Este site poderá não funcionar corretamente com o Internet Explorer. Saiba mais

Regulamento Geral de Proteção de Dados

Voltar

20.09.2018

Regulamento Geral de Proteção de Dados

1O que é o Regulamento Geral de Proteção de Dados (RGPD) e o motivo pelo qual  foi criado.

A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais, o que determinou um grande aumento da sua recolha e a partilha de dados pessoais.

Este novo contexto social exigiu a necessidade, por parte da União Europeia, de harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros.

Neste sentido, foi criado o Regulamento Geral sobre a Proteção de Dados (RGPD) o qual veio introduzir alterações significativas ao enquadramento legal da proteção de dados pessoais dentro da União Europeia, estabelecendo regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à sua livre circulação desses dados. Estas alterações devem influenciar, o modo de tratamento dos dados de saúde pelas entidades prestadoras de cuidados de saúde, quer no âmbito da prestação de cuidados de saúde, quer para efeitos de investigação.

2A quem se aplica o RGPD?

O Regulamento Geral de Proteção de Dados (RGPD) aplica-se ao tratamento de dados pessoais de cidadãos residentes no território da União Europeia (UE), independentemente do tratamento ocorrer dentro ou fora da UE. Este tratamento pode ser efetuado por meios total ou parcialmente automatizados, e também por meios não automatizados.

Por exemplo:

Um laboratório de análises clínicas X, que se encontra em Portugal, mas a sua sede é nos EUA.
Quando um utente efetua uma recolha de sangue para análise, mesmo que a análise em causa seja realizada nos EUA, o tratamento dos dados pessoais deverá respeitar as regras do novo regulamento (RGPD). Ou seja, independentemente do tratamento de dados ser efetuado na União Europeia ou não, o Regulamento aplica-se sempre, sendo aqui garantida a proteção de dados pessoais.

3O que são dados pessoais?

São considerados dados pessoais todos os dados que contêm informação que permite identificar ou tornar identificável (ou seja, que exista a possibilidade de vir a ser identificada), uma pessoa singular, titular dos dados (utente, cidadão, colaborador). Pode fazer parte deste conceito, o nome, um número de identificação, dados de localização, identificadores por via eletrónica (como por exemplo: I.P, endereço eletrónico), bem como um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Estão também abrangidos os dados genéticos e os dados biométricos.

4O que são dados relativos à saúde?

São dados relativos à saúde os dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

Para conhecer com maior detalhe esta temática consulte as perguntas frequentes sobre acesso a informação de saúde.

5 Em que consiste o tratamento de dados?

O tratamento de dados é uma operação ou um conjunto de operações efetuadas sobre dados pessoais, tais como: a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

6Quando é lícito o tratamento de dados?

O tratamento de dados só é lícito caso se verifique, pelo menos uma destas situações:

Se:

  • O titular dos dados (utente, cidadão, colaborador, entre outros) tiver dado o seu consentimento para o tratamento dos seus dados pessoais;
  • O tratamento for necessário para a execução de um contrato no qual o utente é parte;
  • O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
  • Interesses vitais do titular dos dados (utente, colaborador, entre outros) ou de outra pessoa singular, exigirem o tratamento dos seus dados;
  • O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública; interesses legítimos do responsável pelo tratamento ou por terceiros forem a razão do tratamento, a não ser que prevaleçam os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Nota: Para além da condição da licitude, deverá ser identificada a finalidade da recolha dos dados pessoais.

7Como pode o titular dos dados dar o seu consentimento para o tratamento dos seus dados pessoais?

O consentimento para o tratamento de dados pessoais, pressupõe que o mesmo seja dado mediante uma manifestação de vontade livre, específica, informada, explícita e inequívoca, pela qual o titular dos dados (utente, cidadão, colaborador, entre outros) permite que os dados pessoais que lhe dizem respeito sejam objeto de tratamento, como por exemplo mediante uma declaração escrita, que pode ser também em formato eletrónico, ou uma declaração oral.

O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, sem que isso comprometa a legalidade do tratamento efetuado até essa altura.

O tratamento de dados relativos à saúde, que constituem uma categoria especial de dados pessoais só é possível em determinadas condições, designadamente, para efeitos de medicina preventiva ou do trabalho, para o diagnóstico médico, para a prestação de cuidados ou tratamentos de saúde ou de ação social ou gestão de sistemas e serviços de saúde ou de ação social, pode ser efetuado, se for efetuado por um profissional sujeito à obrigação de sigilo profissional, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade, nos termos da Lei, nomeadamente se se verificar outra condição de legitimidade de tratamento para além do consentimento.

Para conhecer com maior detalhe esta temática consulte as perguntas frequentes sobre consentimento informado.

8Quem pode fazer parte da relação de proteção de dados?

img

Responsável pelo tratamento dos dados - é uma pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais.

O responsável pelo tratamento de dados pessoais deverá aplicar as medidas técnicas e organizativas adequadas para assegurar, e poder comprovar, que o tratamento está em conformidade com o disposto no Regulamento.

No caso dos estabelecimentos prestadores de cuidados de saúde, que tratam dados de saúde, o responsável pelo tratamento de dados deve manter um registo de todas as atividades de tratamento sob a sua responsabilidade.

Subcontratante – é pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata dos dados pessoais por conta do responsável pelo tratamento destes;

Deverá ser celebrado um contrato que estabelece o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento.

Por exemplo:

O Hospital X tem um call center (de uma empresa externa que presta serviços ao Hospital) sendo-lhe fornecido semanalmente uma listagem com todos os utentes que têm consultas marcadas para a semana seguinte.

Depois de rececionar a listagem o call center irá analisar os dados de forma a contactar cada um dos utentes, informando-os da data, hora e especialidade da consulta.

Neste caso, o call center é um subcontratante.

Autoridade de controlo – controla a aplicação das disposições do regulamento, a fim de proteger as pessoas singulares/utentes relativamente ao tratamento dos seus dados pessoais e a fim de facilitar a livre circulação desses dados na União.

As autoridades de controlo agem com total independência no seguimento das suas atribuições e no exercício dos poderes que lhe são atribuídos.

Relação entre o Responsável pelo tratamento dos dados e o subcontratante

Por exemplo:

O Hospital X pretende alargar o número de especialidades disponibilizadas aos seus utentes, mas para isso decide contratar os serviços da empresa Y, especializada em análise de mercado.

Acontece que a empresa Y necessita dos dados dos clientes do Hospital X para avaliar se os utentes da área de abrangência daquele hospital teriam interesse em que lhes fossem disponibilizadas estas novas especialidades.

Assim, apesar de ser a empresa Y a tratar os dados dos utentes do Hospital X, continua a ser este último o responsável pelo tratamento de dados e a empresa Y é subcontratante, podendo apenas utilizar os dados para a finalidade a que se propôs.

 

9Quem é o encarregado da proteção de dados?

Quando exista um “encarregado da proteção de dados”, o mesmo terá as seguintes funções:

  • Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do regulamento;
  • Verificar o cumprimento das regras do regulamento;
  • Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização;
  • Cooperar com a autoridade de controlo;
  • Ser ponto de contacto para a autoridade de controlo e com os titulares dos dados (utentes, colaboradores, entre outros), que o podem consultar sobre todas questões relacionadas com o tratamento dos seus dados pessoais e sobre o exercício dos direitos que lhes são atribuídos pelo Regulamento.
10Quando deve ser nomeado um encarregado de proteção de dados?

O responsável pelo tratamento e o subcontratante nomeiam um encarregado da proteção de dados sempre que:

  • O tratamento for efetuado por uma autoridade ou um organismo público, com exceção dos tribunais;
  • As operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados (utentes, cidadãos, colaboradores, entre outros) em grande escala; ou
  • Estejam em causa operações de tratamento em grande escala de categorias especiais de dados, como por exemplo: dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
11Quais os princípios que devem ser respeitados no tratamento de dados pessoais?

O responsável pelo tratamento de dados pessoais, terá de poder comprovar, a qualquer momento, que cumpre os seguintes princípios:

  • Princípio da licitude, lealdade e transparência: os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
  • Princípio da limitação das finalidades: os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados de uma forma incompatível com essas finalidades;
  • Princípio da minimização dos dados: os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
  • Princípio da exatidão: os dados pessoais devem ser exatos e atualizados sempre que necessário;
  • Princípio da limitação da conservação: os dados pessoais devem ser conservados de uma forma que permita a identificação dos seus titulares apenas durante o período necessário para as finalidades para as quais são tratados, podendo ser conservados durante períodos mais longos em determinadas situações previstas no Regulamento.
  • Princípio da integridade e confidencialidade: os dados pessoais devem ser tratados de uma forma que garanta a sua segurança, adotando as medidas técnicas ou organizativas adequadas.
12Como assegurar que o tratamento de dados pessoais é efetuado com segurança?

Tendo em vista garantir um nível de segurança adequado ao risco que existe no tratamento dos dados, o responsável pelo tratamento e o subcontratante, devem aplicar as medidas técnicas e organizativas necessárias consoante o caso, tais como:

  • O tratamento dos dados de modo a que deixem de poder identificar o seu titular sem recorrer a informações suplementares (pseudonimização) e a codificação dos dados pessoais;
  • A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
  • A capacidade de repor a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um imprevisto/ acontecimento físico ou técnico;
  • Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
13O que fazer em caso de violações de dados pessoais?

Pode acontecer que haja uma “violação dos dados pessoais”, ou seja, uma violação da informação pessoal que provoque, de modo acidental ou mesmo ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

E neste sentido, logo que o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, deverá participar à Comissão Nacional de Proteção de Dados, sem demora injustificada, e sempre que possível, até 72 horas após ter tido conhecimento do sucedido, a menos que seja capaz de demonstrar que da violação não resultará um risco para os direitos e liberdades das pessoas singulares.

Nota: Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.

14Quais os direitos do titular de dados?

Direitos

Direito à transparência (artigo 12.º)

O responsável pelo tratamento dos dados deve fornecer ao titular de dados (utente, cidadão, colaborador, entre outros) as informações e comunicações a que se refere o regulamento, de forma exata, transparente, compreensível e de fácil acesso, utilizando uma linguagem clara e simples.

Direito à informação (artigos 13.º e 14.º)

Quando os dados pessoais forem recolhidos junto do titular, este tem o direito de ser informado, nomeadamente, sobre as finalidades para as quais os dados pessoais são tratados, a identidade dos destinatários dos dados pessoais, o prazo de conservação dos dados pessoais, quando possível, e o direito de apresentar reclamação a uma autoridade de controlo.

Quando os dados pessoais não forem recolhidos junto do titular, este é ainda informado sobre as categorias dos dados pessoais em questão e a origem dos mesmos.

Direito de acesso (artigo 15.º)

O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais.

Direito de retificação (artigo 16.º)

O titular tem o direito a que os dados que lhe digam respeito sejam retificados ou completados, no caso de estarem incorretos ou incompletos.

Direito ao apagamento dos dados ou “direito a ser esquecido” (artigo 17.º)

O titular dos dados pode solicitar que os dados pessoais sejam apagados desde que se verifiquem determinadas condições previstas no regulamento, cabendo ao responsável pelo tratamento a eliminação dos dados, sem demora injustificada.

Direito à limitação do tratamento (artigo 18.º)

Mediante a verificação de determinadas situações previstas no regulamento, o titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento dos seus dados pessoais.

Direito à notificação (artigo 19.º)

O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos destinatários.

Direito de portabilidade dos dados (artigo 20.º)

O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática e o direito de transmitir esses dados a um outro responsável pelo tratamento, sem que o responsável pelo tratamento o possa impedir.

Direito de oposição (artigo 21.º)

O titular dos dados tem o direito de se opor, a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito.

O responsável pelo tratamento termina o tratamento dos dados pessoais, a não ser que apresente razões legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

Direito de não sujeição a decisões automatizadas (artigo 22.º)

Salvo em determinadas situações previstas no regulamento, o titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, que produza efeitos na sua esfera jurídica ou que o afete significativamente de modo semelhante.

Direito de apresentar uma reclamação à Comissão Nacional de Proteção de Dados (artigo 77.º)

O titular de dados tem direito a apresentar reclamação a uma autoridade de controlo (em Portugal a Comissão Nacional de Proteção de Dados), no Estado-Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se considerar que o tratamento dos seus dados pessoais violou as normas constantes do RGPD.

Direito à ação judicial contra uma autoridade de controlo (artigo 78.º)

Todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.

O titular dos dados pode recorrer aos tribunais se a autoridade de controlo não tratar a reclamação ou não o informar, no prazo de três meses, sobre o andamento ou o resultado da reclamação que tenha apresentado.

Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante (artigo 79.º)

O titular de dados tem direito à ação judicial se considerar ter havido violação dos direitos que lhe assistem, nos termos do regulamento, na sequência do tratamento dos seus dados pessoais.

Direito de indemnização e responsabilidade (artigo 82.º)

Qualquer pessoa tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante, caso tenha sofrido danos devido a uma violação do regulamento.

Nessa medida, o responsável pelo tratamento é responsável pelos danos causados por um tratamento que viole o regulamento. O subcontratante é responsável pelos danos causados, apenas se não tiver cumprido as obrigações que para si decorrem do regulamento ou se não tiver seguido as instruções legítimas do responsável pelo tratamento.

 

 

 

15Pode o titular de dados apresentar uma reclamação?

Sim (“Direito de apresentar reclamação a autoridade de controlo”). Se o titular de dados (utente, cidadão, colaborador, entre outros) considerar que o tratamento dos dados pessoais que lhe dizem respeito viola o RGPD, pode apresentar reclamação para a Comissão Nacional de Proteção de Dados, mantendo a possibilidade de recurso administrativo ou judicial.

A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade recorrer aos tribunais.

16Quando é que o regulamento entrou em vigor?

O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor no dia 24 de maio de 2016 e passou a ser aplicado diretamente aos Estados-Membros da União Europeia (EU) a partir de 25 de maio de 2018.