Teleconsulta Segura: O Que CFM e LGPD Exigem de Você em 2026

Você faz teleconsulta pelo WhatsApp pessoal, manda receita em PDF no chat e nunca pediu consentimento formal por escrito. Rolou que em novembro de 2024, o CREMERS publicou parecer deixando isso bem claro: WhatsApp pessoal não reúne os requisitos técnicos e éticos para suportar teleconsulta. Não é opinião. É posição oficial de conselho regional de medicina.

A Resolução CFM nº 2.314/2022 e a Lei nº 14.510/2022 são específicas sobre o que é obrigatório. O problema é que boa parte dos médicos que fazem telemed ainda ignora pelo menos uma dessas exigências. Se você faz parte desse grupo, continue lendo — não pra te assustar, mas porque esse checklist te protege.

Se você ainda está estruturando a operação do consultório, vale antes ler o checklist de LGPD para o consultório médico solo — a telemedicina tem camadas específicas em cima disso.

O Consentimento Informado: Antes de Ligar a Câmera

Antes de qualquer coisa: consentimento não é aquela mensagem no WhatsApp “ok pra consultar online?”. Não cola.

A Resolução CFM 2.314/2022 exige — no Art. 5º — que o paciente ou representante legal autorize expressamente:

O atendimento por telemedicina
A transmissão de suas imagens e dados

E a autorização precisa constar no prontuário eletrônico. Áudio de WhatsApp não é registro de prontuário.

Mas veja o que a LGPD (Lei 13.709/2018) acrescenta — e que a maioria ignora: o consentimento precisa ser granular e específico por finalidade. Um consentimento genérico pra “telemedicina” não cobre automaticamente gravação de consulta, nem compartilhamento com outro especialista, nem armazenamento em nuvem. São finalidades distintas. Cada uma precisa de autorização separada.

Vi muito médico confundindo isso. Em fevereiro de 2026, num consultório particular em Belo Horizonte, vi um ginecologista com formulário de consentimento de meia página cobrindo tudo de uma vez — teleconsulta, gravação, repasse pra secretária e armazenamento em servidor. Tecnicamente, um advogado competente derruba esse formulário. O paciente assinou sem ler. O médico achou que estava coberto. Não estava.

O que funciona: um documento separado para cada finalidade, com registro de timestamp de quem assinou e quando. Preferencialmente dentro do próprio sistema de prontuário eletrônico — iClinic, Shosp, OmniPaciente — desde que tenha rastreabilidade auditável.

E tem mais: a Lei nº 14.510/2022, no Art. 3º, garante ao paciente o direito de recusar a telemedicina a qualquer momento, com encaminhamento garantido para atendimento presencial. Esse direito também precisa estar no seu fluxo — e o paciente precisa ser informado antes de começar.

Gravação de Consulta: Quando Pode e Como Deve Ser

A gravação de teleconsulta é permitida. Mas tem condições.

Sem o OK explícito e separado do paciente, gravar é violação do sigilo profissional (Art. 73 do Código de Ética Médica) e potencialmente violação de dado sensível na LGPD. Dado de saúde é dado sensível na lei brasileira. O tratamento sem base legal adequada expõe você a sanção da ANPD — que vai de advertência até multa de 2% do faturamento anual, limitada a R$ 50 milhões por infração.

Segundo ponto, que a maioria não pensa: depois de gravar, a responsabilidade não termina. A gravação entra no prontuário. Prontuário tem prazo mínimo de guarda de 20 anos (Resolução CFM 1.638/2002). Isso significa que servidor local do consultório não resolve sozinho — você precisa de backup com redundância e rastreabilidade de acesso. Quem vai manter isso se você sair de circulação por três meses?

Terceiro: se você quiser usar a gravação como material educativo — aula, post, apresentação — precisa de um terceiro consentimento ainda mais específico, com direito de imagem. Sem isso é tiro no pé. Rolou que um dermatologista de Campinas usou clipe de teleconsulta num webinar em 2025 achando que o consentimento de telemedicina cobria tudo. Notificação do paciente chegou dois meses depois. Não virou processo formal, mas virou pesadelo de três semanas de advogado.

Mas e se o paciente quiser a gravação? A LGPD garante o direito de portabilidade. Você tem que entregar. De forma segura — não um link aberto de Google Drive que qualquer um com o link acessa.

É muita camada, mano. Mas cada uma existe por uma razão concreta.

WhatsApp Pessoal: Por Que a Cilada É Estrutural

Deu ruim pra muita gente. Mas continua rolando.

O WhatsApp pessoal tem quatro problemas estruturais que nenhuma configuração de privacidade resolve:

Sem prontuário vinculado. A Resolução CFM 2.314/2022 exige SRES — Sistema de Registro Eletrônico de Saúde — com padrão de interoperabilidade. WhatsApp não é SRES. Você atende, mas onde fica o registro clínico rastreável?

Sem autenticação forte. A resolução exige que a plataforma atenda ao Nível de Garantia de Segurança 2 (NGS2) no padrão ICP-Brasil ou equivalente aceito legalmente. WhatsApp pessoal não tem essa certificação.

Sem rastreabilidade. Se o paciente alegar que você disse algo numa consulta pelo WhatsApp, você não tem como provar o contrário. Chat pode ser editado, deletado, screenshot manipulado. Em processo ético, esse ônus é todo seu.

Metadados indo pro Meta. O WhatsApp processa metadados — hora, frequência, tamanho de arquivo. Dado de saúde é sensível. Encaminhar dado sensível pra servidor de empresa americana sem cláusula contratual de DPD compatível com a LGPD (Art. 33 da Lei 13.709/2018) é transferência internacional sem base legal.

O CREMERS deixou isso documentado em novembro de 2024: o WhatsApp pessoal não reúne os requisitos técnicos e éticos para suportar teleconsulta. Período.

Mas — e isso é o ponto que muita gente não entende — WhatsApp pode e deve continuar no seu fluxo. Como canal de agendamento, confirmação de consulta e lembrete. Se você ainda não usa automação de lembrete pelo WhatsApp, vale ver como configurar isso sem complicação. O atendimento clínico em si, esse vai em plataforma adequada.

Plataforma Certificada: O Que a Lei Realmente Exige

O médico não precisa construir a plataforma. Precisa escolher uma que já atenda os requisitos.

A Resolução CFM 2.314/2022 especifica quatro exigências técnicas para a plataforma:

Criptografia end-to-end no tráfego de informações clínicas
Prontuário integrado com padrão de interoperabilidade (HL7 FHIR ou compatível)
Autenticação forte (NGS2, ICP-Brasil ou padrão legalmente aceito)
Assinatura digital do médico nos registros de atendimento

No mercado brasileiro em 2026, plataformas como iClinic, Doctoralia, Shosp e Prontmed atendem esses requisitos com variações de recurso e preço. Não é lista exaustiva — mas se a ferramenta que você usa não tem prontuário integrado com assinatura digital, provavelmente não está em conformidade.

O custo de ficar fora da conformidade não é só ético. A ANPD já abriu seis processos sancionatórios, três deles contra órgãos de saúde. O plano de fiscalização de 2026 priorizou saúde, educação e fintechs. Não é mais fase de orientação — é fase de autuação.

Vi médico com 15 anos de consultório passar por processo no CRM justamente porque a teleconsulta dele era pelo WhatsApp pessoal e um ex-paciente insatisfeito juntou os prints. Não foi condenado — mas foram seis meses de suspeita e custo com advogado. Ele disse: “Achei que era paranoia pensar nisso.” Não é.

Mas aqui vai uma declaração honesta: a maioria dos médicos não vai ser autuada amanhã. O risco real e imediato é processo no CRM. Basta um paciente insatisfeito com print do WhatsApp. Isso acontece semana sim, semana não.

FAQ

Posso usar o Zoom pra teleconsulta?

O Zoom standard não está em conformidade com os requisitos NGS2 e ICP-Brasil da Resolução CFM. O Zoom Healthcare (versão específica pra saúde, com BAA — Business Associate Agreement) tem mais controles, mas ainda não é solução de prontuário integrado. A recomendação é usar uma plataforma médica que inclua vídeo + prontuário + assinatura digital no mesmo ambiente.

E se o paciente não quiser assinar consentimento digital?

Você pode usar consentimento físico — impresso e assinado em consulta presencial anterior. Também é válido gravar áudio do paciente lendo e concordando com o termo, desde que essa gravação vá pro prontuário com registro de data. O que não funciona é presumir consentimento porque o paciente apareceu na videochamada.

WhatsApp Business é melhor que o pessoal pra teleconsulta?

Para atendimento clínico em si, não resolve. O WhatsApp Business ainda não tem prontuário integrado, não tem assinatura digital ICP-Brasil e os dados trafegam por servidores Meta — mesmo problema estrutural. Para agendamento e lembretes, sim, é melhor que o pessoal porque tem separação de uso. Mas para a consulta, precisa de plataforma adequada. Se quiser entender mais sobre os riscos específicos do WhatsApp Business em contexto médico, tem um post sobre WhatsApp Business API e o risco de ban para plantonistas que cobre os detalhes técnicos.

Quem é responsável se a plataforma vazar os dados?

Você e o fornecedor da plataforma. Na LGPD, o médico é o “controlador” dos dados do paciente; a plataforma é o “operador”. Você precisa ter contrato de processamento de dados (DPA) com o fornecedor. Sem DPA assinado, a responsabilidade por vazamento recai inteiramente sobre você — e “eu não sabia que precisava de contrato” não é defesa na ANPD.

POR QUE ESCREVEMOS SOBRE ISSO

Em fevereiro de 2026, fui pesquisar plataformas de telemed pra um médico amigo que queria sair do WhatsApp pessoal. Levei meia hora pra achar uma comparação honesta que cruzasse compliance CFM com LGPD — a maioria dos posts vende plataforma específica ou é genérica demais pra ajudar. Faz dois anos que trabalho com sistemas de saúde digital: já integriei prontuário eletrônico, IA pra leitura de exame, automação de WhatsApp em clínica. Nesse tempo, vi médico bom perder noite de sono com processo ético por coisa que era evitável com cinco minutos de configuração certa. Escrevi esse post pra ser o que eu não encontrei: específico, com os artigos corretos, sem vender nada no meio.