Terapia online e LGPD: privacidade e segurança do paciente
Atualizado em — Brasil
A terapia online veio para ficar — e com ela a responsabilidade de proteger dados de saúde, que são dados pessoais sensíveis. Este guia explica, em linguagem simples, como a LGPD se aplica à psicoterapia mediada por tecnologia e traz checklists práticos para pacientes e profissionais.
Resumo em 30 segundos
- Quem é quem: o/a psicólogo(a)/clínica é, em geral, controlador; a plataforma de vídeo/prontuário é operador.
- Bases legais: dados sensíveis na clínica se amparam, em regra, na tutela da saúde; agendamento/cobrança usam execução de contrato; marketing só com consentimento.
- Segurança: criptografia em trânsito e em repouso, 2FA, controles de acesso, registro das operações e política de retenção.
- Incidentes: se houver risco/dano relevante, o controlador comunica titulares e ANPD.
Quer começar com curadoria e preço acessível? Encontre um(a) profissional a partir de R$ 70
LGPD na terapia online: o que muda na prática
- Dados tratados: identificação, contato, pagamento, dados de saúde (motivos da busca, evolução, prontuário), dados técnicos (IP/dispositivo).
- Funções: controlador decide finalidades e meios (ex.: clínica/psicólogo); operadores tratam dados em nome do controlador (ex.: vídeo, prontuário, nuvem, cobrança).
- Princípios: finalidade específica, necessidade (mínimo de dados), transparência, segurança, prevenção e responsabilização.
Bases legais adequadas (sem juridiquês)
| Finalidade | Base legal típica | Notas práticas |
|---|---|---|
| Atendimento/assistência em saúde (dados sensíveis) | Tutela da saúde por profissional/entidade de saúde | Base sem consentimento; exige controles robustos e sigilo. |
| Cadastro, agendamento, cobrança | Execução de contrato | Coletar só o necessário; informar retenção e compartilhamentos. |
| Comunicações de marketing | Consentimento separado | Opcional, granular, fácil de retirar; não confundir com mensagens de serviço. |
| Melhoria de serviço/segurança | Interesse legítimo (cautela) | Evitar usar para dados sensíveis; fazer teste de balanceamento e transparência. |
Segurança: checklist enxuto para plataformas e consultórios
- Criptografia: TLS em trânsito; criptografia em repouso para bancos/arquivos.
- Controle de acesso: 2FA; perfis mínimos; logs de acesso ao prontuário.
- Gestão de terceiros: contrato de operador (DPA) com obrigações de segurança e suboperadores auditáveis.
- Retenção: política clara (quanto tempo e por quê); exclusão segura; backups cifrados.
- Registro das operações (RoPA) — pode ser simplificado para pequenos consultórios.
- Treinamento e sigilo: termos de confidencialidade e protocolo anti-phishing.
- Sem gravação por padrão das sessões; se gravar, base, controle e prazo estritos.
Direitos do paciente (titular dos dados)
- Acesso e confirmação do tratamento; correção de dados.
- Portabilidade quando aplicável; eliminação do que for desnecessário ou tratado em desconformidade.
- Informação sobre compartilhamentos e consequências de negar consentimento (quando for o caso).
- Canal de atendimento claro (e resposta em prazo razoável).
Incidentes de segurança: como agir
Se ocorrer um incidente (acesso não autorizado, perda, vazamento) com risco ou dano relevante aos titulares, o controlador deve comunicar os pacientes e a ANPD, explicando dados afetados, riscos e medidas adotadas. Tenha um plano de resposta com responsáveis, prazos e mensagens-padrão.
Dados fora do Brasil: é permitido?
Sim, a LGPD permite transferência internacional quando houver mecanismos adequados (ex.: cláusulas-padrão contratuais aprovadas pela ANPD, decisão de adequação etc.). Revise seus contratos com nuvem, vídeo e prontuário e mantenha o mapa de dados atualizado.
Profissional solo e pequenos consultórios
- DPO (encarregado): agentes de pequeno porte podem ser dispensados, mas precisam de canal para titulares e boas práticas mínimas.
- Registros simplificados das operações (modelo oficial disponível pela ANPD).
- Comunicação de incidentes: há procedimentos simplificados, mas a obrigação de avaliar risco permanece.
Terapia online e ética profissional
Além da LGPD, valem as regras de sigilo profissional e as normas do Conselho Federal de Psicologia. A Resolução CFP nº 09/2024 atualizou o atendimento on-line (sem necessidade de cadastro e-Psi), mantendo responsabilidades éticas e de confidencialidade.
Checklist antes de escolher a plataforma
- Há contrato de operador (DPA) com a clínica/profissional?
- Usa criptografia em trânsito e repouso? Oferece 2FA?
- Permite controle de acesso por perfil e logs de prontuário?
- Qual é a política de retenção e onde ficam os dados (país/ provedores)?
- Existe plano de resposta a incidentes e meio rápido de contato?
- Grava sessões? Se sim: por quê, quem acessa e por quanto tempo?
Pronto(a) para iniciar com segurança? Encontre um(a) profissional a partir de R$ 70
Modelo simples de aviso de privacidade (inspiração)
Exemplo didático: “Tratamos seus dados para oferecer atendimento psicológico e suporte administrativo. Para dados sensíveis, usamos a base legal de tutela da saúde por profissional/entidade de saúde; para agendamento/cobrança, execução de contrato; para marketing, pedimos consentimento separado. Guardamos apenas o necessário, com criptografia, controle de acesso e registros. Você pode acessar, corrigir, portar ou solicitar eliminação conforme a LGPD. Canal: seuemail@exemplo.com.”
Aviso: conteúdo informativo; não substitui assessoria jurídica.
Comece com privacidade e um plano de cuidado claro. Encontre um(a) profissional a partir de R$ 70.
