A Resolução CFM nº 1.638/2002 representou um marco na consolidação das regras para a guarda, manuseio e acesso aos prontuários médicos, estabelecendo que tais documentos pertencem ao paciente e devem ser protegidos por sigilo, sendo facultado o acesso apenas mediante autorização expressa ou nos casos legalmente previstos. Posteriormente, a Resolução CFM nº 1.821/2007 ampliou o debate ao reconhecer a validade do prontuário eletrônico, definindo requisitos técnicos e de segurança necessários para que a informação em meio digital tivesse a mesma força probatória e ética do documento físico.
Ambas as resoluções foram editadas em um contexto anterior à Lei Geral de Proteção de Dados (Lei nº 13.709/2018), e muito antes da popularização de tecnologias como nuvem, interoperabilidade, APIs seguras, blockchain e inteligência artificial aplicada à saúde. Esse avanço cria um novo ambiente interpretativo: de um lado, o dever de sigilo e confidencialidade que são atemporais e, de outro, o imperativo de garantir a continuidade do tratamento e a portabilidade segura das informações, sob a égide do consentimento informado e da transparência.
- 1. A evolução tecnológica e as oportunidades no cuidado ao paciente
A tecnologia transformou o prontuário em algo vivo e dinâmico. De um registro isolado e físico, passou a constituir-se como parte de uma infraestrutura informacional integrada, com potencial de acompanhar o paciente em sua jornada de saúde do consultório à internação, do laboratório à auditoria. O Registro Eletrônico em Saúde (RES) e as diretrizes de interoperabilidade estabelecidas pelo Ministério da Saúde permitem que dados clínicos sejam compartilhados entre sistemas distintos, com segurança, autenticidade e rastreabilidade.
Esse avanço cria oportunidades inéditas para aprimorar o cuidado e reduzir erros médicos. A análise preditiva, a telemedicina, o uso de IA para apoio diagnóstico e a integração entre operadoras e prestadores fortalecem o princípio da continuidade do tratamento e da integralidade da assistência, previstos nas políticas públicas de saúde.
- 2. Sigilo profissional e o novo contexto da informação compartilhada
O sigilo, entretanto, não perde sua centralidade. Ele é o pilar ético da relação médico-paciente e está protegido pelo Código de Ética Médica, pela LGPD e por dispositivos do Código Penal. A inovação tecnológica não o relativiza, mas o reposiciona em um novo patamar de proteção, no qual a confidencialidade se dá pela segurança dos meios, e não pela limitação do acesso.
O acesso remoto e o compartilhamento digital não rompem o sigilo desde que observem os princípios da finalidade, necessidade, minimização e segurança previstos na LGPD. O que se busca não é abrir indiscriminadamente as informações, mas permitir que agentes de tratamento legitimamente envolvidos na assistência (médicos, auditores, operadoras, clínicas, laboratórios) atuem de forma coordenada e segura, em prol do paciente e da qualidade do cuidado.
- 3. A LGPD como instrumento de equilíbrio
A LGPD, ao consagrar os direitos dos titulares e introduzir o conceito de portabilidade dos dados pessoais, criou um eixo de equilíbrio entre o direito à privacidade e o direito à saúde. A lei não impede o fluxo de dados condiciona-o à legitimidade e transparência. Assim, o compartilhamento entre agentes da cadeia de tratamento deve estar sustentado por bases legais adequadas, tais como o cumprimento de obrigação legal ou regulatória, a execução de políticas públicas, o consentimento e, principalmente, a proteção da vida e da incolumidade física do titular.
Esse novo ambiente impõe também responsabilidades ao agente de tratamento, que deve adotar medidas técnicas e administrativas capazes de garantir a confidencialidade, integridade e disponibilidade dos dados, sob pena de responsabilização civil, administrativa e ética. O artigo 46 da LGPD, em conjunto com o artigo 73 do Código de Ética Médica, reforça a exigência de segurança da informação como dever profissional.
- 4. Auditoria médica, sigilo e modernidade
As auditorias médicas tanto internas quanto realizadas pelas operadoras constituem instrumento legítimo de controle da qualidade e da sustentabilidade dos sistemas de saúde. A sua realização remota e digital, quando estruturada em plataformas seguras e com perfis de acesso limitados, não afronta o sigilo médico. Pelo contrário: amplia a rastreabilidade, reduz riscos de manipulação indevida e garante a integridade do documento.
O princípio da boa-fé e da finalidade amparam esse tipo de tratamento, especialmente quando a auditoria se dá em benefício direto do paciente, para garantir a continuidade do tratamento, a cobertura de procedimentos e a prevenção de fraudes. O que se exige, em consonância com a LGPD, é a manutenção de logs de acesso, trilhas de auditoria, controle de privilégios e políticas de retenção e descarte seguro.
- 5. Um novo olhar sobre o sigilo: da restrição ao cuidado ético ampliado
A pergunta que se impõe se as previsões de sigilo das resoluções médicas estão limitadas ao seu tempo deve ser respondida sob uma perspectiva de hermenêutica evolutiva. O sigilo não é uma barreira temporal, mas um princípio estruturante que acompanha a medicina, adaptando-se às condições tecnológicas de cada época. Assim, cabe interpretação extensiva e sistemática para permitir o compartilhamento de informações entre agentes legitimados, no melhor interesse do paciente, desde que observadas as garantias de confidencialidade, segurança e consentimento.
Portanto, o avanço tecnológico não revoga o sigilo; o qualifica. Transforma-o em um compromisso coletivo, que envolve o médico, o gestor, o DPO, o técnico de TI e a própria instituição de saúde, todos coobrigados a proteger o paciente em sua dimensão mais sensível: sua intimidade.
O futuro do sigilo médico não está na restrição do acesso, mas na responsabilidade compartilhada sobre como esse acesso é realizado. A tecnologia é aliada, não inimiga, do cuidado ético. Quando amparada por governança de dados, políticas claras e consentimento informado, ela promove a segurança do paciente, fortalece a confiança no sistema de saúde e concretiza o direito fundamental à proteção de dados pessoais, assegurando que a informação, antes confinada ao papel, agora circule com propósito, proteção e dignidade.
Autor: João Gonçalves Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
