Sigilo no prontuário psicológico: o que a LGPD e o CFP exigem
O que o Código de Ética do CFP e a LGPD exigem sobre sigilo do prontuário psicológico: acesso de terceiros, prazo de guarda e segurança técnica.
Neste artigo
- O que o Código de Ética diz sobre sigilo no prontuário
- O prontuário e a LGPD: dados sensíveis de saúde
- Quem pode acessar o prontuário e em que condições
- O prazo de guarda e o sigilo após o encerramento
- Segurança técnica: o que a LGPD exige do software
- Perguntas frequentes
- Um familiar pode pedir acesso ao prontuário do paciente adulto?
- O plano de saúde pode exigir o prontuário completo?
- O sigilo se mantém após a morte do paciente?
- Quando sou obrigado a revelar informações do prontuário?
- O que fazer quando o paciente pede uma cópia do próprio prontuário?
O prontuário psicológico é um documento sigiloso por força de dois regimes normativos simultâneos: o Código de Ética Profissional do Psicólogo (CFP, 2005) e a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018). Os dois se complementam, mas não são a mesma coisa. Confundi-los é a origem de boa parte das dúvidas sobre o que você pode ou não compartilhar.
O sigilo profissional nasce do vínculo clínico. A proteção de dados nasce do direito do titular sobre suas informações. Numa solicitação de acesso ao prontuário, essas duas lógicas se encontram.
O que o Código de Ética diz sobre sigilo no prontuário
O sigilo é um dever ético do psicólogo, não uma faculdade. O Código de Ética Profissional do Psicólogo (CFP, 2005), art. 9, estabelece que é dever do psicólogo manter sigilo sobre as informações obtidas no exercício profissional. O art. 10 lista as exceções: situação de risco de vida do paciente ou de terceiros, e determinação expressa de autoridade judicial competente.
Fora dessas duas situações, nenhuma solicitação de familiar, empregador, seguradora ou outro profissional de saúde justifica revelar o conteúdo do prontuário sem autorização do próprio paciente.
O prontuário e a LGPD: dados sensíveis de saúde
Os registros psicológicos são dados de saúde, e dados de saúde são dados pessoais sensíveis na definição da LGPD, art. 5º, inciso II. O tratamento de dados sensíveis tem regras mais restritivas do que o de dados comuns. Para o contexto clínico, a base legal aplicável está no art. 11, inciso II, alínea "f": o tratamento é permitido quando necessário para a tutela da saúde, por profissional de saúde ou por entidade sanitária.
Na prática, isso significa que você tem base legal para coletar e manter o prontuário. Mas essa base não transfere a terceiros o direito de acessá-lo. Cada novo fluxo de compartilhamento precisa de fundamentação própria.
Quem pode acessar o prontuário e em que condições
O acesso ao prontuário é restrito por design. As situações que permitem exceção são específicas:
O próprio paciente: tem direito de acesso garantido pela LGPD, art. 18. Você responde dentro do prazo legal. O acesso pode ser feito por cópia ou consulta supervisionada, a seu critério clínico.
Familiares ou responsáveis legais: podem acessar somente se o paciente for legalmente incapaz (menor de idade, interdição judicial) e o familiar for o responsável legal. Familiar adulto sem vínculo legal não tem direito automático, mesmo que financie o tratamento.
Peritos judiciais: com determinação expressa do juízo, conforme o art. 10 do Código de Ética. A boa prática é apresentar apenas o trecho relevante para a questão posta pelo juízo, não o prontuário inteiro.
Outro profissional de saúde: somente com autorização expressa do paciente e para finalidade específica de continuidade do cuidado. Um relatório de encaminhamento assinado pelo paciente, ou com autorização documentada, é o instrumento correto.
Planos de saúde e seguradoras: este é um dos pedidos mais frequentes e mais delicados. O CFP orienta que laudos e relatórios emitidos para planos de saúde devem conter apenas as informações estritamente necessárias para a finalidade de cobertura. Enviar o prontuário completo não é prática adequada.
O prazo de guarda e o sigilo após o encerramento
A Resolução CFP nº 01/2009 exige que o psicólogo guarde o prontuário por pelo menos cinco anos após o encerramento do atendimento. Para menores de idade, o prazo corre a partir de quando o paciente completa 18 anos. Esse prazo existe para garantir a rastreabilidade do processo clínico, inclusive em eventuais demandas éticas.
Durante o período de guarda pós-atendimento, o sigilo continua integralmente. O fato de o atendimento ter terminado não abre o prontuário para terceiros.
Depois do prazo mínimo, o descarte deve ser feito de forma segura. Para registros digitais, exclusão definitiva e irreversível; para papel, destruição com certificado se o volume justificar. Guardar prontuário indefinidamente também não é a resposta: após o prazo, eliminar é mais seguro do que manter exposto.
Segurança técnica: o que a LGPD exige do software
A LGPD, art. 46, exige que os controladores adotem medidas de segurança técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados. Para o prontuário digital, isso significa na prática:
- Armazenamento com criptografia em repouso e em trânsito
- Controle de acesso por autenticação (senha, autenticação de dois fatores)
- Log de auditoria de quem acessou o quê e quando
- Backup com política de retenção documentada
Você não precisa implementar tudo isso do zero, mas precisa escolher uma plataforma que já ofereça essas garantias. Ao contratar qualquer software de prontuário, verifique se ele tem DPA (Acordo de Processamento de Dados) e se está em conformidade com a LGPD. Sem isso, você como controlador dos dados continua responsável mesmo que o incidente venha da plataforma.
Para entender como o Sinthoma implementa cada um desses requisitos: conheça os planos e as garantias de segurança.
Perguntas frequentes
Um familiar pode pedir acesso ao prontuário do paciente adulto?
Não. Familiar adulto sem vínculo legal, como tutela ou curatela, não tem direito de acesso ao prontuário, mesmo que financie o tratamento. O direito de acesso é do titular dos dados, ou seja, do próprio paciente. Qualquer compartilhamento sem autorização expressa dele viola o Código de Ética do CFP e a LGPD.
O plano de saúde pode exigir o prontuário completo?
Não. O plano pode pedir informações específicas para fins de cobertura, mas o psicólogo deve compartilhar apenas o mínimo necessário, em documento específico (laudo ou relatório), nunca o prontuário integral. O princípio da minimização de dados da LGPD e as orientações do CFP convergem nesse ponto.
O sigilo se mantém após a morte do paciente?
Sim. O Código de Ética do CFP não prevê extinção do sigilo com a morte. A LGPD, em seu art. 7º, permite tratamento de dados de pessoa falecida por decisão judicial ou requisição de órgão competente. Na prática, o prontuário de paciente falecido só pode ser acessado por herdeiros mediante determinação judicial, não por solicitação direta.
Quando sou obrigado a revelar informações do prontuário?
Somente em duas situações: risco grave e iminente de vida do paciente ou de terceiros (art. 10 do Código de Ética) e determinação expressa de autoridade judicial competente. Intimação policial, pedido administrativo ou solicitação de Conselho Tutelar sem ordem judicial não obrigam a revelação, embora o profissional possa colaborar com o mínimo necessário a seu critério ético.
O que fazer quando o paciente pede uma cópia do próprio prontuário?
Forneça. O direito de acesso aos dados é garantido pela LGPD, art. 18, inciso II. Você tem prazo legal para responder. Pode entregar cópia integral ou resumo funcional, dependendo do que o paciente especificou na solicitação. Documente a entrega com data e o que foi fornecido.
Receba os guias no e-mail
Prontuário, fiscal, IA na clínica e CFP — sem juridiquês. Um e-mail quando sai conteúdo novo. Sem spam, cancele quando quiser.
Ao inscrever, você concorda em receber e-mails do Sinthoma. Tratamos seu e-mail conforme a Política de Privacidade.