Controle de acesso ao prontuário: quem pode ver o que na clínica odontológica?
O prontuário odontológico é dado pessoal sensível pela LGPD. Se qualquer pessoa da equipe acessa tudo, você está exposto a infração ética pelo CFO, multa administrativa e perda de confiança do paciente. Este guia mostra como segregar perfis por função, montar trilha de auditoria e cumprir a lei sem travar a operação da clínica.
Cada função da clínica acessa só o que precisa: recepção vê agenda, auxiliar vê o protocolo, dentista vê o prontuário completo e gestor vê indicadores sem abrir o clínico, conforme a LGPD e o Código de Ética Odontológica.
- A LGPD (Art. 5, inciso II) classifica dado referente à saúde como dado pessoal sensível, exigindo proteção reforçada e segregação de acesso por função na clínica, segundo o texto da lei publicado em lgpd-brasil.info.
- O Código de Ética Odontológica (Art. 14, I e II) considera infração ética tanto revelar fato sigiloso do paciente quanto negligenciar na orientação dos colaboradores sobre sigilo profissional, conforme a Resolução CFO 118/2012.
- O prontuário odontológico precisa ser guardado por no mínimo 20 anos, e a digitalização só substitui o papel se o sistema atender ao Nível de Garantia de Segurança 2 (NGS2) da SBIS com assinatura ICP-Brasil, conforme a Resolução CFO 91/2009 e informação do CRO-MG.
Faz parte do guia: Como fazer a gestão da clínica odontológica (agenda, faltas e faturamento)?
Nesta página
- TL;DR
- Pontos-chave
- Por que o prontuário odontológico é dado sensível pela LGPD
- O princípio do menor privilégio: cada função acessa só o que precisa
- Como segregar perfis por função na clínica
- O que diz o Código de Ética Odontológica sobre sigilo
- Responsabilidade do dentista supervisor sobre a equipe
- Direito do paciente ao próprio prontuário
- Trilha de auditoria: quem acessou, quando, o que viu
- Medidas técnicas e administrativas que a LGPD exige
- Guarda e digitalização do prontuário: os requisitos dos 20 anos
- O que acontece quando o acesso não é controlado
- Fiscalização: o CRO e o CFO podem pedir o prontuário
- Seu próximo passo
- Perguntas frequentes
"Quem na clínica deveria poder ver o prontuário completo do paciente e quem só uma parte, para não vazar informação entre profissionais?"
Se qualquer pessoa da sua equipe abre o sistema e enxerga tudo, você tem um problema. Não é só de organização: é de lei, de ética profissional e de risco financeiro.
O prontuário odontológico carrega dado pessoal sensível. A LGPD (Art. 5, II) diz isso de forma explícita. E o Código de Ética Odontológica (Resolução CFO 118/2012) vai além: considera infração ética revelar sigilo do paciente e negligenciar a orientação da equipe sobre esse sigilo.
A boa notícia: controlar quem vê o que não exige trocar de sistema nem parar a operação. Exige segregar perfis por função, criar trilha de auditoria e treinar a equipe. E o custo de não fazer isso é muito maior do que o de organizar.
Neste guia você vai ver:
- O que a LGPD e o CFO dizem sobre acesso ao prontuário
- Quais funções devem ver o que (com tabela prática por perfil)
- Como montar uma trilha de auditoria que protege você na fiscalização
- Guarda e digitalização: os requisitos legais dos 20 anos
- O que acontece quando o acesso não é controlado (e quem responde)
Por que o prontuário odontológico é dado sensível pela LGPD
A Lei Geral de Proteção de Dados (Art. 5, inciso II) classifica dado referente à saúde como "dado pessoal sensível". Isso significa que o prontuário do seu paciente tem proteção reforçada por lei, num patamar acima de um cadastro comum de nome e telefone.
Na prática, a clínica não pode deixar qualquer colaborador abrir, consultar ou alterar o prontuário sem justificativa funcional. Cada acesso precisa estar vinculado a uma necessidade real do trabalho daquela pessoa.
Veja o que isso implica: se você não tem perfis de acesso separados no software de gestão, está descumprindo a legislação. Para um panorama completo do que a lei exige da clínica, veja o guia de LGPD para clínicas odontológicas.
Lembre: dado sensível não é conceito teórico. É o prontuário, a radiografia, o plano de tratamento, a anotação clínica. Tudo que identifica a condição de saúde do paciente entra nessa categoria.
O princípio do menor privilégio: cada função acessa só o que precisa
O nome técnico é "princípio da necessidade" ou "menor privilégio". A ideia é simples: cada pessoa na equipe vê apenas as informações indispensáveis para cumprir sua função. Nada mais.
A recepcionista precisa da agenda e do cadastro do paciente para confirmar horário e dados de contato. Ela não precisa ver o prontuário clínico, o plano de tratamento nem o histórico financeiro detalhado.
O auxiliar de saúde bucal precisa do protocolo do procedimento que vai assistir. Não precisa ver o financeiro nem o prontuário de pacientes atendidos por outro dentista.
Parece óbvio. Mas na maioria das clínicas, todo mundo entra com o mesmo login ou com um perfil "administrador" genérico. E isso é exatamente o que a legislação proíbe.
O menor privilégio não é burocracia: é a barreira que impede que uma informação clínica circule por quem não tem relação com aquele atendimento.
Como segregar perfis por função na clínica
Veja como fica a divisão na prática. A tabela abaixo mostra o que cada função da clínica deveria acessar e o que não deveria.
| Função | O que pode acessar | O que NÃO deve acessar |
|---|---|---|
| Recepção | Agenda, cadastro (nome, telefone, convênio), confirmação de consulta | Prontuário clínico, plano de tratamento, financeiro detalhado |
| Auxiliar / TSB | Protocolo do procedimento agendado, ficha de materiais | Prontuário de outros pacientes, financeiro, dados de outros dentistas |
| Dentista responsável | Prontuário clínico completo do paciente sob seu cuidado | Prontuário de pacientes de outro profissional (sem justificativa clínica) |
| Gestor / financeiro | Indicadores agregados (faturamento, ticket, taxa de conversão), relatórios gerenciais | Prontuário clínico individual (sem justificativa clínica ou legal) |
| TI / suporte | Logs de sistema, configuração técnica | Conteúdo do prontuário (acesso ao sistema, não ao dado clínico) |
A regra de ouro: se a pessoa não precisa da informação para fazer o trabalho dela, ela não deveria ter acesso.
Na hora de configurar o sistema de gestão da clínica, crie perfis distintos para cada grupo. A maioria dos softwares odontológicos já oferece essa funcionalidade. Se o seu não oferece, esse é um critério forte para avaliar qual software usar.
Pontos que merecem atenção na configuração:
- Dentistas que compartilham paciente. Quando dois profissionais tratam o mesmo paciente (exemplo: o clínico geral encaminha para o implantodontista), ambos precisam de acesso ao prontuário daquele caso. Mas não ao de todos os pacientes do outro
- Estagiários e temporários. Crie perfis com prazo de validade e revise na saída
- Sócios não-clínicos. Se o sócio cuida do financeiro e não atende, ele precisa de indicadores, não do prontuário
O que diz o Código de Ética Odontológica sobre sigilo
O Código de Ética Odontológica (Resolução CFO 118/2012) trata o sigilo do prontuário em mais de um artigo. Dois são centrais para o controle de acesso na clínica.
Art. 14, I: constitui infração ética "revelar, sem justa causa, fato sigiloso de que tenha conhecimento em razão do exercício de sua profissão."
Isso vale para o dentista, mas se aplica a qualquer pessoa da equipe que acesse informação do paciente. O dado vazou, a infração está configurada.
Art. 14, II: constitui infração ética "negligenciar na orientação de seus colaboradores quanto ao sigilo profissional."
Repare no detalhe: o artigo não fala "se o colaborador vazar". Fala "negligenciar na ORIENTAÇÃO". Se você não treinou sua equipe sobre sigilo e não definiu regras claras de acesso, você já está em infração, mesmo que nenhum dado tenha vazado ainda.
A responsabilidade é do cirurgião-dentista. Não adianta culpar a recepcionista se ela nunca foi orientada formalmente sobre o que pode e o que não pode acessar.
Responsabilidade do dentista supervisor sobre a equipe
O Art. 14, II já mostra que a responsabilidade sobre sigilo recai no dentista. Mas o Código de Ética vai além.
O Art. 11, XI veda ao cirurgião-dentista "delegar a profissionais técnicos ou auxiliares atos ou atribuições exclusivas da profissão de cirurgião-dentista."
O que isso significa na prática: se um auxiliar ou técnico acessar o prontuário para fazer algo que só o dentista poderia (interpretar diagnóstico, alterar plano de tratamento, emitir laudo), o responsável pela infração é o dentista que delegou ou permitiu.
O controle de acesso no sistema é a sua proteção direta. Se o perfil do auxiliar não permite alterar o prontuário clínico, não existe o risco de delegação indevida. Veja como isso se conecta com a estrutura de time da clínica.
Lembre: o CRO não vai perguntar se o auxiliar agiu por conta própria. Vai perguntar por que o dentista responsável não impediu o acesso.
Direito do paciente ao próprio prontuário
O controle de acesso funciona nos dois sentidos. Da mesma forma que a equipe só deve ver o que precisa, o paciente tem direito de ver tudo que diz respeito a ele.
O Art. 18, I do Código de Ética Odontológica é claro: constitui infração ética "negar, ao paciente ou periciado, acesso a seu prontuário, deixar de lhe fornecer cópia quando solicitada."
A LGPD reforça esse direito: o titular pode solicitar acesso aos dados pessoais tratados pela clínica.
Veja como funciona:
- O paciente pode pedir cópia do prontuário a qualquer momento
- A clínica deve fornecer em prazo razoável
- Não pode cobrar taxa abusiva por isso
- O prontuário é da clínica (guarda e responsabilidade), mas o conteúdo é do paciente
Ter um processo claro para isso na recepção evita constrangimento e risco ético. Documente quem solicita, quando e o que foi fornecido.
Trilha de auditoria: quem acessou, quando, o que viu
Segregar perfis sem registrar quem acessou o que é como trancar a porta e jogar a chave fora. A trilha de auditoria (log de acesso) é o requisito técnico central para cumprir as exigências de proteção da LGPD.
O que a trilha deve registrar:
- Quem acessou (login individual, nunca compartilhado)
- Quando acessou (data e hora exatas)
- O que visualizou ou alterou (prontuário de qual paciente, qual campo)
- De onde acessou (IP, dispositivo)
Se houver um incidente (paciente reclama de vazamento, CRO fiscaliza, colaborador é desligado), a trilha é a única forma de provar o que aconteceu e demonstrar diligência.
Sem trilha, você não tem defesa. Com trilha, você identifica a origem de qualquer problema e prova que agiu corretamente.
Pontos práticos para implementar:
- Cada pessoa tem seu login. Compartilhar senha elimina a rastreabilidade. Se duas pessoas usam o mesmo login, o log não distingue quem fez o que
- Bloqueio automático por inatividade. Se a pessoa sai da mesa, o sistema trava depois de alguns minutos
- Senha forte e troca periódica. Parece básico, mas muita clínica ainda usa senhas simples
- Revisão mensal dos logs. Não basta registrar. Alguém precisa olhar se houve acesso fora do padrão (horário estranho, volume atípico, prontuário acessado sem consulta agendada)
Medidas técnicas e administrativas que a LGPD exige
O Art. 46 da LGPD determina que "os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados."
Isso se divide em duas frentes, e a maioria das clínicas investe numa e esquece da outra.
Medidas técnicas (o que o sistema faz):
- Autenticação individual (login e senha por pessoa, nunca compartilhado)
- Segregação de perfis de acesso por função
- Criptografia dos dados em repouso e em trânsito
- Trilha de auditoria (logs de acesso)
- Backup com acesso restrito e rotina de teste de restauração
- Bloqueio por tentativas de acesso indevido
Medidas administrativas (o que a gestão faz):
- Política de acesso escrita e assinada pela equipe
- Contrato de confidencialidade com todos os colaboradores
- Treinamento periódico sobre sigilo e proteção de dados (documentado)
- Procedimento de resposta a incidentes (quem faz o que se um dado vazar)
- Revisão de acessos na admissão e na demissão (revogar acesso no desligamento)
A parte administrativa pesa tanto quanto a técnica numa fiscalização. Ter o sistema configurado e não ter política escrita nem treinamento documentado é uma lacuna que o CRO e a ANPD vão identificar.
Se a sua clínica usa IA no atendimento, o controle de dados ganha mais uma camada. Veja quem controla os dados quando a IA atende pelo WhatsApp.
Guarda e digitalização do prontuário: os requisitos dos 20 anos
O prontuário odontológico tem regras de guarda que vão além do ciclo de vida do tratamento.
Segundo o CRO-MG, "o prazo mínimo de guarda do prontuário odontológico, em papel ou digitalizado, é de 20 anos a partir da data do último registro", conforme a Resolução CFO 91/2009 e a Lei 13.787/2018.
Se você quer digitalizar e eliminar o papel, precisa atender a requisitos técnicos específicos. Conforme publicação da Revista Odontológica do Brasil Central (ROBRAC), "a Resolução CFO nº 91/2009 autoriza a digitalização de prontuários e o uso de sistemas informatizados para guarda e manuseio, eliminando a obrigatoriedade do registro em papel, desde que o sistema atenda ao Nível de Garantia de Segurança 2 (NGS2) do Manual de Certificação SBIS", com assinatura digital ICP-Brasil.
Na prática, você tem três cenários:
- Prontuário em papel: guardar 20 anos em local seguro, com controle de acesso físico (sala trancada, arquivo com chave, registro de quem consultou)
- Prontuário 100% digital: sistema certificado SBIS (NGS2) com assinatura ICP-Brasil. Só nesse caso o papel é dispensável
- Híbrido: muitas clínicas usam digital para o dia a dia e mantêm papel assinado como backup legal. É a abordagem mais segura quando o sistema ainda não tem certificação SBIS
Lembre: digitalizar sem certificação SBIS não elimina a obrigatoriedade do papel. Se o sistema não atende ao NGS2, o prontuário físico precisa continuar existindo lado a lado com o digital.
O que acontece quando o acesso não é controlado
As consequências de não controlar o acesso ao prontuário atingem três frentes ao mesmo tempo.
Ética (CFO/CRO). O Código de Ética é claro: revelar sigilo (Art. 14, I) e negligenciar orientação da equipe (Art. 14, II) são infrações éticas. A penalidade vai de advertência confidencial a cassação do registro profissional, dependendo da gravidade e da reincidência.
Administrativa (LGPD). A LGPD prevê sanções que incluem advertência, multas proporcionais ao faturamento da empresa e até proibição do tratamento de dados. Incidentes envolvendo dados de saúde tendem a gerar consequências mais severas pelo caráter sensível das informações.
Reputacional. O paciente que descobre que seus dados circularam sem controle perde a confiança. E num mercado onde indicação e reputação online são motores de captação, perder confiança é perder receita. Um único incidente pode custar mais do que anos de investimento em marketing.
O controle de acesso é barato de implementar. A consequência de não tê-lo não é.
Fiscalização: o CRO e o CFO podem pedir o prontuário
Os conselhos regionais (CRO) e o Conselho Federal de Odontologia (CFO) têm poder-dever de fiscalizar o exercício profissional. Isso inclui verificar a existência, a organização e a integridade dos prontuários da clínica.
Numa fiscalização, o CRO pode:
- Solicitar acesso aos prontuários para verificar regularidade
- Conferir se a guarda atende ao prazo mínimo de 20 anos
- Avaliar se a digitalização segue os requisitos NGS2/SBIS quando aplicável
- Verificar se existe trilha de auditoria funcional
- Checar se a equipe foi orientada sobre sigilo (treinamento documentado)
Se o prontuário está desorganizado, sem controle de acesso e sem política de sigilo documentada, a clínica fica vulnerável. E a responsabilidade recai sobre o cirurgião-dentista responsável técnico, não sobre a equipe administrativa.
Ter os perfis configurados, a política assinada e os logs funcionando é o que transforma uma fiscalização em formalidade, não em problema.
Seu próximo passo
Você não precisa resolver tudo de uma vez. Comece pelo que protege mais com menos esforço.
-
Revise os perfis de acesso no seu sistema de gestão hoje. Abra as configurações, confira quem tem acesso a quê e ajuste os perfis por função (recepção, auxiliar, dentista, gestor). Se o sistema não permite segregação, coloque isso como critério na próxima troca de software de gestão
-
Documente a política de acesso e faça a equipe assinar. Um documento simples, de uma página, dizendo quem acessa o que, que sigilo é obrigatório e que o descumprimento gera consequência. Treine todo mundo e guarde o registro do treinamento
-
Ative a trilha de auditoria e faça uma revisão mensal. Se o sistema já gera log, ative. Se não, peça ao fornecedor ou avalie alternativas. E defina alguém responsável por conferir os acessos ao menos uma vez por mês
Se a sua clínica já fatura acima de R$100 mil por mês e quer estruturar não só o acesso ao prontuário, mas toda a operação de captação e atendimento de forma previsível, agende uma apresentação.
Perguntas frequentes
O que acontece se a recepcionista acessa o prontuário clínico do paciente?
Se o acesso não é necessário para a função dela, configura tratamento indevido de dado sensível pela LGPD e pode gerar sanção administrativa. Além disso, o cirurgião-dentista responsável pode responder por infração ética se não orientou a equipe sobre sigilo (Art. 14, II do Código de Ética Odontológica).
O paciente pode pedir cópia do próprio prontuário?
Sim. Negar acesso ao prontuário ou deixar de fornecer cópia quando solicitada é infração ética prevista no Art. 18, I do Código de Ética Odontológica. A LGPD também garante ao titular o direito de acesso aos seus dados pessoais.
Prontuário digital precisa de assinatura digital?
Se você quiser eliminar o papel, sim. A Resolução CFO 91/2009 autoriza a digitalização desde que o sistema atenda ao NGS2 da SBIS com assinatura ICP-Brasil. Sem esse requisito, o prontuário em papel continua sendo obrigatório.
Por quanto tempo preciso guardar o prontuário odontológico?
No mínimo 20 anos a partir da data do último registro, conforme a Resolução CFO 91/2009 e a Lei 13.787/2018. Esse prazo vale tanto para o prontuário em papel quanto para o digitalizado.
O CRO pode pedir acesso ao prontuário durante uma fiscalização?
Sim. Os conselhos de fiscalização (CFO e CROs) têm poder-dever de acesso para fiscalizar o exercício profissional. O prontuário deve estar acessível, organizado e com a trilha de auditoria em dia.