A DIGITALIZAÇÃO DO PRONTUÁRIO MÉDICO FACE A LGPD

Com o crescente aumento das exigências com relação a segurança dos dados e proteção à privacidade, os estabelecimentos de saúde vêm enfrentando um desafio cada vez maior com relação à proteção dos prontuários e sua adequação aos parâmetros de segurança exigidos pela Lei Geral de Proteção de Dados- LGPD. As obrigações que mais destacam com relação a estes dados sensíveis são o dever de sigilo e a obrigação quanto à guarda, informação e precisão dos dados. A lei também garante aos pacientes, titulares dos dados, vários direitos, como direitos de informação, acesso, retificação, apagamento, restrição de processamento, portabilidade, não discriminação e não estar sujeito à decisões automatizadas.

Os dados médicos sempre foram considerados como protegidos pelo dever de sigilo médico, constando inclusive no juramento de Hipócrates: “Àquilo que no exercício ou fora do exercício da profissão e no convívio da sociedade, eu tiver visto ou ouvido, que não seja preciso divulgar, eu conservarei inteiramente secreto.” (datado de 460 antes de Cristo). O artigo 144 do Código Civil de 1916, dispunha que “ninguém pode ser obrigado a depor de fatos, a cujo respeito, por estado ou profissão, deva guardar segredo”. O Código Civil, instituído pela Lei n. 10.406, de 10 de janeiro de 2002, estabeleceu em seu artigo 229, inc, I, que ninguém poderia ser obrigado a depor sobre fato “a cujo respeito, por estado ou profissão, deva guardar segredo”. O Código de Processo Civil de 2015 (Lei n. 13.105) estabelece em seu artigo 404 que a parte ou terceiro se escusam de exibir, em juízo, o documento ou coisa se: “IV – sua exibição acarretar a divulgação de fatos a cujo respeito, por estado ou profissão, devam guardar segredo”.

Nossa Constituição Federal estabelece em seu artigo 5º, que: “X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;”. Neste mesmo artigo, em seu inciso XIII, a Carta Magna dá amparo para a regulamentação legal das profissões, pois ressalva da liberdade de exercício de profissão o atendimento às qualificações profissionais que a lei estabelecer.

Portanto, para a regulamentação da profissão, especialmente quanto aos documentos médicos e seu dever de sigilo, são competentes o Conselho Federal de Medicina e os Conselhos Regionais, instituídos pelo Decreto-Lei n. 7.955, de 13 de setembro de 1945, posteriormente substituído pela Lei n. 3.268, de 30 de setembro de 1957, regulamentado pelo Decreto n. 44.045, de 19 de julho de 1958, ainda em vigor.

O dever de sigilo médico foi previsto desde o Código de Moral Médica aprovado pelo VI Congresso Médico Latino-Americano, em 1929, cuja versão consta do Portal do CFM, sendo esta obrigação abordada em seu Capítulo 9. O atual Código de Ética Médica prevê o dever de sigilo profissional em seu Capítulo IX e regulamenta os Documentos Médicos em seu Capítulo X.

Além do dever de sigilo, são obrigações relevantes ao presente tema, com relação ao documento médico:

• Que os documentos correspondam a um atendimento real e com dados corretos.

• Não deixar de fornecer laudo médico ao paciente ou seu representante, quando houver encaminhamento ou transferência.

• Elaborar prontuário legível, com dados clínicos necessários para a boa condução do caso, em ordem cronológica.

• Permitir acesso ao prontuário médico pelo paciente, ao Conselho Regional de Medicina ou ao Poder Judiciário, quando requisitado.

• Não permitir o manuseio e o conhecimento dos prontuários por pessoas não obrigadas ao sigilo profissional.

Portanto, as obrigações do médico e direitos do paciente já eram muito próximas do previsto na LGPD. Os prontuários médicos e exames, por serem documentos que contém dados referentes à pessoa física identificada, são também tutelados pela Lei n. 13.709, de 14 de agosto de 2018 – LGPD, que os considera como dados pessoais sensíveis, por conterem dado referente à saúde (art. 5º, II), sendo autorizado seu tratamento exclusivamente para tutela da saúde, em procedimento realizado por profissional da saúde (art. 11, “f”) ou quando necessários para proteção à vida, da incolumidade física do titular ou de terceiro (art. 11, “e”). Também pode ser o dado utilizado, nos termos do art. 11, para cumprimento de obrigação legal ou regulatória para exercício regular de direitos, em contrato ou processo judicial, sempre observando o direito à privacidade do paciente e sua intimidade.

Considerando a possibilidade de dano ao titular dos dados, ou seja, ao paciente, a LGPD prevê obrigações de cautela especial, como a elaboração de relatório de impacto à proteção de dados pessoais (RIPD) (art. 38) bem como garantir as medidas de segurança (art. 46 a 49) adotar boas práticas de governança (art. 50), adotando medidas técnicas e organizacionais, estabelecendo sua organização, regime de funcionamento, procedimentos para garantir os direitos dos titulares, normas de segurança, ações educativas e mecanismos de redução dos riscos.

Ainda que intuitivamente se pense que a LGPD se aplica às informações trocadas por meio informatizado, como redes sociais, cadastros em sites comerciais, cadastros de marketing, a lei não se limita ao meio eletrônico. Qualquer tipo de informação que se refira a uma pessoa identificada ou identificável é considerada como dado pessoal protegido, independentemente do meio físico. Inserem-se na proteção legal os prontuários de papel, resultados de exames, radiografias e até mesmo as gravações por câmeras de segurança.

A LGPD considera como tratamento praticamente toda a operação realizada com os dados pessoais, desde a sua coleta até a sua destruição. Ao contrário do que se pensa, é considerada como uma violação não somente a divulgação indevida de dados pessoais, mas também sua utilização indevida, indisponibilidade e perda. Por exemplo, sendo o prontuário um dado pessoal, caso este se perda ou esteja indisponível, esta é uma violação de privacidade, pois o dado pessoal está perdido e pode gerar um dano a um paciente, estando o serviço médico sujeito à multas pela ANPD – Autoridade Nacional de Proteção de Dados. Do mesmo modo, é uma violação caso os prontuários, guardados de forma indevida, sejam acessíveis a pessoas não comprometidas com o sigilo profissional.

Portanto, é preocupante o fato corriqueiro quanto a guarda insegura de prontuários de papel dos pacientes comumente realizados em clínicas, colocando em risco a privacidade dos pacientes e comprometendo o cumprimento das obrigações de sigilo médico e guarda dos documentos. Estes prontuários, considerados como dados não estruturados, ou seja, não organizados, de forma a possibilitar sua busca, proteção quanto ao acesso, divulgação e perda, aumentam consideravelmente o risco de violação às obrigações previstas na LGPD e deveres de sigilo médico.

Como modo de combater estas dificuldades, foi aprovada em 27 de setembro de 2018, a Lei n. 13.787, que trata da digitalização e utilização de sistemas informatizados para a guarda, armazenamento e manuseio de prontuários dos pacientes. Aprovada somente quatro meses após a LGPD, esta lei não trata de questão nova, pois já vinha sendo regulamentada pelo Conselho Federal de Medicina, conforme Consulta CFM n. 30/2002, que apontava a possibilidade de microfilmagem e destruição dos prontuários, com base no Decreto n. 1.799 de 30 de janeiro de 1996. A resolução CFM 1821/2007, alterada pela Resolução CFM 2.218/2018 atualmente autoriza e regulamenta a eliminação do papel e tratamento dos prontuários dos pacientes, possibilitando a aplicação do previsto na Lei n. 13.787/2018. Esta última resolução revogou a Resolução CFM n. 1639/2002, que permitia a destruição dos prontuários de papel somente no caso de microfilmagem, nos termos do Decreto 1.799/96.

Para a eliminação do papel, portanto, não é mais necessária a microfilmagem, mas devem ser adotados sistemas informatizados que atendam ao Nível de Garantia de Segurança 2 (NGS2) estabelecido no Manual de Certificação para Sistemas de Registro Eletrônico em Saúde, conforme convênio entre o Conselho Federal de Medicina e a Sociedade Brasileira de Informática em Saúde (art. 3o, da Res. CFM 1821/2007). Este manual prevê os requisitos para certificação dos Sistemas de Registro Eletrônico, que têm por pressuposto a adoção de práticas previstas na ISO/IEC 27.002 E ISO/TR 20514, com medidas de segurança e organização importantíssimas para comprovação do cumprimento de todas as obrigações previstas na LGPD.

Portanto, a eliminação dos prontuários de papel e sua substituição pelos prontuários digitalizados ou digitais, em sistemas certificados S-RES Nível 2, pela SBIS- Sociedade Brasileira de Informática em Saúde são de extrema importância para redução dos riscos de violação de dados pessoais, sendo uma comprovação da efetiva adoção de medidas organizacionais e técnicas exigidas pela LGPD, sendo recomendável para pequenas clínicas e consultórios e indispensável para grandes estabelecimentos de saúde.

Lúcio Mesquita – Advogado, especialista em direito do trabalho, compliance e privacidade de dados. DPO certificado pela Exin.

Sobre a vacinação, recomendamos a leitura: CLIQUE AQUI

————————————————–

REFERÊNCIAS

Juramento de Hipócrates, site CREMESP: http://www.cremesp.org.br/?siteAcao=Historia&esc=3

Código de ética e normas do CFM:

https://portal.cfm.org.br/etica-medica/codigo-versoes-anteriores/

https://sistemas.cfm.org.br/normas/arquivos/pareceres/BR/2002/30_2002.pdf

https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2007/1821

Legislação Federal:

http://www.planalto.gov.br/ccivil_03/leis/l3071.htm

https://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13105.htm

http://www.planalto.gov.br/ccivil_03/Decreto-Lei/1937-1946/Del7955.htm

http://www.planalto.gov.br/ccivil_03/leis/l3268.htm

http://www.planalto.gov.br/ccivil_03/decreto/1950-1969/d44045.htm

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13787.htm