Política de Privacidade para Clínica de Estética: Modelo Completo 2026
Equipe Assenti
Conteúdo sobre LGPD para clínicas de estética
Se você pesquisou "política de privacidade para clínica de estética" e encontrou um texto genérico para copiar e colar — cuidado. Esse tipo de documento sem personalização não só é ineficaz do ponto de vista jurídico como pode agravar sua situação em caso de fiscalização.
A ANPD, ao verificar se uma empresa cumpre a LGPD, analisa se a política de privacidade reflete a realidade operacional da empresa. Um texto genérico que menciona "dados de saúde" quando você só faz design de sobrancelhas, ou que omite o uso de WhatsApp para agendamentos, é um indicador de que não há compliance real.
Neste guia, explico o que deve constar na política da sua clínica e ofereço uma estrutura detalhada para você construir a sua.
Política de privacidade x Aviso de privacidade: qual a diferença?
Os termos são usados de forma intercambiável, mas há uma distinção técnica:
- Política de privacidade: documento interno ou externo que descreve as práticas de proteção de dados da organização
- Aviso de privacidade: documento voltado ao titular dos dados (o paciente), escrito em linguagem acessível
Na prática, para clínicas de pequeno e médio porte, um único documento bem escrito cumpre ambas as funções. É isso que vamos construir aqui.
O que é obrigatório pela LGPD
O Art. 9º da LGPD lista as informações que devem ser disponibilizadas ao titular no momento da coleta. São o mínimo que seu documento precisa cobrir:
- Finalidade específica do tratamento
- Forma e duração do tratamento
- Identificação do controlador (sua clínica)
- Informações de contato do controlador
- Informações acerca do uso compartilhado de dados
- Responsabilidades dos agentes envolvidos
- Direitos do titular com menção explícita ao Art. 18
Estrutura completa: seção por seção
1. Identificação do Controlador
Quem é responsável pelos dados? Deixe claro desde o início.
O que incluir:
- Razão social e nome fantasia da clínica
- CNPJ
- Endereço completo
- E-mail de contato para assuntos de privacidade (ex:
privacidade@suaclinica.com.br) - Nome do Responsável LGPD / DPO (se houver)
Exemplo:
"[Nome da Clínica], inscrita no CNPJ sob o nº XX.XXX.XXX/0001-XX, com sede na [Endereço Completo], é a controladora responsável pelo tratamento dos dados pessoais descritos nesta política. Contato para assuntos de privacidade: [e-mail]."
2. Quais dados coletamos e para quê
Esta é a seção mais importante — e a mais frequentemente errada. Liste cada categoria de dado e sua finalidade. Não use termos vagos como "para melhorar nossos serviços".
Estrutura recomendada:
| Dado coletado | Finalidade | Base legal |
|---|---|---|
| Nome, CPF, e-mail, telefone | Cadastro e agendamento | Execução de contrato |
| Histórico de procedimentos | Continuidade do cuidado estético | Tutela da saúde |
| Ficha de anamnese (saúde, alergias) | Segurança na aplicação dos procedimentos | Tutela da saúde |
| Fotos antes/depois | Acompanhamento clínico e, com consentimento, marketing | Tutela da saúde / Consentimento |
| Dados de pagamento | Processamento financeiro | Execução de contrato |
| E-mail para newsletter | Envio de comunicações e promoções | Consentimento |
3. Com quem compartilhamos os dados
Esta seção é obrigatória e frequentemente omitida. Se você usa qualquer sistema externo que acessa dados dos seus pacientes, precisa mencioná-lo.
Exemplos de terceiros comuns em clínicas:
- Sistema de agendamento online (ex: Docway, Ninsaúde, Mind, etc.)
- Plataforma de cobrança e pagamento (Stripe, Cielo, PagSeguro)
- Ferramenta de e-mail marketing (Mailchimp, RD Station)
- Contabilidade (acessa notas fiscais com dados de pacientes)
- Fornecedores de TI com acesso ao servidor ou sistema
O que afirmar: que o compartilhamento ocorre apenas na medida necessária para a prestação do serviço, que os fornecedores operam sob obrigações de confidencialidade e que não há venda de dados a terceiros.
4. Por quanto tempo guardamos os dados
A LGPD exige que os dados sejam mantidos apenas pelo tempo necessário para a finalidade que justificou a coleta (princípio da necessidade).
Prazos recomendados por categoria:
| Categoria | Prazo de retenção | Fundamento |
|---|---|---|
| Prontuários e fichas clínicas | Mínimo 5 anos após o último atendimento | ANVISA / CFM |
| Dados financeiros | 5 anos | Código Tributário Nacional |
| Dados de cadastro de ex-pacientes | 2 anos após o último atendimento | Critério razoável de prescrição |
| Fotos de procedimentos | Enquanto durar o consentimento | Consentimento |
| E-mails de marketing | Até a revogação do consentimento | Consentimento |
5. Direitos dos titulares
Liste todos os direitos garantidos pelo Art. 18 da LGPD e explique como exercê-los:
- Acesso: solicitar cópia de todos os seus dados que a clínica mantém
- Correção: pedir a atualização de dados incompletos ou incorretos
- Eliminação: requerer a exclusão de dados tratados com base em consentimento
- Portabilidade: receber seus dados em formato estruturado para levá-los a outro prestador
- Informação sobre compartilhamento: saber com quem seus dados foram compartilhados
- Revogação do consentimento: cancelar autorizações concedidas previamente
Como exercer: indique o canal (e-mail, formulário no site) e o prazo de resposta (15 dias conforme a lei).
6. Segurança dos dados
Descreva as medidas adotadas — sem precisar ser técnico em excesso.
Exemplos de medidas a mencionar:
- Controle de acesso por perfil de usuário nos sistemas
- Criptografia nos sistemas de armazenamento
- Política de senha forte e autenticação em dois fatores
- Treinamento regular da equipe sobre boas práticas
- Descarte seguro de documentos físicos
7. Cookies e dados de navegação (se tiver site)
Se o site da clínica usa Google Analytics, pixels de redes sociais ou qualquer outra ferramenta de rastreamento, mencione aqui quais cookies são utilizados e para quê.
8. Contato e canal de privacidade
Finalize com o canal dedicado para questões de privacidade:
"Para exercer seus direitos, tirar dúvidas sobre esta política ou registrar uma reclamação, entre em contato pelo e-mail: [privacidade@suaclinica.com.br]. Responderemos em até 15 dias úteis."
Erros mais comuns a evitar
Copiar a política de outra empresa: além de não refletir sua realidade, pode resultar em contradições que agravam sua situação em fiscalização.
Usar linguagem técnica e jurídica: o documento é voltado ao paciente, não ao juiz. Escreva de forma que uma pessoa leiga entenda.
Omitir o WhatsApp e outras ferramentas: se você usa o WhatsApp para comunicação com pacientes — e provavelmente usa — mencione.
Não atualizar: a política precisa ser revisada sempre que suas práticas de tratamento mudarem (novo sistema, nova finalidade, novo parceiro).
Não publicar em lugar visível: de nada adianta ter o documento e escondê-lo. O link deve estar no footer do site, acessível em um clique.
Frequência de revisão
Revisão obrigatória quando:
- Você adotar um novo sistema que acessa dados de pacientes
- Iniciar um novo tipo de tratamento de dados (ex: começar a enviar newsletter)
- Alterar prazos de retenção
- Houver mudança na legislação
Revisão recomendada anualmente, independente de mudanças.
A política de privacidade é muitas vezes o primeiro documento que um fiscal da ANPD analisa. Ter uma bem estruturada — que reflete a realidade da sua clínica — é o sinal mais visível de que você leva a proteção de dados a sério.
O Assenti gera automaticamente uma política de privacidade personalizada para a realidade da sua clínica, com base nas informações que você cadastra na plataforma. Experimente gratuitamente.

Equipe Assenti
Conteúdo sobre LGPD para clínicas de estética
Conteúdo produzido pela equipe do Assenti, plataforma de adequação à LGPD para clínicas de estética. Nossos artigos são informativos, baseados na Lei 13.709/2018 e nas resoluções da ANPD, e não substituem assessoria jurídica.