aleff.
infra-ai-ready gestao

ANPD em 2026: o que clínica médica precisa fazer pra não pagar multa

ANPD ficou ativa, multou microempresa em 2023 e tem clínica médica como prioridade. Veja o que fazer agora pra não cair na próxima rodada.

Por Aleff Pimenta · · 9 min de leitura

Em julho de 2023, a ANPD aplicou a primeira multa por descumprimento da LGPD: R$14.400 contra a Telekall Infoservice, uma microempresa. A infração principal foi tratamento de dado pessoal sem base legal e ausência de Encarregado de Dados nomeado.

Não foi banco. Não foi operadora de telefonia. Foi uma microempresa. E o recado da ANPD foi explícito: porte não é imunidade.

Agora chega 2026, com a Resolução CFM 2.454/2026 publicada em fevereiro, dosimetria já em vigor desde 2023, e o setor saúde formalmente classificado como zona de maior exposição regulatória. Se você é dono de clínica médica e ainda acha que “a ANPD não vai bater na minha porta”, vale parar e ler o que vem agora.

Por que clínica médica virou alvo prioritário da ANPD

A ANPD tem duas razões objetivas pra olhar primeiro pra clínica médica: dado sensível em volume alto, e fragilidade de segurança típica do setor.

Prontuário, laudo, imagem médica, resultado de exame e até a própria identificação do paciente são classificados como dado sensível no artigo 11 da LGPD. Isso significa regime mais restritivo de tratamento, base legal específica obrigatória, e dever reforçado de segurança técnica e administrativa. Qualquer falha nesse universo já parte de uma penalização mais alta na dosimetria.

Do outro lado, a operação real do setor: WhatsApp pessoal sendo usado pra mandar foto de exame, prontuário rodando em SaaS hospedado fora do Brasil sem cláusula de transferência internacional, backup que ninguém testou, secretária trocando o login com a recepcionista. Esse é o estado de boa parte das clínicas pequenas e médias no Brasil em 2026 — e a ANPD sabe disso.

A combinação dos dois fatores explica por que o regulador concentrou foco. A multa não vai chegar pelo banco grande primeiro. Vai chegar pela clínica média que teve o vazamento que virou notícia local.

O que a ANPD pode aplicar como sanção

A multa simples pode chegar a 2% do faturamento bruto da clínica no Brasil no último exercício, limitada a R$50 milhões por infração. Existe também multa diária, com o mesmo teto total. E sanções não-pecuniárias que doem tanto quanto o dinheiro: bloqueio do tratamento de dados, suspensão da operação, publicação da infração.

Mas o número que mais importa pra clínica pequena é o piso prático. A primeira multa da ANPD foi de R$14.400 — em uma microempresa de telecomunicações. Para uma clínica que fatura R$1,2 milhão por ano, 2% é R$24.000. Esse é o terreno real, não os R$50 milhões que vão pro Itaú em algum cenário hipotético.

A dosimetria, regulamentada pela Resolução CD/ANPD nº 4/2023, considera onze critérios na hora de calcular: gravidade da infração, boa-fé do infrator, vantagem obtida, condição econômica, recorrência, grau do dano, cooperação, mecanismos internos pra minimizar dano, política de boas práticas, medidas corretivas adotadas, proporcionalidade. Os três últimos critérios são onde a clínica preparada ganha desconto. Os três primeiros são onde a clínica desavisada paga caro.

Tradução prática: ter governança documentada e processo formal não tira a multa, mas pode dividir o valor por dois ou por três quando ela vier.

As 5 ações concretas pra clínica fazer agora

Não é checklist completo de adequação LGPD — esse demora meses. São as cinco ações que mais reduzem risco de multa, em ordem de prioridade.

1. Nomear o Encarregado de Dados (DPO) por ato formal hoje

A nomeação do DPO é o ponto que aparece em quase todas as primeiras sanções da ANPD. É barato, é rápido, e não fazer custa caro.

Para clínica pequena, o DPO pode ser acumulado com outra função (gerente, sócio-administrador, contador externo). O que precisa ter:

  • Ato formal de nomeação assinado pelo responsável legal da clínica
  • Email de contato do DPO publicado no site e visível no consultório
  • Registro nas atas de governança
  • Treinamento mínimo sobre obrigações da LGPD

A Resolução CD/ANPD nº 2/2022 permite que agentes de pequeno porte tenham regime simplificado, mas o DPO permanece exigível. Não tem fundamentação legal pra ignorar.

2. Mapear onde dado de paciente mora hoje

Pegue uma planilha e responda as perguntas com nome de software:

  • Onde estão os prontuários eletrônicos? (Nome do SaaS, país onde os servidores rodam)
  • Onde estão os anexos de exames? (Mesmo SaaS, ou pasta separada, ou Drive pessoal?)
  • Onde estão as conversas com paciente? (WhatsApp pessoal? Business? CRM?)
  • Quem tem acesso ao quê? (Médico, secretária, externo, ex-funcionário ainda no grupo?)
  • Quem é o operador de cada sistema? (CNPJ do fornecedor, contrato com cláusulas de LGPD?)

Esse mapa, feito de verdade, costuma assustar o próprio dono. Quase sempre aparece um Drive pessoal com cópia de prontuário, um WhatsApp de grupo onde a secretária trocou foto de receita, ou um SaaS estrangeiro sem contrato adequado.

Sem esse mapa, a clínica não consegue nem responder à ANPD em caso de incidente, nem fazer um plano de adequação. É a base de tudo.

3. Fechar o WhatsApp informal e mover comunicação pra canal controlado

WhatsApp pessoal trocando informação clínica é o vazamento mais comum em clínica pequena. E a ANPD não precisa investigar muito pra encontrar — basta o ex-funcionário entregar o print.

A correção é simples e barata:

  • Mover comunicação de paciente pra WhatsApp Business com API oficial (Meta Cloud API ou WAHA self-hosted)
  • Logar todas as conversas em CRM com timestamp e responsável
  • Definir que foto de exame e dado clínico nunca trafegam por WhatsApp pessoal
  • Bloquear no contrato de trabalho o uso de aparelho pessoal pra comunicação clínica

A iAvancada monta esse fluxo no servidor do próprio cliente — WAHA rodando local, integrando com o sistema de agenda, com log auditável. É infra AI-ready aplicada ao caso mais frequente de vazamento.

4. Tirar prontuário de SaaS estrangeiro ou contratualizar transferência internacional

Se o seu prontuário roda em servidor fora do Brasil, você está em transferência internacional de dado pessoal sensível. A LGPD permite, mas exige base legal específica e cláusulas contratuais padrão (a ANPD publicou modelo em agosto de 2024).

Duas saídas:

  • Saída 1: migrar pra prontuário com servidor no Brasil ou pra solução self-hosted no servidor da clínica. Custa esforço de migração, mas resolve a questão estrutural.
  • Saída 2: manter o SaaS atual, mas formalizar a transferência internacional com cláusulas-padrão da ANPD, due diligence do fornecedor, e registro do tratamento.

Saída 1 é a recomendação se a clínica fatura acima de R$2 milhões — o custo de migração se paga em risco evitado. Saída 2 é o mínimo aceitável pra clínica menor que ainda não pode migrar.

A pior opção é a mais comum: usar SaaS estrangeiro sem contrato, sem cláusula, sem registro. Esse é o cenário em que a multa, quando vier, já vem com agravante de descumprimento dos critérios de transferência internacional.

5. Ter plano de incidente em 1 página, com prazo de 3 dias

A ANPD exige comunicação de incidente em até 3 dias úteis após o conhecimento. Quase nenhuma clínica pequena tem o procedimento documentado pra isso. Quando o incidente acontece — e ele acontece — perde-se 2 dias só descobrindo quem chama, o que faz e como notifica.

Plano mínimo viável (1 página):

  • Lista de quem é acionado em caso de incidente (DPO, advogado, suporte técnico)
  • Telefone e email do canal oficial da ANPD
  • Modelo de comunicação ao titular (paciente afetado)
  • Modelo de comunicação à ANPD com os campos obrigatórios (natureza, dados afetados, número de titulares, medidas adotadas)
  • Procedimento de preservação de evidência (não desligar servidor, não apagar log)

Esse documento, lido pela equipe a cada seis meses, transforma um incidente caro em um incidente gerenciável. Sem ele, a multa vem maior por descumprimento do prazo de notificação — sobreposta à multa do incidente em si.

O que o caso MedicSolution ensinou (setembro de 2025)

Em setembro de 2025, o grupo de ransomware KillSec atacou a MedicSolution, fornecedora brasileira de software para gestão de clínicas. Resultado público: 34 GB vazados, 94.818 arquivos sensíveis incluindo exames, imagens médicas e prontuários — incluindo de menores. Várias clínicas que usavam o sistema ficaram dias sem acesso ao próprio histórico de pacientes.

O ponto que importa para a ANPD: a clínica é controladora dos dados. O SaaS é operador. Quando o operador sofre incidente, a obrigação de comunicar ao titular e à ANPD continua sendo da clínica. Quem não tinha procedimento documentado, atrasou a notificação. Quem atrasou a notificação somou descumprimento de prazo à multa do incidente em si.

É o tipo de caso que vai ditar a fiscalização da ANPD em 2026. Não a punição direta ao SaaS — punição em cadeia às clínicas controladoras que dependiam dele sem mapear risco, sem ter plano de incidente, sem backup independente.

A iAvancada estrutura esse tipo de adequação na prática: monta o ambiente AI-ready dentro da clínica, configura backup com restore testado e cópia imutável, documenta o plano de incidente, e treina o time pra operar. Quando o regulador bate, a clínica tem o que mostrar — não promessa, processo documentado.

O que não fazer agora

Três armadilhas comuns que aparecem nessa fase:

  1. Comprar selo de “clínica LGPD compliant” sem fazer o trabalho de base. Selo não exime de multa. Só governança real exime.
  2. Contratar consultor que entrega 80 páginas de PDF e some. PDF guardado em pasta não é programa de conformidade. Documento vivo, com revisão periódica e dono responsável, sim.
  3. Esperar a multa chegar pra agir. A diferença entre dosimetria com agravante e dosimetria com atenuante é o que a clínica fez antes da fiscalização. Depois, é tarde.

A LGPD entrou em vigor em 2020. A ANPD começou a multar em 2023. A Resolução de dosimetria saiu em 2023. A CFM 2.454/2026 fechou o cerco específico do setor em fevereiro deste ano. O recado é coerente há três anos: regulação chegou, fiscalização chegou, e a tolerância vai diminuindo a cada ciclo.

Conclusão

Multa da ANPD em clínica média não é cenário hipotético em 2026 — é projeção razoável de um regulador ativo, com regulamento de dosimetria, foco no setor saúde e casos públicos pra usar como precedente. As cinco ações deste post não tornam a clínica imune. Tornam ela defensável.

A pergunta prática: se a ANPD bate na sua porta hoje pedindo o registro de tratamento, o ato de nomeação do DPO, o mapeamento de dado e o plano de incidente, o que você entrega em 24 horas?

Se a resposta é “nada”, o trabalho começa hoje. Se é “alguma coisa”, o trabalho é fechar as lacunas. Em qualquer dos dois casos, é mais barato fazer agora do que descobrir o gap no boletim de ocorrência da multa.

Se quiser ver como a iAvancada estrutura esse trabalho em uma clínica real — do mapeamento ao plano de incidente, com infra própria e backup testado —, marca uma consultoria de 30 minutos. A gente entra com o método, você entra com a operação.

Perguntas frequentes sobre ANPD e LGPD em clínica médica

A regulação avançou rápido nos últimos dois anos. Estas são as perguntas que mais aparecem no consultório de quem assessora o setor — e as respostas curtas que todo dono de clínica deveria ter na ponta da língua antes da próxima rodada de fiscalização.

Perguntas frequentes

Qual o valor máximo da multa que a ANPD pode aplicar em uma clínica médica?

A multa simples pode chegar a 2% do faturamento bruto da clínica no Brasil no último exercício, com teto de R$50 milhões por infração. Existe ainda multa diária, com o mesmo teto total. O número final depende da dosimetria — gravidade, recorrência, condição econômica e cooperação contam. Para clínica pequena, o teto absoluto importa menos que o piso prático: a primeira sanção da ANPD em 2023 foi a uma microempresa, no valor de R$14.400, mostrando que porte não exime.

Clínica pequena precisa nomear DPO (Encarregado de Dados)?

Sim, mesmo que a função seja acumulada com outro cargo. A LGPD exige um Encarregado de Dados nomeado em ato formal e com contato público no site da clínica. A Resolução CD/ANPD nº 2/2022 simplificou obrigações para agentes de pequeno porte, mas a nomeação do DPO continua exigível. A primeira multa da ANPD (Telekall, 2023) foi aplicada em parte por ausência de DPO nomeado — em uma microempresa.

O que muda com a Resolução CFM 2.454/2026 para a clínica que usa IA?

A Resolução CFM 2.454, publicada em fevereiro de 2026, exige registro no prontuário sempre que IA apoiar decisão médica, governança formal sobre quais sistemas de IA podem receber dado de paciente, e auditoria das ferramentas usadas. Para clínica pequena, a governança pode ser enxuta, mas não inexistente. O cruzamento com LGPD é direto: dado de paciente que vai pra um SaaS de IA nos EUA precisa de base legal específica e medida técnica de segurança — sob pena dupla, CFM e ANPD.

Quanto tempo a clínica tem pra notificar a ANPD em caso de vazamento?

A ANPD trabalha com prazo de comunicação em até 3 dias úteis após o conhecimento do incidente, conforme regulamento próprio sobre notificação de incidentes. O atraso ou a não comunicação é uma das infrações mais frequentemente sancionadas. Importante: o prazo conta a partir do momento que a clínica toma conhecimento, não do dia do incidente em si. Documentar a hora exata em que a equipe descobriu o problema é parte da defesa.

Backup automático do SaaS de prontuário cobre a obrigação da LGPD?

Não cobre sozinho. A LGPD responsabiliza o controlador (a clínica), não o operador (o SaaS). Se o SaaS sofre incidente e perde dados de paciente, a clínica é quem responde. A obrigação de manter dado íntegro e disponível precisa ser provada pela clínica — com backup testado em ambiente próprio, registro de teste de restore, e cópia imutável fora do ambiente do fornecedor. Confiar só no fornecedor é assumir o risco em silêncio.

A ANPD prioriza fiscalizar clínica médica em 2026?

Sim. O setor saúde está formalmente classificado como zona de maior exposição regulatória, porque trata dado sensível em volume alto e contínuo. Prontuário, laudo, imagem, resultado de exame são todos dados sensíveis no artigo 11 da LGPD, com regime mais restritivo. A combinação de dado sensível com fragilidade de segurança típica do setor (servidor mal configurado, WhatsApp informal, prontuário em SaaS estrangeiro) faz da clínica média um alvo natural da fiscalização.

Produtos relacionados

iAvancada

Boutique de software e serviço. Solução customizada de IA para dor específica.

iAgentes

Agentes IA determinísticos para operação empresarial. Rodam na sua infraestrutura.