A Obrigatoriedade do Encarregado no Setor de Saúde
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) impôs ao setor médico uma realidade que ainda gera resistência entre gestores: a indicação formal de um Encarregado pelo Tratamento de Dados Pessoais, também conhecido como DPO (sigla derivada do termo europeu Data Protection Officer).
Não importa o porte da operação. Uma clínica de dermatologia com dois consultórios em São Paulo, uma policlínica no interior de Minas Gerais ou um centro de diagnóstico por imagem em Recife — todas estão sujeitas à mesma regra. O motivo é simples: o setor de saúde lida diariamente com dados pessoais sensíveis, categoria que recebe tratamento jurídico especialmente rigoroso pela legislação.
Por Que Microempresas e Clínicas de Pequeno Porte Não Estão Dispensadas
Existe um equívoco recorrente: o de que pequenos negócios estariam fora do alcance da LGPD ou de algumas de suas exigências mais técnicas. A Autoridade Nacional de Proteção de Dados (ANPD), no entanto, já consolidou entendimento contrário quando o assunto é dado sensível.
A Resolução CD/ANPD nº 2/2022, que tratou da aplicação da LGPD a agentes de pequeno porte, foi clara: a flexibilização de obrigações não alcança quem realiza tratamento de dados pessoais sensíveis em alta frequência ou em larga escala. Prontuários, exames laboratoriais, imagens diagnósticas, históricos de internação, informações genéticas — tudo isso se enquadra no conceito do art. 5º, II, da Lei.
Em outras palavras: se a sua clínica trata desses dados como parte da atividade-fim (e trata, por natureza), a indicação do encarregado é obrigatória.
O mesmo raciocínio se aplica a estabelecimentos que atendem grupos vulneráveis, como pediatrias, clínicas geriátricas e serviços de saúde mental voltados a crianças e adolescentes.
Exemplo prático
Uma clínica de fisioterapia em Curitiba, com três profissionais e cerca de 400 pacientes ativos, pode parecer "pequena demais" para preocupações com governança de dados. Mas se ela armazena evoluções clínicas, fichas de anamnese e laudos médicos — sensíveis por definição — está obrigada a nomear encarregado, manter registro de operações de tratamento e responder a eventuais incidentes perante a ANPD.
O Que Realmente Faz o Encarregado
A função vai muito além de um nome formal no rodapé do site. As atribuições estão previstas no art. 41, §2º, da LGPD e podem ser resumidas em quatro frentes:
1. Canal com os titulares dos dados
Pacientes têm direito de saber quais dados a clínica coleta, com quem compartilha, por quanto tempo armazena e como pode solicitar correção ou exclusão. O encarregado é o ponto oficial de atendimento dessas demandas, com prazos definidos para resposta.
2. Interlocução com a ANPD
Em caso de incidente de segurança — vazamento de prontuários, acesso indevido a banco de dados, sequestro de informações por ransomware — a comunicação à autoridade passa pelo encarregado. O mesmo vale para eventuais fiscalizações e procedimentos sancionatórios.
3. Orientação interna
Treinar recepcionistas, técnicos, enfermeiros e médicos sobre o manuseio correto de informações é função estratégica. A maioria dos incidentes em clínicas não decorre de ataques sofisticados, mas de falhas operacionais simples: e-mails enviados ao destinatário errado, prontuários esquecidos abertos no balcão, conversas em corredores.
4. Apoio à governança documental
Políticas de privacidade, termos de consentimento, contratos com laboratórios parceiros, planos operadores de saúde e fornecedores de software médico — todos esses instrumentos precisam estar alinhados à LGPD, e o encarregado participa diretamente dessa estruturação.
Quem Pode Ocupar o Cargo
A LGPD não exige formação específica. O encarregado pode ser pessoa física ou jurídica, interno ou terceirizado. Na prática, três modelos são comuns:
- Sócio ou administrador acumulando a função, em clínicas muito pequenas (modelo de maior risco, pelo conflito de interesses);
- Funcionário designado, normalmente de áreas administrativas ou jurídicas;
- Encarregado terceirizado, geralmente vinculado a escritório de advocacia ou empresa especializada — opção que tem crescido por reunir conhecimento técnico-jurídico e isenção.
O importante é que a pessoa tenha conhecimento da legislação, autonomia para agir e acesso direto à alta gestão da clínica.
Publicidade da Indicação
A identidade e os contatos do encarregado devem ser publicamente divulgados, de forma clara e acessível. O site institucional é o local preferencial, normalmente na política de privacidade ou em página específica de proteção de dados. Omitir essa informação configura, por si só, descumprimento da Lei.
Riscos de Não Indicar
As sanções da LGPD vão de advertência a multa de até 2% do faturamento, limitada a R$ 50 milhões por infração. Soma-se a isso a possibilidade de ações indenizatórias movidas por pacientes, repercussão reputacional e, em casos de incidentes graves, investigação pelo Ministério Público e órgãos de defesa do consumidor.
Para clínicas que dependem de convênios com operadoras, planos de saúde e hospitais, há ainda um efeito comercial: contratos mais recentes vêm exigindo comprovação de conformidade com a LGPD como condição de habilitação.
A adequação à LGPD deixou de ser projeto futuro para se tornar requisito operacional do setor médico. A indicação do encarregado é apenas o primeiro passo de um trabalho mais amplo, que envolve mapeamento de dados, revisão contratual, políticas internas e treinamento de equipes.
A equipe de Direito Médico do Trad & Cavalcanti Advogados acompanha clínicas e profissionais de saúde em todo o Brasil na estruturação completa do programa de governança de dados, incluindo a função de encarregado externo. Em caso de dúvida sobre a situação específica da sua operação, nossos advogados estão à disposição para análise.
Fale diretamente com um sócio
A primeira conversa é sem custo. Conte sua situação e entenda o que o direito pode fazer por você.