Prontuário Digital de Atendidos em OSCs: O Que Guardar e Como Proteger
Voltar para o blog

Prontuário Digital de Atendidos em OSCs: O Que Guardar e Como Proteger

E
Equipe Nexus
Autor

05 de julho de 2026

9 min de leitura

Pontos-Chave sobre Prontuário Digital em OSCs

  • O prontuário SUAS contém dados pessoais e sensíveis que subsidiam o trabalho social — e está expressamente em conformidade com a LGPD
  • Dados sensíveis (saúde, vulnerabilidade social, documentos de menores) exigem criptografia e controle de acesso rigoroso (LGPD art. 46)
  • O sigilo profissional do assistente social é direito e dever ético (CFESS, art. 15 a 17) — o prontuário digital precisa respeitá-lo
  • A trilha de auditoria (art. 37) registra quem acessou o quê, quando e de onde — essencial para investigar incidentes

Por Que o Prontuário Digital é o Coração da Gestão de OSCs

O prontuário é o instrumento técnico que organiza a história do atendimento. Sem ele, uma OSC não consegue demonstrar continuidade de cuidado, fundamentar relatórios para editais ou prestar contas de sua atuação. Com ele, ganha visibilidade sobre a evolução de cada família, encaminhamentos realizados e resultados alcançados.

O Ministério do Desenvolvimento e Assistência Social define o prontuário como "um instrumento técnico formado por um conjunto de informações relativas à família ou membro familiar que possibilita a comunicação entre os membros da equipe de referência do CRAS ou do CREAS e a continuidade do serviço prestado ao indivíduo".

Para OSCs que atuam em assistência social, o prontuário digital não é luxo — é exigência técnica, ética e legal. A Resolução CIT nº 29/2025 estabelece que "o Prontuário SUAS contém dados pessoais e podem conter dados pessoais sensíveis que subsidiam o processo de planejamento e operacionalização da política nacional de assistência social", em consonância com a LGPD.

Diferencial do Nexus Social: o prontuário é estruturado por atendido, com vínculos familiares, evolução cronológica, encaminhamentos e anexos — tudo com criptografia AES-256 em campos sensíveis e trilha de auditoria automática de acessos.

O Que Compõe um Prontuário Digital de Atendido

Dados de identificação

  • Nome, data de nascimento, CPF, RG, endereço
  • Composição familiar e vínculos (quem mora com quem, grau de parentesco)
  • Contatos (telefone, e-mail)
  • Renda familiar e situação socioeconômica

O MDS classifica esses como dados pessoais — "nome e sobrenome; data e local de nascimento; RG; CPF; retrato em fotografia; endereço residencial; endereço de e-mail; número de cartão bancário; renda".

Dados sensíveis

  • Condições de saúde (laudos, tratamentos, deficiências)
  • Situação de vulnerabilidade (rua, violência doméstica, medidas protetivas)
  • Origem racial e religião (frequentemente coletados em formulários)
  • Situação jurídica (medidas socioeducativas, histórico de acolhimento)
  • Documentos de menores (CPF, certidão, registros escolares)

A LGPD (art. 5º, II) define dado sensível como "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". O SERPRO alerta que dados de crianças e adolescentes também exigem "maior atenção no tratamento".

Registros profissionais

  • Estudos sociais, laudos, pareceres e informes
  • Histórico de atendimentos (datas, tipo, profissional responsável)
  • Encaminhamentos realizados (para saúde, educação, justiça, outras OSCs)
  • Avaliações de evolução e indicadores de saída

O CFESS (Resolução nº 557/2009) estabelece que "a elaboração, emissão e/ou subscrição de opinião técnica sobre matéria de SERVIÇO SOCIAL por meio de pareceres, laudos, perícias e manifestações é atribuição privativa do assistente social". Esses documentos compõem o prontuário e devem ser guardados com o mesmo rigor dos dados de identificação.

O Sigilo Profissional e o Prontuário Digital

O Código de Ética do/a Assistente Social (CFESS) trata o sigilo como direito e dever:

  • Art. 15: "Constitui direito do/a assistente social manter o sigilo profissional."
  • Art. 16: "O sigilo protegerá o/a usuário/a em tudo aquilo de que o/a assistente social tome conhecimento, como decorrência do exercício da atividade profissional."
  • Art. 17: "É vedado ao/à assistente social revelar sigilo profissional."

Isso significa que o prontuário digital não pode ser acessível a qualquer pessoa da OSC. Um voluntário de oficina não deve ver o histórico de saúde de um atendido. Um coordenador de outra área não deve acessar laudos de famílias que não acompanha. O sistema precisa garantir o princípio do menor privilégio — cada profissional vê apenas o que sua função exige. Veja como implementar controle de acesso granular.

Como Proteger Dados Sensíveis da Família

1. Criptografia em repouso

A ANPD recomenda que "agentes de tratamento de pequeno porte que armazenam dados dessa natureza implementem soluções que dificultem a identificação do titular, como as técnicas de pseudonimização. Um exemplo dessa técnica é a criptografia".

O padrão técnico é AES-256, aplicado por coluna — não no banco inteiro. CPF, documentos, laudos e anexos ficam ilegíveis mesmo em caso de acesso indevido ao servidor. Saiba mais em nosso guia sobre dados sensíveis de famílias atendidas.

2. Controle de acesso por papel

A ANPD orienta a "implementar um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais".

Diferencial do Nexus Social: o sistema aplica Row Level Security (RLS) no PostgreSQL, garantindo que cada profissional acesse apenas os atendidos sob sua responsabilidade — não a base inteira.

3. Trilha de auditoria de acessos

A Resolução CIT sobre diretrizes técnicas do Prontuário SUAS exige "autenticação e autorização de acesso por meio de senha pessoal e intransferível, que permita a identificação dos usuários do sistema e a rastreabilidade das ações de consulta ou gravação de dados por eles realizadas".

A LGPD (art. 37) determina que "o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem". O Governo Digital oferece um modelo de política de logs de auditoria "em atendimento ao previsto no art. 46 da Lei nº 13.709".

A trilha deve registrar:

  • Quem acessou (usuário autenticado, não conta compartilhada)
  • O quê visualizou (qual prontuário, qual campo)
  • Quando (timestamp com fuso horário)
  • De onde (IP, dispositivo)
  • Ação (consulta, edição, exportação, impressão)

4. Isolamento entre organizações

Se sua OSC faz parte de uma rede ou federação que usa um sistema compartilhado, os dados de uma organização nunca podem ser acessíveis por outra. O isolamento deve ser garantido em nível de banco de dados (Row Level Security), não apenas em nível de aplicação. Entenda como o multitenancy seguro funciona.

O Prontuário Eletrônico Simplificado como Referência

O MDS descreve o Prontuário Eletrônico Simplificado como sistema que "permite a inserção das seguintes informações: Forma de acesso à unidade no 1º atendimento; Inserção/Desligamento no Acompanhamento Familiar PAIF ou PAEFI; Histórico de Atendimentos; Encaminhamentos realizados".

Embora voltado à rede pública (CRAS/CREAS), essa estrutura serve de referência técnica para OSCs que atuam em assistência social — especialmente as que mantêm parcerias com o poder público via Marco Regulatório das OSCs (Lei 13.019/2014).

Comparativo: Prontuário em Papel vs Digital Seguro

AspectoPapel / PlanilhaProntuário Digital Seguro
Acesso a dados sensíveisQualquer um com a pastaApenas profissionais autorizados
CriptografiaInexistenteAES-256 por campo
Trilha de auditoriaManual, incompletaAutomática (quem, o quê, quando)
Continuidade de cuidadoDepende da memóriaHistórico completo acessível
BackupCópia física vulnerávelRedundância geográfica
Resposta à ANPDDifícil de demonstrarLogs exportáveis
Sigilo profissional (CFESS)Difícil de garantirGarantido por RLS + roles

Perguntas Frequentes

Posso digitalizar prontuários em papel?

Sim. A Lei nº 13.787/2018 autoriza "a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente", em consonância com a LGPD. Após a digitalização, o papel pode ser eliminado conforme a política de retenção.

Quem pode acessar o prontuário de um atendido?

Apenas o profissional responsável pelo caso e supervisores autorizados. O Código de Ética do CFESS veda revelar sigilo profissional (art. 17). O sistema deve aplicar o princípio do menor privilégio — cada papel vê apenas o necessário.

Por quanto tempo guardar prontuários?

A Lei 13.787/2018 fixa mínimo de 20 anos para prontuários de paciente (saúde). Para assistência social sem componente de saúde, aplica-se a regra geral da LGPD (art. 16): eliminação após o término do tratamento, salvo obrigação legal. Veja nosso guia de política de retenção.

A trilha de auditoria precisa registrar visualizações, ou só edições?

Ambas. A Resolução CIT exige "rastreabilidade das ações de consulta ou gravação de dados". Registrar apenas edições não basta — um vazamento pode ocorrer só pela visualização de um prontuário por quem não deveria acessá-lo.


O prontuário digital é onde a missão da sua OSC encontra a proteção de dados. O Nexus Social entrega prontuário estruturado, criptografia AES-256, controle de acesso por roles, RLS no PostgreSQL e trilha de auditoria automática — tudo pronto, sem precisar contratar um time de segurança. Agende uma demonstração e veja como proteger as famílias que você atende.


Fontes e Referências


E
Escrito por Equipe Nexus

Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.