A transformação digital é uma realidade em todas as áreas. As tecnologias potenciam um grande conjunto de oportunidades de satisfação de diversas necessidades, otimizando os recursos disponíveis e diminuindo os riscos associados ao uso das tecnologias. O setor da saúde é um dos setores que mais cuidado deve ter no tratamento de dados pessoais, assegurando a privacidade dos dados dos pacientes. Com a entrada em vigor do novo RGPD, a importância de proteger os dados no setor da saúde é ainda mais evidente. Abordamos neste artigo as principais implicações do tratamento de dados pessoais no setor da saúde.
Os dados relativos a saúde são os dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde. A informação de saúde abrange todos os tipos de dados direta ou indiretamente ligados à saúde, presente ou futura, incluindo os dados clínicos registados nas unidades de saúde (por exemplo, o processo clínico ou quaisquer fichas clínicas), história clínica e familiar, resultados de análises e de outros exames, intervenções, diagnósticos e tratamentos.
A informação de saúde pertence à pessoa a quem diz respeito.
Sim. Todos os utentes têm o direito de tomar conhecimento de toda a informação de saúde que lhe diga respeito, salvo em circunstâncias excecionais em que seja inequivocamente demonstrado que o acesso a essa informação pode prejudicar gravemente a sua saúde. Nessas situações, cada caso é avaliado de forma individual.
Uma terceira pessoa pode ter acesso à informação de saúde de um utente nos seguintes casos:
O consentimento para o tratamento de dados pessoais tem que ser dado de forma livre, específica, informada, explícita e inequívoca, pela qual o titular dos dados (utente, cidadão, colaborador, entre outros) permite que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. O regulamento cria barreiras adicionais às práticas atuais de recolha e tratamento de dados em Portugal e na União Europeia, introduzindo regras mais rígidas às empresas no que diz respeito ao consentimento para a recolha e tratamento de dados pessoais. As empresas têm que considerar a criação de um contrato com o titular dos dados, o cumprimento de obrigações jurídicas e a defesa de interesses vitais do titular dos dados. Com o novo regulamento um contacto de um cartão-de-visita, por exemplo, não poderá ser incluído em nenhuma base de dados sem o consentimento explícito do seu titular. Em termos práticos, a utilização de caixas previamente selecionadas, a ausência de respostas, a inatividade e o consentimento através de termos e condições deixarão de ser permitidos, pois nenhum dos meios apresentados é considerado um meio de demonstração do cumprimento dos requisitos de consentimento do novo regulamento.
Esta figura (também conhecida como DPO, Data Protection Officer) desempenha um papel essencial no período de transição da lei antiga para a nova legislação. A nomeação de um DPO é obrigatória nos seguintes casos: (1) sempre que o processamento dos dados acontecer numa entidade pública; (2) sempre que haja monitorização constante de pessoas em grande escala; (3) sempre que há processamento de dados sensíveis em grande escala. Ou seja, o DPO é uma figura obrigatória em instituições de saúde públicas.
Sobre o autor