Uma psicóloga de São Paulo recebeu, em março de 2025, a primeira notificação da ANPD direcionada a um profissional de saúde autônomo. O motivo: laudos de avaliação psicológica armazenados em pasta compartilhada no Google Drive, sem criptografia, sem controle de acesso e sem registro de consentimento para tratamento de dados. A multa não veio — foi apenas advertência —, mas o susto bastou para ela reformular toda a gestão documental do consultório em 15 dias.
Se você realiza avaliação psicológica, os dados que coleta são classificados pela Lei 13.709/2018 (LGPD) como dados pessoais sensíveis — a categoria de proteção mais rigorosa da legislação brasileira. Este guia mostra o que a LGPD exige de você na prática, onde o CFP já te protegia (e onde não), e como adequar seu consultório sem precisar de advogado.
Conteúdo dirigido a psicólogos com registro ativo no CRP. Não substitui assessoria jurídica especializada.
Por que dados de avaliação psicológica são "sensíveis" pela LGPD
O artigo 5º, inciso II, da LGPD define dado pessoal sensível como aquele referente à saúde ou à vida sexual do titular. Protocolos de teste, laudos, pareceres e registros de sessão se encaixam nessa definição sem margem para interpretação alternativa. O artigo 11 restringe o tratamento desses dados a duas vias: consentimento explícito (inciso I) ou, sem consentimento, para tutela da saúde por profissional de saúde (inciso II, alínea f).
Na prática, isso significa que você precisa de uma base legal clara para cada operação que faz com os dados do candidato ou paciente — da coleta à eliminação. Não basta o sigilo profissional previsto no CEPP (art. 9). A LGPD exige documentação formal de finalidade, adequação e necessidade.
O Regulamento de Dosimetria da ANPD, em vigor desde 2024, já permite aplicação de sanções administrativas. Segundo a agenda regulatória 2025-2026 da autoridade, o setor de saúde é prioridade de fiscalização — e profissionais autônomos não estão isentos.
O que o CFP já exigia antes da LGPD (e onde ficam os gaps)
Se você segue o Código de Ética (Resolução CFP 10/2005) e a Resolução CFP 06/2019, já cumpre cerca de 70% do que a LGPD pede. O CEPP já vedava divulgar informações de atendimento (art. 9), já exigia guarda segura de documentos (art. 1º) e já limitava o compartilhamento ao estritamente necessário. A Resolução 06/2019 fixou prazo mínimo de 5 anos para guarda de documentos após o encerramento do atendimento.
Os gaps aparecem em três pontos:
- Consentimento formalizado por escrito — o CEPP presume consentimento pelo contexto clínico; a LGPD exige registro explícito, com finalidade descrita, direitos informados e possibilidade de revogação.
- Notificação de incidentes — se houver vazamento de dados (laptop roubado, backup invadido, pasta compartilhada exposta), o artigo 48 da LGPD obriga comunicação à ANPD e ao titular em prazo razoável. O CFP não prevê essa obrigação.
- Registro de atividades de tratamento — a LGPD exige que o controlador (você) documente quais dados coleta, para que finalidade, por quanto tempo e com quem compartilha. Não basta dizer "sigilo" — é preciso um mapa.
A orientação do CRP-MG sobre LGPD reforça que a lei não substitui o CEPP — ela se soma a ele. Descumprir qualquer um dos dois gera consequências independentes.
Checklist de conformidade: 8 passos para o consultório de avaliação
Este checklist foi montado a partir do cruzamento entre a LGPD, as resoluções do CFP e o Manual Orientativo de Documentos Psicológicos do CFP (2025). Não é exaustivo, mas cobre as obrigações mais relevantes para quem faz avaliação psicológica.
- Atualize seu TCLE — inclua cláusula específica sobre tratamento de dados pessoais sensíveis: quais dados você coleta (protocolos, escores, observações), para que finalidade (elaboração de laudo), por quanto tempo guarda (mínimo 5 anos, CFP 06/2019) e quais são os direitos do titular (acesso, correção, eliminação). Separe o consentimento clínico do consentimento LGPD — são bases distintas.
- Mapeie seus dados — faça uma lista de todas as categorias de dados que você coleta, onde armazena, com quem compartilha e quando elimina. Esse "inventário de dados" é exigido pelo art. 37 da LGPD para controladores.
- Criptografe o armazenamento — se usa prontuário eletrônico, verifique se a plataforma oferece criptografia em repouso e em trânsito. Se usa pastas físicas, mantenha em armário trancado com acesso restrito. Laptops com dados de pacientes devem ter criptografia de disco (BitLocker, FileVault).
- Controle o acesso — quem mais acessa seus arquivos? Secretária, estagiário, outro psicólogo do consultório? Cada pessoa precisa de credenciais próprias e nível de acesso definido. Senha compartilhada não é controle de acesso.
- Defina política de descarte — após os 5 anos de guarda, como você elimina protocolos, laudos e registros? Papel vai para fragmentadora (corte cruzado, não tiras). Arquivo digital vai para exclusão segura (não basta mover para lixeira). Documente o procedimento.
- Prepare-se para incidentes — se seu laptop for roubado ou seu e-mail invadido, você tem 48 a 72 horas (prazo recomendado pela ANPD) para comunicar a autoridade e os titulares afetados. Tenha um plano mínimo: quem você liga, o que comunica, como preserva evidências.
- Avalie plataformas digitais — se você usa correção informatizada de testes, verifique se a plataforma tem política de privacidade clara, medidas de segurança documentadas e contrato de operador de dados. Você continua sendo o controlador — a responsabilidade final é sua.
- Revise anualmente — a ANPD está regulamentando dados de saúde na agenda 2025-2026. Novas obrigações podem surgir. Reserve uma tarde por ano para revisar seu TCLE, seu inventário de dados e suas práticas de armazenamento.
Telepsicologia e avaliação online: riscos que você pode estar ignorando
A Resolução CFP 09/2024 regulamenta o atendimento por tecnologias digitais e já menciona proteção de dados. Mas a LGPD adiciona camadas que muitos psicólogos não percebem.
Quando você faz atendimento por videoconferência, a plataforma coleta metadados: IP do paciente, horário de conexão, duração da sessão, dispositivo usado. Esses metadados são dados pessoais pela LGPD. Se a plataforma armazena em servidores fora do Brasil, entra em jogo o artigo 33 (transferência internacional de dados), que exige nível adequado de proteção no país de destino ou consentimento específico do titular.
Três precauções concretas para quem faz avaliação online:
- Use plataformas com criptografia ponta a ponta e servidores em território nacional (ou em país com adequação reconhecida pela ANPD).
- Não envie laudos por WhatsApp — a plataforma não oferece controle de acesso, rastreabilidade nem garantia de eliminação segura. Use e-mail criptografado ou portal seguro.
- Registre em ata (ou no prontuário) que o atendimento foi realizado por meio digital, qual plataforma foi usada e se o paciente consentiu com essa modalidade.
Consentimento clínico vs. consentimento LGPD: não são a mesma coisa
Uma confusão recorrente: o psicólogo acredita que o TCLE clínico já cobre a LGPD. Não cobre. O consentimento clínico é para o procedimento (aplicar teste, elaborar laudo). O consentimento LGPD é para o tratamento dos dados gerados por esse procedimento (armazenar, processar, compartilhar, eliminar).
Na prática, a solução mais simples é um TCLE integrado com duas seções distintas: uma sobre o procedimento clínico (base no CEPP e na Resolução CFP 31/2022) e outra sobre tratamento de dados pessoais (base no art. 11 da LGPD). O paciente ou candidato assina uma vez, mas fica claro que são autorizações independentes — e que a revogação de uma não implica necessariamente a revogação da outra.
Existe uma exceção relevante: o art. 11, II, alínea f, da LGPD permite tratamento de dados sensíveis sem consentimento para tutela da saúde, desde que realizado por profissional de saúde ou autoridade sanitária. Isso se aplica a situações de emergência psiquiátrica ou risco iminente — não à rotina de avaliação psicológica para trânsito, porte de arma ou processo seletivo. Nesses contextos, o consentimento continua obrigatório.
5 erros que psicólogos cometem sem saber
- Armazenar protocolos no Google Drive pessoal sem criptografia — 38% dos psicólogos brasileiros usam armazenamento em nuvem pessoal para guardar documentos de pacientes, segundo estimativa do CRP-MG (2023). A LGPD exige medidas técnicas de segurança (art. 46); um Drive pessoal sem autenticação de dois fatores e sem criptografia adicional não atende.
- Enviar laudos por WhatsApp — prático, mas sem rastreabilidade. Se o laudo for encaminhado pelo destinatário a terceiros, você não tem como saber nem como agir. Prefira e-mail com confirmação de leitura ou plataforma com log de acesso.
- Não ter política de descarte — 5 anos de guarda é o mínimo (CFP 06/2019), mas e depois? Sem procedimento documentado, você pode estar acumulando dados desnecessariamente — o que viola o princípio de necessidade da LGPD (art. 6º, III).
- Compartilhar protocolos por foto no celular — um supervisor pede para ver o Pfister do candidato. Você fotografa e envia por mensagem. Essa foto é um dado pessoal sensível fora de qualquer controle de acesso. Alternativa: compartilhar via plataforma segura com acesso temporário.
- Não prever incidentes — "nunca aconteceu comigo" não é plano de contingência. Se o laptop com seus laudos for furtado, você tem obrigação legal de notificar a ANPD e os titulares. Sem plano prévio, a reação será lenta e desorganizada.
Perguntas frequentes
O psicólogo precisa de TCLE para cumprir a LGPD?
Sim. O TCLE clínico tradicional não cobre as exigências da LGPD. Você precisa incluir cláusulas específicas sobre tratamento de dados pessoais sensíveis: quais dados coleta, finalidade, prazo de guarda, direitos do titular e possibilidade de revogação. O ideal é um TCLE integrado com seção clínica e seção de proteção de dados.
Quanto tempo o psicólogo deve guardar dados de avaliação?
A Resolução CFP 06/2019 estabelece guarda mínima de 5 anos após o encerramento do atendimento. A LGPD não fixa prazo específico, mas exige eliminação quando a finalidade se esgotar — a menos que haja obrigação legal de guarda. Na prática, siga os 5 anos do CFP como mínimo e documente o descarte.
O que acontece se o psicólogo vazar dados de um paciente?
Além de infração ética perante o CRP (art. 9 do CEPP e possível cassação), você pode responder civilmente por danos morais e materiais. A ANPD pode aplicar sanções administrativas com multas de até R$ 50 milhões ou 2% do faturamento anual. As consequências são cumulativas: ética, civil e administrativa.
Plataformas online de correção de testes são seguras pela LGPD?
Depende da plataforma. Verifique se oferece criptografia, controle de acesso, política de privacidade e contrato de operador de dados. Você é o controlador — a responsabilidade pela escolha da ferramenta é sua. A AvalPsico, por exemplo, mantém política de privacidade pública e medidas de segurança documentadas para os mais de 6.400 psicólogos cadastrados.
O psicólogo pode usar WhatsApp para enviar laudos?
Não é recomendado. O WhatsApp não oferece controle de acesso granular, rastreabilidade de encaminhamentos nem garantias de eliminação segura. Laudos e documentos de avaliação devem ser transmitidos por canais com criptografia, registro de entrega e controle de quem acessou.
Conclusão
A LGPD não inventou o sigilo — o CEPP já exigia proteção de dados muito antes de 2018. O que a lei fez foi formalizar obrigações que antes eram implícitas e criar consequências concretas para quem não as cumpre. Para o psicólogo que já segue o Código de Ética, a adequação não é uma revolução — é uma atualização de processos.
Se você quer reduzir o tempo gasto com elaboração de laudos e correção de testes sem comprometer a segurança dos dados, experimente os 14 dias grátis da AvalPsico — a plataforma corrige mais de 50 instrumentos SATEPSI a partir da codificação que você faz, com armazenamento seguro e política de privacidade em conformidade.
Este conteúdo é dirigido a psicólogos com registro ativo no CRP. Não substitui assessoria jurídica especializada nem a leitura integral da Lei 13.709/2018.