O CREMESP publicou, no Diário Oficial de 22 de novembro de 2024, a Resolução nº 385/2024, que regulamenta o uso do prontuário eletrônico e tecnologias de informação em saúde.
A nova norma, que já se encontra em vigor, estabelece que os estabelecimentos de saúde de médio e grande porte deverão ter um coordenador médico qualificado, com a finalidade de apoiar o Responsável Técnico (“RT”) na supervisão dos sistemas e processos de tecnologia da informação e comunicação em saúde aplicados pela instituição aos processos médicos. Na ausência desse profissional, o Conselho permite que o RT acumule essa função.
De acordo com as funções atribuídas, na prática, o Coordenador Médico ou o Responsável Técnico, se for o caso, deverá realizar, dentre outras, diversas tarefas que dizem respeito ao acesso, uso e desenvolvimento dos sistemas de informação do estabelecimento de saúde, realizando, por exemplo, auditorias frequentes para identificação do uso adequado.
Embora a Resolução nº 385/2024 seja um avanço ao alinhar práticas de gestão de dados de saúde com as exigências da LGPD, ela também apresenta desafios operacionais para os estabelecimentos de saúde. A exigência de maior monitoramento, governança e rastreabilidade pode demandar investimentos significativos em tecnologia e treinamento, além de maior cuidado na escolha de fornecedores de sistemas.
Trazemos abaixo os pontos de maior impacto aos agentes do setor, conforme análise:
Assinaturas eletrônicas (art. 2º, inciso II): os estabelecimentos de saúde, por meio do coordenador médico ou Responsável Técnico, devem garantir a inclusão de assinaturas eletrônicas nos prontuários. Por isso, recomenda-se revisar contratos com fornecedores para assegurar conformidade técnica, sobretudo em instituições que utilizam softwares ou serviços terceirizados para gestão de teleatendimentos.
Monitoramento de acessos (art. 3º, § 3º e arts. 16 a 18): é obrigatório que os estabelecimentos garantam o rastreamento de acessos aos sistemas, indicando o que foi acessado e quando. Por isso, consideramos imprescindível que os sistemas contratados pelos estabelecimentos de saúde possuam ferramentas adequadas para monitoramento e rastreabilidade.
Inteligência artificial (art. 7º): o uso de IA baseada em evidências e literatura científica reconhecida é permitido, de modo que a responsabilidade final permanece com os médicos. Recomenda-se análise de riscos e governança sobre IA.
Uso de dados para pesquisa (art. 10): o uso secundário de dados em saúde, como para gestão, ensino, pesquisa, finalidades epidemiológicas, judiciais ou melhorias de soluções, exige o consentimento prévio e inequívoco do titular. Importante verificar, neste item, que haverá a necessidade de harmonizar esse requisito com outras normas aplicáveis às pesquisas envolvendo seres humanos.
Proibição de uso econômico (art. 15): define-se que dados não podem ser usados para fins econômicos sem consentimento. Essa previsão não é inovadora, pois regulamentações específicas do setor, bem como a própria LGPD, já impõem restrições.
Acesso aos Sistemas pelos Médicos: Em relação ao acesso concedido aos médicos para navegação no sistema, o Conselho destaca que deve ser único, pessoal e intransferível, de modo que se possa monitorar e rastrear o que e quando foi acessado. Chama atenção o fato de que, se o estabelecimento não dispuser de impressão em papel, com nível de segurança 2, deverá oferecer, gratuitamente, aos médicos, o serviço de assinatura avançada ou qualificada.
Dados de Saúde: Em consonância com as normas em vigor, a Resolução reforça a responsabilidade do serviço de saúde em guardar os dados e todas as informações do prontuário eletrônico, tendo que disponibilizá-las sempre que solicitado. Os dados, porém, são de titularidade do paciente, por essa razão, a Resolução confere ao paciente a faculdade de solicitar a remoção de um dado, que nunca poderá ser eliminado por conveniência do serviço de saúde. Para garantir a segurança dos dados, a Resolução exige o uso de softwares com a certificação SBIS e-RES.
Capacitação obrigatória: Ao ingressar no estabelecimento de saúde, o profissional médico deverá receber, de forma gratuita e durante o seu horário de atividade como médico na instituição, treinamento específico em torno dos Sistemas de Informação em Saúde utilizados e, de forma periódica, quanto às melhorias que acontecerem.
Pontos como a proibição de uso econômico de dados merecem atenção, pois podem gerar insegurança jurídica, dada a necessidade de harmonizar o entendimento com demais normas aplicáveis. Isso porque a LGPD já prevê a vedação da comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica (art. 11, § 4º) – exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde.
Além disso, importante salientar que compreendemos que a exigência da Resolução de necessidade de fornecimento de consentimento pelo titular de dados em determinadas hipóteses vai de encontro às disposições já presentes na Lei Geral de Proteção de Dados (LGPD). Isso porque, ao exigir que seja fornecido o necessário consentimento do paciente nas hipóteses presentes no art. 10, pressupõe a chamada “hierarquia de bases legais” – inexistente na norma federal.
As bases legais estão presentes no art. 7º e 11 da norma, e determinam as possibilidades nas quais o agente de tratamento (Controlador ou Operador) poderá realizar o tratamento dos dados pessoais. Neste caso, cabe ao responsável pelas informações compreender qual a legitimidade jurídica presente nos mencionados artigos como mais adequada para uso correto das informações. Assim, pelos termos da lei específica, inexiste uma base legal que deva prevalecer sobre outra.
Desse modo, compreendemos que a Resolução, ao demandar o necessário consentimento do paciente para o uso secundário das informações, não está em harmonia com a LGPD. Por isso, visando uma interpretação segura das normas aplicáveis, indicamos que os estabelecimentos considerem as justificativas legais mais apropriadas em cada situação, respeitando as melhores práticas e, em caso de dúvidas, normas federais – como a própria LGPD.
Sendo assim, compreendemos que a Resolução nº 385/2024 reforça a importância da conformidade com as normas do setor e de privacidade, de modo que os estabelecimentos deverão revisar processos, contratações e sistemas para atender às novas exigências. No entanto, também precisam de atenção redobrada para compreender os termos trazidos na Resolução em consonância com as legislações já existentes.
É válido reforçar, porém, que o CREMESP, em nosso entendimento, deveria abordar esses aspectos não como uma exigência normativa aos estabelecimentos de saúde, mas por meio de uma política de fomento, dado que a competência conferida aos Conselhos Regionais, nos termos da Lei n° 3.268/1957, restringe-se à fiscalização dos aspectos éticos que envolvem o exercício profissional do médico. Ou seja, tratar de forma aprofundada sobre manejo de dados de saúde como o faz a Resolução n° 385/2024 não é tarefa que competiria legalmente ao CREMESP. De todo modo, a norma permanece válida e em vigor.
As equipes Inovação e Life Sciences & Healthcare do Machado Nunes estão prontas para ajudar com qualquer dúvida sobre o tema e apoiar na condução de demandas relacionadas.
Rua Oscar Freire, 379 - 9º andar
CEP 01426-900 • Jardins - SP