RESOLUÇÃO CFM nº 1.639/2002 - 10 julho 2002
O CONSELHO FEDERAL DE MEDICINA, no uso das atribuições
que lhe confere a Lei nº 3.268, de 30 de setembro de 1957, regulamentada
pelo Decreto nº 44.045, de 19 de julho de 1958, e
CONSIDERANDO que o médico tem o dever de elaborar
o prontuário para cada paciente a que assiste, conforme previsto
no art. 69 do Código de Ética Médica;
CONSIDERANDO que os dados que compõem o prontuário
pertencem ao paciente e devem estar permanentemente disponíveis,
de modo que, quando solicitado por ele ou seu representante legal, permitam
o fornecimento de cópias autênticas das informações
a ele pertinentes;
CONSIDERANDO o teor da Resolução CFM nº
1.605/2000, que dispõe sobre o fornecimento das informações
do prontuário à autoridade judiciária requisitante;
CONSIDERANDO que o sigilo profissional, que visa preservar
a privacidade do indivíduo, deve estar sujeito às normas
estabelecidas na legislação e no Código de Ética
Médica, independente do meio utilizado para o armazenamento dos
dados no prontuário, seja eletrônico ou em papel;
CONSIDERANDO o volume de documentos armazenados pelos
estabelecimentos de saúde e consultórios médicos em
decorrência da necessidade de manutenção dos prontuários;
CONSIDERANDO os avanços da tecnologia da informação
e de telecomunicações, que oferecem novos métodos
de armazenamento e de transmissão de dados;
CONSIDERANDO a legislação arquivística
brasileira, que normatiza a guarda, a temporalidade e a classificação
dos documentos, inclusive dos prontuários médicos;
CONSIDERANDO o disposto na Resolução CFM
nº 1.638/2002, de 10 de julho de 2002, que define prontuário
médico e cria as Comissões de Revisão de Prontuários
nos estabelecimentos e/ou instituições de saúde;
CONSIDERANDO o teor do Parecer CFM nº 30/2002, aprovado
na Sessão Plenária de 10 de julho de 2002;
CONSIDERANDO, finalmente, o decidido em Sessão
Plenária de 10 de julho de 2002.
RESOLVE:
Art. 1º - Aprovar as "Normas Técnicas para
o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário
Médico", anexas à esta resolução, possibilitando
a elaboração e o arquivamento do prontuário em meio
eletrônico.
Art. 2º - Estabelecer a guarda permanente para os
prontuários médicos arquivados eletronicamente em meio óptico
ou magnético, e microfilmados.
Art. 3º - Recomendar a implantação
da Comissão Permanente de Avaliação de Documentos
em todas as unidades que prestam assistência médica e são
detentoras de arquivos de prontuários médicos, tomando como
base as atribuições estabelecidas na legislação
arquivística brasileira (a Resolução CONARQ nº
7/97, a NBR nº 10.519/88, da ABNT, e o Decreto nº 4.073/2002,
que regulamenta a Lei de Arquivos – Lei nº 8.159/91).
Art. 4º - Estabelecer o prazo mínimo de 20
(vinte) anos, a partir do último registro, para a preservação
dos prontuários médicos em suporte de papel.
Parágrafo único – Findo o prazo estabelecido
no caput, e considerando o valor secundário dos prontuários,
a Comissão Permanente de Avaliação de Documentos,
após consulta à Comissão de Revisão de Prontuários,
deverá elaborar e aplicar critérios de amostragem para a
preservação definitiva dos documentos em papel que apresentem
informações relevantes do ponto de vista médico-científico,
histórico e social.
Art. 5º - Autorizar, no caso de emprego da microfilmagem,
a eliminação do suporte de papel dos prontuários microfilmados,
de acordo com os procedimentos previstos na legislação arquivística
em vigor (Lei nº 5.433/68 e Decreto nº 1.799/96), após
análise obrigatória da Comissão Permanente de Avaliação
de Documentos da unidade médico hospitalar geradora do arquivo.
Art. 6º - Autorizar, no caso de digitalização
dos prontuários, a eliminação do suporte de papel
dos mesmos, desde que a forma de armazenamento dos documentos digitalizados
obedeça à norma específica de digitalização
contida no anexo desta resolução e após análise
obrigatória da Comissão Permanente de Avaliação
de Documentos da unidade médico-hospitalar geradora do arquivo.
Art. 7º - O Conselho Federal de Medicina e a Sociedade
Brasileira de Informática em Saúde (SBIS), mediante convênio
específico, expedirão, quando solicitados, a certificação
dos sistemas para guarda e manuseio de prontuários eletrônicos
que estejam de acordo com as normas técnicas especificadas no anexo
a esta resolução.
Art. 8º - Esta resolução entra em
vigor na data de sua publicação.
Art. 9º - Fica revogada a Resolução
CFM nº 1.331/89 e demais disposições em contrário.
Brasília-DF, 10 de julho de 2002
EDSON DE OLIVEIRA ANDRADE RUBENS DOS SANTOS SILVA
Presidente Secretário-Geral
NORMAS TÉCNICAS PARA O USO DE SISTEMAS INFORMATIZADOS PARA A GUARDA E MANUSEIO DO PRONTUÁRIO MÉDICO
I. Integridade da Informação e Qualidade
do Serviço – O sistema de informações deverá
manter a integridade da informação através do controle
de vulnerabilidades, de métodos fortes de autenticação,
do controle de acesso e métodos de processamento dos sistemas operacionais
conforme a norma ISO/IEC 15408, para segurança dos processos de
sistema.
II. Cópia de Segurança – Deverá
ser feita cópia de segurança dos dados do prontuário
pelo menos a cada 24 horas. Recomenda-se que o sistema de informação
utilizado possua a funcionalidade de forçar a realização
do processo de cópia de segurança diariamente. O procedimento
de back-up deve seguir as recomendações da norma ISO/IEC
17799, através da adoção dos seguintes controles:
a. Documentação do processo de backup/restore;
b. As cópias devem ser mantidas em local distante
o suficiente para livrá-las de danos que possam ocorrer nas instalações
principais;
c. Mínimo de três cópias para aplicações
críticas;
d. Proteções físicas adequadas de
modo a impedir acesso não autorizado;
e. Possibilitar a realização de testes
periódicos de restauração.
I. Bancos de Dados – Os dados do prontuário deverão
ser armazenados em sistema que assegure, pelo menos, as seguintes características:
a. Compartilhamento dos dados;
b. Independência entre dados e programas;
c. Mecanismos para garantir a integridade, controle de
conformidade e validação dos dados;
d. Controle da estrutura física e lógica;
e. Linguagem para a definição e manipulação
de dados (SQL – Standard Query Language);
f. Funções de auditoria e recuperação
dos dados.
II. Privacidade e Confidencialidade – Com o objetivo de
garantir a privacidade, confidencialidade dos dados do paciente e o sigilo
profissional, faz-se necessário que o sistema de informações
possua mecanismos de acesso restrito e limitado a cada perfil de usuário,
de acordo com a sua função no processo assistencial:
a. Recomenda-se que o profissional entre pessoalmente
com os dados assistenciais do prontuário no sistema de informação;
b. A delegação da tarefa de digitação
dos dados assistenciais coletados a um profissional administrativo não
exime o médico, fornecedor das informações, da sua
responsabilidade desde que o profissional administrativo esteja inserindo
estes dados por intermédio de sua senha de acesso;
c. A senha de acesso será delegada e controlada
pela senha do médico a quem o profissional administrativo está
subordinado;
d. Deve constar da trilha de auditoria quem entrou com
a informação;
e. Todos os funcionários de áreas administrativas
e técnicas que, de alguma forma, tiverem acesso aos dados do prontuário
deverão assinar um termo de confidencialidade e não-divulgação,
em conformidade com a norma ISO/IEC 17799.
I. Autenticação – O sistema de informação
deverá ser capaz de identificar cada usuário através
de algum método de autenticação. Em se tratando de
sistemas de uso local, no qual não haverá transmissão
da informação para outra instituição, é
obrigatória a utilização de senhas. As senhas deverão
ser de no mínimo 5 caracteres, compostos por letras e números.
Trocas periódicas das senhas deverão ser exigidas pelo sistema
no período máximo de 60 (sessenta) dias. Em hipótese
alguma o profissional poderá fornecer a sua senha a outro usuário,
conforme preconiza a norma ISO/IEC 17799. O sistema de informações
deve possibilitar a criação de perfis de usuários
que permita o controle de processos do sistema.
II. Auditoria – O sistema de informações
deverá possuir registro (log) de eventos, conforme prevê a
norma ISO/IEC 17799. Estes registros devem conter:
a. A identificação dos usuários
do sistema;
b. Datas e horários de entrada (log-on) e saída
(log-off) no sistema;
c.
d. Identidade do terminal e, quando possível,
a sua localização;
e. Registro das tentativas de acesso ao sistema, aceitas
e rejeitadas;
f. Registro das tentativas de acesso a outros recursos
e dados, aceitas e rejeitadas.
g. Registro das exceções e de outros eventos
de segurança relevantes devem ser mantidos por um período
de tempo não inferior a 10 (dez) anos, para auxiliar em investigações
futuras e na monitoração do controle de acesso.
I. Transmissão de Dados – Para a transmissão
remota de dados identificados do prontuário, os sistemas deverão
possuir um certificado digital de aplicação única
emitido por uma AC (Autoridade Certificadora) credenciada pelo ITI responsável
pela AC Raiz da estrutura do ICP-Brasil, a fim de garantir a identidade
do sistema.
II. Certificação do software – A verificação
do atendimento destas normas poderá ser feita através de
processo de certificação do software junto ao CFM, conforme
especificado a seguir.
III. Digitalização de prontuários
- Os arquivos digitais oriundos da digitalização do prontuário
médico deverão ser controlados por módulo do sistema
especializado que possua as seguintes características.
a. Mecanismo próprio de captura de imagem em preto
e branco e colorida independente do equipamento scanner;
b. Base de dados própria para o armazenamento
dos arquivos digitalizados;
c. Método de indexação que permita
criar um arquivamento organizado, possibilitando a pesquisa futura de maneira
simples e eficiente;
d. Mecanismo de pesquisa utilizando informações
sobre os documentos, incluindo os campos de indexação e o
texto contido nos documentos digitalizados, para encontrar imagens armazenadas
na base de dados;
e. Mecanismos de controle de acesso que garantam o acesso
a documentos digitalizados somente por pessoas autorizadas.
CERTIFICAÇÃO DOS SISTEMAS INFORMATIZADOS
PARA A GUARDA E
MANUSEIO DO PRONTUÁRIO MÉDICO
Todas as pessoas físicas, organizações
ou empresas desenvolvedoras de sistemas informatizados para a guarda e
manuseio do prontuário médico que desejarem obter a certificação
do CFM e da SBIS deverão cumprir os seguintes passos:
1. Responder e enviar, via Internet, o questionário
básico, disponível na página do CFM: http://www.cfm.org.br/certificacao;
2. O questionário remetido será analisado
pelo CFM/SBIS, que emitirá um parecer inicial aprovando ou não
o sistema proposto. Este parecer será enviado, via Internet, ao
postulante;
3. Caso aprovado, os sistemas de gestão de consultórios
e pequenas clínicas (sistemas de menor complexidade) deverão
ser encaminhados à sede do CFM para análise. Os sistemas
de gestão hospitalar ou de redes de atenção à
saúde (sistemas de maior complexidade) que não possam ser
enviados serão analisados "in loco" (sob a responsabilidade do CFM/SBIS);
4. O processo de avaliação consistirá
na análise do cumprimento das normas técnicas acima elencadas.
A aprovação do sistema estará condicionada ao cumprimento
de todas as normas estabelecidas;
5. Em caso de não-aprovação do sistema,
serão especificados os motivos para que as reformulações
necessárias sejam encaminhadas;
6. Uma vez aprovado o sistema na versão analisada,
além do documento de certificação o CFM e a SBIS emitirão
um selo digital de qualidade que poderá ser incorporado na tela
de abertura do sistema;
7. A tabela de custos para o processo de certificação
dos sistemas de informação de prontuário eletrônico
encontra-se disponível no site http://www.cfm.org.br/certificacao;
8. A certificação deverá ser revalidada
a cada nova versão do sistema, seguindo os mesmos trâmites
anteriormente descritos.
Maiores Informações sobre prontuário
eletrônico 
Informaçôes sobre Credenciamento
no CFM - SBIS 
Comentários sobre a Resolução do
CFM 
DR. MARCELO BRITO, Medico Ortopedista, Diretor do HTO Hospital, Presidente da Associação de Hospitais de Feira de Santana e Pos graduando em Economia em Saúde pela FGV.
O que aparentemente é uma contradição,
na realidade não é. Vejamos. Os arquivos originados em papel
devem ser armazenados em qualquer meio que permita sua autenticação
e exame pericial. Hoje podemos autenticar documentos digitais e existe
perícia técnica para comprovar fraude digital (lembra da
perícia no painel eletrônico do senado?).
Participei da Infoimagem de 2001 da Cenadem (www.cenadem.com.br)
em SP e uma das palestras foi a experiência do Incor/SP que já
adota o prontuário eletrônico ha anos. Perceba que o Incor
recebe muitas demandas judiciais sendo ele, Incor, autor, réu e
terceiro. Em todas as demandas a justiça solicitou o prontuário
médico e o Incor mandava o prontuário impresso com assinatura
do seu Diretor. No inicio várias varas recusaram os documentos e
exigiram os originais e o Incor explicava que estes eram os originais.
Estes prontuários nasceram digitais jamais existiram em papel. A
justiça aceitou os argumentos e recebeu as impressões.
O CFM também no inicio recusou o reconhecimento
dos prontuários eletrônicos mas varias ações
na justiça obrigaram o CFM a aceitar os documentos como válidos
alegando-se cerceamento do direito de defesa do hospital, clinica e/ou
medico. O CFM para não mais passar vergonha emitiu a resolução
acatando o prontuário eletrônico.
A ICP-Brasil (www.icpbrasil.gov.br) esta regulamentando
a autenticação de documentos escaniados e a assinatura digital
com autenticação de firma. Já imaginou você
reconhecer uma assinatura em cartório sem precisar se deslocar para
o próprio cartório.
O artigo descrito contraria outra resolução
que permite a microfilmagem do prontuário. Ademais em janeiro deve
entrar em vigor o novo código civil que determina o prazo de 3 ou
5 anos para ações no judiciário contra médicos,
dentistas, hospitais e profissionais de saúde. Esta resolução
deve cair logo, o código de processo civil é lei maior e
sobrepõe uma resolução de conselho de classe.
Não deixe de visitar as páginas acima indicadas.
Parabéns pela Presidência e espero ter atendido
seus anseios nos esclarecimentos, Abraços,
Marcelo
DR. ANDRE LEMOS - Administrador de Empresas - Consultor especialista em certificação digital.
Quanto à CFM n 1.639/2002, o artigo 4 enfoca os prontuários passivos (já impressos) e que não tiveram no momento de sua elaboração a assinatura eletrônica agregada, que tem objetivo de dar valor legal ao arquivo eletrônico. Já para a massa passiva de documentos (seja ela prontuários ou qualquer outro tipo de documento passivo de fiscalização) a solução para migração do físico para o eletrônico esta prevista na MP 2200-2 e na lei 8935/94, onde o documento deverá ser digitalizado e autenticado com assinatura eletrônica do responsável pelo documento, pelo responsável pela digitalização e por último por um tabelião de notas, para dar fé pública de que o documento agora digital corresponde a um original apresentado, que passa a ser dispensável. Vejo vários benefícios neste processo, dentre outros o fato da guarda de documentos eletrônicos apresentar vantagens inúmeras em relação a guarda de documentos físicos. (*)
COMPLEMENTOS FORNECIDO PELO CRO/RS
Projeto LEI 7316/2002 Assinaturas
eletrônicas e prestação serviços certificação
DECRETO 1.799, Regulamenta a Lei n°
5.433, microfilmagem de documentos oficiais
DECRETO 4.073 / 2002 Regulamenta
a Lei no 8.159 - arquivos públicos e privados
LEI Nº 5.433 - 1968 - Regula
a microfilmagem arquivos públicos e privados
Resolução CONARQ 07 -
1997
CFM Nº 30/2002 - Prontuário
eletrônico
Comissão Arquivos Digitais - CRO-RS 