Fila digital e LGPD: o que precisa mudar na operação do seu negócio

Todo sistema de fila digital coleta ao menos dois dados pessoais: nome (para chamar na tela ou pelo alto-falante) e telefone (para enviar aviso pelo WhatsApp quando está perto da vez). Esses dois dados se enquadram na definição de dado pessoal da LGPD: qualquer informação que identifica ou pode identificar uma pessoa natural. O simples registro de check-in já é, portanto, tratamento de dado pessoal — e exige base legal, mesmo que o processo seja simples e a intenção seja apenas organizar a fila.

A complicação aparece quando o check-in coleta categoria prioritária. Quando o paciente ou cliente marca 'idoso', 'gestante', 'PcD' ou 'obeso' na tela do totem ou no formulário pelo QR code, você está coletando dado relacionado à condição de saúde — que a LGPD art. 5, XI classifica como dado sensível. O art. 11 estabelece regime jurídico mais rígido para dado sensível: as bases legais possíveis são mais restritas e a documentação exigida, mais rigorosa. Usar a mesma base legal do dado comum — como legítimo interesse genérico — para dado sensível é erro de compliance.

Para dado pessoal comum, a base legal mais usada em operações de fila é o legítimo interesse (LGPD art. 7, IX): o negócio tem interesse legítimo em organizar o atendimento, e o cliente tem interesse em ser chamado na hora certa. Isso funciona para nome, telefone e horário de chegada. Para dado sensível, o art. 11 exige uma das seguintes bases: consentimento específico e destacado do titular, cumprimento de obrigação legal ou regulatória, ou exercício regular de direito — entre outras hipóteses menos aplicáveis ao contexto de fila. A escolha da base correta precisa estar documentada internamente, não apenas aplicada na prática.

A base legal mais sólida para coletar categoria prioritária no contexto de fila é o cumprimento de obrigação legal (art. 11, II, a): a Lei 10.048/2000 impõe ao estabelecimento a obrigação de oferecer atendimento prioritário — e, para cumpri-la, é necessário identificar quem tem prioridade. Isso cria um nexo direto entre a coleta do dado sensível e o cumprimento da lei. A documentação interna deve registrar essa justificativa: o dado de categoria prioritária é coletado para viabilizar o cumprimento da Lei 10.048, com fundamento no art. 11, II, a da LGPD.

Antes de colocar um sistema de fila digital em operação, o negócio precisa ter um Registro de Atividade de Tratamento (RAT) — ou ao menos um documento interno que descreva cada categoria de dado coletado, a finalidade, a base legal e o prazo de retenção. Esse documento não precisa ser extenso; uma tabela com quatro colunas para cada dado coletado é suficiente. Para negócios de pequeno porte sem obrigação de indicar Encarregado (DPO), o próprio dono pode manter essa documentação atualizada.

A política de privacidade no site e na entrada do estabelecimento (QR code ou link no totem) deve mencionar que o sistema coleta dados pessoais para gestão da fila, que dados de categoria prioritária podem ser coletados quando o cliente opta por sinalizá-los, e que o tratamento tem base em obrigação legal (Lei 10.048) e legítimo interesse (prestação do serviço). Não precisa citar artigos da LGPD no cartaz da recepção, mas precisa estar legível. Uma linha de rodapé no totem com link para a política é suficiente do ponto de vista legal.

Para negócios no setor de saúde — clínicas, laboratórios, hospitais — a ANPD e o CFM têm orientações adicionais. Dado de saúde em serviços de saúde está sujeito a sigilo profissional, independentemente da LGPD. Isso significa que, além de ter base legal correta, o acesso ao dado precisa ser controlado internamente: a recepcionista não deve ter acesso ao histórico de categorias de prioridade de outros pacientes, e o sistema deve logar quem acessou qual dado e quando.

A LGPD art. 6, III estabelece o princípio da necessidade — ou minimização: coletar apenas os dados estritamente necessários para a finalidade declarada. Para uma fila digital, a finalidade é organizar o atendimento e notificar o cliente. Isso exige: nome (para chamar), telefone (para notificar pelo WhatsApp) e categoria de prioridade (para cumprir a Lei 10.048). Não exige: CPF, data de nascimento, endereço completo, e-mail ou diagnóstico médico específico. Quando o sistema pede dados além do necessário, ele cria risco de compliance desnecessário sem nenhum benefício operacional.

Um erro comum é pedir o diagnóstico ou laudo para justificar a prioridade. Para fins de fila, a categoria é suficiente: 'PcD' ou 'gestante', sem especificar qual deficiência ou quantas semanas de gestação. O estabelecimento pode exigir apresentação de documento de identificação ou laudo na recepção — uma boa prática contra fraude — mas esse dado não precisa ser registrado no sistema; ele é apenas verificado visualmente. O que entra no banco de dados é a categoria, não o diagnóstico.

A LGPD não define um prazo único de retenção para todos os dados. A regra geral (art. 16) é: os dados devem ser eliminados ao final do tratamento, exceto nas hipóteses legais de guarda obrigatória. Para o telefone coletado para notificação pela fila, a finalidade se encerra quando o atendimento é concluído — o número pode ser descartado no mesmo dia. Para o log da fila (horário de entrada, categoria, tempo de espera, operador), a finalidade inclui auditoria e conformidade com a Lei 10.048, o que justifica uma retenção mais longa.

Fiscalizações do Procon e da ANPD costumam solicitar 3 a 6 meses de histórico. Para setores regulados (saúde, cartório, órgão público), 12 a 24 meses de log é uma retenção defensável — com uma condição: o log deve ser anonimizado ou pseudonimizado após o atendimento. Retire nome e telefone; mantenha apenas os dados agregados (dia, hora, categoria, tempo de espera, desfecho). Dados anonimizados não são dados pessoais pela LGPD (art. 5, III) e portanto não precisam de base legal para retenção, o que simplifica muito a gestão.

O art. 18 da LGPD garante ao titular direitos de acesso, correção, exclusão, anonimização, portabilidade e informação sobre o tratamento. O prazo para resposta é de 15 dias corridos (art. 19). Para um negócio com fila digital, os pedidos mais comuns são exclusão ('apague meus dados') e acesso ('quais dados vocês têm sobre mim'). O canal de contato para exercício de direitos precisa estar informado na política de privacidade — pode ser um e-mail dedicado, sem necessidade de portal sofisticado.

Ao receber um pedido de exclusão, o procedimento prático é: confirmar ao titular quais dados foram coletados, excluir nome e telefone do histórico, manter apenas o log anonimizado para fins de auditoria (sem dados identificáveis), e registrar internamente o pedido e a resposta com data. Esse registro interno serve como evidência de cumprimento se a ANPD ou o Judiciário questionarem. Uma planilha com data do pedido, tipo de pedido, resposta dada e data de resposta é suficiente para a maioria dos negócios de pequeno e médio porte.

A ANPD aumentou a frequência de autuações a partir de 2023. As penalidades do art. 52 da LGPD chegam a 2% da receita líquida da empresa no Brasil no último exercício, limitadas a R$50 milhões por infração. Para pequenas empresas — clínicas de 3 salas, barbearias com 4 cadeiras, laboratórios de bairro —, o teto real é muito menor. Mas autuações em negócios de saúde com valores entre R$15.000 e R$80.000 já foram registradas. Não é o fim do mundo financeiramente, mas é burocracia, honorários advocatícios, prazo e energia que saem do negócio.

O risco reputacional pode ser maior que a multa. Dado de categoria prioritária de paciente — que revela condição de saúde — tem alto potencial de constrangimento em caso de vazamento. Um incidente envolvendo esse tipo de dado em uma clínica ou laboratório pode gerar obrigação de notificação à ANPD e aos titulares afetados (LGPD art. 48), além de cobertura negativa. Para estabelecimentos cuja confiança é ativo central — consultório, laboratório, clínica especializada —, a exposição é desproporcional ao custo da prevenção.