Do ponto de vista ético-profissional, deve o médico e a Instituição de saúde (por meio de seu diretor técnico) noticiar o fato imediatamente à Comissão de Revisão de Prontuário, ao diretor técnico da Instituição, ao Conselho Regional de Medicina e ao paciente.
Da perspectiva legal (inclusive, segundo determinam as normas da LGPD), deve a empresa comunicar o fato ao seu DPO (que é o encarregado pela proteção de dados da empresa) que, por sua vez, reportará o acontecimento ao presidente da Comissão de privacidade, se houver.
E mais: A Instituição, como controladora desses dados, deverá informar o extravio à Agência Nacional de Proteção de Dados (ANPD) e ao paciente (ou ao seu representante legal).
Obs: Todas as instituições de saúde DEVEM ter um plano de resposta à incidentes de segurança de dados pessoais, justamente para que, em ocorrendo, os riscos e prejuízos sejam minimizados.
Conclusão: Não adie, não hesite, não deixe “pontas soltas”. Esteja em compliance. Adote a cultura da proteção de dados em sua instituição, e PROVE que assim agiu. A LGPD valoriza as boas práticas.
Ah, consulte imediatamente um advogado especialista em Direito Médico para colocar tudo em ordem.
