Verificação de identidade do paciente no setor de saúde: conformidade e melhores práticas
Guia completo sobre verificação de identidade do paciente em Portugal: SNS, CNPD, RGPD, número de utente e ferramentas digitais para estabelecimentos de saúde.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokA verificação da identidade do paciente é uma obrigação legal e um requisito de segurança em todos os estabelecimentos de saúde em Portugal. Uma identificação incorreta pode resultar em erros clínicos graves, violações do segredo médico e sanções administrativas ao abrigo do RGPD. Em 2023, a Comissão Nacional de Proteção de Dados (CNPD) recebeu mais de 1 200 notificações de violações de dados, sendo o setor da saúde responsável por uma parcela significativa — um sinal de que a gestão de identidades em contexto clínico permanece um ponto crítico.
O que é a verificação de identidade do paciente?
A verificação de identidade do paciente é o conjunto de procedimentos que permitem confirmar que a pessoa que recebe cuidados de saúde é quem afirma ser e que o seu processo clínico corresponde à sua identidade real. No Serviço Nacional de Saúde (SNS) português, este processo articula-se em torno do número de utente do SNS — o identificador único atribuído a cada pessoa inscrita no SNS — e do Cartão de Cidadão, que integra o número de identificação fiscal (NIF) e o número de identificação de segurança social (NISS).
A identificação do utente no SNS assenta em dois elementos principais: o número de utente do SNS e o Cartão de Cidadão com fotografia. Estes dois elementos devem ser verificados em conjunto em cada episódio assistencial, conforme o Decreto-Lei n.º 11/93, de 15 de janeiro (Estatuto do SNS), e os regulamentos da DGS (Direção-Geral da Saúde). Fonte: SNS — Serviço Nacional de Saúde
Esta verificação é obrigatória em todos os estabelecimentos: hospitais públicos do SNS, clínicas privadas, centros de saúde, laboratórios de análises clínicas e farmácias que dispensem medicamentos sujeitos a receita médica.
Enquadramento regulatório em Portugal
O RGPD e a CNPD
Os dados de saúde constituem uma categoria especial de dados pessoais ao abrigo do artigo 9.º do RGPD, cujo tratamento é em princípio proibido salvo exceções (assistência médica, interesse público em matéria de saúde pública). A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo competente. Em 2023, a CNPD aplicou coimas a estabelecimentos de saúde por tratamento indevido de dados de saúde, incluindo acessos não autorizados a processos clínicos e partilha de dados sem base jurídica adequada.
O artigo 83.º(4) do RGPD prevê coimas até 10 milhões de euros ou 2 % do volume de negócios mundial anual por infrações aos princípios de tratamento de dados de saúde — qualquer dos valores que for mais elevado. Fonte: EUR-Lex — RGPD Artigo 83.º
A Lei n.º 58/2019, de 8 de agosto, assegura a execução do RGPD em Portugal, com disposições específicas para o tratamento de dados de saúde em contexto assistencial, incluindo os requisitos de consentimento e as bases jurídicas alternativas aplicáveis ao SNS.
A Lei de Bases da Saúde (Lei n.º 95/2019)
A Lei de Bases da Saúde (Lei n.º 95/2019) garante o direito à confidencialidade dos dados de saúde e estabelece os princípios da gestão da informação clínica. O artigo 12.º impõe ao Estado a obrigação de garantir a proteção dos dados de saúde e a criação de um registo de saúde eletrónico seguro.
O Processo de Saúde Eletrónico (PSE) e o SNS 24
O Processo de Saúde Eletrónico (PSE) é o sistema de informação clínica do SNS, que permite o acesso partilhado ao historial clínico do utente por parte dos profissionais de saúde autorizados. O acesso ao PSE exige autenticação prévia do profissional e a identificação verificada do utente. Qualquer acesso não autorizado ao PSE pode ser rastreado através dos registos de auditoria do sistema.
A SPMS (Serviços Partilhados do Ministério da Saúde) é responsável pela operação e segurança do PSE, incluindo os requisitos de autenticação e rastreabilidade dos acessos a dados de saúde. Fonte: SPMS — Serviços Partilhados do Ministério da Saúde
Conservação de dados de saúde
A legislação portuguesa impõe a conservação dos processos clínicos por um período mínimo de 10 anos após o último episódio assistencial, ou até à maioridade do utente se este for menor. Para processos relacionados com determinadas especialidades (oncologia, psiquiatria), os prazos podem ser superiores. Estes prazos obrigam os estabelecimentos a manter registos de identificação verificados e auditáveis durante toda a vida do processo clínico.
Riscos de uma identificação deficiente
| Tipo de risco | Exemplo concreto | Consequência legal |
|---|---|---|
| Erro clínico | Transfusão incompatível | Responsabilidade civil e penal |
| Violação do sigilo médico | Acesso ao processo de terceiro | Coima CNPD + artigo 195.º CP |
| Usurpação de identidade | Uso indevido do número de utente | Queixa criminal (artigo 225.º CP) |
| Duplicação de processo | Dois utentes com mesmo registo | Prescrição errada |
| Violação de dados | Roubo de dados de saúde | Notificação CNPD em 72 horas |
A usurpação do número de utente do SNS é uma fraude crescente em Portugal, relacionada com o acesso indevido a consultas ou medicamentos subsidiados. A ADSE (seguro de saúde dos funcionários públicos) e as seguradoras privadas registam anualmente casos de utilização fraudulenta de identidade médica.
Nas comunidades profissionais de saúde, as questões mais frequentemente levantadas são: como identificar um utente que não apresenta documentação (urgências, doentes em estado crítico) e como gerir os duplicados de número de utente originados por erros de registo ou por migrações entre regiões de saúde. Ambas as situações exigem protocolos claros e ferramentas adequadas.
Aprofundar o tema
Descubra os nossos guias práticos e recursos para dominar a conformidade documental.
Explorar os guiasMelhores práticas para a verificação de identidade do paciente
1. Identificação no momento do registo
O protocolo padrão nos estabelecimentos de saúde portugueses inclui a verificação de pelo menos dois identificadores independentes:
- Número de utente do SNS
- Cartão de Cidadão (com fotografia)
- Nome completo e data de nascimento
Para menores de idade, a identificação deve incluir os dados do representante legal. Para utentes estrangeiros, deve verificar-se a cobertura de saúde (cartão europeu de seguro de doença ou seguro privado) em simultâneo com a identidade.
2. Documentos de identidade aceites
Os documentos de identidade válidos para registo nos estabelecimentos de saúde são:
- Cartão de Cidadão (documento de identificação português)
- Passaporte português ou estrangeiro
- Autorização de residência
- Título de residência de cidadão da UE
- Bilhete de identidade de qualquer Estado-Membro da UE
O cartão de utente do SNS (cartão de saúde) não substitui o documento de identificação, pois não inclui fotografia e pode ser cedido a terceiros.
3. Verificação documental automatizada
A verificação manual de documentos de identidade é demorada e propensa a erro humano. As soluções de verificação documental automatizada, como a CheckFile, podem validar um Cartão de Cidadão ou passaporte em menos de 10 segundos, detetando falsificações (documentos manipulados digitalmente, dados incoerentes, documentos caducados) com uma taxa de precisão superior a 99 %. Estas soluções integram-se com os sistemas de gestão de utentes (HIS) por via de APIs normalizadas, compatíveis com os sistemas SONHO e SAMS do SNS.
4. Rastreabilidade e registo de acessos
Todo o acesso ou alteração ao processo clínico deve ser registado em conformidade com o RGPD e o Regulamento (UE) 2016/679: identidade do utilizador, data e hora, posto de trabalho e tipo de ação. Este registo deve ser conservado por um mínimo de 3 anos e estar disponível para auditorias da CNPD.
5. Formação dos profissionais
O pessoal administrativo e clínico com acesso a processos clínicos deve receber formação inicial sobre procedimentos de identificação e atualização anual sobre proteção de dados. A CNPD exige que esta formação fique documentada como evidência do cumprimento do princípio de responsabilidade (accountability) previsto no artigo 5.º(2) do RGPD.
Ferramentas tecnológicas disponíveis
Leitura do número de utente por cartão — Os sistemas de informação hospitalar (HIS) certificados permitem a leitura eletrónica do número de utente a partir do Cartão de Cidadão, com consulta em tempo real à base de dados da ARSC (Administração Regional de Saúde do Centro) ou equivalente regional.
OCR e validação documental — Captura automática dos dados do Cartão de Cidadão ou passaporte por reconhecimento ótico de caracteres, com verificação da validade do documento e da coerência dos dados.
Verificação biométrica — Reconhecimento facial para confirmar a correspondência entre o titular e o documento apresentado. Especialmente útil em teleconsultas (plataforma SNS 24) e para utentes de alta frequência (diálise, oncologia). Requer avaliação de impacto sobre a proteção de dados (AIPD) prévia, ao abrigo do artigo 35.º do RGPD.
Deteção de duplicados — Algoritmos de cotejo probabilístico que identificam possíveis duplicados no sistema de informação hospitalar, com base em variações ortográficas do nome, inversão de apelidos ou datas de nascimento semelhantes.
Para conhecer em detalhe as tecnologias de verificação de identidade disponíveis, consulte o nosso guia sobre métodos e tecnologias de verificação de identidade.
Para uma visão global da verificação documental por setor de atividade, visite o nosso guia de verificação por indústrias.
Conheça as soluções CheckFile para o setor da saúde ou consulte a nossa página de preços para entender os custos envolvidos.
Perguntas frequentes
Qual é a legislação que regula a identificação do paciente em Portugal?
A identificação do utente em Portugal é regulada principalmente pelo RGPD (UE 2016/679), pela Lei n.º 58/2019 (execução do RGPD), pela Lei de Bases da Saúde (Lei n.º 95/2019) e pelo Estatuto do SNS (Decreto-Lei n.º 11/93). A DGS (Direção-Geral da Saúde) emite adicionalmente circulares normativas sobre procedimentos de identificação nos estabelecimentos de saúde.
É obrigatório verificar a identidade do paciente em cada consulta?
Sim. Os protocolos de segurança assistencial do SNS estabelecem que a identidade do utente deve ser confirmada em cada episódio assistencial — não apenas no primeiro contacto — para evitar erros de identificação durante a prestação de cuidados (colheita de sangue, administração de medicação, procedimentos cirúrgicos).
O que acontece se um utente não puder apresentar documentação?
Em situações de urgência ou para utentes sem documentação, cria-se um registo provisório com os dados disponíveis. A identificação completa deve ser realizada logo que possível. Para utentes em situação de vulnerabilidade, alguns estabelecimentos dispõem de protocolos específicos de identificação assistida, em colaboração com serviços sociais.
Quais são as sanções por acesso não autorizado a um processo clínico?
A CNPD pode aplicar coimas até 10 milhões de euros ou 2 % do volume de negócios mundial (artigo 83.º(4) do RGPD). O acesso não autorizado a dados médicos pode também constituir crime de violação de segredo (artigo 195.º do Código Penal), punível com pena de prisão até 1 ano ou multa até 240 dias. A divulgação indevida de dados de saúde é punida com pena de prisão até 2 anos.
Como se gerem os duplicados de número de utente no SNS?
Os duplicados ocorrem habitualmente quando um utente se inscreve em mais de um centro de saúde ou quando há erros de registo (grafia diferente do nome, data de nascimento incorreta). A deteção é feita por algoritmos de cotejo nos sistemas de informação hospitalar. A fusão de registos duplicados deve ser validada por um técnico administrativo autorizado e registada para fins de rastreabilidade.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.