RGPD nas clínicas de saúde: guia prático de cumprimento

Escrito por Janine Ornelas

As clínicas de saúde tratam diariamente dados pessoais de natureza altamente sensível — identificação de pacientes, histórico clínico, resultados de exames, contactos e informações financeiras associadas a tratamentos. Por esse motivo, estão sujeitas a obrigações reforçadas ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD).

Os dados de saúde são, por definição legal, uma categoria especial de dados pessoais. O seu tratamento exige medidas jurídicas, organizacionais e técnicas específicas — e a ausência dessas medidas pode expor a clínica a processos contraordenacionais perante a Comissão Nacional de Proteção de Dados (CNPD).

Este guia apresenta, de forma estruturada, os documentos e procedimentos essenciais que qualquer clínica deve implementar para garantir a conformidade com o RGPD.

Alt text: Receção de clínica de saúde com documentação de conformidade com o RGPD e proteção de dados clínicos

1. Política de Privacidade

A clínica deve dispor de uma política de privacidade clara, acessível e atualizada, que explique aos pacientes:

  • que dados são recolhidos e para que finalidades são utilizados;

  • qual a base legal que fundamenta o tratamento;

  • os prazos de conservação dos dados;

  • quais os direitos dos titulares e como podem ser exercidos.

Este documento deve estar disponível no website da clínica e, sempre que possível, acessível fisicamente na receção.

2. Registo de Atividades de Tratamento de Dados

O registo de atividades de tratamento é um dos documentos mais exigidos em caso de inspeção pela CNPD. Identifica e descreve todas as operações realizadas com dados pessoais na clínica, devendo incluir:

  • as categorias de dados tratados (dados de identificação, dados clínicos, dados de faturação);

  • as finalidades de cada tratamento;

  • os perfis com acesso aos dados;

  • os prazos de conservação aplicáveis;

  • as medidas de segurança em vigor.

Este registo é o principal instrumento para demonstrar accountability — a obrigação de a clínica provar que cumpre o RGPD.

3. Política de Conservação de Dados

A clínica deve definir por escrito durante quanto tempo cada tipo de dado é conservado: processos clínicos, dados de faturação, dados administrativos e dados de marketing têm prazos distintos, determinados pela legislação setorial e pelos princípios do RGPD.

"A conservação de dados por prazo indeterminado ou por tempo superior ao necessário constitui uma violação direta do RGPD, independentemente de existirem outros documentos de conformidade."

Uma política de conservação bem estruturada garante que a clínica não retém informação desnecessariamente e reduz o risco em caso de incidente de segurança.

4. Consentimento Informado para Tratamento de Dados

Para tratar dados pessoais de saúde, é necessário obter o consentimento informado do paciente — distinto do consentimento clínico para a realização de tratamentos.

Este consentimento diz respeito especificamente à recolha, tratamento e armazenamento de dados pessoais. Para ser válido, deve ser:

  • livre — sem qualquer pressão ou condicionamento;

  • específico — para finalidades claramente identificadas;

  • informado — o paciente deve saber exatamente o que está a autorizar;

  • revogável a qualquer momento, sem consequências para o paciente.

Legalização e conformidade contínua

Uma clínica não é “legalizada uma vez para sempre”.

Inclui, entre outros:

  • Registo da entidade na Entidade Reguladora da Saúde

  • Registo e autorização da prática radiológica

  • Licenciamento do estabelecimento de saúde

  • Cumprimento do RGPD

  • Contratos com entidades externas obrigatórias

  • Contratos de trabalho ou prestação de serviços

  • Formação adequada e atualizada

⚠️ A desconexão entre o que está no papel e o que acontece na prática é uma das principais causas de problemas em inspeções.

5. Informação aos Pacientes sobre os seus Direitos

Os pacientes devem ser informados, de forma clara e acessível, sobre os direitos que lhes assistem ao abrigo do RGPD:

  • Direito de acesso — obter cópia dos dados tratados;

  • Direito de retificação — corrigir dados inexatos ou incompletos;

  • Direito de apagamento — solicitar a eliminação dos dados em determinadas circunstâncias;

  • Direito de limitação do tratamento — restringir o uso dos dados em casos específicos;

  • Direito de portabilidade — receber os dados num formato estruturado e transmissível;

  • Direito de oposição — opor-se ao tratamento em determinadas situações.

A clínica deve disponibilizar informação clara sobre estes direitos e sobre o modo concreto de os exercer.

6. Contratos com Subcontratantes

Sempre que terceiros tenham acesso a dados de pacientes, é obrigatório celebrar um contrato de subcontratação de tratamento de dados. São exemplos de subcontratantes comuns em clínicas de saúde:

  • fornecedores de software de gestão clínica;

  • empresas de contabilidade;

  • prestadores de serviços de informática (IT);

  • serviços de armazenamento em cloud;

  • empresas de marketing ou comunicação.

Estes contratos definem as responsabilidades de cada entidade no que respeita à proteção dos dados pessoais e são exigidos expressamente pelo RGPD.

7. Medidas de Segurança Técnicas

A proteção de dados clínicos implica a adoção de medidas de segurança técnicas e organizacionais adequadas ao risco. Entre as mais relevantes para clínicas de saúde:

  • utilização de passwords individuais e autenticação de acesso;

  • controlo de acessos aos dados clínicos por perfil profissional;

  • utilização de antivírus e sistemas de proteção informática atualizados;

  • realização de backups regulares e verificados;

  • encriptação de dados em dispositivos portáteis.

Estas medidas reduzem significativamente o risco de acesso indevido ou perda de informação — e devem estar documentadas no registo de atividades de tratamento.

8. Procedimento para Violação de Dados

A clínica deve dispor de um procedimento interno documentado para gerir situações de violação de dados pessoais. Exemplos de incidentes que configuram uma violação:

  • furto ou extravio de dispositivo com dados de pacientes;

  • acesso não autorizado ao sistema informático;

  • envio acidental de dados clínicos para destinatário errado.

Nesses casos, a clínica deve avaliar o incidente e, quando a violação for suscetível de causar risco para os titulares dos dados, comunicá-lo à CNPD no prazo máximo de 72 horas a contar do momento em que toma conhecimento.

9. Formação da Equipa

Os colaboradores constituem a primeira linha de proteção de dados. A formação em proteção de dados deve abranger, no mínimo:

  • boas práticas no tratamento e partilha de informação clínica;

  • sigilo profissional e confidencialidade;

  • utilização segura dos sistemas informáticos da clínica;

  • procedimentos a adotar em caso de incidente de segurança.

"A maioria das violações de dados em contexto clínico resulta de erro humano, não de falhas técnicas. A formação regular da equipa é, por isso, uma medida de conformidade obrigatória."

10. Encarregado de Proteção de Dados (DPO)

Quando existe tratamento sistemático e em grande escala de dados de saúde, pode ser obrigatória a designação de um Encarregado de Proteção de Dados (DPO) — uma figura prevista no artigo 37.º do RGPD.

No caso de clínicas de pequena dimensão, esta obrigação não é, em regra, aplicável. Ainda assim, é recomendável nomear um responsável interno pela proteção de dados que assegure a gestão corrente dos procedimentos de conformidade.

11. Procedimento para Exercício de Direitos

A clínica deve dispor de um mecanismo claro para responder aos pedidos dos pacientes relativos aos seus dados pessoais, designadamente:

  • pedido de acesso ao processo clínico;

  • pedido de retificação de dados;

  • pedido de eliminação ou limitação do tratamento.

Regra geral, a resposta deve ser prestada no prazo máximo de 30 dias a contar da receção do pedido.

12. Avisos e Sinalização Obrigatória

Na receção da clínica devem estar visíveis os elementos de informação exigidos pelo RGPD, nomeadamente:

  • aviso de proteção de dados;

  • política de privacidade disponível para consulta;

  • informação sobre os direitos dos titulares dos dados e sobre como exercê-los.

Estes elementos cumprem o dever de informação imposto pelo RGPD e demonstram, perante os pacientes e as autoridades, um compromisso efetivo com a transparência.

Erros Comuns nas Clínicas — e como evitá-los

Na prática, muitas clínicas encontram-se em situação de incumprimento por falhas relativamente simples. As mais frequentes são:

  • ausência de registo de atividades de tratamento de dados;

  • inexistência de contratos formalizados com fornecedores de software ou outros subcontratantes;

  • falta de procedimento documentado para violação de dados;

  • utilização de canais pessoais — como o WhatsApp — para envio de dados clínicos ou exames.

Estas situações expõem a clínica a risco jurídico imediato e a eventuais processos contraordenacionais perante a CNPD.

"O cumprimento do RGPD não depende de um documento isolado. Exige um sistema organizado, com documentação adequada, procedimentos internos claros e medidas de segurança eficazes."

A conformidade como vantagem competitiva

A aplicação correta destas regras não serve apenas para evitar sanções. Contribui diretamente para reforçar a confiança dos pacientes e a credibilidade da clínica — garantindo que a informação clínica é tratada com o nível de proteção e confidencialidade que a lei exige.

Se pretende avaliar o estado de conformidade da sua clínica com o RGPD ou implementar um dossier de proteção de dados, a Legalin disponibiliza apoio jurídico especializado nesta área. Entre em contacto.

Ver Também…

Guias
RGPD nas clínicas de saúde: guia prático de cumprimento
RGPD nas clínicas de saúde: guia prático de cumprimento
“Sou dentista, e agora?” – Guia prático para iniciar a carreira com segurança
“Sou dentista, e agora?” – Guia prático para iniciar a carreira com segurança
[Checklist] Início do Ano: Clínicas com Equipamentos Radiológicos
[Checklist] Início do Ano: Clínicas com Equipamentos Radiológicos
[Guia Prático] Principais Erros em Fiscalizações: O Que as Clínicas Devem Evitar
[Guia Prático] Principais Erros em Fiscalizações: O Que as Clínicas Devem Evitar
[Guia Prático]: Registo na ERS, Licenciamento de Clínicas e Práticas Radiológicas
[Guia Prático]: Registo na ERS, Licenciamento de Clínicas e Práticas Radiológicas
Memória Descritiva para Clínicas de Saúde: Guia Completo e Requisitos Legais
Memória Descritiva para Clínicas de Saúde: Guia Completo e Requisitos Legais
[Checklist] Regresso de Férias: O Essencial Para a Sua Instalação Radiológica
[Checklist] Regresso de Férias: O Essencial Para a Sua Instalação Radiológica
Protocolo de Resolução de Conflitos em Clínicas: Guia Prático
Protocolo de Resolução de Conflitos em Clínicas: Guia Prático
O Que Esperar Numa Inspeção da DGAV ou da ASAE?
O Que Esperar Numa Inspeção da DGAV ou da ASAE?
[Checklist] Obrigações de Segurança Contra Incêndios para Clínicas
[Checklist] Obrigações de Segurança Contra Incêndios para Clínicas
[Guia para Clínicas] Procedimentos de Limpeza na Área da Saúde
[Guia para Clínicas] Procedimentos de Limpeza na Área da Saúde
[Guia Completo] Trespasse de Clínica Veterinária
[Guia Completo] Trespasse de Clínica Veterinária
Janine Ornelas
Próximo

“Sou dentista, e agora?” – Guia prático para iniciar a carreira com segurança