← Recursos

Modelos legais

Checklist HIPAA / GDPR / LGPD

Conformidade prática para clínicas odontológicas e centros radiológicos que lidam com dados sensíveis de saúde

Plantilla pública

Esta lista cobre os princípios comuns ao HIPAA (EUA), GDPR (UE), LGPD (Brasil) e leis equivalentes na América Latina. Não substitui a assessoria jurídica específica para sua jurisdição e modelo de negócio.

As imagens radiológicas e os dados clínicos de pacientes são dados sensíveis de saúde — a categoria mais estritamente regulada pelas leis modernas de proteção de dados. Esta checklist te ajuda a auditar seu nível de conformidade de forma prática, sem jargão jurídico desnecessário.

Por que importa

Uma multa típica por descumprimento do GDPR pode chegar a 20 milhões de euros ou 4% do faturamento global. Sob o HIPAA, as multas civis podem ir de USD 100 a USD 50.000 por violação, até USD 1,5 milhão por categoria/ano. Mas mais importante do que as multas: a confiança do paciente. Um único vazamento de imagens médicas pode destruir a reputação construída em anos.

1. Inventário e classificação de dados

  • Identifico quais dados sensíveis de saúde (PHI / categoria especial) minha clínica trata: nome do paciente, data de nascimento, identificadores, imagens DICOM, laudos radiológicos, prontuário, dados de seguros
  • Tenho um registro de tratamento de dados (ROPA conforme GDPR Art. 30 / equivalentes locais) com: quais dados, finalidade, base legal, prazo de conservação
  • Sei onde os dados são fisicamente armazenados (servidor on-premise, nuvem, prestador externo, papel) e em quais jurisdições

2. Base legal do tratamento

  • Cada tratamento de dados tem uma base legal documentada (consentimento explícito do paciente, contrato de saúde, obrigação legal, interesse vital)
  • Para tratamentos baseados em consentimento: o consentimento é livre, específico, informado e inequívoco — e pode ser retirado a qualquer momento
  • Os dados são usados apenas para as finalidades declaradas ao paciente; qualquer uso secundário (pesquisa, marketing, treinamento) requer base legal adicional

3. Direitos do paciente

  • Existe um canal claro para exercer direitos (e-mail dedicado, formulário no site): acesso, retificação, oposição, portabilidade, eliminação
  • O prazo de resposta a solicitações de direitos está documentado (tipicamente 30 dias sob GDPR)
  • Existe um procedimento para entregar dados em formato portável (DICOM, PDF, etc.) quando o paciente solicita
  • Existe um procedimento de eliminação de dados ao encerrar o ciclo assistencial (respeitando os prazos legais mínimos de conservação clínica)

4. Criptografia e segurança técnica

  • Os dados em trânsito trafegam criptografados (TLS 1.2+ em qualquer comunicação com servidores)
  • Os dados em repouso são criptografados (AES-256 ou equivalente) em bancos de dados e armazenamento de arquivos DICOM
  • As senhas são armazenadas com hash usando algoritmo seguro (bcrypt, Argon2), nunca em texto puro
  • Existe autenticação de dois fatores para acessos administrativos ao sistema
  • Os backups são criptografados e as restaurações são testadas periodicamente

5. Controle de acesso

  • Cada membro da equipe tem sua própria conta pessoal (não se compartilham contas)
  • As permissões seguem o princípio do menor privilégio: cada usuário acessa apenas o que precisa para sua função
  • Os acessos são revogados imediatamente quando um funcionário deixa a clínica
  • Existe registro de auditoria (audit log) de quem acessou quais dados e quando
  • As senhas têm requisitos razoáveis de complexidade e expiração

6. Fornecedores e suboperadores

  • Tenho identificados todos os fornecedores que processam dados sensíveis em meu nome (visualizador DICOM em nuvem, gestor de pacientes, contabilidade, e-mail transacional, etc.)
  • Existe um Data Processing Agreement (DPA) assinado com cada fornecedor que atua como Operador
  • Os fornecedores têm certificações razoáveis (SOC 2, ISO 27001) e estão listados na minha política de privacidade
  • Se transfiro dados a terceiros países, disponho de mecanismos de transferência válidos (Cláusulas Contratuais-Tipo da Comissão Europeia, decisão de adequação, etc.)

7. Notificação de violações de segurança

  • Existe um procedimento documentado de resposta a violações de segurança
  • Sei que tenho 72 horas (GDPR) ou "sem demora indevida" (HIPAA) para notificar a autoridade de controle e o paciente quando aplicável
  • Meu fornecedor SaaS (visualizador DICOM, gestor) me notificará se houver violação na sua infraestrutura
  • Tenho modelo pronto de notificação ao paciente e à autoridade

8. Documentação legal

  • Tenho política de privacidade pública e atualizada
  • Tenho aviso de privacidade / declaração de privacidade para mostrar ao paciente no início do tratamento
  • Tenho consentimento informado específico para CBCT e outros estudos
  • Tenho registro de atividades de tratamento (ROPA) atualizado
  • Tenho avaliação de impacto à proteção de dados (DPIA) para tratamentos de alto risco quando corresponder

9. Treinamento do pessoal

  • Todo o pessoal recebeu treinamento inicial em proteção de dados ao ingressar
  • Existem reciclagens periódicas (no mínimo anualmente)
  • O pessoal sabe identificar um e-mail de phishing e a quem avisar
  • O pessoal sabe o que é um dado sensível e como manuseá-lo (não tirar fotos do DICOM no WhatsApp pessoal, não deixar o computador desbloqueado, etc.)

10. Compartilhar dados com pacientes e colegas

  • Quando compartilho um exame com o paciente ou um colega, uso um canal seguro (link único com token, não download direto público)
  • Se uso WhatsApp/e-mail para comunicar, verifico o destinatário antes de enviar
  • Quando um colega solicita dados de um paciente em comum, verifico a autorização do paciente ou me amparo na base legal correspondente
  • Os links de compartilhamento têm data de expiração e/ou podem ser revogados

11. Retenção e eliminação

  • Conheço o prazo legal mínimo de conservação do prontuário na minha jurisdição (tipicamente 5–15 anos na América Latina, depende do país)
  • Após o prazo legal, os dados são eliminados de forma definitiva (também dos backups e fornecedores)
  • Tenho procedimento para responder a solicitações de "direito ao esquecimento" quando aplicável
  • Os arquivos físicos são destruídos por método seguro (fragmentadora, não lixo comum)

12. Designações formais

  • Se minha clínica supera o limite, designei um Encarregado de Proteção de Dados (DPO) e registrei seu contato
  • Sob HIPAA: designei um Privacy Officer e um Security Officer
  • Esses papéis estão documentados, comunicados à equipe e publicados ao paciente

Riscos comuns em clínicas odontológicas e centros radiológicos

  • Compartilhar DICOM pelo WhatsApp do consultório: o grupo da equipe tem acesso completo às imagens. Se um celular se perde ou o chat vaza, a clínica responde por essa exposição. Use sempre canais com controle de acesso.
  • Computador da recepção sem bloqueio: deixa visível a lista de pacientes a qualquer um que passe. Bloqueio automático após 5 minutos resolve 90% do risco.
  • E-mail pessoal do dentista para enviar exames: dados sensíveis em fornecedores não contratados oficialmente, sem DPA, sem rastreabilidade. Use sempre o sistema oficial.
  • Backups em disco externo na recepção: sem criptografia, fisicamente acessível. Se o disco se perde, os dados desprotegidos são uma violação grave.
  • Acessos compartilhados: "a senha do sistema é 1234 e toda a equipe sabe". Impossível auditar quem fez o quê. Exige conta individual por pessoa.

Como o CBCTHub te ajuda com a conformidade

  • Criptografia TLS 1.3 em trânsito e AES-256 em repouso
  • Processamento DICOM 100% no navegador do usuário (os pixels não passam por servidores)
  • Audit log exportável para CSV (para auditorias)
  • Portabilidade de dados GDPR Art. 20 (download ZIP completo)
  • Eliminação de conta autosserviço
  • DPA público disponível para download em /legal/dpa
  • Conta individual por usuário com MFA opcional
  • Links de compartilhamento com expiração e PIN opcional

¿Te resultó útil este recurso?

Ver más recursosCrear cuenta gratis en CBCTHub

CBCTHub · cbcthub.com — Documento de referencia. No reemplaza el criterio profesional ni la normativa local vigente.