CRM LGPD para Corretora de Seguros e Planos de Saúde: Guia Completo
A LGPD (Lei Geral de Proteção de Dados) impacta diretamente corretoras de seguros e planos de saúde porque essas empresas tratam dados pessoais sensíveis — informações de saúde dos clientes. A adequação exige atenção a bases legais específicas, consentimento qualificado, controle de acesso nos sistemas e um programa de governança de dados. Neste guia, explicamos cada obrigação com ações práticas e um checklist de conformidade.
Por que a LGPD é crítica para corretoras de saúde?
Corretoras de planos de saúde não são empresas de tecnologia, mas tratam um volume significativo de dados pessoais e sensíveis todos os dias: nome, CPF, telefone, e-mail, faixa etária, número de dependentes, doenças pré-existentes, histórico de sinistros e dados financeiros.
A LGPD (Lei nº 13.709/2018) classifica dados relativos à saúde como dados pessoais sensíveis (art. 5º, II). Isso significa que o tratamento desses dados exige cuidados extras — bases legais mais restritivas, medidas de segurança reforçadas e consequências mais graves em caso de vazamento.
Risco real
A ANPD (Autoridade Nacional de Proteção de Dados) já aplicou sanções a empresas do setor de saúde. Corretoras que compartilham dados de clientes com operadoras sem base legal adequada, ou que mantêm planilhas com dados sensíveis em computadores sem criptografia, estão particularmente expostas.
Quais dados a corretora trata e por que são sensíveis?
Para entender suas obrigações, primeiro identifique quais dados sua corretora coleta e processa:
| Tipo de dado | Exemplos | Classificação LGPD |
|---|---|---|
| Dados de identificação | Nome, CPF, RG, data de nascimento | Dado pessoal |
| Dados de contato | Telefone, e-mail, endereço | Dado pessoal |
| Dados profissionais | Empresa, cargo, CNPJ | Dado pessoal |
| Dados de saúde | Doenças pré-existentes, exames, histórico médico | Dado sensível |
| Dados do plano | Operadora atual, tipo de plano, sinistralidade | Dado sensível |
| Dados financeiros | Valor do plano, forma de pagamento | Dado pessoal |
A distinção importa porque dados sensíveis exigem bases legais mais restritivas (art. 11 da LGPD) e sanções mais severas em caso de incidente.
Bases legais: quando a corretora pode tratar dados?
A LGPD não proíbe o uso de dados — ela exige que cada tratamento tenha uma justificativa legal válida. Para corretoras, as bases mais relevantes são:
Para dados pessoais comuns (nome, telefone, e-mail)
- Execução de contrato (art. 7º, V): quando o tratamento é necessário para cumprir o contrato de prestação de serviços de corretagem
- Legítimo interesse (art. 7º, IX): para prospecção comercial, follow-ups e comunicação com leads — desde que não prevaleçam os direitos do titular
- Consentimento (art. 7º, I): quando nenhuma outra base se aplica, como envio de newsletters promocionais
Para dados sensíveis de saúde
Aqui as opções são mais restritas (art. 11):
- Consentimento específico e destacado (art. 11, I): o titular precisa autorizar de forma clara e separada o tratamento de seus dados de saúde. Não vale "aceito os termos" genérico
- Tutela da saúde (art. 11, II, f): tratamento necessário para proteger a saúde do titular, realizado por profissionais da área de saúde ou autoridade sanitária
- Execução de contrato/procedimentos preliminares (art. 11, II, g): quando o tratamento é indispensável para fechar ou executar o contrato do plano de saúde
Dica prática
Crie dois momentos de consentimento separados: um para dados básicos (ao preencher o formulário de cotação) e outro para dados de saúde (ao informar doenças pré-existentes ou histórico médico). Isso demonstra conformidade e protege a corretora.
Como obter consentimento válido
Para dados sensíveis, o consentimento precisa ser:
- Livre: o titular não pode ser forçado — não condicione a cotação à aceitação de todos os termos
- Informado: explique em linguagem clara para que os dados serão usados, por quanto tempo e com quem serão compartilhados
- Inequívoco: ação afirmativa do titular — checkbox desmarcado por padrão que ele marca, nunca pré-marcado
- Específico: separado para cada finalidade — compartilhar com operadora A, compartilhar com operadora B, comunicação por WhatsApp
- Destacado: para dados sensíveis, o consentimento precisa estar em destaque, separado dos demais termos
Na prática, isso significa que seu formulário de cotação ou proposta deve incluir checkboxes separados, claros e desmarcados por padrão.
Direitos do titular que a corretora deve garantir
A LGPD garante ao titular (seu lead ou cliente) uma série de direitos que a corretora deve ser capaz de atender em até 15 dias:
| Direito (art. 18) | O que significa na prática |
|---|---|
| Confirmação e acesso | Informar se trata dados daquela pessoa e fornecer cópia completa |
| Correção | Atualizar dados incompletos, inexatos ou desatualizados |
| Anonimização/bloqueio/eliminação | Apagar dados desnecessários ou tratados em desconformidade |
| Portabilidade | Transferir dados para outra corretora/prestador a pedido do titular |
| Eliminação com consentimento | Se o consentimento era a base legal, o titular pode revogar e exigir exclusão |
| Informação sobre compartilhamento | Informar com quais operadoras/parceiros os dados foram compartilhados |
| Revogação do consentimento | Permitir que o titular retire o consentimento a qualquer momento |
Para atender esses direitos, sua corretora precisa de um sistema que permita localizar, exportar e excluir dados de um titular específico rapidamente. Uma plataforma de gestão com controle de acesso e log de auditoria facilita esse processo.
Medidas técnicas de segurança obrigatórias
A LGPD exige que a corretora adote "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais" (art. 46). Para corretoras de planos de saúde, isso inclui:
Controle de acesso
- Cada corretor deve acessar apenas os leads e clientes atribuídos a ele — nunca a base inteira
- Administradores têm acesso amplo, mas com log de auditoria completo
- Autenticação com senha forte + autenticação de dois fatores (2FA)
- Desativação imediata de acesso quando um corretor sai da equipe
Criptografia e infraestrutura
- Em trânsito: todo tráfego via HTTPS/TLS (obrigatório)
- Em repouso: dados armazenados em bancos de dados com criptografia AES-256
- Backups: cópias de segurança criptografadas com acesso restrito
- Isolamento multi-tenant: se o CRM atende várias corretoras, os dados de cada uma devem estar isolados — uma corretora nunca pode ver dados de outra
Log de auditoria
- Registrar quem acessou, alterou ou excluiu cada dado, com data e hora
- Logs devem ser imutáveis (o próprio usuário não pode apagar seus logs)
- Retenção mínima de 6 meses para fins de comprovação em caso de incidentes
O CRM precisa estar adequado
Planilhas no Excel ou Google Sheets não atendem aos requisitos da LGPD — não há controle de acesso granular, auditoria ou criptografia. Um CRM especializado como o CRM Saúde oferece multi-tenancy com isolamento, log de auditoria, controle de acesso por papel e criptografia nativa.
Compartilhamento de dados com operadoras e parceiros
Corretoras compartilham dados de clientes com operadoras de saúde para cotação e implantação de planos. Esse compartilhamento precisa estar previsto na base legal e informado ao titular.
Boas práticas no compartilhamento
- Informe quais operadoras receberão os dados antes de enviar a cotação — o titular deve saber para quem seus dados vão
- Compartilhe apenas o necessário: para uma cotação, a operadora precisa de faixa etária e tipo de plano, não de diagnósticos médicos detalhados
- Exija contrato de compartilhamento com cada operadora/parceiro, definindo responsabilidades, finalidade e medidas de segurança
- Registre no CRM qual dado foi compartilhado, com quem e quando — essencial para atender o direito de informação do titular
Sanções e multas: o que a corretora pode sofrer
A ANPD pode aplicar as seguintes sanções (art. 52):
| Sanção | Impacto |
|---|---|
| Advertência | Prazo para adotar medidas corretivas |
| Multa simples | Até 2% do faturamento, limitada a R$ 50 milhões por infração |
| Multa diária | Acumula enquanto a irregularidade persistir |
| Publicização da infração | Divulgação pública do incidente — dano reputacional severo |
| Bloqueio de dados | Proibição temporária de usar os dados — pode paralisar a operação |
| Eliminação de dados | Obrigação de apagar toda a base de dados irregular |
Além das sanções da ANPD, a corretora pode enfrentar ações judiciais individuais e coletivas de titulares que se sentirem prejudicados por uso indevido de seus dados.
DPO: o encarregado de proteção de dados
Toda corretora precisa indicar um Encarregado de Proteção de Dados (DPO) — a pessoa responsável por receber solicitações dos titulares, orientar a equipe e ser o ponto de contato com a ANPD.
Opções para corretoras:
- DPO interno: um funcionário com conhecimento de proteção de dados assume a função (pode acumular com outras atividades)
- DPO terceirizado (DPO as a Service): empresas especializadas oferecem o serviço a partir de R$ 300-800/mês — viável para corretoras menores
O contato do DPO (nome e e-mail) deve estar disponível publicamente — geralmente na política de privacidade do site e no rodapé das comunicações.
Checklist de adequação à LGPD para corretoras
Use este checklist para avaliar o nível de conformidade da sua corretora:
Checklist LGPD — Corretora de Saúde
- ☐ Mapeamento de dados pessoais e sensíveis tratados
- ☐ Base legal definida para cada tipo de tratamento
- ☐ Termos de consentimento específicos para dados de saúde
- ☐ Política de privacidade publicada no site
- ☐ DPO indicado com contato público
- ☐ Controle de acesso por usuário no CRM
- ☐ Log de auditoria ativo e imutável
- ☐ Criptografia em trânsito (HTTPS) e em repouso
- ☐ Contratos de compartilhamento com operadoras
- ☐ Processo para atender direitos do titular em até 15 dias
- ☐ Plano de resposta a incidentes de segurança
- ☐ Treinamento da equipe sobre proteção de dados
- ☐ Política de retenção e descarte de dados
- ☐ Backup criptografado com acesso restrito
Perguntas Frequentes
Dados de planos de saúde são considerados sensíveis pela LGPD?
Sim. A LGPD (art. 5º, II) classifica dados relativos à saúde como dados pessoais sensíveis. Isso inclui informações sobre planos de saúde, histórico médico, exames, doenças pré-existentes e qualquer dado que revele condições de saúde do titular. Corretoras precisam de cuidado redobrado no tratamento desses dados.
Qual a base legal para uma corretora tratar dados de clientes?
Para dados pessoais comuns (nome, telefone, e-mail), a corretora pode usar o legítimo interesse ou a execução de contrato como base legal. Já para dados sensíveis de saúde, as bases mais seguras são o consentimento específico do titular (art. 11, I) ou a tutela da saúde por profissionais da área (art. 11, II, f).
Quais são as multas da LGPD para corretoras?
As sanções da LGPD incluem: advertência, multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio ou eliminação dos dados pessoais. Para corretoras que lidam com dados sensíveis de saúde, a ANPD tende a aplicar sanções mais rigorosas.
Preciso de um DPO na minha corretora de seguros?
Sim. A LGPD exige que toda empresa que trata dados pessoais indique um Encarregado de Proteção de Dados (DPO). Corretoras menores podem designar um funcionário existente ou contratar um DPO terceirizado (DPO as a Service). O importante é que o contato do DPO esteja disponível publicamente.
O CRM da corretora precisa estar adequado à LGPD?
Sim, obrigatoriamente. O CRM é onde os dados pessoais e sensíveis dos leads e clientes ficam armazenados. Ele precisa oferecer: controle de acesso por usuário, log de auditoria, criptografia, possibilidade de exclusão de dados, isolamento entre tenants (multi-tenant) e backup seguro.
CRM com segurança e conformidade LGPD
Multi-tenancy com isolamento, log de auditoria, controle de acesso e criptografia. Sua corretora protegida.
Conhecer o CRM Saúde