Voltar ao blog
ConformidadeProteção de dadosConsultórioClínica

Proteção de dados em consultório médico: guia prático de segunda-feira

Clinika OS··7 min de leitura

A maior parte dos guias de proteção de dados é escrita por juristas, para juristas. Este é escrito para a pessoa que efetivamente abre o consultório à segunda-feira de manhã. O quadro legal importa, mas o que importa mais é o manuseio quotidiano das informações dos pacientes — quem vê o quê, quanto tempo se guarda, e o que fazer quando um paciente liga a dizer "apaguem o meu processo".

Este guia foca-se em consultórios e clínicas na Suíça, mas os princípios aplicam-se também em Portugal, no Brasil e no resto dos países lusófonos. Onde as regras suíças e europeias divergem, dizemo-lo.

As cinco categorias de dados de paciente

Toda a clínica, mesmo a mais pequena, guarda cinco categorias distintas de dados. Tratá-las como um único bloco indiferenciado é a primeira fonte de problemas. Separe-as mentalmente — e idealmente no software — em:

  1. Dados de identidade — nome completo, data de nascimento, número de segurança social / NIF, número do documento de identidade.
  2. Dados de contacto — morada, telefone, email, contacto de emergência.
  3. Dados clínicos — diagnósticos, notas de tratamento, prescrições, resultados laboratoriais, imagiologia, alergias. Esta é a categoria "particularmente sensível".
  4. Dados financeiros — faturas, números de apólice de seguro, IBAN se faz débitos, saldos em dívida.
  5. Dados de consentimento marketing — se o paciente concordou em receber newsletters, seguimentos pós-tratamento ou mensagens de aniversário, e quando deu (ou retirou) esse consentimento.

Cada categoria tem regras de acesso diferentes, prazos de conservação diferentes e riscos diferentes. Misturá-las é como uma rececionista acaba a ver o estado serológico de um paciente enquanto procura um número de telefone.

Quem pode ver o quê: papéis de acesso

O princípio legal é a minimização: cada membro da equipa só vê o que a função exige.

Configuração viável por defeito para uma clínica pequena:

  • Receção / pessoal administrativo — identidade, contacto, horários, estado de faturação. Sem notas clínicas. Sem diagnósticos.
  • Profissionais — processo clínico completo dos próprios pacientes; acesso completo em casos partilhados; só leitura para casos não partilhados de colegas, quando clinicamente necessário.
  • Proprietário / gestor da clínica — relatórios financeiros, registos de auditoria, gestão de utilizadores. Notas clínicas só se também atender pacientes.
  • Contabilista — faturas e resumos financeiros. Nunca conteúdo clínico. Contrato de subcontratação por escrito é obrigatório.

O software deve tornar isto trivial. Se toda a gente entra com a mesma conta, é um problema de conformidade — e de segurança.

Prazos de conservação que tem mesmo de saber

A conservação de registos clínicos suíços resulta de uma mistura entre direito cantonal da saúde, Código das Obrigações e nLPD. Os números a memorizar:

  • Registos de pacientes adultos: 10 anos após o fim do tratamento na maioria dos cantões (alguns — Zurique, por exemplo — exigem 20). Na dúvida, vá para 20.
  • Registos de pacientes menores: 20 anos após a maioridade do paciente, ou seja, até aos 38 anos.
  • Faturas e documentos contabilísticos: 10 anos nos termos do Código das Obrigações (art. 958.º f CO).
  • Consentimentos de marketing: enquanto o consentimento estiver ativo, mais uma janela razoável de prova (3 anos como padrão).

Em Portugal, a regra equivalente para o processo clínico é, em geral, de pelo menos 10 anos após o último ato clínico (Lei n.º 95/2019), e os hospitais públicos seguem a Portaria 247/2000 com prazos mais alargados. Na UE, a lei nacional médica de conservação prevalece sempre sobre o princípio RGPD do "não mais do que o necessário" para registos clínicos.

Findo o prazo, tem dever de eliminar ou anonimizar — não "guardar pelo sim, pelo não". Manter mais tempo é uma violação por si só.

Quando um paciente pede o processo: fluxo em 5 passos

Os pacientes têm direito de acesso (art. 25.º nLPD, art. 15.º RGPD). Da primeira vez é stressante; com um fluxo definido, demora 30 minutos.

  1. Verifique a identidade. Peça cópia de documento se a pessoa não estiver à sua frente. Nunca entregue um processo apenas com base numa assinatura de email.
  2. Confirme por escrito em 5 dias úteis. Uma resposta curta basta: "Recebemos o seu pedido em [data], iremos responder dentro do prazo legal de 30 dias."
  3. Compile o processo. Use a função de exportação do software. Inclua identidade, contacto, notas clínicas, resultados laboratoriais, prescrições e lista de destinatários com quem os dados foram partilhados.
  4. Oculte o que for legalmente devido. Pode tarjar elementos que identifiquem terceiros (por exemplo, um familiar referido nas notas) ou que prejudiquem a saúde mental do paciente (raro; documente o motivo).
  5. Entregue em formato utilizável e registe. PDF é aceitável. Registe pedido e resposta no seu trilho de auditoria. Primeiro pedido é gratuito.

Quando um paciente pede a eliminação

O direito ao apagamento existe (art. 32.º nLPD, art. 17.º RGPD), mas no caso dos registos clínicos é quase sempre afastado pela obrigação legal de conservação. A resposta correta raramente é uma eliminação total.

Respostas práticas:

  • Consentimento marketing — sim, retirada imediata, sem perguntas.
  • Contactos antigos — sim, substituir por um registo mínimo ("paciente visto pela última vez em 2017, dessubscreveu marketing").
  • Processo clínico durante o prazo de conservação — não. Explique por escrito que a conservação é obrigatória ao abrigo da lei médica; ofereça-se para bloquear o processo de uso ativo.
  • Processo clínico depois de expirar o prazo — sim. Isto é arrumação pendente, não pedido especial.

Documente cada recusa por escrito com a base legal. Recusar sem motivo é o que leva a queixas formais às autoridades.

A lista de segurança aborrecida mas obrigatória

A maioria das violações em saúde não são ataques sofisticados. São portáteis roubados, palavras-passe partilhadas e "deixei o ecrã aberto só um segundo".

  • Cifragem em repouso e em trânsito — AES-256 na base, TLS 1.2+ em cada ligação. O software deve fazê-lo; verifique por escrito.
  • Contas individuais, sem partilha — cada pessoa tem o seu próprio login. Logins partilhados tornam os trilhos de auditoria inúteis.
  • Palavras-passe fortes e únicas + 2FA — pelo menos nos papéis de profissional e administrador. Um gestor de palavras-passe é mais barato que uma violação.
  • Bloqueio automático de sessão — 5 minutos de inatividade nos postos partilhados.
  • Backups regulares fora do local — pelo menos diários, cifrados, testados com restauro real uma vez por ano.
  • Sistemas operativos atualizados — atualizações automáticas Windows / macOS, antivírus instalado.
  • Armários trancados para o papel que ainda guarda, e destruidor para o que deita fora.

A armadilha do email e do WhatsApp

Enviar um lembrete de consulta por email ou WhatsApp é uma transferência de dados para país terceiro. Tanto o Gmail como o WhatsApp guardam dados em servidores nos EUA; ambos caem sob o CLOUD Act.

A armadilha: um SMS que diz "Lembrete: consulta terça às 14h00 com Dr. Müller para o seu controlo dermatológico" combina, numa única mensagem, identidade, contacto e dado clínico. É uma transferência de dado sensível para infraestrutura americana.

Padrões mais seguros:

  • Use SMS ou notificações in-app através de um prestador suíço ou europeu (a maior parte do software clínico já o oferece).
  • Mantenha o conteúdo do lembrete não clínico: "Lembrete: consulta terça 14h00. Responda STOP para cancelar." Sem especialidade, sem nome do médico se evitável.
  • Recolha consentimento explícito para lembretes por WhatsApp / email, documente-o, e ofereça SMS como padrão.
  • Nunca coloque diagnóstico, prescrição ou resultado num email ou WhatsApp. Use o portal do paciente.

A questão do alojamento, num parágrafo

Quando assina contrato com um fornecedor de software clínico, não está só a comprar uma ferramenta — está a escolher um país cuja lei se aplicará aos dados dos seus pacientes. Leia o contrato e faça uma só pergunta, por escrito: "Em que centros de dados físicos, e em que países, são guardados os dados de pacientes, incluindo backups?" Se a resposta for "Suíça e apenas Suíça", está na posição mais sólida. Se for "UE", está em boa forma. Se for "Estados Unidos" ou "não sabemos", já tem a sua resposta.

Lista de ações de uma página

Se este mês não fizer mais nada:

  • Configure papéis no software para que só profissionais vejam notas clínicas.
  • Audite quem tem a palavra-passe de administrador — e mude-a se alguém saiu.
  • Confirme por escrito onde o software guarda os dados.
  • Pare de enviar conteúdo clínico por email e WhatsApp; passe ao portal ou a SMS não clínicos.
  • Escreva uma declaração de privacidade de uma página e afixe-a na receção.
  • Marque um lembrete no calendário para o próximo ano para apagar registos fora de prazo.

Proteção de dados num pequeno consultório médico não é glamorosa. Mas as clínicas que a levam a sério são também as que os pacientes recomendam — e é esse o tipo de conformidade que se paga a si mesmo.

Proteção de dados em consultório médico: guia prático de segunda-feira | Clinika OS