Prontuário Digital de Atendidos em OSCs: O Que Guardar e Como Proteger
Equipe Nexus
Autor05 de julho de 2026
9 min de leitura
Pontos-Chave sobre Prontuário Digital em OSCs
- O prontuário SUAS contém dados pessoais e sensíveis que subsidiam o trabalho social — e está expressamente em conformidade com a LGPD
- Dados sensíveis (saúde, vulnerabilidade social, documentos de menores) exigem criptografia e controle de acesso rigoroso (LGPD art. 46)
- O sigilo profissional do assistente social é direito e dever ético (CFESS, art. 15 a 17) — o prontuário digital precisa respeitá-lo
- A trilha de auditoria (art. 37) registra quem acessou o quê, quando e de onde — essencial para investigar incidentes
Por Que o Prontuário Digital é o Coração da Gestão de OSCs
O prontuário é o instrumento técnico que organiza a história do atendimento. Sem ele, uma OSC não consegue demonstrar continuidade de cuidado, fundamentar relatórios para editais ou prestar contas de sua atuação. Com ele, ganha visibilidade sobre a evolução de cada família, encaminhamentos realizados e resultados alcançados.
O Ministério do Desenvolvimento e Assistência Social define o prontuário como "um instrumento técnico formado por um conjunto de informações relativas à família ou membro familiar que possibilita a comunicação entre os membros da equipe de referência do CRAS ou do CREAS e a continuidade do serviço prestado ao indivíduo".
Para OSCs que atuam em assistência social, o prontuário digital não é luxo — é exigência técnica, ética e legal. A Resolução CIT nº 29/2025 estabelece que "o Prontuário SUAS contém dados pessoais e podem conter dados pessoais sensíveis que subsidiam o processo de planejamento e operacionalização da política nacional de assistência social", em consonância com a LGPD.
Diferencial do Nexus Social: o prontuário é estruturado por atendido, com vínculos familiares, evolução cronológica, encaminhamentos e anexos — tudo com criptografia AES-256 em campos sensíveis e trilha de auditoria automática de acessos.
O Que Compõe um Prontuário Digital de Atendido
Dados de identificação
- Nome, data de nascimento, CPF, RG, endereço
- Composição familiar e vínculos (quem mora com quem, grau de parentesco)
- Contatos (telefone, e-mail)
- Renda familiar e situação socioeconômica
O MDS classifica esses como dados pessoais — "nome e sobrenome; data e local de nascimento; RG; CPF; retrato em fotografia; endereço residencial; endereço de e-mail; número de cartão bancário; renda".
Dados sensíveis
- Condições de saúde (laudos, tratamentos, deficiências)
- Situação de vulnerabilidade (rua, violência doméstica, medidas protetivas)
- Origem racial e religião (frequentemente coletados em formulários)
- Situação jurídica (medidas socioeducativas, histórico de acolhimento)
- Documentos de menores (CPF, certidão, registros escolares)
A LGPD (art. 5º, II) define dado sensível como "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". O SERPRO alerta que dados de crianças e adolescentes também exigem "maior atenção no tratamento".
Registros profissionais
- Estudos sociais, laudos, pareceres e informes
- Histórico de atendimentos (datas, tipo, profissional responsável)
- Encaminhamentos realizados (para saúde, educação, justiça, outras OSCs)
- Avaliações de evolução e indicadores de saída
O CFESS (Resolução nº 557/2009) estabelece que "a elaboração, emissão e/ou subscrição de opinião técnica sobre matéria de SERVIÇO SOCIAL por meio de pareceres, laudos, perícias e manifestações é atribuição privativa do assistente social". Esses documentos compõem o prontuário e devem ser guardados com o mesmo rigor dos dados de identificação.
O Sigilo Profissional e o Prontuário Digital
O Código de Ética do/a Assistente Social (CFESS) trata o sigilo como direito e dever:
- Art. 15: "Constitui direito do/a assistente social manter o sigilo profissional."
- Art. 16: "O sigilo protegerá o/a usuário/a em tudo aquilo de que o/a assistente social tome conhecimento, como decorrência do exercício da atividade profissional."
- Art. 17: "É vedado ao/à assistente social revelar sigilo profissional."
Isso significa que o prontuário digital não pode ser acessível a qualquer pessoa da OSC. Um voluntário de oficina não deve ver o histórico de saúde de um atendido. Um coordenador de outra área não deve acessar laudos de famílias que não acompanha. O sistema precisa garantir o princípio do menor privilégio — cada profissional vê apenas o que sua função exige. Veja como implementar controle de acesso granular.
Como Proteger Dados Sensíveis da Família
1. Criptografia em repouso
A ANPD recomenda que "agentes de tratamento de pequeno porte que armazenam dados dessa natureza implementem soluções que dificultem a identificação do titular, como as técnicas de pseudonimização. Um exemplo dessa técnica é a criptografia".
O padrão técnico é AES-256, aplicado por coluna — não no banco inteiro. CPF, documentos, laudos e anexos ficam ilegíveis mesmo em caso de acesso indevido ao servidor. Saiba mais em nosso guia sobre dados sensíveis de famílias atendidas.
2. Controle de acesso por papel
A ANPD orienta a "implementar um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais".
Diferencial do Nexus Social: o sistema aplica Row Level Security (RLS) no PostgreSQL, garantindo que cada profissional acesse apenas os atendidos sob sua responsabilidade — não a base inteira.
3. Trilha de auditoria de acessos
A Resolução CIT sobre diretrizes técnicas do Prontuário SUAS exige "autenticação e autorização de acesso por meio de senha pessoal e intransferível, que permita a identificação dos usuários do sistema e a rastreabilidade das ações de consulta ou gravação de dados por eles realizadas".
A LGPD (art. 37) determina que "o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem". O Governo Digital oferece um modelo de política de logs de auditoria "em atendimento ao previsto no art. 46 da Lei nº 13.709".
A trilha deve registrar:
- Quem acessou (usuário autenticado, não conta compartilhada)
- O quê visualizou (qual prontuário, qual campo)
- Quando (timestamp com fuso horário)
- De onde (IP, dispositivo)
- Ação (consulta, edição, exportação, impressão)
4. Isolamento entre organizações
Se sua OSC faz parte de uma rede ou federação que usa um sistema compartilhado, os dados de uma organização nunca podem ser acessíveis por outra. O isolamento deve ser garantido em nível de banco de dados (Row Level Security), não apenas em nível de aplicação. Entenda como o multitenancy seguro funciona.
O Prontuário Eletrônico Simplificado como Referência
O MDS descreve o Prontuário Eletrônico Simplificado como sistema que "permite a inserção das seguintes informações: Forma de acesso à unidade no 1º atendimento; Inserção/Desligamento no Acompanhamento Familiar PAIF ou PAEFI; Histórico de Atendimentos; Encaminhamentos realizados".
Embora voltado à rede pública (CRAS/CREAS), essa estrutura serve de referência técnica para OSCs que atuam em assistência social — especialmente as que mantêm parcerias com o poder público via Marco Regulatório das OSCs (Lei 13.019/2014).
Comparativo: Prontuário em Papel vs Digital Seguro
| Aspecto | Papel / Planilha | Prontuário Digital Seguro |
|---|---|---|
| Acesso a dados sensíveis | Qualquer um com a pasta | Apenas profissionais autorizados |
| Criptografia | Inexistente | AES-256 por campo |
| Trilha de auditoria | Manual, incompleta | Automática (quem, o quê, quando) |
| Continuidade de cuidado | Depende da memória | Histórico completo acessível |
| Backup | Cópia física vulnerável | Redundância geográfica |
| Resposta à ANPD | Difícil de demonstrar | Logs exportáveis |
| Sigilo profissional (CFESS) | Difícil de garantir | Garantido por RLS + roles |
Perguntas Frequentes
Posso digitalizar prontuários em papel?
Sim. A Lei nº 13.787/2018 autoriza "a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário de paciente", em consonância com a LGPD. Após a digitalização, o papel pode ser eliminado conforme a política de retenção.
Quem pode acessar o prontuário de um atendido?
Apenas o profissional responsável pelo caso e supervisores autorizados. O Código de Ética do CFESS veda revelar sigilo profissional (art. 17). O sistema deve aplicar o princípio do menor privilégio — cada papel vê apenas o necessário.
Por quanto tempo guardar prontuários?
A Lei 13.787/2018 fixa mínimo de 20 anos para prontuários de paciente (saúde). Para assistência social sem componente de saúde, aplica-se a regra geral da LGPD (art. 16): eliminação após o término do tratamento, salvo obrigação legal. Veja nosso guia de política de retenção.
A trilha de auditoria precisa registrar visualizações, ou só edições?
Ambas. A Resolução CIT exige "rastreabilidade das ações de consulta ou gravação de dados". Registrar apenas edições não basta — um vazamento pode ocorrer só pela visualização de um prontuário por quem não deveria acessá-lo.
O prontuário digital é onde a missão da sua OSC encontra a proteção de dados. O Nexus Social entrega prontuário estruturado, criptografia AES-256, controle de acesso por roles, RLS no PostgreSQL e trilha de auditoria automática — tudo pronto, sem precisar contratar um time de segurança. Agende uma demonstração e veja como proteger as famílias que você atende.
Fontes e Referências
- Planalto — Lei nº 13.709/2018 (LGPD) — Arts. 5º (dados sensíveis), 37 (registro de operações) e 46 (medidas de segurança) (2018)
- MDS — Classificação de Dados — Exemplos práticos de dados pessoais e sensíveis no contexto de assistência social
- MDS — Prontuário SUAS — Define o prontuário como instrumento técnico de organização do trabalho social
- MDS — Prontuário Eletrônico Simplificado — Sistema de registro eletrônico de atendimentos e encaminhamentos
- CIT — Resolução nº 29/2025 (Prontuário SUAS) — Diretrizes do Prontuário Eletrônico do SUAS em conformidade com a LGPD (2025)
- CIT — Diretrizes Técnicas do Prontuário SUAS — Exige autenticação, autorização de acesso e rastreabilidade de ações
- CFESS — Código de Ética do/a Assistente Social — Arts. 15 a 17: sigilo profissional como direito e dever (1993, atualizado em 2011)
- CFESS — Resolução nº 557/2009 — Pareceres, laudos e opiniões técnicas como atribuição privativa do assistente social (2009)
- CFESS — Produção de Documentos e Emissão de Opinião Técnica — Orienta sobre estudos sociais, laudos e registros profissionais (2022)
- ANPD — Guia de Segurança da Informação para Agentes de Pequeno Porte — Recomenda criptografia como técnica de pseudonimização (2021/2025)
- ANPD — Checklist de Medidas de Segurança — Medidas práticas incluindo criptografia e controle de acesso
- SERPRO — Dados Sensíveis LGPD — Conceito de dados sensíveis, incluindo crianças e adolescentes
- Governo Digital — Modelo de Política de Logs de Auditoria — Modelo em atendimento ao art. 46 da LGPD
- Planalto — Lei nº 13.787/2018 (Prontuário de Paciente) — Digitalização e guarda de prontuários; prazo mínimo de 20 anos (2018)
- Planalto — Lei nº 13.019/2014 (MROSC) — Marco Regulatório das Organizações da Sociedade Civil (2014)
Escrito por Equipe Nexus
Equipe Nexus Social dedicada a compartilhar conhecimento e tecnologia para o fortalecimento do terceiro setor.