A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais, o que determinou um grande aumento da sua recolha e a partilha de dados pessoais.
Este novo contexto social exigiu a necessidade, por parte da União Europeia, de harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros.
Neste sentido, foi criado o Regulamento Geral sobre a Proteção de Dados (RGPD) o qual veio introduzir alterações significativas ao enquadramento legal da proteção de dados pessoais dentro da União Europeia, estabelecendo regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à sua livre circulação desses dados. Estas alterações devem influenciar, o modo de tratamento dos dados de saúde pelas entidades prestadoras de cuidados de saúde, quer no âmbito da prestação de cuidados de saúde, quer para efeitos de investigação.
O Regulamento Geral de Proteção de Dados (RGPD) aplica-se ao tratamento de dados pessoais de cidadãos residentes no território da União Europeia (UE), independentemente do tratamento ocorrer dentro ou fora da UE. Este tratamento pode ser efetuado por meios total ou parcialmente automatizados, e também por meios não automatizados.
Por exemplo: Um laboratório de análises clínicas X, que se encontra em Portugal, mas a sua sede é nos EUA.
|
São considerados dados pessoais todos os dados que contêm informação que permite identificar ou tornar identificável (ou seja, que exista a possibilidade de vir a ser identificada), uma pessoa singular, titular dos dados (utente, cidadão, colaborador). Pode fazer parte deste conceito, o nome, um número de identificação, dados de localização, identificadores por via eletrónica (como por exemplo: I.P, endereço eletrónico), bem como um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Estão também abrangidos os dados genéticos e os dados biométricos.
São dados relativos à saúde os dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.
Para conhecer com maior detalhe esta temática consulte as perguntas frequentes sobre acesso a informação de saúde.
O tratamento de dados é uma operação ou um conjunto de operações efetuadas sobre dados pessoais, tais como: a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
O tratamento de dados só é lícito caso se verifique, pelo menos uma destas situações:
Se:
Nota: Para além da condição da licitude, deverá ser identificada a finalidade da recolha dos dados pessoais.
O consentimento para o tratamento de dados pessoais, pressupõe que o mesmo seja dado mediante uma manifestação de vontade livre, específica, informada, explícita e inequívoca, pela qual o titular dos dados (utente, cidadão, colaborador, entre outros) permite que os dados pessoais que lhe dizem respeito sejam objeto de tratamento, como por exemplo mediante uma declaração escrita, que pode ser também em formato eletrónico, ou uma declaração oral.
O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, sem que isso comprometa a legalidade do tratamento efetuado até essa altura.
O tratamento de dados relativos à saúde, que constituem uma categoria especial de dados pessoais só é possível em determinadas condições, designadamente, para efeitos de medicina preventiva ou do trabalho, para o diagnóstico médico, para a prestação de cuidados ou tratamentos de saúde ou de ação social ou gestão de sistemas e serviços de saúde ou de ação social, pode ser efetuado, se for efetuado por um profissional sujeito à obrigação de sigilo profissional, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade, nos termos da Lei, nomeadamente se se verificar outra condição de legitimidade de tratamento para além do consentimento.
Para conhecer com maior detalhe esta temática consulte as perguntas frequentes sobre consentimento informado.
Responsável pelo tratamento dos dados - é uma pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais.
O responsável pelo tratamento de dados pessoais deverá aplicar as medidas técnicas e organizativas adequadas para assegurar, e poder comprovar, que o tratamento está em conformidade com o disposto no Regulamento.
No caso dos estabelecimentos prestadores de cuidados de saúde, que tratam dados de saúde, o responsável pelo tratamento de dados deve manter um registo de todas as atividades de tratamento sob a sua responsabilidade.
Subcontratante – é pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata dos dados pessoais por conta do responsável pelo tratamento destes;
Deverá ser celebrado um contrato que estabelece o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento.
Por exemplo: O Hospital X tem um call center (de uma empresa externa que presta serviços ao Hospital) sendo-lhe fornecido semanalmente uma listagem com todos os utentes que têm consultas marcadas para a semana seguinte. Depois de rececionar a listagem o call center irá analisar os dados de forma a contactar cada um dos utentes, informando-os da data, hora e especialidade da consulta. Neste caso, o call center é um subcontratante. |
Autoridade de controlo – controla a aplicação das disposições do regulamento, a fim de proteger as pessoas singulares/utentes relativamente ao tratamento dos seus dados pessoais e a fim de facilitar a livre circulação desses dados na União.
As autoridades de controlo agem com total independência no seguimento das suas atribuições e no exercício dos poderes que lhe são atribuídos.
Relação entre o Responsável pelo tratamento dos dados e o subcontratante
Por exemplo:
O Hospital X pretende alargar o número de especialidades disponibilizadas aos seus utentes, mas para isso decide contratar os serviços da empresa Y, especializada em análise de mercado. Acontece que a empresa Y necessita dos dados dos clientes do Hospital X para avaliar se os utentes da área de abrangência daquele hospital teriam interesse em que lhes fossem disponibilizadas estas novas especialidades. Assim, apesar de ser a empresa Y a tratar os dados dos utentes do Hospital X, continua a ser este último o responsável pelo tratamento de dados e a empresa Y é subcontratante, podendo apenas utilizar os dados para a finalidade a que se propôs. |
Quando exista um “encarregado da proteção de dados”, o mesmo terá as seguintes funções:
O responsável pelo tratamento e o subcontratante nomeiam um encarregado da proteção de dados sempre que:
O responsável pelo tratamento de dados pessoais, terá de poder comprovar, a qualquer momento, que cumpre os seguintes princípios:
Tendo em vista garantir um nível de segurança adequado ao risco que existe no tratamento dos dados, o responsável pelo tratamento e o subcontratante, devem aplicar as medidas técnicas e organizativas necessárias consoante o caso, tais como:
Pode acontecer que haja uma “violação dos dados pessoais”, ou seja, uma violação da informação pessoal que provoque, de modo acidental ou mesmo ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
E neste sentido, logo que o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, deverá participar à Comissão Nacional de Proteção de Dados, sem demora injustificada, e sempre que possível, até 72 horas após ter tido conhecimento do sucedido, a menos que seja capaz de demonstrar que da violação não resultará um risco para os direitos e liberdades das pessoas singulares.
Nota: Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
O responsável pelo tratamento dos dados deve fornecer ao titular de dados (utente, cidadão, colaborador, entre outros) as informações e comunicações a que se refere o regulamento, de forma exata, transparente, compreensível e de fácil acesso, utilizando uma linguagem clara e simples.
Quando os dados pessoais forem recolhidos junto do titular, este tem o direito de ser informado, nomeadamente, sobre as finalidades para as quais os dados pessoais são tratados, a identidade dos destinatários dos dados pessoais, o prazo de conservação dos dados pessoais, quando possível, e o direito de apresentar reclamação a uma autoridade de controlo.
Quando os dados pessoais não forem recolhidos junto do titular, este é ainda informado sobre as categorias dos dados pessoais em questão e a origem dos mesmos.
O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais.
O titular tem o direito a que os dados que lhe digam respeito sejam retificados ou completados, no caso de estarem incorretos ou incompletos.
O titular dos dados pode solicitar que os dados pessoais sejam apagados desde que se verifiquem determinadas condições previstas no regulamento, cabendo ao responsável pelo tratamento a eliminação dos dados, sem demora injustificada.
Mediante a verificação de determinadas situações previstas no regulamento, o titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento dos seus dados pessoais.
O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos destinatários.
O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática e o direito de transmitir esses dados a um outro responsável pelo tratamento, sem que o responsável pelo tratamento o possa impedir.
O titular dos dados tem o direito de se opor, a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito.
O responsável pelo tratamento termina o tratamento dos dados pessoais, a não ser que apresente razões legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Salvo em determinadas situações previstas no regulamento, o titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, que produza efeitos na sua esfera jurídica ou que o afete significativamente de modo semelhante.
O titular de dados tem direito a apresentar reclamação a uma autoridade de controlo (em Portugal a Comissão Nacional de Proteção de Dados), no Estado-Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se considerar que o tratamento dos seus dados pessoais violou as normas constantes do RGPD.
Todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.
O titular dos dados pode recorrer aos tribunais se a autoridade de controlo não tratar a reclamação ou não o informar, no prazo de três meses, sobre o andamento ou o resultado da reclamação que tenha apresentado.
O titular de dados tem direito à ação judicial se considerar ter havido violação dos direitos que lhe assistem, nos termos do regulamento, na sequência do tratamento dos seus dados pessoais.
Qualquer pessoa tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante, caso tenha sofrido danos devido a uma violação do regulamento.
Nessa medida, o responsável pelo tratamento é responsável pelos danos causados por um tratamento que viole o regulamento. O subcontratante é responsável pelos danos causados, apenas se não tiver cumprido as obrigações que para si decorrem do regulamento ou se não tiver seguido as instruções legítimas do responsável pelo tratamento.
Sim (“Direito de apresentar reclamação a autoridade de controlo”). Se o titular de dados (utente, cidadão, colaborador, entre outros) considerar que o tratamento dos dados pessoais que lhe dizem respeito viola o RGPD, pode apresentar reclamação para a Comissão Nacional de Proteção de Dados, mantendo a possibilidade de recurso administrativo ou judicial.
A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade recorrer aos tribunais.
O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor no dia 24 de maio de 2016 e passou a ser aplicado diretamente aos Estados-Membros da União Europeia (EU) a partir de 25 de maio de 2018.