Voltar ao Blog
Capa: Prontuário Eletrônico CFM: Assinatura Digital Válida

Prontuário Eletrônico CFM: Assinatura Digital Válida

11 min readPedro Impulcetto

O prontuário eletrônico tem validade jurídica quando cada registro é assinado com certificado digital padrão ICP-Brasil e o sistema é certificado pela SBIS-CFM no nível NGS2. Nessas condições, ele tem o mesmo valor probatório de um prontuário em papel assinado à mão, de acordo com a Lei nº 13.787/2018.

Assinatura digital no prontuário eletrônico é o uso de um certificado criptográfico emitido no âmbito da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) para vincular a autoria e garantir a integridade de cada anotação clínica. Ela substitui a assinatura manuscrita e comprova quem escreveu, quando escreveu e que o conteúdo não foi alterado depois.

Esse detalhe define se o documento vai sustentar você em uma auditoria do Conselho Regional de Medicina ou em um processo judicial. Um prontuário digitado num editor de texto comum, sem certificado, não tem presunção legal de veracidade. Já o registro assinado com ICP-Brasil, pelo artigo 10 da Medida Provisória nº 2.200-2/2001, é presumido verdadeiro perante quem o assinou.

Médico assina prontuário eletrônico digitalmente com certificado ICP-Brasil no consultório

O prontuário eletrônico tem validade jurídica?

Sim, desde que atenda a duas condições técnicas. A primeira é a assinatura com certificado digital ICP-Brasil em cada registro. A segunda é a guarda em sistema certificado pela Sociedade Brasileira de Informática em Saúde em convênio com o CFM (SBIS-CFM). Reunidos esses dois requisitos, a Lei nº 13.787/2018 reconhece ao documento digital o mesmo valor probatório do original em papel, para todos os fins de direito.

A base dessa equivalência vem de antes. O artigo 10 da MP nº 2.200-2/2001 estabelece que documentos eletrônicos assinados com certificado ICP-Brasil presumem-se verdadeiros em relação ao signatário. É a mesma força jurídica de uma firma reconhecida em cartório, aplicada ao ambiente digital.

Vale separar dois conceitos que costumam se confundir. Validade jurídica não é o mesmo que segurança da informação. Um sistema pode ser seguro e ainda assim não gerar documentos com valor probatório, se não usar assinatura ICP-Brasil. Por isso a certificação técnica importa tanto quanto a criptografia. Para uma visão mais ampla do impacto operacional, o material sobre vantagens do prontuário eletrônico na gestão da clínica mostra onde a conformidade encontra a rotina.

O que dá valor de prova ao registro digital

Três elementos, verificados juntos, sustentam o documento em uma disputa:

  • Autenticidade: o certificado ICP-Brasil identifica de forma inequívoca quem assinou o registro.
  • Integridade: qualquer alteração posterior quebra a assinatura criptográfica e fica evidente na verificação.
  • Tempestividade: o carimbo de data e hora comprova o momento exato da anotação, o que evita a acusação de registro feito depois do fato.

Qual assinatura digital o CFM exige para o prontuário eletrônico?

O CFM exige assinatura com certificado digital padrão ICP-Brasil. Não basta uma assinatura eletrônica genérica. A distinção é jurídica e prática: só o certificado ICP-Brasil recebe a presunção de veracidade prevista na MP 2.200-2/2001.

Existem três categorias de assinatura eletrônica no Brasil, e apenas uma resolve para o prontuário. A tabela abaixo separa o que serve do que não serve neste contexto.

Tipo de assinaturaExemploPresunção de veracidadeVale no prontuário?
SimplesLogin e senha, código por SMSNãoNão
AvançadaBiometria, assinatura em plataforma sem ICP-BrasilNão (depende de prova adicional)Não
Qualificada (ICP-Brasil)Certificado A1, A3, ou nuvem credenciadaSim (art. 10, MP 2.200-2)Sim

Segundo o Instituto Nacional de Tecnologia da Informação (ITI), autarquia que mantém a ICP-Brasil, apenas o certificado qualificado carrega a validade jurídica plena. Na hora de escolher a autoridade emissora, o comparativo entre BirdID, VIDaaS e SafeID para certificado médico ajuda a decidir entre certificado em token e certificado em nuvem.

Token de certificado digital ICP-Brasil conectado ao computador em consultório médico

O que é a certificação SBIS-CFM (NGS2)?

Certificação SBIS-CFM é o selo de conformidade que atesta que um sistema de prontuário eletrônico cumpre os requisitos técnicos e de segurança aprovados pelo Conselho Federal de Medicina. Ela é organizada em níveis, e o Nível de Garantia de Segurança 2 (NGS2) é o que interessa para quem quer eliminar o papel.

A Resolução CFM nº 1.821/2007 autoriza a eliminação do prontuário físico apenas para sistemas que atendam ao NGS2. Esse é o único nível que exige assinatura digital ICP-Brasil em cada documento. Um sistema no nível anterior até armazena registros, mas obriga a manter a via impressa.

Na prática, o NGS2 verifica um conjunto de requisitos antes de liberar o selo:

  1. Assinatura digital ICP-Brasil: cada registro clínico precisa ser assinado com certificado qualificado.
  2. Controle de acesso: identificação individual do usuário, com trilha de auditoria de quem leu ou alterou cada campo.
  3. Integridade dos dados: mecanismos que impedem alteração silenciosa de anotações já assinadas.
  4. Disponibilidade e backup: rotinas que garantem recuperação dos dados e continuidade do atendimento.
  5. Sigilo e criptografia: proteção do dado sensível em trânsito e em repouso, alinhada à LGPD.

Antes de contratar ou migrar de software, confirme o selo diretamente com o fornecedor e peça o número da certificação. Vários problemas de conformidade nascem aqui, como mostra o guia de erros na implantação do prontuário eletrônico.

Profissional de saúde revisa prontuário digital seguro em tablet na clínica moderna

É obrigatório imprimir o prontuário eletrônico?

Não, quando o sistema tem certificação SBIS-CFM no nível NGS2. Nesse cenário, o prontuário pode ser 100% digital, sem nenhuma via em papel. A dispensa da impressão é justamente o benefício que o NGS2 destrava, porque o sistema já garante a assinatura ICP-Brasil e a integridade exigidas por lei.

Se o sistema não tem NGS2, a leitura muda. A clínica precisa imprimir e assinar fisicamente cada registro, ou corre o risco de manter documentos sem valor probatório. É um retrabalho que anula boa parte do ganho da digitalização.

Fora do prontuário, alguns documentos têm regra própria. A prescrição eletrônica, o atestado e o laudo seguem normas específicas de assinatura, mas todos convergem para o mesmo padrão: certificado ICP-Brasil. Ou seja, o médico que já tem seu certificado resolve prontuário, receita e atestado com a mesma credencial.

Por quanto tempo guardar e como descartar?

O prazo mínimo de guarda é de 20 anos, contados a partir do último registro feito no prontuário. A regra vale para o documento em papel digitalizado e para o que nasce digital, conforme a Lei 13.787/2018 e a Resolução CFM nº 1.821/2007. Para pacientes menores de idade, o prazo costuma ser contado a partir de quando completam 18 anos.

Passados os 20 anos, o descarte é permitido. Aqui entra a Lei Geral de Proteção de Dados: prontuário é dado pessoal sensível, então a eliminação precisa ser segura e documentada, sem deixar cópias recuperáveis. A Autoridade Nacional de Proteção de Dados (ANPD) fiscaliza o tratamento e o descarte desses dados no Brasil.

A tabela resume os principais prazos e responsabilidades para não deixar dúvida.

SituaçãoPrazo ou regraBase legal
Guarda mínima20 anos após o último registroLei 13.787/2018 e Resolução CFM 1.821/2007
Paciente menor de idadeConta a partir dos 18 anos do pacienteResolução CFM 1.821/2007
Descarte após o prazoEliminação segura de dado sensívelLGPD (Lei 13.709/2018)
Acesso do pacienteDireito a cópia a qualquer momentoCódigo de Ética Médica

O acesso do paciente merece atenção à parte, porque é fonte frequente de dúvida na recepção. O tema está detalhado no guia sobre acesso ao prontuário eletrônico e os direitos do paciente segundo o CFM.

Perguntas frequentes sobre prontuário eletrônico e assinatura digital

O prontuário eletrônico substitui totalmente o papel?

Substitui, desde que o sistema tenha certificação SBIS-CFM no nível NGS2 e cada registro seja assinado com certificado ICP-Brasil. Sem esse nível de certificação, a clínica precisa manter a via impressa e assinada à mão para garantir valor probatório. O selo é o que autoriza abandonar o papel.

Assinatura com login e senha vale no prontuário?

Não. Login e senha caracterizam uma assinatura eletrônica simples, sem presunção legal de veracidade. Para o prontuário eletrônico, o CFM exige o certificado digital qualificado padrão ICP-Brasil, único que equivale à assinatura manuscrita perante a lei. Códigos por SMS ou biometria isolada, sem ICP-Brasil, também não bastam.

Preciso de um certificado digital para cada médico da clínica?

Sim. O certificado ICP-Brasil é pessoal e intransferível, vinculado ao CPF do profissional. Cada médico que registra ou assina prontuários precisa do próprio certificado, seja A1, A3 ou em nuvem. Isso garante a identificação individual exigida pela trilha de auditoria do NGS2 e evita que um registro seja atribuído à pessoa errada.

O que acontece se um registro for alterado depois de assinado?

A alteração quebra a assinatura criptográfica e fica registrada. Sistemas NGS2 não permitem apagar uma anotação já assinada; eles criam uma nova versão com data, hora e autor, preservando o histórico original. Essa rastreabilidade protege o médico, porque comprova a evolução real do atendimento em uma eventual perícia.

Resumo

O prontuário eletrônico tem validade jurídica quando reúne assinatura com certificado ICP-Brasil e sistema certificado pela SBIS-CFM no nível NGS2. Nessas condições, ele equivale ao papel pela Lei 13.787/2018 e pela MP 2.200-2/2001, dispensa a impressão e deve ser guardado por no mínimo 20 anos. Sem esses requisitos, o registro perde presunção de veracidade.

Na hora de escolher ou revisar o sistema da sua clínica, confirme o número da certificação SBIS-CFM e verifique se cada registro é assinado com ICP-Brasil. O prontuário eletrônico do ByDoctor foi pensado para essa conformidade, com assinatura digital integrada, trilha de auditoria e guarda segura dos dados. Assim você digitaliza o atendimento sem abrir mão do valor jurídico de cada documento.

Artigos relacionados