Gestão da Clínica

Plano de contingência quando o sistema de prontuário cai: o protocolo que protege a clínica odontológica

Quando o prontuário eletrônico sai do ar, a clínica odontológica não para só de registrar: para de confirmar agenda, para de acessar histórico, para de faturar. A regulação (CFO 91/2009, Lei 13.787/2018, LGPD) exige backup e continuidade. Veja o protocolo completo, do minuto zero à reconciliação, com checklist, tabela e base legal.

Vinícius Ragazzi
Por Vinícius RagazziAtualizado em 10 de julho de 2026 · 15 min de leitura
TL;DR

Você precisa de um protocolo escrito que cubra os primeiros dez minutos (comunicação, registro manual, cadeia de contatos), backup redundante (local e nuvem) e reconciliação pós-retorno, porque a regulação brasileira obriga guarda de 20 anos e a LGPD prevê multa de até 2% do faturamento por falha de segurança em dado de saúde.

Pontos-chave
  • A Resolução CFO 91/2009 e a Lei 13.787/2018 exigem guarda do prontuário por 20 anos após o último registro, em papel ou digital, o que torna backup redundante uma obrigação regulatória, não uma opção de TI. ([Fonte: CRO-MG](https://cromg.org.br/noticias/etica-em-foco-prontuarios/))
  • A LGPD classifica dado de saúde como sensível e prevê multa de até 2% do faturamento limitada a R$50 milhões por infração em caso de falha de segurança ou perda de dados. ([Fonte: Lei 13.709/2018, Art. 52](https://lgpd-brasil.info/capitulo_08/artigo_52))
  • Nas clínicas atendidas pela Odonto Results, 43,8% dos leads chegam fora do horário comercial; se o sistema cai justamente nesse período sem protocolo de contingência, a equipe perde o histórico e o agendamento de quase metade da demanda, dados internos da Odonto Results.

Faz parte do guia: Como fazer a gestão da clínica odontológica (agenda, faltas e faturamento)?

Nesta página
  1. TL;DR
  2. Pontos-chave
  3. Por que toda clínica de porte precisa de um plano formal (não é só TI, é obrigação regulatória)
  4. O que diz a regulação: CFM 1.821/2007, CFO 91/2009 e o NGS2
  5. Prazo de guarda de 20 anos: por que isso obriga backup redundante
  6. LGPD e dado de saúde: o custo real de não ter continuidade
  7. O protocolo dos primeiros dez minutos: comunicação, coordenação e registro manual
  8. Checklist do kit de contingência
  9. Retomada: reconciliar o papel com o sistema sem perder auditoria
  10. Continuidade da agenda: não deixar o paciente que já confirmou virar falta
  11. Risco cibernético: por que o plano de contingência é também defesa contra ransomware
  12. Como transformar isso em rotina testada (simulação trimestral, não plano engavetado)
  13. Seu próximo passo
  14. Perguntas frequentes

"O que acontece na minha clínica se o sistema de prontuário cair agora, neste minuto?"

Se você não tem uma resposta pronta para essa pergunta, o risco é real. Não é só TI fora do ar: é agenda inacessível, histórico do paciente trancado, equipe sem saber o que fazer e faturamento parado.

A regulação brasileira não aceita "o sistema caiu" como justificativa. A Resolução CFO 91/2009 exige guarda de prontuário por 20 anos. A LGPD (Art. 52) prevê multa de até 2% do faturamento, limitada a R$50 milhões, por falha de segurança em dado sensível de saúde.

O problema não é SE o sistema vai cair. É QUANDO.

Neste guia você vai ver:

  • O que a regulação exige de fato (CFM, CFO, LGPD) e o que muda se seu software não é certificado NGS2
  • O protocolo operacional dos primeiros dez minutos após a queda
  • O checklist do kit de contingência pronto para uso
  • Como reconciliar o papel com o sistema sem perder auditoria
  • Como proteger a agenda e o comparecimento durante a indisponibilidade
  • Como transformar o plano em rotina testada, não em documento engavetado

Por que toda clínica de porte precisa de um plano formal (não é só TI, é obrigação regulatória)

A maioria dos donos de clínica trata indisponibilidade de sistema como problema de infraestrutura. "Chama o suporte, espera voltar."

Mas quando o prontuário é eletrônico, a indisponibilidade atinge três camadas ao mesmo tempo:

  • Registro clínico: sem acesso ao histórico, o dentista atende às cegas. Alergia, medicamento em uso, evolução do tratamento, tudo fica trancado.
  • Agenda e confirmação: a equipe não sabe quem vem, não consegue confirmar, e o paciente que já estava agendado pode simplesmente não aparecer.
  • Faturamento e financeiro: procedimentos feitos durante a queda ficam sem registro imediato. Se a redigitação falha, receita se perde.

Dados internos da Odonto Results mostram que 43,8% dos leads chegam fora do horário comercial. Se o sistema cai à noite ou no fim de semana, sem ninguém na clínica com protocolo em mãos, o estrago é ainda maior: quase metade da demanda pode passar sem registro.

O plano de contingência não é "burocracia a mais". É a diferença entre uma queda de duas horas sem impacto e uma queda de duas horas com perda de dados, pacientes que faltam e risco regulatório.

Lembre: a regulação não distingue "sistema caiu" de "negligência". A responsabilidade pela guarda e integridade do prontuário é do responsável técnico, independentemente do que o fornecedor do software fez ou deixou de fazer.

O que diz a regulação: CFM 1.821/2007, CFO 91/2009 e o NGS2

Três normas formam a base legal do prontuário eletrônico no Brasil. Você não precisa decorá-las, mas precisa saber o que exigem na prática.

Norma O que determina Implicação para a clínica
Resolução CFM 1.821/2007 Autoriza uso de prontuário eletrônico desde que atenda integralmente ao NGS2 (Nível de Garantia de Segurança 2) do Manual de Certificação SBIS Se o software não tem certificação NGS2, o papel original não pode ser eliminado
Resolução CFO 91/2009 Estende a autorização à odontologia, com assinatura digital ICP-Brasil Sem ICP-Brasil, o sistema é auxiliar, não substituto do papel
Lei 13.787/2018 Define prazo de guarda de 20 anos após o último registro, papel ou digital Perda de dados dentro dos 20 anos gera responsabilidade direta

A Resolução CFM 1.821/2007 exige que o sistema de prontuário eletrônico atenda "integralmente aos requisitos do Nível de Garantia de Segurança 2 (NGS2)" para que o registro em papel possa ser eliminado (Fonte: CONARQ). Já a Resolução CFO 91/2009 estende essa diretriz à odontologia, exigindo também assinatura digital ICP-Brasil (Fonte: ROBRAC).

O que isso significa para você:

  • Se o seu software tem certificação NGS2 + ICP-Brasil: o sistema é o registro oficial. Uma queda sem backup recuperável equivale a perda de prontuário.
  • Se o seu software não tem certificação NGS2: o papel é o registro oficial, e o sistema é ferramenta auxiliar. Mas isso não elimina o risco: se você opera só no digital (como quase toda clínica), a queda trava a operação do mesmo jeito.

Em ambos os cenários, o plano de contingência é obrigatório. A diferença é que, sem NGS2, você tecnicamente deveria manter papel como registro principal, o que a maioria das clínicas simplesmente não faz.

Prazo de guarda de 20 anos: por que isso obriga backup redundante

O CRO-MG reforça que o prazo mínimo de guarda do prontuário odontológico é de 20 anos a partir da data do último registro, seja em papel ou digitalizado, conforme a Resolução CFO 91/2009 e a Lei 13.787/2018.

Vinte anos é muito tempo. Pense no que pode acontecer com um servidor local nesse período:

  • Disco rígido falha (nenhum HD dura para sempre, e uso contínuo acelera o desgaste)
  • Ransomware criptografa o banco de dados e pede resgate
  • Incêndio, furto ou dano elétrico destrói o equipamento físico
  • O fornecedor do software fecha as portas e o suporte some

Se o seu backup está só no servidor da clínica, um evento desses elimina duas décadas de prontuários de uma vez.

A conta é simples: backup local (HD externo, NAS na clínica) protege contra falha de software. Backup em nuvem protege contra desastre físico. Só os dois juntos cobrem o espectro de risco que 20 anos exigem.

Frequência mínima recomendada:

  • Backup diário automático (incremental) para nuvem e para dispositivo local
  • Backup semanal completo (full) com verificação de integridade
  • Teste trimestral de restauração: restaurar ao menos um dia de registros e conferir que prontuários, agenda e financeiro voltam íntegros

Backup que nunca foi testado não é backup. É esperança.

Lembre: o prazo de 20 anos vale a partir do último registro do paciente, não do primeiro. Se um paciente volta à clínica após 10 anos e você faz uma nova anotação, o relógio reinicia.

LGPD e dado de saúde: o custo real de não ter continuidade

A LGPD (Lei 13.709/2018) classifica dado de saúde como dado pessoal sensível. Isso coloca o prontuário odontológico no nível mais alto de proteção previsto em lei.

O que isso exige na prática:

  • Medidas de segurança técnicas e administrativas para proteger os dados contra acesso não autorizado, destruição, perda ou alteração
  • Registro de incidentes de segurança (incluindo indisponibilidade que resulte em perda de dados)
  • Comunicação à ANPD e aos titulares em caso de incidente que possa acarretar risco ou dano relevante

A sanção prevista no Art. 52 da LGPD é objetiva: "multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração."

Não é só teoria. O setor de saúde no Brasil é alvo crescente de ataques cibernéticos. Ransomware sequestra dados de pacientes e exige pagamento para devolvê-los. Sem backup redundante e sem plano de resposta, a clínica fica refém.

E mesmo sem ataque externo, a simples perda de dados por falha técnica (sem backup restaurável) pode configurar infração à LGPD se houver dano ao titular.

Ter plano de contingência documentado e testado é a principal evidência de diligência que a clínica pode apresentar diante de uma fiscalização. Sem ele, o argumento de "boa-fé" enfraquece.

O protocolo dos primeiros dez minutos: comunicação, coordenação e registro manual

O momento mais crítico de uma queda de sistema são os primeiros minutos. É quando a equipe entra em modo reativo e as decisões erradas se multiplicam.

Aqui está o protocolo dividido em três fases:

Fase 1: Detecção e comunicação (minutos 0 a 3)

  1. Quem detectou a falha avisa imediatamente o coordenador de contingência (geralmente o gerente ou o responsável técnico, definido previamente).
  2. O coordenador confirma que é indisponibilidade real (não é computador individual, Wi-Fi fora, login errado).
  3. O coordenador aciona o suporte do software pelo canal prioritário (telefone, não e-mail) e registra hora exata do chamado.
  4. Um aviso breve vai para toda a equipe: "Sistema fora do ar. Operamos no protocolo manual a partir de agora."

Fase 2: Ativação do registro manual (minutos 3 a 7)

  1. O kit de contingência é retirado do local designado (recepção ou sala do coordenador).
  2. Cada profissional em atendimento recebe formulários manuais de evolução/anamnese.
  3. A recepção puxa a lista impressa de pacientes do dia (atualizada diariamente na abertura) para continuar chamando os pacientes pelo nome e horário.

Fase 3: Estabilização (minutos 7 a 10)

  1. O coordenador avalia a previsão de retorno com o suporte.
  2. Se a previsão é superior a 2 horas: considerar reagendar pacientes das últimas janelas do dia (prefira manter os que já estão na clínica).
  3. Registrar em papel o horário de início da queda, os pacientes atendidos durante a falha e quem abriu o chamado.

Esse protocolo exige uma coisa: que a equipe saiba que ele existe, onde está o kit e quem é o coordenador. Treinamento e simulação resolvem isso (mais sobre isso adiante).

Checklist do kit de contingência

O kit é físico, fica em local fixo e conhecido de toda a equipe. Montar um custa pouco; não ter um custa caro.

Item Quantidade Observação
Formulário de evolução clínica (papel timbrado, campos pré-impressos) 50 cópias Campos: nome do paciente, data/hora, dente/região, procedimento, materiais, evolução, assinatura do profissional
Formulário de anamnese simplificada 20 cópias Para primeiras consultas durante a queda (alergias, medicamentos, condições sistêmicas)
Lista de pacientes do dia (impressa na abertura) 1 por dia Atualizar diariamente antes de abrir a clínica
Cadeia de contatos (folha plastificada) 2 cópias Suporte do software (telefone + protocolo), TI da clínica, responsável técnico, fornecedor de internet, coordenador de contingência
Caneta esferográfica preta 5 unidades Prontuário manual só em caneta preta ou azul (nunca lápis)
Pasta organizadora com divisórias 1 Para separar formulários preenchidos por dentista ou por sala
Carimbo ou etiqueta do profissional 1 por dentista Nome, CRO e especialidade, para agilizar assinatura no papel

Dica: revise o kit no primeiro dia útil de cada mês. Reponha formulários usados, atualize a cadeia de contatos se algum telefone mudou e confirme que a lista de pacientes está sendo impressa diariamente.

Retomada: reconciliar o papel com o sistema sem perder auditoria

A queda em si é metade do problema. A outra metade é o que acontece quando o sistema volta.

Se a equipe não redigita o que foi registrado em papel, você fica com prontuários incompletos, faturamento errado e potencial problema de auditoria. Se redigita de qualquer jeito, sem padrão, duplica registros ou perde detalhes.

O processo de reconciliação precisa ser tão protocolar quanto a contingência:

1. Recolher todos os formulários preenchidos durante a queda.

O coordenador de contingência coleta a pasta, confere que cada formulário tem data, hora, nome do paciente e assinatura do profissional. Formulário sem assinatura não pode ser arquivado.

2. Redigitar no sistema dentro de 24 horas.

Cada profissional redigita seus próprios registros (ele escreveu, ele sabe o contexto). O campo de data e hora no sistema deve refletir o momento real do atendimento, não o momento da digitação.

3. Anotar no registro digital que a entrada veio de contingência manual.

Um campo de observação ("Registro originalmente feito em papel durante indisponibilidade de sistema em DD/MM/AAAA, redigitado em DD/MM/AAAA") preserva a rastreabilidade. Se o sistema tem log de auditoria, essa marcação mostra que o intervalo sem registro digital não foi negligência.

4. Arquivar os formulários em papel.

Não descarte o papel depois da redigitação. Guarde em pasta física por ao menos 12 meses (prazo para qualquer questionamento imediato). Ele é o comprovante de que o atendimento aconteceu e foi registrado no momento, mesmo que o sistema estivesse fora.

5. Registrar o incidente no log da clínica.

Data e hora da queda, duração, causa (se identificada), pacientes atendidos durante o período, data da reconciliação completa. Esse log é a evidência de diligência que a LGPD e o CRO podem pedir.

Continuidade da agenda: não deixar o paciente que já confirmou virar falta

Uma queda de sistema não cancela os pacientes do dia. Eles vão chegar.

O problema é que, sem o sistema, a equipe não sabe quem confirmou, quem é novo, qual o procedimento previsto e se tem alguma restrição clínica no histórico.

Três medidas resolvem isso antes da queda acontecer:

Lista impressa de pacientes do dia. Imprima na abertura da clínica (ou na noite anterior) a agenda completa do dia seguinte: nome, horário, procedimento previsto, telefone de contato. Essa lista deve ficar na recepção, física. Leva dois minutos para gerar e é a primeira linha de defesa.

Confirmação multicanal que não depende do sistema. Se a clínica confirma pacientes via WhatsApp ou telefone, essa etapa pode continuar funcionando mesmo com o sistema fora do ar, desde que a equipe tenha a lista impressa como referência. A confirmação não precisa do prontuário, precisa do nome e do horário.

Atendimento continua, registro fica no papel. O dentista atende normalmente, registra evolução no formulário manual e anota qualquer informação clínica relevante que precisou acessar de memória (e conferir depois, quando o sistema voltar).

Uma pesquisa-ação em unidades de saúde de Piracicaba/SP registrou 3.904 consultas agendadas com 3.488 faltas antes da implementação de um sistema estruturado de prontuário único e organização do registro; a intervenção reduziu faltas em 8 das 12 unidades estudadas (66,6% delas) (Fonte: SciELO, Ciência & Saúde Coletiva). O ponto não é que prontuário único resolve tudo, mas que desorganização no registro é um dos fatores diretos de falta. E uma queda de sistema sem contingência é exatamente isso: desorganização temporária forçada.

Lembre: o paciente não sabe (nem precisa saber) que o sistema caiu. Ele marcou, confirmou e veio. A experiência dele na clínica não pode mudar por um problema interno de infraestrutura.

Risco cibernético: por que o plano de contingência é também defesa contra ransomware

Plano de contingência não é só para "o servidor travou". Ataques de ransomware ao setor de saúde no Brasil crescem a cada ano. O prontuário odontológico, por conter dados sensíveis protegidos pela LGPD, é um alvo de valor.

O padrão de um ataque de ransomware é simples:

  1. O invasor ganha acesso ao sistema (phishing, senha fraca, software desatualizado)
  2. Criptografa o banco de dados inteiro (prontuários, agenda, financeiro)
  3. Exige pagamento (em criptomoeda) para devolver o acesso

Sem backup externo (fora do servidor da clínica), pagar o resgate vira a única opção para recuperar os dados. E mesmo pagando, não há garantia de que os dados voltem íntegros.

O plano de contingência protege contra esse cenário em duas frentes:

  • Backup em nuvem isolado (que o ransomware não alcança porque não está na mesma rede) permite restaurar os dados sem pagar resgate.
  • Protocolo manual mantém a clínica operando durante a restauração, sem suspender atendimentos.

Medidas preventivas que reduzem o risco:

  • Senhas fortes e autenticação em dois fatores para acesso ao sistema
  • Atualizações de software em dia (patches de segurança)
  • Treinamento da equipe para identificar e-mails de phishing
  • Acesso ao servidor restrito (não compartilhar login genérico)
  • Segmentação da rede (o computador da recepção não precisa ter acesso administrativo ao servidor)

A prevenção é a primeira camada. O plano de contingência é a segunda. As duas juntas é o que a LGPD chama de "medidas de segurança técnicas e administrativas."

Como transformar isso em rotina testada (simulação trimestral, não plano engavetado)

Um plano de contingência que ninguém na equipe conhece é o mesmo que não ter plano. A diferença entre documento de gaveta e rotina funcional é uma palavra: simulação.

O que testar a cada trimestre:

  1. Simule a queda. Desligue o acesso ao sistema por 30 minutos numa janela de baixo movimento (exemplo: terça-feira às 7h30, antes de abrir). A equipe opera no protocolo manual.
  2. Avalie a execução. O coordenador cronometra quanto tempo levou para ativar o kit, se todos sabiam onde estava, se os formulários foram preenchidos corretamente.
  3. Teste a restauração do backup. Peça ao suporte do software (ou à TI) para restaurar um backup em ambiente separado e confirme que os dados voltam íntegros: prontuários, agenda, financeiro.
  4. Atualize o plano com o que falhou. Se o formulário de evolução não tinha campo para materiais utilizados, corrija. Se a cadeia de contatos estava desatualizada, atualize. O plano melhora a cada ciclo.

Quem participa:

  • Toda a equipe clínica (dentistas, auxiliares, recepção)
  • O coordenador de contingência
  • O responsável técnico da clínica
Periodicidade Ação Responsável
Diário Imprimir lista de pacientes do dia Recepção
Mensal Revisar e repor kit de contingência Coordenador
Trimestral Simulação de queda + teste de restauração de backup Coordenador + TI/Suporte
Semestral Revisar o plano completo e atualizar normas se houver mudança Responsável técnico

O objetivo não é criar mais reunião. É gastar 30 minutos por trimestre para garantir que, quando a queda real acontecer, ninguém precise pensar no que fazer. Já sabe.

Leia também: LGPD na clínica: como tratar os dados de leads e pacientes

Leia também: Como migrar o prontuário de papel para digital sem parar a clínica

Leia também: Como organizar prontuário e processos na clínica odontológica

Seu próximo passo

  1. Monte o kit de contingência esta semana. Imprima os formulários, plastifique a cadeia de contatos, defina quem é o coordenador. Custo baixo, impacto alto.
  2. Agende a primeira simulação trimestral. Escolha uma data de baixo movimento, desconecte o sistema por 30 minutos e rode o protocolo com a equipe inteira. Anote o que falhou e corrija.
  3. Verifique seu backup agora. Pergunte ao seu fornecedor de software: com que frequência o backup roda, onde ele fica armazenado (local e nuvem), e quando foi a última restauração testada com sucesso. Se a resposta for vaga, resolva antes da próxima segunda-feira.

Quer que a sua clínica tenha previsibilidade do anúncio ao comparecimento, com sistema de captação e atendimento que não depende de sorte? Agende uma apresentação.

Perguntas frequentes

Quanto tempo meu prontuário odontológico precisa ficar guardado?

Vinte anos a partir da data do último registro, seja em papel ou digital. Essa exigência vem da Resolução CFO 91/2009 e da Lei 13.787/2018. Se o sistema perder dados antes desse prazo, a responsabilidade é do responsável técnico da clínica.

Posso eliminar o prontuário em papel se já tenho o digital?

Só se o sistema atender integralmente ao Nível de Garantia de Segurança 2 (NGS2) do Manual de Certificação SBIS, com assinatura digital ICP-Brasil. Se o software não tem essa certificação, o papel original precisa ser mantido.

A LGPD se aplica ao prontuário odontológico?

Sim. Dado de saúde é classificado como dado pessoal sensível pela LGPD. Isso significa que a clínica precisa garantir segurança e backup adequados, e a multa por falha pode chegar a 2% do faturamento, limitada a R$50 milhões por infração.

Com que frequência devo testar a restauração do backup?

A boa prática é testar trimestralmente. Um backup que nunca foi testado pode falhar justamente na hora da emergência. Inclua no teste a restauração completa de ao menos um dia de registros e confirme que prontuários, agenda e financeiro voltam íntegros.

O que faço se o sistema cair no meio de um atendimento?

Registre evolução, procedimento e observações no formulário manual de contingência (papel timbrado com campos pré-impressos). Ao retorno do sistema, redigite exatamente o que foi escrito em papel, mantendo data e hora originais, e arquive o papel como comprovante de reconciliação.