© 2025 Elegant Tech

Como Organizar Prontuários Eletrônicos em Conformidade com a LGPD: Guia Completo 2025
5 (100%) 42 voto[s]

Como Organizar Prontuários Eletrônicos em Conformidade com a LGPD: Guia Completo 2025

por Mauricio Moraes
  • Blog
  • Produtividade
X

A Lei Geral de Proteção de Dados (LGPD) transformou a forma como profissionais da saúde devem gerenciar informações de pacientes. Se você trabalha com prontuários eletrônicos, precisa garantir conformidade total para proteger seus pacientes e evitar multas que podem chegar a R$ 50 milhões.

Neste guia completo, você vai aprender exatamente como organizar seus prontuários eletrônicos de forma segura e em total conformidade com a LGPD.

Índice

  1. Por que a LGPD é crítica para profissionais da saúde
  2. Os 5 princípios fundamentais da LGPD para prontuários
  3. Passo a passo para organizar prontuários com conformidade
  4. Criptografia: a proteção essencial
  5. Direitos dos pacientes que você precisa respeitar
  6. Erros comuns que podem gerar multas
  7. Checklist de conformidade LGPD

Por que a LGPD é crítica para profissionais da saúde

Dados de saúde são considerados dados sensíveis pela LGPD (Art. 5º, II), recebendo o mais alto nível de proteção legal. Isso significa que:

  • Multas são mais severas: Até 2% do faturamento anual, limitado a R$ 50 milhões por infração
  • Responsabilidade direta: Você é pessoalmente responsável pela proteção dos dados
  • Reputação profissional: Vazamentos podem destruir sua credibilidade
  • Processos judiciais: Pacientes podem processar por danos morais e materiais

Casos reais de vazamento de dados na saúde

Em 2024, uma clínica em São Paulo foi multada em R$ 2,3 milhões após vazamento de prontuários de 15.000 pacientes. O problema? Armazenamento em planilhas do Excel sem criptografia, compartilhadas por e-mail.

Outro caso: um psicólogo perdeu seu registro profissional após deixar fichas de pacientes expostas em seu consultório, acessíveis a terceiros.

A mensagem é clara: conformidade com LGPD não é opcional.

Os 5 princípios fundamentais da LGPD para prontuários

1. Finalidade

Você só pode coletar dados que são estritamente necessários para o tratamento/atendimento do paciente.

❌ Errado: Coletar CPF, RG, título de eleitor, dados bancários de todos os pacientes “por precaução”

✅ Certo: Coletar apenas dados essenciais (nome, contato, histórico médico, dados do plano de saúde se aplicável)

2. Adequação

Os dados coletados devem ser adequados ao propósito do atendimento.

Exemplo prático: Um nutricionista não precisa coletar histórico de cirurgias cardíacas detalhadas se o paciente busca apenas orientação para perda de peso moderada.

3. Necessidade

Colete o mínimo necessário de dados. Menos dados = menor risco.

4. Segurança

Você deve implementar medidas técnicas para proteger os dados:

  • Criptografia de ponta a ponta
  • Controle de acesso (senhas fortes, autenticação)
  • Backups seguros
  • Proteção contra invasões

5. Transparência

O paciente tem direito de saber exatamente:

  • Quais dados você coleta
  • Por que você coleta
  • Quanto tempo você armazena
  • Com quem você compartilha (se aplicável)

Passo a passo para organizar prontuários com conformidade

Passo 1: Avalie seus dados atuais

Faça um inventário completo:

  1. Onde estão seus prontuários? (papel, Excel, sistema eletrônico, nuvem, e-mail?)
  2. Quais dados você coleta? (liste todos os campos)
  3. Quem tem acesso? (você, recepcionista, estagiários, contador?)
  4. Como você compartilha? (e-mail, WhatsApp, sistema integrado?)

Passo 2: Minimize os dados coletados

Revise cada campo do seu prontuário e pergunte:

“Eu realmente preciso deste dado para atender bem este paciente?”

Se a resposta for “não” ou “talvez”, remova o campo.

Exemplo de prontuário otimizado:

Dados pessoais essenciais:

  • Nome completo
  • Data de nascimento
  • Telefone e e-mail
  • Endereço (apenas se você fizer atendimento domiciliar)

Dados de saúde:

  • Queixa principal
  • Histórico relevante para sua especialidade
  • Medicações em uso
  • Alergias
  • Observações de cada consulta

Dados opcionais (com consentimento explícito):

  • CPF (apenas se você emitir notas fiscais)
  • RG (apenas se exigido por convênio)
  • Dados de plano de saúde (se aplicável)

Passo 3: Implemente criptografia

Regra de ouro: Se seus prontuários não estão criptografados, você NÃO está em conformidade com LGPD.

O que significa criptografia?

É transformar os dados em um código ilegível que só pode ser lido com uma “chave” (sua senha). Se alguém roubar o arquivo, verá apenas caracteres sem sentido.

Como verificar se seu sistema tem criptografia:

  1. Pergunte ao fornecedor: “Os dados são criptografados em repouso e em trânsito?”
  2. Procure por certificados SSL (cadeado verde no navegador)
  3. Verifique se há criptografia AES-256 ou superior

⚠️ ATENÇÃO: Excel, Word e Google Docs comuns NÃO têm criptografia adequada para dados de saúde.

Passo 4: Crie o Termo de Consentimento

A LGPD exige consentimento explícito, informado e inequívoco do paciente.

Modelo de Termo de Consentimento LGPD:

TERMO DE CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS

Eu, [NOME DO PACIENTE], CPF [XXX.XXX.XXX-XX], AUTORIZO [SEU NOME/CLÍNICA]
a coletar, armazenar e utilizar meus dados pessoais e de saúde exclusivamente
para as seguintes finalidades:

1. Realização de consultas e acompanhamento clínico
2. Emissão de laudos, receitas e relatórios médicos
3. Contato para agendamento de consultas e lembretes

DADOS COLETADOS:
- Dados pessoais: nome, telefone, e-mail, data de nascimento
- Dados de saúde: histórico clínico, sintomas, diagnósticos, prescrições

PRAZO DE ARMAZENAMENTO:
Os dados serão mantidos por 20 anos conforme exigência do Conselho Federal
de Medicina (CFM) / Conselho de sua classe profissional, ou até que eu
solicite a exclusão (respeitando obrigações legais).

DIREITOS DO TITULAR:
- Confirmar a existência de tratamento dos seus dados
- Acessar seus dados
- Corrigir dados incompletos ou desatualizados
- Solicitar anonimização, bloqueio ou eliminação
- Revogar este consentimento

SEGURANÇA:
Os dados são armazenados em sistema com criptografia e acesso restrito.

Concordo e autorizo o tratamento dos meus dados conforme descrito acima.

Data: ___/___/______
Assinatura: _________________________________

Dica profissional: Use assinatura eletrônica ou armazene o termo digitalizado junto ao prontuário do paciente.

Passo 5: Controle de acesso

Defina claramente quem pode acessar quais dados:

Pessoa Acesso permitido
Profissional responsável Todos os dados do paciente
Recepcionista Apenas dados de contato e agendamento
Estagiários Apenas com autorização explícita do paciente
Contador Apenas dados fiscais (nunca dados de saúde)

Boas práticas:

  • Use senhas fortes (mínimo 12 caracteres, com letras, números e símbolos)
  • Nunca compartilhe sua senha
  • Use autenticação de dois fatores (2FA) quando disponível
  • Faça logout ao sair da estação de trabalho

Passo 6: Política de retenção de dados

A LGPD exige que você não mantenha dados além do necessário.

Prazos de retenção por área:

  • Medicina: 20 anos (CFM Resolução 1.821/2007)
  • Psicologia: 5 anos (CFP Resolução 01/2009)
  • Nutrição: 5 anos (CFN Resolução 568/2018)
  • Fisioterapia: 5 anos (COFFITO Resolução 414/2012)
  • Odontologia: 20 anos (CFO Resolução 118/2012)

⚠️ Importante: Após o prazo, você deve anonimizar os dados (remover informações que identifiquem o paciente) ou excluir completamente.

Passo 7: Plano de resposta a incidentes

Se ocorrer um vazamento de dados, a LGPD exige que você:

  1. Notifique a ANPD (Autoridade Nacional de Proteção de Dados) em até 2 dias úteis
  2. Notifique os pacientes afetados imediatamente
  3. Documente o incidente e as medidas tomadas

Template de plano de resposta:

PLANO DE RESPOSTA A INCIDENTES DE SEGURANÇA

1. IDENTIFICAÇÃO
   - Data/hora da detecção:
   - Tipo de incidente (vazamento, invasão, perda de equipamento):
   - Dados afetados:
   - Número estimado de pacientes impactados:

2. CONTENÇÃO IMEDIATA
   [ ] Desativar acesso comprometido
   [ ] Isolar sistema afetado
   [ ] Alterar todas as senhas
   [ ] Contactar suporte técnico

3. NOTIFICAÇÃO
   [ ] ANPD (dentro de 2 dias úteis): www.gov.br/anpd
   [ ] Pacientes afetados (imediatamente)
   [ ] Conselho profissional (se aplicável)

4. DOCUMENTAÇÃO
   [ ] Registro detalhado do incidente
   [ ] Evidências preservadas
   [ ] Relatório de medidas corretivas

5. PREVENÇÃO FUTURA
   [ ] Revisar políticas de segurança
   [ ] Atualizar sistemas
   [ ] Treinar equipe

Criptografia: a proteção essencial

Por que criptografia é obrigatória

Imagine que você deixa cair seu notebook no metrô. Se seus prontuários estão em um arquivo Excel comum, qualquer pessoa que encontrar o aparelho pode ler todos os dados dos seus pacientes.

Com criptografia, mesmo se o notebook for roubado, os dados permanecem ilegíveis sem sua senha.

Tipos de criptografia necessários

1. Criptografia em repouso

Protege dados armazenados (no seu computador, servidor, nuvem).

Padrões aceitáveis:

  • AES-256
  • RSA 2048 ou superior

2. Criptografia em trânsito

Protege dados enquanto são transmitidos (internet, e-mail, sincronização).

Padrões aceitáveis:

  • TLS 1.3
  • HTTPS (certificado SSL válido)

Como verificar se seu sistema é seguro

Checklist de segurança:

  • O site tem HTTPS (cadeado verde no navegador)
  • Há autenticação com senha forte
  • Oferece autenticação de dois fatores (2FA)
  • Faz backups automáticos criptografados
  • Tem certificações de segurança (ISO 27001, SOC 2)
  • Fornecedor assina Termo de Confidencialidade
  • Servidores localizados no Brasil (preferencial)

Direitos dos pacientes que você precisa respeitar

A LGPD garante aos pacientes os seguintes direitos:

1. Confirmação e acesso

O paciente pode perguntar: “Você tem dados meus?” e “Quais dados você tem?”

Como atender: Forneça cópia completa do prontuário em até 15 dias.

2. Correção

“Meu telefone está desatualizado no cadastro.”

Como atender: Atualize imediatamente e confirme a alteração.

3. Anonimização ou exclusão

“Quero que meus dados sejam excluídos.”

Como atender:

  • Se não há obrigação legal de retenção: exclua em até 15 dias
  • Se há obrigação legal (ex: prazo do conselho): explique e anonimize após o prazo

4. Portabilidade

“Quero levar meus dados para outro profissional.”

Como atender: Forneça os dados em formato legível (PDF ou Excel) em até 15 dias.

5. Revogação de consentimento

“Não autorizo mais o uso dos meus dados.”

Como atender: Interrompa o tratamento imediatamente (mas mantenha dados pelo prazo legal se aplicável).

Dica: Crie um e-mail específico (ex: [email protected]) para receber essas solicitações.

Erros comuns que podem gerar multas

❌ Erro 1: Armazenar prontuários no Google Drive/Dropbox pessoal

Por que é errado: Serviços pessoais não têm configurações adequadas de segurança corporativa e podem ser acessados por terceiros.

Solução: Use sistemas profissionais com criptografia, controle de acesso e auditoria.

❌ Erro 2: Enviar prontuários por WhatsApp ou e-mail comum

Por que é errado: Mensagens podem ser interceptadas, screenshots podem ser compartilhados, não há controle sobre quem vê.

Solução: Use sistemas com compartilhamento seguro e rastreável, ou plataformas de telemedicina homologadas.

❌ Erro 3: Compartilhar senha do sistema com recepcionista/auxiliar

Por que é errado: Cada pessoa deve ter seu próprio login para rastreabilidade. Se algo der errado, é impossível saber quem acessou.

Solução: Sistema com múltiplos usuários e níveis de permissão.

❌ Erro 4: Não ter backup

Por que é errado: Perda de dados pode configurar negligência e gerar responsabilização.

Solução: Backups automáticos diários, preferencialmente em locais diferentes (local + nuvem).

❌ Erro 5: Pedir mais dados do que o necessário

Por que é errado: Viola o princípio da necessidade e aumenta seu risco em caso de vazamento.

Solução: Revise seu formulário de cadastro e remova campos desnecessários.

❌ Erro 6: Não ter termo de consentimento

Por que é errado: Sem consentimento documentado, todo tratamento de dados é ilegal.

Solução: Implemente termo de consentimento imediatamente (pode ser eletrônico).

❌ Erro 7: Manter prontuários de pacientes inativos indefinidamente

Por que é errado: Dados devem ser excluídos/anonimizados após o prazo legal.

Solução: Crie rotina anual de revisão e anonimização de dados antigos.

Checklist de conformidade LGPD para profissionais da saúde

Use esta lista para verificar se você está em conformidade:

📋 Fundamentos

  • Tenho termo de consentimento LGPD assinado por cada paciente
  • Coleto apenas dados estritamente necessários para o atendimento
  • Informo aos pacientes como seus dados são usados

🔒 Segurança técnica

  • Prontuários armazenados em sistema com criptografia
  • Uso senha forte (mínimo 12 caracteres, com letras, números e símbolos)
  • Autenticação de dois fatores (2FA) ativada quando disponível
  • Sistema tem certificado SSL/HTTPS válido
  • Backup automático configurado e testado

👥 Controle de acesso

  • Cada pessoa da equipe tem login próprio (sem compartilhamento de senhas)
  • Níveis de permissão configurados (recepcionista não vê prontuários completos)
  • Faço logout ao sair do computador
  • Tela do computador não fica visível para pacientes na recepção

📄 Documentação

  • Termo de consentimento atualizado e conforme LGPD
  • Política de privacidade disponível (site/consultório)
  • Registro de quem acessa cada prontuário (auditoria)
  • Plano de resposta a incidentes de segurança documentado

⏰ Gestão de dados

  • Sei exatamente onde estão todos os meus dados de pacientes
  • Tenho política de retenção (sei quando excluir/anonimizar dados antigos)
  • Sei responder solicitações de pacientes (acesso, correção, exclusão) em até 15 dias
  • Dados antigos (após prazo legal) são anonimizados ou excluídos

📧 Comunicação

  • Não envio prontuários por WhatsApp ou e-mail comum
  • Tenho canal oficial para solicitações LGPD (e-mail, formulário)
  • Pacientes sabem como exercer seus direitos

🤝 Contratos

  • Fornecedores de software assinaram Termo de Confidencialidade
  • Contratos incluem cláusulas de proteção de dados
  • Verifico certificações de segurança dos fornecedores

📊 Treinamento

  • Eu e minha equipe conhecemos os princípios da LGPD
  • Todos sabem o que fazer em caso de vazamento de dados
  • Há revisão periódica das práticas de segurança

Pontuação:

  • 20-25 itens: Parabéns! Você está em conformidade
  • ⚠️ 15-19 itens: Bom progresso, mas ajustes são necessários
  • 🚨 Menos de 15: Alto risco! Priorize adequação imediata

Conclusão

Organizar prontuários eletrônicos em conformidade com a LGPD não é apenas uma obrigação legal — é um compromisso ético com seus pacientes e uma proteção para sua carreira profissional.

Próximos passos:

  1. ✅ Faça o checklist acima e identifique suas lacunas
  2. ✅ Implemente sistema profissional com criptografia
  3. ✅ Crie e aplique termo de consentimento
  4. ✅ Treine sua equipe
  5. ✅ Revise anualmente suas práticas

Precisa de um sistema completo e em conformidade?

O Ordexa foi desenvolvido especialmente para profissionais da saúde, com:

Criptografia de ponta a ponta (AES-256) ✅ Conformidade total com LGPD (termo de consentimento integrado) ✅ Backup automático em servidores seguros no Brasil ✅ Controle de acesso por usuário e permissões ✅ Plano gratuito para até 50 pacientes ✅ Sem cartão de crédito - comece em menos de 60 segundos

Criar conta grátis no Ordexa →

Perguntas frequentes:

1. Posso usar planilhas do Excel para prontuários?

Não é recomendado. Excel comum não tem criptografia adequada, controle de acesso, auditoria ou backup automático. Use sistemas profissionais.

2. Preciso de um encarregado de dados (DPO)?

Se você atua sozinho ou em clínica pequena, você mesmo é responsável. Clínicas maiores podem precisar designar um DPO formal.

3. E se o paciente pedir para excluir dados durante tratamento ativo?

Explique que precisa dos dados para atendê-lo adequadamente. Se ele insistir na exclusão, você pode precisar encerrar o atendimento (respeitosamente).

4. Quanto tempo tenho para responder solicitações de pacientes?

15 dias corridos a partir da solicitação formal.

5. Posso usar prontuários de papel?

Sim, mas você ainda precisa garantir segurança física (armários trancados, controle de acesso) e respeitar todos os princípios da LGPD.

Sobre o autor:

Mauricio é desenvolvedor do Ordexa e especialista em conformidade LGPD para profissionais da saúde. Este artigo foi revisado por advogados especializados em proteção de dados.

Quer receber mais conteúdo como este? Inscreva-se em nossa newsletter →

Última atualização: 10 de novembro de 2025

Este artigo tem fins educacionais. Para situações específicas, consulte um advogado especializado em direito digital e LGPD.

compartilhe

Mauricio Moraes

Mauricio Moraes

Engenheiro formado no ITA e apaixonado por aviões. Ele gosta de aplicar a tecnologia para facilitar as tarefas do dia a dia.

4 Publicações
Ver comentários

Artigos relacionados

blog post

10 Templates de Anamnese e Prontuário para Download Grátis [2025]

Mauricio Moraes
por Mauricio Moraes
blog post

LGPD e Saúde: Como Proteger os Dados dos Seus Pacientes em 2025

Carolina Bebik
por Carolina Bebik
blog post

5 Estratégias para Melhorar a Experiência do Paciente com CRM em Clínicas

Carolina Bebik
por Carolina Bebik

O que você achou deste conteúdo? Deixe um comentário aqui embaixo, vou adorar saber sua opinião!

COMEÇAR GRÁTIS