LGPD na saúde: a importância da Lei nº 13.787/18 para os prontuários

A Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/18), inspirada na GDPR (General Data Protection Regulation), entrou em vigor em setembro de 2020 e representa um marco positivo na legislação brasileira.

A área da saúde, por tratar dados sensíveis, vem sendo a mais impactada pela LGPD, visto que a lei determina regras mais rígidas para o tratamento desses dados e busca garantir mais segurança e transparências aos pacientes (titulares).

Nesse cenário, a Lei nº 13.787/18, que dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente, estabelece diversas diretrizes importantes para a proteção dos dados pessoais.

Pois bem. O prontuário do paciente pode ser físico ou digital e é um documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo, nos termos da Resolução nº 1.638/2002 Conselho Federal de Medicina (CFM).

Assim, é um documento essencial para o desempenho das atividades relacionadas à saúde (médicos, dentistas, fisioterapeutas, entre outros), seja nos consultórios ou hospitais, públicos ou particulares.

Em relação aos prontuários digitais, cumpre destacar a importância de contratar um sistema irá garantir a proteção das informações do paciente e que esteja adequado à LGPD e outras normas relacionadas à segurança da informação. Os meios de armazenamento de documentos digitais deverão protegê-los do acesso, do uso, da alteração, da reprodução e da destruição não autorizados (artigo 4º, Lei nº 13.787/18).

Os profissionais de saúde têm o dever de guardar o prontuário com segurança e permitir o acesso quando o paciente solicitar, sendo que o não fornecimento, quando requisitado, além de violar a LGPD, constitui uma infração ética.

Nas situações envolvendo vazamento dos dados ou acessos indevidos, já há aplicação de multas, conforme o caso do Hospital Barreiro Montijo, que recebeu uma multa no valor de 400 mil euros por: 1) violar o princípio da minimização, ao permitir acesso indiscriminado a um número excessivo de utilizadores; 2) violar a integridade e confidencialidade dos dados por falta de medidas de proteção; e 3) não implementar medidas técnicas e organizacionais para garantir um nível de segurança adequado à proteção dos pacientes.

Ademais, a Lei nº 13.787/18 prevê o prazo de retenção dos prontuários, qual seja, o prazo mínimo de 20 anos a partir do último registro, os prontuários em suporte de papel e os digitalizados poderão ser eliminados, nos termos do artigo 6º.

Portanto, a LGPD exigirá dos profissionais da saúde uma adequação organizacional e mudança de cultura quanto ao uso dos dados pessoais dos pacientes, principalmente os que estão nos prontuários eletrônicos.

Além disso, a Lei nº 13.787/18, que regulamenta a utilização dos prontuários, repercute, diretamente, na forma que os profissionais irão lidar com tais documentos.

Não basta contratar um sistema eletrônico para os prontuários: a LGPD é muito mais do que isso, pois é preciso verificar como e por quanto tempo os prontuários ficam armazenados, quem tem o acesso e as medidas de segurança adotadas.

Referências bibliográficas
BRASIL. Lei nº 13.709/18, Lei Geral de Proteção de Dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.

BRASIL. Lei nº 13.787, dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13787.htm.

CONSELHO FEDERAL DE MEDICINA, Resolução CFM nº 1.638/2002. Disponível em: https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2002/1638.

RGPD: Centro Hospitalar Barreiro Montijo com multa de 400 mil euros. Disponível em: https://pplware.sapo.pt/informacao/violacao-do-rgpd-centro-hospitalar-barreiro-montijo-com-multa-de-400-mil-euros/.