LGPD e Franquias Odontológicas: Quem Responde por Vazamento?

Você assinou o contrato, investiu capital próprio, abriu a unidade. A franqueadora prometeu sistema de gestão integrado, suporte completo, marca consolidada. O que não prometeu — e provavelmente nem mencionou — foi quem responde quando o sistema centralizado sofre um vazamento de dados de pacientes. Nesse momento, a Autoridade Nacional de Proteção de Dados não pergunta quem gerencia o software. Ela pergunta: quem tratava esses dados? A resposta pode surpreender: você e a franqueadora, solidariamente.

A LGPD em franquias odontológicas criou uma zona de risco jurídico que a maioria dos contratos ignora por completo. Dados de saúde são sensíveis por lei. O prontuário eletrônico está no servidor da rede. O consentimento do paciente foi coletado pela recepcionista seguindo protocolo da franqueadora. Quando algo dá errado, a conta não chega sozinha para um lado ou para o outro — chega para os dois. Este artigo explica como funciona essa responsabilidade compartilhada, o que os tribunais já decidiram e o que seu contrato deveria prever para proteger você.

Por que a LGPD transformou a operação de franquias odontológicas

A Lei 13.709/2018 — Lei Geral de Proteção de Dados — entrou em vigor em setembro de 2020 e passou a multar efetivamente a partir de agosto de 2021. Antes disso, dados de pacientes eram tratados como mero arquivo administrativo. Prontuários, fichas de anamnese, fotos de tratamento, histórico de pagamentos — tudo circulava sem controle técnico rigoroso. A franqueadora centralizava os dados no sistema próprio. O franqueado acessava remotamente. Ninguém questionava responsabilidade porque ninguém era responsabilizado.

Esse cenário mudou de forma radical. Dados de saúde são classificados como sensíveis pela LGPD, sujeitos a regras específicas e proteção reforçada. Toda clínica odontológica — franqueada ou não — passou a ser considerada agente de tratamento de dados pessoais. A consequência prática é direta: qualquer incidente de segurança, qualquer vazamento, qualquer uso inadequado de informação de paciente pode gerar multa de até 2% do faturamento anual da pessoa jurídica, limitada a cinquenta milhões de reais por infração. Além da multa, há risco de ação civil pública, suspensão do banco de dados e responsabilidade civil por danos individuais a cada paciente afetado.

Para franquias odontológicas, o impacto foi desproporcional. Redes com dezenas ou centenas de unidades operam com sistemas de gestão centralizados — um único banco de dados armazena prontuários de todas as clínicas. Cada unidade acessa remotamente. A integração é a força operacional do modelo, mas também sua vulnerabilidade jurídica. Quando esse sistema sofre uma invasão ou quando dados são tratados de forma inadequada, a responsabilidade não fica restrita à sede da franqueadora. Cada unidade franqueada que trata aqueles dados também responde.

Essa transformação está longe de ser compreendida pela maioria dos dentistas franqueados. Muitos ainda acreditam que a conformidade com a LGPD é problema da franqueadora, já que o software é dela. Esse raciocínio está errado. A legislação define papéis técnicos específicos — controlador e operador — e distribui responsabilidade conforme a função real exercida, independentemente do que o contrato de franquia diz ou deixa de dizer.

Quem responde quando há vazamento de dados: franqueadora, franqueado ou os dois?

A resposta depende de como cada parte se relaciona com os dados dos pacientes. A LGPD não trabalha com categorias comerciais como “franqueadora” ou “franqueado”. Ela define dois agentes técnicos: o controlador e o operador. O controlador é quem toma as decisões sobre o tratamento — qual dado coletar, por quanto tempo armazenar, com quem compartilhar. O operador é quem realiza o tratamento em nome do controlador, seguindo suas instruções. A distinção importa porque a responsabilidade de cada um é diferente.

A distinção entre controlador e operador de dados

Na prática odontológica, o dentista que atende o paciente decide qual informação registrar no prontuário, quais exames solicitar, que fotos de tratamento arquivar. Essas decisões fazem dele um controlador. Ao mesmo tempo, se o franqueado usa um sistema fornecido pela franqueadora, que determina quais campos preencher, quanto tempo os dados ficam armazenados e quem mais na rede pode acessá-los, a franqueadora também atua como controladora. Há, portanto, cotitularidade do controle — ambos decidem sobre o tratamento, ainda que em momentos e aspectos diferentes.

O operador seria, por exemplo, a empresa de hospedagem do servidor ou o desenvolvedor do software que apenas executa as instruções técnicas sem autonomia decisória. Essa figura raramente aparece nas franquias odontológicas, porque franqueadora e franqueado não são prestadores de serviço um do outro — ambos têm interesse direto nos dados. A franqueadora precisa dos dados para auditorias, controle de qualidade, geração de relatórios consolidados. O franqueado precisa para o atendimento clínico. Ambos controlam.

Essa dupla condição de controlador tem uma consequência direta: responsabilidade solidária. O art. 42 da LGPD determina que controlador e operador respondem pelos danos causados ao titular. Quando ambos são controladores, como no caso típico das franquias odontológicas, a responsabilidade é compartilhada. O paciente que sofre dano por vazamento ou uso indevido de seus dados pode acionar qualquer um dos agentes ou ambos simultaneamente.

Responsabilidade solidária quando há sistema centralizado

A existência de um sistema centralizado de gestão não transfere a responsabilidade para a franqueadora de forma exclusiva. Pelo contrário: reforça a corresponsabilidade. A clínica franqueada tem acesso ao banco de dados, insere informações diariamente, consulta históricos de pacientes. Seus funcionários — recepcionistas, auxiliares, dentistas associados — operam o sistema sob supervisão do franqueado. Se um desses funcionários acessa indevidamente o prontuário de um paciente que não está sob seus cuidados, ou se compartilha dados sem autorização, a unidade franqueada responde.

Por outro lado, se o vazamento ocorre por falha de segurança no servidor central, por ausência de criptografia adequada ou por decisão da franqueadora de compartilhar dados com terceiros sem base legal, a franqueadora responde. O problema é que, na maioria dos casos, não é possível isolar a falha de um lado só. O incidente resulta de uma cadeia de decisões e omissões — o sistema foi mal dimensionado pela franqueadora, mas a unidade não implementou controles internos de acesso; a política de senhas era fraca, mas o franqueado não treinou a equipe; o consentimento do paciente foi coletado de forma genérica, mas ambos os agentes continuaram tratando os dados sem revisão.

Diante dessa complexidade, a tendência dos tribunais e da Autoridade Nacional de Proteção de Dados é responsabilizar ambas as partes, deixando que provem, em defesa, quem foi o efetivo causador do dano. Essa inversão prática do ônus da prova coloca o franqueado em posição de risco: ele precisa demonstrar que cumpriu todas as obrigações de segurança, que seguiu as diretrizes técnicas, que não teve culpa. Sem documentação robusta, essa prova é impossível.

O que dizem os tribunais sobre compartilhamento de responsabilidade

A jurisprudência sobre LGPD ainda está em formação, mas tribunais estaduais já enfrentaram casos envolvendo vazamento de dados em redes de clínicas e franquias de outros setores. O padrão que emerge é claro: quando há estrutura integrada de tratamento de dados, com sistema único e compartilhamento de informações entre unidades, a responsabilidade é solidária. O Tribunal de Justiça de São Paulo, em decisões envolvendo redes de varejo e de ensino, tem reconhecido que a mera alegação de “autonomia da unidade franqueada” não afasta a responsabilidade da franqueadora, assim como a existência de sistema centralizado não exonera a unidade.

Esse entendimento se alinha à lógica da legislação consumerista aplicada por analogia: o paciente que sofre dano não precisa identificar qual elo da cadeia falhou. Ele aciona quem está à sua frente — normalmente, a clínica onde foi atendido. A clínica, por sua vez, pode tentar regressão contra a franqueadora se provar que o dano decorreu exclusivamente de falha no sistema central. Mas essa discussão acontece depois, entre os agentes de tratamento. Perante o paciente, ambos respondem.

Casos concretos já chegaram aos tribunais envolvendo indenização em franquias odontológicas por outras razões, e a tendência é que litígios relacionados à LGPD sigam caminho semelhante: reconhecimento de responsabilidade solidária, com eventual ação regressiva. O franqueado que paga sozinho a indenização ao paciente pode voltar-se contra a franqueadora. Mas isso exige nova ação, novos custos, novo desgaste. A prevenção vale muito mais que a reparação.

Dados sensíveis de saúde: exigências específicas para clínicas odontológicas

O art. 11 da LGPD classifica dados de saúde como sensíveis, sujeitos a proteção reforçada. O tratamento desses dados só pode ocorrer em hipóteses específicas: tutela da saúde por profissionais habilitados, cumprimento de obrigação legal ou regulatória, realização de estudos por órgão de pesquisa, proteção da vida do titular. Cada uma dessas bases legais exige condições próprias de aplicação. Para clínicas odontológicas, a base mais comum é a tutela da saúde — ou seja, o tratamento necessário para a prestação de assistência à saúde do paciente.

Apesar dessa base legal permitir o tratamento sem consentimento explícito, ela não autoriza uso indiscriminado. A clínica pode coletar e armazenar dados clínicos para o atendimento do paciente, mas não pode compartilhá-los livremente com terceiros, usá-los para fins comerciais ou mantê-los por prazo superior ao necessário. Qualquer uso secundário — por exemplo, estatísticas de tratamento, campanhas de marketing dirigidas, compartilhamento com laboratórios sem vínculo direto ao caso clínico — exige consentimento específico e informado do paciente.

Prontuários eletrônicos e o dever de sigilo profissional

O prontuário odontológico é obrigatório por força da Resolução CFO-118/2012. O art. 17 do Código de Ética determina a elaboração e manutenção de prontuário legível e atualizado, em arquivo próprio, físico ou digital. Esse documento é, ao mesmo tempo, obrigação ética e fonte de dados sensíveis protegidos pela LGPD. O dentista franqueado precisa conciliar duas exigências: manter o prontuário acessível para eventual fiscalização do Conselho Regional de Odontologia e garantir que apenas pessoas autorizadas tenham acesso a essas informações.

Quando o prontuário é eletrônico e está armazenado em servidor central da franqueadora, surgem questões críticas. Quem mais, além do dentista autor do atendimento, pode acessar aquele prontuário? Auditores da franqueadora têm acesso irrestrito para verificar qualidade técnica? Gestores de outras unidades podem consultar históricos de pacientes que migraram entre clínicas da rede? Cada acesso é um tratamento de dados. Se não houver justificativa técnica clara e se o paciente não foi informado sobre essa possibilidade, há risco de violação.

O dever de sigilo profissional, previsto no Código de Ética, não desaparece porque o prontuário é gerido por sistema de terceiro. O dentista continua responsável por garantir que as informações dos seus pacientes não sejam divulgadas indevidamente. Na prática, isso significa que ele precisa conhecer as regras de acesso do sistema, entender quem mais pode visualizar os dados e, se necessário, questionar a franqueadora sobre a política de privacidade. Delegar a gestão técnica não é delegar a responsabilidade ética e legal.

Consentimento do paciente: o que a LGPD exige além do termo

Muitas franquias odontológicas adotaram termos de consentimento genéricos, apresentados ao paciente no momento do cadastro, autorizando “o uso de dados para prestação de serviços odontológicos e atividades correlatas”. Esse tipo de consentimento é insuficiente perante a LGPD. A lei exige que o consentimento seja livre, informado e inequívoco. Livre significa sem vício de vontade — o paciente não pode ser condicionado a aceitar para receber atendimento. Informado significa que ele sabe exatamente para que seus dados serão usados. Inequívoco significa que a manifestação de vontade é clara, não presumida.

Um termo genérico que autoriza “atividades correlatas” não informa o paciente sobre o que realmente acontecerá. Ele não sabe que seus dados ficarão em servidor central acessível por múltiplas unidades. Não sabe que poderão ser usados para auditorias internas. Não sabe se serão compartilhados com laboratórios, seguradoras ou fornecedores. Cada finalidade específica deveria constar de forma destacada no termo, com opção de aceitar ou recusar separadamente. O paciente pode consentir no uso de dados clínicos para o tratamento, mas recusar o uso para campanhas de marketing. Esse é o princípio da finalidade específica.

Além disso, o consentimento precisa ser revogável a qualquer momento. O paciente que autorizou o uso de suas fotos para fins de divulgação pode, posteriormente, retirar essa autorização. A clínica é obrigada a atender prontamente e excluir ou anonimizar aquelas imagens. A Resolução CFO-196/2019 já regulamentava o uso de imagens em redes sociais, exigindo termo de consentimento livre e esclarecido. A LGPD reforça essa exigência e estende para qualquer tratamento de dados sensíveis. O franqueado precisa garantir que seus processos internos permitam o exercício desses direitos pelo paciente — e que a franqueadora, se detém o banco de dados, também os respeite.

Compartilhamento de dados clínicos entre unidades da rede

Uma das promessas do modelo de franquia é a continuidade do atendimento: o paciente que começa o tratamento em uma unidade pode continuar em outra, sem perda de histórico. Isso exige que os dados clínicos circulem entre as clínicas. Sob a ótica da LGPD, esse compartilhamento é legítimo apenas se atender ao princípio da necessidade. Se o paciente efetivamente migrou de unidade, o compartilhamento do prontuário é justificável. Se o paciente nunca foi atendido na unidade B, mas a unidade B tem acesso ao banco de dados completo por razões técnicas do sistema, há exposição desnecessária.

O desenho técnico do sistema importa. Um banco de dados centralizado com controle de acesso por unidade e por profissional, registrando cada consulta ao prontuário, oferece muito mais segurança jurídica do que um sistema aberto onde qualquer login da rede visualiza qualquer prontuário. Infelizmente, a maioria dos sistemas de gestão usados por franquias odontológicas foi desenvolvida antes da LGPD, sem esses controles. A adequação técnica é cara e complexa. Muitas franqueadoras ainda não a implementaram. O franqueado, nesse contexto, opera com sistema não conforme — e responde por isso junto com a franqueadora.

Se o compartilhamento de dados entre unidades faz parte da política operacional da rede, o paciente precisa ser informado no momento do cadastro. Não basta uma cláusula genérica no termo de consentimento. O paciente deve saber que seus dados estarão disponíveis para outras clínicas da rede e em que situações isso ocorrerá. Se ele não concorda, a franquia precisa oferecer alternativa — como manter o prontuário isolado daquela unidade específica. A recusa em atender paciente que não autoriza compartilhamento pode configurar prática abusiva. Para entender melhor os direitos do dentista franqueado nessas situações, é necessário revisar não só a LGPD, mas também as obrigações contratuais estabelecidas no contrato de franquia.

Sistemas de gestão centralizados: o ponto cego jurídico das franquias odontológicas

A centralização dos sistemas de gestão é um dos pilares operacionais das redes de franquias. Um único software controla agenda, prontuário, financeiro, estoque, relacionamento com paciente. A franqueadora desenvolve ou contrata o sistema, treina os franqueados, atualiza versões, monitora desempenho. Esse controle técnico gera eficiência, mas também concentra risco. Quando o sistema falha, todas as unidades param. Quando o sistema é invadido, todos os dados vazam. E quando o sistema não está adequado à LGPD, todos os franqueados estão em não conformidade.

O ponto cego está na ausência de clareza sobre quem é responsável pela adequação técnica do sistema. A franqueadora fornece o software, mas o franqueado é o responsável técnico pela clínica perante o CFO e perante a Autoridade Nacional de Proteção de Dados. Se o sistema não criptografa dados em trânsito, quem responde? Se o sistema não registra logs de acesso, quem responde? Se o sistema permite que qualquer usuário da rede visualize qualquer prontuário, quem responde? A legislação diz: ambos. O contrato de franquia, na maioria dos casos, silencia completamente.

Essa lacuna contratual deixa o franqueado em posição vulnerável. Ele não tem controle sobre o desenvolvimento do software. Não pode exigir alterações técnicas. Não tem acesso ao código-fonte para verificar conformidade. Depende integralmente da franqueadora para que o sistema esteja adequado. Mas, perante o paciente e perante a autoridade reguladora, ele é corresponsável. É como dirigir um carro cujos freios são mantidos por terceiro: se o freio falha, quem bate responde, ainda que não tenha causado a falha.

A solução técnica ideal seria um contrato claro de controlador conjunto, nos termos do art. 42, §1º, II, da LGPD. Esse contrato deveria estabelecer as obrigações específicas de cada parte: a franqueadora responde pela segurança da infraestrutura, pela adequação do software, pela proteção contra invasões; o franqueado responde pelos controles de acesso internos, pelo treinamento da equipe, pela coleta adequada de consentimento. Qualquer incidente seria analisado à luz desse contrato para identificar de quem foi a falha. Isso reduziria litígios e protegeria ambos. Mas contratos assim são raríssimos. A maioria dos contratos de franquia sequer menciona LGPD.

Enquanto isso não muda, o franqueado precisa tomar medidas de proteção unilateral. Documentar, por escrito, solicitações de adequação do sistema enviadas à franqueadora. Manter registro de treinamentos internos sobre proteção de dados. Implementar controles próprios sempre que possível — como política de senhas fortes, restrição de acesso por função, revisão periódica de permissões. E, principalmente, entender que depender exclusivamente da franqueadora para conformidade com a LGGPD é um risco que pode custar muito caro.

Como o contrato de franquia deveria tratar a LGPD (mas raramente trata)

A Lei 13.966/2019 estabelece 23 itens obrigatórios que devem constar na Circular de Oferta de Franquia. Nenhum desses itens trata especificamente de proteção de dados. A lei é anterior à vigência plena da LGPD e não foi atualizada. Isso não significa que o tema possa ser ignorado no contrato. Pelo contrário: a omissão gera insegurança jurídica para ambas as partes. Um contrato de franquia adequado à realidade atual deveria ter cláusulas específicas sobre LGPD, definindo papéis, obrigações, responsabilidades e mecanismos de resposta a incidentes.

Cláusulas obrigatórias sobre proteção de dados

A primeira cláusula essencial é a de definição de papéis. O contrato deve identificar expressamente quem é controlador e quem é operador, ou se ambos são controladores conjuntos. Essa definição técnica tem consequências práticas: determina quem toma decisões sobre o tratamento, quem responde perante a Autoridade Nacional de Proteção de Dados, quem pode ser acionado diretamente pelo paciente. Se o contrato silencia, prevalece a realidade fática — e a realidade, na maioria das franquias odontológicas, é de controle compartilhado.

A segunda cláusula crítica é a de obrigações de segurança. O contrato deve especificar quais medidas técnicas a franqueadora se compromete a implementar no sistema centralizado: criptografia de dados em repouso e em trânsito, autenticação multifator, backup regular, registro de logs de acesso, política de retenção de dados. Essas medidas não são opcionais — são exigidas pela LGPD como parte do dever de segurança. Se a franqueadora não as implementa e o franqueado continua usando o sistema, ambos estão em não conformidade. O contrato deveria prever prazo para adequação e consequências pelo descumprimento.

A terceira cláusula necessária trata da resposta a incidentes. Quando ocorre um vazamento de dados, a LGPD exige notificação à Autoridade Nacional de Proteção de Dados e aos titulares afetados em prazo razoável. Quem faz essa notificação? A franqueadora, porque controla o sistema? A unidade franqueada, porque mantém a relação direta com o paciente? O contrato deveria prever protocolo claro: a franqueadora notifica imediatamente o franqueado sobre o incidente, fornece relatório técnico detalhado, e ambos notificam em conjunto a autoridade. A ausência desse protocolo pode gerar desencontro de informações e agravamento da penalidade.

Auditoria e fiscalização: direitos e deveres de cada parte

A franqueadora tem interesse legítimo em auditar a qualidade técnica das unidades franqueadas. Essa auditoria frequentemente envolve análise de prontuários para verificar protocolos clínicos. Sob a ótica da LGPD, cada acesso a prontuário é tratamento de dados sensíveis e precisa de base legal. A base pode ser o legítimo interesse da franqueadora em garantir padrão de qualidade — mas esse interesse precisa ser justificável e proporcional. Auditorias que implicam acesso irrestrito a todos os prontuários, sem critério de amostragem, podem ser consideradas excessivas.

O contrato deveria regular expressamente como essas auditorias ocorrem: com que frequência, quais dados podem ser acessados, quem realiza o acesso, como os dados são protegidos durante e após a auditoria, se há compartilhamento com terceiros. O franqueado, por sua vez, tem direito de fiscalizar se o sistema fornecido pela franqueadora está adequado à LGPD. Isso pode incluir solicitação de relatórios de segurança, evidências de testes de invasão, certificações de conformidade. Sem cláusula contratual que assegure esse direito, a franqueadora pode recusar-se a fornecer as informações, deixando o franqueado no escuro.

A assimetria de informação é um dos maiores problemas nas franquias odontológicas. A franqueadora detém conhecimento técnico sobre o sistema, sabe de suas vulnerabilidades, tem acesso a relatórios de incidentes. O franqueado depende de boa-fé da franqueadora para saber se está operando com sistema seguro. Quando essa boa-fé falha — e há casos documentados em outros setores de franquias que ocultaram falhas de segurança para evitar pânico na rede —, o franqueado descobre o problema quando já é tarde demais, geralmente após um vazamento público.

O que acontece quando o contrato silencia sobre LGPD

Na ausência de cláusulas específicas, aplicam-se as regras gerais da legislação. Isso significa responsabilidade solidária pelos danos causados a pacientes, conforme o art. 42 da LGPD. Significa também que eventuais disputas entre franqueadora e franqueado sobre quem deve arcar com custos de adequação, quem deve pagar multas administrativas ou indenizações judiciais, serão resolvidas com base em princípios gerais de direito — boa-fé, equidade, proporcionalidade. Essas disputas são imprevisíveis e custosas.

O silêncio contratual também impede que o franqueado exerça direito de regresso de forma eficaz. Se ele for condenado a indenizar um paciente por vazamento que decorreu de falha exclusiva no sistema central da franqueadora, ele precisará provar, em nova ação, que a culpa foi da franqueadora. Sem cláusula contratual que defina responsabilidades, essa prova depende de perícia técnica, de acesso a logs do sistema, de documentação que o franqueado pode não ter. A franqueadora, por sua vez, pode alegar que a falha ocorreu por uso inadequado do sistema pela unidade, por falta de treinamento da equipe, por descumprimento de orientações. O litígio se arrasta.

Além disso, contratos antigos — assinados antes de 2020 — raramente preveem hipótese de rescisão ou suspensão por não conformidade com a LGPD. O franqueado que descobre que o sistema não está adequado e que a franqueadora se recusa a adequá-lo enfrenta dilema: continuar operando com risco legal elevado ou tentar rescindir o contrato por descumprimento contratual. A segunda opção pode gerar disputa sobre multa rescisória, devolução de taxas, não concorrência. A primeira opção mantém o franqueado exposto.

Multas, sanções e o custo real de uma não conformidade

A Autoridade Nacional de Proteção de Dados pode aplicar sanções que vão desde advertência até multa de até 2% do faturamento anual da pessoa jurídica, limitada a cinquenta milhões de reais por infração. Além da multa administrativa, há sanções acessórias: publicização da infração, bloqueio ou eliminação dos dados pessoais, suspensão parcial do banco de dados por até seis meses. Para uma clínica odontológica franqueada, qualquer uma dessas sanções é potencialmente letal.

Imagine uma clínica que fatura um milhão e duzentos mil reais por ano. A multa máxima aplicável seria de vinte e quatro mil reais — 2% do faturamento. Parece administrável, mas não é o único custo. Se a infração resultou em dano a pacientes, cada um deles pode ajuizar ação de reparação civil. Danos morais por vazamento de dados de saúde têm sido arbitrados entre cinco mil e vinte mil reais por pessoa, dependendo da gravidade e da extensão do vazamento. Se cinquenta pacientes foram afetados e cada um obtém indenização de dez mil reais, o custo total é de quinhentos mil reais — muito superior à multa administrativa.

Some-se a isso o custo reputacional. Uma clínica que vaza dados perde pacientes, perde indicações, enfrenta crise de confiança. O impacto no faturamento futuro pode ser maior que a soma das penalidades imediatas. E, se a clínica é parte de rede de franquia, a crise pode contaminar outras unidades. Pacientes deixam de confiar na marca. A franqueadora enfrenta pressão de todos os franqueados. O caso ganha imprensa. O dano é coletivo.

Outro aspecto pouco considerado é o custo de adequação emergencial. Quando a Autoridade Nacional de Proteção de Dados instaura processo administrativo, a clínica precisa contratar advogados especializados, consultores de proteção de dados, peritos técnicos. Precisa implementar correções no sistema em tempo recorde. Precisa revisar todos os processos internos, treinar equipe, refazer termos de consentimento. Esse esforço corretivo sob pressão custa muito mais do que teria custado a adequação preventiva. E não elimina a penalidade — apenas mitiga.

Para redes de franquia com dezenas de unidades, o cenário é ainda mais complexo. Se a Autoridade identifica não conformidade sistêmica — falha no sistema centralizado que afeta todas as unidades —, pode autuar a franqueadora e exigir correção em toda a rede. Se cada unidade franqueada também for autuada, a soma das multas pode ultrapassar a capacidade de pagamento da rede. Casos similares já ocorreram em outros países. Na Europa, redes de varejo e de saúde foram multadas de forma coordenada, com responsabilização da controladora e das filiais. O Brasil ainda não aplicou multas dessa magnitude, mas a tendência é de endurecimento progressivo.

Nossa conclusão sobre LGPD para franquias odontológicas

A proteção de dados em franquias odontológicas deixou de ser questão técnica para se tornar questão jurídica crítica. O modelo de negócio pressupõe integração operacional, compartilhamento de sistemas, centralização de dados. Esses elementos, que são vantagens competitivas, convertem-se em passivos jurídicos quando o sistema não está adequado à LGPD. A responsabilidade solidária entre franqueadora e franqueado é a regra, não a exceção. O franqueado que acredita estar protegido porque “o sistema é da franqueadora” está equivocado. Ele responde junto, perante o paciente e perante a autoridade.

O contrato de franquia raramente trata do tema com a profundidade necessária. Cláusulas genéricas sobre “cumprimento da legislação vigente” não bastam. É preciso definir papéis técnicos, distribuir obrigações de segurança, regular auditorias, prever protocolo de resposta a incidentes, estabelecer direito de regresso. Na ausência dessas cláusulas, cada incidente vira litígio. E litígios sobre proteção de dados são caros, longos e de resultado imprevisível. A prevenção — ainda que tardia — é sempre mais barata que a reparação. Isso vale para franqueadora e franqueado. Ao decidir entre franquia ou clínica própria, o dentista deve considerar não apenas investimento inicial e retorno financeiro, mas também o risco jurídico associado à perda de controle sobre sistemas e dados.

Resumindo

• Franqueadora e franqueado respondem solidariamente por vazamento de dados quando há sistema integrado
• Dados de saúde são sensíveis e exigem proteção reforçada, independentemente de consentimento
• Contratos de franquia devem prever cláusulas específicas sobre LGPD — silêncio gera risco bilateral
• Multas administrativas são apenas parte do custo — ações civis individuais e dano reputacional ampliam o impacto

Se você é dentista franqueado e percebe que o sistema da sua rede não oferece segurança adequada para os dados dos pacientes, ou se já foi notificado sobre alguma não conformidade, procure orientação especializada. Para consultar um advogado especialista em franquias odontológicas, entre em contato com nosso escritório e agende uma análise detalhada do seu contrato e da sua exposição jurídica. A adequação pode ainda ser preventiva.