LGPD na clínica de estética: primeiros passos sem complicar
Bases legais, consentimento, armazenamento e hábitos práticos para reduzir risco e aumentar confiança.
Este artigo tem caráter informativo e educativo. Para orientação jurídica específica sobre adequação à LGPD, consulte um advogado especializado em proteção de dados.
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) se aplica a qualquer pessoa natural ou empresa que realize tratamento de dados pessoais no Brasil — incluindo clínicas de estética de qualquer porte. O fato de ser microempreendedor individual ou uma clínica pequena não é isenção.
A boa notícia: a LGPD não exige sistemas complexos nem consultoria cara para os primeiros passos. Exige atenção, processo e documentação simples. Aqui está o que você pode fazer agora mesmo.
Entenda o que são dados pessoais no contexto da sua clínica
Dado pessoal é qualquer informação que identifique ou possa identificar uma pessoa: nome, telefone, e-mail, CPF, endereço. Na clínica de estética, você também lida com dados pessoais sensíveis — categoria que recebe proteção reforçada na LGPD:
- Dados de saúde (histórico de procedimentos, alergias, uso de medicamentos, condições de pele)
- Fotografias de antes e depois vinculadas à identidade da cliente
- Informações sobre gestação, tratamentos médicos em andamento
Para dados sensíveis, a base legal mais comum é o consentimento específico e destacado — um “sim” claro da cliente para aquele uso específico, não escondido no meio de um contrato genérico.
Saiba o que você coleta e por quê
Liste os dados que você coleta da cada cliente e o motivo operacional de cada um. Esse exercício, chamado de mapeamento de dados, não precisa ser elaborado:
| Dado coletado | Para que serve | Onde fica |
|---|---|---|
| Nome e WhatsApp | Agendamento e comunicação | Sistema de agenda |
| Fotos (antes/depois) | Acompanhamento de resultado | Pasta no celular ou prontuário |
| Histórico de procedimentos | Planejamento do tratamento | Ficha de cliente |
| Alergias e restrições | Segurança no atendimento | Anamnese |
Se você coleta um dado e não consegue justificar para que serve, não colete. Menos dado significa menos exposição em caso de incidente.
Veja também como organizar a ficha de cliente de forma que facilite tanto o atendimento quanto a conformidade: ficha de cliente: o que registrar.
Consentimento: claro, registrável e revogável
O consentimento precisa ser:
- Livre: a cliente não pode ser coagida ou prejudicada por recusar
- Informado: ela precisa saber exatamente para que os dados serão usados
- Específico: um consentimento geral não serve para usos diferentes (ex.: consentir para o tratamento não é consentir para receber marketing)
- Registrável: você precisa conseguir provar que ela consentiu, quando e para quê
Na prática, isso significa:
- Termo de anamnese com campo de autorização explícito para uso de fotos
- Opt-in separado para envio de comunicações de marketing por WhatsApp
- Data e versão do documento registradas no prontuário
A LGPD também exige que o consentimento possa ser revogado a qualquer momento. Defina como a cliente pode fazer isso (geralmente, basta uma mensagem solicitando que os dados sejam excluídos) e como você vai registrar e executar essa solicitação.
Acesso por necessidade
Quem na sua equipe precisa de acesso a quais dados?
- A recepcionista precisa ver o histórico de procedimentos de todas as clientes? Provavelmente não.
- A esteticista precisa ver os dados de pagamento? Também não.
- Quem acessa o celular da dona da clínica tem acesso a tudo — isso é um risco se o celular for perdido.
Defina permissões por função. Em sistemas como o Belocce, o acesso por perfil é configurável — cada profissional vê o que precisa para trabalhar, sem acesso a informações desnecessárias.
Senhas compartilhadas e fotos de antes/depois salvas em grupos de WhatsApp são os maiores riscos práticos de clínicas pequenas. Corrija esses hábitos antes de qualquer outra coisa.
Plano simples para incidentes
Se um aparelho for roubado, uma planilha vazar ou um sistema for comprometido, o que você faz?
A LGPD exige que violações de dados que possam causar risco relevante às titulares sejam comunicadas à ANPD (Autoridade Nacional de Proteção de Dados) em 72 horas. Para clínicas de pequeno porte, o risco mais comum é perda de dispositivo com dados não criptografados.
Crie um procedimento mínimo:
- Identifique o que foi exposto (quais dados, de quantas clientes)
- Bloqueie acessos remotamente quando possível (conta Google, iCloud, sistema)
- Registre data, hora e o que foi feito
- Avalie se precisa comunicar clientes afetadas
- Corrija a vulnerabilidade que permitiu o incidente
Ter esse plano escrito reduz o pânico e acelera a resposta — o que costuma ser o fator mais importante para limitar o dano.
Política de Privacidade e Termos de Uso
Se você tem site com formulário de contato (como a página de contato do Belocce para demonstrações), redes sociais com links de agendamento ou qualquer coleta online de dados, você precisa de uma Política de Privacidade publicada e acessível.
Esse documento explica:
- Quais dados são coletados e por quê
- Por quanto tempo são mantidos
- Com quem podem ser compartilhados
- Como a titular pode solicitar acesso, correção ou exclusão
Não é necessário que seja um texto jurídico denso — precisa ser claro e honesto.
Boas ferramentas ajudam a manter processo e registro organizados. Conheça o Belocce e converse com a equipe sobre como ele suporta a gestão de dados da sua clínica: contato.