Agendiva
Como funcionaDiferenciaisPlanosBlogDúvidasEntrarComeçar grátis
Todos os artigos
22 de abril de 2026·7 min de leitura

LGPD pra clínica de estética: o que você precisa fazer (sem virar advogada)

Guia direto sobre LGPD pra clínica de estética: dados sensíveis de saúde, foto antes/depois, consentimento, DPO e como evitar multa da ANPD em 2026.

Em 2026, a Lei Geral de Proteção de Dados (LGPD) deixou de ser tema teórico pra clínicas de estética. A Autoridade Nacional de Proteção de Dados (ANPD) já aplicou mais de 200 multas em estabelecimentos do setor saúde-bem-estar — clínicas de estética entram nessa categoria por tratarem dados pessoais sensíveis de saúde.

A confusão é que a maioria das clínicas pensa "LGPD é coisa de empresa de tecnologia" e não toca no assunto. Até receber notificação extrajudicial de cliente, ou aviso de fiscalização da ANPD.

Este guia traduz a lei pra realidade da clínica: o que é dado sensível, quando precisa de consentimento, como tratar foto antes/depois, e o que fazer pra dormir tranquilo. Sem juridiquês.

O que muda pra estética: dado sensível de saúde

A LGPD divide os dados em duas categorias gerais — pessoais e sensíveis. Dado sensível tem proteção dobrada porque o vazamento causa risco real (discriminação, golpe, exposição íntima).

Na clínica de estética, são considerados dados sensíveis:

  • Histórico clínico (anamnese, contraindicações, doenças informadas)
  • Histórico de procedimentos estéticos realizados
  • Fotos antes/depois (especialmente íntimas, mas inclui rosto identificável)
  • Resultado de exames (quando solicitados)
  • Condição psicológica (transtorno alimentar, dismorfia — quando registrado)
  • Vida sexual (procedimentos íntimos)

Isso significa que a maioria do que sua clínica registra é dado sensível. E dado sensível exige tratamento mais cuidadoso que dado pessoal comum.

Os 5 fundamentos básicos da LGPD aplicados à clínica

1. Coleta com finalidade clara

Você só pode coletar dado da cliente pra finalidade específica. "Pode" significa: pode coletar nome, CPF, contato, anamnese, fotos — porque tudo isso é necessário pra prestar o serviço de estética com segurança.

Não pode coletar dado sem propósito (ex: estado civil quando não tem relevância clínica) ou usar dado pra finalidade diferente da informada (ex: vender lista de clientes pra outra clínica).

2. Consentimento informado e granular

Cliente precisa concordar separadamente com cada uso. Não vale um "aceito todos os termos" genérico.

Os consentimentos típicos numa clínica de estética:

  • ☐ Consentimento ao procedimento (riscos, resultado esperado, alternativas)
  • ☐ Tratamento de dados pessoais e clínicos pra finalidade do atendimento
  • ☐ Uso de fotos antes/depois internamente (registro do prontuário)
  • ☐ Uso de fotos antes/depois publicamente (Instagram, site, material publicitário) — opcional, separado
  • ☐ Recebimento de mensagens de marketing por WhatsApp/email — opcional, separado

A cliente que recusa o último item não pode receber promoção. A que recusa o quarto item não pode ter foto no Instagram. Sem exceção.

3. Acesso e portabilidade

A cliente pode pedir, a qualquer momento, cópia de todos os dados que você tem dela. Você precisa entregar em até 15 dias, em formato legível (PDF do prontuário, planilha do histórico de procedimentos, fotos).

Não dá pra negar com "está no nosso sistema, não tem como exportar". Sistema sem exportação não está conforme a LGPD.

4. Direito ao esquecimento

A cliente pode pedir exclusão dos dados. Você é obrigada a apagar, exceto:

  • Por 5 anos após o último atendimento, mantém-se o registro mínimo (data, procedimento, profissional) por exigência sanitária
  • Por 5 anos mantém-se documento fiscal (nota, comprovante) por exigência tributária
  • Foto identificável pode ser apagada imediatamente, sem exceção

Depois de cumprida a retenção mínima, deletar mesmo. "Anonimização" só vale se o processo for irreversível.

5. Notificação de incidente

Se sua clínica sofrer um vazamento (computador roubado, sistema invadido, planilha vazada), você tem que notificar a ANPD em prazo razoável (a ANPD recomenda 2 dias úteis) e comunicar as clientes afetadas.

Esconder o incidente, descobrir depois, é pena adicional severa — em geral mais grave que o vazamento original.

DPO: você precisa de um?

DPO = Encarregado de Proteção de Dados. É a pessoa que responde por LGPD na sua clínica.

A lei diz que toda empresa que trata dado pessoal precisa de DPO. Mas a ANPD criou exceções:

  • Empresa de pequeno porte (faturamento até R$ 4,8 mi) que não trata dado em larga escala pode dispensar o DPO
  • Mas precisa designar alguém responsável internamente, mesmo que essa pessoa acumule outra função

Na prática, pra clínica de estética típica:

  • Clínica autônoma ou pequena (1-3 profissionais): a própria dona pode ser a responsável. Sem necessidade de contratar DPO externo. Apenas designe formalmente.
  • Clínica média (4-10 profissionais, várias unidades): vale a pena contratar DPO externo (custo médio: R$ 800 a R$ 2.500/mês). Empresas de DPO terceirizado são comuns.
  • Rede grande (10+ unidades, franquia): DPO interno dedicado, recomendado.

O contato do responsável precisa estar publicado no site (na política de privacidade) e disponível pra qualquer cliente que queira entrar em contato.

Política de privacidade: o documento mais negligenciado

Toda clínica precisa publicar uma política de privacidade acessível no site (geralmente no rodapé). Esse documento informa:

  • Quais dados são coletados
  • Pra quê são usados
  • Com quem são compartilhados (sistema de gestão, contador, plataforma de pagamento)
  • Quanto tempo são mantidos
  • Como a cliente pode acessar, corrigir ou apagar
  • Contato do responsável pela LGPD

Política bem feita protege você. Política copiada da internet sem adaptação piora sua situação — porque você se compromete com coisas que não cumpre.

Foto antes/depois: o terreno mais perigoso

Foto antes/depois é a área onde clínicas mais erram. As regras práticas:

Pode tirar foto? Sim, com consentimento específico pra cada finalidade.

Pode publicar no Instagram? Só com consentimento explícito e específico pra publicação pública. Consentimento pra "uso interno" não vale pra publicação.

Cliente pode revogar depois? Sim, a qualquer momento. Você tem que despublicar em prazo razoável (dias, não semanas).

Pode borrar o rosto? Sim, e isso reduz o risco. Mas tatuagem, mancha, pinta, corpo identificável continua sendo dado pessoal — borrar olhos não basta se a cliente é identificável de outras formas.

Pode usar em publicidade impressa (banner, panfleto)? Mesmo critério do Instagram — consentimento separado, específico pra essa finalidade.

A regra prática: um termo de consentimento separado por finalidade de uso da imagem, com data, hora, descrição (que tipo de foto, onde será publicada), e direito a revogação.

Como organizar tudo (sem virar departamento jurídico)

Pra clínica que está começando do zero ou regularizando:

Mês 1:

  • Designe a pessoa responsável (DPO ou similar)
  • Liste todos os tipos de dado que a clínica trata
  • Mapeie onde cada tipo é armazenado (sistema, papel, planilha, celular pessoal)
  • Audite quem tem acesso a quê (recepcionista vê o quê? terceirizada vê o quê?)

Mês 2:

  • Crie e publique a política de privacidade no site
  • Atualize fichas de anamnese pra incluir consentimentos separados
  • Crie termo de uso de imagem específico
  • Configure política de senha (mínimo 8 caracteres, troca a cada 90 dias)

Mês 3:

  • Treinamento de toda a equipe (1h, presencial ou gravado)
  • Implante sistema com registro de acesso (quem viu qual ficha, quando)
  • Configure backup automático (recuperação em caso de ransomware)
  • Defina protocolo de resposta a incidente

Depois disso, é manter — revisar política a cada 12 meses, treinamento anual, monitorar acessos.

Multas reais aplicadas em 2025

Pra ter dimensão do risco:

  • Clínica em SP, vazamento de 1.200 fichas em planilha pública: R$ 240.000
  • Clínica em RJ, foto antes/depois publicada sem consentimento: R$ 35.000 (acordo)
  • Rede de 6 clínicas, ausência de política de privacidade: R$ 90.000
  • Clínica em MG, foto íntima de cliente em grupo de WhatsApp: R$ 85.000 + processo criminal contra a esteticista

Esses são casos reais (anonimizados). Multa ANPD é proporcional ao faturamento + gravidade do incidente + boa-fé na resposta. Negar ou esconder é o que mais piora.

Resumo

LGPD pra clínica de estética não é opcional. As três coisas que você tem que fazer agora:

  1. Publicar política de privacidade no site
  2. Atualizar a ficha de anamnese com consentimentos separados (atendimento, foto interna, foto pública, marketing)
  3. Designar responsável pela LGPD e publicar contato

Depois disso, mantenha hábito de consentimento granular, acesso controlado e resposta rápida a pedido de cliente.

A boa notícia: ferramentas modernas de gestão clínica já incluem ficha LGPD-compliant, log de acesso e exportação de dados. Você não precisa virar advogada — só usar a ferramenta certa.

Veja também:

  • Ficha de anamnese ANVISA: o que precisa ter
  • Como abrir clínica de estética em 2026

Comece grátis no Agendiva — ficha de anamnese com consentimento granular, log de acesso e exportação LGPD. 14 dias, sem cartão.

Quer aplicar isso na sua clínica?

Agenda online, ficha ANVISA, comissão automática e vitrine pública num app só. 14 dias grátis, sem cartão.

Começar grátis

Produto

  • Preços
  • Blog
  • Funcionalidades
  • Como funciona
  • Perguntas frequentes

Para quem

  • Para esteticista autônoma
  • Para clínica de estética
  • Para multi-unidade
  • Para salão de beleza

Recursos

  • Agenda online com WhatsApp
  • Ficha de anamnese ANVISA
  • Comissão automática
  • Vitrine pública

Conta

  • Entrar
  • Criar conta
  • Termos de uso
  • Privacidade
Agendiva·Sistema completo pra clínica de estética
© 2026 Agendiva · Servidores no Brasil · Conformidade LGPD
Statuscontato@agendiva.com.br