 da LGPD garante indenização por danos materiais e morais. As ações são independentes — a ANPD pode multar e os pacientes podem processar ao mesmo tempo. Em casos de exposição de dados de saúde, o risco civil tende a ser maior que a própria multa da ANPD.

O que acontece se eu ignorar uma notificação da ANPD?

Ignorar é a pior estratégia possível. Não responder é infração adicional, agrava a dosimetria da sanção e pode acelerar a aplicação de multa diária. Qualquer comunicação da ANPD deve ser respondida com advogado especializado no prazo informado.