Da Seguranca e Protecao de Dados Pessoai

Da Segurança e Proteção de
Dados Pessoais no Setor da Saúde

regulação atual e perspetivas imediatas
Manuel David Masseno

GSSI
Da Segurança e Proteção de Dados Pessoais no Setor da Saúde
A Regulação dos Dados Pessoais no Setor da Saúde,

um não-problema?
 é que temos a Lei n.º 12/2005, de 26 de janeiro, sobre
informação genética pessoal e informação de saúde
 “[…] a informação de saúde abrange todo o tipo de informação,
direta ou indiretamente ligada à saúde, presente ou futura, de
uma pessoa, quer se encontre com vida ou tenha falecido, e a
sua história clínica e familiar.” (Art.º 2.º)
 sucessivamente, a Lei disciplina:
 a propriedade da informação de saúde (Art.º 3.º)
 o tratamento da informação de saúde (Art.º 4.º)
 a informação médica (Art.º 5.º) e
 sobretudo, a informação genética (Art.ºs 6.º a 20.º)
2
 complementada pela Lei n.º 5/2012, de 23 de janeiro, que

regula os requisitos de tratamento de dados pessoais para
constituição de ficheiros de âmbito nacional, contendo
dados de saúde, com recurso a tecnologias de informação
e no quadro do Serviço Nacional de Saúde
 “[a qual] aplica-se a todos os estabelecimentos de saúde
públicos, bem como aos atos praticados nos estabelecimentos
de natureza privada ou social que impliquem encargos para o
SNS e ainda aos sujeitos jurídicos que em razão das
atribuições que prosseguem, do seu objeto social ou das
atividades que exercem.” (Art.º 3.º)
 a mesma trata, sucessivamente:
 do princípio geral de “estrito respeito pelos direitos,
liberdades e garantias fundamentais, nomeadamente o
direito à reserva da intimidade da vida privada” (Art.º 2.º)
3
 da responsabilidade pelo tratamento dos dados (Art.º 4.º)

 das finalidades do tratamento admissíveis (Art.º 5.º)
 da identificação nacional de utente do SNS (Art.º 6.º)
 da gestão e controle dos pagamentos e faturação (Art.º 7.º)
 da avaliação de desempenho e financiamento (Art.º 8.º)
 do direito de acesso e retificação (Art.º 9.º)
 da comunicação com a administração fiscal e a segurança
social (Art.º 10.º) e ainda
 das funções da Comissão Nacional de Proteção de
Dados neste domínio (Art.º 11.º)
 pelo que bastaria com aplicar a primeira Lei, ou ambas,

tratando-se do Serviço Nacional de Saúde…
4
 porém, esta é apenas uma faceta, embora especialmente

delicada, de uma questão, muito mais vasta e crucial na
Sociedade da Informação / Sociedade em Rede, a da
Autodeterminação Informacional, enquanto “o” Direito
Fundamental, acima de qualquer outro
 daí a constitucionalização da Proteção de Dados
Pessoais, para além da Privacidade em si mesma:
 na União Europeia (Art.º 16.º do TFUE – Tratado sobre
o Funcionamento da União Europeia e Art.ºs 8.º e 7.º
da Carta dos Direitos Fundamentais da União
Europeia) e
 em Portugal (Art.º 35.ºs e 26.º/34.º da Constituição da
República)
5
I – Um Sistema Complexo, e em vários níveis:

a) no Conselho da Europa:
 a Convenção para a Proteção dos Direitos do
Homem e das Liberdades Fundamentais, de 4 de
novembro de 1950
 Art.º 8.º (Direito ao respeito pela vida privada e familiar)
 com a Jurisprudência do Tribunal Europeu dos
Direitos do Homem: Acórdão de 11 de julho de 2008
(Processo 20511/03), I c. Finlândia
 a Convenção do Conselho da Europa para a
Proteção dos Indivíduos face ao Tratamento
Automático de Dados Pessoais - Convenção 108, de
28 de janeiro de 1981
6
b) na União Europeia:
 além do TFUE e da Carta…
 temos um microssistema ainda centrado na Diretiva
95/46/CE, do Parlamento Europeu e do Conselho, de 24
de outubro de 1995, relativa à proteção das pessoas
singulares no que diz respeito ao tratamento de
dados pessoais e à livre circulação desses dados, em
vias de superação…
 com aberturas, para a Convenção Europeia dos
Direitos do Homem e a Jurisprudência do Tribunal
Europeu dos Direitos do Homem (ex Art.º 6.º do
Tratado da União Europeia), bem como para os
Direitos dos Estados Membros (Princípios do Primado
e da Interpretação Conforme, que a nossa Constituição
aceita, por força do seu Art.º 8.º n.º 3)
7
c) em Portugal:
 também para lá da Constituição da República,
incluindo o Princípio da Administração Aberta (Art.º 268.º
n.º 2)…
 temos também um microssistema, agora fundado na
LPD – Lei da Proteção de Dados Pessoais (Lei n.º
67/98, de 26 de Outubro)
 relevando as nossas Lei especiais de 2005 e 2012, esta
última limitada ao SNS
 em termos especiais, o atual Código do Trabalho (Lei n.º
7/2009, de 12 de fevereiro), bem como
 para as Unidades de Saúde do Setor Público, incluindo
os Hospitais EPE, também a LADA – Lei que regula o
acesso aos documentos administrativos e a sua
reutilização (Lei nº 46/2007, de 24 de agosto)
8
II – Os Tópicos Fundamentais, um percurso:

a) os “dados pessoais” e os “dados saúde”
 na Convenção do Conselho da Europa:
 “‘Dados de carácter pessoal’ significa qualquer
informação relativa a uma pessoa singular identificada
ou suscetível de identificação (‘titular dos dados’).”
(Art.º 2.º, alínea a)
 enquanto, “Os dados de carácter pessoal que revelem a
origem racial, as opiniões políticas, as convicções
religiosas ou outras, bem como os dados de caráter
pessoal relativos à saúde ou à vida sexual, só poderão
ser objeto de tratamento automatizado desde que o
direito interno preveja garantias adequadas. O mesmo
vale para os dados de carácter pessoal relativos a
condenações penais.” (Art.º 6.º)
9
 enquanto na Diretiva 95/46/CE:

 são “‘Dados pessoais’, qualquer informação relativa a
uma pessoa singular identificada ou identificável
(‘pessoa em causa’); é considerado identificável todo
aquele que possa ser identificado, direta ou indiretamente,
nomeadamente por referência a um número de
identificação ou a um ou mais elementos específicos da
sua identidade física, fisiológica, psíquica, económica,
cultural ou social;” (Art.º 2.º alínea c)
 e “Os Estados-membros proibirão o tratamento de
dados pessoais que revelem a origem racial ou étnica, as
opiniões políticas, as convicções religiosas ou filosóficas,
a filiação sindical, bem como o tratamento de dados
relativos à saúde e à vida sexual.” (Art.º 8.º n.º 1)
10
 em Portugal:
 enquanto para a LPD, o conceito de “dados pessoais”
corresponde à da Diretiva (Art.º 3.º alínea a) e o
mesmo ocorre com os “dados sensíveis” (Art.º 7.º n.º
1)
 por sua vez, a LADA trabalha com uma noção só em
parte coincidente, a de “‘documento nominativo’ [isto
é], o documento administrativo que contenha, a
propósito de pessoa singular, identificada ou
identificável, apreciação ou juízo de valor, ou
informação abrangida pela reserva da vida privada.”
(Art.º 3.º n.º 1 alínea b), incluindo, explicitamente, os
“dados de saúde” (Art.º 2.º n.º 3)
11
 já para a nossa Lei de 2005, a “informação de saúde

abrange todo o tipo de informação direta ou
indiretamente ligada à saúde, presente ou futura, de
uma pessoa, quer se encontre com vida quer haja
falecido, e a sua história clínica e familiar.” (Art.º 2.º),
“incluindo os dados clínicos registados, resultados
de análises e outros exames subsidiários,
intervenções e diagnósticos” (Art.º 3.º n.º 1)
12
b) o “tratamento” dos “dados saúde”

 nos termos da Diretiva 95/46/CE:
 designadamente, o mesmo é lícito se “for necessário
para efeitos de medicina preventiva, diagnóstico
médico, prestação de cuidados ou tratamentos
médicos ou gestão de serviços da saúde e quando o
tratamento desses dados for efetuado por um
profissional da saúde obrigado ao segredo
profissional pelo direito nacional ou por regras
estabelecidas pelos organismos nacionais
competentes, ou por outra pessoa igualmente sujeita
a uma obrigação de segredo equivalente.” (Art.º 8.º n.º
3)
13
 no Ordenamento interno:
 a LPD segue a Diretiva, determinando que “O
tratamento dos dados referentes à saúde e à vida
sexual, incluindo os dados genéticos, é permitido
quando for necessário para efeitos de medicina
preventiva, de diagnóstico médico, de prestação de
cuidados ou tratamentos médicos ou de gestão de
serviços de saúde, desde que o tratamento desses
dados seja efetuado por um profissional de saúde
obrigado a sigilo ou por outra pessoa sujeita
igualmente a segredo profissional [e ainda acrescenta
que], seja notificado à CNPD [Comissão Nacional para a
Proteção de Dados], nos termos do artigo 27.º, e sejam
garantidas medidas adequadas de segurança da
informação.” (Art.º 7.º n.º 4)
14
 o que é especificado pela Lei de 2005:

 “Os responsáveis pelo tratamento da informação
de saúde devem tomar as providências adequadas
à proteção da sua confidencialidade, garantindo a
segurança das instalações e equipamentos, o
controlo no acesso à informação, bem como o
reforço do dever de sigilo e da educação
deontológica de todos os profissionais” (Art.º 3.º
n.º 1) e, por isso mesmo, “o processo clínico só
pode ser consultado por médico incumbido da
realização de prestações de saúde a favor da
pessoa a que respeita ou, sob a supervisão
daquele, por outro profissional de saúde obrigado
a sigilo e na medida do estritamente necessário à
realização das mesmas” (Art.º 5.º n.º 5)
15
 por sua vez, a Lei de 2012 acrescenta como

finalidades:
 “a) Organizar, uniformizar e manter atualizada a
informação relativa à identificação nacional de
utente do SNS;
 [a] b) Gestão e controlo dos pagamentos e
faturação a realizar no âmbito do SNS
relativamente a prestações de saúde e atos
associados, incluindo comparticipação e dispensa
de medicamentos;
 [e ainda a] c) Avaliação de desempenho e
financiamento dos estabelecimentos de saúde.”
(Art.º 5.º n.º 1)
16
 bem como, “[…] facultar aos órgãos, agentes e

entidades competentes as informações
estritamente necessárias ao exercício das suas
competências legais nas áreas da auditoria e
fiscalização.” (Art.º 5.º n.º 2)
17
c) o “acesso” aos “dados de saúde”
antes de mais, cumpre distinguir entre o i) acesso

pelo titular dos dados e o ii acesso por terceiros
i) acesso pelo titular dos dados:
 segundo a Convenção 108, este poderá “Obter, a
intervalos razoáveis e sem demoras ou despesas
excessivas, a confirmação da existência ou não no
ficheiro automatizado de dados de carácter pessoal
que lhe digam respeito, bem como a comunicação
desses dados de forma inteligível;” (Art.º 8.º alínea
b)
18
 já nos termos da Diretiva 95/46/CE:

 “Os Estados-membros garantirão às pessoas em
causa o direito de obterem do responsável pelo
tratamento:
a) Livremente e sem restrições, com periodicidade
razoável e sem demora ou custos excessivos:
- a confirmação de terem ou não sido tratados dados
que lhes digam respeito, e informações pelo menos
sobre os fins a que se destina esse tratamento, as
categorias de dados sobre que incide e os
destinatários ou categorias de destinatários a quem
são comunicados os dados,
- a comunicação, sob forma inteligível, dos dados
sujeitos a tratamento e de quaisquer informações
disponíveis sobre a origem dos dados” (Art.º 12.º)
19
 conforme ao Direito nacional:

 a LPD segue, à letra, a Diretiva (Art.º 11.º n.º 1 alíneas a)
e b) e dispõe ainda que “O direito de acesso à
informação relativa a dados da saúde, incluindo os
dados genéticos, é exercido por intermédio de médico
escolhido pelo titular dos dados.” (Art.º 11.º n.º 5)
 por sua vez, a Lei de 2005 especifica que “O titular da
informação de saúde tem o direito de, querendo, tomar
conhecimento de todo o processo clínico que lhe diga
respeito, salvo circunstâncias excecionais
devidamente justificadas e em que seja
inequivocamente demonstrado que isso lhe possa ser
prejudicial, ou de o fazer comunicar a quem seja por si
indicado.” (Art.º 3.º n.º 2)
20
 porém, conforme à LADA, “Todos, sem necessidade de

enunciar qualquer interesse, têm direito de acesso
aos documentos administrativos, o qual compreende
os direitos de consulta, de reprodução e de
informação sobre a sua existência e conteúdo.” (Art.º
5.º), e… “A comunicação de dados de saúde é feita
através de médico [apenas] se o requerente o
solicitar.” (Art.º 7.º)
21
i) acesso por terceiros, tratando-se de “dados

sensíveis”:
 conforme à Diretiva 95/46/CE:
 tal só é viável se a “pessoa em causa tiver dado o seu
consentimento explícito para esse tratamento” ou o
“tratamento for necessário para proteger interesses
vitais […] de uma outra pessoa se a pessoa em causa
estiver física ou legalmente incapaz de dar o seu
consentimento” (Art.º 8.º n.º 2 alíneas a e c)
 quanto ao Direito nacional:
 a LDA volta a seguir a Diretiva (Art.º 7.º n.º 1 e n.º 3
alínea a)
22
 e a Lei de 2005 reitera que “O titular da informação de

saúde tem o direito de, querendo, tomar conhecimento
de todo o processo clínico que lhe diga respeito […]
ou de o fazer comunicar a quem seja por si indicado.”
 enquanto para a Lei de 2012, “Aos titulares dos dados

registados nos ficheiros de dados criados ao abrigo
da presente lei é reconhecido o direito de aceder às
informações que lhes digam respeito, bem como de
exigir a retificação de informações inexatas e a
inclusão de informações total ou parcialmente
omissas, nos termos do artigo 11.º da Lei 67/98, de 26 de
outubro.”, incluindo os dados pessoais que não tem a ver
diretamente com a respetiva saúde (Art.º 9.º)
23
 por sua vez, o Código do Trabalho estabelece que:

“1. O empregador não pode exigir a candidato a
emprego ou a trabalhador que preste informações
relativas: [...]
b) À sua saúde ou estado de gravidez, salvo quando
particulares exigências inerentes à natureza da
atividade profissional o justifiquem e seja fornecida
por escrito a respetiva fundamentação.
2 – As informações previstas na alínea b) do número
anterior são prestadas a médico, que só pode
comunicar ao empregador se o trabalhador está ou
não apto a desempenhar a atividade.” (Art.º 17.º)
24
 porém, a grande questão está no disposto na LADA,

em cujos termos “Um terceiro só tem direito de acesso
a documentos nominativos se estiver munido de
autorização escrita da pessoa a quem os dados digam
respeito ou demonstrar interesse direto, pessoal e
legítimo suficientemente relevante segundo o
princípio da proporcionalidade.” (Art. 6.º n.º 5), sendo
este último avaliado pela entidade requerida, com
intervenção eventual da CADA – Comissão de Acesso a
Documentos Administrativos (Art.º 11.º e ss.)
 ora, em termos sistemáticos não caberá senão uma
interpretação restritiva da última parte do preceito,
inclusive pelas competências atribuídas à CNPD pela
Lei de 2012 (Art.º 11.º)
25
e) a “segurança” dos “dados de saúde”

 também neste domínio, a Convenção do Conselho da
Europa teve um papel pioneiro,
 estabelecendo que “Para a proteção dos dados de
carácter pessoal registados em ficheiros
automatizados devem ser tomadas medidas de
segurança apropriadas contra a destruição, acidental
ou não autorizada, e a perda acidental e também contra
o acesso, a modificação ou a difusão não
autorizados.” (Art.º 7.º)
 por seu turno, a Diretiva 95/46/CE, especifica um
pouco mais:
 “Os Estados-membros estabelecerão que o
responsável pelo tratamento deve pôr em prática
medidas técnicas e organizativas…
26
adequadas para proteger os dados pessoais contra

a destruição acidental ou ilícita, a perda acidental, a
alteração, a difusão ou acesso não autorizados,
nomeadamente quando o tratamento implicar a sua
transmissão por rede, e contra qualquer outra forma
de tratamento ilícito.
Estas medidas devem assegurar, atendendo aos
conhecimentos técnicos disponíveis e aos custos
resultantes da sua aplicação, um nível de segurança
adequado em relação aos riscos que o tratamento
apresenta e à natureza dos dados a proteger.” (Art.º
17.º n.º 1)
27
 em Portugal, o Legislador foi mais longe:

 na LPD, além de retomar os critérios da Diretiva (Art.º 14.º
n.º 1), são previstas medidas adicionais:
“a) Impedir o acesso de pessoa não autorizada às instalações
utilizadas para o tratamento desses dados (controlo da
entrada nas instalações);
b) Impedir que suportes de dados possam ser lidos, copiados,
alterados ou retirados por pessoa não autorizada (controlo
dos suportes de dados);
c) Impedir a introdução não autorizada, bem como a tomada
de conhecimento, a alteração ou a eliminação não autorizadas
de dados pessoais inseridos (controlo da inserção);
d) Impedir que sistemas de tratamento automatizados de
dados possam ser utilizados por pessoas não autorizadas
através de instalações de transmissão de dados (controlo da
utilização);
28
e) Garantir que as pessoas autorizadas só possam ter acesso

aos dados abrangidos pela autorização (controlo de acesso);
f) Garantir a verificação das entidades a quem possam ser
transmitidos os dados pessoais através das instalações de
transmissão de dados (controlo da transmissão);
g) Garantir que possa verificar-se a posteriori, em prazo
adequado à natureza do tratamento, a fixar na regulamentação
aplicável a cada setor, quais os dados pessoais introduzidos
quando e por quem (controlo da introdução);
h) Impedir que, na transmissão de dados pessoais, bem como
no transporte do seu suporte, os dados possam ser lidos,
copiados, alterados ou eliminados de forma não autorizada
(controlo do transporte).” (Art.º 15.º n.º 1)
29
 além de “Os sistemas devem garantir a separação

lógica entre os dados referentes à saúde e à vida
sexual, incluindo os genéticos, dos restantes dados
pessoais.” (Art.º 14.º n.º 3)
 o que é especificado e desenvolvido pela Lei de 2005:

 “As unidades do sistema de saúde devem impedir
o acesso indevido de terceiros aos processos
clínicos e aos sistemas informáticos que
contenham informação de saúde, incluindo as
respetivas cópias de segurança, assegurando os
níveis de segurança apropriados e cumprindo as
exigências estabelecidas pela legislação que
regula a proteção de dados pessoais…” (Art.º 4.º
n.º 2)
30
 “A gestão dos sistemas que organizam a

informação de saúde deve garantir a separação
entre a informação de saúde e genética e a
restante informação pessoal, designadamente
através da definição de diversos níveis de acesso”
 e ainda “A gestão dos sistemas de informação
deve garantir o processamento regular e frequente
de cópias de segurança da informação de saúde,
salvaguardadas as garantias de confidencialidade
estabelecidas por lei.” (Art.º 4.º n.º 6)
31
 por sua vez, para o SNS, a Lei de 2012 reitera que:

 “Os ficheiros de dados constituídos ao abrigo da
presente lei devem preencher os requisitos de
segurança e inviolabilidade previstos nas normas
sobre proteção de dados pessoais e garantir a
separação entre dados de saúde e dados de
identificação, estabelecendo, nomeadamente,
diferentes níveis de acesso à informação e um
registo generalizado de acessos.” (Art.º 5.º n.º 3)
32
f) os regimes sancionatórios:
 enquanto, a Convenção se limita a remeter para os
Estados que a subscreveram, “As Partes
comprometem-se a estabelecer sanções e vias de
recurso apropriadas em face da violação das
disposições do direito interno que confiram eficácia
aos princípios básicos para a proteção dos dados,
enunciados no presente capítulo.” (Art.º 10.º)
 por sua vez, a Diretiva dispõe que “Os Estados-
membros tomarão as medidas adequadas para
assegurar a plena aplicação das disposições da
presente diretiva e determinarão, nomeadamente, as
sanções a aplicar em caso de violação das
disposições adotadas nos termos de presente
diretiva.” (Art.º 24º)
33
 já em Portugal, a LPD prevê:

 Ilícitos contraordenacionais relativos à omissão ou
defeituoso cumprimento de obrigações, que, no que se
refere aos “dados de saúde”, com coimas cujos
montantes podem chegar aos € 30000 (Art.º 37.º n.º 2) e
 Ilícitos penais:
 o não cumprimento de obrigações relativas a
proteção de dados (Art.º 43.º n.ºs 1 e 2), com pena
de prisão até dois anos ou multa até 240 dias
 o acesso indevido (Art.º 44.º), com pena de prisão
até um ano ou multa até 120 dias, podendo ser
qualificado
34
 a viciação ou destruição de dados pessoais (Art.º

45.º), com pena de prisão até dois anos ou multa
até 240 dias
 a desobediência qualificada (Art.º 46.º), com pena
de prisão até dois anos ou multa até 240 dias (ex
Art.º 348.º n.º 2 do Código Penal) e
 a violação do dever de sigilo (Art.º 47.º), com pena
de prisão até dois anos ou multa até 240 dias,
podendo ser agravado até mais um terço,
designadamente para os funcionários públicos ou
equiparados, isto é, aqueles que trabalhem em
Instituições de Saúde que integrem o Serviço Nacional
de Saúde (Art.º 386.º do Código Penal)
 enquanto o Código do Trabalho comina como
contraordenação muito grave o acesso ilícito a “dados
de saúde” do trabalhador (Art.º 17.º n.º 5)
35
III – Uma Mudança Iminente:

Porém, o microssistema, assente na Diretiva de 1995,
gastou-se, sobretudo porque o Mundo tornou-se uma
Sociedade em Rede:
 a Universalização do acesso à Internet
 a multiplicação dos operadores
 a Globalização económica e cultura e cultural
 o peso crescente das Redes Sociais
 a Computação em nuvem
 a Internet das coisas
 ...
36
 a Proposta de Regulamento do Parlamento Europeu e

do Conselho relativo à proteção das pessoas singulares
no que diz respeito ao tratamento de dados pessoais e à
livre circulação desses dados (Regulamento geral
sobre a proteção de dados), apresentada pela
Comissão em 25 de janeiro de 2012 (COM(2012) 11
final)
 também uma Proposta de Diretiva do Parlamento Europeo e
do Conselho relativa à proteção das pessoas singulares no que
diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de prevenção,
investigação, deteção e repressão de infrações penais ou
de execução de sanções penais, e à livre circulação desses
dados
 estando a versão final em vias de publicação…
37
Sendo que a Proposta de Regulamento não inova muito,

no que se refere aos regimes já vigentes em Portugal:
a) os “dados pessoais” e os “dados saúde”

 definindo os “dados pessoais” enquanto “informação
relativa a uma pessoa singular identificada ou
identificável ('titular dos dados'); é considerada
identificável uma pessoa singular que possa ser
identificada, direta ou indiretamente, “por referência a um
número de identificação, a dados de localização, a um
identificador em linha ou a um ou mais elementos
específicos próprios à sua identidade física, fisiológica,
genética, psíquica, económica, cultural ou social.” (Art.º
4.º n.ºs 2 e 1)
38
 passa a fazê-lo também para os “dados relativos à

saúde”, como “quaisquer informações relacionadas com
a saúde física ou psíquica de uma pessoa singular, ou
com a prestação de serviços de saúde a essa pessoa;”
(Art.º 4.º n.º 12)
 esclarecendo, a este propósito, o Considerando (26), que se trata de
“informações sobre a inscrição da pessoa para a prestação de serviços
de saúde; informações sobre pagamentos ou a elegibilidade para
cuidados de saúde; um número, símbolo ou sinal particular atribuído a
uma pessoa singular para a identificar de forma inequívoca para fins de
cuidados de saúde; qualquer informação sobre a pessoa recolhida no
decurso de uma prestação de serviços de saúde; informações obtidas a
partir de testes ou exames de uma parte do corpo ou de uma substância
corporal, incluindo amostras biológicas; identificação de uma pessoa
enquanto prestador de cuidados de saúde à pessoa singular; ou
quaisquer informações sobre, por exemplo, uma doença, deficiência,
risco de doença, historial clínico, tratamento clínico ou estado físico ou
biomédico atual do titular de dados, independentemente da sua fonte,
por exemplo, um médico ou outro profissional de saúde, um hospital, um
aparelho médico ou um teste de diagnóstico in vitro.”
39
b) o “tratamento” dos “dados saúde”

 além de enumerar os “dados relativos à saúde” entre
as “categorias especiais de dados pessoais”, cujo
tratamento é proibido (Art.º 9. n.º 1), para o mesmo ser
lícito, de novo, passa a ser dispensado o
“consentimento explícito”, “O tratamento de dados
relativos à saúde for necessário para fins no domínio
da saúde, sob reserva das condições e garantias
previstas no artigo 81.º” (Art.º 9.º n.º 2 alínea h)
40
 sublinhando ainda que, “Se o consentimento do titular

dos dados for dado no contexto de uma declaração
escrita que diga também respeito a outra matéria, a
exigência do consentimento deve ser apresentada de
uma forma que a distinga dessa outra matéria” e “O
titular dos dados tem o direito de retirar o seu
consentimento a qualquer momento. A retirada do
consentimento não compromete a licitude do tratamento
efetuado com base no consentimento previamente dado”
(Art.º 7.º n.ºs 2 e 3)
41
 Depois e especificamente, “[…] o tratamento de dados

pessoais relativos à saúde deve ter por base o direito da
União ou a legislação de um Estado-Membro, que deve
prever medidas adequadas e específicas que garantam os
interesses legítimos do titular de dados, e ser necessário:
a) Para efeitos de medicina preventiva ou do trabalho,
diagnósticos médicos, prestação de cuidados de saúde
ou tratamentos médicos, ou gestão de serviços da saúde
e sempre que o tratamento desses dados for efetuado por
um profissional da saúde sujeito ao segredo profissional,
ou por outra pessoa igualmente sujeita a uma obrigação
de confidencialidade equivalente, ao abrigo da legislação
ou regulamentação do Estado-Membro estabelecida pelas
autoridades nacionais competentes;
42
b) Por razões de interesse público no domínio da saúde

pública, tais como a proteção contra ameaças
transfronteiriças graves para a saúde, ou para assegurar
um elevado nível de qualidade e segurança,
nomeadamente para os medicamentos ou os equipamentos
médicos; ou
c) Por outras razões de interesse público em domínios
como a segurança social, em especial para assegurar a
qualidade e a rentabilidade quanto aos métodos utilizados
para regularizar pedidos de prestações e de serviços no
regime de seguro de doença.” (Art.º 81.º n.º 1)
43
por sua vez, “O tratamento de dados pessoais no domínio

da saúde que se revele necessário para fins de
investigação histórica, estatística ou científica, como a
criação de registos de doentes para melhoria de
diagnósticos, distinguir entre tipos de doenças semelhantes e
elaborar estudos para terapias, estão sujeitos às condições
e garantias previstas no artigo 83.º [Tratamento para fins
de investigação histórica, estatística e científica]” (Art.º 81.º
n.º 2) e ainda
“São atribuídas competências à Comissão para adotar
atos delegados […] a fim de especificar mais
concretamente outras razões de interesse público no
domínio da saúde pública na aceção do n.º 1, alínea b),
bem como o tratamento de dados pessoais para os
efeitos referidos no n.º 1.” (Art.º 81.º n.º 3)
44
c) a “segurança” dos “dados de saúde”

 assim, simplesmente, “O responsável pelo tratamento e o
subcontratante aplicam as medidas técnicas e
organizativas necessárias para assegurar um nível de
segurança adaptado aos riscos que o tratamento
representa e à natureza dos dados pessoais a proteger,
atendendo às técnicas mais recentes e aos custos
resultantes da sua aplicação” (Art.º 30.º n.º 1) e
 “São atribuídas competências à Comissão para adotar atos
delegados […] a fim de especificar mais concretamente os
critérios e as condições aplicáveis às medidas técnicas e
organizativas […] incluindo determinar em que consistem
as técnicas mais recentes, para setores específicos e em
situações específicas de tratamento de dados,
nomeadamente atendendo à evolução das técnicas e a
soluções de proteção da privacidade e dos dados desde a
conceção, bem como por defeito […]” (Art.º 30.º n.º 3)
45
 a este propósito, cabe ainda recordar a futura Diretiva

do Parlamento Europeu e do Conselho relativa a
medidas destinadas a garantir um elevado nível
comum de segurança das redes e da informação em
toda a União, proposta pela Comissão em 7 de fevereiro
de 2013 e cujo processo legislativo está também em
vias de conclusão:
 isto porque as “Instalações de prestação de cuidados
de saúde (nomeadamente hospitais e clínicas
privadas)”, estarão incluídas entre os “Operador[s] de
serviços essenciais” (Art.º 4.º n.º 4 e Anexo II)
46
d) o regime sancionatório
 se, genericamente, “Os Estados-Membros estabelecem as
disposições relativas às sanções aplicáveis a infrações
ao disposto no presente regulamento e tomam todas as
medidas necessárias para assegurar a sua execução,
incluindo quando o responsável pelo tratamento não respeitou
a obrigação de designar um representante. As sanções
previstas devem ser efetivas, proporcionadas e
dissuasivas.;” (Art.º 78.º n.º 1)
 as autoridades, nacionais, de controlo passam a poder
aplicar coimas de “A autoridade de controlo aplica uma
multa até 1 000 000 EUR ou, no caso de uma empresa, até
2% do seu volume de negócios mundial anual”… (Art.º
79.º n.º 6)
47

Da Seguranca e Protecao de Dados Pessoai

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Da Seguranca e Protecao de Dados Pessoai

Enviado por

Direitos autorais:

Formatos disponíveis

Da Segurança e Proteção de

Dados Pessoais no Setor da Saúde

Manuel David Masseno

A Regulação dos Dados Pessoais no Setor da Saúde,

 complementada pela Lei n.º 5/2012, de 23 de janeiro, que

 da responsabilidade pelo tratamento dos dados (Art.º 4.º)

 pelo que bastaria com aplicar a primeira Lei, ou ambas,

 porém, esta é apenas uma faceta, embora especialmente

I – Um Sistema Complexo, e em vários níveis:

II – Os Tópicos Fundamentais, um percurso:

 enquanto na Diretiva 95/46/CE:

 já para a nossa Lei de 2005, a “informação de saúde

b) o “tratamento” dos “dados saúde”

 o que é especificado pela Lei de 2005:

 por sua vez, a Lei de 2012 acrescenta como

 bem como, “[…] facultar aos órgãos, agentes e

c) o “acesso” aos “dados de saúde”

antes de mais, cumpre distinguir entre o i) acesso

 já nos termos da Diretiva 95/46/CE:

 conforme ao Direito nacional:

 porém, conforme à LADA, “Todos, sem necessidade de

i) acesso por terceiros, tratando-se de “dados

 e a Lei de 2005 reitera que “O titular da informação de

 enquanto para a Lei de 2012, “Aos titulares dos dados

 por sua vez, o Código do Trabalho estabelece que:

 porém, a grande questão está no disposto na LADA,

e) a “segurança” dos “dados de saúde”

adequadas para proteger os dados pessoais contra

 em Portugal, o Legislador foi mais longe:

e) Garantir que as pessoas autorizadas só possam ter acesso

 além de “Os sistemas devem garantir a separação

 o que é especificado e desenvolvido pela Lei de 2005:

 “A gestão dos sistemas que organizam a

 por sua vez, para o SNS, a Lei de 2012 reitera que:

 já em Portugal, a LPD prevê:

 a viciação ou destruição de dados pessoais (Art.º

III – Uma Mudança Iminente:

 a multiplicação dos operadores

 a Globalização económica e cultura e cultural

 o peso crescente das Redes Sociais

 a Internet das coisas

 a Proposta de Regulamento do Parlamento Europeu e

Sendo que a Proposta de Regulamento não inova muito,

a) os “dados pessoais” e os “dados saúde”

 passa a fazê-lo também para os “dados relativos à

b) o “tratamento” dos “dados saúde”

 sublinhando ainda que, “Se o consentimento do titular

 Depois e especificamente, “[…] o tratamento de dados

b) Por razões de interesse público no domínio da saúde

por sua vez, “O tratamento de dados pessoais no domínio

c) a “segurança” dos “dados de saúde”

 a este propósito, cabe ainda recordar a futura Diretiva

Você também pode gostar