Cláudia Monge procura neste texto responder à pergunta “O que deve ser entendido por dados de saúde?”, sendo que os dados de saúde integram as categorias especiais de dados.
Os dados de saúde integram as categorias especiais de dados, nos termos do artigo 9.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva n.º 95/46/CE (de ora em diante, Regulamento Geral sobre Proteção de Dados ou Regulamento).
O n.º 4 do artigo 9.º do Regulamento permite que os Estados-Membros mantenham ou imponham «novas condições, incluindo limitações, no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde».
Para a identificação das regras específicas a observar no tratamento de dados e saúde e informação clínica e procedimentos a adotar à luz do Regulamento Geral sobre Proteção de Dados, importa em primeiro lugar responder à pergunta: O que deve ser entendido por dados de saúde?
O Regulamento apresenta, o que a Diretiva 95/46/CE, de 24 de outubro de 1995, que estabeleceu o regime de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, não fazia, a definição de um conceito de «dados relativos à saúde» como dados pessoais relacionados com a saúde física ou mental de uma pessoa singular incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde (cf. n.º 15 do artigo 4.º Regulamento). Com esta definição é conforme a definição de «informação de saúde» constante do artigo 2.º da Lei n.º 12/2005, de 26 de janeiro.
Tratar dados sensíveis
Os dados de saúde são dados pessoais sensíveis sujeitos a um regime especial de proteção. A necessidade de proteção da confidencialidade dos dados de saúde impõe a adoção das adequadas medidas de segurança.
Essa necessidade é tão mais importante quando se reconhece as vantagens do tratamento dos dados de saúde. Os benefícios gerados, para o próprio titular dos dados e para a população em geral, pelo tratamento de dados de saúde demandam que esse tratamento, para que possa ser realizado, seja acompanhado das medidas capazes de gerar segurança no respeito da confidencialidade dos dados de saúde.
A informação de saúde organizada e atualizada, acessível pelo próprio e por aqueles que diretamente o assistem na prestação de cuidados de saúde é essencial para a tomada de decisão do próprio quanto ao seu estado de saúde e para a proteção pelos prestadores de cuidados de saúde da saúde individual dos seus pacientes. Pode igualmente constituir vetor essencial de proteção da saúde pública, como resulta reconhecido no Regulamento.
O desenvolvimento do eHealth ou da saúde em linha corresponde a uma política de promoção do acesso e da qualidade na prestação de cuidados de saúde. As tecnologias da informação e das comunicações aplicadas à saúde e aos sistemas de saúde podem ampliar a eficiência destes, melhorar a qualidade de vida e estimular a inovação em saúde[1]. Para que assim seja é necessário que esteja fundamentada a confiança dos titulares dos dados nos sistemas e essa confiança depende da adoção, pelos responsáveis pelos tratamentos de saúde e pelos respetivos subcontratantes, de práticas seguras de tratamento dos dados de saúde e conformes com o novo Regulamento.
Medidas de proteção
A European Union Agency for Network and Information Security (ENISA) identificou particulares desafios de segurança no desenvolvimento do eHealth que devem ser colocados em razão dos elevados requisitos de privacidade e de confidencialidade que a informação sensível de saúde suscita. Os principais desafios identificados pela ENISA respeitam às seguintes matérias: disponibilidade dos sistemas, falhas de interoperabilidade, controlo de acesso e autenticação, integridade dos dados, segurança da rede, práticas de segurança e prevenção, perda de dados, standardisation, compliance e trust, incidentes transfronteiriços, incidentes de gestão[2].
Devem ainda ser adotadas medidas para acautelar eventuais situações de indisponibilidade do serviço e o risco de violabilidade dos dados, assim como para permitir a observância das regras para eliminação dos dados dos pacientes de forma segura, cabendo aos responsáveis pelas bases de dados o respeito pelo regime legal de conservação de dados pessoais, em particular dos dados de saúde.
Uma questão de confiança
Só a segurança na proteção dos dados pessoais sensíveis permitirá que o fluxo dos dados opere quando necessário com a confiança dos titulares dos mesmos e, como reconhece o Conselho Europeu, «[a] confiança é condição prévia necessária para produtos e serviços inovadores que dependem do tratamento de dados pessoais»[3].
Devem, pois, os operadores da área da saúde, públicos e privados, preparar-se para a plena aplicabilidade do Regulamento a 25 de maio de 2018 e «ajustar-se às novas regras»[4].
Se há medidas que, de acordo com o novo Regulamento, devem ser implementadas, como a pseudonimização aos dados pessoais e, quando as operações dos dados de saúde como categoria especial de dados sejam tidas como em grande escala, a avaliação de impacto sobre a proteção de dados e a designação do encarregado da proteção de dados, outras há já preconizadas que devem ser renovadas, revistas ou reforçadas, como a formação e capacitação dos recursos humanos, a realização de auditorias, a cultura de
responsabilidade e obrigação do dever de sigilo, a segregação de suportes lógicos e perfis de acesso distintos atenta a natureza de dados pessoais (como os dados administrativos de identificação) e os dados pessoais sensíveis (como os dados de saúde)
O novo Regulamento constitui também em matéria de dados de saúde uma oportunidade para garantia de maior proteção e uma oportunidade «para desenvolver produtos que respeitem a privacidade e a proteção de dados e para construir uma nova relação (…) baseada na transparência e na confiança»[5].
[1] Cf. Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, de 06.12.2012, Plano de ação para a saúde em linha, 2012-2020 – Cuidados de saúde inovadores para o século XXI, disponível aqui.
[2]Vide Security and Resilience in eHealth – Security Challenges and Risks, dezembro 2015, em especial pp. 23 e ss., disponível em www.enisa.europa.eu.
[3] Cf. Parecer n.º 3/2015, A grande oportunidade da Europa, Recomendações da AEPD sobre as opções da UE para a reforma da proteção de dados, da European Data Protection Supervisor, de 28 de julho de 2015, página 11, disponível aqui.
[4] Cf. a esse propósito a recente Comunicação da Comissão ao Parlamento Europeu e ao Conselho, Maior proteção, novas oportunidades – Orientações da Comissão relativas à aplicação direta do Regulamento Geral sobre a Proteção de Dados a partir de 25 de maio de 2018, p. 13, disponível aqui.
