LGPD no consultório de psicologia: o que você precisa fazer

Por Camila Ciocca, CRP 06/207313Publicado em 16/06/2026Atualizado em 26/06/2026

A LGPD não foi criada apenas para grandes empresas com departamentos jurídicos e equipes de TI. Ela se aplica a qualquer pessoa física ou jurídica que trate dados pessoais — e o consultório de psicologia é um dos ambientes onde os dados tratados são, por definição, os mais protegidos que a lei reconhece. Entender o que isso significa na prática não exige que você se torne advogado. Exige saber o que é obrigatório, o que é recomendado e o que pode acontecer se você não agir.

Por que a LGPD se aplica ao seu consultório — mesmo sendo autônomo

Pela Lei nº 13.709/2018 (LGPD), qualquer pessoa física que trata dados pessoais de terceiros é considerada "agente de tratamento". Não há piso de faturamento, número mínimo de funcionários nem necessidade de CNPJ. Se você atende pacientes e guarda registros clínicos, você é o controlador dos dados dessas pessoas — é você quem decide como e por que esses dados são tratados, e é você quem responde por eles perante a lei.

O software ou sistema que você usa para guardar prontuários ocupa o papel de operador — ele processa os dados a seu pedido, seguindo suas instruções. Os dois têm responsabilidades, mas a responsabilidade primária pela adequação é do controlador, ou seja, sua.

Isso não é alarmismo: é a forma como a lei funciona para todos os profissionais de saúde que atendem de forma autônoma. O que diferencia a psicologia é a natureza do dado tratado — informações de saúde mental estão entre as mais protegidas da legislação. E a Autoridade Nacional de Proteção de Dados (ANPD) já se moveu nessa direção: em 2024, publicou um guia de segurança da informação voltado especificamente para agentes de tratamento de pequeno porte, categoria que inclui profissionais autônomos.

O que é dado sensível na prática clínica do psicólogo

O Art. 11 da Lei nº 13.709/2018 trata dos dados pessoais sensíveis e lista, entre as categorias protegidas, os "dados referentes à saúde". Na prática clínica do psicólogo, isso abrange muito mais do que o CID no prontuário:

  • Prontuários, anotações de sessão e hipóteses diagnósticas — mesmo sem diagnóstico formal fechado, qualquer registro sobre o estado mental do paciente é dado sensível.
  • Áudios e transcrições de atendimento — se você grava uma sessão ou usa uma ferramenta de transcrição para apoio clínico, esse conteúdo se enquadra nessa categoria, ainda que o uso seja estritamente seu.
  • Dados de terceiros mencionados pelo paciente — relatos sobre familiares, cônjuge, histórico de violência ou abuso que chegam até você durante o atendimento merecem o mesmo nível de cuidado.
  • Medicações, laudos e encaminhamentos que transitam pela sua mão — mesmo que produzidos por outro profissional.
  • Combinação de dados de identificação com contexto clínico — nome, frequência de atendimento e motivo da consulta, juntos, já configuram dado sensível. Não é preciso ter um laudo formal.

O ponto central: a proteção não depende de o dado ter um diagnóstico escrito. O contexto clínico, por si só, já eleva a informação à categoria mais rigorosa da LGPD.

Base legal: qual usar para tratar dados do seu paciente

Dado sensível exige base legal própria — as bases do Art. 7º da LGPD, como "interesse legítimo", não se aplicam aqui. O Art. 11 lista as hipóteses válidas, e duas delas são as mais relevantes para o consultório de psicologia particular:

Consentimento específico e destacado (Art. 11, inciso I): o paciente autoriza expressamente o tratamento dos seus dados, sabendo exatamente quais dados serão tratados, para qual finalidade e por quanto tempo. É a base mais utilizada no atendimento particular e, quando bem documentada, é também a mais clara para ambos os lados.

Tutela da saúde por profissional habilitado (Art. 11, inciso II, alínea f): aplicável quando o tratamento dos dados é necessário para garantir a assistência à saúde do próprio paciente. Funciona como complemento ao consentimento em situações onde o tratamento é essencial à prestação do serviço clínico.

Um ponto que gera confusão frequente: o sigilo profissional previsto no Código de Ética do CFP (Resolução CFP nº 010/2005, Arts. 9 e 10) é uma obrigação deontológica — ele proíbe você de divulgar informações do paciente. Mas sigilo ético não é base legal LGPD. Os dois regimes coexistem e se complementam; cumprir o sigilo não dispensa a necessidade de ter uma base legal documentada para cada finalidade de tratamento de dados.

A prática recomendada é direta: para cada tipo de dado que você trata — prontuário, faturamento, comunicação com o paciente — defina e registre qual base legal se aplica.

Como documentar o consentimento corretamente

O consentimento deve ser obtido por escrito, antes do início do atendimento, em linguagem que o paciente consiga entender sem precisar ser advogado. A assinatura eletrônica é válida: a Lei nº 14.063/2020 reconhece assinaturas eletrônicas avançadas e qualificadas para documentos do setor de saúde, o que inclui prontuários e termos clínicos. Saiba mais sobre o tema em nosso artigo sobre assinatura digital no prontuário psicológico.

O termo de consentimento deve informar: quais dados serão tratados (nome, contato, informações clínicas, eventuais gravações), para qual finalidade (registro clínico, cobrança, comunicação sobre sessões), por quanto tempo os dados serão mantidos, e se há compartilhamento com terceiros — como a plataforma de prontuário que você usa na função de operador.

O consentimento LGPD pode estar no mesmo documento que o contrato terapêutico, mas precisa ter destaque visual e linguagem própria. Um parágrafo genérico de "autorização de uso de dados" enterrado no rodapé de um contrato de prestação de serviços não satisfaz o nível de especificidade exigido pelo Art. 11. Veja como elaborar um termo adequado em nosso guia sobre como fazer o termo de consentimento para o paciente.

Guarde a prova do consentimento com data e versão do documento — se você atualizar o termo, mantenha as versões anteriores arquivadas. Por fim, o paciente pode revogar o consentimento a qualquer momento (Art. 18, inciso IX). Isso não desfaz os tratamentos já realizados, mas você precisa ter um processo claro para lidar com o pedido — mesmo que seja apenas um fluxo simples de e-mail com os próximos passos documentados.

Segurança técnica: o que a LGPD exige e boas práticas para o consultório

A LGPD não especifica tecnologias obrigatórias, mas exige "medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão" (Art. 46). Traduzindo para o consultório:

  • Controle de acesso: apenas você, e qualquer pessoa formalmente autorizada, deve conseguir acessar prontuários. Dados clínicos não pertencem a pastas compartilhadas, grupos de WhatsApp ou e-mails comuns.
  • Criptografia em repouso e em trânsito: protege os dados mesmo que um dispositivo seja perdido ou um servidor comprometido. Planilhas sem senha ou serviços de nuvem sem política de dados adequada não satisfazem esse requisito.
  • Backup seguro, testado e com acesso restrito: backup sem criptografia é dado exposto. Backup nunca testado pode não funcionar quando mais importa.
  • Descarte seguro: fragmentação de documentos físicos e eliminação formal de arquivos digitais — apagar o arquivo da pasta não é o suficiente.

Se você usa um sistema digital de prontuário, verifique se ele oferece criptografia nos dados armazenados, trilha de auditoria de acesso (quem acessou qual registro e quando) e assinatura digital nos documentos. O TheraClin foi projetado com essas proteções: criptografia AES-256 nos dados em repouso, registro de auditoria de acesso administrativo e prontuário com assinatura digital conforme a Lei nº 14.063/2020. Importante deixar claro: usar o TheraClin — ou qualquer sistema — não elimina suas responsabilidades como controlador. O sistema é o operador, que processa seus dados com as salvaguardas técnicas adequadas; a responsabilidade pela adequação geral do consultório permanece com você. Saiba mais em nosso artigo sobre prontuário eletrônico para psicólogos.

Retenção e descarte — por quanto tempo guardar os dados

A LGPD exige que o controlador defina um prazo de retenção e o comunique ao titular no momento da coleta. Esse prazo não pode ser "indefinido" — precisa ter uma justificativa documentada e um limite estabelecido.

O CFP tem diretrizes próprias sobre guarda de documentos psicológicos que devem ser observadas em paralelo à LGPD. A Resolução CFP nº 06/2019 estabelece guarda mínima de cinco anos para os documentos escritos produzidos no exercício profissional (laudos, relatórios, declarações). Já a Lei federal nº 13.787/2018 determina que o prontuário de saúde só pode ser eliminado vinte anos após o último registro. Quando há conflito, prevalece a norma mais restritiva: a recomendação segura é guardar o prontuário por vinte anos. Em caso de dúvida, consulte seu CRP regional.

Quando o prazo se encerra, os dados devem ser descartados de forma segura e o descarte precisa ser registrado. Uma tensão real pode surgir: o paciente tem o direito de pedir a eliminação dos seus dados (Art. 18, inciso IV LGPD), mas se uma obrigação legal ou ética exige que você mantenha o prontuário pelo prazo definido, você pode recusar o pedido de eliminação. Nesse caso, comunique ao paciente por escrito a justificativa e documente a decisão — isso protege tanto o paciente quanto você.

Direitos do titular: o que seu paciente pode pedir

A LGPD garante ao paciente um conjunto de direitos sobre seus próprios dados. Como controlador, você precisa estar preparado para atendê-los:

  • Acesso (Art. 18, I): o paciente pode pedir para saber quais dados você guarda sobre ele.
  • Correção (Art. 18, III): pode solicitar a correção de informações incorretas ou incompletas.
  • Portabilidade (Art. 18, V): pode pedir que seus dados sejam transferidos para outro profissional ou sistema.
  • Eliminação (Art. 18, IV): pode solicitar a exclusão dos dados — com as limitações legais e éticas já mencionadas.
  • Revogação do consentimento (Art. 18, IX): pode retirar a autorização a qualquer momento, sem prejuízo dos atendimentos já realizados.

Para receber esses pedidos, um endereço de e-mail dedicado já é suficiente. O importante é ter um processo — mesmo que simples — para responder a cada um deles. A lei não fixa prazo específico para resposta, mas 15 dias úteis é a referência que circula na prática do mercado e é um parâmetro razoável para adotar.

O papel da ANPD e o que está em jogo

A ANPD é o órgão federal responsável pela fiscalização da LGPD e tem competência sobre qualquer agente de tratamento de dados pessoais no Brasil, incluindo profissionais autônomos. Não há isenção por porte nem por faturamento.

As sanções previstas no Art. 52 da LGPD incluem advertência com prazo para correção, multa simples de até 2% do faturamento bruto do último exercício limitada a R$ 50 milhões por infração, publicização da infração nos meios de comunicação e bloqueio ou eliminação dos dados envolvidos. Para um consultório solo, o risco financeiro é real, mas o dano reputacional de uma infração publicizada pode ser igualmente grave — ou mais. A confiança é o ativo central de qualquer prática clínica.

A boa notícia: em 2024, a ANPD publicou gratuitamente um guia de segurança da informação voltado para agentes de tratamento de pequeno porte, com checklists práticos e modelo de registro de operações de tratamento. É um ponto de partida objetivo e oficial, disponível diretamente no site da ANPD.

A adequação à LGPD no consultório de psicologia é um conjunto de medidas concretas — base legal documentada, consentimento adequado, segurança técnica e respeito aos direitos do titular. Não é uma transformação impossível, e você não precisa fazer tudo ao mesmo tempo. O passo mais importante é começar.

Conheça o TheraClin — prontuário clínico criptografado, auditável e com conformidade LGPD. Teste grátis por 14 dias.


Perguntas frequentes

Meu consultório é só eu, sem funcionários. A LGPD ainda se aplica?

Sim. Qualquer pessoa física que trata dados pessoais de terceiros é agente de tratamento pela LGPD. Não há piso de faturamento nem número mínimo de colaboradores. Como psicólogo autônomo que acessa e guarda prontuários de pacientes, você é controlador dos dados e deve cumprir a lei — inclusive quanto à base legal, ao consentimento e à segurança técnica.

O consentimento do contrato terapêutico já vale como consentimento LGPD?

Não automaticamente. O consentimento LGPD para dado sensível deve ser específico, destacado e informar claramente a finalidade do tratamento de dados. O ideal é um termo que combine os dois — consentimento clínico e LGPD — em linguagem simples, assinado pelo paciente. Um documento genérico de "autorização de tratamento" dificilmente atende ao nível de especificidade exigido pelo Art. 11.

O sigilo profissional do CFP já protege meus dados. Preciso de mais alguma coisa?

São regimes diferentes que coexistem. O sigilo CFP é uma obrigação deontológica — proíbe você de divulgar informações do paciente. A LGPD vai além: exige medidas técnicas de segurança, base legal documentada, definição de prazo de retenção, canal para direitos do titular e muito mais. Cumprir o sigilo não isenta o profissional das exigências da LGPD.

Se meu paciente pedir para apagar todos os dados dele, sou obrigado?

O direito à eliminação existe (Art. 18, IV LGPD), mas tem limites legais. Obrigações éticas ou regulatórias que exijam a guarda dos documentos psicológicos — como as diretrizes do CFP — permitem que você mantenha os dados pelo prazo necessário. Nesse caso, comunique ao paciente a justificativa por escrito e documente a decisão.

A ANPD fiscaliza consultórios de psicologia de pequeno porte?

Formalmente, sim — a ANPD tem competência sobre qualquer agente de tratamento de dados pessoais no Brasil, independentemente do porte. Em 2024, publicou guia de segurança da informação específico para agentes de tratamento de pequeno porte, categoria que inclui autônomos. As sanções previstas em lei chegam a R$ 50 milhões por infração, mas para o consultório solo o risco reputacional de uma infração publicizada tende a ser igualmente grave.


Referências

  1. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709compilado.htm. Acesso em: jun/2026.
  2. ANPD — AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte. 2024. Disponível em: https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes/guia-orientativo-sobre-seguranca-da-informacao-para-agentes-de-tratamento-de-pequeno-porte. Acesso em: jun/2026.
  3. CFP — CONSELHO FEDERAL DE PSICOLOGIA. Código de Ética Profissional do Psicólogo (Resolução CFP nº 010/2005). Disponível em: https://site.cfp.org.br/legislacao/codigo-de-etica/. Acesso em: jun/2026.

Ver também

Organize sua prática clínica com o TheraClin

Prontuário, escalas de rastreio, agenda e financeiro em um só lugar. Experimente grátis por 14 dias.

Começar grátis por 14 dias