Videochamada na Saúde: Como Montar uma Teleconsulta em Conformidade com a LGPD e o CFM
O guia técnico e regulatório definitivo para CTOs, gestores de clínicas e desenvolvedores de healthtechs que precisam implementar teleconsulta segura. Da Lei 14.510/2022 a Resolução CFM 2.314, passando por LGPD, HIPAA e ISO 27799 — tudo o que você precisa saber para não errar na conformidade.
Cenário da Telemedicina no Brasil em 2026
A telemedicina no Brasil passou por uma transformação irreversível. O que começou como uma autorização emergencial durante a pandemia de COVID-19 (Lei 13.989/2020) se consolidou como prática permanente com a Lei 14.510/2022, que autorizou definitivamente a telemedicina no pais é ampliou o escopo para teleassistencia, telecirurgia e telemonitoramento.
Em 2026, o mercado de telemedicina brasileiro movimenta bilhões de reais anualmente. Segundo dados do setor, mais de 30% das consultas médicas em centros urbanos já incluem algum componente de atendimento remoto. Operadoras de planos de saúde são obrigadas a oferecer cobertura para teleconsultas, é o SUS expandiu programas como o Telessaude Brasil Redes para areas remotas.
Lei 14.510
Autorização permanente da telemedicina (Dez/2022)
Res. 2.314
CFM regulamenta a prática da telemedicina (Mai/2022)
LGPD
Sancoes ativas pela ANPD desde Ago/2023
Porém, com a consolidacao vem a regulamentacao rigorosa. A ANPD (Autoridade Nacional de Proteção de Dados) já aplicou sanções por tratamento inadequado de dados de saúde, e os Conselhos Regionais de Medicina tem fiscalizado ativamente o cumprimento da Resolução 2.314. Clínicas e healthtechs que antes operavam em zona cinzenta regulatória agora enfrentam risco real de multas, sanções é até interdicao.
O Risco e Real
A LGPD preve multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Para dados de saúde (dados sensíveis), as sanções tendem a ser mais severas. Além disso, a publicizacao da infração — obrigar a empresa a divulgar publicamente que violou a LGPD — pode causar dano reputacional irreparável para clínicas e hospitais, onde confiança é o ativo mais valioso.
Requisitos Regulatorios: O Que Você Precisa Cumprir
Quatro marcos regulatórios impactam diretamente a implementação de teleconsulta no Brasil. Cada um tem requisitos específicos que sua plataforma deve atender. Clique em cada regulamentacao para ver os detalhes.
Checklist de Conformidade para Teleconsulta
Use este checklist para avaliar sua plataforma atual ou os requisitos para uma nova implementação. Itens marcados como Crítico são obrigatórios para conformidade básica com LGPD e CFM. Clique nos itens para marcar como concluidos.
Criptografia e Segurança
0/5Armazenamento e Localização de Dados
0/5Autenticação e Controle de Acesso
0/5Auditoria e Rastreabilidade
0/5Consentimento e Transparência
0/5Integração e Documentação Clínica
0/5Dica: Se sua plataforma atual não atende os itens marcados como “Crítico”, você tem gaps de conformidade que precisam ser resolvidos antes de operar teleconsulta. A videochamada.com.br cobre todos os itens criticos nativamente — sem configuração adicional.
6 Armadilhas Comuns de Conformidade
Erros que vemos repetidamente em clínicas e healthtechs — e que podem resultar em sanções da ANPD, processos judiciais ou perda de credibilidade com pacientes.
Usar WhatsApp ou Zoom para Teleconsultas
WhatsApp é uma plataforma de mensagens pessoais, não uma ferramenta médica. O Zoom padrão (sem Healthcare plan) também não é adequado. Nenhum dos dois oferece BAA, logs de auditoria médicos, ou controle granular sobre gravações. Os dados trafegam por servidores fora do Brasil e são processados conforme políticas de privacidade dessas empresas, não conforme a LGPD.
Violação da LGPD (dados sensíveis em plataforma não adequada), violação da Resolução CFM 2.314 (ambiente não seguro), impossibilidade de comprovar conformidade em fiscalização da ANPD. Multas podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração.
Utilize uma plataforma específica para teleconsulta com criptografia, servidores no Brasil, logs de auditoria e termos de consentimento integrados. A videochamada.com.br atende todos esses requisitos.
Armazenar Gravações Sem Criptografia
Gravar consultas médicas é armazena-las em buckets S3 públicos, Google Drive compartilhado ou servidores sem criptografia e surpreendentemente comum. Mesmo com acesso restrito, dados não criptografados são vulneráveis a vazamentos por misconfiguração, ataques internos ou comprometimento de credenciais.
Exposição massiva de dados de saúde sensíveis. Incidentes desse tipo exigem notificação a ANPD em até 2 dias úteis e comunicação individual a todos os pacientes afetados. Além das multas, o dano reputacional pode ser irreversível para clínicas e hospitais.
Criptografe gravações com AES-256 em repouso, use chaves gerenciadas (KMS), e garanta que o acesso exija autenticação + autorização verificada. Na videochamada.com.br, gravações são criptografadas automaticamente.
Não Ter Trilha de Auditoria
Muitas plataformas não registram quem acessou qual gravação, quando uma consulta ocorreu, ou quem estava presente. Sem logs de auditoria, e impossível demonstrar conformidade em caso de fiscalização ou responder a incidentes de segurança de forma adequada.
Incapacidade de demonstrar conformidade com LGPD e HIPAA. Em caso de incidente, impossibilidade de determinar o escopo do vazamento (quais dados, quais pacientes). A ANPD pode interpretar a ausência de logs como negligencia, agravando as sanções.
Implemente logs imutáveis para todas as ações relevantes: criação de chamada, entrada/saida de participantes, início/fim de gravação, acesso a gravações, downloads, e consentimentos. A videochamada.com.br gera logs de auditoria automáticos para todas as operações.
Links de Chamada Sem Autenticação
Enviar um link de videochamada por email ou SMS sem nenhuma camada de autenticação significa que qualquer pessoa que obtenha o link pode entrar na consulta médica. Links compartilhados acidentalmente, encaminhados, ou interceptados representam acesso não autorizado a dados de saúde.
Acesso não autorizado a consulta médica em andamento. Violação do sigilo médico (Art. 73 do Código de Etica Médica). Terceiros podem visualizar e gravar conteúdo da consulta sem conhecimento dos participantes.
Use links com tokens únicos e expiração temporal, sala de espera virtual onde o médico aprova a entrada, é autenticação do paciente antes do acesso. A videochamada.com.br suporta links tokenizados com expiração configurável.
Ignorar o Consentimento Granular
Muitas plataformas pedem um único "aceito" genérico que cobre tudo: consulta, gravação, transcrição, compartilhamento é analytics. A LGPD exige que o consentimento para dados sensíveis seja específico e destacado. O paciente deve poder consentir com a consulta mas recusar a gravação, por exemplo.
Consentimento genérico pode ser invalidado judicialmente, tornando todo o tratamento de dados irregular. Em caso de disputa, a clínica não consegue demonstrar que o paciente consentiu especificamente com cada tipo de tratamento dos seus dados de saúde.
Implemente consentimento em camadas: um para a teleconsulta, outro para gravação, outro para transcrição, outro para uso de dados para melhoria do serviço. Armazene cada consentimento com timestamp, versão do termo e IP. A videochamada.com.br permite configurar fluxos de consentimento granulares via API.
Não Ter Plano de Resposta a Incidentes
Um vazamento de dados de saúde não é questão de "se", mas de "quando". Sem um plano documentado e testado, a organização perde tempo crítico nas primeiras horas do incidente, quando as ações de contenção são mais importantes. A LGPD exige comunicação a ANPD em prazo razoável.
Demora na resposta amplifica o dano. A ANPD considera a existência (ou ausência) de plano de resposta ao definir sanções. Sem plano, a organização pode não conseguir cumprir o prazo de 2 dias úteis para notificação recomendado pela ANPD.
Documente um plano de resposta a incidentes com: equipe responsável, procedimentos de contenção, modelo de comunicação a ANPD e titulares, e cronograma de testes. Realize simulações pelo menos 2 vezes ao ano. Seu provedor de teleconsulta deve ter SLA de notificação para incidentes na infraestrutura dele.
Arquitetura Técnica de uma Teleconsulta Segura
Uma teleconsulta segura envolve múltiplas camadas, cada uma com requisitos de segurança específicos. Entenda a arquitetura completa é o que proteger em cada nível.
Frontend (Aplicação do Cliente)
A interface do paciente ou médico: seu app web, mobile, ou sistema de prontuário eletrônico. E onde o usuário interage com a teleconsulta.
API de Integração
A camada que conecta seu sistema a plataforma de teleconsulta. Aqui você cria salas, gerência participantes, configura gravação e recebe webhooks.
Plataforma de Videochamada
O núcleo da teleconsulta: servidores de sinalização WebRTC, media servers, TURN/STUN. Esta camada é a mais crítica e a mais complexa de operar com segurança.
Gravação e Transcrição
Quando habilitadas, gravações e transcrições são processadas server-side é armazenadas com criptografia. Apenas chamadas com consentimento explícito devem ser gravadas.
Storage e Logs
Armazenamento de longo prazo para gravações, transcrições e logs de auditoria. Esta camada deve garantir durabilidade, confidencialidade e rastreabilidade.
O Princípio da Defesa em Profundidade
Segurança em teleconsulta não depende de uma única barreira. Cada camada deve ser independentemente segura, de modo que uma falha em uma não comprometa todo o sistema. Se a autenticação do frontend for comprometida, a criptografia em trânsito protege o conteúdo. Se a criptografia em trânsito for quebrada (cenário extremamente improvavel com DTLS-SRTP), a criptografia em repouso protege as gravações armazenadas. Construir essa arquitetura do zero é um projeto de segurança de meses. Com a videochamada.com.br, todas as 5 camadas já estão implementadas é auditadas.
Como a videochamada.com.br Resolve Cada Requisito
Mapeamos cada exigência regulatória a uma funcionalidade concreta da plataforma. Sem jargão vago — exatamente como cada requisito é atendido.
| Requisito | Regulamentacao | Como Atendemos |
|---|---|---|
| Criptografia em trânsito | LGPD Art. 46 / HIPAA | DTLS-SRTP + TLS 1.3Todas as chamadas são criptografadas automaticamente. Não existe opção de desativar a criptografia. Streams de vídeo e áudio usam DTLS-SRTP; APIs e sinalização usam TLS 1.3. |
| Criptografia em repouso | LGPD Art. 46 / HIPAA | AES-256Gravações e transcrições são criptografadas com AES-256 antes do armazenamento. Chaves são gerenciadas via KMS com rotação automática. |
| Dados no Brasil | LGPD Art. 33 | Servidores brasileirosInfraestrutura com servidores no Brasil. Dados de clientes brasileiros não saem do pais. Isso elimina a necessidade de garantias adicionais para transferência internacional de dados previstas no Art. 33 da LGPD. |
| Logs de auditoria | CFM 2.314 / HIPAA | Audit trail automáticoCada chamada gera automaticamente logs com: participantes, horarios de entrada/saida, duração, status de gravação, e eventos relevantes. Logs são acessíveis via API e painel administrativo. |
| Consentimento do paciente | LGPD Art. 7/11 / CFM 2.314 Art. 12 | Fluxo de consentimento configurávelTela de consentimento exibida antes da entrada na sala. Personalizavel com texto da clínica. Registro do consentimento com timestamp e IP. Suporte a consentimento granular (consulta vs. gravação). |
| Identificação do médico | CFM 2.314 Art. 5 | Whitelabel com dados do profissionalA interface da chamada exibe nome, CRM e especialidade do médico. Configuravel via API ao criar a sala. O paciente ve a identificação durante toda a consulta. |
| Gravação segura | LGPD / HIPAA | Cloud recording criptografadaGravação ativada via API com consentimento. Armazenada com AES-256, acessível apenas por usuários autorizados. Download com link temporário autenticado. Exclusão automática por política de retenção. |
| Acesso controlado | ISO 27001 Anexo A.9 | Tokens de sala + RBACCada participante recebe token único com permissões específicas (moderador, participante, observador). Tokens tem expiração temporal. Painel admin com controle de acesso baseado em função. |
| BAA para HIPAA | HIPAA | BAA disponívelA videochamada.com.br oferece Business Associate Agreement para clientes que necessitam de conformidade HIPAA. O BAA cobre processamento de PHI durante chamadas, gravações e transcrições. |
| Integração com PEP | CFM 2.314 Art. 6 | API REST + WebhooksAPI REST completa para integração com sistemas de prontuário eletrônico. Webhooks notificam eventos em tempo real (início/fim de chamada, gravação disponível). Metadados exportáveis para registro clínico. |
R$ 0,015
por minuto/participante
2.000 minutos grátis todo mes
R$ 0,075
por minuto de gravação
Criptografada automaticamente
R$ 0,0225
por minuto de transcrição
IA sem retenção de dados
Casos de Uso: Quem Já Usa em Produção
Empresas reais do setor de saúde que implementaram teleconsulta em conformidade regulatória usando a videochamada.com.br.
Cadclin
Gestão de Clínicas e ConsultóriosCom mais de 35 anos de experiência no mercado de saúde, a Cadclin é uma das mais tradicionais plataformas de gestão para clínicas e consultórios no Brasil. Atende centenas de clínicas em todo o território nacional com soluções de prontuário eletrônico, agendamento e gestão financeira.
Precisava adicionar teleconsulta ao seu sistema de gestão sem desviar a equipe de desenvolvimento do core product. A integração deveria ser transparente para o usuário final: o médico agenda a consulta no Cadclin e inicia a videochamada sem sair do sistema. Conformidade com LGPD e CFM eram requisitos inegociáveis dado o perfil regulado dos clientes.
Integração via API REST da videochamada.com.br. Salas de consulta são criadas automaticamente quando o médico inicia o atendimento. A interface e whitelabel com a marca do Cadclin. Gravações são vinculadas ao prontuário do paciente via webhooks. O paciente recebe link seguro por email/SMS com token único.
Teleconsulta integrada ao fluxo existente em menos de 2 semanas. Centenas de clínicas ganharam capacidade de atendimento remoto sem necessidade de contratar novas ferramentas ou treinar equipe em plataforma separada. Conformidade com LGPD e CFM garantida pela infraestrutura da videochamada.com.br.
Psicomanager
Psicologia e Saúde MentalO Psicomanager é uma plataforma especializada para psicólogos, oferecendo prontuário eletrônico, agendamento, controle financeiro e ferramentas específicas para a prática da psicologia clínica. Atende profissionais autônomos e clínicas de psicologia em todo o Brasil.
Sessões de psicologia online exigem um nível de privacidade e segurança ainda maior que consultas médicas gerais. O conteúdo das sessões é extremamente sensível, e a gravação — quando autorizada — deve ter controles rigorosos de acesso. Além disso, muitos pacientes de psicologia preferem anonimato, exigindo flexibilidade na identificação.
A videochamada.com.br foi integrada ao Psicomanager com configurações específicas para psicologia: gravação desabilitada por padrão (habilitada apenas com consentimento explícito do paciente), interface minimalista para não distrair durante a sessão, e opção de entrada com nome personalizado para pacientes que preferem não usar nome completo.
Psicólogos ganharam uma ferramenta de teleconsulta integrada ao seu ambiente de trabalho, sem precisar alternar entre sistemas. A adoção de atendimento online cresceu significativamente, especialmente entre profissionais que antes hesitavam por preocupações com privacidade e conformidade regulatória.
Perguntas Frequentes
Duvidas comuns sobre telemedicina, conformidade regulatória e implementação técnica.
Sobre Este Artigo
Este guia foi escrito em Março de 2026 pela equipe da videochamada.com.br com base em análise detalhada da legislação brasileira (LGPD, Lei 14.510/2022), regulamentações do CFM (Resolução 2.314/2022), normas internacionais (HIPAA, ISO 27001/27799), e experiência prática na implementação de teleconsulta para dezenas de empresas de saúde.
As informações regulatórias são baseadas na legislação vigente até março de 2026. Regulamentações podem mudar — consulte sempre um advogado especializado em direito digital e saúde para validar sua estrategia de conformidade.
Transparência: somos uma plataforma de videochamadas e temos interesse comercial em que você use nosso produto. Porém, as informações regulatórias neste artigo são fatuais e verificaveis nas fontes oficiais citadas. Use-as independentemente de qual plataforma você escolher.