1. Mapa de dados
- Listei todos os dados que coleto (paciente, responsável legal, equipe).
- Anotei a finalidade de cada dado.
- Sei com quem compartilho (laboratório de prótese, convênio, software de prontuário).
- Defini por quanto tempo guardo cada dado (respeitando o prazo do CFO).
2. Base legal e consentimento
- Identifiquei a base legal de cada tratamento (nem tudo é consentimento).
- Tenho consentimento específico para marketing por WhatsApp.
- Tenho consentimento para uso de imagem (fotos de casos clínicos).
- Registro a data e a hora de cada aceite.
Dica: caixa pré-marcada não vale. O paciente precisa marcar ativamente, e cada finalidade precisa do seu próprio aceite (Art. 8º da LGPD).
3. Política de privacidade
- Política de privacidade publicada no site.
- Versão resumida afixada na recepção.
4. Direitos do paciente
- Tenho um e-mail/canal do titular publicado (Art. 41).
- Consigo responder pedidos (acesso, correção, exclusão) em até 15 dias.
- Registro cada pedido e a resposta enviada.
5. Segurança e incidentes
- Senha e criptografia nos dispositivos com prontuário.
- Backup automático com teste de restauração.
- Contrato (DPA) com laboratório e fornecedores que acessam dados.
- Sei o prazo de notificação de incidente à ANPD: 3 dias úteis.