Em um cenário de crescente digitalização das informações em saúde, tem se tornado cada vez mais comum a solicitação de acesso remoto a prontuários médicos por parte de operadoras de planos de saúde. Essa prática, normalmente apresentada como medida de eficiência no processo de auditoria técnica e contratual, merece análise criteriosa à luz da legislação vigente, da ética médica e da responsabilidade institucional dos hospitais e demais prestadores.
Recentemente, muitos prestadores de serviço vêm recebendo comunicados de operadoras determinando que a auditoria de prontuários deixe de ser realizada presencialmente, passando a ocorrer exclusivamente por meio digital, com acesso remoto à plataforma de prontuário eletrônico utilizada pela operadora ou com o envio de documentos digitalizados. Apesar de parecer tecnicamente viável, essa mudança traz implicações importantes do ponto de vista jurídico, ético e de proteção de dados.
O prontuário médico é o principal repositório da história clínica do paciente, contendo dados pessoais sensíveis, protegidos por lei. Sua guarda é responsabilidade da instituição que prestou o atendimento, nos termos do Código de Ética Médica, das resoluções do Conselho Federal de Medicina e da legislação civil brasileira.
A Lei Geral de Proteção de Dados (LGPD), por sua vez, estabelece que qualquer tratamento de dados pessoais sensíveis — como aqueles contidos nos prontuários — deve observar os princípios da necessidade, finalidade, segurança, prevenção e responsabilização. O compartilhamento de dados com terceiros, ainda que para auditoria, não pode ocorrer sem base legal clara ou consentimento do titular.
Auditoria não é justificativa automática para acesso irrestrito. É verdade que a auditoria técnica é prevista na regulação dos planos de saúde (Lei 9.656/98 e normas da ANS) e faz parte da relação contratual entre operadora e prestador. Porém, isso não significa que a operadora tenha direito irrestrito ao conteúdo completo do prontuário, tampouco ao acesso remoto contínuo e desassistido.
O que se espera de um processo de auditoria responsável é que ele:
- Seja justificado e vinculado a procedimentos específicos;
- Tenha escopo delimitado, com acesso somente aos dados necessários;
- Seja realizado por profissionais habilitados e autorizados;
- Seja conduzido sob controle e supervisão da instituição de saúde.
Em especial, o acesso remoto integral aos prontuários sem consentimento do paciente ou controle da instituição pode configurar violação à LGPD, além de comprometer o sigilo médico e a segurança da informação.
Qual a forma adequada de realizar auditorias?
A forma mais segura e alinhada com as boas práticas é a auditoria in loco, com acesso monitorado e autorizado aos prontuários por profissionais previamente identificados. Em caso de necessidade de auditoria digital, esta deve seguir protocolos rigorosos, com:
- Consentimento específico do paciente para compartilhamento digital de seus dados;
- Registro documental da finalidade e do profissional responsável pelo acesso;
- Ambiente controlado, com logs e rastreamento das atividades realizadas.
Hospitais e clínicas devem manter suas políticas de acesso e compartilhamento bem definidas, e qualquer exceção precisa estar documentada, justificada e alinhada com a legislação.
Ao aceitar o acesso remoto irrestrito, sem consentimento e sem controle, a instituição prestadora pode se expor a riscos como:
- Sanções administrativas da ANPD (Autoridade Nacional de Proteção de Dados);
- Ações cíveis por violação de privacidade;
- Penalidades éticas caso envolva profissionais de saúde;
- Responsabilidade solidária por eventual uso indevido das informações pela operadora.
Portanto, é essencial que os prestadores analisem tecnicamente essas demandas e, se necessário, consultem seus setores jurídico e de proteção de dados antes de autorizar qualquer forma de acesso a prontuários.
A auditoria é um instrumento legítimo de controle da assistência, mas deve ser exercida com equilíbrio, responsabilidade e respeito à privacidade do paciente. O avanço tecnológico não pode justificar a flexibilização de normas que garantem o sigilo e a integridade das informações em saúde.
Instituições de saúde devem se posicionar de forma consciente e fundamentada, preservando seus deveres legais e éticos diante de solicitações que envolvam dados sensíveis.
Autor: João Gonçalves – Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO – LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
