Prontuários Eletrônicos e a LGPD
Desde o ano de 2018 as questões voltadas à privacidade e proteção de dados se intensificaram ainda mais com a publicação da LGPD, que de lá pra cá vem tomando forma e ganhando cada vez mais os holofotes.
Talvez por isso, a publicação da Lei nº 13.787, conhecida como a Lei do Prontuário Eletrônico, passou quase despercebida. Ela aconteceu em 28 de dezembro de 2018 e a maioria das pessoas sequer ouviu falar no assunto.
Contudo, trata-se de uma das legislações mais importantes para o sistema de saúde no Brasil. Isso porque ela afeta, de forma direta, todos os cidadãos brasileiros.
Mas o que exatamente é a Lei do Prontuário Eletrônico?
A Lei nº 13.787/2018, denominada de Lei do Prontuário Eletrônico é a legislação responsável por regular a digitalização e a utilização de sistemas informatizados e está diretamente ligada a LGPD (Lei nº13.709/2018), por determinação do seu próprio artigo 1º, que dispõe: “a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente são regidas por esta lei e pela lei 13.709, de 14 de agosto de 2018”.
Nota-se que no texto do artigo mencionado, há 3 (três) pontos de extrema relevância quanto ao prontuário eletrônico, quais sejam:
- A guarda;
- O armazenamento; e
- O manuseio.
O prontuário eletrônico de paciente, pode ser uniprofissional, quando é restrito ao atendimento realizado por apenas um profissional da saúde, em seu consultório ou clínica, ou pode ser multiprofissional, quando o paciente está vinculado, por exemplo, à uma clínica ou instituição de saúde. Entretanto, em qualquer uma das situações, o prontuário deve conter dados pessoais e informações da história clínica do paciente, do diagnóstico, do prognóstico, condutas e planos de cuidado, de resultados de exames clínicos, laudos, imagens e demais anotações complementares, necessárias para promover a melhor assistência ao paciente, como as situações de vulnerabilidade social e/ou familiar, se viável.
Nesse passo é inegável a importância do Conselho Federal de Medicina (CFM) no estabelecimento de padrões normativos no que concerne ao prontuário médico, seja ele físico (papel) ou eletrônico.
Assim, observamos que a Lei 13.787/2018, que dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente, possui critérios semelhantes aos contidos na resolução CFM 1.821/2007, e é regida por 5 pilares:
- Processo de digitalização do prontuário do paciente
A lei determina que o processo de digitalização do prontuário deverá assegurar a integridade, a autenticidade e a confidencialidade do documento digital.
Os métodos de digitalização devem manter preservadas de maneira integral todas as informações contidas no prontuário original.
Será necessário a utilização de certificado digital a ser emitido no âmbito da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) ou outro padrão legalmente aceito a fim de garantir a autenticidade.
- Critérios para destruição de prontuários (arquivo físico ou eletrônico)
Em relação à destruição dos documentos originais, estes poderão ser destruídos após a sua digitalização. Observado o processo de digitalização do item anterior, conforme artigo 2º da Lei do Prontuário Eletrônico.
Há também a necessidade da aprovação da comissão especial, que deverá ser criada para realizar a permanente revisão de prontuários e avaliação de documentos. Ela será responsável por certificar a integridade dos documentos digitais e avalizar a eliminação dos documentos que os originaram.
Caso a comissão identifique documentos de valor histórico, eles serão preservados de acordo com o disposto na legislação arquivística.
- Parâmetros para segurança da informação dos sistemas
A segurança da informação é um elemento essencial nesta lei. Por isso, os meios de armazenamento de documentos digitais devem proteger as informações de uma série de ações não autorizadas, quais sejam:
- O acesso;
- O uso;
- A alteração;
- A reprodução; e
- A destruição.
Isso ocorrerá por meio de um sistema especializado no gerenciamento eletrônico de documentos, cujas características e requisitos serão especificados em regulamento.
- Efeito probatórios dos documentos digitalizados
Outro aspecto bastante relevante é o efeito probatório para todos os fins de direito, visto que a Lei de Prontuários Eletrônicos assegura que, uma vez que a digitalização, a guarda, o armazenamento e o manuseio dos documentos tenham sido realizados de acordo com os seus ditames e respectivos regulamentos, o documento digitalizado terá o mesmo valor probatório que o documento original.
Para tanto, poderão ser implementados sistemas de certificação para a verificação da conformidade normativa dos processos à Lei do Prontuário Eletrônico.
- Prazos de armazenamento dos prontuários eletrônicos.
Um dos aspectos mais importantes estabelecidos nesta lei foi o prazo de armazenagem de dados dos pacientes.
A obrigação legal é uma das maneiras de manter os dados. Assim, ainda que sem consentimento do titular, a Lei do Prontuário Eletrônico definiu o prazo mínimo de 20 (vinte) anos, a partir do último registro, para que os prontuários possam ser eliminados ou devolvidos ao paciente.
É importante destacar que isso vale para qualquer forma de armazenamento, ou seja, tanto o prontuário físico em papel como os digitalizados, microfilmados, arquivados eletronicamente em meio óptico ou aqueles gerados e mantidos originalmente de forma eletrônica.
O processo de destruição precisa ser inteiramente documentado. Porém, devem ser resguardados a intimidade do paciente, o sigilo e a confidencialidade das informações.
Podem ser estabelecidos, em regulamento, prazos diferenciados para a guarda de prontuário de paciente, em papel ou digitalizado, de acordo com o potencial de uso em estudos e pesquisas nas áreas da ciências e saúde, humanas e sociais, bem como para fins legais e probatórios.
E qual o impacto da LGPD nos Prontuários Eletrônicos?
Como sabem os dados e informações registradas no prontuário eletrônico têm natureza individual, e grande parte deles são sensíveis, pois são relacionados diretamente à saúde e à intimidade do paciente.
Assim, todas as instituições, públicas ou privadas da área da saúde que são responsáveis pelo tratamento de dados pessoais, deverão ter suas atividades estruturadas e ajustadas conforme as regras e princípios da Lei Geral de Proteção de Dados Pessoais – LGPD e da Autoridade Nacional de Proteção de Dados – ANPD.
Cumpre-nos aqui mencionar o E-saúde, caracterizado por práticas de digitalização em saúde e pela utilização de tecnologias de informação e comunicação, que poderá ser fundamental para concretizar o princípio da integralidade na atenção à saúde, possibilitando a interligação de sistemas, equipamentos e aplicativos para saúde pessoal. No entanto, sabe-se que para atingir este objetivo, os desafios são significativos, sejam eles técnicos, bioéticos ou jurídicos.
É importante, neste cenário, destacar o papel das figuras do controlador, operador e encarregado para o ajuste de políticas e culturas em prol da proteção de dados pessoais de pacientes. Em particular, o controlador a quem compete as decisões referentes ao tratamento de dados pessoais, e que deve exigir do operador a implementação de todas as medidas técnicas, de segurança e de certificação dos sistemas utilizados e, exigir do encarregado a composição e elaboração de políticas institucionais, educacionais e de assessoria, por meio de comissões específicas ou grupos de trabalho.
Assim, como o prontuário eletrônico registra dados e informações pessoais e sensíveis, obtidas na assistência e na prestação de serviços à saúde, os consultórios, clínicas, hospitais, profissionais liberais e todas as instituições da área da saúde devem necessariamente respeitar as regras e princípios estabelecidos na LGPD em conjunto com as orientações da ANPD, sob pena de serem responsabilizados nos termos da lei.
Por fim, fica claro que a LGPD impõe aos profissionais e instituições na área da saúde a necessidade de adequação organizacional, de cultura assistencial e de cuidado, para garantir a proteção de dados pessoais, a privacidade e a confidencialidade dos pacientes.
Sabemos que o tema é novo e ainda gera muita insegurança, por isso fique a vontade para entrar em contato com nosso time. Ficaremos felizes em lhe atender e esclarecer suas dúvidas.