Prontuário Eletrônico CFM: Mudanças na Regulamentação em 2025
A regulamentação do prontuário eletrônico pelo Conselho Federal de Medicina (CFM) passou por atualizações relevantes que entram em vigor em 2025. A base legal continua sendo a Resolução CFM nº 1.821/2007, mas novas exigências de conformidade com a LGPD, telemedicina e certificação digital ampliam o que clínicas precisam atender para manter seus prontuários eletrônicos em situação regular.
Prontuário eletrônico conforme o CFM é o registro médico digital do paciente que substitui legalmente o papel, desde que assinado com certificação ICP-Brasil, armazenado com criptografia e guardado pelo prazo mínimo de 20 anos. Sem esses três requisitos, o documento eletrônico não tem validade jurídica equivalente ao prontuário físico.
Segundo o próprio portal do CFM, o número de clínicas que adotaram prontuários eletrônicos cresceu mais de 40% entre 2020 e 2024, impulsionado pela regulamentação permanente da telemedicina pela Resolução CFM nº 2.314/2022. Esse crescimento traz mais fiscalização: conselhos regionais de medicina (CRMs) estão intensificando auditorias sobre a conformidade técnica dos sistemas em uso.
O que a Resolução CFM nº 1.821/2007 exige do prontuário eletrônico?
A Resolução CFM nº 1.821/2007 estabelece os requisitos técnicos mínimos para que um sistema de prontuário eletrônico substitua legalmente o prontuário em papel. Três condições são inegociáveis: certificação digital ICP-Brasil, criptografia dos dados armazenados e rastreabilidade completa de acessos.
Na prática, isso significa que o médico precisa assinar digitalmente cada registro clínico com um certificado emitido por uma Autoridade Certificadora credenciada pelo Instituto Nacional de Tecnologia da Informação (ITI). Sem essa assinatura, o documento eletrônico tem validade probatória reduzida — pode ser questionado em processos no CRM, em ações judiciais ou em auditorias de planos de saúde.
Para quem ainda usa prontuário em papel e quer migrar, o guia completo de implantação do prontuário eletrônico do zero detalha os passos técnicos e os fornecedores certificados pelo CFM. A migração não precisa ser feita de uma vez — clínicas com histórico extenso costumam digitalizar primeiro os pacientes com retorno ativo e incorporam o restante progressivamente.
Requisitos técnicos obrigatórios pelo CFM
| Requisito | O que exige na prática | Consequência do não cumprimento |
|---|---|---|
| Certificação digital ICP-Brasil | Assinatura do médico com certificado A1 ou A3 em cada registro | Prontuário sem validade legal equivalente ao papel |
| Criptografia de dados | AES-256 ou equivalente para dados em repouso e em trânsito | Infração à LGPD e risco de sanção da ANPD |
| Rastreabilidade de acessos | Log imutável com usuário, data, hora e tipo de ação | Impossibilidade de provar quem acessou em auditoria |
| Prazo de guarda | 20 anos a partir do último registro ou 5 anos após óbito | Eliminação precoce pode gerar responsabilidade civil |
| Legibilidade futura | Formato de arquivo aberto ou exportável após descontinuação do sistema | Perda de acesso ao histórico em troca de sistema |
| Backup redundante | Cópias em locais fisicamente distintos, testadas periodicamente | Perda definitiva de dados em falha catastrófica |
O custo da assinatura digital ICP-Brasil varia conforme o tipo de certificado. Para entender os valores e as diferenças entre certificados A1 e A3, o artigo sobre custo da assinatura digital médica compara as opções disponíveis no mercado brasileiro.
O que mudou na regulamentação do prontuário eletrônico em 2025?
As mudanças de 2025 não são uma resolução nova, mas um conjunto de atualizações que decorrem da consolidação de três marcos legais: a LGPD (em vigor desde 2020 com fiscalização ativa da ANPD desde 2021), a Resolução CFM nº 2.314/2022 sobre telemedicina, e as diretrizes do CFM para prontuários de atendimentos híbridos (presencial + remoto).
A principal mudança prática é a exigência de Relatório de Impacto à Proteção de Dados (RIPD) para clínicas que processam dados de saúde em larga escala — definido pela Autoridade Nacional de Proteção de Dados (ANPD) como tratamento sistemático de dados sensíveis de grande número de titulares. Clínicas com mais de 500 pacientes ativos no prontuário eletrônico devem avaliar se se enquadram nessa exigência.
Outra atualização relevante é a exigência de que registros de teleconsultas feitas conforme a Resolução CFM nº 2.314/2022 sejam armazenados no prontuário eletrônico com o mesmo padrão de assinatura digital aplicado ao atendimento presencial. Não basta guardar o relatório da teleconsulta em PDF separado — ele precisa estar integrado ao histórico clínico do paciente com rastreabilidade completa.
Novidades específicas para cada área da regulamentação
As mudanças podem ser agrupadas em três blocos:
1. LGPD e dados sensíveis de saúde: a ANPD publicou orientações específicas para o setor de saúde que classificam todos os dados do prontuário eletrônico como dados sensíveis. Isso aumenta o nível de proteção exigido e obriga clínicas a nomear um encarregado de dados (DPO) quando o tratamento for habitual e em larga escala. Na prática, clínicas de médio porte já precisam ter política de privacidade atualizada e mecanismo de atendimento a solicitações de pacientes (acesso, correção, eliminação de dados).
2. Telemedicina e prontuário unificado: a Resolução CFM nº 2.314/2022 determina que o médico responsável pela teleconsulta é o mesmo responsável pelo prontuário. Sistemas que mantinham registros de telemedicina separados do prontuário principal — uma prática comum em clínicas que usaram soluções improvisadas durante a pandemia — precisam consolidar esses registros em um único histórico por paciente.
3. Interoperabilidade e portabilidade: o CFM sinalizou, em alinhamento com as diretrizes da Rede Nacional de Dados em Saúde (RNDS) do Ministério da Saúde, que sistemas de prontuário eletrônico devem avançar em direção à interoperabilidade com o sistema nacional. Isso ainda não é uma exigência imediata para clínicas privadas, mas softwares certificados já estão preparando suas APIs para essa integração futura.
Como garantir que sua clínica está em conformidade com o CFM?
Conformidade com as regras do CFM para prontuário eletrônico não exige ação direta do médico em cada detalhe técnico. O caminho mais eficiente é usar um software que já cumpra os requisitos por design — e verificar periodicamente se o fornecedor mantém a certificação atualizada.
O CFM mantém uma lista de softwares de prontuário eletrônico que foram submetidos ao processo de verificação técnica. Antes de contratar qualquer sistema, vale confirmar se o fornecedor passou por esse processo e se emite declaração formal de conformidade com a Resolução nº 1.821/2007. Fornecedores sérios têm esse documento disponível para compartilhar com clientes.
Para clínicas que já usam um sistema de prontuário eletrônico mas não têm certeza da situação regulatória, o artigo sobre os requisitos de segurança e certificação do prontuário eletrônico pelo CFM traz um checklist técnico detalhado para auditar o sistema atual.
Checklist de conformidade — o que verificar agora
Percorra esses itens com o seu fornecedor de software ou com o responsável de TI da clínica:
1. Assinatura digital ativa: todos os registros clínicos têm assinatura com certificado ICP-Brasil vinculado ao CRM do médico responsável? Se o sistema usa apenas login e senha, os documentos não têm validade legal equivalente ao papel.
2. Criptografia em repouso e em trânsito: o fornecedor utiliza HTTPS com TLS 1.2 ou superior e criptografia AES-256 nos servidores? Peça o relatório de segurança ou a certificação ISO 27001, se disponível.
3. Log de auditoria: o sistema gera automaticamente registro de cada acesso ao prontuário, com identificação do usuário, data, hora e tipo de ação (visualização, edição, exportação)? Esse log precisa ser imutável — o usuário não pode apagar o histórico de acessos.
4. Política de backup: quantas cópias existem, em quantos locais físicos distintos, e com qual frequência são testadas? O padrão aceitável é backup diário com retenção mínima de 30 dias e armazenamento em data centers geograficamente separados.
5. Portabilidade de dados: se a clínica precisar trocar de sistema, consegue exportar todos os prontuários em formato legível (PDF, XML, HL7) sem depender do fornecedor atual? Esse ponto é frequentemente negligenciado na contratação e vira problema na saída.
6. Conformidade com LGPD: o fornecedor possui política de privacidade atualizada, DPO designado e mecanismo para atender solicitações de titulares (acesso, correção, portabilidade e eliminação de dados)? Pergunte diretamente ao fornecedor — é obrigação dele, não só da clínica.
Prontuário eletrônico e telemedicina: o que o CFM determina em 2025?
A Resolução CFM nº 2.314/2022 regulamentou de forma permanente a telemedicina no Brasil, mas trouxe uma exigência que muitas clínicas ainda não implementaram: o registro da teleconsulta deve constar no prontuário eletrônico do paciente com os mesmos padrões de assinatura e rastreabilidade do atendimento presencial.
Clínicas que durante a pandemia adotaram plataformas de videochamada sem integração com o prontuário — guardando apenas um PDF ou print da consulta — estão fora de conformidade com essa exigência. O prontuário eletrônico integrado à telemedicina não é mais um diferencial de sistema: é requisito regulatório.
Para o paciente, o benefício é ter todo o histórico em um único lugar, independente de como cada consulta aconteceu. Para o médico, é a segurança de que os registros de teleconsultas têm o mesmo peso probatório que os de atendimentos presenciais — o que faz diferença em eventuais processos no CRM ou em litígios com pacientes.
O artigo sobre as 7 vantagens do prontuário eletrônico para a gestão clínica aprofunda como a integração com telemedicina reduz retrabalho e elimina registros duplicados nas clínicas que já fizeram essa transição.
Perguntas frequentes sobre prontuário eletrônico e CFM
O prontuário eletrônico é obrigatório pelo CFM?
Não há obrigatoriedade legal geral. A Resolução CFM nº 1.821/2007 reconhece o prontuário eletrônico como substituto válido do papel desde que acompanhado de certificação digital ICP-Brasil. O uso é opcional, mas quem adota o formato digital precisa cumprir os requisitos técnicos estabelecidos pelo CFM e pela LGPD — não basta digitalizar, é preciso digitalizar corretamente.
Por quanto tempo o prontuário eletrônico deve ser guardado?
O CFM determina guarda mínima de 20 anos a partir do último registro ou até 5 anos após a morte do paciente, o que ocorrer por último. Para pacientes menores de idade, o prazo de 20 anos conta a partir da data em que completam 18 anos. O prontuário eletrônico deve permanecer acessível e legível durante todo esse período, mesmo que o sistema de origem seja descontinuado pelo fornecedor.
A assinatura digital ICP-Brasil é obrigatória no prontuário eletrônico?
Sim. Segundo a Resolução CFM nº 1.821/2007 e a Medida Provisória nº 2.200-2/2001, documentos médicos eletrônicos com validade jurídica plena requerem assinatura digital certificada pela ICP-Brasil. Sem essa certificação, o prontuário eletrônico não substitui legalmente o papel e pode ser questionado em processos administrativos ou judiciais. Sistemas que usam apenas login e senha não atendem a esse requisito.
O que muda para clínicas com as atualizações de 2025?
As mudanças práticas principais envolvem: maior rigor na conformidade com a LGPD (incluindo RIPD para clínicas com grande volume de dados de saúde), integração obrigatória dos registros de telemedicina ao prontuário principal, e alinhamento com os requisitos de rastreabilidade e portabilidade de dados. Clínicas que usam sistemas certificados pelo CFM e atualizados pelos fornecedores já estão adaptadas automaticamente.
Posso usar prontuário eletrônico gratuito e estar em conformidade com o CFM?
Depende do sistema. Existem prontuários eletrônicos gratuitos que oferecem os requisitos mínimos da Resolução CFM nº 1.821/2007 — incluindo assinatura digital e criptografia. O artigo sobre prontuário eletrônico gratuito com assinatura digital compara as opções disponíveis e o que cada uma inclui sem custo. O risco das versões gratuitas geralmente está no suporte técnico e na garantia de guarda dos dados pelo prazo de 20 anos.
Resumo
Em resumo, o prontuário eletrônico conforme o CFM em 2025 exige: certificação digital ICP-Brasil em cada registro, criptografia de dados, log de auditoria imutável, backup redundante e guarda mínima de 20 anos. As atualizações de 2025 adicionam maior rigor na conformidade com a LGPD e integração obrigatória dos registros de telemedicina ao prontuário principal — sem exceções para atendimentos realizados por videochamada.
O ByDoctor foi desenvolvido para clínicas e consultórios brasileiros com prontuário eletrônico integrado, assinatura digital ICP-Brasil e rastreabilidade completa de acessos — em conformidade com a Resolução CFM nº 1.821/2007 e a LGPD. Para ver como o prontuário funciona dentro da plataforma completa, acesse as funcionalidades do ByDoctor ou conheça o guia definitivo de prontuário eletrônico para médicos e clínicas.