Nota importante
Este artigo é informativo e não substitui aconselhamento jurídico. Para situações específicas da sua clínica, consulte um advogado ou DPO certificado.
Os dados de saúde são a categoria mais sensível no RGPD — chamam-se "dados especiais" e têm regras próprias. Uma clínica de fisioterapia, psicologia ou nutrição processa dados de saúde todos os dias. Isso cria obrigações legais que muitos donos de clínica desconhecem completamente.
Este guia cobre os pontos críticos que a CNPD verifica primeiro numa inspeção. Use a checklist para perceber onde está e o que precisa de resolver.
Área 1
Documentação obrigatória
A primeira coisa que a CNPD pede numa inspeção é documentação. Se não tiver estes documentos, a multa começa aqui.
Política de Privacidade atualizada
ObrigatórioDeve explicar quais dados recolhe, para quê, por quanto tempo, e quem tem acesso. Tem de estar acessível no seu site e na clínica.
Registo de Atividades de Tratamento (RAT)
ObrigatórioDocumento interno que lista todas as atividades de processamento de dados: quem trata, o quê, com que base legal, por quanto tempo.
Formulários de consentimento para pacientes
ObrigatórioO consentimento deve ser explícito, informado, e separado por finalidade. Um formulário genérico de "aceito tudo" não chega.
Contratos com subcontratantes
ObrigatórioSe usa software, laboratório externo, ou serviços de cloud, precisa de contratos escritos que garantam que eles também respeitam o RGPD.
Plano de resposta a violações de dados
Tem 72 horas para notificar a CNPD em caso de violação. Precisa de um plano para saber o que fazer.
Área 2
Violações mais comuns em clínicas
Usar WhatsApp pessoal para comunicar com pacientes
Risco AltaDados de saúde circulam por servidores da Meta, fora do controlo da clínica. Viola artigo 9.º do RGPD. Muito fácil de provar para a CNPD.
Excel partilhado com dados de pacientes sem proteção
Risco AltaSem controlo de acesso, sem auditoria de quem viu o quê. Qualquer funcionário pode aceder a todos os dados.
Retenção de dados além do necessário
Risco MédiaDados de pacientes que deixaram de ser seus clientes há mais de X anos (depende da área) devem ser eliminados ou anonimizados.
Sem base legal para enviar marketing por email
Risco MédiaNão pode enviar newsletters sem consentimento explícito separado do consentimento para tratamento médico.
Câmaras de segurança sem aviso
Risco BaixaSe tem câmaras na clínica, deve ter sinalética visível e uma política de retenção das imagens (normalmente 30 dias).
"A violação mais comum que encontramos em clínicas? WhatsApp pessoal da rececionista com informações de saúde de pacientes. Resolve-se em menos de um dia — mas até lá, é uma infração ativa."
Equipa MarcalyÁrea 3
Se receber uma auditoria da CNPD
Não entre em pânico
A CNPD anuncia a maioria das inspeções com antecedência. Normalmente tem 15–30 dias para preparar a documentação.
Reúna toda a documentação
RAT, contratos, políticas de privacidade, registos de consentimento. Tudo organizado e datado.
Consulte um advogado especializado
Antes de responder a qualquer comunicação formal da CNPD, fale com alguém que conheça o processo.
Identifique e corrija lacunas
Se descobrir problemas durante a preparação, documente que os está a corrigir. A boa fé conta.
Coopere com os inspetores
A falta de cooperação agrava as coimas. Responda com honestidade e forneça o que for pedido.
Bónus
Como o software certo reduz o risco RGPD
Muitas das violações mais comuns desaparecem automaticamente quando a clínica usa software especializado em vez de Excel + WhatsApp. Aqui está porque:
Dados em servidores PT
Nenhum dado de paciente passa por servidores pessoais ou plataformas de terceiros não autorizadas.
Registos de acesso
Quem acedeu a que dado e quando — auditável em qualquer momento.
Consentimentos digitais
Registados automaticamente com data, hora, e versão do formulário.
Sem WhatsApp pessoal
Os lembretes e comunicações saem do sistema — nunca do telemóvel pessoal da rececionista.
Elimine o WhatsApp pessoal da sua clínica
Lembretes automáticos RGPD-compliant incluídos. 14 dias grátis.
Começar grátis →