Prontuário Eletrônico Odontológico em Conformidade com a LGPD

# Prontuário Eletrônico Odontológico em Conformidade com a LGPD

A transição do prontuário em papel para o prontuário eletrônico odontológico (PEO) representa um avanço significativo na gestão clínica. Porém, com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), essa transição exige atenção redobrada a forma como os dados dos pacientes são coletados, armazenados, processados e compartilhados.

Dados de saúde são classificados pela LGPD como dados pessoais sensíveis, recebendo um nível adicional de proteção. Para clínicas odontológicas, isso significa que o prontuário eletrônico precisa atender a requisitos específicos de segurança, consentimento e transparência. Neste artigo, detalhamos tudo o que você precisa saber para manter seu prontuário eletrônico em conformidade com a legislação.

Entendendo a LGPD no Contexto Odontológico

O Que São Dados Pessoais Sensíveis

A LGPD classifica como dados pessoais sensíveis aqueles referentes a saúde, vida sexual, dados genéticos, biometricos, origem racial ou etnica, convicção religiosa, opinião política e filiação sindical.

No contexto odontológico, são dados sensíveis:

• Histórico de doenças e condições médicas
• Medicamentos em uso
• Resultados de exames clínicos e laboratoriais
• Radiografias e tomografias
• Fotografias clínicas intraorais e extraorais
• Diagnósticos e planos de tratamento
• Registros de procedimentos realizados
• Informações sobre hábitos (tabagismo, bruxismo)

Bases Legais para Tratamento de Dados de Saúde

A LGPD estabelece bases legais específicas para o tratamento de dados sensíveis. No contexto odontológico, as principais são:

Tutela da saúde (Art. 11, II, f):

• Permite o tratamento de dados para fins de atendimento em saúde
• Não dispensa o dever de informação ao paciente
• Aplicável a procedimentos clínicos e diagnósticos

Consentimento do titular (Art. 11, I):

• Deve ser livre, informado, inequivoco e específico
• Necessário para finalidades além do atendimento clínico
• Exemplos: uso de imagens para fins didáticos, compartilhamento com seguradoras

Obrigação legal ou regulatória (Art. 11, II, a):

• Registros exigidos pelo CFO (Conselho Federal de Odontologia)
• Obrigações fiscais e tributárias
• Notificações compulsórias

Mesmo quando a base legal não exige consentimento explicito, o profissional deve informar ao paciente quais dados são coletados, por que é como serão utilizados.

Requisitos do Prontuário Eletrônico

Requisitos Legais

O prontuário odontológico, independentemente do formato, deve atender a exigencias do Código de Ética Odontológica e das resoluções do CFO.

Conteúdo mínimo obrigatório:

• Identificação completa do paciente
• Anamnese detalhada
• Exame clínico documentado
• Diagnóstico e prognóstico
• Plano de tratamento proposto e aceito
• Evolução do tratamento (registro de cada sessão)
• Exames complementares realizados e resultados
• Prescrições e atestados emitidos
• Consentimentos informados assinados
• Intercorrências registradas

Requisitos de armazenamento:

• O prontuário deve ser mantido por no mínimo 20 anos após o último registro (conforme resolução do CFO)
• Para pacientes menores, a contagem inicia após a maioridade
• O armazenamento deve garantir integridade e legibilidade pelo período de retenção

Requisitos Técnicos de Segurança

O sistema de prontuário eletrônico deve implementar controles de segurança adequados a sensibilidade dos dados.

Controle de acesso:

• Autenticação forte (senha robusta, preferencialmente com segundo fator)
• Perfis de acesso diferenciados (dentista, auxiliar, administrativo)
• Registro de todos os acessos (log de auditoria)
• Bloqueio automático por inatividade
• Política de senhas com troca periódica

Criptografia:

• Dados em trânsito protegidos por TLS/SSL
• Dados armazenados criptografados (encryption at rest)
• Chaves de criptografia gerenciadas de forma segura
• Backups também criptografados

Integridade dos dados:

• Registros não devem ser alterados ou excluidos sem rastreabilidade
• Controle de versões das evoluções clínicas
• Assinatura digital dos registros quando possível
• Trilha de auditoria completa

Disponibilidade:

• Backups regulares e automatizados
• Plano de recuperação de desastres
• Redundância de armazenamento
• Testes periódicos de restauração

Consentimento do Paciente

Tipos de Consentimento

No contexto do prontuário eletrônico odontológico, diferentes situações exigem diferentes tipos de consentimento.

Consentimento para tratamento clínico:

• Pode ser verbal para procedimentos simples e de baixo risco
• Deve ser escrito para procedimentos invasivos ou de maior complexidade
• Deve descrever o procedimento, riscos, alternativas e consequências da recusa
• Registro no prontuário da obtenção do consentimento

Consentimento para tratamento de dados (LGPD):

• Necessário quando a base legal for o consentimento
• Deve ser específico para cada finalidade
• Deve informar quais dados serão coletados e por que
• Pode ser revogado a qualquer momento pelo paciente
• Deve ser documentado é armazenado de forma verificável

Consentimento para uso de imagens:

• Necessário para qualquer uso além do prontuário clínico
• Finalidades devem ser especificadas (didático, marketing, publicação)
• Deve ser específico e separado do consentimento geral
• Revogável a qualquer momento

Termo de Consentimento Digital

O prontuário eletrônico permite a obtenção de consentimento digital, que oferece vantagens sobre o papel.

Elementos do consentimento digital:

1. Identificação clara do paciente
2. Descrição objetiva da finalidade
3. Dados que serão coletados e tratados
4. Período de retenção dos dados
5. Direitos do titular (acesso, correção, exclusao)
6. Identificação do responsável pelo tratamento dos dados
7. Registro de data, hora e forma de obtenção
8. Mecanismo de revogação acessível

Políticas de Retenção e Descarte

Prazos de Retenção

A definição de prazos de retenção é uma exigência da LGPD. Os dados devem ser mantidos apenas pelo tempo necessário para cumprir sua finalidade.

Prontuário clínico:

• Mínimo de 20 anos após o último registro (resolução CFO)
• Em caso de obito do paciente, o prazo segue a partir da data do obito
• Processos judiciais podem exigir retenção além do prazo regulamentar

Dados financeiros:

• 5 anos para documentos fiscais (Código Tributário Nacional)
• Recibos e notas fiscais de serviços prestados

Dados de marketing e comunicação:

• Enquanto houver consentimento válido do paciente
• Devem ser eliminados imediatamente após a revogação do consentimento

Dados de colaboradores e prestadores:

• Contratos e registros trabalhistas conforme legislação específica
• Dados de acesso ao sistema mantidos enquanto o vínculo estiver ativo

Procedimento de Descarte

Quando o prazo de retenção expira, os dados devem ser descartados de forma segura.

Dados digitais:

• Exclusao definitiva com sobrescrita de dados
• Certificado de destruição quando aplicável
• Registro do descarte realizado

Dados em papel (se ainda houver):

• Fragmentação em trituradora de documentos
• Descarte por empresa especializada com certificado
• Registro do descarte

Direitos do Paciente Titular dos Dados

A LGPD garante ao paciente diversos direitos sobre seus dados pessoais. A clínica deve estar preparada para atende-los.

Direito de Acesso

O paciente tem direito a acessar todos os dados pessoais que a clínica detem sobre ele.

Como implementar:

• Portal do paciente com acesso aos seus registros
• Processo formal para solicitação de copias
• Prazo para atendimento: 15 dias (conforme LGPD)
• Formato acessível e compreensível

Direito de Correção

O paciente pode solicitar a correção de dados incompletos, inexatos ou desatualizados.

Importante: Dados clínicos registrados pelo profissional (diagnósticos, evoluções) não devem ser alterados a pedido do paciente, pois são registros técnicos do profissional. Dados cadastrais (endereco, telefone, e-mail) devem ser corrigidos quando solicitado.

Direito de Eliminação

O paciente pode solicitar a exclusao dos seus dados pessoais, com exceções.

Exceções a eliminação:

• Dados necessários para cumprimento de obrigação legal (prontuário clínico por 20 anos)
• Dados necessários para exercício regular de direitos em processos
• Dados anonimizados (que não permitem identificação)

Direito de Portabilidade

O paciente pode solicitar a transferência dos seus dados para outro profissional ou serviço.

Como implementar:

• Exportação do prontuário em formato padronizado
• Inclusão de exames, radiografias e fotografias
• Envio seguro ao destinatário indicado pelo paciente
• Registro da transferência realizada

Responsabilidades do Profissional

Encarregado de Dados (DPO)

A LGPD exige a indicação de um encarregado de proteção de dados (DPO — Data Protection Officer).

Atribuições do encarregado:

• Receber e responder solicitações dos titulares
• Interagir com a ANPD (Autoridade Nacional de Proteção de Dados)
• Orientar a equipe sobre boas práticas
• Manter registro das atividades de tratamento de dados

Para clínicas de pequeno porte, a ANPD pode dispensar a exigência de um DPO formal, mas as boas práticas devem ser mantidas.

Registro de Atividades de Tratamento

A clínica deve manter um registro das atividades de tratamento de dados pessoais.

Informações que devem constar:

• Tipos de dados coletados
• Finalidade de cada tratamento
• Base legal utilizada
• Compartilhamentos realizados
• Medidas de segurança adotadas
• Prazos de retenção definidos

Resposta a Incidentes

Um plano de resposta a incidentes é essencial para lidar com eventuais vazamentos ou violações de dados.

Etapas do plano:

1. Detecção — identificar o incidente o mais rápido possível
2. Contenção — limitar o impacto do incidente
3. Avaliação — determinar a extensão e gravidade
4. Notificação — comunicar a ANPD e aos titulares afetados (quando aplicável)
5. Remediação — corrigir a causa e prevenir recorrência
6. Documentação — registrar todo o processo

Boas Práticas para o Dia a Dia

Para a Equipe Clínica

• Nunca compartilhe senhas de acesso ao sistema
• Bloqueie a tela ao se afastar do computador
• Não discuta dados de pacientes em áreas comuns
• Não envie dados de pacientes por e-mail ou WhatsApp pessoal
• Registre as evoluções clínicas no prontuário no mesmo dia do atendimento

Para a Equipe Administrativa

• Confirme a identidade do paciente antes de fornecer informações
• Não deixe prontuários fisicos (se ainda houver) expostos
• Descarte documentos com dados pessoais de forma segura
• Mantenha a recepção organizada, sem informações de pacientes visíveis
• Colete apenas os dados estritamente necessários para cada finalidade

Para a Gestão da Clínica

• Revise periodicamente as políticas de privacidade
• Realize treinamentos regulares com toda a equipe
• Mantenha contratos de confidencialidade com fornecedores
• Avalie a segurança dos sistemas periodicamente
• Documente todas as políticas e procedimentos

Escolhendo um Sistema de Prontuário Eletrônico

Critérios de Avaliação

Ao escolher ou avaliar um sistema de prontuário eletrônico, verifique:

Segurança:

• Criptografia de dados em trânsito e em repouso
• Controle de acesso granular por perfil
• Log de auditoria completo
• Backup automatizado e redundante
• Certificações de segurança do fornecedor

Conformidade:

• Aderência a LGPD declarada e demonstrável
• Suporte a consentimento digital
• Ferramentas para atendimento aos direitos do titular
• Políticas de retenção configuráveis
• Capacidade de exportação e portabilidade de dados

Funcionalidade:

• Prontuário clínico completo e personalizável
• Odontograma digital
• Armazenamento de imagens e exames
• Assinatura digital de documentos
• Integração com outros sistemas da clínica

Suporte e Continuidade:

• Garantia de disponibilidade (SLA)
• Suporte técnico acessível
• Plano de continuidade do fornecedor
• Propriedade dos dados claramente definida em contrato

Conclusão

A conformidade com a LGPD no prontuário eletrônico odontológico não é apenas uma obrigação legal — é uma demonstração de respeito ao paciente e de profissionalismo na gestão clínica. Implementar controles de segurança, políticas de consentimento e procedimentos de retenção adequados protege tanto o paciente quanto o profissional.

O Portal do Dentista.AI foi desenvolvido com a LGPD como premissa fundamental. Nosso prontuário eletrônico oferece criptografia de ponta a ponta, controle de acesso granular, consentimento digital integrado, log de auditoria completo e ferramentas para atendimento aos direitos dos titulares. Garanta a conformidade da sua clínica com a legislação e ofereca segurança aos seus pacientes.

Perguntas Frequentes

Posso manter prontuários em papel e eletrônico simultaneamente?

Sim, é possível manter os dois formatos durante um período de transição. Porém, ambos devem cumprir os mesmos requisitos de segurança e retenção. O ideal é migrar completamente para o eletrônico, digitalizando os prontuários em papel existentes e mantendo os originais pelo prazo legal antes do descarte seguro.

O paciente pode exigir a exclusao total dos seus dados do prontuário?

Não completamente. O prontuário clínico é um documento que o profissional tem obrigação legal de manter por pelo menos 20 anos. O paciente pode solicitar a exclusao de dados usados para outras finalidades (marketing, comunicação), mas os registros clínicos devem ser preservados. Explique isso ao paciente de forma clara é documentada.

Preciso de consentimento específico para cada procedimento registrado no prontuário?

O registro no prontuário faz parte da obrigação legal do profissional de saúde e não exige consentimento específico do paciente. O consentimento é necessário para o tratamento clínico em si e para usos dos dados além do atendimento (pesquisa, marketing, compartilhamento). Mantenha o termo de consentimento para tratamento de dados atualizado e abrangente.

Como proceder se receber uma solicitação da ANPD sobre dados de pacientes?

A ANPD (Autoridade Nacional de Proteção de Dados) pode solicitar informações sobre as práticas de tratamento de dados da clínica. Nesse caso, responda dentro do prazo estipulado, apresente o registro de atividades de tratamento, as políticas de privacidade e as medidas de segurança adotadas. Considere consultar um advogado especializado em proteção de dados para auxiliar na resposta.