O Conselho Regional de Medicina de Santa Catarina (CRM-SC) aprovou parecer no qual reforça a necessidade de rigor na proteção de dados clínicos e alerta para práticas que podem violar a Lei Geral de Proteção de Dados (LGPD) e o Código de Ética Médica. O documento responde à consulta de um médico envolvido em Processo Administrativo Disciplinar (PAD) por suposta violação de normas de segurança da informação em uma Unidade Básica de Saúde.

O ponto central do parecer destaca que prontuários médicos constituem documentos sigilosos e científicos, classificados pela LGPD como dados pessoais sensíveis, exigindo medidas técnicas e administrativas robustas para sua proteção. Nesse contexto, o armazenamento de fichas e documentos clínicos em mídias removíveis – como pendrives ou HDs externos – é considerado uma conduta de risco quando não há criptografia, controle de acesso e rastreabilidade. O Conselho frisa que, mesmo quando feito por profissionais diretamente envolvidos no cuidado do paciente, o uso de dispositivos pessoais sem padrões avançados de segurança não atende às exigências legais.

Requisitos essenciais

A responsabilidade pela guarda e gestão dos prontuários, reforça o parecer, é da instituição de saúde, sob supervisão do diretor técnico. Qualquer liberação de cópia ou manipulação de dados deve seguir três requisitos essenciais: consentimento expresso do paciente, autorização formal da instituição e garantias técnicas de segurança da informação.

Outro ponto analisado diz respeito ao registro fotográfico de exames realizados em consulta – prática que, embora comum, ainda gera dúvidas entre profissionais. O CRM-SC conclui que o consentimento verbal do paciente não é suficiente para autorizar esse tipo de registro. A legislação exige consentimento expresso e documentado, ainda que os registros tenham finalidade clínica e sejam feitos com o paciente presente. O parecer lembra que o Código de Ética Médica exige formalização do consentimento em qualquer atividade que envolva coleta, uso ou armazenamento de dados sensíveis.

O Conselho também alerta sobre o uso de mídias sem o padrão Nível de Garantia de Segurança 2 (NGS2), previsto no Manual de Certificação para Sistemas de Registro Eletrônico em Saúde (S-RES), elaborado pelo CFM e pela SBIS. Sem esse nível de segurança – que inclui autenticação forte, criptografia e auditoria de acessos – há risco concreto de extravio, violação de informações e responsabilização ética e legal do profissional e da instituição.

Ética em pesquisa e protocolos de segurança

Para situações que envolvam ensino, pesquisa ou estudos retrospectivos, o parecer reforça que o acesso aos prontuários exige autorização prévia do Comitê de Ética em Pesquisa (CEP) ou da Comissão Nacional de Ética em Pesquisa (CONEP), conforme determina o artigo 101 do Código de Ética Médica.

O CRM-SC orienta que os serviços de saúde revisem seus protocolos internos de segurança da informação, capacitem seus profissionais e adotem sistemas certificados, evitando práticas que comprometam a confidencialidade e a integridade dos dados clínicos. O órgão ressalta que falhas nesse campo podem gerar não apenas implicações disciplinares, mas também sanções legais previstas na LGPD.

Fonte: Processo Consulta Nº 29/2025 – Parecer CRM-SC Nº 21/2025