Conceitos do Regulamento Geral de Proteção de Dados

Para entendermos as disposições relativas à proteção de dados pessoais, de acordo com o que se encontra disposto no Regulamento Geral de Proteção de Dados, importa aferir aqueles que são os conceitos mais relevantes, plasmados no artigo 4º do regulamento. Assim, destacamos os seguintes, com especial relevância para o nosso estudo:

 Dados Pessoais, é toda a “informação relativa a uma pessoa singular identificada ou identificável, sendo que para o efeito se considera identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular”. No caso específico da saúde, deveremos ter especial atenção à definição de dados pessoais relativos à saúde63_;

 Tratamento define-se como “uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou

63 _{A este propósito, ver a interpretação do Grupo de Trabalho do Artigo 29º, contida no}

qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”. Um exemplo de tratamento ao nível dos Hospitais e Centros Hospitalares é o registo de informação clínica relativa ao utente, no sistema informático S Clínico;

 Limitação do tratamento consiste na “ inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro”;  Definição de Perfis, consiste em “qualquer forma de tratamento automatizado

de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações”;

 Pseudonomização consiste no “tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável”. Esta técnica poderá ser muito útil na realidade dos Hospitais e Centros Hospitalares, como veremos no capítulo referente à implementação de um sistema de gestão de dados pessoais, como proposta de solução ao problema identificado. A título de exemplo, aos processos clínicos que circulam internamente na instituição para efeitos de realização de auditorias, pode ser aplicada a técnica da pseudonomização, na medida em que o profissional que irá realizar o estudo, não necessita saber o nome do utente a que corresponde o processo clínico;

 Ficheiro é “qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico”. Podemos estar a falar de uma tabela em Excel, contendo dados relativos a utentes, guardada no computador de secretária de um funcionário, ou mesmo guardados no correio eletrónico profissional;

 Responsável pelo Tratamento define-se como “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro”. Para o efeito, responsável pelo tratamento é, por exemplo, o hospital ou centro hospitalar E.P.E.;

 Subcontratante é “uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes”. Os Hospitais recorrem diversas vezes a entidades subcontratantes para a prestação adequada de cuidados de saúde. Um exemplo de uma entidade subcontratante é por exemplo uma empresa que preste serviços de realização de exames de TAC ou de Ressonância Magnética por conta do Hospital, tratando dados dos utentes do Hospital por conta deste, com a finalidade última de prestar os adequados cuidados de saúde;

 Destinatário é “uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento”. No âmbito das prestações de cuidados de saúde, existem destinatários que recebem dados enviados pelo responsável pelo tratamento. Um exemplo de destinatário será uma outra entidade do Serviço Nacional de Saúde que receba os dados do utente, que venha a ser sujeito a uma intervenção nessa mesma entidade destinatária;

 Terceiro é “a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o

subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais”;

 Consentimento do titular dos dados consiste numa “manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”. O consentimento é um dos requisitos de licitude para o tratamento dos dados pessoais, porém, não deverá ser aquele em que assenta o tratamento de dados relativos à saúde, no âmbito da prestação de cuidados de saúde no SNS64_;

 Violação de Dados Pessoais é “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”. Uma violação de dados pessoais pode ser um ataque informático, uma fotografia publicada numa rede social contendo informação relativa a um titular dos dados sem autorização, ou mesmo um furto de um equipamento que contenha informação relativa a titular de dados, como um telemóvel, um computador ou um dispositivo de armazenamento portátil;

 Dados Relativos à saúde são “dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde”. Veremos em detalhe esta questão no ponto seguinte, relativo aos dados pessoais em saúde à luz do RGPD;

 Autoridade de Controlo é “uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51º” do Regulamento. No caso de Portugal, a autoridade de controlo nacional é a Comissão Nacional de Proteção de Dados65_.

64 _{A este propósito, consultar as exceções de tratamento de dados de categoria especial,}

nos termos do n.º2 do artigo 9º do RGPD.