A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) mudou fundamentalmente a forma como organizações brasileiras devem tratar dados pessoais. Para psicólogos e clínicas de psicologia, o impacto é ainda mais profundo: os dados coletados na prática clínica são dados sensíveis, e a lei impõe obrigações adicionais para quem os trata.
Este artigo não é aconselhamento jurídico — é um guia prático para que psicólogos entendam as principais obrigações da LGPD aplicadas à clínica e como a tecnologia pode ajudar a mantê-las.
Por que dados psicológicos são dados sensíveis
O art. 5º, inciso II da LGPD define dado sensível como aquele referente a "saúde ou vida sexual", entre outras categorias. O art. 11 estabelece regras específicas mais rígidas para o tratamento dessas informações.
Isso significa que prontuários, evoluções, diagnósticos, registros de sessão e qualquer informação coletada no contexto clínico se enquadram como dados sensíveis. O psicólogo — ou a clínica — é o controlador de dados segundo a LGPD.
Quais são as bases legais para tratar dados sensíveis em psicologia
A LGPD exige que todo tratamento de dados pessoais tenha uma base legal. Para dados sensíveis em saúde, as bases mais relevantes para a prática clínica são:
- Consentimento explícito (art. 11, I) — O titular fornece consentimento específico e destacado para o tratamento
- Exercício regular de direitos (art. 11, II, "d") — Para processos judiciais, administrativos ou arbitrais
- Tutela da saúde (art. 11, II, "f") — Procedimentos realizados por profissionais de saúde ou autoridades sanitárias
- Proteção da vida (art. 11, II, "e") — Em situações de risco de vida do titular ou de terceiros
Na prática clínica, a combinação mais comum é o consentimento explícito + tutela da saúde. Isso significa que o psicólogo deve obter consentimento formal do paciente para tratar seus dados — e documentar esse consentimento.
Obrigações práticas para clínicas de psicologia
1. Consentimento documentado
O paciente deve consentir explicitamente com o tratamento de seus dados sensíveis antes do início do atendimento. Esse consentimento deve ser registrado de forma que comprove quando foi dado e qual texto o paciente concordou.
2. Finalidade específica
Os dados coletados devem ser usados exclusivamente para a finalidade informada ao paciente. Dados de sessão não podem ser usados para pesquisa, marketing ou qualquer outra finalidade não informada.
3. Minimização de dados
Colete apenas os dados necessários para a prestação do serviço. Não registre informações sobre terceiros além do que é clinicamente relevante. Dados de crianças exigem atenção adicional.
4. Segurança técnica e organizacional
O controlador (psicólogo/clínica) deve implementar medidas para proteger os dados de acessos não autorizados, vazamentos e uso indevido. Isso inclui controle de acesso, criptografia, trilha de auditoria e políticas de descarte.
5. Direitos do titular
O paciente tem direito a acessar seus dados, corrigir informações incorretas, solicitar portabilidade e pedir a exclusão. O psicólogo deve ter um processo claro para responder a essas solicitações.
6. Retenção e descarte
Os dados devem ser mantidos pelo tempo necessário e depois descartados de forma segura. O CFP também tem orientações sobre prazos de retenção de prontuários — é importante alinhar as políticas de LGPD com as obrigações do CRF e do CFP.
LGPD vs. Sigilo Profissional: convergência, não conflito
Muitos psicólogos perguntam se há conflito entre o sigilo profissional do Código de Ética e as obrigações de transparência da LGPD. A resposta é: não — eles convergem.
O sigilo profissional e a LGPD protegem o mesmo bem: a privacidade e a autonomia do paciente sobre suas informações mais íntimas.
O sigilo profissional proíbe o psicólogo de divulgar informações do atendimento sem autorização do paciente. A LGPD exige que o tratamento de dados tenha base legal e seja transparente. Ambos protegem o paciente de ter suas informações usadas sem seu conhecimento ou consentimento.
A LGPD adiciona obrigações formais (documentação de consentimento, políticas de segurança, resposta a solicitações de titulares) que fortalecem — não enfraquecem — o sigilo ético.
O que evitar: práticas comuns de risco
- Prontuários em Google Drive pessoal — Sem controle de acesso, sem trilha de auditoria, sem criptografia adequada
- WhatsApp para comunicação clínica — Dados de saúde em plataformas sem contrato de processamento adequado
- Planilhas compartilhadas — Risco de acesso indevido por terceiros e dificuldade de controle de versões
- Sem política de descarte — Prontuários de ex-pacientes mantidos indefinidamente sem critério legal
- Equipe sem treinamento — Recepcionistas e estagiários com acesso a dados que não precisam acessar
Como a tecnologia ajuda na conformidade
Um sistema de prontuário eletrônico desenvolvido com LGPD em mente deve oferecer:
- Isolamento de dados por clínica (arquitetura multi-tenant)
- Controle de acesso por papel — cada membro da equipe acessa apenas o que precisa
- Trilha de auditoria de todos os acessos, exportações e compartilhamentos
- Criptografia em repouso e em trânsito
- Política de retenção e descarte configurável
- Registros restritos com autenticação adicional para dados de alta sensibilidade
A LuminiPsi foi desenvolvida com todos esses princípios desde o início — não como um add-on de conformidade, mas como arquitetura fundamental do sistema.
Conclusão
A LGPD não é uma ameaça para a prática psicológica — é uma oportunidade de formalizar e fortalecer as proteções que o código de ética já exige. O psicólogo que trata dados de seus pacientes com responsabilidade, documentação adequada e sistemas seguros não tem do que temer.
O risco real está em continuar usando ferramentas inadequadas, sem controle de acesso e sem trilha de auditoria — e ser pego de surpresa por uma notificação da ANPD ou do CFP.
