O prontuário médico, ou prontuário do paciente, é documento importante para o seu titular, para o médico que o assiste e para as instituições de saúde. Também é base de consulta para o ensino e a pesquisa, assim como para estatísticas dos serviços públicos de saúde, e claro, um relevante instrumento de apoio e consulta em ações judiciais.
Na última década, em especial, observamos o crescimento e a rápida expansão do uso de Prontuários Eletrônicos, e naturalmente o surgimento de avançadas tecnologias para consultas de informações, cruzamento de dados, interfaceamento com equipamentos, integrações em sistemas e demais avanços que tem permitido o aperfeiçoamento da prestação de serviço em saúde. Tal tecnologia vem com o natural interesse pela extinção do uso do papel e melhora da qualidade da coleta de dados.
Contudo, toda essa novidade nos colocou diante de duas questões envolvendo passado e futuro.
De um lado o legado em papel, ocupando espaço físico e exigindo elevados investimentos em pessoal para guarda, manutenção, prevenção de pragas e incêndio e muita sujeira, que em um ambiente hospitalar é causa de outras preocupações. Do outro lado, observamos a coleta e o tratamento dados pessoais cada dia mais crescente, com trocas constantes dessas informações sem necessariamente que o titular participe ou autorize tais ações. Guardamos muitos dados, realizamos tratamentos em BI, pensamos em conceitos como Big Data e inteligência artificial. Tudo com informações coletadas, tratadas e armazenadas, sem necessariamente a ciência ou a autorização do titular.
E para essas questões, a mesma pergunta. O que fazer, e até quando fazer (seja lá o quê) com esse volume de papel e informações? Finalmente as repostas começaram a surgir.
No apagar das luzes de 2018, uma excelente notícia chegou para os hospitais e instituições de saúde. Até 28 de dezembro não existia, de forma tão clara, definição quanto a destinação dos prontuários dos pacientes, nem perspectiva de uma regulação nacional quanto a sistemas informatizados para prontuário do paciente. Agora temos.
Mas já podemos comemorar?
No meu entendimento sim! A lei 13.787, foi publicada em 28/12/18, e disciplina a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente. A nova lei cria regras gerais, e embora tenha deixado algumas ações pendentes de regulamentação, define parâmetros que nos permite ousar iniciar atividades de preparação para uma nova era. Finalmente o prontuário será digital.
E falando em “digital”, precisamos falar também do problema do futuro. Dos dados dos pacientes, de sua segurança e principalmente de nossa responsabilidade.
O legislador foi muito feliz em definir, logo no primeiro artigo da lei 13.787 que, tanto a digitalização quanto a utilização de sistemas informatizados de prontuário do paciente são regidos por ela (13.787) e também pela lei nº 13.709/18 c/c MP 869/18, que dispõe sobre a proteção de dados pessoais.
A legislação de que regulamenta a proteção de dados no Brasil, tem inspiração na GDPR, Lei Geral de Proteção de Dados Pessoas da União Europeia, que iniciou sua vigência em 25/05/2018, e afeta diretamente toda a comunidade mundial, especialmente para transação de dados na internet.
LGPD x Prontuário do Paciente
A “nossa” Lei Geral de Proteção de Dados, já apelidada de LGPD, nasce para atender ao apelo de regulamentação do mercado nacional, um pouco forçada pelo apelo (obrigação) imposta pela GDPR. Contudo, ao estabelecer tal regulamentação, o legislador brasileiro nos coloca na vanguarda da proteção de dados pessoais no mundo, protegendo e garantindo direitos humanos fundamentais, como o da privacidade.
Nas palavras de Patrícia Peck Pinheiro, ao disciplinar a proteção de dados pessoais, o legislador busca “resgatar e repactuar o compromisso das instituições com os indivíduos, cidadãos desta atual sociedade digital, […]” e a “base desse pacto é a liberdade, mas o fiel da balança é a transparência.” (Proteção de Dados Pessoais – Comentários à Lei n. 13.709/2018)
A LGPD exigirá alterações importantes em todas as fases do atendimento ao paciente (sem falar dos demais dados pessoais, como visitantes, fornecedores, prestadores de serviço terceiros ou funcionários). O consentimento, até então voltado para o procedimento médico e internação, agora também deverá observar a autorização para a coleta de dados pessoais e informar motivação para coleta e qual tratamento será dado àquela informação, como troca com fornecedores e parceiros (que também deverão atender aos requisitos da lei).
Ambas as legislações dependem de regulamentação, que será definida pela Autoridade Nacional de Proteção de Dados (ANPD) criada pela MP 869/18.
Já posso começar?
Mas como informei, a regulamentação não nos impede de antecipar ações, especialmente quanto à primeira fase dos procedimentos de digitalização de prontuários e de adequação à LGPD. Dois exemplos:
- A lei 13.787 é clara ao definir em seu artigo segundo que, a digitalização do prontuário em papel tem como objetivo assegurar a integridade, autenticidade e confidencialidade do documento, que será digital, e que os documentos originais (papel) poderão ser destruídos após esse processo (art. 3º). Contudo, a forma de digitalização e o controle e armazenamento dos documentos digitais (GED) serão regulamentados pela ANPD (art. 4 §único). Não obstante à necessidade da regulamentação ainda pendente, a legislação estabelece que o processo de digitalização será precedido de análise obrigatória de comissão permanente de revisão de prontuários e avaliação de documentos (Res. CFM nº 1.638/2002), especificamente criada para essa finalidade.
- A lei 13.709, define, entre outras medidas, em seu art. 9º, I, que o “controlador” (Instituição de Saúde), deverá informar com clareza ao “titular” (Paciente) a finalidade específica para o uso da informação solicitada. Observe então que será necessário identificar todas as bases de dados geradas pela instituição que envolvam informações pessoais, e avaliar os sistemas de captação de dados, mapeando fontes de redundância e integrações (troca) de informações eletrônicas, alinhando processo, rotinas e documentação de autorização.
Observem que exemplifiquei brevemente duas atividades obrigatórias, já definidas pela legislação, que podem/devem ser antecipadas. Quais sejam, i) a criação da comissão de revisão de prontuários para identificar prontuários que serão digitalizados e aqueles que serão descartados, sua análise e organização, e ainda ii) o levantamento dos dados pessoais recolhidos nos processos realizados pela instituição, sua real necessidade, seu fluxo de troca com parceiros e terceiros, e segurança nas mídias de guarda, armazenamento e tratamento.
Muitas definições ainda estão pendentes, e à medida de suas realizações voltarei ao tema. Contudo, as pendências não podem nos colocar em inércia, não significa que devemos aguardar. Já há muito o que fazer.