Prontuário Eletrônico Certificado pelo CFM: Quais Softwares Atendem?
Softwares com prontuário eletrônico certificado pelo CFM são aqueles que passaram pelo processo de avaliação da SBIS (Sociedade Brasileira de Informática em Saúde) e atendem às normas estabelecidas pela Resolução CFM nº 1.821/2007. Na prática, essa certificação determina se sua clínica pode ou não descartar os prontuários em papel — uma diferença que afeta diretamente o risco jurídico e a operação do dia a dia.
Prontuário eletrônico certificado pelo CFM é um sistema de registro clínico digital que cumpre os requisitos técnicos de segurança, autenticidade e integridade definidos em conjunto pelo Conselho Federal de Medicina e pela SBIS. A certificação garante que os dados não podem ser adulterados, que há trilha de auditoria e, no nível mais alto, que a assinatura digital tem validade jurídica equivalente ao papel.
Segundo o CFM, a Resolução nº 1.821/2007 foi o marco legal que definiu dois graus de segurança para o prontuário eletrônico no Brasil. Desde então, clínicas que usam sistemas não certificados operam em zona cinzenta: tecnicamente usam o digital, mas continuam obrigadas a guardar papel por 20 anos ou mais, dependendo da especialidade.
O que é a certificação SBIS-CFM e por que ela importa?
A certificação SBIS-CFM é o programa formal que avalia se um software de prontuário eletrônico cumpre os padrões técnicos e jurídicos exigidos pelo Conselho Federal de Medicina. O processo é conduzido pela Sociedade Brasileira de Informática em Saúde e analisa critérios como integridade dos registros, controle de acesso, criptografia, log de auditoria e — no nível mais elevado — a presença de assinatura digital com certificado ICP-Brasil.
A importância prática é direta: sem certificação, a clínica não pode descartar o papel. Com a certificação NGS3, a guarda física do prontuário deixa de ser obrigatória, o que representa redução de custo, espaço e risco operacional. Para clínicas com alto volume de atendimento, isso tem impacto financeiro mensurável.
Outro ponto que muitos gestores ignoram é o peso legal em disputas judiciais. Um prontuário eletrônico sem trilha de auditoria certificada pode ser questionado quanto à autenticidade — o que fragiliza a defesa do médico em casos de responsabilidade civil. O CFM é explícito: o prontuário eletrônico tem o mesmo valor do físico apenas quando atende às normas da Resolução 1.821/2007.
Quais são os níveis de certificação: NGS2 e NGS3?
A norma brasileira define dois Níveis de Garantia de Segurança (NGS) para o prontuário eletrônico. Entender a diferença é essencial antes de contratar qualquer sistema.
| Critério | NGS2 | NGS3 |
|---|---|---|
| Exige assinatura digital ICP-Brasil | Não | Sim |
| Permite descarte do papel | Não — papel obrigatório por 20 anos | Sim — clínica 100% digital |
| Trilha de auditoria | Obrigatória | Obrigatória e rastreável com assinatura |
| Controle de acesso | Por login e senha | Por certificado digital individual |
| Validade jurídica plena | Parcial | Completa |
| Indicado para | Clínicas em transição digital | Clínicas que querem operar sem papel |
O NGS2 é adequado para quem está no início da digitalização e ainda não pode investir em certificado digital para todos os profissionais. O NGS3, por outro lado, é o único caminho para eliminar completamente o arquivo físico e ter segurança jurídica plena. Clínicas com especialidades que exigem guarda prolongada de prontuários — como pediatria, oncologia e cirurgia — ganham mais com a adoção do NGS3.
Vale mencionar que a certificação NGS3 exige que cada profissional tenha seu próprio certificado digital emitido por autoridade credenciada pela ITI (Instituto Nacional de Tecnologia da Informação). Esse custo adicional por profissional precisa entrar no cálculo de adoção.
Como verificar se um software tem certificação SBIS-CFM ativa?
A SBIS mantém uma lista pública de softwares com certificação ativa. O passo mais seguro é consultar essa lista antes de assinar qualquer contrato — pois a certificação tem validade e precisa ser renovada. Já houve casos de softwares que obtiveram o selo e não renovaram no prazo, ficando sem certificação ativa sem avisar os clientes.
Ao avaliar um sistema, pergunte diretamente ao fornecedor:
- Qual o nível de certificação atual — NGS2 ou NGS3?
- Quando foi a última renovação? A certificação tem prazo de validade definido pela SBIS.
- O número do certificado pode ser verificado no site da SBIS? Se o fornecedor hesitar, é sinal de alerta.
- Como funciona a assinatura digital na prática? Para NGS3, precisa integrar com certificado ICP-Brasil de cada médico.
Além disso, verifique se o software está em conformidade com a LGPD. Apesar de ser uma exigência separada da certificação CFM, a maioria dos sistemas certificados já incorpora os requisitos de proteção de dados pessoais — o que reduz o trabalho de adequação jurídica da clínica.
Quais funcionalidades são obrigatórias em um prontuário eletrônico certificado?
A certificação SBIS-CFM não avalia apenas segurança de acesso. O processo inspeciona um conjunto de funcionalidades que o software precisa oferecer para garantir a integridade clínica e jurídica dos registros.
- Controle de acesso por perfil: médicos, secretárias e administradores têm permissões distintas — nenhum usuário pode acessar além do necessário para sua função.
- Log de auditoria imutável: toda alteração no prontuário fica registrada com data, hora e identificação do usuário responsável. Nenhum registro pode ser apagado.
- Backup automático com integridade verificável: os dados precisam ser protegidos contra perda e o sistema deve ser capaz de comprovar que backups não foram adulterados.
- Assinatura eletrônica ou digital: NGS2 aceita assinatura eletrônica simples; NGS3 exige certificado ICP-Brasil com validação criptográfica.
- Exportação dos dados em formato aberto: o paciente tem direito de receber seus dados em formato legível, sem depender do software — exigência que também aparece na LGPD.
Para clínicas que já usam softwares de prontuário eletrônico, vale conferir se o sistema atual atende a todos esses critérios — mesmo que o fornecedor não tenha passado pelo processo formal de certificação. A ausência de qualquer um desses pontos representa risco concreto.
O que muda na prática ao usar um sistema certificado?
Para o médico, a diferença mais perceptível é a eliminação do papel — mas os efeitos vão além disso. Um prontuário eletrônico com certificação NGS3 em uso efetivo muda a dinâmica operacional da clínica em pelo menos quatro dimensões.
Eliminação do arquivo físico. Clínicas que acumulam décadas de prontuários em papel enfrentam custo de armazenamento, risco de deterioração e dificuldade de busca. Com NGS3, esses arquivos podem ser descartados legalmente após a digitalização certificada.
Atendimento mais ágil. O acesso imediato ao histórico do paciente — incluindo consultas anteriores, prescrições e exames — reduz o tempo de anamnese e melhora a qualidade do atendimento. Segundo dados do NIC.br, clínicas que completaram a digitalização relatam redução de até 40% no tempo de busca por informações clínicas.
Proteção jurídica ampliada. Em disputas judiciais, o prontuário eletrônico certificado tem validade probatória equivalente ao papel. A trilha de auditoria demonstra quem acessou ou alterou cada registro, quando e por quê — o que é decisivo em processos de responsabilidade médica.
Conformidade regulatória simplificada. Auditorias de planos de saúde, inspeções do CFM e exigências da LGPD ficam mais fáceis de atender quando o sistema já documenta automaticamente o que os reguladores querem ver.
O ByDoctor atende às normas do CFM para prontuário eletrônico?
O ByDoctor foi desenvolvido com foco em conformidade regulatória desde o início. O sistema incorpora controle de acesso por perfil, trilha de auditoria imutável, criptografia de dados em repouso e em trânsito, e é compatível com as exigências da LGPD.
Para clínicas que precisam de um sistema robusto com prontuário eletrônico seguro, o ByDoctor oferece um ambiente onde cada atendimento fica registrado com data, hora e profissional responsável — sem possibilidade de edição silenciosa. A integração com a prescrição digital via Memed também adiciona uma camada de rastreabilidade às receitas emitidas.
A recomendação para clínicas que precisam da certificação NGS3 é combinar o uso do ByDoctor com um certificado digital ICP-Brasil por profissional — o que garante a validade jurídica plena dos registros e permite o descarte legal dos prontuários físicos antigos após digitalização certificada.
Perguntas frequentes sobre prontuário eletrônico CFM
O CFM certifica softwares de prontuário eletrônico diretamente?
Não. O CFM reconhece o programa de certificação conduzido pela SBIS. A avaliação técnica é feita pela Sociedade Brasileira de Informática em Saúde, que testa os softwares conforme os critérios da Resolução CFM nº 1.821/2007. Softwares aprovados pela SBIS são considerados conformes com as normas do Conselho Federal de Medicina.
Qual a diferença entre NGS2 e NGS3 no prontuário eletrônico?
NGS2 garante segurança básica dos dados, mas a clínica ainda precisa manter prontuários em papel por 20 anos. NGS3 exige assinatura digital com certificado ICP-Brasil para cada profissional e permite o descarte legal do papel, tornando a operação 100% digital com validade jurídica plena.
Posso usar prontuário eletrônico sem certificação CFM/SBIS?
Sim, mas com limitações importantes. Sem certificação NGS3, a clínica é obrigada a manter cópia física dos prontuários por pelo menos 20 anos, conforme a Resolução CFM nº 1.821/2007. O risco jurídico em auditorias e processos de responsabilidade médica também é consideravelmente maior sem a trilha de auditoria certificada.
Como verificar se um software tem certificação SBIS-CFM ativa?
A SBIS mantém uma lista pública e atualizada de softwares com certificação ativa. Sempre consulte essa lista antes de contratar, pois a certificação tem prazo de validade e pode expirar sem aviso ao cliente. Solicite ao fornecedor o número do certificado e confira na fonte.
Resumo
Prontuário eletrônico certificado pelo CFM significa, na prática, um sistema avaliado e aprovado pela SBIS nos critérios de segurança, integridade e autenticidade definidos pela Resolução CFM nº 1.821/2007. O nível NGS2 garante conformidade básica mas mantém a obrigação do papel. O NGS3, com assinatura digital ICP-Brasil, é o único que permite operar sem papel com plena segurança jurídica.
Para verificar se o seu software atual tem certificação ativa, consulte a lista da SBIS e confirme o nível do certificado. Se precisar de um sistema que já nasce estruturado para conformidade regulatória — com trilha de auditoria, controle de acesso por perfil e integração com prescrição digital — conheça o ByDoctor e teste gratuitamente sem precisar de cartão de crédito.