Gestão da Clínica

Controle de acesso ao prontuário: quem pode ver o que na clínica odontológica?

O prontuário odontológico é dado pessoal sensível pela LGPD. Se qualquer pessoa da equipe acessa tudo, você está exposto a infração ética pelo CFO, multa administrativa e perda de confiança do paciente. Este guia mostra como segregar perfis por função, montar trilha de auditoria e cumprir a lei sem travar a operação da clínica.

Vinícius Ragazzi
Por Vinícius RagazziAtualizado em 10 de julho de 2026 · 12 min de leitura
TL;DR

Cada função da clínica acessa só o que precisa: recepção vê agenda, auxiliar vê o protocolo, dentista vê o prontuário completo e gestor vê indicadores sem abrir o clínico, conforme a LGPD e o Código de Ética Odontológica.

Pontos-chave
  • A LGPD (Art. 5, inciso II) classifica dado referente à saúde como dado pessoal sensível, exigindo proteção reforçada e segregação de acesso por função na clínica, segundo o texto da lei publicado em lgpd-brasil.info.
  • O Código de Ética Odontológica (Art. 14, I e II) considera infração ética tanto revelar fato sigiloso do paciente quanto negligenciar na orientação dos colaboradores sobre sigilo profissional, conforme a Resolução CFO 118/2012.
  • O prontuário odontológico precisa ser guardado por no mínimo 20 anos, e a digitalização só substitui o papel se o sistema atender ao Nível de Garantia de Segurança 2 (NGS2) da SBIS com assinatura ICP-Brasil, conforme a Resolução CFO 91/2009 e informação do CRO-MG.

Faz parte do guia: Como fazer a gestão da clínica odontológica (agenda, faltas e faturamento)?

Nesta página
  1. TL;DR
  2. Pontos-chave
  3. Por que o prontuário odontológico é dado sensível pela LGPD
  4. O princípio do menor privilégio: cada função acessa só o que precisa
  5. Como segregar perfis por função na clínica
  6. O que diz o Código de Ética Odontológica sobre sigilo
  7. Responsabilidade do dentista supervisor sobre a equipe
  8. Direito do paciente ao próprio prontuário
  9. Trilha de auditoria: quem acessou, quando, o que viu
  10. Medidas técnicas e administrativas que a LGPD exige
  11. Guarda e digitalização do prontuário: os requisitos dos 20 anos
  12. O que acontece quando o acesso não é controlado
  13. Fiscalização: o CRO e o CFO podem pedir o prontuário
  14. Seu próximo passo
  15. Perguntas frequentes

"Quem na clínica deveria poder ver o prontuário completo do paciente e quem só uma parte, para não vazar informação entre profissionais?"

Se qualquer pessoa da sua equipe abre o sistema e enxerga tudo, você tem um problema. Não é só de organização: é de lei, de ética profissional e de risco financeiro.

O prontuário odontológico carrega dado pessoal sensível. A LGPD (Art. 5, II) diz isso de forma explícita. E o Código de Ética Odontológica (Resolução CFO 118/2012) vai além: considera infração ética revelar sigilo do paciente e negligenciar a orientação da equipe sobre esse sigilo.

A boa notícia: controlar quem vê o que não exige trocar de sistema nem parar a operação. Exige segregar perfis por função, criar trilha de auditoria e treinar a equipe. E o custo de não fazer isso é muito maior do que o de organizar.

Neste guia você vai ver:

  • O que a LGPD e o CFO dizem sobre acesso ao prontuário
  • Quais funções devem ver o que (com tabela prática por perfil)
  • Como montar uma trilha de auditoria que protege você na fiscalização
  • Guarda e digitalização: os requisitos legais dos 20 anos
  • O que acontece quando o acesso não é controlado (e quem responde)

Por que o prontuário odontológico é dado sensível pela LGPD

A Lei Geral de Proteção de Dados (Art. 5, inciso II) classifica dado referente à saúde como "dado pessoal sensível". Isso significa que o prontuário do seu paciente tem proteção reforçada por lei, num patamar acima de um cadastro comum de nome e telefone.

Na prática, a clínica não pode deixar qualquer colaborador abrir, consultar ou alterar o prontuário sem justificativa funcional. Cada acesso precisa estar vinculado a uma necessidade real do trabalho daquela pessoa.

Veja o que isso implica: se você não tem perfis de acesso separados no software de gestão, está descumprindo a legislação. Para um panorama completo do que a lei exige da clínica, veja o guia de LGPD para clínicas odontológicas.

Lembre: dado sensível não é conceito teórico. É o prontuário, a radiografia, o plano de tratamento, a anotação clínica. Tudo que identifica a condição de saúde do paciente entra nessa categoria.

O princípio do menor privilégio: cada função acessa só o que precisa

O nome técnico é "princípio da necessidade" ou "menor privilégio". A ideia é simples: cada pessoa na equipe vê apenas as informações indispensáveis para cumprir sua função. Nada mais.

A recepcionista precisa da agenda e do cadastro do paciente para confirmar horário e dados de contato. Ela não precisa ver o prontuário clínico, o plano de tratamento nem o histórico financeiro detalhado.

O auxiliar de saúde bucal precisa do protocolo do procedimento que vai assistir. Não precisa ver o financeiro nem o prontuário de pacientes atendidos por outro dentista.

Parece óbvio. Mas na maioria das clínicas, todo mundo entra com o mesmo login ou com um perfil "administrador" genérico. E isso é exatamente o que a legislação proíbe.

O menor privilégio não é burocracia: é a barreira que impede que uma informação clínica circule por quem não tem relação com aquele atendimento.

Como segregar perfis por função na clínica

Veja como fica a divisão na prática. A tabela abaixo mostra o que cada função da clínica deveria acessar e o que não deveria.

Função O que pode acessar O que NÃO deve acessar
Recepção Agenda, cadastro (nome, telefone, convênio), confirmação de consulta Prontuário clínico, plano de tratamento, financeiro detalhado
Auxiliar / TSB Protocolo do procedimento agendado, ficha de materiais Prontuário de outros pacientes, financeiro, dados de outros dentistas
Dentista responsável Prontuário clínico completo do paciente sob seu cuidado Prontuário de pacientes de outro profissional (sem justificativa clínica)
Gestor / financeiro Indicadores agregados (faturamento, ticket, taxa de conversão), relatórios gerenciais Prontuário clínico individual (sem justificativa clínica ou legal)
TI / suporte Logs de sistema, configuração técnica Conteúdo do prontuário (acesso ao sistema, não ao dado clínico)

A regra de ouro: se a pessoa não precisa da informação para fazer o trabalho dela, ela não deveria ter acesso.

Na hora de configurar o sistema de gestão da clínica, crie perfis distintos para cada grupo. A maioria dos softwares odontológicos já oferece essa funcionalidade. Se o seu não oferece, esse é um critério forte para avaliar qual software usar.

Pontos que merecem atenção na configuração:

  • Dentistas que compartilham paciente. Quando dois profissionais tratam o mesmo paciente (exemplo: o clínico geral encaminha para o implantodontista), ambos precisam de acesso ao prontuário daquele caso. Mas não ao de todos os pacientes do outro
  • Estagiários e temporários. Crie perfis com prazo de validade e revise na saída
  • Sócios não-clínicos. Se o sócio cuida do financeiro e não atende, ele precisa de indicadores, não do prontuário

O que diz o Código de Ética Odontológica sobre sigilo

O Código de Ética Odontológica (Resolução CFO 118/2012) trata o sigilo do prontuário em mais de um artigo. Dois são centrais para o controle de acesso na clínica.

Art. 14, I: constitui infração ética "revelar, sem justa causa, fato sigiloso de que tenha conhecimento em razão do exercício de sua profissão."

Isso vale para o dentista, mas se aplica a qualquer pessoa da equipe que acesse informação do paciente. O dado vazou, a infração está configurada.

Art. 14, II: constitui infração ética "negligenciar na orientação de seus colaboradores quanto ao sigilo profissional."

Repare no detalhe: o artigo não fala "se o colaborador vazar". Fala "negligenciar na ORIENTAÇÃO". Se você não treinou sua equipe sobre sigilo e não definiu regras claras de acesso, você já está em infração, mesmo que nenhum dado tenha vazado ainda.

A responsabilidade é do cirurgião-dentista. Não adianta culpar a recepcionista se ela nunca foi orientada formalmente sobre o que pode e o que não pode acessar.

Responsabilidade do dentista supervisor sobre a equipe

O Art. 14, II já mostra que a responsabilidade sobre sigilo recai no dentista. Mas o Código de Ética vai além.

O Art. 11, XI veda ao cirurgião-dentista "delegar a profissionais técnicos ou auxiliares atos ou atribuições exclusivas da profissão de cirurgião-dentista."

O que isso significa na prática: se um auxiliar ou técnico acessar o prontuário para fazer algo que só o dentista poderia (interpretar diagnóstico, alterar plano de tratamento, emitir laudo), o responsável pela infração é o dentista que delegou ou permitiu.

O controle de acesso no sistema é a sua proteção direta. Se o perfil do auxiliar não permite alterar o prontuário clínico, não existe o risco de delegação indevida. Veja como isso se conecta com a estrutura de time da clínica.

Lembre: o CRO não vai perguntar se o auxiliar agiu por conta própria. Vai perguntar por que o dentista responsável não impediu o acesso.

Direito do paciente ao próprio prontuário

O controle de acesso funciona nos dois sentidos. Da mesma forma que a equipe só deve ver o que precisa, o paciente tem direito de ver tudo que diz respeito a ele.

O Art. 18, I do Código de Ética Odontológica é claro: constitui infração ética "negar, ao paciente ou periciado, acesso a seu prontuário, deixar de lhe fornecer cópia quando solicitada."

A LGPD reforça esse direito: o titular pode solicitar acesso aos dados pessoais tratados pela clínica.

Veja como funciona:

  • O paciente pode pedir cópia do prontuário a qualquer momento
  • A clínica deve fornecer em prazo razoável
  • Não pode cobrar taxa abusiva por isso
  • O prontuário é da clínica (guarda e responsabilidade), mas o conteúdo é do paciente

Ter um processo claro para isso na recepção evita constrangimento e risco ético. Documente quem solicita, quando e o que foi fornecido.

Trilha de auditoria: quem acessou, quando, o que viu

Segregar perfis sem registrar quem acessou o que é como trancar a porta e jogar a chave fora. A trilha de auditoria (log de acesso) é o requisito técnico central para cumprir as exigências de proteção da LGPD.

O que a trilha deve registrar:

  • Quem acessou (login individual, nunca compartilhado)
  • Quando acessou (data e hora exatas)
  • O que visualizou ou alterou (prontuário de qual paciente, qual campo)
  • De onde acessou (IP, dispositivo)

Se houver um incidente (paciente reclama de vazamento, CRO fiscaliza, colaborador é desligado), a trilha é a única forma de provar o que aconteceu e demonstrar diligência.

Sem trilha, você não tem defesa. Com trilha, você identifica a origem de qualquer problema e prova que agiu corretamente.

Pontos práticos para implementar:

  1. Cada pessoa tem seu login. Compartilhar senha elimina a rastreabilidade. Se duas pessoas usam o mesmo login, o log não distingue quem fez o que
  2. Bloqueio automático por inatividade. Se a pessoa sai da mesa, o sistema trava depois de alguns minutos
  3. Senha forte e troca periódica. Parece básico, mas muita clínica ainda usa senhas simples
  4. Revisão mensal dos logs. Não basta registrar. Alguém precisa olhar se houve acesso fora do padrão (horário estranho, volume atípico, prontuário acessado sem consulta agendada)

Medidas técnicas e administrativas que a LGPD exige

O Art. 46 da LGPD determina que "os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados."

Isso se divide em duas frentes, e a maioria das clínicas investe numa e esquece da outra.

Medidas técnicas (o que o sistema faz):

  • Autenticação individual (login e senha por pessoa, nunca compartilhado)
  • Segregação de perfis de acesso por função
  • Criptografia dos dados em repouso e em trânsito
  • Trilha de auditoria (logs de acesso)
  • Backup com acesso restrito e rotina de teste de restauração
  • Bloqueio por tentativas de acesso indevido

Medidas administrativas (o que a gestão faz):

  • Política de acesso escrita e assinada pela equipe
  • Contrato de confidencialidade com todos os colaboradores
  • Treinamento periódico sobre sigilo e proteção de dados (documentado)
  • Procedimento de resposta a incidentes (quem faz o que se um dado vazar)
  • Revisão de acessos na admissão e na demissão (revogar acesso no desligamento)

A parte administrativa pesa tanto quanto a técnica numa fiscalização. Ter o sistema configurado e não ter política escrita nem treinamento documentado é uma lacuna que o CRO e a ANPD vão identificar.

Se a sua clínica usa IA no atendimento, o controle de dados ganha mais uma camada. Veja quem controla os dados quando a IA atende pelo WhatsApp.

Guarda e digitalização do prontuário: os requisitos dos 20 anos

O prontuário odontológico tem regras de guarda que vão além do ciclo de vida do tratamento.

Segundo o CRO-MG, "o prazo mínimo de guarda do prontuário odontológico, em papel ou digitalizado, é de 20 anos a partir da data do último registro", conforme a Resolução CFO 91/2009 e a Lei 13.787/2018.

Se você quer digitalizar e eliminar o papel, precisa atender a requisitos técnicos específicos. Conforme publicação da Revista Odontológica do Brasil Central (ROBRAC), "a Resolução CFO nº 91/2009 autoriza a digitalização de prontuários e o uso de sistemas informatizados para guarda e manuseio, eliminando a obrigatoriedade do registro em papel, desde que o sistema atenda ao Nível de Garantia de Segurança 2 (NGS2) do Manual de Certificação SBIS", com assinatura digital ICP-Brasil.

Na prática, você tem três cenários:

  • Prontuário em papel: guardar 20 anos em local seguro, com controle de acesso físico (sala trancada, arquivo com chave, registro de quem consultou)
  • Prontuário 100% digital: sistema certificado SBIS (NGS2) com assinatura ICP-Brasil. Só nesse caso o papel é dispensável
  • Híbrido: muitas clínicas usam digital para o dia a dia e mantêm papel assinado como backup legal. É a abordagem mais segura quando o sistema ainda não tem certificação SBIS

Lembre: digitalizar sem certificação SBIS não elimina a obrigatoriedade do papel. Se o sistema não atende ao NGS2, o prontuário físico precisa continuar existindo lado a lado com o digital.

O que acontece quando o acesso não é controlado

As consequências de não controlar o acesso ao prontuário atingem três frentes ao mesmo tempo.

Ética (CFO/CRO). O Código de Ética é claro: revelar sigilo (Art. 14, I) e negligenciar orientação da equipe (Art. 14, II) são infrações éticas. A penalidade vai de advertência confidencial a cassação do registro profissional, dependendo da gravidade e da reincidência.

Administrativa (LGPD). A LGPD prevê sanções que incluem advertência, multas proporcionais ao faturamento da empresa e até proibição do tratamento de dados. Incidentes envolvendo dados de saúde tendem a gerar consequências mais severas pelo caráter sensível das informações.

Reputacional. O paciente que descobre que seus dados circularam sem controle perde a confiança. E num mercado onde indicação e reputação online são motores de captação, perder confiança é perder receita. Um único incidente pode custar mais do que anos de investimento em marketing.

O controle de acesso é barato de implementar. A consequência de não tê-lo não é.

Fiscalização: o CRO e o CFO podem pedir o prontuário

Os conselhos regionais (CRO) e o Conselho Federal de Odontologia (CFO) têm poder-dever de fiscalizar o exercício profissional. Isso inclui verificar a existência, a organização e a integridade dos prontuários da clínica.

Numa fiscalização, o CRO pode:

  • Solicitar acesso aos prontuários para verificar regularidade
  • Conferir se a guarda atende ao prazo mínimo de 20 anos
  • Avaliar se a digitalização segue os requisitos NGS2/SBIS quando aplicável
  • Verificar se existe trilha de auditoria funcional
  • Checar se a equipe foi orientada sobre sigilo (treinamento documentado)

Se o prontuário está desorganizado, sem controle de acesso e sem política de sigilo documentada, a clínica fica vulnerável. E a responsabilidade recai sobre o cirurgião-dentista responsável técnico, não sobre a equipe administrativa.

Ter os perfis configurados, a política assinada e os logs funcionando é o que transforma uma fiscalização em formalidade, não em problema.

Seu próximo passo

Você não precisa resolver tudo de uma vez. Comece pelo que protege mais com menos esforço.

  1. Revise os perfis de acesso no seu sistema de gestão hoje. Abra as configurações, confira quem tem acesso a quê e ajuste os perfis por função (recepção, auxiliar, dentista, gestor). Se o sistema não permite segregação, coloque isso como critério na próxima troca de software de gestão

  2. Documente a política de acesso e faça a equipe assinar. Um documento simples, de uma página, dizendo quem acessa o que, que sigilo é obrigatório e que o descumprimento gera consequência. Treine todo mundo e guarde o registro do treinamento

  3. Ative a trilha de auditoria e faça uma revisão mensal. Se o sistema já gera log, ative. Se não, peça ao fornecedor ou avalie alternativas. E defina alguém responsável por conferir os acessos ao menos uma vez por mês

Se a sua clínica já fatura acima de R$100 mil por mês e quer estruturar não só o acesso ao prontuário, mas toda a operação de captação e atendimento de forma previsível, agende uma apresentação.

Perguntas frequentes

O que acontece se a recepcionista acessa o prontuário clínico do paciente?

Se o acesso não é necessário para a função dela, configura tratamento indevido de dado sensível pela LGPD e pode gerar sanção administrativa. Além disso, o cirurgião-dentista responsável pode responder por infração ética se não orientou a equipe sobre sigilo (Art. 14, II do Código de Ética Odontológica).

O paciente pode pedir cópia do próprio prontuário?

Sim. Negar acesso ao prontuário ou deixar de fornecer cópia quando solicitada é infração ética prevista no Art. 18, I do Código de Ética Odontológica. A LGPD também garante ao titular o direito de acesso aos seus dados pessoais.

Prontuário digital precisa de assinatura digital?

Se você quiser eliminar o papel, sim. A Resolução CFO 91/2009 autoriza a digitalização desde que o sistema atenda ao NGS2 da SBIS com assinatura ICP-Brasil. Sem esse requisito, o prontuário em papel continua sendo obrigatório.

Por quanto tempo preciso guardar o prontuário odontológico?

No mínimo 20 anos a partir da data do último registro, conforme a Resolução CFO 91/2009 e a Lei 13.787/2018. Esse prazo vale tanto para o prontuário em papel quanto para o digitalizado.

O CRO pode pedir acesso ao prontuário durante uma fiscalização?

Sim. Os conselhos de fiscalização (CFO e CROs) têm poder-dever de acesso para fiscalizar o exercício profissional. O prontuário deve estar acessível, organizado e com a trilha de auditoria em dia.