O prontuário é o coração dos dados sensíveis de uma instituição de saúde. Migrá-lo para o meio eletrônico traz eficiência — mas também novas obrigações de segurança e governança sob a LGPD.
O prontuário do paciente reúne diagnóstico, evolução, prescrições, exames e histórico — exatamente o tipo de informação que a LGPD trata como dado pessoal sensível. A digitalização (prontuário eletrônico do paciente, PEP) facilita o acesso e a integração, mas concentra esses dados em um sistema que precisa ser protegido em todas as suas camadas.
O que a LGPD exige do prontuário eletrônico
1. Controle de acesso por perfil
Nem todo colaborador precisa ver tudo. O princípio da minimização exige que cada perfil — recepção, enfermagem, corpo clínico, faturamento — acesse apenas os dados necessários à sua função. Acesso irrestrito é uma das falhas mais comuns e mais graves.
2. Trilha de auditoria (logs)
O sistema deve registrar quem acessou, alterou ou exportou cada registro, e quando. Essa trilha é essencial para investigar incidentes, responder à ANPD e demonstrar diligência. Sem log, não há como provar o que aconteceu.
3. Segurança técnica
Criptografia em trânsito e em repouso, autenticação forte (idealmente multifator), backups testados e segregação de ambientes. A medida de segurança deve ser proporcional à sensibilidade do dado — e dado de saúde está no nível mais alto.
4. Retenção e descarte
O prontuário tem prazos legais de guarda. A política de retenção precisa conciliar essas exigências com o princípio da necessidade da LGPD, definindo quando e como os dados serão eliminados ou anonimizados de forma segura.
Adequar o prontuário eletrônico não é só configurar o software: é definir regras de acesso, registrar o que acontece e documentar as decisões — para que a conformidade seja demonstrável.
O elo com os fornecedores
Quase sempre o sistema de prontuário é fornecido por uma empresa de tecnologia e hospedado em nuvem. Esses fornecedores são operadores de dados e precisam estar vinculados por contrato com cláusulas de proteção de dados, definindo responsabilidades, medidas de segurança e o que acontece em caso de incidente. A instituição (controladora) responde pela escolha e pela fiscalização do operador.
Checklist rápido
- Perfis de acesso definidos e revisados periodicamente;
- Trilha de auditoria ativa e monitorada;
- Criptografia, autenticação forte e backup testado;
- Política de retenção e descarte documentada;
- Contrato de tratamento de dados com o fornecedor do sistema;
- Procedimento de revogação de acesso de ex-colaboradores.
Quer adequar o prontuário da sua instituição?
Avalio o sistema sob a ótica jurídica, estruturo as políticas e oriento a equipe técnica.
Falar com o Dr. Denis no WhatsApp