LGPD para clínica no WordPress exige consentimento explícito, SSL, controle de acesso e backup cifrado antes de qualquer plugin. Segundo a ANPD, dado de saúde é sensível pelo art. 11 e tratar sem base legal expõe a clínica a multa de até 2% do faturamento. Por isso o padrão técnico de um site de clínica é mais alto. Comece mapeando a base legal de cada formulário.
Adequar a LGPD para clínica no WordPress significa tratar cada CPF, telefone e histórico de agendamento como dado sensível, sob as regras do art. 11 da Lei 13.709/2018. Não é instalar um plugin e pronto: é mapear onde o dado entra (formulário de agendamento), por onde trafega (HTTPS), onde descansa (banco e backup) e quem acessa (login). Uma clínica que coleta CPF num formulário sem campo de consentimento já opera sem base legal. Este guia organiza a conformidade em 7 camadas práticas, do consentimento ao log de acesso. Para o panorama do nicho, veja o hub de conteúdos de WordPress para clínicas da FULL.
Diagnóstico rápido: O que a LGPD exige de um site de clínica
A LGPD para clínica no WordPress impõe seis obrigações técnicas verificáveis: base legal por formulário, consentimento granular, criptografia em trânsito (HTTPS), controle de acesso, registro de tratamento e backup recuperável. Dado de saúde é dado sensível pelo art. 11, então o consentimento precisa ser específico e destacado, não uma caixa pré-marcada. A tabela abaixo mapeia cada obrigação ao componente do WordPress que a resolve.
| Obrigação LGPD | Onde vive no WordPress | Risco se ausente |
|---|---|---|
| Base legal por coleta | Formulário de agendamento | Tratamento sem amparo legal |
| Consentimento granular | Checkbox e política de privacidade | Consentimento inválido (art. 8) |
| Criptografia em trânsito | Certificado SSL, HTTPS forçado | Interceptação de CPF e dados |
| Controle de acesso | Login lockdown, 2FA, papéis | Força bruta no wp-login.php |
| Backup recuperável | UpdraftPlus cifrado e isolado | Indisponibilidade reportável |
Na prática do suporte da FULL, a maioria das clínicas resolve a parte visível (banner de cookies) e esquece o controle de acesso e o backup, que são justamente o que a ANPD cobra num incidente. É por isso que a LGPD para clínica no WordPress se resolve em camadas, não num único plugin.
Por que dado de paciente muda tudo na LGPD
Dado de paciente é dado sensível pelo art. 11 da LGPD, o que eleva o padrão técnico em relação a um site comum. Um e-commerce trata nome e e-mail sob legítimo interesse; uma clínica que registra sintomas ou exames precisa de consentimento específico ou da base de tutela da saúde. O agravante: o mesmo CPF do formulário reaparece no backup do banco em texto plano.
A diferença afeta a arquitetura da LGPD para clínica no WordPress. Um formulário de contato comum vive em qualquer plugin; um que coleta histórico clínico precisa de consentimento auditável, retenção definida e controle de quem lê os envios. Segundo a Autoridade Nacional de Proteção de Dados (ANPD), que fiscaliza e aplica sanções no Brasil, tratar dado sensível sem base legal expõe a clínica a multa de até 2% do faturamento. É o cenário que define as 7 camadas a seguir.
Passo a passo: As 7 camadas de LGPD para clínica no WordPress
Implementar a LGPD para clínica no WordPress em 7 camadas evita o erro comum de comprar plugin antes de mapear o dado. As etapas seguem o fluxo do dado: base legal e consentimento, depois criptografia, controle de acesso e backup. Cada passo fecha uma brecha real de clínicas, com ferramentas como All in One Security, Let’s Encrypt e UpdraftPlus.
Passo 1: Mapeie a base legal de cada formulário
A primeira camada de LGPD para clínica no WordPress é mapear a base legal: liste todo formulário do site e a base de cada um antes de tocar em plugin. Um formulário de agendamento que coleta CPF e queixa clínica precisa de consentimento específico (art. 11) ou da base de tutela da saúde; um formulário de newsletter usa consentimento simples. Ferramentas como WPForms ou o Elementor Forms permitem marcar campos como obrigatórios e anexar checkbox de consentimento. O erro recorrente é tratar os dois formulários igual: a clínica acaba com base inválida no que mais importa, o agendamento. Para escolher a ferramenta certa, compare os plugins de agendamento de consultas no WordPress pelo critério de consentimento, não só de agenda.
Passo 2: Publique uma política de privacidade real
Crie uma política de privacidade que descreva quais dados a clínica coleta, com qual base legal e por quanto tempo retém. O WordPress traz um gerador básico em Configurações > Privacidade, mas o texto padrão não cobre dado de saúde nem cita o encarregado (DPO). A página precisa listar finalidade, prazo de retenção e canal de contato do titular para exercer direitos do art. 18 (acesso, correção, exclusão). Linkar essa página no rodapé e no checkbox do formulário fecha o ciclo de consentimento informado. O passo a passo completo está em como criar uma política de privacidade para WordPress, com os blocos obrigatórios para clínica.
Passo 3: Force HTTPS com SSL válido
A criptografia é a camada de LGPD para clínica no WordPress que ninguém deveria pular: instale um certificado SSL e force HTTPS antes de aceitar qualquer dado de paciente. Sem TLS, o CPF digitado no formulário trafega em texto plano e pode ser interceptado em rede pública, o que viola o dever de segurança do art. 46. O certificado SSL gratuito do Let’s Encrypt resolve a emissão; a parte que falha é o redirect: muitos sites emitem o certificado mas deixam a versão HTTP acessível. Forçar o redirect 301 de HTTP para HTTPS e ativar HSTS garante que nenhum agendamento saia sem criptografia. Veja o passo a passo em como obter certificado SSL gratuito no WordPress.
Passo 4: Blinde o acesso com All in One Security
Ative o All in One Security para fechar a porta mais atacada do WordPress: o wp-login.php. O All in One Security oferece prevenção de ataque de força bruta de login, autenticação de dois fatores e a opção de renomear a página de login, recursos documentados na documentação oficial do All in One Security (AIOS). Na prática, o login lockdown bloqueia o IP após um número definido de tentativas, cortando a força bruta antes que ela chegue ao banco. Para clínica, o 2FA no usuário administrador é o mínimo: é o que separa um vazamento de prontuário de uma tentativa frustrada. Esse controle de acesso é a camada de LGPD para clínica no WordPress que mais reduz risco real de vazamento. Detalhamos a configuração em All in One Security para segurança no WordPress.
Passo 5: Segregue papéis e minimize acessos
Reduza os usuários com papel de administrador ao mínimo e crie papéis específicos para a recepção. O princípio da minimização (art. 6) vale também para acesso interno: a recepcionista que confirma agendamentos não precisa de acesso ao banco de dados nem aos plugins. Plugins de gestão de papéis permitem criar um perfil que vê só os envios de formulário, sem tocar em configuração. Quanto menos contas com acesso total, menor a superfície de um vazamento por credencial comprometida, que é a causa mais frequente nos chamados de clínica que chegam ao suporte da FULL.
Passo 6: Configure backup cifrado e isolado
Configure backup automático, cifrado e armazenado fora do servidor do site. O UpdraftPlus agenda o dump do banco e dos arquivos e envia para um destino externo como Google Drive ou S3; o passo que clínicas pulam é a cifragem do backup, que carrega o CPF dos pacientes em texto plano. Um backup não cifrado num bucket público é, ele mesmo, um incidente de dado sensível. Ative a criptografia do banco no UpdraftPlus e teste a restauração a cada trimestre, porque backup que não restaura não é backup. O guia de backup automático no WordPress cobre a rotina recomendada para clínicas.
Passo 7: Registre logs de acesso e tratamento
A última camada de LGPD para clínica no WordPress é a auditoria: ative o registro de atividade para ter trilha de quem acessou o quê e quando. A LGPD exige demonstrar conformidade (princípio da responsabilização, art. 6), e isso só existe com log: alteração de configuração, exclusão de envio, login de administrador. Um plugin de activity log no WordPress registra cada evento com usuário, IP e horário, o que transforma um pedido do titular (art. 18) ou uma fiscalização da ANPD num relatório de minutos em vez de dias. Sem log, a clínica não consegue provar que tratou o dado corretamente, mesmo que tenha tratado.
Quando a conformidade técnica não basta
A LGPD para clínica no WordPress resolve a camada técnica, mas 3 obrigações vivem fora do site. A primeira é o encarregado (DPO): a clínica precisa nomear um contato com a ANPD, mesmo terceirizado. A segunda é o registro de operações (ROPA), que lista cada fluxo de dado. A terceira é o contrato com operadores.
Esse contrato importa quando a agenda roda num SaaS externo: o fornecedor vira operador e precisa de cláusula de proteção de dados. O site bem configurado é condição necessária, não suficiente para a LGPD para clínica no WordPress. A confusão comum é achar que um plugin de cookies resolve a LGPD: o banner cobre o art. 8 sobre rastreamento, mas não toca consentimento de agendamento, retenção nem segurança. Os cookies no WordPress são a ponta visível; o tratamento de dado sensível é o que pesa numa sanção. Tende a ser o ponto onde a clínica investe esforço no lugar errado: capricha no banner e deixa o wp-login.php sem 2FA.
Retenção e descarte: O dado que você não apaga
Um site de clínica em conformidade com a LGPD não acumula dado para sempre. O art. 15 da Lei 13.709/2018 obriga a eliminar o dado pessoal quando a finalidade que justificou a coleta se encerra, salvo obrigação legal de guarda. Na prática, o histórico de agendamento de um paciente que nunca mais voltou continua no banco e no backup anos depois, sem base legal que sustente a retenção. Esse excesso é um passivo: aumenta a superfície de um vazamento sem trazer utilidade à clínica.
Definir um prazo de retenção por tipo de dado é a camada que quase ninguém implementa. O formulário de agendamento deve registrar a data da coleta para que o descarte seja automatizável; envios antigos saem do banco por rotina, não por improviso. Plugins de formulário sérios permitem configurar a exclusão automática de submissões após X dias, o que materializa o art. 15 sem trabalho manual. Vale lembrar que o backup também precisa expirar: um dump cifrado guardado indefinidamente recria o dado que a clínica achava ter apagado. Retenção definida e descarte rotineiro fecham o ciclo de vida do dado de paciente.
Vale o investimento: O custo de não fazer
Deixar a LGPD para clínica no WordPress em conformidade custa menos que um único incidente reportável. O plano PRO da FULL sai por R$849 e inclui os plugins que sustentam a stack: All in One Security para o controle de acesso, UpdraftPlus para o backup cifrado e o Rank Math PRO para o schema.
Como o plano cobre vários sites, o custo cai para cerca de R$85 por site, contra a soma das licenças avulsas de cada plugin. Para a clínica que gerencia o site e a presença online, ative tudo em FULL.services/planos e tenha o stack de conformidade num clique, com o suporte de uma empresa reconhecida como CNA pela CISA. O retorno não é só evitar multa: é a confiança do paciente que entrega o CPF sabendo que o dado está protegido.
Legenda: o controle de acesso é a camada que separa um vazamento de prontuário de uma tentativa de força bruta bloqueada.
Perguntas frequentes sobre LGPD para clínica no WordPress
Por que a LGPD trata dados de paciente como dado sensível?
Porque o art. 11 da Lei 13.709/2018 classifica dados de saúde como sensíveis, e essa é a razão técnica de toda a LGPD para clínica no WordPress: a categoria exige consentimento específico e destacado ou outra base legal própria. Um CPF isolado é dado pessoal comum; o mesmo CPF associado a um sintoma ou exame vira dado sensível. Isso eleva o padrão técnico: criptografia, controle de acesso e retenção definida deixam de ser recomendação e passam a ser dever do art. 46.
É possível adequar uma clínica à LGPD sem trocar de plugin de agendamento?
Sim: a LGPD para clínica no WordPress raramente exige trocar o plugin de agendamento, e sim configurar consentimento e retenção nele. Se o plugin de agendamento permite adicionar checkbox de consentimento obrigatório, link para a política de privacidade e definição de prazo de retenção, ele atende. A troca só é necessária quando o plugin não registra o consentimento de forma auditável ou guarda o dado em servidor externo sem contrato de operador.
Qual a base legal para guardar CPF e histórico no WordPress?
A base mais usada é o consentimento específico do titular (art. 11, I), coletado num checkbox claro no formulário de agendamento. A alternativa é a tutela da saúde (art. 11, II, f), aplicável quando o tratamento é necessário para procedimentos por profissionais de saúde. O que não vale é legítimo interesse: ele não cobre dado sensível. Sem uma dessas bases registrada, o tratamento é irregular mesmo com o site tecnicamente seguro.
Quanto custa deixar o WordPress da clínica em conformidade com a LGPD?
O custo técnico da LGPD para clínica no WordPress cabe num plano de plugins: o PRO da FULL sai por R$849 e cobre All in One Security, UpdraftPlus e Rank Math PRO, o que dá cerca de R$85 por site no bundle. O certificado SSL do Let’s Encrypt é gratuito. O custo maior é administrativo: nomear encarregado e manter o registro de operações (ROPA). Comparado a uma sanção da ANPD por incidente com dado sensível, a conformidade técnica é a parte barata.
O que a ANPD exige no consentimento de um formulário de agendamento?
A ANPD exige consentimento livre, informado e inequívoco (art. 8): nada de caixa pré-marcada nem consentimento embutido nos termos gerais. Para dado de saúde, ele precisa ser destacado da demais cláusulas e específico para aquela finalidade. Na prática, isso significa um checkbox separado, não obrigatório por padrão, com link para a política de privacidade que descreve finalidade, retenção e direitos do titular. O registro desse aceite precisa ser recuperável para uma eventual fiscalização.
Próximos passos para a conformidade da sua clínica
A LGPD para clínica no WordPress deixa de ser um risco quando as 7 camadas viram rotina, da base legal ao log de acesso. Tratada assim, a LGPD para clínica no WordPress vira processo, não emergência de auditoria. O caminho prático: mapeie os formulários nesta semana, force o HTTPS e ative o All in One Security em seguida, e só então cuide do consentimento granular e do backup cifrado. A camada legal (encarregado, ROPA) corre em paralelo com a jurídica da clínica. Para aprofundar cada etapa de proteção, o guia de segurança para WordPress da FULL reúne os tutoriais na ordem certa. E para acompanhar tudo sobre o nicho, o FULL Academy mantém os conteúdos de WordPress para clínicas atualizados.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
