Prontuário Médico + LGPD: 5 passos para blindar seu consultório em 2025

Médico, para atuar em conformidade com a LGPD (Lei 13.709/2018) e com a Lei 13.787/2018 (prontuário eletrônico), organize seu fluxo clínico-jurídico da seguinte forma: mapeie os dados pessoais e sensíveis que coleta, identifique a finalidade e a base jurídica aplicável e registre isso em documento interno; lembre que a LGPD alcança profissionais autônomos, clínicas, hospitais e laboratórios, e que o consentimento, quando necessário, deve ser livre, informado e inequívoco, com linguagem clara sobre o uso dos dados — especialmente em finalidades acessórias (p. ex., telemedicina ou compartilhamentos), sempre respeitando o princípio da finalidade e evitando reuso comercial indevido de dados clínicos.

Quanto ao prontuário, observe a definição e a responsabilidade compartilhada estabelecidas pelo CFM: é documento único que reúne informações, sinais e imagens do cuidado prestado, com finalidades assistenciais, científicas e legais; o médico assistente, os demais profissionais envolvidos e as chefias/direção técnica respondem pela qualidade e guarda. Na digitalização e no uso de sistemas informatizados, utilize certificação baseada na ICP-Brasil e mantenha trilhas de autenticidade/integridade; os prazos de eliminação previstos na Lei 13.787/2018 — inclusive para suporte digital — são, como regra, de 20 anos contados do último registro.

Diferencie prontuário informatizado (sem assinatura eletrônica vinculada, exigindo impressão e assinatura manuscrita para validade) de prontuário eletrônico (com assinatura digital qualificada do profissional, conferindo validade jurídica). Garanta que todos os registros clínicos mínimos constem do prontuário (anamnese, exame físico, exames complementares pertinentes, hipótese diagnóstica e conduta coerente), e que a guarda esteja claramente atribuída ao diretor técnico na unidade de saúde ou, em consultório particular, ao próprio médico.

No acesso ao prontuário, assegure o direito do paciente à obtenção de cópia e resguarde o sigilo profissional: ninguém além do médico pode acessá-lo sem autorização expressa do paciente; o diretor técnico responde pela guarda e pela observância das normas de sigilo; e, conforme pareceres éticos, esposa(o) ou filho(a) que não sejam responsáveis legais do falecido/incapaz não têm acesso às fichas. Estabeleça procedimento formal para solicitações (canal, conferência de identidade, prazo e forma de entrega), documentando cada passo.

Por fim, trate o consentimento informado como processo contínuo de aconselhamento, não como mero formulário: formulários padronizados são apenas auxiliares do dever de informar; registre no prontuário as explicações dadas, inclusive quem presenciou o diálogo, pois isso constitui prova robusta de que o dever foi cumprido. Em telemedicina, inclua consentimento específico, use assinatura digital qualificada e observe a Resolução CFM nº 2.314/2022. Esses cuidados reduzem risco jurídico e fortalecem a confiança na relação médico-paciente.