Descarte de Prontuários Médicos após 20 anos: o que o CFM exige de médicos e clínicas
Descarte de Prontuários Médicos após 20 anos: o que o CFM exige de médicos e clínicas
Dr. Flávio Nogueira Cavalcanti
O que mudou com o Parecer CFM nº 19/2026
O Conselho Federal de Medicina publicou recentemente o Parecer CFM nº 19/2026, esclarecendo de forma definitiva como médicos, clínicas e hospitais devem proceder no descarte de prontuários médicos após o decurso do prazo mínimo de guarda. A norma confirma que prontuários podem ser eliminados após 20 anos contados do último registro de atendimento, mesmo que não tenham sido digitalizados — desde que observados requisitos rigorosos de segurança, sigilo profissional e rastreabilidade do procedimento de descarte.
A novidade desfaz uma dúvida que assombrava consultórios e instituições de saúde há anos: muitos profissionais mantinham toneladas de papel armazenadas indefinidamente, por receio de violar o sigilo médico ou de ficar sem prova documental em eventual demanda judicial. O CFM agora dá segurança jurídica para a eliminação física, mas exige que o procedimento seja conduzido com cautela técnica e documental.
Outro ponto relevante é que não há obrigação de comunicar previamente os pacientes sobre o descarte, o que simplifica significativamente a operação. Ainda assim, isso não significa liberdade para descartar de qualquer maneira: a responsabilidade pelo sigilo, mesmo após a eliminação, permanece com o médico ou com a instituição.
A quem se aplica a nova orientação
A regra atinge todos os profissionais e estabelecimentos que produzem e custodiam prontuários médicos no Brasil:
- Consultórios individuais e clínicas de pequeno porte;
- Clínicas multidisciplinares e centros médicos;
- Hospitais públicos e privados;
- Operadoras de planos de saúde, no que tange à documentação clínica sob sua guarda;
- Serviços de medicina diagnóstica (laboratórios, imagem, anatomia patológica).
Vale lembrar que, embora o CFM autorize o descarte após 20 anos, outras normas podem impor prazos diferentes em situações específicas. É o caso, por exemplo, de prontuários de pacientes pediátricos (em que o prazo prescricional para ações de responsabilidade civil só começa a correr a partir da maioridade) ou de documentos vinculados a processos judiciais, administrativos ou éticos em andamento. Nessas hipóteses, a guarda deve ser estendida.
Por que o tema é mais sensível do que parece
O prontuário médico não é apenas um registro técnico do atendimento. Trata-se de documento sigiloso, protegido pelo Código de Ética Médica, pelo Código Civil e pela Lei Geral de Proteção de Dados (LGPD). Ao classificar dados de saúde como "dados pessoais sensíveis", a LGPD elevou consideravelmente o nível de proteção exigido — e, por consequência, o risco de responsabilização em caso de vazamento, perda ou descarte inadequado.
Um prontuário descartado sem critério em sacos de lixo comum, por exemplo, pode resultar em:
Responsabilização ética
Processo ético-profissional perante o Conselho Regional de Medicina (CRM), com sanções que vão da advertência confidencial à cassação do exercício profissional.
Responsabilização civil
Ação indenizatória movida pelo paciente ou seus familiares por danos morais decorrentes da violação de sigilo, com valores que frequentemente superam a casa das dezenas de milhares de reais.
Sanções administrativas pela ANPD
Multas de até 2% do faturamento da pessoa jurídica, limitadas a R$ 50 milhões por infração, além de bloqueio e eliminação compulsória de dados.
Responsabilização criminal
Em casos extremos, configuração do crime de violação de segredo profissional (art. 154 do Código Penal).
O que médicos e clínicas devem fazer agora
O Parecer CFM nº 19/2026 não autoriza um descarte casual. Ele estabelece um procedimento que precisa ser planejado, documentado e auditável. Veja os passos práticos:
1. Mapeie o acervo
Levante todos os prontuários sob sua guarda, identificando data do último registro, suporte (papel ou digital) e situação clínica/jurídica do paciente. Sem esse inventário, não há como demonstrar que apenas documentos elegíveis foram eliminados.
2. Verifique exceções ao prazo de 20 anos
Antes de qualquer eliminação, confirme se o prontuário não está vinculado a:
- Ação judicial em curso (cível, criminal, trabalhista);
- Processo ético no CRM;
- Auditoria de operadora de plano de saúde;
- Investigação de órgãos públicos (Ministério Público, ANS, Vigilância Sanitária);
- Paciente menor de idade cujo prazo prescricional ainda não correu integralmente.
3. Defina o método de descarte
A eliminação deve impossibilitar qualquer reconstituição do conteúdo. Os meios usualmente aceitos são:
- Fragmentação mecânica por trituradores industriais (shredders) com nível de segurança adequado;
- Incineração controlada em estabelecimentos licenciados;
- Desmagnetização e destruição física de mídias digitais (HDs, pen drives, fitas).
Descarte em lixo comum, reciclagem convencional ou venda como aparas de papel está absolutamente vedado.
4. Contrate empresa especializada (quando aplicável)
Se a destruição for terceirizada, exija contrato com cláusulas específicas de confidencialidade, responsabilidade pela cadeia de custódia e emissão de certificado de destruição. A empresa deve estar regularizada ambientalmente.
5. Documente todo o procedimento
Este é o ponto mais negligenciado e o mais relevante do ponto de vista jurídico. A rastreabilidade exige:
- Ata ou termo de descarte assinado pelo médico responsável técnico;
- Listagem dos prontuários eliminados (identificação do paciente, número de registro, data do último atendimento);
- Certificado emitido pela empresa contratada;
- Registro fotográfico ou em vídeo do procedimento, quando possível;
- Arquivamento dessa documentação por prazo equivalente ao da guarda original.
Em uma eventual ação judicial movida por ex-paciente, essa documentação será a única defesa do médico ou da clínica.
6. Atualize políticas internas e o RIPD
Para instituições sujeitas à LGPD, é indispensável que o procedimento de descarte esteja previsto na política de privacidade, no Relatório de Impacto à Proteção de Dados Pessoais (RIPD) e nos contratos com operadores de dados. O Encarregado (DPO) deve ser envolvido em cada ciclo de eliminação.
7. Atenção redobrada para prontuários digitais
A versão eletrônica exige protocolos adicionais: exclusão lógica e física dos registros, eliminação de backups, destruição de mídias físicas obsoletas e revogação de acessos. Manter prontuário digital "esquecido" em servidor antigo é tão arriscado quanto deixar caixas de papel no porão.
O risco de não fazer nada
Há uma tentação compreensível de adiar essa discussão e manter o acervo intacto "por garantia". Trata-se, contudo, de uma falsa segurança. Manter prontuários além do necessário multiplica o risco de vazamento, eleva custos com armazenagem, dificulta a conformidade com a LGPD (que exige minimização de dados) e pode, em última análise, gerar mais passivos do que o descarte criterioso.
Por outro lado, descartar sem método é simplesmente trocar um risco pelo outro, agora ampliado pela responsabilidade ética e pela exposição midiática que casos de vazamento de dados de saúde costumam atrair.
Como o escritório pode ajudar
A implementação de um programa de descarte conforme envolve análise documental, revisão contratual, adequação à LGPD e estruturação de políticas internas — tarefas que demandam atuação conjunta de advogados especializados em Direito Médico e Proteção de Dados.
A equipe de Direito Médico do Trad & Cavalcanti Advogados atua há quase três décadas ao lado de médicos, clínicas e hospitais, oferecendo consultoria preventiva para evitar contingências éticas, cíveis e regulatórias. Caso sua instituição precise estruturar ou revisar o procedimento de descarte de prontuários à luz do Parecer CFM nº 19/2026, nossa equipe está à disposição para análise personalizada.
Fale diretamente com um sócio
A primeira conversa é sem custo. Conte sua situação e entenda o que o direito pode fazer por você.