Da Segurança e Proteção de Dados Pessoais no Setor da Saúde: regulação atual e perspetivas imediatas
Descrição do Produto
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde regulação atual e perspetivas imediatas
Manuel David Masseno GSSI
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
A Regulação dos Dados Pessoais no Setor da Saúde, um não-problema?
é que temos a Lei n.º 12/2005, de 26 de janeiro, sobre informação genética pessoal e informação de saúde
“[…] a informação de saúde abrange todo o tipo de informação, direta ou indiretamente ligada à saúde, presente ou futura, de uma pessoa, quer se encontre com vida ou tenha falecido, e a sua história clínica e familiar.” (Art.º 2.º)
sucessivamente, a Lei disciplina:
a propriedade da informação de saúde (Art.º 3.º) o tratamento da informação de saúde (Art.º 4.º) a informação médica (Art.º 5.º) e sobretudo, a informação genética (Art.ºs 6.º a 20.º) 2
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
complementada pela Lei n.º 5/2012, de 23 de janeiro, que regula os requisitos de tratamento de dados pessoais para constituição de ficheiros de âmbito nacional, contendo dados de saúde, com recurso a tecnologias de informação e no quadro do Serviço Nacional de Saúde
“[a qual] aplica-se a todos os estabelecimentos de saúde públicos, bem como aos atos praticados nos estabelecimentos de natureza privada ou social que impliquem encargos para o SNS e ainda aos sujeitos jurídicos que em razão das atribuições que prosseguem, do seu objeto social ou das atividades que exercem.” (Art.º 3.º)
a mesma trata, sucessivamente:
do princípio geral de “estrito respeito pelos direitos, liberdades e garantias fundamentais, nomeadamente o direito à reserva da intimidade da vida privada” (Art.º 2.º) 3
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
da responsabilidade pelo tratamento dos dados (Art.º 4.º) das finalidades do tratamento admissíveis (Art.º 5.º) da identificação nacional de utente do SNS (Art.º 6.º) da gestão e controle dos pagamentos e faturação (Art.º 7.º) da avaliação de desempenho e financiamento (Art.º 8.º) do direito de acesso e retificação (Art.º 9.º) da comunicação com a administração fiscal e a segurança social (Art.º 10.º) e ainda das funções da Comissão Nacional de Proteção de Dados neste domínio (Art.º 11.º)
pelo que bastaria com aplicar a primeira Lei, ou ambas, tratando-se do Serviço Nacional de Saúde… 4
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
porém, esta é apenas uma faceta, embora especialmente delicada, de uma questão, muito mais vasta e crucial na Sociedade da Informação / Sociedade em Rede, a da Autodeterminação Informacional, enquanto “o” Direito Fundamental, acima de qualquer outro
daí a constitucionalização da Proteção de Dados Pessoais, para além da Privacidade em si mesma:
na União Europeia (Art.º 16.º do TFUE – Tratado sobre o Funcionamento da União Europeia e Art.ºs 8.º e 7.º da Carta dos Direitos Fundamentais da União Europeia) e em Portugal (Art.º 35.ºs e 26.º/34.º da Constituição da República) 5
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
I – Um Sistema Complexo, e em vários níveis: a) no Conselho da Europa:
a Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais, de 4 de novembro de 1950
Art.º 8.º (Direito ao respeito pela vida privada e familiar) com a Jurisprudência do Tribunal Europeu dos Direitos do Homem: Acórdão de 11 de julho de 2008 (Processo 20511/03), I c. Finlândia
a Convenção do Conselho da Europa para a Proteção dos Indivíduos face ao Tratamento Automático de Dados Pessoais - Convenção 108, de 28 de janeiro de 1981 6
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
b) na União Europeia:
além do TFUE e da Carta… temos um microssistema ainda centrado na Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, em vias de superação… com aberturas, para a Convenção Europeia dos Direitos do Homem e a Jurisprudência do Tribunal Europeu dos Direitos do Homem (ex Art.º 6.º do Tratado da União Europeia), bem como para os Direitos dos Estados Membros (Princípios do Primado e da Interpretação Conforme, que a nossa Constituição aceita, por força do seu Art.º 8.º n.º 3) 7
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
c) em Portugal:
também para lá da Constituição da República, incluindo o Princípio da Administração Aberta (Art.º 268.º n.º 2)… temos também um microssistema, agora fundado na LPD – Lei da Proteção de Dados Pessoais (Lei n.º 67/98, de 26 de Outubro)
relevando as nossas Lei especiais de 2005 e 2012, esta última limitada ao SNS em termos especiais, o atual Código do Trabalho (Lei n.º 7/2009, de 12 de fevereiro), bem como para as Unidades de Saúde do Setor Público, incluindo os Hospitais EPE, também a LADA – Lei que regula o acesso aos documentos administrativos e a sua reutilização (Lei nº 46/2007, de 24 de agosto) 8
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
II – Os Tópicos Fundamentais, um percurso: a) os “dados pessoais” e os “dados saúde”
na Convenção do Conselho da Europa:
“‘Dados de carácter pessoal’ significa qualquer informação relativa a uma pessoa singular identificada ou suscetível de identificação (‘titular dos dados’).” (Art.º 2.º, alínea a) enquanto, “Os dados de carácter pessoal que revelem a origem racial, as opiniões políticas, as convicções religiosas ou outras, bem como os dados de caráter pessoal relativos à saúde ou à vida sexual, só poderão ser objeto de tratamento automatizado desde que o direito interno preveja garantias adequadas. O mesmo vale para os dados de carácter pessoal relativos a condenações penais.” (Art.º 6.º) 9
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
enquanto na Diretiva 95/46/CE:
são “‘Dados pessoais’, qualquer informação relativa a uma pessoa singular identificada ou identificável (‘pessoa em causa’); é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;” (Art.º 2.º alínea c) e “Os Estados-membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual.” (Art.º 8.º n.º 1) 10
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
em Portugal:
enquanto para a LPD, o conceito de “dados pessoais” corresponde à da Diretiva (Art.º 3.º alínea a) e o mesmo ocorre com os “dados sensíveis” (Art.º 7.º n.º 1) por sua vez, a LADA trabalha com uma noção só em parte coincidente, a de “‘documento nominativo’ [isto é], o documento administrativo que contenha, a propósito de pessoa singular, identificada ou identificável, apreciação ou juízo de valor, ou informação abrangida pela reserva da vida privada.” (Art.º 3.º n.º 1 alínea b), incluindo, explicitamente, os “dados de saúde” (Art.º 2.º n.º 3)
11
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
já para a nossa Lei de 2005, a “informação de saúde abrange todo o tipo de informação direta ou indiretamente ligada à saúde, presente ou futura, de uma pessoa, quer se encontre com vida quer haja falecido, e a sua história clínica e familiar.” (Art.º 2.º), “incluindo os dados clínicos registados, resultados de análises e outros exames subsidiários, intervenções e diagnósticos” (Art.º 3.º n.º 1)
12
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
b) o “tratamento” dos “dados saúde”
nos termos da Diretiva 95/46/CE:
designadamente, o mesmo é lícito se “for necessário para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos médicos ou gestão de serviços da saúde e quando o tratamento desses dados for efetuado por um profissional da saúde obrigado ao segredo profissional pelo direito nacional ou por regras estabelecidas pelos organismos nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de segredo equivalente.” (Art.º 8.º n.º 3)
13
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
no Ordenamento interno:
a LPD segue a Diretiva, determinando que “O tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efetuado por um profissional de saúde obrigado a sigilo ou por outra pessoa sujeita igualmente a segredo profissional [e ainda acrescenta que], seja notificado à CNPD [Comissão Nacional para a Proteção de Dados], nos termos do artigo 27.º, e sejam garantidas medidas adequadas de segurança da informação.” (Art.º 7.º n.º 4) 14
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
o que é especificado pela Lei de 2005: “Os responsáveis pelo tratamento da informação de saúde devem tomar as providências adequadas à proteção da sua confidencialidade, garantindo a segurança das instalações e equipamentos, o controlo no acesso à informação, bem como o reforço do dever de sigilo e da educação deontológica de todos os profissionais” (Art.º 3.º n.º 1) e, por isso mesmo, “o processo clínico só pode ser consultado por médico incumbido da realização de prestações de saúde a favor da pessoa a que respeita ou, sob a supervisão daquele, por outro profissional de saúde obrigado a sigilo e na medida do estritamente necessário à realização das mesmas” (Art.º 5.º n.º 5) 15
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
por sua vez, a Lei de 2012 acrescenta como finalidades: “a) Organizar, uniformizar e manter atualizada a informação relativa à identificação nacional de utente do SNS; [a] b) Gestão e controlo dos pagamentos e faturação a realizar no âmbito do SNS relativamente a prestações de saúde e atos associados, incluindo comparticipação e dispensa de medicamentos; [e ainda a] c) Avaliação de desempenho e financiamento dos estabelecimentos de saúde.” (Art.º 5.º n.º 1)
16
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
bem como, “[…] facultar aos órgãos, agentes e entidades competentes as informações estritamente necessárias ao exercício das suas competências legais nas áreas da auditoria e fiscalização.” (Art.º 5.º n.º 2)
17
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
c) o “acesso” aos “dados de saúde”
antes de mais, cumpre distinguir entre o i) acesso pelo titular dos dados e o ii acesso por terceiros i) acesso pelo titular dos dados:
segundo a Convenção 108, este poderá “Obter, a intervalos razoáveis e sem demoras ou despesas excessivas, a confirmação da existência ou não no ficheiro automatizado de dados de carácter pessoal que lhe digam respeito, bem como a comunicação desses dados de forma inteligível;” (Art.º 8.º alínea
b) 18
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
já nos termos da Diretiva 95/46/CE:
“Os Estados-membros garantirão às pessoas em causa o direito de obterem do responsável pelo tratamento: a) Livremente e sem restrições, com periodicidade razoável e sem demora ou custos excessivos: - a confirmação de terem ou não sido tratados dados que lhes digam respeito, e informações pelo menos sobre os fins a que se destina esse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados, - a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem dos dados” (Art.º 12.º) 19
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
conforme ao Direito nacional:
a LPD segue, à letra, a Diretiva (Art.º 11.º n.º 1 alíneas a) e b) e dispõe ainda que “O direito de acesso à informação relativa a dados da saúde, incluindo os dados genéticos, é exercido por intermédio de médico escolhido pelo titular dos dados.” (Art.º 11.º n.º 5) por sua vez, a Lei de 2005 especifica que “O titular da informação de saúde tem o direito de, querendo, tomar conhecimento de todo o processo clínico que lhe diga respeito, salvo circunstâncias excecionais devidamente justificadas e em que seja inequivocamente demonstrado que isso lhe possa ser prejudicial, ou de o fazer comunicar a quem seja por si indicado.” (Art.º 3.º n.º 2) 20
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
porém, conforme à LADA, “Todos, sem necessidade de enunciar qualquer interesse, têm direito de acesso aos documentos administrativos, o qual compreende os direitos de consulta, de reprodução e de informação sobre a sua existência e conteúdo.” (Art.º 5.º), e… “A comunicação de dados de saúde é feita através de médico [apenas] se o requerente o solicitar.” (Art.º 7.º)
21
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
i) acesso por terceiros, tratando-se de “dados sensíveis”:
conforme à Diretiva 95/46/CE:
tal só é viável se a “pessoa em causa tiver dado o seu consentimento explícito para esse tratamento” ou o “tratamento for necessário para proteger interesses vitais […] de uma outra pessoa se a pessoa em causa estiver física ou legalmente incapaz de dar o seu consentimento” (Art.º 8.º n.º 2 alíneas a e c)
quanto ao Direito nacional:
a LDA volta a seguir a Diretiva (Art.º 7.º n.º 1 e n.º 3 alínea a)
22
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
e a Lei de 2005 reitera que “O titular da informação de saúde tem o direito de, querendo, tomar conhecimento de todo o processo clínico que lhe diga respeito […] ou de o fazer comunicar a quem seja por si indicado.” (Art.º 3.º n.º 2)
enquanto para a Lei de 2012, “Aos titulares dos dados registados nos ficheiros de dados criados ao abrigo da presente lei é reconhecido o direito de aceder às informações que lhes digam respeito, bem como de exigir a retificação de informações inexatas e a inclusão de informações total ou parcialmente omissas, nos termos do artigo 11.º da Lei 67/98, de 26 de outubro.”, incluindo os dados pessoais que não tem a ver diretamente com a respetiva saúde (Art.º 9.º) 23
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
por sua vez, o Código do Trabalho estabelece que: “1. O empregador não pode exigir a candidato a emprego ou a trabalhador que preste informações relativas: [...] b) À sua saúde ou estado de gravidez, salvo quando particulares exigências inerentes à natureza da atividade profissional o justifiquem e seja fornecida por escrito a respetiva fundamentação. 2 – As informações previstas na alínea b) do número anterior são prestadas a médico, que só pode comunicar ao empregador se o trabalhador está ou não apto a desempenhar a atividade.” (Art.º 17.º)
24
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
porém, a grande questão está no disposto na LADA, em cujos termos “Um terceiro só tem direito de acesso a documentos nominativos se estiver munido de autorização escrita da pessoa a quem os dados digam respeito ou demonstrar interesse direto, pessoal e legítimo suficientemente relevante segundo o princípio da proporcionalidade.” (Art. 6.º n.º 5), sendo este último avaliado pela entidade requerida, com intervenção eventual da CADA – Comissão de Acesso a Documentos Administrativos (Art.º 11.º e ss.) ora, em termos sistemáticos não caberá senão uma interpretação restritiva da última parte do preceito, inclusive pelas competências atribuídas à CNPD pela Lei de 2012 (Art.º 11.º) 25
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
e) a “segurança” dos “dados de saúde” também neste domínio, a Convenção do Conselho da Europa teve um papel pioneiro,
estabelecendo que “Para a proteção dos dados de carácter pessoal registados em ficheiros automatizados devem ser tomadas medidas de segurança apropriadas contra a destruição, acidental ou não autorizada, e a perda acidental e também contra o acesso, a modificação ou a difusão não autorizados.” (Art.º 7.º)
por seu turno, a Diretiva 95/46/CE, especifica um pouco mais:
“Os Estados-membros estabelecerão que o responsável pelo tratamento deve pôr em prática medidas técnicas e organizativas… 26
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito. Estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.” (Art.º 17.º n.º 1)
27
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
em Portugal, o Legislador foi mais longe:
na LPD, além de retomar os critérios da Diretiva (Art.º 14.º n.º 1), são previstas medidas adicionais: “a) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações); b) Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada (controlo dos suportes de dados); c) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção); d) Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização); 28
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
e) Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização (controlo de acesso); f) Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da transmissão); g) Garantir que possa verificar-se a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada setor, quais os dados pessoais introduzidos quando e por quem (controlo da introdução); h) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).” (Art.º 15.º n.º 1)
29
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
além de “Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.” (Art.º 14.º n.º 3)
o que é especificado e desenvolvido pela Lei de 2005: “As unidades do sistema de saúde devem impedir o acesso indevido de terceiros aos processos clínicos e aos sistemas informáticos que contenham informação de saúde, incluindo as respetivas cópias de segurança, assegurando os níveis de segurança apropriados e cumprindo as exigências estabelecidas pela legislação que regula a proteção de dados pessoais…” (Art.º 4.º n.º 2) 30
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
“A gestão dos sistemas que organizam a informação de saúde deve garantir a separação entre a informação de saúde e genética e a restante informação pessoal, designadamente através da definição de diversos níveis de acesso” (Art.º 4.º n.º 5) e ainda “A gestão dos sistemas de informação deve garantir o processamento regular e frequente de cópias de segurança da informação de saúde, salvaguardadas as garantias de confidencialidade estabelecidas por lei.” (Art.º 4.º n.º 6)
31
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
por sua vez, para o SNS, a Lei de 2012 reitera que: “Os ficheiros de dados constituídos ao abrigo da presente lei devem preencher os requisitos de segurança e inviolabilidade previstos nas normas sobre proteção de dados pessoais e garantir a separação entre dados de saúde e dados de identificação, estabelecendo, nomeadamente, diferentes níveis de acesso à informação e um registo generalizado de acessos.” (Art.º 5.º n.º 3)
32
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
f) os regimes sancionatórios: enquanto, a Convenção se limita a remeter para os Estados que a subscreveram, “As Partes comprometem-se a estabelecer sanções e vias de recurso apropriadas em face da violação das disposições do direito interno que confiram eficácia aos princípios básicos para a proteção dos dados, enunciados no presente capítulo.” (Art.º 10.º) por sua vez, a Diretiva dispõe que “Os Estadosmembros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente diretiva e determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adotadas nos termos de presente diretiva.” (Art.º 24º) 33
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
já em Portugal, a LPD prevê:
Ilícitos contraordenacionais relativos à omissão ou defeituoso cumprimento de obrigações, que, no que se refere aos “dados de saúde”, com coimas cujos montantes podem chegar aos € 30000 (Art.º 37.º n.º 2) e Ilícitos penais: o não cumprimento de obrigações relativas a proteção de dados (Art.º 43.º n.ºs 1 e 2), com pena de prisão até dois anos ou multa até 240 dias o acesso indevido (Art.º 44.º), com pena de prisão até um ano ou multa até 120 dias, podendo ser qualificado
34
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
a viciação ou destruição de dados pessoais (Art.º 45.º), com pena de prisão até dois anos ou multa até 240 dias a desobediência qualificada (Art.º 46.º), com pena de prisão até dois anos ou multa até 240 dias (ex Art.º 348.º n.º 2 do Código Penal) e a violação do dever de sigilo (Art.º 47.º), com pena de prisão até dois anos ou multa até 240 dias, podendo ser agravado até mais um terço, designadamente para os funcionários públicos ou equiparados, isto é, aqueles que trabalhem em Instituições de Saúde que integrem o Serviço Nacional de Saúde (Art.º 386.º do Código Penal) enquanto o Código do Trabalho comina como contraordenação muito grave o acesso ilícito a “dados de saúde” do trabalhador (Art.º 17.º n.º 5)
35
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
III – Uma Mudança Iminente: Porém, o microssistema, assente na Diretiva de 1995, gastou-se, sobretudo porque o Mundo tornou-se uma Sociedade em Rede: a Universalização do acesso à Internet a multiplicação dos operadores a Globalização económica e cultura e cultural o peso crescente das Redes Sociais a Computação em nuvem a Internet das coisas ... 36
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
a Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento geral sobre a proteção de dados), apresentada pela Comissão em 25 de janeiro de 2012 (COM(2012) 11 final)
também uma Proposta de Diretiva do Parlamento Europeo e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados
estando a versão final em vias de publicação… 37
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
Sendo que a Proposta de Regulamento não inova muito, no que se refere aos regimes já vigentes em Portugal:
a) os “dados pessoais” e os “dados saúde”
definindo os “dados pessoais” enquanto “informação relativa a uma pessoa singular identificada ou identificável ('titular dos dados'); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, “por referência a um número de identificação, a dados de localização, a um identificador em linha ou a um ou mais elementos específicos próprios à sua identidade física, fisiológica, genética, psíquica, económica, cultural ou social.” (Art.º 4.º n.ºs 2 e 1) 38
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
passa a fazê-lo também para os “dados relativos à saúde”, como “quaisquer informações relacionadas com a saúde física ou psíquica de uma pessoa singular, ou com a prestação de serviços de saúde a essa pessoa;” (Art.º 4.º n.º 12)
esclarecendo, a este propósito, o Considerando (26), que se trata de “informações sobre a inscrição da pessoa para a prestação de serviços de saúde; informações sobre pagamentos ou a elegibilidade para cuidados de saúde; um número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; qualquer informação sobre a pessoa recolhida no decurso de uma prestação de serviços de saúde; informações obtidas a partir de testes ou exames de uma parte do corpo ou de uma substância corporal, incluindo amostras biológicas; identificação de uma pessoa enquanto prestador de cuidados de saúde à pessoa singular; ou quaisquer informações sobre, por exemplo, uma doença, deficiência, risco de doença, historial clínico, tratamento clínico ou estado físico ou biomédico atual do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um aparelho médico ou um teste de diagnóstico in vitro.” 39
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
b) o “tratamento” dos “dados saúde”
além de enumerar os “dados relativos à saúde” entre as “categorias especiais de dados pessoais”, cujo tratamento é proibido (Art.º 9. n.º 1), para o mesmo ser lícito, de novo, passa a ser dispensado o “consentimento explícito”, “O tratamento de dados relativos à saúde for necessário para fins no domínio da saúde, sob reserva das condições e garantias previstas no artigo 81.º” (Art.º 9.º n.º 2 alínea h)
40
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
sublinhando ainda que, “Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outra matéria, a exigência do consentimento deve ser apresentada de uma forma que a distinga dessa outra matéria” e “O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado”
(Art.º 7.º n.ºs 2 e 3)
41
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
Depois e especificamente, “[…] o tratamento de dados pessoais relativos à saúde deve ter por base o direito da União ou a legislação de um Estado-Membro, que deve prever medidas adequadas e específicas que garantam os interesses legítimos do titular de dados, e ser necessário: a) Para efeitos de medicina preventiva ou do trabalho, diagnósticos médicos, prestação de cuidados de saúde ou tratamentos médicos, ou gestão de serviços da saúde e sempre que o tratamento desses dados for efetuado por um profissional da saúde sujeito ao segredo profissional, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade equivalente, ao abrigo da legislação ou regulamentação do Estado-Membro estabelecida pelas autoridades nacionais competentes; 42
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
b) Por razões de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde, ou para assegurar um elevado nível de qualidade e segurança, nomeadamente para os medicamentos ou os equipamentos médicos; ou c) Por outras razões de interesse público em domínios como a segurança social, em especial para assegurar a qualidade e a rentabilidade quanto aos métodos utilizados para regularizar pedidos de prestações e de serviços no regime de seguro de doença.” (Art.º 81.º n.º 1)
43
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
por sua vez, “O tratamento de dados pessoais no domínio da saúde que se revele necessário para fins de investigação histórica, estatística ou científica, como a criação de registos de doentes para melhoria de diagnósticos, distinguir entre tipos de doenças semelhantes e elaborar estudos para terapias, estão sujeitos às condições e garantias previstas no artigo 83.º [Tratamento para fins de investigação histórica, estatística e científica]” (Art.º 81.º n.º 2) e ainda “São atribuídas competências à Comissão para adotar atos delegados […] a fim de especificar mais concretamente outras razões de interesse público no domínio da saúde pública na aceção do n.º 1, alínea b), bem como o tratamento de dados pessoais para os efeitos referidos no n.º 1.” (Art.º 81.º n.º 3) 44
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
c) a “segurança” dos “dados de saúde”
assim, simplesmente, “O responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas necessárias para assegurar um nível de segurança adaptado aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger, atendendo às técnicas mais recentes e aos custos resultantes da sua aplicação” (Art.º 30.º n.º 1) e “São atribuídas competências à Comissão para adotar atos delegados […] a fim de especificar mais concretamente os critérios e as condições aplicáveis às medidas técnicas e organizativas […] incluindo determinar em que consistem as técnicas mais recentes, para setores específicos e em situações específicas de tratamento de dados, nomeadamente atendendo à evolução das técnicas e a soluções de proteção da privacidade e dos dados desde a conceção, bem como por defeito […]” (Art.º 30.º n.º 3) 45
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
a este propósito, cabe ainda recordar a futura Diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, proposta pela Comissão em 7 de fevereiro de 2013 e cujo processo legislativo está também em vias de conclusão:
isto porque as “Instalações de prestação de cuidados de saúde (nomeadamente hospitais e clínicas privadas)”, estarão incluídas entre os “Operador[s] de serviços essenciais” (Art.º 4.º n.º 4 e Anexo II)
46
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
d) o regime sancionatório
se, genericamente, “Os Estados-Membros estabelecem as disposições relativas às sanções aplicáveis a infrações ao disposto no presente regulamento e tomam todas as medidas necessárias para assegurar a sua execução, incluindo quando o responsável pelo tratamento não respeitou a obrigação de designar um representante. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.;” (Art.º 78.º n.º 1) as autoridades, nacionais, de controlo passam a poder aplicar coimas de “A autoridade de controlo aplica uma multa até 1 000 000 EUR ou, no caso de uma empresa, até 2% do seu volume de negócios mundial anual”… (Art.º 79.º n.º 6) 47
Lihat lebih banyak...
Comentários
