Descarte de prontuários médicos após 20 anos: o que o CFM determina e como evitar riscos jurídicos
Descarte de prontuários médicos após 20 anos: o que o CFM determina e como evitar riscos jurídicos
Dr. Flávio Nogueira Cavalcanti
CFM define regras claras para o descarte de prontuários médicos
O Conselho Federal de Medicina publicou o Parecer CFM nº 19/2026, esclarecendo um tema que há anos gerava insegurança entre médicos, clínicas e hospitais: a possibilidade de descartar prontuários físicos após o prazo legal de guarda. Segundo a manifestação do CFM, divulgada em seu portal oficial, os prontuários médicos podem ser eliminados após 20 anos contados do último registro, desde que observados requisitos rigorosos de segurança, sigilo e rastreabilidade do procedimento — e isso vale inclusive para documentos que nunca foram digitalizados.
A novidade tem impacto direto na rotina de consultórios, clínicas e hospitais que acumularam, ao longo de décadas, toneladas de papel guardadas em arquivos físicos. Embora a permissão pareça simples, o descarte inadequado pode gerar consequências graves: responsabilização civil por violação de sigilo, sanções éticas no Conselho Regional de Medicina e, em alguns casos, autuações administrativas por vazamento de dados sensíveis sob a Lei Geral de Proteção de Dados (LGPD).
O que mudou com o Parecer CFM nº 19/2026
A Resolução CFM nº 1.821/2007 já estabelecia o prazo mínimo de 20 anos para guarda de prontuários a partir do último registro de atendimento. O que faltava era clareza sobre como proceder com o descarte. O novo parecer preenche essa lacuna ao detalhar:
- Prazo confirmado: 20 anos do último registro, válido para prontuários físicos e eletrônicos.
- Dispensa de digitalização prévia: não é obrigatório digitalizar o prontuário antes de descartá-lo.
- Dispensa de aviso ao paciente: não há obrigação de comunicar previamente os pacientes sobre o descarte.
- Exigência de rastreabilidade: o procedimento de eliminação deve ser documentado, com termo de descarte que identifique os prontuários eliminados, a data, o método e os responsáveis.
- Sigilo absoluto: o método de destruição deve impedir qualquer possibilidade de reconstituição ou leitura por terceiros.
Em outras palavras: a permissão é ampla, mas vem acompanhada de uma exigência de governança documental que muitos estabelecimentos ainda não estão preparados para cumprir.
Quem é afetado pela nova orientação
O parecer atinge diretamente:
- Médicos com consultórios próprios, que costumam ser os guardiões pessoais dos prontuários de seus pacientes;
- Clínicas e centros médicos, especialmente os que operam há mais de duas décadas;
- Hospitais privados e filantrópicos, que acumulam volumes expressivos de documentação;
- Espólios de médicos falecidos, cujos herdeiros frequentemente herdam a responsabilidade pela guarda;
- Compradores de carteiras de pacientes ou de clínicas inteiras, que assumem o passivo documental do antecessor.
Vale lembrar que a responsabilidade pela guarda — e, agora, pelo descarte regular — recai sobre o profissional ou a instituição que detinha a documentação no momento do último atendimento. Em caso de encerramento de atividade, a obrigação migra para o sucessor ou para o próprio CRM da jurisdição, conforme já previsto em normativos anteriores.
Os riscos jurídicos do descarte mal feito
Descartar prontuários sem observar as exigências do CFM e da LGPD pode gerar três frentes simultâneas de responsabilização:
1. Responsabilidade ética perante o CRM
A quebra de sigilo profissional, ainda que por negligência no descarte, configura infração ao Código de Ética Médica (artigos 73 a 79). As sanções vão de advertência confidencial até a cassação do exercício profissional. Jogar prontuários em lixeiras comuns, deixar documentos acessíveis em mudanças de endereço ou contratar empresas sem credenciamento adequado são situações que já motivaram processos disciplinares.
2. Responsabilidade civil
Pacientes que tenham seus dados expostos podem ajuizar ações de indenização por danos morais e materiais. A jurisprudência do STJ é consolidada no sentido de que a violação de sigilo médico configura dano in re ipsa — ou seja, não exige prova de prejuízo concreto. Valores condenatórios costumam variar entre R$ 5.000 e R$ 50.000 por paciente, mas podem ser muito superiores em casos envolvendo doenças estigmatizadas, dados psiquiátricos ou genéticos.
3. Responsabilidade administrativa pela LGPD
A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração, em casos de incidentes envolvendo dados pessoais sensíveis — categoria na qual se enquadram informações de saúde. O descarte irregular caracteriza tratamento inadequado de dados, mesmo na fase final do ciclo de vida da informação.
Como proceder ao descarte com segurança
A leitura combinada do Parecer CFM nº 19/2026, da Resolução CFM nº 1.821/2007 e da LGPD aponta para um protocolo mínimo que médicos e clínicas devem adotar:
Etapa 1: Triagem e identificação
Levante todos os prontuários com último registro há mais de 20 anos. Confira data por data — um único atendimento recente reinicia a contagem. Em caso de dúvida sobre o último registro, mantenha o documento.
Etapa 2: Constituição de comissão interna
Em clínicas e hospitais, recomenda-se formar uma comissão de avaliação documental composta por, no mínimo, um médico (preferencialmente o diretor técnico), um responsável administrativo e o encarregado de proteção de dados (DPO), quando houver. A decisão de descarte deve ser colegiada e documentada em ata.
Etapa 3: Escolha do método de destruição
Os métodos aceitos são fragmentação mecânica (trituração em níveis de segurança DIN P-4 ou superior), incineração ou desintegração química. Reciclagem comum, doação de papel ou descarte em coleta seletiva estão vedados. Para arquivos digitais, é necessário o apagamento seguro com sobrescrita de dados ou destruição física da mídia.
Etapa 4: Contratação de empresa especializada
Quando o volume justificar terceirização, contrate apenas empresas com certificação ambiental e que emitam certificado de destruição. O contrato deve prever cláusulas de confidencialidade, responsabilidade solidária e seguro contra incidentes.
Etapa 5: Lavratura do termo de descarte
Este é o documento que materializa a rastreabilidade exigida pelo CFM. Deve conter: relação dos prontuários eliminados (nome do paciente, número de registro, data do último atendimento), data e local do descarte, método utilizado, identificação da empresa contratada e assinaturas dos responsáveis. O termo deve ser arquivado permanentemente pela instituição.
Etapa 6: Atualização das políticas internas
Aproveite o momento para revisar a política de gestão documental do estabelecimento, alinhando-a à LGPD e ao novo parecer. Inclua cronograma de descartes periódicos, evitando o acúmulo desordenado de documentos vencidos.
A oportunidade de modernizar a gestão documental
Mais do que uma autorização para reduzir o volume físico de arquivos, o Parecer CFM nº 19/2026 é um convite à profissionalização da gestão documental médica. Estabelecimentos que ainda operam com prontuários exclusivamente em papel devem aproveitar a oportunidade para implementar prontuário eletrônico certificado (PEP) e estabelecer políticas claras de retenção e eliminação — práticas que reduzem custos operacionais, aumentam a segurança da informação e mitigam riscos jurídicos.
A equipe de Direito Médico do Trad & Cavalcanti Advogados acompanha continuamente as deliberações do CFM e dos Conselhos Regionais, oferecendo suporte na elaboração de políticas de gestão documental, contratos com empresas de descarte, programas de adequação à LGPD e defesa em processos éticos e cíveis. Se sua clínica ou hospital pretende iniciar um projeto de descarte de prontuários, nossa equipe pode auxiliar na estruturação segura de todo o procedimento.
Fale diretamente com um sócio
A primeira conversa é sem custo. Conte sua situação e entenda o que o direito pode fazer por você.