Gestão · LGPD
Software de gestão odontológica e LGPD: o que verificar
O sistema que organiza sua clínica vê tudo — nome, CPF, prontuário, agenda. Pela LGPD, se ele vaza, quem responde é você. Veja o que checar antes de contratar.
Toda clínica odontológica hoje roda em algum sistema: prontuário digital, agenda online, financeiro. Esse software concentra os dados mais sensíveis que você tem — e é justamente aí que mora o maior risco de LGPD da clínica. Porque, pela lei, o fornecedor do software é um operador de dados, mas quem responde por um vazamento é a clínica, que é a controladora (Art. 39).
Por que o software é o seu maior ponto de risco
Um único sistema costuma reunir nome, CPF, telefone, histórico de tratamentos, radiografias e agenda de centenas ou milhares de pacientes. Se ele é invadido, mal configurado ou o fornecedor vaza os dados, o estrago é enorme — e a ANPD vai perguntar à clínica o que ela fez para se proteger. Terceirizar o sistema não terceiriza a responsabilidade.
O checklist antes de contratar
Antes de assinar (ou de continuar com o atual), passe o fornecedor por estas perguntas:
| O que verificar | Por que importa |
|---|---|
| Oferece DPA? | É o contrato que divide responsabilidades (Art. 39) |
| Onde armazena os dados? | No Brasil, ou com garantias de transferência internacional |
| Usa criptografia? | Protege os dados em repouso e em trânsito |
| Tem controle de acesso por usuário? | Cada pessoa vê só o que precisa — e você sabe quem viu o quê |
| Faz backup? | Evita perda de dados (que também é incidente) |
| Notifica incidentes? | Você precisa avisar a ANPD em 3 dias úteis |
Terceirizar o sistema não terceiriza a responsabilidade. Sem DPA, o vazamento do fornecedor vira problema da clínica.
DPA: o contrato que falta na maioria das clínicas
O DPA (Acordo de Processamento de Dados) é o documento que registra que o software trata os dados em nome da clínica, com obrigações de segurança e confidencialidade. É comum a clínica usar um sistema há anos e nunca ter assinado um. Peça o DPA ao fornecedor — um software sério já tem o modelo pronto. Se ele não souber do que você está falando, é um sinal de alerta.
O mesmo vale para todo fornecedor que toca dados
A lógica do software se aplica a qualquer operador: o laboratório de prótese que recebe radiografias, a ferramenta de agendamento online, o sistema de cobrança, a empresa de marketing. Cada um que acessa dados de paciente deveria ter um DPA com a sua clínica.
Se o seu software de prontuário fosse invadido hoje, você saberia em quanto tempo? Conseguiria provar que tinha DPA e medidas de segurança? A resposta a essas duas perguntas é o que a ANPD vai querer.
Perguntas rápidas
O software de gestão precisa ter DPA?
Sim. Ele é operador de dados (Art. 39). Sem DPA, a clínica responde sozinha por um vazamento do fornecedor.
Posso usar software que armazena dados fora do Brasil?
Pode, com garantias de transferência internacional adequadas. Na dúvida, prefira fornecedores que armazenam no Brasil.
Se o software vazar, a culpa é minha?
A clínica é controladora e responde perante a ANPD e os pacientes, mesmo com falha do fornecedor. Por isso o DPA e a escolha cuidadosa importam.
Como sei se um software é compatível com a LGPD?
Verifique DPA, local de armazenamento, criptografia, controle de acesso, backup e notificação de incidente. Um fornecedor sério responde sem hesitar.
Organize a conformidade da sua clínica
Mapa de dados, registro de fornecedores, política e consentimentos — tudo num lugar, com prova.
Começar grátis Planos a partir de R$ 79,90/mês