A lei 13.

787, de 27 de dezembro de 2018 dispõe sobre a digitalização, guarda, armazenamento

e manuseio dos prontuários eletrônicos (PE) de paciente. Este mesmo ano marca a
promulgação da Lei Geral de Proteção de Dados (LGPD), lei 13.709, de 14 de agosto de 2018. A
vinculação de ambas é direta por determinação do artigo 1º da lei 13.787/2018 que dispõe: a
digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o
manuseio de prontuário de paciente são regidas por esta lei e pela lei 13.709, de 14 de agosto
de 2018.

O estudo de aspectos centrais na regulação concernente ao prontuário eletrônico de paciente

(PEP) e a proteção de dados e informações pessoais no âmbito de instituições de saúde,
clínicas e consultórios privados, será o objetivo central deste texto. O texto está estruturado
da seguinte forma: 1) Aspectos legais e deontológicos na regulação dos PEP; 2) O PEP no
contexto da LGPD e 3) A certificação de sistemas de prontuário eletrônico.

Prontuário eletrônico no Brasil: aspectos legais e deontológicos

O prontuário de paciente é um documento essencial e necessário na assistência à saúde, para

o registro acurado e guarda de dados pessoais e informações sobre a história de saúde e de
informações adicionais de pacientes.

O prontuário de paciente, seja físico ou eletrônico, é pauta de códigos deontológicos de vários

profissionais da área da saúde - tais como médicos, enfermeiros, psicólogos, fisioterapeutas e
nutricionistas -, pois é o documento mais importante para o registro da assistência prestada ao
paciente.

Os prontuários eletrônicos de paciente (PEP), tecnicamente, são considerados Registros

Eletrônicos em Saúde (RES), e devem estar incorporados a um Sistema de Registro Eletrônico
(S-RES). O Manual de Certificação de Sistemas de Registro Eletrônico, formulado e publicado
pela Sociedade Brasileira de Informática em Saúde (IBIS), define RES como o repositório de
informação a respeito da saúde de indivíduos, numa forma processável eletronicamente. E S-
RES como um sistema para registro, recuperação e manipulação das informações de um
Registro Eletrônico em Saúde.

Neste mesmo sentido, ABNT ISSO/TR 20514 - Informática em saúde - Registro eletrônico de
saúde - Definição, escopo e contexto-, define o S-RES como qualquer sistema que capture,
armazene, apresente, transmita ou imprima informação identificada em saúde. Entende-se por
informação identificada aquela que permite individualizar um paciente, o que abrange não
apenas o seu nome, mas também números de identificação (tais como RG e CPF etc.) ou
outros dados que, se tomados em conjunto, possibilitem a identificação do indivíduo.

O PEP pode ser uniprofissional, quando é restrito ao atendimento realizado por apenas um
profissional da saúde, em seu consultório ou clínica, ou pode ser multiprofissional, quando o
paciente está vinculado, por exemplo, à uma clínica ou instituição de saúde. Entretanto, em
qualquer uma das situações, o PEP deve conter dados pessoais e informações da história
clínica, do diagnóstico, do prognóstico, condutas e planos de cuidado, de resultados de exames
clínicos, laudos, imagens e demais anotações complementares, necessárias para promover a
melhor assistência ao paciente, como as situações de vulnerabilidade social e/ou familiar.1

Os prontuários eletrônicos podem auxiliar na promoção à assistência integral de saúde do

paciente. Igualmente, os dados e informações registrados no PEP pode ser fonte de pesquisa,
retrospectiva, para estabelecer políticas públicas e garantir melhoramentos na assistência à
saúde no presente e no futuro.2-3-4

Aliás, o princípio da integralidade em saúde é um dos princípios basilares ao Sistema Único de

Saúde, lei 8080/1990, expresso no artigo 7º, inciso II, entendido como conjunto articulado e
contínuo das ações e serviços preventivos e curativos, individuais e coletivos, exigidos para
cada caso em todos os níveis de complexidade do sistema.5-6

É inegável a importância do Conselho Federal de Medicina (CFM) no estabelecimento de

padrões normativos no que concerne ao prontuário de paciente (também denominado de
prontuário médico), físico ou eletrônico. A resolução 1.331/1989 foi a primeira a
explicitamente tratar do tema, limitando-se a determinar que o prontuário médico deveria ser
documento de documentação permanente dos estabelecimentos de saúde - públicos ou
privados. Na sequencia, a Resolução 1.331/1989 foi revogada pela resolução 1638/2002 e
esta, por sua vez, revogada pela resolução 1.821/2007, ora vigente.7

O Código de Ética Médica e resolução CFM 1.821/2007 determinam que o médico deve
manter o registro adequado das informações, em respeito ao sigilo profissional, para garantir a
privacidade do paciente.8 Em particular, a Resolução define "Normas Técnicas para o Uso de
Sistemas Informatizados para a Guarda e Manuseio do Prontuário Médico" e também regula
os critérios de segurança que devem ser observados na utilização dos Prontuários Eletrônicos
de Paciente (PEPs), estabelecendo critérios para certificação dos sistemas de informação em
saúde.

A resolução CFM 1.821/2007 estabelece nove regras que devem ser observados nos sistemas
de prontuário eletrônico: 1) garantir a integridade da informação e qualidade do serviço; 2)
garantir a privacidade e a confidencialidade dos dados e informações armazenadas; 3)
organizar bancos de dados seguros e confiáveis; 4) garantir a autenticidade dos dados e
informações, na medida possibilidade; 5) auditar o sistema de segurança; 6) garantir a
transmissão de dados e informações em segurança; 7) utilizar software certificado; 8) exigir
digitalização de prontuários existentes em meio físico e 9) fazer cópia de segurança na medida
da possibilidade.9

Critérios semelhantes previstos na resolução CFM 1.821/2007 pautam a lei 13.787/2018. A lei,
em seu artigo 2º, determina que o prontuário digitalizado deve assegurar a integridade, a
autenticidade e a confidencialidade e, para tanto, o sistema deve obedecer a requisitos
previstos em regulamento específico (§3º) e deve ser certificado por padrões legalmente
aceitos (§2º). O PEP tem valor probatório para fins de direito, assim como os prontuário físicos,
desde que respeitadas as normas legais (artigo 5º). Quanto ao tempo de guarda dos
prontuários físicos ou microfilmados, após digitalização, deve ser de 20 anos (artigo 6º), a não
ser quando diferente prazo for previsto em regulamento; por exemplo para fins de estudo e
pesquisa (artigo 6º, §1º).

Assim, a regulação concernente ao PEP exige uma análise sistemática, intra e extrajurídica,
envolvendo aspectos jurídicos, técnicos, deontológicos e bioéticos. O princípio da confiança,
da integridade das informações, do acesso livre e seguro ao sistema PEP, de forma não
editável, obriga os responsáveis pelo tratamento de dados e informações de pacientes -
controladores -, sejam eles profissionais liberais ou designados por instituições de saúde,
públicas ou privadas.

Os prontuários eletrônicos de paciente no contexto da LGPD

Os dados e informações registrados no PEP têm natureza individual e, grande parte deles, têm
natureza sensível, pois são relacionados diretamente à saúde e à intimidade do paciente
(artigo 5º, incisos I e II e 11 da LGPD).10 Destaco: os fundamentos (artigo 2º), os princípios
(artigo 6º), requisitos aplicáveis (artigo 7º); a forma para o consentimento informado de
paciente (artigo 8º); a finalidade, a necessidade e o limite para organização e elaboração do
PEP (artigo 9º); a demonstração do legítimo interesse para o tratamento dos dados (10º) e,
primordialmente, as exigências para o tratamento de dados pessoais sensíveis (artigo 11º).11

Assim, todas as instituições, públicas ou privadas ou profissionais da área da saúde

responsáveis pelo tratamento de dados pessoais, deverão ter suas atividades estruturadas e
ajustadas conforme as regras e princípios da LGPD e da Autoridade Nacional de Proteção de
Dados (ANPD), criada pelo decreto 10.474/2020.

Da mesma forma, compete aos responsáveis pelas instituições ou aos profissionais liberais
responsáveis pelos PEP as decisões referentes ao tratamento de dados pessoais de pacientes.
Portanto, os controladores têm o dever de observar e respeitar os direitos fundamentais de
liberdade, de intimidade e de privacidade dos pacientes, expressamente previstos no artigo 17
da LGPD, reforçando a previsão expressa da Constituição Federal, artigo 5º.12

Em particular, devem ser previstas formas e estruturas institucionais para, em segurança, dar
conhecimento e acesso ao PEP ao paciente ou a terceiros autorizados, conforme deveres
previstos no artigo 18 da LGPD. A exceção para o livre acesso, envolve dados ou informações
que possam comprometer ou vulnerabilizar os cuidados assistenciais do paciente, tais como
informações relacionadas a saúde mental; abuso e violência de vulnerável, entre outras. Por
isso, o PEP deverá conter campos com restrição de acesso, justificados, para atender ao
princípio da beneficência, em prol do paciente.

Neste contexto, a forma mais adequada de nominar, talvez, seja o prontuário vinculado ao
paciente e não o prontuário de paciente. O PEP possibilita que os dados e informações de
saúde sejam registradas de forma sequencial, não editável, centralizada e coesa. Em tese, o
PEP permite que os dados e informações possam ser compartilhados e/ou portabilizados entre
profissionais e instituições de saúde. Por exemplo, a tecnologia de blockchain vem sendo
testada em pesquisas na área da saúde - ainda em nível experimental - para permitir a
interoperabilidade de sistemas de PEP e, simultaneamente, o estabelecer registro com índice
único, mas com acesso distribuído, garantindo, assim a segurança e a privacidade dos
pacientes.13
O E-saúde, caracterizado por práticas de digitalização em saúde e pela utilização de tecnologias
de informação e comunicação (TIC), poderá ser fundamental para concretizar o princípio da
integralidade na atenção à saúde, possibilitando a interligação de sistemas, equipamentos e
aplicativos para saúde pessoal. No entanto, sabe-se que para atingir este objetivo, os desafios
são significativos, sejam técnicos (p.ex. a interoperabilidade dos sistemas), bioéticos (p.ex. o
respeito à pessoa e a atenção ao princípio da beneficência e da confiança) e jurídicos (p.ex. a
garantia aos direitos fundamentais e ao livre desenvolvimento da personalidade, entre eles a
privacidade e a proteção de dados pessoais).

É importante, neste cenário, destacar o papel das figuras do controlador, operador e

encarregado (artigo 5º, incisos VI, VII e VIII) para o ajuste de políticas e culturas em prol da
proteção de dados pessoais de pacientes. Em particular, o controlador a quem compete as
decisões referentes ao tratamento de dados pessoais, e que deve exigir do operador a
implementação de todas as medidas técnicas, de segurança e de certificação dos sistemas
utilizados e, exigir do encarregado a composição e elaboração de políticas institucionais,
educacionais e de assessoria, por meio de comissões específicas ou grupos de trabalho.

A certificação de prontuários eletrônicos

A certificação dos sistemas envolvidos no tratamento de dados pessoais e sensíveis é uma das
medidas fundamentais para garantir a segurança e o sigilo dos dados e informações; assim
como, de forma preventiva, orientar e estabelecer medidas contra acidentes ou mesmo
acessos ilícitos, não autorizados, que possam provocar a destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme determina o
artigo 46 LGPD. A certificação também é relevante como meio de comprovação das medidas
de segurança adotadas para serem apresentadas, quando necessário, à Autoridade Nacional
de Proteção de Dados (ANPD) no exercício de suas competências (artigo 55-J).

O risco de acessos ilícitos ou não autorizados envolvendo os dados de saúde são robustos, o
setor da saúde é o mais visado por cibercriminosos. A empresa Check Point relata um aumento
de 45% nos ataques cibernéticos a instituições e organizações de saúde em todo o mundo,
particularmente nos meses de novembro e dezembro de 2020.Os hospitais são alvos de
ataques atraentes porque têm se mostrado mais dispostos a atender às demandas geradas por
ransomware (software maliciosos que limitam o acesso), uma vez, que estão sob forte pressão
ao enfrentarem o número crescente de casos de Coronavírus e os programas de vacinas. Este
aumento é mais que o dobro do crescimento geral (22%) de ataques cibernéticos, sofridos
pelos demais setores no mundo durante o mesmo período.14

Arte da certificação está, como bem detalharam Simão Filho e Rodrigues, na certificação
multinível, para prevenir e garantir a segurança necessária ao setor da saúde. A certificação
deve ocorrer de forma conjugada entre o nível interno e externo às empresas, às instituições
ou à prática de profissionais liberais.15

O nível interno, envolve as práticas primárias, que são àquelas para verificar a eficácia dos
processos e procedimentos internos; a qualidade dos dados, de sistemas informáticos e de
segurança, assim como o nível de adequação no tratamento de dados sensíveis, de crianças e
de idosos, eventuais falhas sistêmicas, além da análise nas operações de compartilhamento e
ou para transferência internacional de dados. Por sua vez, a certificação institucional, em nível
externo, deve conectar as atividades a apreciação externa, realizada por órgãos de
certificação, reconhecidos e independentes, que realizam a fiscalização e auditoria de sistemas
e, também, estabelecem padrões e normas técnicas legalmente.16

No caso de PEP, a certificação é uma exigência desde 2007. A Resolução do CFM 1821/2007,
artigos 2º, §2º, letra c; 3º, 4º e 5º, e o Manual de Certificação para Sistemas de Registro em
Saúde exigem que a certificação seja realizada em todos os sistemas de PEP, em diferentes
níveis.17 O CFM estabeleceu convênio com a Sociedade Brasileira de Informática em Saúde
(SBIS)18 para estabelecer o padrão de qualidade brasileiro para os Sistemas de Registro
Eletrônico de Saúde (S-RES), entre eles os prontuários eletrônicos. Os critérios de qualidade
estabelecidos incluem padrões e nível de segurança indispensáveis para o uso legal e confiável;
a certificação eletrônica dos usuários do sistema, a impossibilidade de alteração dos registros e
o versionamento do sistema.19-20

A certificação da SBIS estabelece critérios distintos para as categorias de PEP, e seus

respectivos Sistemas de Registro Eletrônico de Saúde (S-RES), para as instituições de saúde,
como os hospitais, consultório de assistência individual e clínicas e ambulatórios, considerando
as suas peculiaridades. No entanto, a LGPD exige de todos agentes, o respeito às suas normas,
requisitos, conceitos e princípios, tanto no âmbito administrativo, submetido à fiscalização da
ANPD, como em âmbito do controle jurisdicional, civil e/ou penal.21-22
Além da certificação do S-RES, deverá haver a adequação da certificação aos padrões e normas
técnicas aceitas pela LGPD, sejam estes padrões internos ou externos, nas diferentes áreas de
controle e comissões. Particularmente, no que que concerne aos hospitais, instituições ou
unidades que prestem assistência médica e assistência de saúde, o RES deve estar sob
atribuição da Comissão Permanente de Avaliação de Documentos, ou da Comissão de Revisão
de Prontuários, conforme a Resolução do CFM 1.821/2007, artigo 9º.

Conclusão

O PEP registra dados e informações pessoais e sensíveis, portanto todas as atividades

envolvidas na assistência e na prestação de serviços em saúde, que tenham RES, devem
respeitar as regras e princípios estabelecidos na LGPD e as orientações da ANPD. O prontuário
vinculado ao paciente, como entendo ser a denominação mais apropriado na sociedade da
informação, consolida todas as espécies de dados e informações envolvidos na assistência ou
na prestação de serviços na área da saúde

Por fim, a LGPD impõe aos profissionais e instituições na área da saúde a necessidade de
adequação organizacional e de cultura assistencial e de cuidado, para garantir a proteção de
dados pessoais, a privacidade e a confidencialidade de pacientes, conjugada com a
observância de normas deontológicas, referenciais bioéticos e respeito às exigências técnicas,
de certificação dos S-RES.

__________

Epa! Vimos que você copiou o texto. Sem problemas, desde que cite o link:
https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/340202/prontuario-
eletronico-e-a-lei-geral-de-protecao-de-dados