Prontuário eletrônico de psicologia com ícones de segurança e conformidade LGPD
Ética e Regulação17 de abril de 20269 min de leitura

LGPD para Psicólogos: como proteger dados de pacientes no consultório em 2026

A LGPD impõe obrigações claras aos psicólogos que tratam dados sensíveis de saúde. Veja o que fazer na prática: consentimento, softwares, WhatsApp, incidentes e conformidade com o CFP.

Compartilhar:WhatsAppLinkedIn

A Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD) impõe obrigações específicas a qualquer pessoa que trate dados pessoais de forma sistemática, incluindo psicólogos. Prontuários, anotações clínicas, históricos de saúde, diagnósticos e até informações sobre vida pessoal compartilhadas em sessão são dados sensíveis com proteção reforçada na lei.

Este guia explica, de forma prática, o que a LGPD exige de psicólogos e como implementar conformidade sem transformar o consultório em departamento jurídico.

O que são dados sensíveis e por que psicólogos devem ter atenção redobrada

A LGPD distingue dois tipos de dados pessoais:

Dados pessoais comuns: nome, endereço, CPF, e-mail, telefone.

Dados pessoais sensíveis (art. 5º, II): dados sobre saúde, vida sexual, origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dado biométrico ou genético.

Quase tudo que psicólogos registram em prontuários são dados sensíveis de saúde — a categoria com maior proteção na LGPD. Isso significa:

  • Exigência de consentimento específico e destacado (não basta consentimento genérico)
  • Limitação no compartilhamento com terceiros
  • Obrigação de comunicar incidentes de segurança à ANPD e ao titular
  • Retenção apenas pelo tempo necessário (com exceções para obrigações legais)

A LGPD prevê dez bases legais que autorizam o tratamento de dados. Para psicólogos, as mais relevantes são:

Consentimento (art. 11, I)

O paciente autoriza expressamente o tratamento dos seus dados. Para dados sensíveis, o consentimento precisa ser específico e em destaque — não pode estar enterrado em letras miúdas num contrato genérico.

Na prática: inclua no contrato terapêutico ou TCLE uma seção específica sobre proteção de dados, com linguagem clara sobre o que será coletado, para quê e por quanto tempo.

Tutela da saúde (art. 11, II, f)

Dados de saúde podem ser tratados sem consentimento quando necessários à prestação de serviços de saúde por profissional sujeito ao sigilo profissional. É a base que cobre o tratamento de dados durante o atendimento clínico.

Na prática: a consulta em si, a geração de prontuário e o encaminhamento clínico estão cobertos por essa base. Não precisam de consentimento adicional além do contrato terapêutico.

Justifica a retenção de prontuários pelo prazo mínimo exigido pelo CFP (5 anos após encerramento), mesmo após o paciente solicitar exclusão dos dados.

Na prática: quando um paciente solicitar a exclusão de seus dados, você pode manter o prontuário pelo prazo legal e deve informar isso ao paciente.

O que incluir no contrato terapêutico (perspectiva LGPD)

O contrato terapêutico (ou TCLE) é o principal instrumento de conformidade com a LGPD no consultório. Além das cláusulas habituais, inclua:

1. Identificação do controlador de dados Nome completo, CPF, CRP e endereço profissional do psicólogo responsável pelo tratamento.

2. Dados coletados e finalidade Liste quais dados são coletados (nome, CPF, data de nascimento, histórico de saúde, anotações de sessão) e para qual finalidade (prestação de serviços psicológicos, elaboração de prontuário).

3. Compartilhamento Informe com quem os dados podem ser compartilhados: supervisor clínico, sistema de prontuário eletrônico (nome do software e empresa), planos de saúde mediante autorização prévia.

4. Prazo de retenção Ex: "Os dados serão mantidos pelo prazo mínimo de 5 anos após o encerramento do atendimento, conforme Resolução CFP 01/2009, e eliminados após esse período salvo obrigação legal."

5. Direitos do titular Informe que o paciente pode solicitar: confirmação do tratamento, acesso aos dados, correção, anonimização, portabilidade, eliminação (com ressalva do prazo legal) e revogação do consentimento.

6. Canal de contato para exercício de direitos E-mail ou formulário pelo qual o paciente pode exercer seus direitos. Você tem 15 dias para responder a solicitações.

O PsiNota AI foi construído com conformidade LGPD desde o início: dados de pacientes são criptografados com AES-256-GCM, prontuários têm soft-delete (nunca são apagados permanentemente de imediato), e o sistema permite exportação completa do prontuário para portabilidade. Conheça →

Softwares e terceiros: como garantir conformidade

Quando você usa um software de prontuário eletrônico, agenda ou qualquer sistema que armazene dados de pacientes, esse fornecedor se torna um operador de dados sob a LGPD — e você (o psicólogo) continua sendo o controlador.

O que isso significa na prática:

  1. Você é responsável pelos dados, mesmo que o software sofra um vazamento. Se o fornecedor não tem boas práticas de segurança, você pode ser co-responsabilizado.

  2. Verifique o contrato com o fornecedor: ele deve conter cláusulas de responsabilidade, medidas de segurança adotadas, política de eliminação dos dados ao encerrar o contrato e obrigação de comunicar incidentes.

  3. Não use sistemas que armazenam dados em países sem adequação reconhecida pela ANPD sem cláusulas contratuais específicas — regra que afeta planilhas no Google Drive (EUA) sem termos adequados.

O que avaliar ao escolher um software de prontuário:

  • Dados são criptografados em trânsito e em repouso?
  • O servidor está no Brasil ou em país com adequação reconhecida?
  • O contrato prevê responsabilidade do fornecedor em caso de incidente?
  • Existe política de backup e recuperação de dados?
  • Você consegue exportar todos os dados dos pacientes ao encerrar o contrato?

WhatsApp no consultório: o que a LGPD permite

O WhatsApp é onipresente na comunicação entre psicólogos e pacientes — e também um dos maiores vetores de risco de conformidade. Veja o que é permitido e o que é arriscado:

Permitido (com cuidados)

  • Confirmação e cancelamento de sessões
  • Envio de link para agendamento online
  • Comunicações administrativas gerais

Requer cuidado especial

  • Envio de documentos (laudos, atestados) via WhatsApp: o documento trafega por servidores do Meta (EUA). Use somente com consentimento expresso do paciente e de preferência em anexo criptografado ou por e-mail seguro.

Não recomendado / alto risco

  • Discussão de conteúdo clínico sensível via mensagens de texto
  • Armazenamento de histórico clínico em grupos de WhatsApp
  • Encaminhamentos que identifiquem diagnóstico

Boas práticas

  1. Separe o WhatsApp pessoal do profissional (conta distinta ou perfil business)
  2. Informe no contrato terapêutico que o WhatsApp é usado para comunicações administrativas
  3. Ative a criptografia de ponta a ponta (já é padrão no WhatsApp, mas verifique backups na nuvem — backups no Google Drive / iCloud não são criptografados)
  4. Não armazene histórico de conversas com conteúdo sensível no celular por mais tempo do que necessário

E-mail e Google Drive: pontos de atenção

E-mail: comunicações por e-mail com conteúdo sensível devem ser feitas com consentimento do paciente. Prefira e-mails com criptografia (TLS, S/MIME) para envio de documentos clínicos.

Google Drive / Dropbox: armazenamento de prontuários em serviços de nuvem estrangeiros requer cláusulas contratuais específicas (Google Workspace for Business inclui Data Processing Amendment compatível com a LGPD; a versão gratuita do Gmail/Drive não oferece as mesmas garantias).

Recomendação prática: use sistemas especializados em prontuário eletrônico que já têm conformidade LGPD documentada, em vez de montar uma solução caseira com planilhas e drives avulsos.

O que fazer em caso de incidente de segurança

Incidente de segurança é qualquer evento que resulte em acesso não autorizado, perda, alteração ou divulgação de dados pessoais. Exemplos práticos para psicólogos:

  • Celular roubado com WhatsApp com conversas clínicas
  • Notebook perdido com prontuários não criptografados
  • Vazamento de dados por falha no sistema de prontuário
  • E-mail enviado para endereço errado contendo laudo

O que fazer:

  1. Contenha imediatamente: bloqueie o dispositivo remotamente, altere senhas, notifique o fornecedor do software
  2. Avalie o risco: os dados expostos identificam pacientes? Qual a sensibilidade? Qual o número de afetados?
  3. Notifique os titulares: se o incidente puder gerar risco ou dano relevante ao paciente, informe-o com linguagem clara sobre o que ocorreu e as medidas tomadas
  4. Comunique à ANPD: incidentes que possam acarretar risco ou dano relevante devem ser comunicados à ANPD em prazo razoável (a recomendação é em até 72 horas do conhecimento)
  5. Documente tudo: mantenha registro do incidente, das medidas tomadas e das comunicações realizadas

LGPD e Código de Ética do Psicólogo: como se complementam

O Código de Ética Profissional do Psicólogo (CFP) já previa o dever de sigilo muito antes da LGPD. A diferença é que a LGPD:

  • Cria sanções administrativas (multas) além das éticas e civis
  • Formaliza direitos dos titulares exigíveis pelo paciente
  • Exige documentação das práticas de proteção de dados (o que você faz, não apenas o que não faz)
  • Cobre terceiros que processam os dados (softwares, supervisores, consultores)

Onde a LGPD vai além do Código de Ética:

  • Exige política de retenção e eliminação de dados documentada
  • Cria obrigação de comunicar incidentes de segurança
  • Regula o uso de dados para finalidades além do tratamento (como pesquisa, publicação de casos clínicos)

Publicação de casos clínicos: a LGPD não impede publicações científicas, mas exige anonimização adequada. Isso vai além de trocar o nome do paciente — é necessário remover qualquer dado que possa identificar o indivíduo no contexto do relato.

Checklist de conformidade LGPD para consultórios

  • Contrato terapêutico ou TCLE contém cláusula específica de proteção de dados
  • Pacientes são informados sobre compartilhamento com softwares e supervisores
  • Existe canal de contato para exercício de direitos dos titulares
  • Prontuários são armazenados em sistema com criptografia (não em planilhas abertas)
  • Backup de dados é feito regularmente em local seguro
  • Existe política de retenção e eliminação de dados documentada
  • Incidentes de segurança têm protocolo definido
  • Acordos com fornecedores de software incluem cláusulas de proteção de dados
  • Dados não são compartilhados com terceiros sem base legal ou consentimento

Sanções e riscos reais

A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar:

SançãoLimite
Advertência com prazo para correção
Multa simples2% do faturamento, máximo R$ 50 milhões por infração
Multa diáriaAté o mesmo limite
Publicização da infração
Bloqueio ou eliminação dos dados
Suspensão das atividades de tratamento

Para psicólogos autônomos, as multas tendem a ser proporcionais ao porte — mas o risco reputacional (publicização da infração) e a responsabilização civil por danos ao paciente podem ser mais impactantes do que a multa em si.

O CRP também tem competência para instaurar processo ético quando o descumprimento da LGPD configurar violação ao sigilo profissional ou ao dever de cuidado com os dados do cliente.

Veja também

Ética e Legislação

Sigilo Profissional em Psicologia: O Que Pode e Não Pode Revelar

Entenda os limites do sigilo profissional do psicólogo: quando é obrigatório, quando pode ser quebrado, como documentar e as exigências da LGPD.

Regulamentação

Resolução CFP 09/2024: O que Muda para Psicólogos com IA

Análise completa da Resolução CFP 09/2024 que regulamenta o uso de inteligência artificial na psicologia. O que é permitido, o que é vedado, responsabilidades e como se adequar na prática.

Compliance

Prontuário eletrônico em psicologia: o que a lei exige em 2026

CFP, LGPD e Resolução 09/2024 — entenda exatamente o que a legislação exige no prontuário eletrônico do psicólogo e como se adequar.

Documentação Clínica

TCLE para Psicólogos: Modelo de Termo de Consentimento Livre e Esclarecido

Modelo gratuito de Termo de Consentimento Livre e Esclarecido (TCLE) para psicólogos — o que deve constar obrigatoriamente, como adaptar para atendimento presencial e online, e o que diz a Resolução CFP 001/2009.

Desenvolvido em conformidade com a Res. CFP 09/2024.

O PsiNota AI foi criado com os requisitos da Resolução CFP 09/2024: IA como auxílio, nota sempre em rascunho, assinatura obrigatória do psicólogo.

Ver como funciona
LGPD psicologoprotecao dados pacientesprivacidade consultoriosigilo psicologicoconformidade LGPD

Economize tempo com o PsiNota AI

IA clínica em tempo real + notas DAP/BIRP automáticas + prontuário eletrônico. Plano gratuito permanente.

Criar conta grátis →