Privacidade da Informao

no setor da Sade

1
 Privacidade da
Informao no setor
da Sade
Guia sobre o Regulamento Geral
de Privacidade de Dados

A transformao digital hoje uma realidade na Sociedade em geral e nas Organizaes

em particular, com as tecnologias emergentes a potenciarem um conjunto de
oportunidades de satisfao das necessidades das partes interessadas, de otimizao
dos recursos disponveis e de otimizao dos riscos relacionados. Neste contexto, a
SPMS, EPE. tem vindo a acompanhar a inovao digital e a desenvolver um conjunto de
iniciativas estratgias relacionadas com a melhoria da prestao dos servios aos seus
parceiros, a melhoria da eficincia organizacional e o lanamento de novos produtos e
servios digitais onde o fator inovao est fortemente presente.

Conscientes de que este novo contexto digital acarreta um conjunto de novos cenrios de
risco com impactos cada vez mais relevantes na operacionalidade das Organizaes, a
SPMS, EPE., em alinhamento com o previsto na Estratgia Nacional para o Ecossistema
da Informao de Sade 2020 (ENESIS2020), tem vindo a colocar os temas da
Segurana de Informao, Cibersegurana e Privacidade dos dados no topo das suas
preocupaes, tendo lanado em 2016 o Programa de Melhoria do Risco e Segurana
da Informao, com o objetivo de promover a coordenao e partilha de boas prticas
relacionadas com os sistemas de informao do Ministrio da Sade. Em 2017, as
competncias da SPMS, EPE no contexto da cibersegurana foram reforadas com o
Despacho n1348/2017, em Dirio da Repblica n28/2017, Srie II de 2017-02-08, o
qual identifica um conjunto de novas competncias na coordenao, monitorizao da
implementao e operacionalizao das boas prticas de melhoria contnua da resposta
a ciber-riscos no setor da sade.

Neste contexto, e tendo em considerao os riscos identificados pelo novo Regulamento

Geral de Proteo de dados (RGPD), o qual entrar em vigor a partir de 25 de maio
de 2018, a SPMS, EPE entendeu ser estratgico para o Setor da Sade em Portugal
a preparao e divulgao junto de todas as Entidades do Ministrio da Sade de
um primeiro Guia que serve para auxiliar a reflexo e subsequente ao na rea da
Privacidade da Informao no Setor da Sade. Nesta primeira edio pretende-se
clarificar o objetivo e mbito do novo regulamento europeu, e sobretudo analisar os

3
impactos concretos que o mesmo ter no ecossistema da Sade em Portugal. Seguir-se-
um guia de Boas prticas e passos concretos. Estes guias, bem como as ferramentas
de avaliao e iniciativas de formao e capacitao associadas, sero instrumentos
fundamentais para que todas as Entidades do Ministrios da Sade comecem, desde
j, a preparar os seus programas de resposta ao RGPD, analisando o nvel atual de
cumprimento, definindo as estratgias de resposta s situaes de desalinhamento
identificadas e implementando as solues de acordo com as suas necessidades e
possibilidades.

A SPMS, EPE, alm do compromisso com a melhoria contnua do seu ambiente interno
de controlo e gesto dos riscos relacionados com a cibersegurana e privacidade da
informao, com muitos desafios ainda por ultrapassar, ir continuar a apoiar as entidades
do Ministrio da Sade e a partilhar boas prticas, conhecimento e ferramentas para
que todas as Entidades possam garantir que os sistemas de informao contribuam
para a criao de valor e satisfao das necessidades dos Cidados.

Contamos com o vosso apoio e compromisso!

O Presidente do Conselho de Administrao da SPMS,

Henrique Assinado de forma
digital por Henrique
Manuel Gil Manuel Gil Martins
Dados: 2017.03.21
Martins 08:12:12 Z

Henrique Martins

4
ndice
Pg. 6
Nota introdutria

Pg. 7
mbito, objetivos e metodologia do Guia

Pg. 10
Contexto transformao digital no setor da sade

Pg. 15
Aspetos Crticos de Privacidade para a Gesto da
Informao no Setor da Sade

Pg. 17
Contexto Jurdico Atual da Privacidade da Informao
no setor da sade em Portugal

Pg. 22
RGPD: mudana de paradigma e principais
obrigaes setor da sade em Portugal

Pg. 33
Algumas boas prticas. Como estar preparado?
Por perfil profissional
Administradores Hospitalares
Profissionais de Sade
Profissionais TIC
Por tipo de Instituio
Entidades do Servio Nacional de Sade
Hospitais e Centros de Sade
Centros Hospitalares
Parcerias Pblico Privadas

Pg. 51
Prximos Passos Avalie a capacidade de resposta
da sua Organizao ao RGDP

Pg. 56
Glossrio

5
Nota Introdutria
A transformao digital no setor da sade uma realidade incontornvel e tem conhecido,
nos ltimos anos, um crescimento exponencial.

De facto, constatamos hoje um crescimento considervel tanto da oferta, pelo lado dos
prestadores de servios, como da procura, por parte dos utentes, de produtos e servios
tecnolgicos e digitais no setor da sade.

A desmaterializao dos processos, a digitalizao do acesso informao e a introduo

de novas tecnologias associadas prestao de cuidados mdicos constituem um
passo importante no contexto da reforma do Servio Nacional de Sade (SNS).

Associado a esta revoluo digital, surgem naturalmente preocupaes ao nvel da

segurana, privacidade e proteo dos dados dos utentes, em particular dos dados de
sade e informao clnica.

A aprovao do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho,

de 27 de abril de 2016, relativo proteo das pessoas singulares no que diz respeito
ao tratamento de dados pessoais e livre circulao desses dados (Regulamento Geral
1
sobre a Proteo de Dados RGPD) , e consequente necessidade de adaptao de
processos e metodologias aplicveis forma como as Organizaes passaro a tratar
os dados pessoais, torna imprescindvel o conhecimento das regras que, a partir de
maio de 2018, sero aplicveis ao tratamento dos dados pessoais.

Este Guia pretende precisamente abordar as vertentes jurdica e legal envolvidas

no tratamento de dados pessoais no mbito da prestao de cuidados de sade,
elucidando o leitor sobre os diversos aspetos a ter em conta aquando do tratamento
de dados pessoais e apontar caminhos para a definio de programas de melhoria da
organizao, processos, tecnologias e competncias das Entidades no SNS.

O teor deste Guia meramente informativo e orientador e no desonera

a consulta da legislao aplicvel.

1 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo proteo
das pessoas singulares no que diz respeito ao tratamento de dados pessoais e livre circulao desses dados e que
revoga a Diretiva 95/46/CE. O Regulamento foi publicado no Jornal Oficial da Unio Europeia no passado dia 4 de
maio de 2016.

6
mbito, Objetivos
e Metodologia do Guia
A SPMS Servios Partilhados do Ministrio da Sade, EPE (SPMS) tem como
misso a prestao de servios partilhados nas reas de compras e logstica, servios
financeiros, recursos humanos e sistemas e tecnologias de informao e comunicao
s Entidades com atividade especfica na rea da sade, de forma a centralizar, otimizar
e racionalizar a aquisio de bens e servios no SNS.

A SPMS assume, atualmente, um conjunto de responsabilidades na rea da governao

e gesto das TIC no Ministrio da Sade, procurando ajustar boas prticas, produtos e
servios s necessidades dos utentes, do SNS e do Ministrio da Sade.

No mbito da sua misso, a SPMS tem sido responsvel pelo desenvolvimento e

implementao de vrias iniciativas no mbito da Estratgia Nacional para o Ecossistema
de Informao de Sade 2020 ENESIS 2020, bem como iniciativas em domnios
temticos como o caso da segurana e privacidade.

Estas iniciativas tm vindo a ser desenvolvidas na generalidade das Entidades

integrantes do SNS i.e. os servios e Entidades pblicas prestadoras de cuidados
de sade, da administrao direta e indireta, assim como do setor pblico empresarial,
designadamente: (i) os agrupamentos de centros de sade; (ii) os estabelecimentos
hospitalares, independentemente da sua designao e natureza jurdica (v.g. As
Entidades de sade e centros hospitalares tanto do setor pblico administrativo como
do setor pblico empresarial); e (iii) as unidades locais de sade.

As iniciativas do ENESIS 2020 integram-se num processo global de mudana e

transformao digital que se tem verificado, nos ltimos anos, no setor da sade em
Portugal, dando assim continuidade uniformizao dos sistemas de informao hospitalar
no SNS, tendo por objetivo principal a melhoria na prestao de cuidados aos utentes.

Pretende-se assim promover a evoluo dos atuais sistemas clnicos da SPMS para
um processo clnico eletrnico, permitindo, aos utentes, uma viso 360 da informao
centrada no utente, permitindo o acesso constante e integral a tal informao.

Acresce que a transformao digital no setor da sade em Portugal, no mbito do ENESIS

2020, impe a necessidade de adaptao das tecnologias, pessoas e processos que
intervm em todo o ciclo de vida da informao de sade, com natural impacto ao nvel
da privacidade e proteo de dados pessoais dos utentes.

7
Os desafios decorrentes dos fluxos contnuos de dados pessoais, no contexto de
iniciativas da SPMS como o Registo de Sade Eletrnico, a Plataforma de Partilha
de Dados de Sade (PDS) e o Acesso dos Utentes aos seus dados de sade, assim
como a consagrao do princpio da portabilidade de informao de sade no mbito
da utilizao de Apps e de outras formas de interligao de sistemas de informao
com impacto na sade, tornam essencial o conhecimento das regras aplicveis ao
tratamento dos dados pessoais.

Nesse sentido, a SPMS elaborou o presente Guia de Privacidade da Informao do

Setor da Sade em Portugal (Guia), de forma a dar a conhecer, s Entidades pblicas
2
integrantes do SNS , as condies a que se encontram sujeitas em relao ao tratamento
de dados pessoais em Portugal.

O Guia tem, assim, como objetivo fornecer algumas informaes sobre as condies
de tratamento de dados pessoais, permitindo que as Entidades pblicas integrantes
do SNS, por um lado, realizem uma avaliao preliminar do nvel de adequao e
cumprimento das respetivas regras e, por outro lado, conheam as regras e impacto
3
que o RGPD e a Diretiva de Segurana das Redes e da Informao (Diretiva SRI) ter
nas Entidades.

4
Neste Guia encontrar tambm as principais regras acerca do tratamento de dados
pessoais em Portugal que regem, at 25 de maio de 2018 (data em que o RGPD ser
aplicvel) relativas quer aos procedimentos a adotar perante a Comisso Nacional de
5
Proteo de Dados (CNPD), quer s regras a observar para garantir os direitos dos
titulares dos dados (direitos com consagrao constitucional, como resulta do artigo 35.
da Constituio da Repblica Portuguesa). Atualmente, o regime jurdico de proteo
das pessoas singulares no que respeita ao tratamento e livre circulao dos dados
pessoais encontra-se consagrado, em termos genricos, na Lei de Proteo de Dados
6 7
Pessoais (LPDP), que transpe a Diretiva de Proteo de Dados Pessoais .

2 Consideram-se para o efeito todos os estabelecimentos e servios do Servio Nacional de Sade,

independentemente da respetiva natureza jurdica, sejam Entidades pblicas empresariais, sejam Entidades do Sector
Pblico Administrativo, bem como aos rgos e servios do Ministrio da Sade e a quaisquer outras Entidades
quando executem atividades na rea da sade.
3 Diretiva (UE) 2016/1148, de 6 de julho de 2016 relativa a medidas destinadas a garantir um elevado nvel comum de
segurana das redes e da informao em toda a Unio. A Diretiva SRI ter que ser transposta para o ordenamento
jurdico nacional at 25 de maio de 2018.
4A informao veiculada no presente Guia no exaustiva e no pretende espelhar, de forma detalhada, os
procedimentos a adotar no domnio do tratamento de dados pessoais.
5 A CNPD a autoridade nacional que controla e fiscaliza o cumprimento das disposies legais e regulamentares
em matria de proteo de dados pessoais, competindo-lhe em especial autorizar ou registar, consoante os casos, os
tratamentos de dados pessoais e emitir pareceres sobre disposies legais ou legislao em preparao nesta matria.
6 Lei n. 67/98, de 26 de outubro, alterada pela Lei n 103/2015, de 24 de agosto.
7 Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995 relativa proteo das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e livre circulao desses dados (Diretiva de
Proteo de Dados Pessoais).

8
Existe tambm legislao especfica para o setor da sade, com impacto ao nvel da
proteo de dados, como o caso da Lei da Informao Gentica Pessoal e Informao
8 9
de Sade , da Lei da Investigao Clnica e do Regulamento arquivstico das Entidades
10
de sade e demais servios do Ministrio da Sade .

As Entidades integrantes do SNS devem ainda ter em considerao as Deliberaes

emitidas pela CNPD, sejam as aplicveis a qualquer Organizao (nomeadamente em
sede de proteo da privacidade dos colaboradores), sejam as que regulam o tratamento
de dados no setor da sade (como a Deliberao aplicvel aos tratamentos de dados
11
pessoais efetuados no mbito de Investigao Clnica ; a Deliberao aplicvel ao
12
acesso a dados de sade ; e a Deliberao aplicvel ao acesso a dados de sade de
13
titulares falecidos ).

Apenas atravs do conhecimento das regras aplicveis matria de proteo de dados

pessoais as Entidades integrantes do SNS podero definir procedimentos e adotar
medidas que permitam, por um lado, evitar os riscos de incumprimento da lei e, por
outro, retirar maiores benefcios dos dados recolhidos.

8 Lei n. 12/2005 de 26 de janeiro.

9 Lei n. 21/2014 de 16 de abril, alterada pela Lei n. 73/2015, de 27 de julho.
10 Aprovado pela Portaria n. 247/2000, de 8 de maio, alterada pela Portaria n 157/2014, de 19 de agosto.
11 Deliberao da CNPD n. 1704/2015.
12 Deliberao da CNPD n. 51/2001.
13 Deliberao da CNPD n. 72/2006.

9
Contexto: A Transformao
digital das organizaes
e da sociedade
Em apenas umas curtas dcadas, as Tecnologias de Informao e Comunicaes (TIC)
deslocaram-se do back office, a 1 Plataforma, para o front office, a 2 Plataforma e,
finalmente, integraram-se em quase todos os aspetos das vidas profissionais e pessoais
das pessoas, alimentadas por tecnologias da 3 Plataforma, incluindo mobilidade,
social, cloud e big data e analtica. Esta nova era em que as tecnologias e processos
que as Organizaes implementam esto de tal forma ligadas aos seus clientes/utentes
e mercados, que as fronteiras entre as operaes internas da Organizao e o seu
ecossistema externo (clientes/utentes, mercados, concorrentes, parceiros, reguladores)
esto a desaparecer rapidamente.

Neste contexto os lderes, do setor pblico e privado, so desafiados a levar as suas

Organizaes ao nvel seguinte, o da transformao digital, empregando tecnologias
digitais em conjunto com a inovao organizacional, de modelos operacionais para criar
novas formas de operar e de expandirem a sua atividade.

Apesar do nome digital, h muito mais na transformao digital para alm da

tecnologia. A IDC define a Transformao Digital como o processo contnuo atravs
do qual as Organizaes se adaptam ou apresentam mudanas inovadoras aos seus
clientes/utentes e mercados (ecossistema externo) ao potenciar competncias digitais
para inovar novos modelos operacionais, produtos e servios que misturam de forma
uniforme o digital, o fsico, as experincias da Organizao e do cliente, ao mesmo
tempo que melhoram a eficcia operacional e o desempenho organizacional.

A Transformao Digital corresponde muitas vezes a uma disrupo da forma como

entendido o funcionamento das Indstrias e Organizaes, influenciando uma inverso
do modelo operacional da sua orientao tradicional de disponibilizao de produtos ou
servios para uma orientao mais dependente do ecossistema externo (por exemplo:
utentes, clientes/utentes, mercados, parceiros, concorrentes, reguladores, etc), exigindo
um processo contnuo de adaptao s condies de mudana interna e externa.

No centro do novo ecossistema digitalmente transformado no est a Organizao,

mas o individuo envolvido numa mirade de Omni-experincias que incluem interaes
pessoais, profissionais, comerciais e relaes sociais - tudo tornado possvel por
interfaces digitais pessoais e profissionais.

10
O nmero e diversidade de dispositivos de interface pessoais um indicador de
vanguarda da chegada da Internet of Things (IoT), um indicador que representa todo
um novo desafio para a segurana empresarial, assim como as oportunidades de
marketing, prestao de servios, experincia social e comunicao. Estudos recentes
da IDC estimam que cada indivduo pode chegar a ter 24 identidades digitais. Se apenas
35% da populao mundial se inclui no comum digital, o Universo de Identidade Digital
(UID) mundial encontra-se em cerca de 55 bilies.

As implicaes organizacionais e sociais da transformao digital, estendem-se do

rgo de governana at s reas operacionais e passando cada vez mais pelas clouds
privadas dos clientes/utentes, colaboradores e parceiros. Estas incluem, mas no se
limitam a:

Partilhar experincias pessoais e profissionais;

Redefinir como as Organizaes geram receita e monetizam produtos e servios;
Desenvolver um plano de marketing focado nas experincias contextualizadas e
personalizadas dos clientes/utentes;
Gerir os maiores riscos de falhas na segurana;
Explorar a inovao dos clientes/utentes para orientar o desenvolvimento de
produtos e servios;
Redefinir a natureza dos servios;
Redefinir a natureza do trabalho e como o mesmo realizado;
Obter e gerir uma fora laboral dispersa 24 x 7 x 365;
Ligar a cadeia de valor virtualmente;
Conectar pessoas atravs de experincias;
Criar organizaes temporrias;
Promover papis profissionais passageiros;
Automatizar interfaces utilizador-mquina e mquina-utilizador;
Fazer desaparecer as restries de tempo e espao.

A transformao digital , assim, um elemento fundamental no apenas para as

Organizaes prosperarem, mas, em muitos casos, as falhas nesta matria podero
mesmo influenciar a sua sustentabilidade.

11
Impactos da transformao digital
no setor da sade

A revoluo digital nos servios de sade veio disponibilizar novas oportunidades para
o desenvolvimento da qualidade da prestao de cuidados, investigao de novos
tratamentos e uma melhor utilizao dos recursos. No entanto, na maioria dos pases, o
sistema de sade est fortemente pressionado por vrios fatores. O efeito conjugado de
uma maior esperana de vida e a prevalncia de doenas crnicas tem sido responsvel
pelo crescimento dos custos dos cuidados de sade e ameaam a sustentabilidade do
modelo tradicional de prestao de cuidados de sade em muitos dos pases. Assim,
novos modelos de atendimento suportados por novas tecnologias e pela digitalizao
tm vindo a aparecer como soluo para este cenrio.

A utilizao digital da informao tornou-se uma componente essencial de um novo

sector de sade orientado para a qualidade dos servios prestados e para a eficincia
dos recursos. Trata-se de uma transformao, desencadeada e suportada por novas
tecnologias e partilha de informao, mas tambm pelas exigncias das novas geraes
para que o sistema pblico de sade corresponda ao estilo de vida cada vez mais digital.

A maioria da informao que, presentemente, partilhada digitalmente, anteriormente

era partilhada em papel, suscitando assim, novos desafios e ameaas digitais ao nvel
da segurana e privacidade, nomeadamente em relao proteo dos dados pessoais
numa sociedade cada vez mais digital.

Os sistemas de informao de sade tm um conjunto de caractersticas gerais que

impactam diretamente as oportunidades e ameaas relacionadas com a segurana e
privacidade dos dados e informao, designadamente:

Os dados e informao sobre utentes so recolhidos atravs de uma vasta

quantidade de sistemas TIC (centrais ou locais) e equipamentos mdicos
(eminentemente locais). Existe, por vezes, pouco conhecimento sobre a arquitetura
informacional de suporte, nomeadamente no que refere ao armazenamento dos
dados dos utentes.

12
 Os processos de tratamento so operacionalizados atravs do ecossistema do
doente num ambiente de cuidados integrados, no qual todos os prestadores de
servios, incluindo os utentes, tm acesso aos dados dos utentes.
O tratamento dos utentes est cada vez mais dependente de dados e de
informao, como o caso da medicina de preciso ou de processos de cuidados
pessoais.
Os dados e informao so partilhados para outros objetivos que no o
tratamento direto dos utentes. Tal poder acontecer para investigao, gesto de
sade pblica ou gesto da procura.
Os dados e informao so utilizados juntamente com analtica, Big Data
e sistemas cognitivos para permitirem novos regimes de tratamento, melhor
otimizao dos riscos e melhor otimizao dos recursos.

Neste contexto as Entidades do setor da sade tm vindo a proceder transformao

digital das suas atividades em redor de cinco dimenses fundamentais:

Liderana
Os responsveis das EntidadesEntidades do setor da sade nem
sempre esto conscientes das oportunidades disponibilizados pelos
sistemas de informao e tecnologias, pelo que se torna difcil a
incorporao de uma viso da transformao digital na estratgia geral
das Entidades. Tambm ao nvel clnico, alguns mdicos so mais
vidos mudana do que outros, em particular no que diz respeito
ao relacionamento com os utentes. Assim, em algumas Entidades
comeam a aparecer funes de Chief Clinical Information Officer
(CCIO) ou Chief Medical Information Officer (CMIO). As Entidades
ainda esto muito focadas na conformidade TIC e difcil alterar os
modelos de funcionamento com tantos regulamentos em vigor.

Omni-Experincia
Os utentes tm expectativas de ter o mesmo tipo de experincia,
independentemente do modo como interagem com os prestadores
de cuidados de sade (online ou pessoalmente). Existe uma
vasta gama de atividades (alm das administrativas) que podem
ser automatizadas ou transformadas para permitir um melhor
envolvimento com os utentes.

13
Gesto de Talentos
Os profissionais de sade necessitam de se concentrar naquilo
que importante: a qualidade dos servios prestados e uma
melhor experincia dos utentes. Presentemente, a conformidade
regulamentar e a burocracia absorvem imenso tempo e as TIC no
tm aliviado esse trabalho. Assim, a experincia dos utilizadores e
a usabilidade dos sistemas de informao clnicos muitas vezes
colocada em causa. Muitos dos sistemas precisam de mobilidade mas
tecnologias como a IoT no so utilizadas corretamente para resolver
problemas transacionais e de segurana dos utentes. As Entidades
de sade necessitam de ser cada vez menos autorreferenciais, sendo
necessrio aumentar o foco nos fluxos de processos centrados nos
utentes (ex., disponibilizando visibilidade atravs do sistema para
possibilitar a calendarizao de pessoas e recursos).

Modelo Operacional
A coordenao entre o interior e exterior das Entidades de sade
um fator crtico. Existe cada vez mais a necessidade de se
alterar o foco para os fluxos de processo centrados nos utentes e
ajustar as operaes para terem condies de dar respostas mais
adequadas. Por exemplo a analtica de dados em tempo real
essencial para a otimizao dos processos, sendo que esta ou outras
boas prticas necessitam de ser partilhadas para que possam ser
escaladas. Os projetos bem-sucedidos no devem ser mantidos ao
nvel departamental e devem ser explorados modelos de inovao
que promovam uma verdadeira integrao e colaborao entre as
diferentes partes interessadas no ecossistema.

Informao
As Entidades de sade esto sobrecarregadas de informao. No
se trata apenas de implementar sistemas de informao clnica,
sistemas de analtica ou semelhantes, mas, igualmente, de desenhar
e implementar estruturas e referencias que permitam extrair e
desenvolver o valor e a utilidade da informao relativa aos utentes,
servios, ativos fsicos e experincias. As Entidades de sade devem,
cada vez mais, tratar os dados e a informao como qualquer outro
ativo. Existem ainda desafios relacionados com problemas tcnicos
relacionados com a integrao e interoperabilidade (ex. sistemas
legados), assim como receios de implementao de uma cultura de
deciso baseada na evidncia dos factos. As Entidades de sade
necessitam de adotar uma cultura de transparncia e a gesto que
garanta que todas as partes interessadas reconheam os benefcios
relacionados com a valorizao do ativo informao.

14
Aspetos crticos de
segurana e privacidade
no processo
de transformao digital
Num ambiente moderno e integrado de cuidados de sade personalizados, a qualidade
da informao ganha uma importncia crtica, destacando-se requisitos fundamentais,
tais como:
Confidencialidade;
Integridade;
Disponibilidade;
Conformidade legal e normativa, nomeadamente a Privacidade.

Confidencialidade significa que a informao est protegida contra o acesso ou

exposio a entidades no autorizadas. Basicamente, significa que um utente deve ser
capaz de confiar que a informao pessoal confidencial no acedida por ningum que
no tenha os direitos e uma finalidade concreta para aceder a essa mesma informao.
Devido informao sensvel nas aplicaes clnicas e da quantidade de dados
partilhados atravs do ecossistema de sade, a confidencialidade assume-se como um
dos pilares cruciais.

Integridade significa que a informao mantm todas as caractersticas definidas

pelo seu responsvel, incluindo o controlo das alteraes ao longo do seu ciclo de vida.
Os utentes devem ser capazes de confiar que os dados a que os profissionais de sade
tm acesso so precisos e completos e que o tratamento prescrito se baseie nesses
mesmos dados.Na prestao de cuidados de sade a integridade ganha um peso ainda
mais relevante na medida em que uma falha na integridade dos dados pode ter como
resultado danos diretos para a sade do utente.

Disponibilidade significa que a informao est acessvel ao pessoal autorizado

sempre que for relevante. Trata-se de dar acesso informao quando ela necessria
e, muitas vezes, num determinado contexto.

15
Quando os tratamentos so baseados em grandes quantidades de dados e as equipas
clnicas so mveis, a acessibilidade aos dados crucial. No somente num cenrio
crtico relacionado com Electronic Medical Records (EMR) ou Electronic Health Records
(EHR), mas tambm quando um especialista mdico supervisiona outra enfermaria ou
quando o pessoal clnico visita o utente na sua residncia ou, ainda, quando realizam
tratamentos aos utentes atravs de equipamentos de telemedicina.

Somente quando a confidencialidade, a integridade e a disponibilidade so geridas de

um modo seguro e otimizado, o sistema de sade poder evoluir e dar suporte procura
futura.

O estudo da IDC European Industry Solutions and Insights Survey realizado no terceiro
trimestre de 2016, que contou com a participao de107 hospitais e 69 prestadores de
cuidados de sade da Europa Ocidental, identificou a segurana e a proteo dos dados
entre as principais prioridades operacionais de 2016, sem que isso afete diretamente a
experincia dos utentes ou a eficincia geral da prestao e servios de sade. Os CIO
reconhecem a segurana das TIC como estratgica e planeiam implementar iniciativas
nos prximos anos, pelo que mecanismos inapropriados de proteo de dados e de
privacidade no constituem barreiras para o crescimento e transformao.

Relativamente aos requisitos de conformidade diretamente relacionados com a

Informao, existem atualmente 28 leis de proteo de dados diferentes baseados na
EU Data Protection Directive de 1995, a qual foi desenhada h 20 anos atrs, antes
da introduo generalizada da Internet e do crescimento das preocupaes com a
privacidade. Apesar dos avanos tecnolgicos, a regulamentao existente permaneceu
estagnada e cada vez mais inadequada para proteger os dados dos indivduos ou das
Organizaes. Neste contexto, um novo regulamento europeu sobre proteo de dados
vai entrar em vigor em maio de 2018 e vai transformar o modo como os requisitos de
conformidade devero ser respondidos pelas Organizaes europeias.

Para alm de atualizar a regulamentao de modo a haver um maior alinhamento

com as as alteraes tecnolgicas, a Comisso Europeia pretendeu, igualmente, criar
uma nica lei, pan-europeia, para a proteo de dados, que substitusse as atuais
legislaes nacionais no espao comunitrio. Adicionalmente, pretende-se a criao de
um mecanismo de balco nico, permitindo que as Organizaes lidem com uma nica
autoridade de superviso.

neste contexto que este Guia pretende abordar as vertentes jurdica e legal envolvidas
no tratamento de dados pessoais no mbito da prestao de cuidados de sade,
elucidando o leitor sobre os diversos aspetos a ter em conta aquando do tratamento de
dados pessoais.

16
Contexto jurdico atual da
proteo de dados no setor
da sade em Portugal
A transformao digital no sector da sade em Portugal ter, naturalmente, de
acompanhar as exigncias de proteo dos dados pessoais dos intervenientes neste
setor, em particular dos utentes e dos profissionais de sade.

So considerados dados pessoais, para efeitos da LPDP, quaisquer informaes que,

direta ou indiretamente, identifiquem uma pessoa singular (o titular dos dados), tais
como o nome, a morada, o endereo de correio eletrnico, mas tambm dados relativos
a historiais clnicos, historial e caractersticas de doenas e perfis de utilizadores/utentes.

As Entidades integrantes do SNS que levem a cabo um conjunto de operaes de

tratamento de dados pessoais, entendidas como todas as operaes que incidam sobre
dados pessoais (tais como a recolha, o registo, a organizao, a consulta, a conservao
ou a comunicao, entre muitas outras), ficam sujeitas ao cumprimento de um conjunto de
obrigaes enquanto Entidades responsveis pelo tratamento dos dados.

Para alm das obrigaes gerais que decorrem da LPDP, as Entidades integrantes do
SNS devero ainda assegurar o cumprimento das demais regras previstas na legislao
e/ou disposies regulamentares especficas do sector da sade, as quais regulam
a propriedade, o acesso e a legitimidade do tratamento da informao de sade dos
utentes.

a) As regras gerais do tratamento de dados pessoais

Assumindo-se como responsveis pelo tratamento, incumbe s Entidades integrantes
do SNS, em termos genricos, assegurar que:
1. Os dados pessoais so recolhidos para finalidades determinadas, explcitas
e legtimas e no sejam posteriormente tratados de forma incompatvel com as
finalidades da recolha;
2. Apenas so recolhidos os dados pessoais adequados, pertinentes, e no
excessivos relativamente s finalidades da recolha princpio de minimizao;
3. Os dados pessoais recolhidos so exatos e atualizados;
4. Os dados pessoais apenas so conservados durante o perodo necessrio

17
 para a prossecuo das finalidades da recolha/tratamento (garantido o cumprimento
das Deliberaes da CNPD aplicveis);
5. So disponibilizadas ao titular dos dados todas as informaes relacionadas
com o tratamento efetuado, concedendo-lhe o direito de acesso e retificao dos
seus dados;
6. obtido o consentimento do titular para o tratamento dos seus dados, exceto
nos casos em que tal consentimento dispensado nos termos da lei, como o
caso do tratamento de dados para a finalidade de proteo de interesses vitais do
seu titular;
7. So postas em prtica as medidas tcnicas e organizativas adequadas para
proteger os dados pessoais, designadamente contra a sua destruio acidental
ou ilcita, a perda acidental, a alterao, a difuso ou o acesso no autorizado
(nomeadamente quando o tratamento implicar a sua transmisso por rede) e
qualquer outra forma de tratamento ilcito;
8. O tratamento dos dados encontra-se devidamente notificado CNPD e,
quando legalmente exigido, obtida a respetiva autorizao prvia.

b) A obrigao de notificao e o controlo prvio da CNPD

A lei estabelece que, para deter e tratar dados pessoais, qualquer Entidade integrante
do SNS ter que notificar previamente a CNPD.

Existem, porm, certos casos em que no basta a notificao da CNPD, sendo

necessrio obter uma autorizao, antes de recolher, conservar e/ou tratar
determinado tipo de informao relativa a pessoas singulares, como o caso dos
dados sensveis. Nesta categoria incluem-se, entre outros, os dados de sade,
dados genticos, dados de vida privada, origem racial ou tnica.

No caso de tratamento de dados de sade, incluindo dados genticos, e no obstante

constiturem dados sensveis, o seu tratamento est sujeito a mera notificao
CNPD, na medida em que tal tratamento ser necessrio para efeitos de medicina
preventiva, de diagnstico mdico, de prestao de cuidados ou tratamentos mdicos
ou ainda de gesto de servios de sade. Alm disso, o tratamento desses dados
ter que ser efetuado por um profissional de sade ou por outra pessoa sujeita a
sigilo profissional.

Contudo, se houver tratamento de outros dados (v.g. raa, f religiosa ou outros dados
da vida privada toxicodependncia, comportamento de risco, hbitos alcolicos,
problemas sociais de integrao, etc.), se os dados de sade, da vida sexual ou
genticos forem utilizados para finalidades diversas (v.g. para fins de investigao
cientfica) ou forem tratados em circunstncias distintas das referidas, as Entidades
integrantes do SNS devem submeter tal tratamento a controlo prvio, submetendo
um pedido de autorizao CNPD.

18
c) O consentimento
O tratamento de dados pessoais pressupe, em regra, o consentimento dos titulares
dos dados, exceto nas situaes previstas na LPDP. Desde logo, quando o tratamento
de dados necessrio, para a execuo de um contrato entre o responsvel pelo
tratamento e o titular dos dados (como sucede, por exemplo, no contrato de trabalho),
para cumprimento de obrigao legal ou para a prossecuo de interesses legtimos.

Quando esto em causa dados sensveis (por exemplo, dados de sade ou genticos),
a regra a da proibio. Isto , o tratamento de tais dados genericamente proibido,
exceto se o tratamento decorrer de disposio legal, o titular dos dados tiver dado
o seu consentimento e a CNPD tiver autorizado ou o tratamento for indispensvel
ao exerccio das atribuies legais ou estatutrias do responsvel. Alm disso, o
tratamento de dados sensveis ainda permitido, por exemplo, para proteo
de interesses vitais do titular ou de uma outra pessoa e o titular estiver fsica ou
legalmente incapaz de dar o seu consentimento.

Nas situaes em que no necessrio o consentimento para o tratamento de dados,

tem que se prestar informao acerca dos termos em que os dados sero tratados.

d) Direito de informao e acesso a dados de sade

Sempre que sejam recolhidos dados pessoais, mesmo que no seja necessrio
o consentimento, as Entidades integrantes do SNS devem prestar um conjunto
de informaes aos titulares dos dados (tais como a identificao da Instituio
responsvel, as finalidades do tratamento dos dados, as comunicaes de dados,
o carter obrigatrio ou facultativo da disponibilizao dos dados e as condies de
acesso, retificao e eliminao dos dados).

Estas informaes devem ser includas em todos os formulrios de recolha de dados.

A informao poder, no entanto, ser prestada de forma verbal sempre que os dados
sejam recolhidos por inqurito verbal junto dos titulares, sendo desejvel que, nos
locais onde tais dados so sistematicamente recolhidos, haja avisos afixados com
tais informaes.

Os titulares dos dados (colaboradores, utentes, entre outros) tm, em regra, o direito
a aceder aos dados pessoais que as Entidades dispem sobre eles; porm quando
a informao contem dados de sade, o acesso sempre efetuado atravs de um
profissional de sade.

19
e) A utilizao de dados de sade para investigao cientfica
Os dados de sade recolhidos no mbito da prestao de cuidados de sade podero
ser utilizados para fins de investigao cientfica, contanto que os titulares dos dados
tenham sido informados acerca dessa possibilidade e prestado o seu consentimento
para o efeito.

Sempre que possvel, os estudos de investigao cientfica devero ser realizados

sem dados nominativos dos utentes.

f) A comunicao de dados e a subcontratao

No mbito da sua atividade, as Entidades integrantes do SNS transmitem dados
dos utentes e dos profissionais de sade, pelos quais so responsveis, a vrias
Entidades:
(i) por um lado, a Entidades a quem esto obrigados a comunicar tais dados para
efeitos de cumprimento de obrigaes legais (os terceiros);
(ii) por outro, a Entidades que contratam para a prestao de servios e que, nesse
contexto, tratam os dados pessoais a que tm em acesso em nome e por conta das
Entidades integrantes do SNS (os subcontratantes).

A comunicao de dados a operao que se traduz na transmisso de dados

pessoais a um terceiro, como o caso da Direo-Geral da Sade (DGS) e da
Administrao Central do Sistema de Sade, I.P. (ACSS), da SPMS e ainda dos
tribunais.

Por outro lado, a subcontratao de prestadores de servios (outsourcing) que

acedem e tratam dados pessoais da responsabilidade das Entidades integrantes do
SNS cada vez mais frequente.

Sempre que a Instituio pblica pretenda recorrer aos servios de subcontratantes

(como, por exemplo, empresas fornecedoras de software ou manuteno e suporte
de sistemas de informao), dever assegurar-se, em primeiro lugar, que o
subcontratante oferece as garantias suficientes em relao ao tratamento a realizar,
devendo este ltimo comprometer-se a zelar pelo cumprimento dessas mesmas
medidas. Para esse efeito dever ser celebrado, nos termos da lei, um contrato
escrito entre o responsvel pelo tratamento e o subcontratante.

20
g) Implementao de especiais medidas de segurana
Sempre que esteja em causa o tratamento de dados sensveis, as Entidades do SNS
devero adotar medidas especiais de segurana, atenta sensibilidade dos dados
em causa. Estas medidas visam reforar o controlo de entradas nas instalaes, o
acesso aos dados e suportes de dados, o controlo da utilizao dos sistemas de
tratamento automatizados por pessoas no autorizadas ou o controlo da transmisso
dos dados.

No que diz respeito aos dados de sade, deve ser assegurada a implementao
de medidas destinadas a impedir o acesso indevido de terceiros aos processos
clnicos e aos sistemas informticos que contenham informao de sade, incluindo
as respetivas cpias de segurana, assim como a separao lgica entre dados de
sade e dados administrativos.

As medidas de segurana devero assegurar, atendendo aos conhecimentos

tcnicos disponveis e aos custos resultantes da sua aplicao, um nvel de segurana
adequado aos riscos que o tratamento apresenta e natureza dos dados a proteger.

Como tal, ser necessria a identificao das potenciais vulnerabilidades do sistema,

bem como uma previso do impacto que essas falhas de segurana possam causar,
de modo a proceder a uma anlise e avaliao de riscos correta e realista que
conduzam a uma definio eficaz das medidas de segurana que melhor podero
dar resposta s necessidades da Instituio.

h) Consequncias do incumprimento
O desrespeito por algumas das regras constantes da LPDP constitui uma
contraordenao, punvel com coima que poder atingir os 29.927,88 (sendo as
sanes aplicadas s contraordenaes cumuladas materialmente).

A LPDP prev ainda a possibilidade de aplicao, pela CNPD, de sanes acessrias,

como o bloqueamento ou destruio de dados, a proibio, temporria ou definitiva,
do tratamento de dados pessoais (o que na prtica suscetvel de impedir o
desenvolvimento da atividade), ou ainda a publicidade da sentena condenatria.
O responsvel pelo tratamento poder ainda incorrer em responsabilidade civil
ou criminal. Por exemplo, a utilizao intencional de dados pessoais, de forma
incompatvel com a finalidade determinante da recolha, constitui crime punvel com
pena de priso at um ano ou multa at 120 dias. No caso de dados sensveis, a
pena agravada para o dobro.

Para alm dos custos jurdicos e financeiros, o incumprimento da lei tem ainda outros
custos associados que podem ter um impacto negativo muito significativo para as
Entidades integrantes do SNS: os custos de imagem e de reputao.

21
RGPD:
Mudana de paradigma
e principais obrigaes
O RGPD ir alterar profundamente a forma como os organismos pblicos, incluindo
as Entidades integrantes do SNS, tratam dados pessoais. Trata-se de um instrumento
legislativo que implica, por um lado, um reforo claro dos direitos dos titulares dos dados
e, por outro lado, uma ampliao das obrigaes das Organizaes em matria de
privacidade.

As definies e os princpios constantes da Diretiva de Proteo de Dados Pessoais,

so adotadas, no entanto, introduzindo-se novas definies como a de violao de
dados pessoais ou a de limitao do tratamento e o princpio da transparncia,
designadamente ao prever-se uma regra de data minimisation (minimizao dos dados
recolhidos face ao necessrio para as finalidades do tratamento) e de responsabilizao
efetiva do responsvel pelo tratamento (princpio da responsabilidade).

Esta maior responsabilizao traduz-se no aumento das obrigaes do responsvel

pelo tratamento, o qual, mais do que solicitar uma validao externa para os termos e as
condies em que realiza as operaes de tratamento de dados pessoais, passa a ter de
demonstrar que cumpre as regras aplicveis a tais operaes de tratamento. Observa-
se, assim, uma mudana de paradigma no que forma de encarar as responsabilidades
pelo tratamento de dados (uma espcie de inverso de papis entre o regulador e o
regulado).

O novo RGPD vem criar um modelo que obriga as Entidades a tomarem em considerao
as preocupaes e os riscos de privacidade desde o momento inicial da conceo de um
dado projeto, em vez de apenas considerar esses riscos posteriormente privacy by default
e privacy by design. Espera-se que este novo paradigma contribua para que os projetos
levados a cabo pelas Entidades que tratam dados pessoais tenham o mnimo de impacto
possvel na privacidade dos titulares dos dados.

So, assim, vrias as alteraes decorrentes do RGPD, pretendendo destacar-se

neste Guia as principais obrigaes aplicveis s Entidades integrantes do SNS que
implicaro, em matria de proteo de dados pessoais, uma mudana nas organizaes.
As referidas alteraes podero traduzir-se tanto em novas obrigaes face ao regime
legal atualmente em vigor como em alteraes (reforo) das obrigaes j existentes.

22
De uma forma geral, estas medidas devero ser desenhadas e implementadas tendo
em considerao os requisitos locais das Entidades do SNS mas tambm os modelos
de governana e gesto do sistema de informao da sade (eSIS) em vigor.

Podem-se agrupar as alteraes do RGPD em cinco vetores de mudana principais:

1. Governana
dos Dados

5. Poder
2. Consentimento
Sancionrio NOVO
QUADRO
LEGAL

3. Direitos
4. Segurana
dos Titulares

1. Governana dos Dados

O RGPD estabelece que todas as Organizaes devem implementar um conjunto

alargado de medidas com vista a reduzir o risco de incumprimento das regras de
privacidade e proteo de dados pessoais, demonstrando, assim, o seu compromisso
relativamente a estas matrias e comprovando, sempre que solicitado, o cumprimento
das regras aplicveis.

Na prtica, tal deve traduzir-se, designadamente, nas seguintes medidas:

(a) Implementao dos conceitos de privacy by design

e privacy by default
As Entidades integrantes do SNS devem respeitar, em todas as operaes e
projetos, os princpios de:
(i) Privacy by design (privacidade desde a conceo) o que significa que a
preocupao do risco de privacidade deve estar presente em todo o processo de
conceo ou contratao de um novo produto, servio ou projeto (por exemplo na
implementao de procedimentos adequados desde o incio) para garantir que o
tratamento est em conformidade com o RGPD e protege os direitos dos titulares
dos dados em causa;

23
 (ii) Privacy by default (privacidade por defeito) o que implica que as Entidades
devem assegurar que so colocados em prtica, dentro da sua Organizao,
mecanismos para garantir que, por defeito, apenas a quantidade necessria de
dados pessoais recolhida, utilizada e conservada para cada tarefa, tanto em
termos da quantidade de dados recolhidos, como do tempo pelo qual eles so
mantidos (minimizao, pseudonimizao e transparncia).

(b) Realizao de privacy impact assessment e consulta

prvia CNPD
Antes do incio de qualquer operao de tratamento de dados, e sempre que a
mesma seja considerada de risco, as Entidades integrantes do SNS devem realizar
uma avaliao de impacto de tais operaes sobre a proteo de dados pessoais
(privacy impact assessment PIA).

Atravs do PIA, as Entidades integrantes do SNS avaliam e identificam os riscos

de determinada operao para a proteo de dados, por forma a, por um lado,
antecipar eventuais constrangimentos e, por outro lado, permitir a adoo de
medidas que enderecem, minimizem ou eliminem os riscos identificados.

O RGPD prev que a CNPD elabore e torne pblica uma lista dos tipos de operaes
de tratamento sujeitos ao requisito de realizao de PIAs.

Em relao aos tratamentos de dados considerados de risco e que a avaliao

efetuada determine que existem riscos especficos em matria de dados pessoais,
as Entidades integrantes do SNS devero consultar a CNPD, de forma a garantir
o cumprimento das disposies do RGPD. Tanto a avaliao de impacto como a
consulta prvia da CNPD devem cumprir determinados requisitos e incluir certas
informaes e aes mnimas previstas no RGPD.

Ainda que se tenha que aguardar pela emisso de orientaes especficas nesta
matria, ser expectvel que, entre outras, sejam consideradas de risco, por
exemplo, as operaes que envolvam o tratamento de dados de sade ou dados
genticos e que utilizem novas tecnologias.

(c) Designao de Data Privacy Officer

As Entidades integrantes do SNS, enquanto organismo pblico, passam a estar
obrigadas a designar um encarregado da proteo de dados (Data Privacy Officer),
que passar a ser o contacto preferencial junto da CNPD, dos titulares dos dados e
a centralizar todas as questes de proteo de dados pessoais.

24
 14
De entre as suas vrias responsabilidades , destaca-se a monitorizao do
cumprimento das regras de proteo de dados pessoais, a gesto e registo de toda
a documentao relevante, assim como o acompanhamento regular dos projetos
que tenham um impacto na privacidade.

O Data Privacy Officer poder ser um recurso interno da Instituio pblica ou

externo, exercendo as suas funes com base num contrato/acordo de prestao
de servios em qualquer uma das opes necessrio ter formao e experincia
adequadas.

(d) Realizao de auditorias de conformidade e adoo

de polticas
O RGPD prev, como analisado, que as Entidades integrantes do SNS adotem
as medidas organizativas adequadas para assegurar e poder comprovar que o
tratamento de dados realizado em conformidade com as regras de proteo de
dados pessoais. Tais medidas podem incluir a realizao de auditorias, a elaborao
e implementao de polticas e procedimentos internos, a serem veiculados por
toda a Organizao.

(e) Registo das atividades de tratamento

As Entidades integrantes do SNS so obrigadas a conservar um registo de todas as
atividades de tratamento sob a sua responsabilidade, que inclua, designadamente,
a seguinte informao: tipo de dados tratados, finalidades, descrio das categorias
de titulares dos dados e destinatrios dos mesmos, medidas de segurana e prazo
de conservao. Da mesma forma, os subcontratantes (neste caso, os prestadores
de servios) devero conservar um registo de todas as atividades de tratamento
realizadas em nome das Entidadesintegrantes do SNS.

Ou seja, o registo interno dever replicar a informao que, pelo menos atualmente,
deve constar dos pedidos de notificao e autorizao submetidos CNPD.

(f) Maior responsabilizao na escolha de entidades externas

O RGPD cria uma maior responsabilizao das Entidades integrantes do SNS
na escolha e atividade dos subcontratantes, sendo impostas obrigaes claras e
precisas nesta matria.

14 O RGPD estabelece em maior detalhe as funes mnimas do Data Privacy Officer.

25
 Esta maior responsabilizao conjugada com a sujeio dos subcontratantes
aos termos do RGPD. Isto , pela primeira vez os subcontratantes so regulados
diretamente, passando a estar sujeitos a uma srie de obrigaes e tambm
sanes at agora apenas impostas aos responsveis pelo tratamento.

O RGPD clarifica a posio do subcontratante, adicionando alguns elementos

novos, como sendo o facto de, se o subcontratante tratar dados para alm das
instrues do responsvel pelo tratamento, passar a ser considerado como um
corresponsvel.

Relativamente relao entre responsvel e subcontratante, mantm-se a

obrigao de celebrao de um contrato ou documento escrito que regule a relao
contratual e os termos do tratamento.

O subcontratante passa a assumir mais responsabilidades diretas, recaindo sobre

ele um conjunto de obrigaes.

(g) Cdigos de conduta e certificao

Prev-se a possibilidade de elaborao, nomeadamente por autoridades de
controlo, de cdigos de conduta destinados a contribuir para a correta aplicao
do RGPD.

Reconhece-se ainda a possibilidade de estabelecer procedimentos de certificao

de conformidade de proteo de dados, bem como selos ou marcas de garantia de
proteo de dados. A certificao voluntria e pode ser emitida por um perodo
mximo de 3 anos renovvel nas mesmas condies , por um organismo de
certificao ou pela autoridade de controlo competente.

As Entidades integrantes do SNS podero ponderar a adoo de um cdigo

de conduta aprovado nos termos do RGPD, designadamente como forma de
demonstrar o cumprimento do mesmo. Podero, igualmente, ponderar obter uma
15
certificao em matria de proteo de dados, bem como um selo ou marca , de
forma a comprovar e publicitar junto dos utentes a conformidade das operaes
de tratamento de dados que efetua com o RGPD.

A certificao prevista no RGPD no diminui a responsabilidade dos responsveis

pelo tratamento e subcontratantes pelo cumprimento do mesmo, nem prejudica as
funes e competncias das autoridades de controlo competentes.

15Existem j diversas Entidades certificadas no mercado que, aps um processo de avaliao rigoroso das atividades
de uma organizao ou de um determinado projeto, atribuem um selo ou marca de conformidade com a legislao
europeia em privacidade e proteo de dados pessoais.

26
 2. Consentimento

O RGPD vem clarificar as condies que devem ser verificadas para que o consentimento
do titular dos dados seja considerado vlido e, como tal, um fundamento legal para o
tratamento de dados.

Em particular, estabelece-se que cabe ao responsvel pelo tratamento demonstrar

que o titular dos dados deu o seu consentimento (livre, especfico, informado e agora,
tambm, explcito) e que, caso o consentimento seja dado por escrito num documento
que diga tambm respeito a outros assuntos, este dever estar devidamente destacado
(de modo inteligvel, numa linguagem clara e de fcil acesso) dos outros aspetos
regulados no documento.

No sendo admitidos consentimentos implcitos (por exemplo, por aceder e navegar

simplesmente num site/portal ou no responder a um pedido), as Entidades integrantes
do SNS devem rever os mecanismos de pedido de consentimento online, para o caso
16
da utilizao de cookies .

Prev-se agora expressamente que o titular dos dados tenha o direito de retirar o seu
consentimento a qualquer momento (o que no afeta a licitude do tratamento feito at
ao momento), devendo ser to fcil de retirar quanto de dar direito ao esquecimento.

Em relao ao tratamento de dados sensveis, no foram introduzidas alteraes

especficas quanto obteno do consentimento. O RGPD menciona tambm o
tratamento de categorias especiais de dados pessoais (como os dados relativos sade),
designadamente, se o tratamento for necessrio para efeitos de medicina preventiva,
para o diagnstico mdico, a prestao de cuidados ou tratamentos de sade ou de
ao social ou a gesto de sistemas e servios de sade ou de ao social.

Estes dados podem ser tratados para os fins acima referidos, contanto que sejam tratados
por ou sob a responsabilidade de um profissional sujeito obrigao de sigilo profissional,
ou por outra pessoa igualmente sujeita a uma obrigao de confidencialidade.

Sem prejuzo do referido, prev-se que os Estados-Membros possam manter ou

impor novas condies, incluindo limitaes, no que respeita ao tratamento de dados
genticos, dados biomtricos ou dados relativos sade.

16 Espera-se tambm que a Diretiva e-Privacy e, por conseguinte, a Lei n. 41/2004, de 18 de agosto (alterada pela Lei
n. 46/2012, de 29 de agosto), venha a sofrer alteraes de forma a ser compatibilizada com o RGPD.

27
 3. Direitos dos Titulares dos Dados

(a) Reforo do direito de informao e de acesso dos titulares

dos dados
So, desde logo, reforados os direitos dos titulares dos dados. Em especial, so
estabelecidos requisitos mais exigentes aplicveis informao a prestar ao titular
dos dados, entre os quais a obrigao dos responsveis pelo tratamento dos dados
disponibilizarem mais informaes, de forma mais transparente e acessvel.

Devero, ainda, ser adotados mecanismos que permitam agilizar o exerccio dos
direitos dos titulares dos dados (incluindo meios para pedidos eletrnicos e de
resposta aos titulares num determinado prazo).

Uma das novidades do RGPD a consagrao do direito de informao dos

titulares dos dados em relao aos destinatrios dos dados (i.e., o titular dos dados
tem o direito de ser informado sobre quem ir tratar de facto os seus dados e/ou a
quem sero transmitidos).

Para alm do contedo atual das informaes a prestar, as Entidades integrantes

do SNS devero passar a prestar informao adicional (como o fundamento jurdico
para o tratamento, o prazo de conservao dos dados e o direito de apresentao de
reclamaes s autoridades competentes tais como a CNPD). So ainda previstas
obrigaes especficas de informao sempre que as Entidades integrantes do
SNS tenham recebido os dados pessoais de terceiros e no tenham sido recolhidos
diretamente junto do respetivo titular.

Na mesma linha, e em relao ao direito de acesso aos dados, as Entidades

integrantes do SNS devero dar resposta a um pedido de acesso do titular dos
dados ou fornecer-lhe as informaes sobre as medidas tomadas relativamente
aos seus dados pessoais sem demora injustificada e no prazo de um ms a contar
da data de receo do pedido.

(b) Garantia dos direitos de apagamento dos dados, limitao do

tratamento e portabilidade
O RGPD introduz tambm novos direitos:
(i) O direito a ser esquecido (the right to be forgotten) que implicar que, perante
um pedido de eliminao de dados e desde que se verifiquem as condies
previstas no RGPD, as Entidades integrantes do SNS devam adotar mecanismos
que assegurem que todos os dados foram efetivamente eliminados (incluindo
17
cpias ou reprodues dos mesmos) ;

28
 (ii) O direito limitao do tratamento que prev que o titular dos dados possa
opor-se ao apagamento dos seus dados pessoais e solicitar, em contrapartida, a
18
limitao do tratamento dos seus dados . Nesta tica, as Entidades integrantes do
SNS devero comunicar a cada destinatrio a quem os dados pessoais tenham
sido transmitidos e qualquer limitao do tratamento que tenham efetuado;
(iii) O direito portabilidade dos dados passando o titular dos dados a ter direito:
A receber os dados pessoais que lhe digam respeito e que tenha fornecido s
Entidades integrantes do SNS, num formato estruturado, de uso corrente e de
leitura automtica;
Se o tratamento for realizado por meios automatizados, a transmitir esses dados a
outro responsvel pelo tratamento. A transmisso deve ocorrer diretamente de um
sistema de processamento eletrnico de um responsvel para outro, sempre que
tal seja tecnicamente possvel.

4. Segurana

(a) Reforo das medidas de segurana dos dados

O RGPD d um enfoque especial ao tema da segurana no tratamento dos dados,
prevendo uma responsabilidade conjunta do responsvel pelo tratamento e do
subcontratante na adoo das medidas de segurana necessrias para proteger
os dados pessoais contra acessos indevidos.

Prevem-se que sejam adotadas medidas tcnicas e organizativas que permitam

assegurar um nvel de segurana adequado ao risco existente consoante o que for
adequado em cada caso:
19
(i) A pseudonimizao e a encriptao dos dados pessoais;
(ii) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e
resilincia permanentes dos sistemas e dos servios de tratamento;

17Este direito afastado na medida em que o tratamento se revele necessrio por motivos de interesse pblico no
domnio da sade pblica, nos termos previstos no RGPD.
18Esta operao definida pelo RGPD como a insero de uma marca nos dados pessoais conservados com o
objetivo de limitar o seu tratamento no futuro.
19Tratamento de dados pessoais de forma a que deixem de poder ser atribudos a um titular de dados especfico sem
recorrer a informaes suplementares, desde que essas informaes suplementares sejam mantidas separadamente
e sujeitas a medidas tcnicas e organizativas para assegurar que os dados pessoais no possam ser atribudos a uma
pessoa singular identificada ou identificvel.

29
 (iii) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais
de forma atempada no caso de um incidente fsico ou tcnico;
(iv) Um processo para testar, apreciar e avaliar regularmente a eficcia das medidas
tcnicas e organizativas para garantir a segurana do tratamento.

(b) Notificao de violaes de dados pessoais e de incidentes

de segurana
Consagra-se a obrigao de notificao de violaes de dados pessoais (data
breaches) CNPD, a menos que a violao dos dados pessoais no seja suscetvel
de resultar num risco para os direitos e liberdades das pessoas singulares (o que
ter de ser analisado caso a caso).

As Entidades integrantes do SNS devem proceder notificao da violao de

dados pessoais, sem demora injustificada e, sempre que possvel, at 72 horas aps
terem tido conhecimento da mesma. Todas as violaes ocorridas e informao
relativa s mesmas devem ser documentadas pelas Entidades integrantes do SNS,
de forma a permitir verificar perante a CNPD o cumprimento das regras previstas
no RGPD.

Adicionalmente, caso a violao de dados pessoais possa afetar negativamente

a privacidade do titular dos dados (i.e., for suscetvel de implicar um elevado risco
para os direitos e liberdades das pessoas singulares), as Entidades integrantes do
SNS devero tambm notificar os titulares dos dados.

ainda de referir a Diretiva SRI, que impe um nvel de segurana mnimo

para as tecnologias, redes e servios digitais, prevendo ainda a obrigatoriedade,
nomeadamente para Entidades como as do sector da sade, de comunicar a
ocorrncia de incidentes com impacto significativo na segurana das redes e dos
sistemas de informao.

5. Reforo dos poderes das autoridades

e aumento do valor das coimas

Em geral, o RGPD trar um reforo dos recursos e dos poderes de fiscalizao das
autoridades nacionais de proteo de dados em Portugal, da CNPD.

A par do reforo dos poderes das autoridades reguladoras, o RGPD estabelece sanes
consideravelmente mais gravosas do que o atual quadro legal, podendo ascender os
20 milhes de Euros (por exemplo, por incumprimento das regras de consentimento).

30
Os Estados-Membros podem ainda prever normas que permitam determinar se e em
que medida as coimas podem ser aplicadas s autoridades e organismos pblicos
estabelecidos no seu territrio.

Para alm da aplicao de coimas, os Estados-Membros podero igualmente estabelecer

20
outras sanes aplicveis em caso de violao do RGPD .

Assim, considerando as regras de tratamento de dados pessoais atualmente em vigor

e analisadas no Captulo IV., bem como as novas regras introduzidas pelo RGPD, as
Entidades integrantes do SNS devero, j a partir de maio de 2018, cumprir com uma
panplia de obrigaes aplicveis aos tratamentos de dados que levam a cabo o mbito
da sua atividade.

20 Atualmente encontram-se previstas na LPDP a possibilidade de aplicao das seguintes sanes acessrias, as
quais possvel que transitem para o novo quadro legal: (i) a proibio temporria ou definitiva do tratamento, o
bloqueio, o apagamento ou a destruio total ou parcial dos dados, (ii) a publicidade da sentena condenatria, ou (iii)
a advertncia ou censura pblicas do responsvel pelo tratamento.

31
Resumo das Obrigaes
a cumprir pelas Entidades:

Tratar os dados recolhidos para finalidades determinadas,

explcitas e legtimas

Implementar os princpios de privacy by design e o privacy by default

Prestar informao aos titulares dos dados

Obter o consentimento dos titulares para finalidades de tratamento

especficas

Garantir os direitos de acesso, retificao, apagamento e oposio

Assegurar os direitos de apagamento, limitao do tratamento

e portabilidade dos dados

Implementar as adequadas medidas de segurana

Conservar os dados apenas pelo perodo necessrio

Efetuar registos das atividades de tratamento de dados

Realizar privacy impact assessments

Designar o Data Privacy Officer

Notificar violaes de dados e de incidentes de segurana

Celebrar contratos escritos com os prestadores de servios

Pedir, nos casos aplicveis, consulta prvia CNPD para

os tratamentos de dados

Realizar auditorias de conformidade e adotar polticas

Adoo de cuidados na escolha de prestadores de servios

Como resulta dos Captulos anteriores, o RGPD e a Diretiva SRI, assim

como os desafios decorrentes da transformao digital, tero um impacto
na forma como as Entidades integrantes do SNS tratam os dados pessoais.
Este impacto revela-se nos tratamentos atuais e futuros, a diferentes nveis:

32
Algumas boas prticas.
Como estar preparado?
Governance das matrias Maior responsabilizao das Entidades na verificao
do cumprimento do RGPD e da existncia de
de dados pessoais documentao que evidencie tal cumprimento

Reforo das medidas de segurana e da

Sistemas de Informao interoperabilidade dos sistemas

Maior responsabilizao na escolha de terceiros e

Relacionamento com necessidade de celebrao de contratos com contedos
especficos (v.g. limitao do tratamento execuo
terceiros e prestadores do contrato e respeito pelas instrues do responsvel,
de servios indicao das medidas de segurana, entre outros
aspetos) como?

Gesto de recursos Formao e sensibilizao de todos aqueles que

humanos intervm no ciclo de vida do tratamento de dados

Gesto da relao Reforo do direito dos titulares dos dados e a

capacidade da organizao em garantir o seu
com utentes cumprimento

Documentao de evidncias do cumprimento do

Relao com a CNPD RGPD e interao em caso de ocorrncia de violaes
de dados pessoais

Com isto, e com vista a responder aos desafios decorrentes, existe um conjunto de boas
prticas que devero ser implementadas pelas Entidades pblicas integrantes do SNS
at 25 de maio de 2018.

De seguida, sero detalhadas algumas boas prticas e aes especificamente dirigidas

aos diferentes perfis de intervenientes (gestores hospitalares, profissionais de sade e
profissionais de tecnologias de informao) e de Entidades (SPMS, hospitais, centros
hospitalares, centros de sade e PPPs).

33
 GESTORES HOSPITALARES

Tendo em considerao o prazo de implementao do RGPD, os gestores hospitalares

devem, at 25 de maio de 2018, garantir que o tratamento de dados pessoais efetuado
em consonncia com as novas regras.

Assim, existem algumas boas prticas que podero ser adotadas:

Equipa Afeta
implementao do RGPD
Os primeiros passos devero ser o alinhamento da estratgia da Entidade com a
estratgia global do sistema de informao da sade bem como com o ENESIS
2020. Dever ainda assegurar-se a constituio de uma equipa de projeto temporria
responsvel pelo acompanhamento e garantia da implementao dos requisitos da
RGPD. A equipa dever ser multidisciplinar, de forma a cobrir todas as variantes desde
logo, com elementos do departamento jurdico, do departamento de recursos humanos,
da direo de compras, da rea mdica, e do IT. Ser essencial que o DPO integre,
naturalmente, esta equipa e coordene os trabalhos de implementao do RGPD na
Entidade.
Esta equipa dever efetuar um levantamento do tratamento de dados existentes,
identificando aspetos como, at data, os dados esto a ser tratados, para que,
posteriormente, se possam identificar as reas que carecem de alterao de forma a
assegurar o cumprimento do RGPD.

No final do projeto de implementao do RGPD as responsabilidades pela monitorizao

das prticas e controlos relacionadas devero ser integrados nas estruturas transversais
do eSIS e estruturas organizacionais da Instituio.

Governana
Tendo em considerao as obrigaes que impendem sobre as Entidades integrantes
do SNS, essencial que, dentro de cada Entidade e em alinhamento com os modelos
de governana e gesto do sistema de informao da sade e do eSIS, se defina a
estrutura de governana da proteo de dados pessoais e se identifique um DPO. O
DPO ser responsvel pelo acompanhamento dos temas de proteo de dados dentro
de cada Entidade.

Uma maior responsabilizao implica necessariamente um maior acompanhamento

destas matrias.

34
 Consciencializao e Sensibilizao

fundamental que todos as partes interessadas do SNS estejam conscientes e sensveis

para a necessidade de cumprir o RGPD, pelo que dever existir um compromisso de
todas as Entidades para o tema, devendo ser passada essa mensagem para todo o
sistema de informao da sade.

Assim, a formao interna e sensibilizao de todos os trabalhadores e colaboradores

para os temas de proteo de dados pessoais essencial para garantir um conhecimento
das regras e princpios que devero ser seguidos na recolha e tratamento de dados
pessoais e, consequentemente, assegurar o cumprimento dos requisitos decorrentes
do RGPD.

Processos e Procedimentos

A mudana de paradigma introduzida pelo RGPD implica uma maior responsabilizao das
Entidades integrantes do SNS, pelo que ser fundamental adaptar e/ou criar processos
e procedimentos internos que evidenciem o cumprimento das novas disposies legais.
A partilha de boas prticas entre as Entidades do sistema de informao da sade ser
uma mais valia para a garantia de um ambiente de controlo adequado em todo o SNS.

Desde logo, os processos e procedimentos internos devem especificar a necessidade

de realizao de avaliaes de risco (PIA) pelo DPO, assim como a incluso dos temas
de proteo de dados em toda a cadeia de atividade da Entidade. O cumprimento destes
requisitos dever ser assegurado pelo DPO.

Os processos devero ainda incluir regras sobre a criao de ficheiros e bases prprias
pelos colaboradores e prestadores de servios, estipulando, nomeadamente, que no
devero ser criados ficheiros que repliquem a informalo constante das bases de
dados e aplicaes em utilizao na Entidade integrante do SNS.

Relaes com Terceiros

Dever ser assegurado que qualquer contratao de terceiros que, no mbito da prestao
de servios, tenham acesso a dados pessoais da responsabilidade da Entidade, dever
ser precedida de uma anlise das garantias de cumprimento da legislao de proteo
de dados pessoais e da implementao de medidas de segurana por parte de tais
terceiros.

Os contratos a celebrar com estas entidades devero, assim, incluir clusulas especficas
de proteo de dados que, desde logo, limitem o tratamento dos dados execuo do
contrato e s instrues da Entidade.

35
 Estratgia de Comunicao

Tendo em considerao a maior visibilidade que um incidente de segurana e uma violao

de dados pessoais ter, essencial definir, de antemo, uma estratgia de comunicao
com as autoridades e os utentes. A comunicao dever ser adaptada aos interlocutores
e, naturalmente, s situaes em causa i.e. depender do tipo de incidente/violao, do
nmero de registos afetados e da natureza dos dados em causa.

Toda a comunicao externa, nomeadamente de incidentes de segurana e privacidade,

dever ser realizada de acordo com os procedimentos em vigor no sistema de informao
da sade.

Polticas e Condutas
de Cdigos Internos

A definio de regras internas, veiculadas em polticas e cdigos de conduta, revela-se

um instrumento adequado para, por um lado, assegurar a consciencializao de todos
os colaboradores para os temas da privacidade e proteo de dados, e, por outro lado,
responsabilizar em caso de incumprimento.

36
 PROFISSIONAIS DE SADE

Os profissionais de sade so um importante elemento no ciclo de vida do tratamento

de dados dos utentes, na medida em que, em regra, sero estes que recolhem e tratam
dados de sade.

Os profissionais de sade devero, assim, adotar um conjunto de procedimentos e

cautelas na forma como manuseiam os dados, de forma a garantir a confidencialidade
dos dados e, consequentemente, evitar falhas de segurana e acessos no autorizados
aos mesmos.

Destacam-se as seguintes:

Recolha de Consentimento
e Prestao de Informao

Os profissionais de sade devero observar, no momento da recolha de dados pessoais,

o princpio da minimizao i.e. dever assegurar-se que apenas so recolhidos os
dados pessoais que so estritamente necessrios para o ato em questo.

Acresce que, na medida em que so estes profissionais que contactaro diretamente

com os utentes, dever ser sempre garantida a prestao de informao acerca dos
termos em que os dados pessoais iro ser utilizados.

A informao a prestar deve incluir os seguintes elementos:

Entidade e contactos do responsvel pelo tratamento (e seu representante);
Contactos do encarregado da proteo de dados (DPO);
Finalidades e fundamento do tratamento;
Se o tratamento for necessrio para prosseguir interesses legtimos, estes devem
estar referidos;
Eventuais destinatrios dos dados;
Transferncia internacionais de dados e informaes a esse respeito (se aplicvel);
Prazo de conservao dos dados;
Possibilidade de o titular retirar o consentimento;
Direito a apresentar reclamao perante a Autoridade de Proteo de Dados
(CNPD);

37
 Se o titular est ou no obrigado a fornecer os dados, e consequncias do no
fornecimento;
Existncia de decises automatizadas (i.e. indicao se o titular dos dados fica
sujeito a qualquer deciso tomada exclusivamente com base no tratamento
automatizado dos seus dados).

Dever ainda ser obtido o consentimento para o tratamento dos dados, exceto nas
situaes previstas no RGPD (nomeadamente, para proteo de interesses vitais do
titular). No caso de menores, o consentimento dever ser prestado pelos titulares das
responsabilidades parentais do menor.

Idealmente, deve ser obtido um consentimento escrito e armazenada evidncia de tal

documento. Caso no seja possvel, o profissional dever registar no registo clnico do
utente que recolheu o seu consentimento e prestou informao, incluindo a data em que
o fez.

Acesso aos Sistemas

de Informao/Plataformas

Os profissionais de sade devem garantir o acesso reservado aos sistemas de

informao e plataformas nos quais so registados dados de sade dos utentes.

Os profissionais de sade devem ainda abster-se de duplicar as bases de dados da

responsabilidade da Entidade integrante do SNS, criando, por exemplo, ficheiros
prprios com a informao da base de dados/aplicao a que acede.

Registo e Acesso
Informao Clnica

O registo da informao clnica dos utentes deve ser efetuado, diretamente, pelo
profissional da rea de sade. Apenas devem ser recolhidos e, consequentemente,
registados os dados estritamente necessrios para assegurar a prestao de cuidados
mdicos.

O registo deve ser efetuado nas aplicaes e sistemas aprovados no contexto do eSIS,
no devendo, assim, ser registados quaisquer dados em dispositivos ou equipamentos
da propriedade do profissional e/ou no aprovados.

O profissional de sade dever apenas aceder informao clnica do utente, constante

do Resumo Clinico nico ou outro, na medida em que tal seja necessrio para a
prossecuo das suas funes.

38
 Partilha da Informao Clnica

A informao clnica no deve ser partilhada com terceiros, exceto para assegurar a
continuidade da prestao de cuidados de sade. Nessa situao, o profissional deve
garantir que a partilha efetuada, de forma segura e confidencial, a outro profissional
sujeito obrigao de confidencialidade e sigilo e que se tem todos os cuidados com
esta partilha de informao.

Transporte da Informao Clnica

Os profissionais de sade devem abster-se de, de alguma forma, transportar informao
clnica constante do Resumo Clnico nico ou outro, para fora do servio e do hospital
ou centro de sade, exceto nos casos autorizados pelos responsveis da Instituio e
para efeitos de garantia da continuidade da prestao de cuidados mdios.

Sempre que tal suceda, devero ser adotadas medidas de segurana especiais, de
forma a assegurar que a informao no acedida por terceiros de forma indevida (em
particular, a informao dever ser anonimizada e/ou encriptada).

Utilizao de Dispositivos Pessoais

O profissional da rea da sade no deve utilizar ou, de alguma forma, ligar dispositivos
pessoais aos sistemas e plataformas da Instituio do SNS, exceto nos casos em que
exista aprovao prvia dos responsveis da Instituio.

Caso tal suceda, e atenta natureza da informao, o profissional deve ter em

considerao que o acesso rede atravs de dispositivos mveis pessoais acarreta
riscos de segurana e confidencialidade, pelo que deve adotar as medidas de segurana
necessrias para proteger os dados a que aceda, atravs do seu dispositivo, contra a
destruio, acidental ou ilcita, a perda acidental, a alterao, a difuso ou o acesso no
autorizado, bem como contra qualquer outra forma de tratamento ilcito dos mesmos.

Deve ainda, em qualquer situao, manter a informao confidencial em regime de

sigilo e estrita confidencialidade, no permitindo o acesso a terceiros.

39
 Utilizao dos Dados
para Finalidades Prprias
O profissional da rea da sade no pode tratar os dados recolhidos no mbito da
prestao de cuidados de sade para finalidades prprias. Caso pretenda utilizar
os dados para fins acadmicos ou de investigao, dever obter a aprovao dos
responsveis da Instituio do SNS, devendo recolher o consentimento do utente para
o efeito, prestando-lhe a informao necessria acerca dos termos em que os dados
iro ser utilizados.

Nesta situao, o profissional ser considerado responsvel pelo tratamento dos dados.

Comunicao de Violaes
de Dados Pessoais

Caso ocorra qualquer falha ou incidente que envolva dados pessoais, os profissionais
de sade devero comunicar de imediato ao responsvel de Proteo de Dados (DPO),
de acordo com os procedimentos estabelecidos para o efeito.

Na medida em que tenham informao acerca do incidente, devero disponibiliz-la

aquando da comunicao. Em particular, devero comunicar a natureza da violao dos
dados pessoais incluindo, se possvel, as categorias e o nmero aproximado de titulares
de dados afetados, bem como as categorias e o nmero aproximado de registos de
dados pessoais em causa.

40
 PROFISSIONAIS TIC

O RGPD poder ter um impacto acentuado ao nvel dos sistemas de informao das
Organizaes.

De facto, e uma vez que as atividades de tratamento de dados pessoais conduzidas

pelas Entidades integrantes do SNS assentam fundamentalmente na utilizao de
meios automatizados para o processamento de dados, essencial que estes estejam
preparados para assegurar o cumprimento das novas regras de privacidade e proteo
de dados.
Por este motivo, recomenda-se que se avalie se os sistemas de informao utilizados
(i) cumprem todos os requisitos decorrentes das obrigaes que recairo sobre
as Entidades integrantes do SNS e, caso tal no suceda, (ii) identificar as medidas
necessrias para garantir tal cumprimento.

Note-se que, atendendo ao impacto transversal dos sistemas de informao, a

avaliao deve ser conduzida de forma global e integrada entre todas as reas/servios,
estabelecimentos e, em geral, todas as Entidades do SNS que integram o eSIS.

Assim, devem ser levadas a cabo as seguintes medidas:

Mapeamento dos Sistemas

e Aplicaes em Utilizao

Dever ser efetuado um levantamento de todos os sistemas e aplicaes nas quais

sejam registados dados pessoais, com identificao das respetivas funcionalidades,
nveis de acesso e medidas de segurana implementadas.

Verificao das Ferramentas

de Rastreabilidade

Dever ser verificado se existem ferramentas que permitam a rastreabilidade de acesso,

insero, alterao e eliminao de dados (logs) e, em caso afirmativo, se tal ferramenta
se encontra implementada para todos os sistemas e/ou aplicaes.

41
 Avaliaes de Risco
e Vulnerabilidade

Por forma a avaliar se os sistemas e/ou aplicaes so robustos e, consequentemente,

so adequados a assegurar o cumprimento das novas obrigaes decorrentes do
RGPD e Diretiva SRI, devem ser realizadas avaliaes de risco (PIA), efetuados testes
de penetrao e simulao de ataques.

Adaptao dos Sistemas ao RGDP

Dever ser assegurado que os sistemas e aplicaes permitem, desde logo, as seguintes
funcionalidades:
Portabilidade dos dados;
Interoperabilidade;
Anonimizao, pseudonimizao e encriptao;
Segurana dos dados;
O acesso, retificao e apagamento dos dados;
Sistemas de alerta em caso de incidente de segurana;
Registo de operaes de tratamento;
Auditorias;
Rastreabilidade dos dados comunicados a terceiros;
Controlo de acessos.

Controlo de Qualidade e Melhoria Contnua

No mbito dos processos internos de garantia de qualidade e melhoria contnua, deve

ser dado especial enfoque segurana da informao.

42
 Partilha de Informao de Segurana

Por forma a criar maior awareness, devero ser partilhadas informaes e dicas de
segurana da informao por todos os intervenientes no ciclo de vida do tratamento de
dados pessoais, ou de uma forma mais alargada por todas as Entidades integrantes do
eSIS.

Mecanismos de Alerta

Os sistemas e aplicaes devero ser implementados, de forma a serem gerados

alertas em caso de vulnerabilidade e/ou ocorrncia de violaes de segurana. Estes
mecanismos permitiro, aos responsveis pelos sistemas de informao, identificar o
incidente e por em prtica as medidas necessrias de forma a minimizar os riscos para
a privacidade.

43
 ENTIDADES DO SERVIO
NACIONAL DE SADE

As Entidades do Servio Nacional de Sade, tais como a SPMS, a ACSS e a DGS,

desenvolvem projetos que tm, necessariamente, um impacto em matria de segurana,
privacidade e proteo de dados pessoais.

De facto, nas diferentes reas de atuao das Entidades do Servio Nacional de Sade,
so recolhidos e tratados dados pessoais no s da respponsabilidade das Entidades do
Servio Naiconal de Sade (i.e., dados pessoais que a entidade trata em nome prprio,
determinando as finalidades e termos do tratamento), mas tambm dados a que acede
no mbito da prestao de servios a terceiros (, desde logo, o caso do tratamento de
dados no mbito dos servios e da implementao de plataformas disponibilizadas s
Entidades integrantes do SNS).

Desde o desenvolvimento de plataformas de partilha de informao acessvel a utentes

e profissionais de sade, ao desenho de apps, passando por produtos de faturao
hospitalar s seguradoras, processamento de salrios de todas as Entidades pblicas
integrantes do SNS, a atividade das Entidades do Servio Nacional de Sade dever
passar a ter em considerao as disposies do RGPD e, consequentemente, adaptar
os seus processos e procedimentos internos de forma a assegurar o seu cumprimento.

Produtos (Exemplificativo)

44
Destacam-se, em particular, algumas aes
a desencadear pelas Entidades do Servio
Nacional de Sade em diferentes vertentes:
GOVERNANCE PROCESSOS
Nomeao de um DPO Registos das atividades
Nomeao de de tratamento de dados
Equipa Interna de da sua responsabilidade
Implementao do ou de terceiros, quando
RGPD a SPMS atue como
entidade subcontratante
Definio de regras
de comunicao de Incluso da privacidade
questes de segurana, no momento zero do
privacidade e proteo desenvolvimento de
de dados pessoais produtos e servios e
adaptao s novas
Divulgao Interna regras do RGPD
das novas regras e
formao Definio de todos os intervenientes
procedimentos
aplicveis elaborao recolha e tratamento
de PIAs
Incluso de clusulas
de proteo de
dados nos contratos
a celebrar, em
consonncia com o
RGPD
Definio de processos
aplicveis relao fornecimentos s
com as autoridades
(CNPD) e com terceiros
45
SEGURANA DIREITOS
Implementao de Desenho de produtos
medidas internas e e servios de forma
definio de regras recolher a menor
aplicveis recolha e quantidade possvel de
tratamento dos dados dados pessoais
pessoais e notificao
de violaes de dados Implementao de
pessoais e incidentes medidas internas de
de segurana, forma a assegurar os
identificando as direitos dos titulares
responsabilidades, dos dados, incluindo
prazos e reportes a prestao de
informao, recolha
Responsabilizao de de consentimento,
direitos de acesso,
nos processos de retificao, eliminao e
portabilidade dos dados
de dados, atravs
de aes de
consciencializao
Incluso de requisitos
de segurana,
privacidade e proteo
de dados nos
concursos a lanar para
prestao de servios/
Entidades
Realizao de controlos
e auditorias a terceiros
que tenham acesso
a dados pessoais da
responsabilidade das
Entidades, de forma a
aferir do cumprimento
do RGPD
Definio de regras
internas de controlo de
acessos
 ENTIDADES DE SADE
HOSPITAIS E CENTROS DE SADE

As Entidades de sade (Hospitais e centros de sade), independentemente da sua

designao e natureza jurdica, tratam, no seu dia-a-dia, um conjunto considervel de
dados pessoais, incluindo dados de sade e informao clnica de utentes.

Nessa medida, atuam como Entidades responsveis, para efeitos da LPDP e do futuro
RGPD, recaindo sobre as Entidades de sade as obrigaes identificadas neste Guia.

De forma a permitir s Entidades de sade responderem, com sucesso, aos desafios

do RGPD e da Diretiva SRI, identificam-se algumas boas prticas a adotar (s quais
acrescem as aes e boas prticas identificadas anteriormente para os gestores
hospitalares, profissionais de sade e tcnicos TIC).

GOVERNANCE PROCESSOS SEGURANA DIREITOS

Nomeao de um DPO Reviso e adaptao
de formulrios de
Nomeao de equipa consentimento, textos
interna de implementao informativos, contratos,
do RGPD regulamentos e manuais
internos luz do RGPD
Definio de regras
de comunicao de Registos das atividades
questes de segurana, de tratamento de dados
privacidade e proteo
de dados pessoais Definio de
procedimentos aplicveis
Divulgao interna das elaborao de PIAs
novas regras e formao
Incluso de clusulas
Mapear as bases de de proteo de dados
dados e aplicaes nos contratos a celebrar,
utilizadas e identificar em consonncia com o
as bases de dados RGPD
em relao s
quais assumem Definio de processos
responsabilidades pelo aplicveis comunicao
tratamento de dados a terceiros
(incluindo SPMS),
de relao com as
autoridades (CNPD) e de
informao aos utentes
Implementao de Implementao de
medidas internas e medidas internas de
definio de regras forma a assegurar os
aplicveis recolha e direitos dos titulares
tratamento dos dados dos dados, incluindo
pessoais e notificao a prestao de
de violaes de dados informao, recolha
pessoais e incidentes de de consentimento,
segurana, identificando direitos de acesso,
as responsabilidades, retificao, eliminao e
prazos e reportes portabilidade dos dados
Responsabilizao de
todos os intervenientes
nos processos de recolha
e tratamento de dados,
atravs de aes de
consciencializao
Incluso de requisitos de
segurana, privacidade
e proteo de dados nos
concursos a lanar para
prestao de servios/
fornecimentos s
Entidades
Definio de regras
internas de controlo de
acessos

46
Existem outras obrigaes e boas prticas que devero ser implementadas num
contexto geogrfico mais global e no local. De facto, e ainda que, em regra, cada
Entidades de sade tenha personalidade jurdica autnoma, recaindo, sobre cada um
deles, todas as obrigaes do RGPD e da Diretiva SRI, existem algumas obrigaes de
cariz organizativo e governana, que poder fazer sentido uma metodologia diferente,
nomeadamente no contexto do eSIS.

o caso do Responsvel de Proteo de Dados (DPO) que, na ausncia de diretrizes

especficas da CNPD (at data), poder ser ponderada a nomeao de um responsvel
global para as Entidades do SNS.

47
 ENTIDADES DE SADE
CENTROS HOSPITALARES

A integrao horizontal da prestao de cuidados de sade levou criao de Centros

Hospitalares, que resultam da fuso de hospitais que integram o SNS. Como Centros
Hospitalares, aglomeram dados pessoais das diferentes Entidades de sade, assumindo-
se, o Centro Hospitalar, como Instituio responsvel pelo tratamento de tais dados.

Na medida em que o volume de dados a tratar ser, em regra, superior ao tratado por
um hospital individualmente considerado, existiro algumas medidas que devero ser
ponderadas pelos Centros Hospitalares, de forma a responder aos desafios do RGPD
e da Diretiva SRI.

Assim, e para alm das aes e boas prticas identificadas anteriormente para os
gestores hospitalares, profissionais de sade e tcnicos TIC, destacam-se, de seguida,
medidas suscetveis de implementao pelos centros hospitalares.

GOVERNANCE PROCESSOS SEGURANA DIREITOS

Nomeao de um DPO Reviso e adaptao
de formulrios de
Nomeao de equipa consentimento, textos
interna de implementao informativos, contratos,
do RGPD regulamentos e manuais
internos luz do RGPD
Definio de regras de
comunicao de questes Registos das atividades de
de segurana, privacidade tratamento de dados
e proteo de dados
pessoais Definio de
procedimentos aplicveis
Divulgao interna das elaborao de PIAs
novas regras e formao
Incluso de clusulas de
Mapear as bases de proteo de dados nos
dados e aplicaes contratos a celebrar, em
utilizadas e identificar consonncia com o RGPD
as bases de dados em
relao s quais assumem Definio de processos
responsabilidades pelo aplicveis comunicao
tratamento de dados a terceiros
(incluindo SPMS), de
relao com as autoridades
(CNPD) e de informao
aos utentes
Implementao de medidas Implementao de
internas e definio de medidas internas de forma
regras aplicveis recolha a assegurar os direitos
e tratamento dos dados dos titulares dos dados,
pessoais e notificao incluindo a prestao de
de violaes de dados informao, recolha de
pessoais e incidentes de consentimento, direitos
segurana, identificando as de acesso, retificao,
responsabilidades, prazos eliminao e portabilidade
e reportes dos dados
Responsabilizao de
todos os intervenientes
nos processos de recolha
e tratamento de dados,
atravs de aes de
consciencializao
Incluso de requisitos de
segurana, privacidade
e proteo de dados nos
concursos a lanar para
prestao de servios/
fornecimentos s
Entidades
Definio de regras
internas de controlo de
acessos

48
 ENTIDADES DE SADE
PARCERIAS PBLICO PRIVADAS

As Entidades de sade geridas em regime de parcerias pblico privadas (PPPs),

integrantes do SNS, devero implementar tambm medidas internas, de forma a
assegurar um cumprimento integral do RGPD.

Sem prejuzo das aes e boas prticas identificadas anteriormente para os gestores
hospitalares, profissionais de sade e tcnicos TIC, destacam-se, de seguida, algumas
medidas a implementar pelas PPPs.

GOVERNANCE PROCESSOS SEGURANA DIREITOS

Nomeao de um DPO Reviso e adaptao Implementao de Implementao de
de formulrios de medidas internas e medidas internas de
Nomeao de consentimento, textos definio de regras forma a assegurar os
equipa interna de informativos, contratos, aplicveis recolha e direitos dos titulares
implementao do regulamentos e tratamento dos dados dos dados, incluindo
RGPD manuais internos luz pessoais e notificao a prestao de
do RGPD de violaes de dados informao, recolha
Definio de regras pessoais e incidentes de consentimento,
de comunicao de Registos das atividades de segurana, direitos de acesso,
questes de segurana, de tratamento de dados identificando as retificao, eliminao e
privacidade e proteo responsabilidades, portabilidade dos dados
de dados pessoais Definio de prazos e reportes
procedimentos
Divulgao interna aplicveis elaborao Responsabilizao de
das novas regras e de PIAs todos os intervenientes
formao nos processos de
Incluso de clusulas recolha e tratamento
Definio de regras de proteo de de dados, atravs
de comunicao de dados nos contratos de aes de
questes relativas a celebrar, em consciencializao
segurana, privacidade consonncia com o
e proteo de dados RGPD Incluso de requisitos
pessoais com o gestor de segurana,
do contrato e com a Definio de privacidade e proteo
ACSS processos aplicveis de dados nos
comunicao de dados concursos a lanar para
Mapear as bases de a terceiros (incluindo prestao de servios/
dados e aplicaes SPMS), de relao com fornecimentos s
utilizadas e identificar as autoridades (CNPD) Entidades
as bases de dados e de informao aos
em relao s utentes Definio de regras
quais assumem internas de controlo de
responsabilidades pelo acessos
tratamento

49
 RESUMO DE RECOMENDAES

VETORES

ENTIDADES GOVERNANCE PROCESSOS SEGURANA DIREITOS

ENTIDADES Nomeao de estrutura Registos das atividades Implementao de medidas Desenho de produtos e
DO SERVIO de governance (DPO) e de tratamento de dados internas e definio de servios de forma recolher a
NACIONAL definio de regras de da sua responsabilidade requisitos de segurana menor quantidade possvel
DE SADE divulgao e comunicao ou de terceiros, bem como e controlo de acessos e de dados pessoais, bem
interna das novas regras do definio e implementao auditoria a terceiros, bem como implementao de
RGPD de processos e como de regras aplicveis medidas internas de forma
procedimentos internos recolha e tratamento a assegurar os direitos dos
de forma a cumprir as dos dados pessoais e titulares dos dados
novas regras do RGPD notificao de violaes de
(desde logo, incluso da dados pessoais e incidentes
privacidade no momento de segurana
zero do desenvolvimento
de produtos e servios e
adaptao s novas regras
do RGPD)

HOSPITAIS Nomeao de estrutura Reviso e adaptao de Implementao de medidas Implementao de medidas

E CENTROS de governance (DPO) e documentos com impacto na internas e definio de internas de forma a
DE SADE definio de regras de proteo de dados luz do requisitos de segurana e assegurar os direitos dos
divulgao e comunicao RGPD, bem como definio controlo de acessos, bem titulares dos dados
interna das novas regras do e implementao de como de regras aplicveis
RGPD processos e procedimentos recolha e tratamento
internos de forma a cumprir dos dados pessoais e
as novas regras do RGPD notificao de violaes de
dados pessoais e incidentes
de segurana

CENTROS Nomeao de estrutura Reviso e adaptao de Implementao de medidas Implementao de medidas

HOSPITALARES de governance (DPO) e documentos com impacto na internas e definio de internas de forma a
definio de regras de proteo de dados luz do requisitos de segurana e assegurar os direitos dos
divulgao e comunicao RGPD, bem como definio controlo de acessos, bem titulares dos dados
interna das novas regras do e implementao de como de regras aplicveis
RGPD processos e procedimentos recolha e tratamento
internos de forma a cumprir dos dados pessoais e
as novas regras do RGPD notificao de violaes de
dados pessoais e incidentes
de segurana

PPPs Nomeao de estrutura Reviso e adaptao de Implementao de medidas Implementao de medidas

de governance (DPO) e documentos com impacto na internas e definio de internas de forma a
definio de regras de proteo de dados luz do requisitos de segurana e assegurar os direitos dos
divulgao e comunicao RGPD, bem como definio controlo de acessos, bem titulares dos dados
interna das novas regras do e implementao de como de regras aplicveis
RGPD e de comunicao processos e procedimentos recolha e tratamento
de dados internos de forma a cumprir dos dados pessoais e
as novas regras do RGPD notificao de violaes de
dados pessoais e incidentes
de segurana

50
PRXIMOS PASSOS:
AVALIE A CAPACIDADE
DE RESPOSTA DA SUA
ORGANIZAO AO RGDP
Para alm do presente Guia, desenvolvido com o objetivo de a dar a conhecer, s
21
Entidades pblicas integrantes do SNS , as condies a que se encontram sujeitas em
relao ao tratamento de dados pessoais em Portugal no contexto do RGPD e da Diretiva
SRI, a SPMS ir disponibilizar uma ferramenta online para autoavaliao preliminar do
nvel de adequao e cumprimento das respetivas regras (RGDP Ferramenta para
Autoavaliao Preliminar do Cumprimento das Regras).

Os resultados obtidos pelas Entidades devem ser utilizados apenas como uma avaliao
preliminar. A ferramenta tem como principal objetivo identificar as reas, mais ou menos
crticas, a serem endereadas pela Instituio no sentido de estarem preparadas para
cumprir as regras do RGDP a partir de maio de 2018.

A RGDP Ferramenta para Autoavaliao Preliminar do Cumprimento das Regras

est divida em cinco grandes grupos de questes:

Estratgia Dados Processos Pessoas Tecnologia

21 Consideram-se para o efeito todos os estabelecimentos e servios do Servio Nacional de Sade,

independentemente da respetiva natureza jurdica, sejam Entidades pblicas empresariais, sejam Entidades do Sector
Pblico Administrativo, bem como aos rgos e servios do Ministrio da Sade e a quaisquer outras Entidades
quando executem atividades na rea da sade.

51
As questes foram mapeadas com os cinco vetores de mudana principais do RGPD
descritas neste Guia, permitindo desta forma implementar um processo de melhoria
contnua que vai alm da conformidade legal e normativa:
Governana dos Dados;
Consentimento;
Direitos dos titulares;
Segurana;
Poder Sancionatrio.

Alm da ferramenta de autoavaliao preliminar, as Entidades podero ainda utilizar o

questionrio abaixo, o qual espelha, de uma forma no exaustiva, os requisitos mnimos
para o nvel de adequao e cumprimento das respetivas regras do RGDP.

GRUPO QUESTO SIM NO COMENTRIOS

REQ.EST.01 - A comunicao sobre os

requisitos de responsabilidade para a
Estratgia conformidade com o RGPD foi divulgada a
(REQ.EST) todo a Instituio?

REQ.EST.02 - As melhores prticas de

proteo de dados foram documentadas e
divulgada a toda a Instituio?

REQ.EST.03 - A Instituio j documentou

todos os riscos associados ao
processamento de dados pessoais que
formam a base para as auditorias?

REQ.EST.04 - A Gesto da Instituio est

a par dos nveis detalhados de multas e
infraes do RGPD?

REQ.EST.05 - A Gesto da Instituio

conhece e entende as hipteses de aes
judiciais coletivas e potencial suspenso de
atividades de processamento de dados por
incumprimento continuado?

52
 GRUPO QUESTO SIM NO COMENTRIOS

REQ.DAD.01 - H um processo padro para

mapear e classificar os dados pessoais de
Dados forma consistente em todo a Instituio?
(REQ.DAD)

REQ.DAD.02 - Foi realizada uma

anlise para documentar a utilizao e o
fluxo de dados pessoais na Instituio.
Esta documentao serve de base
para a monitorizao das atividades de
processamento?

REQ.DAD.03 - comunicado de forma clara

e transparente aos titulares dos dados que
feita a recolha dos seus dados pessoais?

REQ.DAD.04 - H na Instituio um controlo

que relaciona os dados recolhidos
finalidade de processamento, e que permite
a correta utilizao e eliminao de dados?

REQ.DAD.05 - Existe um processo definido

para a reviso de dados, em cada registo,
quando esses dados so processados?

REQ.DAD.06 - H na Instituio um
processo, mesmo que manual, para rever a
utilidade

REQ.DAD.07 - H na Instituio um plano

de continuidade hospitalar (incluindo
pessoas, processos e tecnologias),
implementado e testado?

REQ.DAD.08 - H na Instituio um
processo que identifica os dados que podem
ser removidos e que posteriormente envolve
equipas individuais para remoo?

REQ.DAD.09 - Em caso de armazenamento

de dados na cloud, h a definio clara dos
termos do contrato que permitem escolher
a localizao dos dados e a realizao de
auditorias?

REQ.PES.01 - A Instituio comunica a

gesto de dados pessoais autoridade
supervisora nacional (CNPD), mesmo
Pessoas que no esteja estabelecida formalmente
(REQ.PES) uma organizao de governana ou de
procedimentos para este efeito?

REQ.PES.02 - A Instituio j nomeou,

mesmo que a tempo parcial, um
Responsvel de Proteo de Dados?

53
 GRUPO QUESTO SIM NO COMENTRIOS

REQ.PRO.01 - A Instituio tem

implementada um processo de resposta
Processos em caso de incidente de violao de dados
(REQ.PRO) pessoais, mesmo que no esteja testado?

REQ.PRO.02 - A Instituio tem

implementado um processo de comunicao
aos titulares dos dados e parceiros externos
em caso de incidente de violao de dados
pessoais, mesmo que no esteja testado?

REQ.PRO.03 - A Instituio opera de acordo

com os princpios e prticas gerais de boas
prticas de segurana da informao (ex.
ISO 27001), mesmo que no tenha uma
certificao?

REQ.PRO.04 - A Instituio j iniciou a

reviso dos contratos com os fornecedores
externos que processam dados pessoais?

REQ.PRO.05 - H na Instituio
processos de consentimento que integram
especificao, tais como: autorizao
de uso; durao de consentimento; e
consentimento dado de livre vontade?

REQ.PRO.06 - Existe na Instituio um

processo de verificao de idade e obteno
de consentimento parental?

REQ.PRO.07 Existem requisitos de

segurana definidos e documentados que
se aplicam a departamentos/processos
especficos, como os RH, TI e marketing,
mesmo que no seja testado regularmente?

REQ.TEC.01 - A Instituio tem capacidade

de controlo dos sistemas para detetar
todas as violaes de dados pessoais num
Tecnologias prazo de 72 horas e para implementar
(REQ.TEC) imediatamente medidas para reportar a
violao?

REQ.TEC.02 - A Instituio tem um processo

automatizado para identificao dos dados
a retificar ou as objees ao processamento
solicitadas pelos detentores dos dados?

REQ.TEC.03 - A Instituio tem no sistema

de informao, mesmo que no seja uma
soluo especfica, funcionalidades que
permitam a implementao do direito
eliminao?

54
GRUPO QUESTO SIM NO COMENTRIOS

REQ.TEC.04 - H na Instituio um
processo implementado, mesmo que
manual, para efetuar a portabilidade de
dados pessoais?

REQ.TEC.05 - Os sistemas de informao

da Instituio permitem a pseudonimizao
dos dados pessoais atravs da sua
anonimizao e/ou tokenizao?

REQ.TEC.06 - O sistema de informao

da Instituio permite garantir um processo
padronizado para codificao dos dados
pessoais?

REQ.TEC.07 - A Instituio tem um

sistema de single sign-on que permite a
otimizao do controlo de acesso em todo
a Instituio e a monitorizao contnua da
conformidade?

REQ.TEC.08 - A Instituio tem sistemas

que registam o consentimento, mas no de
forma centralizada?

55
GLOSSRIO
As definies abaixo foram adaptadas do texto do RGPD.

GRUPO QUESTO

Dados Pessoais Qualquer informao, de qualquer natureza e independentemente

do respetivo suporte, incluindo som e imagem, relativa a uma
pessoa singular identificada ou identificvel (titular dos dados);
considerada identificvel a pessoa que possa ser identificada direta
ou indiretamente, designadamente por referncia a um identificador
como o nome, nmero de identificao ou a um ou mais elementos
especficos da sua identidade fsica, fisiolgica, mental, econmica,
cultural ou social.

Tratamento de Dados Pessoais
(tratamento)
Qualquer operao ou conjunto de operaes efetuados sobre dados
pessoais, com ou sem meios automatizados, tais como a recolha, o
registo, a organizao, a conservao, a adaptao ou alterao, a
recuperao, a consulta, a utilizao, a divulgao por transmisso,
por difuso ou por qualquer outra forma de disponibilizao, a
comparao ou interconexo, bem como a limitao, apagamento ou
destruio.

Responsvel eplo tratamento A pessoa singular ou coletiva, a autoridade pblica, a agncia ou

qualquer outro organismo que, individualmente ou em conjunto com
outrem, determine as finalidades e os meios de tratamento dos dados
pessoais.

22
Subcontratante A pessoa singular ou coletiva, a autoridade pblica, a agncia ou
qualquer outro organismo que trate os dados pessoais por conta do
responsvel pelo tratamento destes.

Terceiro Pessoa singular ou coletiva, autoridade pblica, o servio ou qualquer

outro organismo que, no sendo o titular de dados, o responsvel pelo
tratamento, o subcontratante ou outra pessoa sob autoridade direta do
responsvel pelo tratamento ou do subcontratante, esteja autorizado a
tratar os dados.

Destinatrio A pessoa singular ou coletiva, a autoridade pblica, a agncia ou

qualquer outro organismo a quem sejam comunicados dados pessoais,
independentemente de se tratar ou no de um terceiro.

22Na traduo para portugus da expresso data processor, denominou-se esta Entidade como subcontratante, em
vez de subcontratado em todo o caso, ambas as expresses tm o mesmo significado.

56
 GRUPO
Consentimento do Titular dos
Dados
Dados Pessoais relativos
Sade
Dados Genticos
Privacy by design
(privacidade desde a conceo)
Privacy by default
(privacidade por defeito)
Limitao do Tratamento
Pseudonimizao
QUESTO
Qualquer manifestao de vontade, livre, especfica, informada e
explicita, nos termos da qual o titular dos dados aceita, mediante
declarao ou ato positivo inequvoco, que os seus dados pessoais
sejam objeto de tratamento.
O RGPD define-os expressamente como dados pessoais relacionados
com a sade fsica ou mental de uma pessoa singular, no passado,
presente e no futuro, incluindo a inscrio e prestao de servios de
sade, que revelem informaes sobre o seu estado de sade.
O RGPD define-os expressamente como dados pessoais relativos s
caractersticas genticas, hereditrias ou adquiridas, de uma pessoa
singular que forneam informaes nicas sobre a fisiologia ou a
sade dessa pessoa singular e que resulta designadamente de uma
anlise de uma amostra biolgica proveniente da pessoa singular em
causa, nomeadamente de analise de cromossomas, ADN , ARN ou de
outro elemento que permita obter informaes equivalentes.
Significa levar o risco de privacidade em conta em todo o processo de
conceo de um novo produto ou servio, em vez de considerar as
questes de privacidade apenas posteriormente. Tal significa avaliar
cuidadosamente e implementar medidas e procedimentos tcnicos
e organizacionais adequados desde o incio para garantir que o
tratamento est em conformidade com o RGPD e protege os direitos
dos titulares dos dados em causa.
Significa assegurar que so colocados em prtica, dentro de uma
Organizao, mecanismos para garantir que, por defeito, apenas
ser recolhida, utilizada e conservada para cada tarefa, a quantidade
necessria de dados pessoais. Esta obrigao aplica-se extenso
do seu tratamento, ao prazo de conservao e sua acessibilidade.
Estas medidas asseguram que os dados pessoais no sejam
disponibilizados sem interveno humana a um numero indeterminado
de pessoas singulares.
Insero de uma marca nos dados pessoais conservados com o
objetivo de limitar o seu tratamento no futuro.
Tratamento de dados pessoais de forma a que deixem de poder ser
atribudos a um titular de dados especfico sem recorrer a informaes
suplementares, desde que essas informaes suplementares sejam
mantidas separadamente e sujeitas a medidas tcnicas e organizativas
para assegurar que os dados pessoais no possam ser atribudos a
uma pessoa singular identificada ou identificvel.
57
 GRUPO QUESTO

Data minimisation Significa que os dados pessoais recolhidos devem ser limitados ao que
(minimizao dos dados) necessrio relativamente s finalidades para as quais so tratados.

Violao de dados pessoais Violao da segurana que provoque, de modo acidental ou ilcito,
a destruio, a perda, a alterao, a divulgao ou o acesso no
autorizado, a dados pessoais transmitidos, conservados ou sujeitos a
qualquer outro tipo de tratamento.

Violao de segurana Evento com um efeito adverso real na segurana das redes e dos
(incidentes de segurana) sistemas de informao, tal como um acesso no autorizado ao
sistema de informao.

58
60