A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais, o que determinou um grande aumento da sua recolha e a partilha de dados pessoais.

Este novo contexto social exigiu a necessidade, por parte da União Europeia, de harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros.

Neste sentido, foi criado o Regulamento Geral sobre a Proteção de Dados (RGPD) o qual veio introduzir alterações significativas ao enquadramento legal da proteção de dados pessoais dentro da União Europeia, estabelecendo regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à sua livre circulação desses dados. Estas alterações devem influenciar, o modo de tratamento dos dados de saúde pelas entidades prestadoras de cuidados de saúde, quer no âmbito da prestação de cuidados de saúde, quer para efeitos de investigação.

O Regulamento Geral de Proteção de Dados (RGPD) aplica-se ao tratamento de dados pessoais de cidadãos residentes no território da União Europeia (UE), independentemente do tratamento ocorrer dentro ou fora da UE. Este tratamento pode ser efetuado por meios total ou parcialmente automatizados, e também por meios não automatizados.

São considerados dados pessoais todos os dados que contêm informação que permite identificar ou tornar identificável (ou seja, que exista a possibilidade de vir a ser identificada), uma pessoa singular, titular dos dados (utente, cidadão, colaborador). Pode fazer parte deste conceito, o nome, um número de identificação, dados de localização, identificadores por via eletrónica (como por exemplo: I.P, endereço eletrónico), bem como um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Estão também abrangidos os dados genéticos e os dados biométricos.

São dados relativos à saúde os dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

Para conhecer com maior detalhe esta temática consulte as perguntas frequentes sobre acesso a informação de saúde.

O tratamento de dados é uma operação ou um conjunto de operações efetuadas sobre dados pessoais, tais como: a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

O tratamento de dados só é lícito caso se verifique, pelo menos uma destas situações:

Se:

• O titular dos dados (utente, cidadão, colaborador, entre outros) tiver dado o seu consentimento para o tratamento dos seus dados pessoais;
• O tratamento for necessário para a execução de um contrato no qual o utente é parte;
• O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
• Interesses vitais do titular dos dados (utente, colaborador, entre outros) ou de outra pessoa singular, exigirem o tratamento dos seus dados;
• O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública; interesses legítimos do responsável pelo tratamento ou por terceiros forem a razão do tratamento, a não ser que prevaleçam os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Nota: Para além da condição da licitude, deverá ser identificada a finalidade da recolha dos dados pessoais.

O consentimento para o tratamento de dados pessoais, pressupõe que o mesmo seja dado mediante uma manifestação de vontade livre, específica, informada, explícita e inequívoca, pela qual o titular dos dados (utente, cidadão, colaborador, entre outros) permite que os dados pessoais que lhe dizem respeito sejam objeto de tratamento, como por exemplo mediante uma declaração escrita, que pode ser também em formato eletrónico, ou uma declaração oral.

O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, sem que isso comprometa a legalidade do tratamento efetuado até essa altura.

O tratamento de dados relativos à saúde, que constituem uma categoria especial de dados pessoais só é possível em determinadas condições, designadamente, para efeitos de medicina preventiva ou do trabalho, para o diagnóstico médico, para a prestação de cuidados ou tratamentos de saúde ou de ação social ou gestão de sistemas e serviços de saúde ou de ação social, pode ser efetuado, se for efetuado por um profissional sujeito à obrigação de sigilo profissional, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade, nos termos da Lei, nomeadamente se se verificar outra condição de legitimidade de tratamento para além do consentimento.

Para conhecer com maior detalhe esta temática consulte as perguntas frequentes sobre consentimento informado.

Responsável pelo tratamento dos dados - é uma pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais.

O responsável pelo tratamento de dados pessoais deverá aplicar as medidas técnicas e organizativas adequadas para assegurar, e poder comprovar, que o tratamento está em conformidade com o disposto no Regulamento.

No caso dos estabelecimentos prestadores de cuidados de saúde, que tratam dados de saúde, o responsável pelo tratamento de dados deve manter um registo de todas as atividades de tratamento sob a sua responsabilidade.

Subcontratante – é pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata dos dados pessoais por conta do responsável pelo tratamento destes;

Deverá ser celebrado um contrato que estabelece o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento.

Autoridade de controlo – controla a aplicação das disposições do regulamento, a fim de proteger as pessoas singulares/utentes relativamente ao tratamento dos seus dados pessoais e a fim de facilitar a livre circulação desses dados na União.

As autoridades de controlo agem com total independência no seguimento das suas atribuições e no exercício dos poderes que lhe são atribuídos.

Relação entre o Responsável pelo tratamento dos dados e o subcontratante

Quando exista um “encarregado da proteção de dados”, o mesmo terá as seguintes funções:

• Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do regulamento;
• Verificar o cumprimento das regras do regulamento;
• Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização;
• Cooperar com a autoridade de controlo;
• Ser ponto de contacto para a autoridade de controlo e com os titulares dos dados (utentes, colaboradores, entre outros), que o podem consultar sobre todas questões relacionadas com o tratamento dos seus dados pessoais e sobre o exercício dos direitos que lhes são atribuídos pelo Regulamento.

O responsável pelo tratamento e o subcontratante nomeiam um encarregado da proteção de dados sempre que:

• O tratamento for efetuado por uma autoridade ou um organismo público, com exceção dos tribunais;
• As operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados (utentes, cidadãos, colaboradores, entre outros) em grande escala; ou
• Estejam em causa operações de tratamento em grande escala de categorias especiais de dados, como por exemplo: dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

O responsável pelo tratamento de dados pessoais, terá de poder comprovar, a qualquer momento, que cumpre os seguintes princípios:

• Princípio da licitude, lealdade e transparência: os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
• Princípio da limitação das finalidades: os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados de uma forma incompatível com essas finalidades;
• Princípio da minimização dos dados: os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
• Princípio da exatidão: os dados pessoais devem ser exatos e atualizados sempre que necessário;
• Princípio da limitação da conservação: os dados pessoais devem ser conservados de uma forma que permita a identificação dos seus titulares apenas durante o período necessário para as finalidades para as quais são tratados, podendo ser conservados durante períodos mais longos em determinadas situações previstas no Regulamento.
• Princípio da integridade e confidencialidade: os dados pessoais devem ser tratados de uma forma que garanta a sua segurança, adotando as medidas técnicas ou organizativas adequadas.

Tendo em vista garantir um nível de segurança adequado ao risco que existe no tratamento dos dados, o responsável pelo tratamento e o subcontratante, devem aplicar as medidas técnicas e organizativas necessárias consoante o caso, tais como:

• O tratamento dos dados de modo a que deixem de poder identificar o seu titular sem recorrer a informações suplementares (pseudonimização) e a codificação dos dados pessoais;
• A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
• A capacidade de repor a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um imprevisto/ acontecimento físico ou técnico;
• Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

Pode acontecer que haja uma “violação dos dados pessoais”, ou seja, uma violação da informação pessoal que provoque, de modo acidental ou mesmo ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

E neste sentido, logo que o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, deverá participar à Comissão Nacional de Proteção de Dados, sem demora injustificada, e sempre que possível, até 72 horas após ter tido conhecimento do sucedido, a menos que seja capaz de demonstrar que da violação não resultará um risco para os direitos e liberdades das pessoas singulares.

Nota: Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.

Após o RGPD os direitos dos cidadãos são os seguintes:

Direito à transparência
O responsável pelo tratamento dos dados deve fornecer ao titular de dados (utente, cidadão, colaborador, entre outros) as informações e comunicações a que se refere o regulamento, de forma exata, transparente, compreensível e de fácil acesso, utilizando uma linguagem clara e simples.

Direito à informação

Quando os dados pessoais forem recolhidos junto do titular, este tem o direito de ser informado, nomeadamente, sobre as finalidades para as quais os dados pessoais são tratados, a identidade dos destinatários dos dados pessoais, o prazo de conservação dos dados pessoais, quando possível, e o direito de apresentar reclamação a uma autoridade de controlo.

Quando os dados pessoais não forem recolhidos junto do titular, este é ainda informado sobre as categorias dos dados pessoais em questão e a origem dos mesmos.

Direito de acesso

O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais.

Direito de retificação

O titular tem o direito a que os dados que lhe digam respeito sejam retificados ou completados, no caso de estarem incorretos ou incompletos.

Direito ao apagamento dos dados ou “direito a ser esquecido”

O titular dos dados pode solicitar que os dados pessoais sejam apagados desde que se verifiquem determinadas condições previstas no regulamento, cabendo ao responsável pelo tratamento a eliminação dos dados, sem demora injustificada.

Direito à limitação do tratamento

Mediante a verificação de determinadas situações previstas no regulamento, o titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento dos seus dados pessoais.

Direito à notificação

O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos destinatários.

Direito de portabilidade dos dados

O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática e o direito de transmitir esses dados a um outro responsável pelo tratamento, sem que o responsável pelo tratamento o possa impedir.

Direito de oposição

O titular dos dados tem o direito de se opor, a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito.

O responsável pelo tratamento termina o tratamento dos dados pessoais, a não ser que apresente razões legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

Direito de não sujeição a decisões automatizadas

Salvo em determinadas situações previstas no regulamento, o titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, que produza efeitos na sua esfera jurídica ou que o afete significativamente de modo semelhante.

Direito de apresentar reclamação a uma autoridade de controlo

O titular de dados tem direito a apresentar reclamação a uma autoridade de controlo, caso considere que o tratamento dos dados pessoais que lhe diga respeito viola o Regulamento.

Direito à ação judicial contra uma autoridade de controlo

Todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.

O titular dos dados pode recorrer aos tribunais se a autoridade de controlo não tratar a reclamação ou não o informar, no prazo de três meses, sobre o andamento ou o resultado da reclamação que tenha apresentado.

Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante

O titular de dados tem direito à ação judicial se considerar ter havido violação dos direitos que lhe assistem, nos termos do regulamento, na sequência do tratamento dos seus dados pessoais.

Direito de indemnização e responsabilidade

Qualquer pessoa tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante, caso tenha sofrido danos devido a uma violação do regulamento.

Nessa medida, o responsável pelo tratamento é responsável pelos danos causados por um tratamento que viole o regulamento. O subcontratante é responsável pelos danos causados, apenas se não tiver cumprido as obrigações que para si decorrem do regulamento ou se não tiver seguido as instruções legítimas do responsável pelo tratamento.

Sim (“Direito de apresentar reclamação a autoridade de controlo”). Se o titular de dados (utente, cidadão, colaborador, entre outros) considerar que o tratamento dos dados pessoais que lhe dizem respeito viola o RGPD, pode apresentar reclamação para a Comissão Nacional de Proteção de Dados, mantendo a possibilidade de recurso administrativo ou judicial.

A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade recorrer aos tribunais.

O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor no dia 24 de maio de 2016 e passou a ser aplicado diretamente aos Estados-Membros da União Europeia (EU) a partir de 25 de maio de 2018.