Um vazamento de dados na clínica de psicologia expõe informação de saúde, que é dado sensível, e aciona obrigações da LGPD. Segundo o artigo 48 da Lei nº 13.709/2018 (LGPD), o psicólogo deve comunicar o incidente à ANPD e aos pacientes afetados quando houver risco relevante. Agir rápido, conter o vazamento e documentar tudo reduz o dano e a responsabilização. Prevenir, com criptografia e controle de acesso, continua sendo o melhor caminho.
Um vazamento de dados na clínica de psicologia é o acesso, a perda ou a exposição não autorizada de informação de paciente, como prontuário, anamnese ou contato. Por envolver dado de saúde, ele é mais grave do que um vazamento comum: expõe o sigilo da relação terapêutica. A gente sabe que pensar nisso dá um frio na barriga, mas é justamente o profissional preparado que reage bem quando o pior acontece. Este guia faz parte do nosso conteúdo sobre ética e LGPD na psicologia e explica o que a lei exige e como agir.
O que é um incidente de dados na clínica
Um incidente de segurança é qualquer evento que comprometa a confidencialidade, a integridade ou a disponibilidade de dado pessoal. Na clínica, isso vai do notebook roubado com prontuários ao link de planilha compartilhado por engano, passando por um e-mail enviado ao destinatário errado ou um ataque que sequestra os arquivos.
Nem todo incidente é igual, mas todos merecem atenção porque tratam de dado sensível. A LGPD, fiscalizada pela ANPD, classifica o dado de saúde no artigo 11 como categoria especial, com proteção reforçada. Por isso um vazamento que, em outra área, seria menor, na psicologia pode significar a exposição do que há de mais íntimo na vida do paciente.
O que a LGPD exige diante de um vazamento
A LGPD não pune o profissional por ter sofrido um incidente, e sim por negligenciar a prevenção e a resposta. O artigo 48 estabelece o dever de comunicar o incidente à ANPD e ao titular do dado quando houver risco ou dano relevante. Cumprir isso com transparência é o que diferencia um erro tratado com responsabilidade de uma omissão que agrava a situação.
Comunicação à ANPD e ao paciente
Quando o vazamento puder gerar risco relevante ao paciente, o psicólogo deve comunicar a ANPD e os titulares afetados em prazo razoável. A comunicação descreve o que aconteceu, quais dados foram expostos e quais medidas estão sendo tomadas. Omitir o incidente, na esperança de que ninguém perceba, é justamente o que costuma transformar um problema em penalidade.
Registro do incidente
Mesmo quando o risco é baixo e a comunicação à ANPD não é obrigatória, o profissional deve registrar internamente o que houve e como reagiu. Esse registro demonstra diligência e é a sua prova de que tratou o incidente com seriedade. A gente sabe que documentar no meio do susto parece o de menos, mas é o que protege a sua prática depois.
Como agir diante de um vazamento
A reação ao incidente segue uma lógica simples: conter, avaliar, comunicar e corrigir. Primeiro, conter o vazamento, interrompendo o acesso indevido, trocando senhas ou isolando o equipamento comprometido. Depois, avaliar quais dados foram expostos e o risco para os pacientes.
Em seguida, comunicar quando o risco for relevante, à ANPD e aos afetados, com transparência. Por fim, corrigir a falha que permitiu o incidente, para que ele não se repita. A pressa em esconder costuma piorar tudo; a pressa em conter e comunicar é a que protege o paciente e o profissional.
Legenda: conter, avaliar, comunicar e corrigir é a sequência que reduz o dano de um incidente.
Como prevenir o vazamento na prática
A melhor resposta a um vazamento é não tê-lo, e a prevenção é mais simples do que parece. Criptografia, controle de quem acessa cada ficha, backup seguro e o fim das planilhas compartilhadas por link cobrem a maior parte do risco. Uma plataforma clínica já nasce com essas camadas embutidas. A Neurall é uma plataforma com IA para psicólogos que reúne prontuário, agenda e registro clínico com criptografia e log de acesso, e a assistente Nai apoia a rotina sem espalhar o dado por aplicativos soltos. O plano principal Pleno fica a partir de R$89,90/mês, com faixa de entrada de R$59,90/mês, e o teste grátis de 14 dias, sem cartão mostra o controle de acesso. Para o registro seguro, vale conhecer o prontuário psicológico digital.
Decisão rápida
Para reagir a um vazamento sem travar, use o roteiro abaixo. Cada linha aponta uma situação comum e a conduta correta, da contenção à comunicação à ANPD.
- Se descobriu um acesso indevido → contenha primeiro: troque senhas e isole o equipamento.
- Se o risco ao paciente é relevante → comunique a ANPD e os afetados com transparência.
- Se o risco é baixo → registre o incidente internamente, mesmo sem comunicar.
- Se usa planilha compartilhada por link → migre para uma plataforma com criptografia, antes do próximo incidente.
A resposta a incidentes amadurece quando o psicólogo entende que prevenir e reagir bem fazem parte do cuidado com o paciente. Entre , ano da LGPD, e , a proteção de dado de saúde deixou de ser opcional e ganhou fiscalização própria com a ANPD.
Perguntas frequentes
É possível ser responsabilizado por um vazamento mesmo sem culpa direta?
Sim, quando há negligência na prevenção ou na resposta. A LGPD não pune o profissional simplesmente por ter sofrido um incidente, mas cobra que ele tenha adotado medidas de segurança razoáveis e que reaja de forma adequada. Guardar prontuário em planilha aberta por link, por exemplo, é negligência que pesa. Já um profissional que usava criptografia, conteve o vazamento e comunicou o que era preciso demonstra diligência, o que reduz a responsabilização.
O que é um vazamento de dados na clínica de psicologia?
É qualquer acesso, perda ou exposição não autorizada de dado de paciente, como prontuário, anamnese ou contato. Os exemplos vão do notebook roubado ao e-mail enviado ao destinatário errado, passando pelo link de planilha compartilhado por engano e por ataques que sequestram arquivos. Por envolver dado de saúde, classificado como sensível no artigo 11 da LGPD, o vazamento na psicologia é mais grave, porque expõe o sigilo da relação terapêutica.
Por que é preciso comunicar o incidente à ANPD?
Porque o artigo 48 da LGPD estabelece o dever de comunicar a ANPD e os pacientes afetados quando o vazamento puder gerar risco ou dano relevante. A comunicação transparente demonstra responsabilidade e permite que os titulares se protejam. Omitir o incidente, esperando que ninguém perceba, costuma transformar um problema gerenciável em penalidade. Em resumo, comunicar não é admitir incompetência: é cumprir a lei e proteger quem teve o dado exposto.
Como agir nas primeiras horas após descobrir um vazamento?
A sequência é conter, avaliar, comunicar e corrigir. Primeiro, contenha o vazamento interrompendo o acesso indevido, trocando senhas ou isolando o equipamento comprometido. Depois, avalie quais dados foram expostos e qual o risco para os pacientes. Em seguida, comunique a ANPD e os afetados quando o risco for relevante, com transparência. Por fim, corrija a falha que permitiu o incidente. A pressa deve ser para conter e comunicar, nunca para esconder.
Como prevenir vazamentos de dados na clínica?
A prevenção se concentra em quatro medidas: criptografia dos registros, controle de quem acessa cada ficha, backup seguro e o fim das planilhas compartilhadas por link. Essas camadas cobrem a maior parte do risco e já vêm embutidas em plataformas clínicas dedicadas, como a Neurall. Manter o dado do paciente num único ambiente seguro, com log de acesso, evita a dispersão que abre brecha para o vazamento. Prevenir custa muito menos do que reagir a um incidente grave.
Próximos passos para proteger a clínica
Um vazamento de dados na clínica de psicologia aciona a LGPD, mas o profissional preparado reage bem: contém, avalia, comunica quando há risco relevante e corrige a falha. O melhor caminho, porém, é a prevenção, com criptografia, controle de acesso e o fim das planilhas abertas. Comece revisando onde os seus prontuários estão guardados e quem tem acesso a eles. Para aprofundar a conformidade, vale ver a LGPD na psicologia em detalhe.
