Log in Subscribe

Confidencialidade na sessão de psicologia online: em dia com LGPD

Marcela Xavier
· 9 min read
Confidencialidade na sessão de psicologia online: em dia com LGPD

Garantir a confidencialidade na sessão de psicologia online é requisito ético, legal e competitivo: protege o paciente, reduz riscos regulatórios e aumenta a confiança necessária para a adesão ao tratamento. Este texto explica, com base nas resoluções e orientações do CFP e dos CRP, na LGPD (Lei 13.709/2018), em recomendações da ANPD e em guias práticos como os do Sebrae, como estruturar fluxos, tecnologia e documentação para uma prática segura, eficiente e escalável.

Antes de aprofundar, observe que o objetivo é entregar soluções aplicáveis: checklists práticos para plataformas e contratos, cláusulas essenciais para o prontuário psicológico e modelos de consentimento, medidas técnicas de segurança (criptografia, autenticação), rotinas administrativas que reduzem faltas e aumentam receita sem aumentar horas de atendimento.

Transição: agora vamos mapear o arcabouço legal e ético que define obrigações e limites para a prática online, como base para decisões técnicas e administrativas.

Quadro jurídico e ético aplicável à prática online

Princípios do CFP e orientações dos CRP

As normas do Conselho Federal de Psicologia (CFP) e as orientações dos Conselhos Regionais de Psicologia (CRP) definem que a prática psicológica, presencial ou digital, deve observar a preservação do sigilo profissional, registro adequado no prontuário psicológico, e a garantia do bem-estar do cliente. Para teleatendimento, os conselhos reforçam a necessidade de informar limites do atendimento remoto, métodos de contato em situações de crise e critérios para encaminhamento presencial quando necessário.

LGPD e tratamento de dados sensíveis em saúde

A LGPD (Lei 13.709/2018) classifica dados sobre saúde como dados sensíveis, exigindo tratamento com medidas técnicas e administrativas reforçadas. Para psicólogos, isso significa exigir base legal clara (consentimento explícito do paciente ou outras bases aplicáveis), aplicação de princípios como minimização e finalidade, e implementação de salvaguardas como pseudonimização e controle de acesso. A ANPD orienta procedimentos para tratamento de dados de saúde, registro de operações e relatórios de impacto quando houver risco elevado.

Implicações administrativas e fiscais

Profissionais autônomos e microempreendedores precisam alinhar práticas de proteção de dados com obrigações tributárias e de gestão: emissão de recibos, atualização de cadastro no Simples Nacional quando aplicável e organização contábil que permita dedução de despesas com segurança digital. Orientações do Sebrae reforçam que a conformidade com a LGPD é também vantagem competitiva para captação de pacientes, aumento de conversão e redução de litígios.

Transição: conhecendo o quadro legal, o próximo passo é listar medidas técnicas e operacionais imprescindíveis para garantir confidencialidade e integridade dos dados.

Medidas técnicas obrigatórias e recomendadas

Escolha de plataformas e critérios de avaliação

Ao selecionar uma solução de teleconsulta ou videoconferência segura, avaliar critérios mínimos: criptografia em trânsito e em repouso, política de não gravação sem consentimento, provedor que ofereça acordo de tratamento de dados (DPA - Data Processing Agreement), hospedagem em regiões com legislação compatível e evidências de certificações (por exemplo, ISO 27001 quando aplicável). Evitar soluções que não permitam controle administrativo sobre gravações e armazenamento.

Criptografia, autenticação e controle de acesso

Implementar:
- Criptografia TLS/HTTPS para comunicações; proveniente tanto do provedor de vídeo quanto do site/agendamento.
- Armazenamento criptografado para arquivos do prontuário psicológico (AES-256 ou equivalente).
- Autenticação multifator (MFA) para acesso ao sistema de prontuário e e-mail profissional.
- Política de privilégios: acesso ao prontuário apenas por profissionais autorizados; registros de acesso (logs) para auditoria.

Backups, retenção  e descarte seguro

Definir política de retenção e descarte alinhada à LGPD e a orientações do CFP: retenção mínima necessária para fins clínicos e legais, com justificativa documentada. Backups criptografados e periódicos (diários ou semanais conforme volume), armazenados em local físico separado ou em nuvem com controles equivalentes.  plataforma de video sessao psicologia  de descarte digital (sobrescrita, destruição de chaves) e físico (papéis, mídias) devem ser documentados no manual de proteção de dados do consultório.

Segurança de endpoints e rede

Recomendações práticas: manter sistemas operacionais e antivírus atualizados; usar redes privadas e evitar Wi‑Fi público para atendimentos; empregar roteadores com firewall e senha robusta; usar VPN quando acessar prontuários fora do consultório. Para psicólogos que trabalham em home office, separar rede doméstica da rede profissional quando possível.

Transição: depois das medidas técnicas, vem a parte clínica e documental — como registrar, consentir e organizar o prontuário para proteger pacientes e reduzir riscos administrativos.

Prontuário, consentimento e documentação: como tornar tudo à prova de auditoria

Componentes essenciais do prontuário psicológico digital

O prontuário psicológico deve conter, no mínimo: identificação do paciente, anamnese, avaliações e testes, evolução do quadro, decisões clínicas e justificativas, registros de autorizações (consentimentos), troca de mensagens relevantes, e cópias de encaminhamentos ou atestados. Importante: registrar sempre a modalidade do atendimento (presencial, telepsicologia, e‑psi), data, hora, duração e meios utilizados. Cada entrada precisa de assinatura eletrônica ou identificação do profissional responsável.

Termo de consentimento específico para telepsicologia

O termo de consentimento deve ser claro e conter: finalidade do atendimento à distância; limites do sigilo profissional e exceções (risco de dano iminente, obrigação legal); política sobre gravação; descrição de como os dados serão armazenados e por quanto tempo; orientações sobre procedimento em emergências e contatos locais de referência; informação sobre direito de acesso, retificação e exclusão (direitos previstos na LGPD). Deve haver campo para aceite eletrônico com data e versão do documento.

Registro de autorizações e fluxo de assentimento

Implementar um fluxo que registre o aceite antes da primeira sessão: envio de termo via plataforma de agendamento ou por e‑mail seguro, confirmação de leitura e assinatura eletrônica. Para casos envolvendo terceiros (pais, responsáveis), incluir consentimento específico e documentação que comprove legitimidade. Todas as versões e alterações do consentimento devem ser arquivadas no prontuário.

Documentação de incidentes e comunicação com o paciente

Em caso de incidente de segurança (vazamento, acesso indevido, falha de plataforma), registrar imediatamente: natureza do incidente, dados potencialmente expostos, ações corretivas tomadas, notificação ao paciente e eventuais comunicações à ANPD conforme exigido pela LGPD. Produzir roteiro padrão de comunicação para informar pacientes com transparência e orientar sobre medidas pessoais de mitigação.

Transição: proteger dados exige também adequar fluxos operacionais para reduzir falhas humanas e integrar práticas de gestão que impactam diretamente a receita e o engajamento dos pacientes.

Gestão do consultório que reduz riscos e aumenta receita

Agendamento online e redução de faltas

Integrar um sistema de agendamento online com lembretes automáticos (SMS/e‑mail/WhatsApp profissional) reduz faltas e melhora pontualidade. Melhor prática: enviar lembrete 72 horas antes com link para reagendamento e um lembrete final 24 horas antes. Políticas claras de cancelamento e cobrança de falta (honorários psicológicos parciais ou totais), previamente aceitas pelo paciente no termo de consentimento, aumentam a taxa de comparecimento e o faturamento sem ampliar a carga horária.

Modelos de precificação que aumentam receita sem aumentar horas

Estratégias para aumentar renda: pacotes pré‑pago (x sessões com desconto), grupos terapêuticos online, workshops gravados e materiais digitais, atendimento por videoassessoria em consultoria institucional e supervisão online (para colegas), e criação de serviços complementares (orientação de crise, acompanhamento breve). Cada oferta deve ter regras de confidencialidade específicas e cláusulas no contrato sobre uso de gravações e material didático.

Organização administrativa e fluxo financeiro

Separar contas pessoais e profissionais, emitir recibos e notas fiscais corretamente (conforme enquadramento fiscal), acompanhar fluxo de caixa e reservar porcentagem para impostos e gastos com segurança digital (assinaturas, hospedagem segura). Para autônomos, utilizar regimes como o Simples Nacional quando adequado e registrar despesas dedutíveis (assinaturas de software, consultoria de proteção de dados, hardware criptografado).

Captação de pacientes com foco na confiança

Ao divulgar serviços, comunicar práticas de proteção de dados e confidencialidade de forma objetiva (página sobre segurança, selo de conformidade, políticas públicas de privacidade). Conteúdos que expliquem como funciona a telepsicologia, políticas de privacidade e fluxos de emergência aumentam conversão e reduzem desistências após agendamento. A captação de pacientes ganha quando o profissional demonstra controle técnico e legal sobre o atendimento online.

Transição: tecnologia e processos precisam estar amparados por contratos e acordos que formalizem responsabilidades entre profissional, pacientes e fornecedores.

Contratos, cláusulas e acordos com fornecedores

Acordo de tratamento de dados (DPA) com provedores

Exigir Data Processing Agreement (DPA) ao contratar plataformas de videoconferência, prontuário eletrônico ou armazenamento em nuvem. O DPA deve detalhar finalidade, medidas técnicas, subcontratação, local de armazenamento, tempo de retenção, obrigação de notificar incidentes e suporte para execução de direitos dos titulares. Sem esse documento, fica difícil demonstrar conformidade perante o CFP ou a ANPD.

Cláusulas essenciais para contratos com pacientes

Contratos para prestação de serviços devem conter: escopo de serviços, valor e forma de pagamento (incluindo política de cancelamento e não comparecimento), descrição das medidas de segurança e limitações da telepsicologia, política de gravações, consentimento para tratamento de dados, e procedimentos em caso de incidentes. Incluir cláusula sobre legislação aplicável e foro para resolução de conflitos, além de mecanismos alternativos de resolução (mediação).

Contratos de trabalho, supervisão e parcerias

Para supervisores, funcionários ou prestadores terceirizados que tenham acesso a dados, contratos com cláusulas de confidencialidade e obrigações de segurança são obrigatórios. Definir responsabilidades em casos de vazamento e prever sanções contratuais. Em parcerias institucionais (empresas, clínicas), estabelecer acordo sobre titularidade e acesso ao prontuário psicológico e política de compartilhamento de dados.

Transição: toda a estrutura deve ser complementada por treinamentos, rotinas de supervisão e avaliação continua dos riscos.

Governança, treinamento e avaliação contínua

Programa de governança de dados para consultórios

Desenvolver um manual de proteção de dados com políticas sobre acesso, retenção, backup, resposta a incidentes e direitos dos titulares. Nomear um responsável interno (DPO ou encarregado) quando o volume de dados justificar. Mesmo profissionais autônomos podem designar um contato técnico ou contratar consultoria externa para manter atualizações de conformidade.

Treinamento e cultura de segurança

Realizar treinamentos periódicos sobre práticas de segurança digital, reconhecimento de phishing, uso adequado de ferramentas e condutas éticas em teleatendimento. Incluir supervisão clínica que discuta situações específicas de telepsicologia (limites do sigilo, emergências, presença de terceiros). Cultura de segurança reduz erros humanos, que são a maior causa de incidentes.

Avaliação de riscos e auditoria interna

Implementar checklists trimestrais para avaliar conformidade com a LGPD, atualizações de contratos, logs de acesso e backups. Realizar auditorias internas e, quando necessário, auditorias externas sobre a segurança técnica (testes de penetração, avaliação de fornecedores). Documentar todas as ações e manter evidências para eventual inspeção do CRP ou da ANPD.

Transição: é preciso planejar respostas práticas a incidentes e conhecer obrigações de notificação que impactam a relação com o paciente e as autoridades.

Resposta a incidentes e comunicação com pacientes e autoridades

Plano de resposta a incidentes (IRP)

Um Incident Response Plan simples e operacional deve conter: identificação do incidente, isolamento, avaliação do impacto, mitigação imediata, comunicação interna e externa, e lições aprendidas. Definir responsáveis, prazos para cada etapa e modelos de comunicação para pacientes e para a ANPD.

Notificação à ANPD e aos titulares

Segundo a LGPD, incidentes que possam acarretar risco ou dano relevante ao titular exigem notificação à autoridade e ao titular. A comunicação deve ser objetiva, informando natureza do incidente, medidas adotadas e recomendações para o titular. Registrar os prazos e evidências da notificação; a existência de documentação clara demonstra boa‑fé e diligência.

Modelos de comunicação e gestão da reputação

Preparar modelos de e‑mail e roteiros para chamadas que informem o ocorrido, medidas tomadas e passos que o paciente deve seguir. Transparência é estratégica: reduzir rumores, preservar a relação terapêutica e evitar ações judiciais. Em incidentes menores, comunicar de forma proativa evita escalada.

Transição: depois de cobrir aspectos técnicos, documentais, administrativos e de governança, seguem diretrizes práticas para implementação passo a passo.

Guia prático de implementação em 30, 60 e 90 dias

Primeiros 30 dias — medidas essenciais e de baixo custo

- Atualizar e padronizar o termo de consentimento para telepsicologia e incluir no fluxo de agendamento.
- Migrar prontuários e comunicações para uma plataforma que suporte criptografia e permita assinatura eletrônica.
- Habilitar MFA em contas e-mails e sistemas; configurar backups automáticos.
- Definir política de lembretes automáticos e política clara de cancelamento para redução de faltas.
- Documentar políticas básicas no manual do consultório.

Próximos 60 dias — fortalecimento técnico e contratos

- Assinar DPA com fornecedores e revisar contratos com pacientes, supervisores e parceiros.
- Implementar logs de acesso e política de retenção de dados no prontuário.
- Treinar equipe (ou si mesmo) em práticas de segurança e resposta a incidentes.
- Revisar fluxo de faturamento e checar enquadramento tributário (Simples Nacional quando aplicável).

Até 90 dias — governança e escala

- Auditagem interna sobre conformidade com LGPD e orientações CFP/CRP.
- Estabelecer rotina de avaliação trimestral de fornecedores e riscos.
- Desenvolver produtos de receita recorrente (pacotes, grupos, supervisão) com contratos adaptados.
- Criar página de privacidade clara para captação de pacientes e materiais que exponham diferenciais de segurança.

Transição: para concluir, um resumo objetivo com passos acionáveis que qualquer psicólogo ou psicanalista pode executar agora.

Resumo executivo com passos imediatos e prioridades

Prioridades imediatas

- Disponibilizar e exigir assinatura do termo de consentimento para telepsicologia antes da primeira sessão.
- Migrar para uma plataforma de videoconferência que ofereça criptografia e permita controle sobre gravações.
- Habilitar MFA e backups criptografados para o prontuário psicológico.
- Documentar políticas de cancelamento e lembretes automáticos para reduzir faltas.

Prioridades em 30–90 dias

- Assinar DPA com fornecedores e formalizar contratos com cláusulas de confidencialidade.
- Implementar manual de proteção de dados e planejar auditorias periódicas.
- Ofertar produtos que aumentem a receita sem ampliar horas (pacotes, grupos, cursos online), com políticas de privacidade claras.

Checklist rápido para consultas e supervisões

  • Consentimento digital assinado antes do atendimento.
  • Plataforma de vídeo com criptografia e DPA.
  • Prontuário atualizado com registro de modalidade (telepsicologia/e‑psi).
  • MFA e backups criptografados configurados.
  • Política de retenção e descarte documentada.
  • Procedimento de notificação a pacientes e ANPD em caso de incidente.

Aplicando essas medidas o consultório reduz riscos éticos e legais, melhora a experiência do paciente, diminui faltas e cria oportunidades de faturamento com serviços escaláveis. Priorizar confidencialidade na sessão de psicologia online é, portanto, tanto proteção quanto investimento estratégico na sustentabilidade e crescimento da prática.