A LGPD se aplica a psicólogos autônomos?

Sim. A LGPD (Lei 13.709/2018) se aplica a qualquer pessoa física ou jurídica que realize tratamento de dados pessoais. Isso inclui psicólogos autônomos, independente do porte do consultório. O fato de ser uma pessoa física não isenta o profissional das obrigações previstas na lei.

Dados de saúde de pacientes são dados sensíveis pela LGPD?

Sim. O artigo 5º, inciso II da LGPD inclui explicitamente dados de saúde na categoria de dados sensíveis. Todo o conteúdo de prontuários psicológicos — diagnósticos, evoluções clínicas, histórico familiar, medicações — se enquadra nessa categoria e exige tratamento com proteção reforçada.

Quais são as multas por descumprimento da LGPD?

A ANPD pode aplicar advertência, multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio ou eliminação dos dados pessoais envolvidos. Além das sanções administrativas, o profissional pode responder civilmente por danos causados aos titulares.

Por quanto tempo o psicólogo deve guardar o prontuário segundo a LGPD?

A LGPD permite a manutenção dos dados pelo tempo necessário à finalidade do tratamento. Para prontuários psicológicos, o CFP determina prazo mínimo de 20 anos. Após esse prazo, os dados devem ser eliminados, salvo se houver obrigação legal específica que justifique a manutenção por mais tempo.

O psicólogo precisa de DPO (encarregado de dados)?

A LGPD exige a indicação de um DPO (Data Protection Officer), mas a ANPD pode dispensar essa obrigação para microempresas, empresas de pequeno porte e profissionais autônomos. A maioria dos psicólogos autônomos está dispensada da obrigação de DPO formal, mas ainda devem cumprir as demais exigências da lei.

LGPD para Psicólogos: O Que Você Precisa Saber

1. O que é LGPD e por que afeta psicólogos

A LGPD (Lei 13.709/2018) é a lei brasileira que regulamenta como pessoas físicas e empresas coletam, armazenam, usam e compartilham dados pessoais. Ela entrou em vigor em setembro de 2020 e as sanções administrativas passaram a ser aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados) a partir de agosto de 2021.

A lei se aplica a qualquer pessoa física ou jurídica que trate dados pessoais — incluindo psicólogos autônomos com consultório próprio. O fato de ser pessoa física não isenta o profissional. Se você coleta nome, CPF, histórico clínico e evoluções de sessão de pacientes, você está sujeito à LGPD.

Além da LGPD, o Código de Ética do Psicólogo e as Resoluções do CFP já previam obrigações de sigilo e guarda segura de prontuários. A LGPD formalizou e expandiu essas obrigações, adicionando direitos dos titulares e sanções administrativas.

2. Dados sensíveis: o que são os dados dos pacientes

A LGPD divide os dados pessoais em duas categorias: dados comuns (nome, endereço, e-mail) e dados sensíveis, que recebem proteção reforçada. O artigo 5º, inciso II da lei inclui explicitamente dados de saúde na lista de dados sensíveis.

Tudo que consta no prontuário psicológico é dado sensível: diagnósticos, evolução das sessões, histórico familiar, medicações, anotações clínicas e transcrições de sessão. Para tratar dados sensíveis, o psicólogo precisa de base legal específica — em geral, o consentimento expresso do paciente (art. 11, I) ou a necessidade de tutela da saúde (art. 11, II, f).

Exemplos de dados coletados em psicologia

Dados comuns

Nome completo
CPF e data de nascimento
Endereço e telefone
E-mail

Dados sensíveis

Anamnese e histórico clínico
Evolução de cada sessão
Diagnósticos e hipóteses
Informações sobre saúde mental

3. Obrigações práticas do psicólogo

Consentimento informado

Na primeira sessão, apresente ao paciente um documento explicando quais dados são coletados, com qual finalidade, por quanto tempo são guardados, com quem podem ser compartilhados (ninguém, salvo ordem judicial) e quais são os direitos do paciente. Obtenha a assinatura física ou digital e guarde esse documento junto ao prontuário.

Resposta a solicitações de titulares

O paciente tem direito a solicitar acesso aos seus dados, corrigir informações incorretas, portabilidade dos dados para outro profissional e, em alguns casos, eliminação de seus dados. O psicólogo deve estar preparado para responder a essas solicitações em prazo razoável, equilibrando o direito do paciente com as obrigações de guarda previstas pelo CFP.

Notificação de incidentes

Em caso de vazamento de dados (invasão ao sistema, perda de dispositivo com dados, acesso não autorizado), o psicólogo deve notificar a ANPD e comunicar os pacientes afetados em prazo razoável, conforme a gravidade do incidente. Manter backups criptografados reduz o risco e facilita a recuperação.

4. Prontuário eletrônico e LGPD

O prontuário eletrônico é a forma mais segura de cumprir as exigências simultâneas do CFP e da LGPD. Um bom sistema de prontuário deve oferecer:

Criptografia em repouso e em trânsito (TLS/SSL + AES-256)
Autenticação com senha forte e, idealmente, segundo fator (2FA)
Backups automáticos com periodicidade definida
Controle de acesso: apenas o psicólogo responsável visualiza os dados
Log de acesso: registro de quem acessou qual prontuário e quando
Política de retenção: prazo definido para manter e excluir dados

Evite guardar prontuários em planilhas locais, pastas no Google Drive sem controle de acesso, aplicativos de notas ou e-mails. Esses métodos não oferecem as garantias técnicas exigidas pela LGPD para dados sensíveis de saúde.

5. Prazo de guarda de dados

A LGPD permite a manutenção de dados pelo tempo necessário à finalidade do tratamento ou por exigência legal. Para psicólogos, a referência é a Resolução CFP nº 1/2009, que determina prazo mínimo de 20 anos para guarda de prontuários, contados a partir do encerramento do atendimento.

Tipo de dado	Prazo mínimo
Prontuário clínico completo	20 anos após encerramento
Menor de idade	20 anos após completar 18 anos
Registros financeiros	5 anos (obrigação fiscal)
Consentimento e termos assinados	Durante o prazo do prontuário

6. Multas e sanções

A ANPD pode aplicar sanções progressivas. Para psicólogos autônomos, as mais prováveis são:

Advertência

Primeira infração ou menor gravidade, com prazo para adequação.

Multa simples

Até 2% do faturamento bruto do último exercício, limitada a R$ 50 milhões por infração.

Publicização da infração

Divulgação pública da violação — risco reputacional significativo para o profissional.

Bloqueio ou eliminação dos dados

A ANPD pode determinar a suspensão do tratamento ou eliminação dos dados envolvidos.

Além das sanções da ANPD, o psicólogo pode responder em processo ético no CRP (por violação do sigilo) e em ação de danos no juízo cível (por prejuízos causados ao paciente pelo vazamento de dados).

7. Checklist de adequação à LGPD

Use esta lista para verificar se seu consultório está em conformidade com as principais exigências da LGPD e do CFP:

Mapeamento de todos os dados pessoais coletados de pacientes

Base legal definida e documentada para dados sensíveis de saúde

Termo de consentimento e política de privacidade apresentados na primeira sessão

Sistema de prontuário com criptografia e controle de acesso

Backups regulares e armazenados em local seguro

Política de retenção e descarte de dados definida (mínimo 20 anos para prontuários)

Processo documentado para responder a solicitações de acesso e exclusão de dados

Processo documentado para notificação de incidentes à ANPD

Terceiros que acessam dados de pacientes (ex: contador, plataforma de software) com contrato de tratamento de dados