Audit LGPD em clínica médica de SP: passo a passo em 30 dias

Você já parou pra pensar quantos dados sensíveis passam pela recepção da sua clínica em uma manhã? CPF, prontuário, exame, plano de saúde, foto. Tudo sob LGPD. Tudo seu — até virar problema seu se vazar.

Eu venho de cinco anos respondendo “como adequar minha clínica de São Paulo à LGPD” para médico-sócio. A resposta que rola na internet é cronograma de 90 a 360 dias, plano de 6 fases, comitê de governança. Bonito no slide, inviável pra clínica de 8 funcionários que atende 40 pacientes por dia.

Aqui está o cronograma real que cabe em 30 dias úteis, dividido em 4 semanas, com entregável por semana e custo concreto. Funcional. Sem consultoria de R$50 mil.

Por que 30 dias é factível em clínica pequena

Audit LGPD em clínica médica pequena de São Paulo cabe em 30 dias úteis quando o escopo é diagnóstico, documentação mínima e ajustes técnicos básicos — não troca de sistema inteiro.

A literatura padrão fala em 90 a 360 dias porque pega hospital médio, rede de clínicas, ou empresa com múltiplas unidades. Para consultório de um a três médicos com 5 a 15 funcionários e 2 a 4 sistemas, a complexidade cai uma ordem de grandeza. O que demora em hospital — comitê interdisciplinar, alinhamento de múltiplos prontuários, integração com plano de saúde — não existe na clínica pequena.

O risco real de pular o audit é a multa da ANPD. A Lei 13.709 prevê advertência, multa simples de até 2% do faturamento (limitada a R$50 milhões), publicização da infração, bloqueio dos dados pessoais, e até suspensão parcial do funcionamento da base de dados. Para clínica que fatura R$1,5 milhão por ano, 2% é R$30 mil. Para clínica que fatura R$5 milhões, é R$100 mil. Vale o investimento de 30 dias.

O cronograma de 30 dias — visão geral

SEMANA 1 — Diagnóstico e mapeamento
SEMANA 2 — Documentação e políticas
SEMANA 3 — Ajustes técnicos e processos
SEMANA 4 — Treinamento, fechamento, plano de continuidade

Cada semana tem 2 a 3 ações concretas e 1 entregável fechado. Quem toca: médico-sócio (decisão), gerente da clínica (execução do dia a dia), TI terceirizada ou interna (parte técnica). Cabe sem freelar consultoria caso queira fazer interno — ou cabe com apoio de consultoria pontual em pontos específicos.

Semana 1 — Diagnóstico e mapeamento (dias 1-5)

Semana 1 entrega o mapa completo dos dados que circulam na clínica. Sem mapa, qualquer documento nas semanas seguintes vira teoria.

Ações:

1. Inventário de sistemas que tocam dado de paciente. Liste todos: prontuário eletrônico (iClinic, Amplimed, Doctoralia, Feegow, Vetus, Clinicorp, próprio), agenda, sistema financeiro, e-mail, WhatsApp business, drive de exames, planilha de aniversário de paciente. Para cada um: nome, fornecedor, onde o servidor mora (Brasil ou exterior), quem tem login, se tem dois fatores ativo.

2. Mapa de fluxo de dado. Em uma folha A4, desenhe: paciente chega → marca consulta (canal A) → cadastro (sistema B) → consulta (prontuário C) → exame (laboratório D) → retorno (canal E) → cobrança (sistema F). Identifique cada ponto onde o dado entra, sai, ou é compartilhado.

3. Levantamento de incidentes históricos. Houve algum vazamento conhecido nos últimos 24 meses? E-mail enviado para destinatário errado? Notebook roubado? Senha do prontuário compartilhada via WhatsApp? Documente. Não é pra punir ninguém — é pra entender o passado.

Entregável da semana 1: Documento de 3 a 5 páginas com inventário de sistemas, mapa visual do fluxo, e lista de incidentes. Em PDF, datado, assinado pelo médico-sócio. Esse documento é a base de tudo.

Tempo estimado: 8 a 12 horas de trabalho concentrado, distribuídas na semana.

Semana 2 — Documentação e políticas (dias 6-10)

Semana 2 entrega os quatro documentos mínimos que qualquer auditoria externa pede. Sem eles, a clínica entra em fiscalização da ANPD com pé esquerdo.

Ações:

1. Termo de consentimento atualizado. Reescrever o TCLE da clínica para cobrir explicitamente: dados pessoais coletados, finalidade de cada uso, prazo de retenção, compartilhamentos com terceiros (laboratório, plano de saúde, sistema de prontuário), direitos do paciente (acesso, correção, eliminação). Linguagem clara — não copiar o do CFM literal, adaptar pro caso da clínica.

2. Política de privacidade publicada. Versão pública no site da clínica e impressa na recepção. Conteúdo: quais dados a clínica coleta, base legal de cada coleta (consentimento, execução de contrato, obrigação legal, tutela da saúde), com quem compartilha, quanto tempo guarda, contato do encarregado pelos dados.

3. Registro das operações de tratamento (ROPA simplificado). Tabela única em planilha com: nome do dado, finalidade, base legal, sistemas que tocam, prazo de retenção, com quem compartilha. Para clínica pequena, 15 a 30 linhas resolvem. Esse documento é o que a ANPD pede primeiro em fiscalização.

4. Plano de resposta a incidente. Documento de 2 páginas: o que é incidente (vazamento, acesso indevido, perda de equipamento), quem comunica internamente, quem comunica externamente (ANPD em até 24 horas em caso grave), modelo de e-mail de comunicação ao paciente, log de incidente.

Entregável da semana 2: Pasta digital com os 4 documentos versionados, datados, prontos para impressão e publicação.

Tempo estimado: 12 a 16 horas. Aqui vale apoio de advogado especializado em LGPD para revisar o TCLE — orçamento pontual de R$1.500 a R$4 mil resolve.

Semana 3 — Ajustes técnicos e processos (dias 11-20)

Semana 3 é a mais densa. Aqui a clínica sai do papel e começa a mexer na operação real. É aqui que a infra AI-ready do futuro começa a tomar forma — porque controle de dado bem feito hoje é a base pra rodar IA com prontuário amanhã.

Ações:

1. Controle de acesso por usuário. Cada funcionário tem login próprio, senha única, permissão proporcional ao cargo. Nada de “senha da recepção” compartilhada. Habilitar dois fatores onde o sistema permite. Auditar logins ativos — quem saiu da clínica nos últimos 12 meses ainda tem acesso?

2. Backup testado e criptografado. Não basta backup automático no prontuário SaaS. Tem que ter cópia adicional do dado crítico em local sob controle da clínica. Backup diário, criptografado em repouso, com restore testado pelo menos uma vez no mês. A iAvancada monta esse tipo de processo para clínica que opera prontuário em SaaS estrangeiro — Postgres self-hosted recebe o export diário, fica criptografado no cluster do cliente, e o restore é exercitado em homologação. Sem teste, backup é fé, não é processo.

3. Revisão de contratos com terceiros. Prontuário eletrônico, sistema financeiro, laboratório, plano de saúde, contador. Cada contrato tem que ter cláusula de proteção de dados. Se o fornecedor é gringo e o servidor mora fora do Brasil, exigir cláusula de transferência internacional. Se o contrato não cobre — pedir aditivo ou avaliar troca.

4. Revisão de canais informais. WhatsApp pessoal recebendo foto de exame? E-mail no Gmail pessoal trocando prontuário? Drive compartilhado com pasta da clínica? Cada um desses canais é gap LGPD. Decisão: migrar para canal corporativo controlado, ou documentar e formalizar o uso com base legal e consentimento.

5. Termo de confidencialidade de funcionário. Cada um da equipe assina termo específico sobre tratamento de dado de paciente. Não é o termo genérico do contrato de trabalho — é específico pra LGPD, com responsabilização clara em caso de descumprimento.

Entregável da semana 3: Lista de 6 a 10 ações implementadas, evidenciadas em screenshot ou documento. Backup testado pelo menos uma vez. Contratos revisados ou em revisão.

Tempo estimado: 24 a 32 horas. Aqui o apoio de TI e/ou consultoria de infra é onde mais agrega. Dá pra fazer interno se a clínica tem TI competente — mas o tempo dobra.

Semana 4 — Treinamento, fechamento, plano de continuidade (dias 21-30)

Semana 4 fecha o audit e prepara o que vem depois. Sem essa semana, tudo das anteriores vira documento de gaveta.

Ações:

1. Treinamento da equipe. Workshop de 2 a 3 horas com toda a equipe da clínica. Conteúdo: o que é dado pessoal, dado sensível, base legal, direitos do paciente, o que fazer em incidente, contato do encarregado. Lista de presença assinada — vira evidência em auditoria.

2. Comunicação aos pacientes. Carta ou e-mail para a base atual informando: política de privacidade atualizada (link), contato do encarregado, direitos do paciente. Para pacientes novos, o consentimento atualizado entra na primeira consulta.

3. Relatório final do audit. Documento de 5 a 8 páginas que consolida: o que foi feito nas 4 semanas, evidências, gaps remanescentes, plano de continuidade para os próximos 6 meses. Esse relatório é o que a clínica entrega à ANPD em caso de fiscalização.

4. Calendário de revisão. A LGPD não é projeto — é processo contínuo. Defina: revisão trimestral do ROPA, revisão semestral dos contratos, revisão anual da política, treinamento anual da equipe, teste mensal do backup. Coloque no calendário do médico-sócio com lembrete automático.

Entregável da semana 4: Relatório final do audit + lista de presença do treinamento + calendário de revisão para 12 meses + comunicação enviada à base de pacientes.

Tempo estimado: 12 a 16 horas.

O caso real — clínica de 12 funcionários em Pinheiros

Em 2026, acompanhei o audit de uma clínica em Pinheiros, São Paulo. Três médicos sócios, 12 funcionários, 60 pacientes por dia, prontuário em SaaS estrangeiro, agenda em outro SaaS, financeiro em planilha. Faturamento próximo de R$3 milhões por ano.

Resultados em 30 dias úteis:

• 4 documentos LGPD prontos e publicados
• 12 funcionários treinados
• 6 contratos com terceiros revisados (3 com aditivo de proteção de dados solicitado)
• 1 backup adicional rodando em servidor da clínica, criptografado e com restore testado
• 1 sistema de controle de acesso por usuário ativado (antes tinha 1 senha compartilhada)
• 4 canais informais migrados para canal corporativo (WhatsApp business com criptografia, e-mail corporativo, drive da clínica com permissão por usuário)

Custo do projeto: R$18 mil em consultoria pontual (TCLE com advogado, infra de backup, revisão de contratos). Tempo do médico-sócio: cerca de 30 horas distribuídas no mês. Tempo da gerente da clínica: cerca de 60 horas distribuídas.

Resultado prático: A clínica está documentada. Em uma fiscalização da ANPD, ela apresenta o relatório, os documentos, as evidências, o calendário de revisão. Vira processo administrativo — não vira multa direta.

O que NÃO cabe em 30 dias

Para ser honesto sobre escopo: três coisas não cabem em audit de 30 dias e ficam no plano de continuidade.

1. Troca de prontuário eletrônico. Se o atual está em SaaS estrangeiro e a decisão é migrar para nacional ou self-hosted, a migração leva 60 a 120 dias. Audit aponta o gap, plano de continuidade resolve.

2. Implantação de IA com prontuário. Quem quer rodar análise de dado de paciente com IA precisa de infra AI-ready própria — Postgres self-hosted, criptografia em repouso, segregação por médico, monitoramento. Isso é projeto separado, 30 a 60 dias depois do audit.

3. Certificação ISO 27001 ou similar. Audit LGPD interna não substitui certificação formal. Para clínica que quer chancela externa, o caminho é diferente — 6 a 12 meses, R$80 mil a R$200 mil.

Como a gente toca isso na prática

A iAvancada (braço de projetos da Inteligência Avançada) faz esse tipo de implementação para clínica média de São Paulo. Estruturamos o ambiente — Postgres com criptografia em repouso, backup testado, monitoramento Zabbix com alertas automáticos — e depois ficamos no service desk com IA reativa para acompanhar incidente. Quando algo cai, o sistema detecta antes do paciente perceber.

O modelo é o que a gente chama de Sprint IA: 15 dias úteis para diagnóstico técnico e setup da infra AI-ready, depois operação contínua. O audit LGPD encaixa antes do Sprint — primeiro mapeia o que tem, depois constrói o que precisa.

Se a sua clínica de SP está nesse momento e quer ver como o cronograma de 30 dias se aplica ao seu caso específico, agende uma conversa de diagnóstico de 30 minutos. Sem custo, sem proposta automática — só conversa pra entender se faz sentido.

Conclusão

Audit LGPD em clínica médica pequena de São Paulo é projeto de 30 dias, não de 90 a 360. Quatro semanas, quatro entregáveis, custo entre R$8 mil e R$25 mil dependendo do escopo. O que muda depois é processo, não documento de gaveta.

A clínica que fizer esse audit em 2026 sai na frente das que esperam fiscalização da ANPD chegar. E a clínica que documenta hoje é a mesma que, daqui a 12 meses, vai conseguir rodar IA com dado de paciente — porque controle de dado bem feito é a base de qualquer infra AI-ready séria.

Perguntas frequentes sobre audit LGPD em clínica médica

As perguntas abaixo são as que mais aparecem em conversa com médico-sócio que está começando o processo. Respostas diretas, sem floreio.