·

Documentação clínica

Saúde

Practice Manager / Admin

Correções de registos RGPD: o que os clínicos devem fazer

Saiba o que o RGPD exige quando os pacientes solicitam correções ou eliminações nos registos clínicos, incluindo trilhas de auditoria e isenções legais

Os registos clínicos situam-se na interseção de duas obrigações legais que podem puxar em direções opostas. O Regulamento Geral sobre a Proteção de Dados (RGPD) confere aos doentes direitos significativos sobre os seus dados pessoais, incluindo o direito de corrigir informações inexatas e, em algumas circunstâncias, de as eliminar. Ao mesmo tempo, os quadros profissionais e regulamentares exigem que os clínicos mantenham uma documentação clínica completa, rigorosa e inalterada dos cuidados prestados. Para os administradores clínicos responsáveis por tratar estes pedidos no dia a dia, compreender exatamente onde começam, terminam e se sobrepõem estas obrigações é um requisito fundamental da conformidade com o RGPD nos cuidados de saúde.

Os dois direitos do RGPD que importam aqui: retificação e apagamento

Dois artigos do RGPD são diretamente relevantes quando um doente contesta o conteúdo do seu registo clínico.

O artigo 16.º, o direito à retificação, confere aos indivíduos o direito de corrigir dados pessoais inexatos sem demora injustificada e de completar dados pessoais incompletos. Conforme confirma a Comissão Irlandesa de Proteção de Dados, este direito aplica-se a dados pessoais factuais, como uma data de nascimento errada, uma morada incorreta ou um nome mal escrito, de forma relativamente direta. Torna-se consideravelmente mais complexo quando os dados em questão são uma opinião clínica, um diagnóstico ou uma nota de tratamento.

O artigo 17.º, o direito ao apagamento (também chamado direito ao esquecimento), confere aos indivíduos o direito de solicitar a eliminação dos seus dados pessoais em circunstâncias específicas: quando os dados já não são necessários para a finalidade para a qual foram recolhidos, quando o consentimento foi retirado ou quando os dados foram tratados ilicitamente. Conforme esclarece a orientação do Information Commissioner's Office (ICO) sobre o direito ao apagamento, este direito não é absoluto. O direito aplica-se apenas aos dados pessoais atualmente detidos pelo responsável pelo tratamento no momento em que o pedido é recebido.

Ambos os direitos podem ser invocados por qualquer titular de dados identificado, neste contexto o doente cujo registo é mantido. Ambos têm um prazo de resposta de um mês civil. Nenhum deles opera sem qualificação significativa num contexto de cuidados de saúde.

Quando um doente solicita uma correção: o que o RGPD efetivamente o obriga a fazer

Quando um doente apresenta um pedido de retificação, o artigo 16.º exige que o responsável pelo tratamento de dados, tipicamente a organização de saúde, avalie se os dados em questão são genuinamente inexatos ou incompletos e atue em conformidade no prazo de um mês.

Para erros factuais simples, como um número de utente do SNS errado ou uma data de nascimento incorreta, isto é relativamente simples. A entrada é corrigida, a alteração é registada e o doente é notificado. A complexidade surge com entradas clínicas, incluindo diagnósticos, observações, avaliações de risco e decisões sobre medicação, onde o conceito de inexatidão não é evidente.

O ICO aborda isto diretamente. A sua orientação sobre retificação estabelece que se um doente recebe um diagnóstico que posteriormente se prova não ser o caso, os seus registos médicos devem registar tanto o diagnóstico inicial como as conclusões finais. A entrada original não é apagada. É contextualizada. Isto reflete um princípio fundamental da documentação clínica: o registo existe para mostrar o que era conhecido e decidido num determinado momento, não apenas o que atualmente se entende ser verdade.

A correção num contexto de registo clínico quase sempre significa um aditamento ou anotação, não uma substituição. O comentário do GDPR-Hub sobre o artigo 16.º confirma que a retificação pode ser alcançada através da alteração de dados, por eliminação parcial ou total, ou por completamento, e que em algumas situações o titular dos dados pode escolher entre solicitar retificação ou apagamento. Na prática, para registos clínicos, o completamento através de uma declaração suplementar é a abordagem mais comum e juridicamente defensável.

Quando um doente solicita a eliminação: os limites do artigo 17.º nos cuidados de saúde

O direito ao apagamento é o pedido que os administradores clínicos têm maior probabilidade de tratar incorretamente, seja tratando-o como automaticamente válido ou recusando-o sem avaliação adequada. Nenhuma das abordagens está em conformidade.

O texto completo do artigo 17.º, n.º 3 estabelece várias exceções diretamente relevantes para os registos de saúde. O apagamento não se aplica quando a conservação é necessária:

  • Para o cumprimento de uma obrigação legal ao abrigo do direito da União ou de um Estado-Membro

  • Por motivos de interesse público no domínio da saúde pública ao abrigo do artigo 9.º, n.º 2, alíneas h) e i)

  • Para fins de arquivo de interesse público, ou para investigação científica ou histórica

  • Para efeitos de declaração, exercício ou defesa de um direito num processo judicial

Na prática, a maioria dos registos clínicos enquadra-se em pelo menos uma destas exceções. A legislação nacional nos Estados-Membros da União Europeia e no Reino Unido impõe períodos mínimos de conservação obrigatórios para registos médicos, tipicamente entre oito e trinta anos dependendo do tipo de registo e da jurisdição, o que constitui uma obrigação legal ao abrigo do artigo 17.º, n.º 3, alínea a). A orientação do Encarregado de Proteção de Dados da Secure Privacy para os cuidados de saúde confirma que quando se aplica uma obrigação legal de conservação, os pedidos de apagamento podem ser legalmente recusados.

No entanto, a ação coordenada de fiscalização do Comité Europeu para a Proteção de Dados (CEPD) de 2025 analisou respostas de 764 responsáveis pelo tratamento em toda a Europa e concluiu que os responsáveis aplicavam frequentemente de forma incorreta as exceções do artigo 17.º, n.º 3, tratando-as como automaticamente aplicáveis sem realizar avaliações caso a caso. Nove Autoridades de Proteção de Dados lançaram investigações formais de fiscalização como resultado. A lição para os administradores clínicos é clara: recusar um pedido de apagamento requer fundamentação documentada, não uma política geral.

Mesmo quando um pedido de eliminação é legalmente recusado, a organização deve ainda responder ao doente no prazo de um mês, explicar os fundamentos da recusa e informá-lo do seu direito de apresentar queixa à autoridade de controlo relevante.

O requisito de registo de auditoria: o que deve ser registado quando um registo é alterado

Sempre que uma entrada de registo clínico é corrigida, anotada ou assinalada como contestada, a organização deve manter um registo de auditoria completo. Isto é simultaneamente um requisito de responsabilização do RGPD e uma necessidade médico-legal.

Um registo de auditoria conforme para uma alteração de registo deve capturar:

  • A identidade da pessoa que efetuou a alteração

  • A data e hora da alteração

  • O motivo da alteração

  • O conteúdo da entrada original, preservado na íntegra

  • A natureza da alteração (aditamento, correção ou marcação de contestação)

A política de acesso a registos de consultórios médicos alinhada com a orientação do NHS estabelece explicitamente: "A informação pode ser removida da visualização, mas o registo de auditoria manterá sempre o registo completo. Podem ser feitas alterações aos registos desde que as alterações sejam feitas de forma a indicar por que razão a alteração foi feita, de modo a ficar claro que os registos não foram adulterados."

Substituir ou eliminar entradas originais sem deixar rasto é uma das falhas de conformidade mais graves que um administrador clínico pode cometer. Cria simultaneamente risco de RGPD (falha de responsabilização ao abrigo do artigo 5.º, n.º 2) e risco médico-legal (potencial evidência de adulteração de registos numa investigação de negligência clínica ou regulamentar). Os registos de auditoria devem ser à prova de adulteração e devem capturar detalhes granulares de cada interação, incluindo identidade do utilizador, carimbo temporal, endereço IP, identificador do dispositivo, classificação de dados e ação realizada, conforme exigido pelos princípios de responsabilização do RGPD e pela orientação do NHS sobre gestão de registos de saúde.

Como as normas profissionais e os organismos reguladores interagem com as obrigações do RGPD

O RGPD estabelece um patamar mínimo, não um teto. Os conselhos médicos nacionais, os reguladores profissionais e os organismos do sistema de saúde acrescentam obrigações adicionais. Na maioria dos casos, estas reforçam em vez de contradizer a abordagem do RGPD à integridade dos registos.

No Reino Unido, o General Medical Council (GMC) e o Nursing and Midwifery Council (NMC) exigem ambos que os clínicos mantenham registos claros, rigorosos e contemporâneos. A orientação do NHS sobre gestão de registos especifica calendários de conservação que determinam o período mínimo durante o qual diferentes tipos de registos devem ser mantidos. Estas obrigações interagem diretamente com o artigo 17.º, n.º 3, alínea a): quando existe um requisito legal ou regulamentar de conservação, este fornece a base legal para recusar um pedido de apagamento.

Nos Estados-Membros da UE, o panorama é semelhante mas variável. Os quadros legislativos nacionais na Suécia, no Reino Unido e na Alemanha espelham em grande parte o RGPD, oferecendo simultaneamente diferentes mecanismos adicionais para gerir erros nos sistemas de registos médicos. O próximo Espaço Europeu de Dados de Saúde (EHDS) deverá posicionar o processo de retificação dentro dos serviços de saúde digital, potencialmente permitindo a contribuição do doente no sistema, embora isto permaneça prospetivo no momento em que se escreve.

Os administradores clínicos que operam além-fronteiras, ou em organizações sujeitas tanto ao RGPD do Reino Unido como ao RGPD da UE, devem estar cientes de que as regras dos Estados-Membros podem ser mais rigorosas do que a base do RGPD. Devem procurar aconselhamento jurídico específico da jurisdição quando o quadro aplicável não for claro.

O processo correto para tratar um pedido de retificação passo a passo

O fluxo de trabalho seguinte reflete os requisitos dos artigos 16.º e 19.º do RGPD, o prazo de resposta de um mês e as melhores práticas de gestão de registos clínicos.

Passo 1: Receber e registar o pedido. Registe a data de receção. O prazo de um mês começa imediatamente, independentemente da forma como o pedido foi apresentado (carta, e-mail, formulário online ou pedido verbal seguido de confirmação escrita).

Passo 2: Verificar a identidade do doente. Não processe o pedido até que a identidade seja confirmada. Isto protege contra alterações não autorizadas a registos de terceiros.

Passo 3: Identificar os dados específicos em questão. Peça ao doente que especifique precisamente qual ou quais entradas considera inexatas ou incompletas e que correção está a solicitar.

Passo 4: Consultar o clínico responsável. A política de registos alinhada com o NHS é clara: "Quando a contestação diz respeito a uma entrada médica, o clínico que fez a entrada deve ser consultado e deve ser considerado se é apropriado alterá-la." Este passo não é opcional.

Passo 5: Determinar a ação apropriada. Com base na avaliação do clínico e na natureza dos dados:

  • Se a entrada contém um erro factual claro (data errada, nome errado): corrija-a e preserve a original no registo de auditoria

  • Se a entrada é uma opinião clínica que o clínico mantém: adicione uma nota suplementar registando a contestação do doente sem alterar a original

  • Se a entrada é genuinamente incompleta: adicione uma declaração de completamento

Passo 6: Atualizar o registo em conformidade. Preserve a entrada original, date e atribua a alteração claramente e documente o motivo da alteração.

Passo 7: Notificar o doente do resultado. Responda no prazo de um mês civil a contar do pedido original. Se o pedido for recusado total ou parcialmente, explique os fundamentos e informe o doente do seu direito de apresentar queixa à autoridade de controlo.

Passo 8: Documentar o processo de tomada de decisão. Registe o que foi considerado, quem foi consultado, que decisão foi tomada e porquê. Esta documentação é a prova de conformidade da organização se a decisão for posteriormente contestada.

O que fazer quando discorda da versão dos acontecimentos do doente

Um doente pode afirmar que uma entrada clínica é inexata quando o clínico que fez a entrada mantém a sua exatidão. Este é um dos cenários mais comuns e mais mal compreendidos na gestão de registos clínicos.

O RGPD não exige que os prestadores de cuidados de saúde aceitem a versão preferida dos acontecimentos do doente como facto. A orientação da Comissão Irlandesa de Proteção de Dados é explícita ao afirmar que nem o direito à retificação nem o direito ao apagamento se aplicam facilmente a opiniões médicas, diagnósticos e notas de tratamento clínico, precisamente porque estes representam juízos profissionais e não factos objetivos.

A resposta conforme com o RGPD num cenário de entrada clínica contestada é adicionar uma nota ao registo indicando que o doente contesta a entrada, deixando intacta a documentação original do clínico. Esta abordagem:

  • Preserva a integridade do registo clínico original

  • Reconhece o direito do doente de ter a sua opinião registada

  • Cria um registo de auditoria transparente mostrando que a contestação foi tratada

  • Não exige que a organização arbitre entre versões concorrentes

O prazo de resposta de um mês continua a aplicar-se. O doente deve ser informado do resultado, incluindo o facto de a entrada original ter sido mantida, e do seu direito de escalar para a autoridade de controlo se permanecer insatisfeito.

Notificações a terceiros: tem de informar alguém sobre a alteração?

O artigo 19.º do RGPD exige que os responsáveis pelo tratamento de dados notifiquem qualquer terceiro a quem os dados foram divulgados de uma retificação ou apagamento, a menos que tal seja impossível ou envolva um esforço desproporcionado. Quando a notificação a terceiros tiver ocorrido, o responsável deve também informar o titular dos dados desses destinatários se solicitado.

Num contexto clínico, esta obrigação tem implicações operacionais diretas. Se o registo de um doente foi alterado e esse registo foi previamente partilhado com um prestador de cuidados secundários na sequência de uma referenciação, um especialista que recebeu uma carta de referenciação, uma seguradora ou empregador (quando o doente consentiu a divulgação), ou uma equipa de cuidados sociais, então cada um desses destinatários deve em princípio ser notificado da alteração. Na prática, isto exige que os administradores clínicos mantenham registos claros de quem recebeu que informação e quando.

A exceção de esforço desproporcionado proporciona algum alívio quando a notificação é genuinamente impraticável, por exemplo quando os dados foram partilhados há muitos anos com múltiplas partes e os contactos já não estão disponíveis. No entanto, esta exceção requer justificação documentada. Não pode ser invocada por defeito.

Erros comuns que os administradores clínicos cometem ao tratar estes pedidos

As conclusões de fiscalização do CEPD de 2025 identificaram falhas sistemáticas entre os responsáveis pelo tratamento na forma como os direitos de apagamento são tratados. Num contexto de registos clínicos, as falhas de conformidade mais frequentes incluem:

  • Não cumprir o prazo de um mês. O prazo começa na data de receção, não na data em que o pedido é formalmente registado ou atribuído. Atrasos no encaminhamento interno não são uma razão válida para uma resposta tardia.

  • Substituir entradas originais. Substituir uma entrada original sem a preservar num registo de auditoria é simultaneamente uma falha de responsabilização do RGPD e uma potencial responsabilidade médico-legal.

  • Não documentar o processo de tomada de decisão. Decidir não alterar um registo, ou decidir adicionar um aditamento em vez de uma correção, requer fundamentação documentada. Uma decisão não documentada é uma decisão indefensável.

  • Tratar todos os pedidos de eliminação como automaticamente válidos. Aceitar pedidos de apagamento sem avaliar se se aplica uma exceção, particularmente a exceção de conservação legal, expõe a organização ao risco de destruir registos que é legalmente obrigada a manter.

  • Tratar todos os pedidos de eliminação como automaticamente inválidos. O CEPD identificou a recusa reflexiva de todos os pedidos de apagamento sem avaliação caso a caso como uma falha comum e sancionável.

  • Não escalar para o Encarregado de Proteção de Dados (EPD). Pedidos complexos, contestações envolvendo dados sensíveis ou casos em que a base legal para conservação é genuinamente pouco clara devem ir para o EPD em vez de serem resolvidos ao nível administrativo.

Quando escalar: o seu EPD, a sua equipa jurídica e o seu regulador

Nem todos os pedidos de retificação ou apagamento podem ou devem ser resolvidos ao nível da administração clínica. Os seguintes cenários justificam escalamento para o EPD, equipa jurídica ou, em alguns casos, a autoridade de controlo:

  • Pedidos envolvendo menores. A interação entre os direitos parentais, a competência de Gillick (nas jurisdições do Reino Unido) e os próprios direitos de dados da criança requer contributo jurídico.

  • Registos partilhados além-fronteiras. Quando os dados foram transferidos para subcontratantes ou destinatários noutras jurisdições, as regras de conservação e eliminação aplicáveis podem diferir.

  • Incerteza genuína sobre a base legal para conservação. Se não for claro se se aplica uma obrigação legal de conservação, ou se está em causa uma exceção de interesse público, esta é uma questão jurídica, não administrativa.

  • Pedidos que parecem relacionar-se com uma potencial ação judicial. Quando há qualquer indicação de que o doente está a considerar ou iniciou procedimentos judiciais, o registo tem potencial valor probatório e qualquer alteração requer aconselhamento jurídico.

  • Contestações repetidas ou crescentes. Se um doente já apresentou queixa à autoridade de controlo, ou indicou que pretende fazê-lo, o EPD deve estar envolvido.

Ao abrigo do artigo 37.º do RGPD, a maioria das organizações de saúde da UE que tratam dados de saúde em grande escala são obrigadas a designar um Encarregado de Proteção de Dados. A orientação da Secure Privacy para os cuidados de saúde confirma que devem existir processos para que os doentes exerçam todos os direitos dos titulares de dados, e que o papel do EPD inclui aconselhar sobre pedidos que entram em conflito com obrigações legais. Os administradores clínicos devem saber quem é o seu EPD, como contactá-lo e que limiar desencadeia uma referenciação, antes de chegar um pedido complexo, não depois.

Perguntas frequentes

▶ Os doentes têm o direito de corrigir os seus registos clínicos ao abrigo do RGPD?

Sim, mas com limites importantes. O artigo 16.º do Regulamento Geral sobre a Proteção de Dados confere aos doentes o direito de corrigir dados pessoais inexatos. Para erros factuais simples (uma data de nascimento errada ou um nome mal escrito), a correção é relativamente simples. Para entradas clínicas como diagnósticos, avaliações de risco ou notas de tratamento, o conceito de inexatidão é mais complexo. O juízo profissional de um clínico não é o mesmo que um facto objetivo. A Comissão Irlandesa de Proteção de Dados confirma que o direito à retificação não se aplica facilmente a opiniões médicas e notas de tratamento clínico.

▶ Um doente pode solicitar a eliminação dos seus registos médicos ao abrigo do RGPD?

Os doentes podem apresentar um pedido de eliminação ao abrigo do artigo 17.º do RGPD, mas este direito não é absoluto num contexto de cuidados de saúde. A maioria dos registos clínicos enquadra-se em pelo menos uma das exceções do artigo 17.º, n.º 3, incluindo o cumprimento de uma obrigação legal, interesse público na saúde pública ou a declaração ou defesa de direitos num processo judicial. A legislação nacional nos Estados-Membros da UE e no Reino Unido estabelece períodos mínimos de conservação obrigatórios para registos médicos, tipicamente entre oito e trinta anos, o que constitui uma obrigação legal que permite às organizações recusar legalmente pedidos de apagamento. No entanto, a recusa requer fundamentação documentada caso a caso, não uma política geral.

▶ Qual é a forma correta de alterar um registo clínico quando um doente contesta uma entrada?

A abordagem correta é adicionar um aditamento ou anotação ao registo, não substituir ou eliminar a entrada original. Se um doente contesta uma opinião clínica que o clínico responsável mantém, deve ser adicionada uma nota suplementar registando a contestação do doente, deixando intacta a documentação original. Se a entrada contém um erro factual genuíno, deve ser corrigida com a original preservada no registo de auditoria. O Information Commissioner's Office confirma que quando um diagnóstico é posteriormente considerado incorreto, o registo deve mostrar tanto o diagnóstico inicial como as conclusões finais.

▶ O que deve incluir um registo de auditoria quando um registo clínico é alterado?

Um registo de auditoria conforme deve capturar a identidade da pessoa que efetuou a alteração, a data e hora da alteração, o motivo da alteração, o conteúdo completo da entrada original e a natureza da alteração. A orientação do NHS é explícita ao afirmar que a informação pode ser removida da visualização, mas o registo de auditoria deve sempre manter o registo completo. Substituir entradas originais sem deixar rasto cria simultaneamente uma falha de responsabilização do RGPD ao abrigo do artigo 5.º, n.º 2 e um risco médico-legal, incluindo potencial evidência de adulteração de registos numa investigação de negligência clínica.

▶ Quanto tempo tem uma organização de saúde para responder a um pedido de retificação ou apagamento?

Tanto o direito à retificação ao abrigo do artigo 16.º como o direito ao apagamento ao abrigo do artigo 17.º têm um prazo de resposta de um mês civil. O prazo começa na data em que o pedido é recebido, não na data em que é formalmente registado ou atribuído internamente. Se o pedido for recusado total ou parcialmente, a organização deve ainda responder dentro desse mês, explicar os fundamentos da recusa e informar o doente do seu direito de apresentar queixa à autoridade de controlo relevante.

▶ O RGPD exige que os prestadores de cuidados de saúde aceitem a versão dos acontecimentos do doente como facto?

Não. O RGPD não exige que os prestadores de cuidados de saúde aceitem a versão preferida dos acontecimentos do doente como facto. A Comissão Irlandesa de Proteção de Dados é explícita ao afirmar que o direito à retificação não se aplica facilmente a opiniões médicas, diagnósticos e notas de tratamento clínico, porque estes representam juízos profissionais e não factos objetivos. Quando um clínico mantém a sua entrada original, a resposta conforme com o RGPD é adicionar uma nota registando que o doente contesta a entrada, deixando intacta a documentação original. O doente deve então ser informado do resultado e do seu direito de escalar para a autoridade de controlo.

▶ Alterar um registo clínico desencadeia o dever de notificar terceiros?

Sim. O artigo 19.º do RGPD exige que os responsáveis pelo tratamento de dados notifiquem qualquer terceiro a quem os dados foram divulgados de uma retificação ou apagamento, a menos que tal seja impossível ou envolva um esforço desproporcionado. Num contexto clínico, isto pode incluir prestadores de cuidados secundários que receberam uma referenciação, especialistas que receberam uma carta de referenciação ou equipas de cuidados sociais. Os administradores clínicos precisam de manter registos claros de quem recebeu que informação e quando. A exceção de esforço desproporcionado pode aplicar-se quando a notificação é genuinamente impraticável, mas requer justificação documentada e não pode ser usada por defeito.

▶ Quais são os erros mais comuns ao tratar pedidos de retificação e apagamento de doentes?

As conclusões de fiscalização coordenada do Comité Europeu para a Proteção de Dados de 2025 identificaram várias falhas recorrentes. Estas incluem não cumprir o prazo de resposta de um mês, substituir entradas originais sem as preservar num registo de auditoria, não documentar a fundamentação por trás das decisões, tratar todos os pedidos de eliminação como automaticamente válidos e tratar todos os pedidos de eliminação como automaticamente inválidos sem avaliação caso a caso. O CEPD concluiu que nove Autoridades de Proteção de Dados lançaram investigações formais de fiscalização como resultado de responsáveis aplicarem incorretamente as exceções do artigo 17.º, n.º 3, sem avaliação individual adequada.

▶ Quando deve um administrador clínico escalar um pedido de retificação ou apagamento para o Encarregado de Proteção de Dados?

Vários cenários justificam escalamento em vez de resolução ao nível administrativo. Estes incluem pedidos envolvendo menores, onde os direitos parentais e os próprios direitos de dados da criança se cruzam; registos partilhados além-fronteiras, onde podem aplicar-se regras de conservação diferentes; casos em que há incerteza genuína sobre a base legal para conservação; pedidos que podem relacionar-se com uma potencial ação judicial, onde o registo tem valor probatório; e situações em que o doente já apresentou queixa à autoridade de controlo ou indicou que pretende fazê-lo. Ao abrigo do artigo 37.º do RGPD, a maioria das organizações de saúde da UE que tratam dados de saúde em grande escala são obrigadas a designar um Encarregado de Proteção de Dados. Os administradores clínicos devem saber quem é o seu antes de chegar um pedido complexo.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.