Sigilo médico e LGPD: o que muda na prática do consultório

Equipe Solara · Atualizado em 18 de junho de 2026

Sigilo médico e LGPD tratam da mesma matéria — a informação do paciente — por caminhos diferentes. O sigilo vem do Código de Ética Médica e é um dever profissional antigo; a LGPD (Lei nº 13.709/2018) é a lei geral de proteção de dados, que classifica dado de saúde como dado pessoal sensível. Na prática do consultório, os dois se somam: cumprir a LGPD não dispensa o sigilo, e vice-versa.

O que cada um exige

O sigilo médico proíbe revelar o que você soube no exercício da profissão, salvo nas exceções previstas (justa causa, dever legal ou autorização expressa do paciente). É a base ética da relação.

A LGPD entra na camada operacional: como o dado é coletado, armazenado, compartilhado e descartado. Dado de saúde é sensível (art. 5º) e seu tratamento segue regras mais rígidas (art. 11).

Um ponto que confunde muito médico: você quase nunca precisa de "consentimento LGPD" para tratar o prontuário do seu paciente. O art. 11 permite o tratamento de dados sensíveis, sem consentimento, para a "tutela da saúde, em procedimento realizado por profissionais de saúde". O consentimento formal fica reservado a usos fora do cuidado — pesquisa, marketing, compartilhamento com terceiros.

Bases legais mais comuns no consultório

Situação Base legal típica (LGPD) Precisa de consentimento?
Registrar a consulta no prontuário Tutela da saúde (art. 11) Não
Guardar o prontuário pelo prazo legal Obrigação legal/regulatória Não
Faturar com a operadora (TISS) Obrigação/execução de contrato Não
Enviar lembrete de retorno por mensagem Legítimo interesse / consentimento Recomendável
Usar o caso em aula ou pesquisa Consentimento específico e destacado Sim
Compartilhar gravação da consulta com terceiro Consentimento específico Sim

Checklist de conformidade para o consultório

SIGILO + LGPD — CHECKLIST DO CONSULTÓRIO

ACESSO
[ ] Prontuário acessível só a quem cuida do paciente
[ ] Senha individual por usuário (nada de login compartilhado)
[ ] Tela do sistema não fica visível para a sala de espera

ARMAZENAMENTO
[ ] Prontuário eletrônico com backup e controle de acesso
[ ] Papel guardado em armário/sala restrita e com chave
[ ] Prazo de guarda respeitado antes de qualquer descarte

PEDIDOS DE CÓPIA
[ ] Cópia ao próprio paciente: liberar (é direito dele)
[ ] Cópia a terceiro: só com autorização escrita do paciente
[ ] Ordem judicial: cumprir, registrando o que foi entregue
[ ] Registrar quem pediu, o que foi entregue e quando

EQUIPE E TERCEIROS
[ ] Secretária/recepção orientada sobre sigilo por escrito
[ ] Fornecedor de software com contrato e cláusula de dados
[ ] Encarregado (DPO) definido, mesmo que seja você

INCIDENTES
[ ] Plano básico: o que fazer se houver vazamento
[ ] Saber que vazamento de dado sensível pode exigir
    comunicação à ANPD e aos titulares

Pedido de cópia do prontuário: a regra de ouro

O prontuário pertence ao paciente quanto à informação; a guarda física/digital é sua. Por isso:

  • Ao próprio paciente: a cópia deve ser fornecida. Negar é que vira problema ético.
  • A terceiros (advogado, familiar, empregador, seguradora): só com autorização escrita e específica do paciente, ou ordem judicial.
  • Sempre registre o que foi entregue, a quem e quando.

A guarda segura é a primeira linha de defesa do sigilo — e um prontuário eletrônico bem configurado faz boa parte desse trabalho de controle de acesso e rastreabilidade. Ferramentas como a Solara ajudam a estruturar o registro da consulta com esse cuidado de origem.

Perguntas frequentes

Preciso pedir consentimento LGPD para cada paciente novo?

Para o cuidado em si, não — a base legal é a tutela da saúde. O consentimento formal é para usos fora do atendimento (pesquisa, marketing, compartilhamento). Um aviso de privacidade claro no consultório é boa prática.

Posso recusar entregar o prontuário ao próprio paciente?

Não. O acesso do titular ao próprio dado é direito assegurado tanto pela ótica do prontuário quanto pela LGPD. A recusa é que costuma gerar representação no CRM.

Vazamento de dados de paciente: o que fazer?

Conter o incidente, avaliar o risco e, em vazamento de dado sensível com risco relevante, comunicar à ANPD e aos titulares afetados. Documente todas as medidas tomadas.

Fontes: Planalto — LGPD (Lei 13.709/2018), CFM.

Leia também

Glossário da burocracia médicaTempo de guarda do prontuário médico: prazos e regrasGlossário da burocracia médicaProntuário eletrônico: exigências do CFM e certificação SBISModelos de documentosModelo de atestado médico com e sem CID: o que pode constarModelos de documentosModelo de termo de consentimento para gravação de consulta