Avaliação de impacto e dados de saúde no novo Regulamento Geral de Proteção de Dados

O Regulamento Geral sobre Proteção de Dados, Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva n.º 95/46/CE (Regulamento), apresenta hoje, o que a Diretiva 95/46/CE, de 24 de outubro de 1995, não fazia, um conceito de «dados relativos à saúde». Define «dados relativos à saúde» como os «dados pessoais relacionados com a saúde física ou mental de uma pessoa singular incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde».

De acordo com o Regulamento, o responsável pelo tratamento de dados pessoais deve adotar medidas, técnicas e organizativas, adequadas à natureza dos dados, ao âmbito, contexto e finalidades do tratamento dos dados, bem como aos riscos para os direitos e liberdades das pessoas singulares e à probabilidade e gravidade desses riscos, termos em que se revela essencial, e especialmente importante atenta a natureza sensível dos dados de saúde, realizar uma cuidada avaliação dos riscos, prévia ao tratamento.

Sendo o tratamento de dados de saúde – categoria especial de dados, nos termos do artigo 9.º, n.º 1, do Regulamento –, cumpre referir a avaliação prévia de impacto sobre a proteção dos dados prevista no artigo 35.º, n.º 1, alínea b) do Regulamento, «em caso de: (…) b) Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.º, n.º 1, (…)». As operações de tratamento em grande escala, atento o expresso no Considerando (91) do Regulamento, devem ser tidas como aquelas «que visem o tratamento de uma grande quantidade de dados pessoais a nível regional, nacional ou supranacional, possam afetar um número considerável de titulares de dados e sejam suscetíveis de implicar um elevado risco, por exemplo, em razão da sua sensibilidade, nas quais, em conformidade com o nível de conhecimentos tecnológicos alcançado, seja utilizada em grande escala uma nova tecnologia, bem como a outras operações de tratamento que impliquem um elevado risco para os direitos e liberdades dos titulares dos dados, em especial quando tais operações dificultem aos titulares o exercício dos seus direitos».

Recomenda-se que a avaliação seja feita, prévia ao tratamento de dados de saúde, mesmo nos casos em que tal avaliação não constitua um imperativo legal. A avaliação permite a identificação de quais são os riscos e, em coerência, as medidas adequadas para os prevenir ou mitigar. E a identificação dessas medidas de segurança sempre constitui uma obrigação legal do responsável pelo tratamento nos termos do Regulamento e ainda por força da Lei de Proteção de Dados Pessoais (LPDP); a Lei n.º 67/98, de 26 de outubro, que transpôs para a ordem jurídica portuguesa a referida Diretiva 95/46/CE.

Dita o artigo 14.º da LPDP que o «responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais» e que «estas medidas devem assegurar (…) um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger». A determinação do nível de segurança adequado depende da avaliação, termos que se tem por adequado que a mesma seja feita ainda que o caso concreto em presença não integre as situações materiais sujeitas à obrigação de realização dessa avaliação.

À luz do artigo 15.º da LPDP, estando em apreço o tratamento de dados de saúde, os responsáveis pelo tratamento dos dados ficam adstritos a tomar medidas adequadas a assegurar: o controlo da entrada nas instalações, do suporte de dados, da inserção dos dados, da utilização dos dados, de acesso, de transmissão, de introdução a posteriori e de transporte.

Sendo o tratamento de dados de saúde, recomenda-se, pois, que seja sempre feita uma avaliação casuística sobre o impacto, avaliação essa que permitirá no caso concreto de tratamento de dados de saúde: a) aferir qual a melhor solução de acordo com a finalidade legítima a prosseguir, a natureza dos dados, as condições da organização interna, os meios disponíveis, as medidas de segurança alcançáveis; b) quais as medidas de segurança a implementar e os termos da sua implementação; c) quais as ações de atualização das medidas, de auditoria, inspeção e adoção de medidas corretivas.

A avaliação prévia constitui, pois, um bom instrumento de gestão e medida de salvaguarda da conformidade com o quadro normativo em matéria de proteção de dados pessoais.

Cláudia Monge, advogada e sócia da BAS – Sociedade de Advogados

Subscreva a newsletter e receba os principais destaques sobre Direito e Advocacia.