grupo de trabalho de protecção de dados do artigo...
TRANSCRIPT
Grupo de Trabalho de Protecção de Dados do artigo 29.º
O Grupo de Trabalho foi instituído pelo artigo 29.º da Directiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de protecção de dados e privacidade. As suas tarefas são definidas no artigo 30.º da Directiva 95/46/CE e no artigo 15.º da Directiva 2002/58/CE. O secretariado é assegurado pela Direcção C (Justiça Civil, Direitos Fundamentais e Cidadania) da Direcção–Geral Justiça, Liberdade e Segurança da Comissão Europeia, B-1049 Bruxelas, Bélgica, Gabinete n.º LX-46 01/43. Sítio Web: http://europa.eu.int/comm/justice_home/fsj/privacy/index_en.htm
00323/07/PT WP 131
Documento de trabalho
sobre o tratamento de dados pessoais ligados à saúde em registos de saúde electrónicos (RSE)
Adoptado em 15 de Fevereiro de 2007
2 / 23
R E S U M O
No presente documento de trabalho relativo ao tratamento de dados pessoais ligados à saúde em registos de saúde electrónicos (RSE), o Grupo de Trabalho do artigo 29.º dá indicações sobre a interpretação do enquadramento jurídico aplicável em matéria de protecção de dados nos sistemas RSE e enuncia alguns princípios gerais. O documento de trabalho também descreve os requisitos de protecção de dados para a criação de sistemas de RSE, bem como as garantias aplicáveis.
O Grupo de Trabalho do artigo 29.° analisa em primeiro lugar o enquadramento jurídico global de protecção de dados no âmbito dos sistemas RSE. O Grupo recorda a proibição geral de tratamento de dados pessoais relativos à saúde constante do n.º 1 do artigo 8.° da Directiva relativa à protecção de dados (95/46/CE) e analisa em seguida a possível aplicação das derrogações previstas nos n.os 2, 3 e 4 do artigo 8.° da Directiva no contexto dos sistemas RSE, sublinhando a necessidade de interpretar tais derrogações de forma restrita.
O Grupo de Trabalho do artigo 29.° reflecte igualmente sobre o enquadramento jurídico adequado para os sistemas RSE e faz recomendações em relação a onze temas para os quais se afigura particularmente necessário que os sistemas RSE comportem garantias especiais a fim de acautelar os direitos de protecção de dados dos doentes e das pessoas. Estes temas são os seguintes:
1. Respeito da autodeterminação; 2. Identificação e autenticação dos doentes e profissionais da saúde; 3. Autorização de acesso aos RSE em modo de leitura ou de escrita; 4. Utilização dos RSE para outras finalidades; 5. Estrutura organizativa dos sistemas RSE; 6. Categorias de dados armazenados nos RSE e respectivos modos de
apresentação; 7. Transferência internacional de registos médicos; 8. Segurança dos dados; 9. Transparência; 10. Questões de responsabilidade; 11. Mecanismos de controlo do tratamento de dados em SER.
O Grupo de Trabalho do artigo 29.° convida a classe médica, todos os profissionais da saúde, todas as pessoas e instituições envolvidas e o público em geral a apresentarem comentários sobre o presente documento de trabalho.
3 / 23
ÍNDICE
I. INTRODUÇÃO ................................................................................................... 4
II. ENQUADRAMENTO DE PROTECÇÃO DE DADOS DOS REGISTOS DE SAÚDE ELECTRÓNICOS.......................................................................................... 6
1. Princípios gerais........................................................................................................................................... 6
2. Protecção especial de dados pessoais sensíveis.......................................................................................... 7
3. Proibição geral do tratamento de dados pessoais relativos à saúde - com derrogações ........................ 8
4. N° 2, alínea a), do artigo 8º: "Consentimento explícito".......................................................................... 8
5. N.º 2, alínea c), do artigo 8.º: "interesses vitais da pessoa em causa" ................................................... 10
6. N.º 3 do artigo 8.º: "tratamento de dados (médicos) por profissionais da saúde" ............................... 10
7. N.º 4 do artigo 8.º: isenções devidas a um interesse público importante............................................... 12
III. REFLEXÕES SOBRE UM ENQUADRAMENTO JURÍDICO ADEQUADO PARA OS SISTEMAS RSE ....................................................................................... 14
1. Respeito pela autodeterminação............................................................................................................... 14
2. Identificação e autenticação dos doentes e profissionais da saúde ........................................................ 15
3. Autorização de acesso de leitura e escrita ao RSE.................................................................................. 15
4. Utilização do RSE para outras finalidades.............................................................................................. 17
5. Estrutura organizativa de um sistema RSE ............................................................................................ 17
6. Categorias de dados armazenados nos RSE e respectivos modos de apresentação ............................. 18
7. Transferência internacional de registos médicos .................................................................................... 20
8. Segurança dos dados ................................................................................................................................. 20
9. Transparência ............................................................................................................................................ 21
10. Questões de responsabilidade ................................................................................................................... 21
11. Mecanismos de controlo do tratamento de dados nos RSE ................................................................... 22
IV. CONCLUSÃO ................................................................................................ 23
4 / 23
O GRUPO DE PROTECÇÃO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS,
Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados1, nomeadamente os artigos 29.º e o n.º 1, alínea b), do artigo 30.º, Tendo em conta o seu regulamento interno2, nomeadamente os artigos 12.º e 14.º,
ADOPTOU O SEGUINTE DOCUMENTO DE TRABALHO:
I. Introdução O presente documento de trabalho do Grupo de Trabalho do artigo 29.° destina-se a dar indicações sobre a interpretação do quadro jurídico aplicável em matéria de protecção de dados aos sistemas de registos de saúde electrónicos (RSE) e a enunciar alguns princípios gerais. O parecer destina-se igualmente a definir condições prévias em matéria de protecção de dados para a instituição de um sistema RSE de âmbito nacional, assim como as garantias aplicáveis.
Os custos dos regimes públicos de cuidados de saúde estão a aumentar drasticamente e os governos estão a apelar à definição de novas estratégias de abordagem desta temática. Uma das respostas é frequentemente o "registo electrónico de saúde (RSE)". Neste domínio, utilizam-se indiferentemente expressões como "registo médico electrónico (RME)", "registo electrónico do doente (RED)", "registo de saúde electrónico (RSE)", " registo do doente informatizado (RDI)", etc.
Para efeitos do presente documento de trabalho, o "registo de saúde electrónico" ( "RSE") é definido do seguinte modo:
"Um registo médico global ou documentação análoga dos antecedentes e do estado de saúde actual, física e mental, de uma pessoa em formato electrónico que permita obter prontamente estes dados para efeitos de tratamento médico e finalidades estreitamente conexas."3
Tradicionalmente, a documentação dos tratamentos médicos encontrava-se acessível aos profissionais da saúde, mas não era fundida num só registo. Em contrapartida, o "RSE" destina-se a agregar a documentação existente sobre os vários tratamentos médicos de uma pessoa a partir de fontes diferentes e referente a períodos de tempo também diferentes. Proporcionaria assim informações tão completas quanto possível sobre o estado de saúde passado e presente de uma pessoa, relativas a um lapso de tempo considerável ou até mesmo à vida inteira ("do berço à sepultura"). Uma vez compilados, os dados RSE estariam acessíveis
1 Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção
das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados; JO L 281 de 23.11.1995, p. 31 ( "Directiva"); consultar no seguinte endereço: http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm.
2 Aprovado pelo Grupo de Trabalho na sua terceira reunião, realizada em 11.9.1996. 3 "Tratamento médico e finalidades estreitamente conexas" referem-se aos objectivos mencionados no n.º 3
do artigo 8.° da Directiva.
5 / 23
em formato electrónico a todos os profissionais da saúde autorizados e a outras instituições autorizadas, onde e sempre que esta informação fosse necessária.
Afirma-se que o RSE constitui um meio adequado para:
• alcançar uma melhor qualidade de tratamento graças a uma melhor informação sobre o doente;
• melhorar o controlo dos custos dos tratamentos médicos, evitando assim a prossecução do aumento contínuo dos défices do orçamento dos cuidados de saúde;
• fornecer os dados necessários para o controlo de qualidade, as estatísticas e o planeamento no sector público dos cuidados de saúde, que deverá igualmente ter impacto positivo nos orçamentos do sector.
As respostas a um questionário enviado em 2005 às autoridades europeias de controlo da protecção de dados demonstraram que os regimes nacionais RSE constituem temas relevantes e urgentes na maior parte dos Estados-Membros. No entanto, o grau de execução de tais projectos varia significativamente: embora a maioria dos Estados-Membros esteja a analisar o RSE, outros já aplicaram, pelo menos parcialmente, este sistema.
Uma vez que os cuidados de saúde são cada vez mais prestados num âmbito transfronteiras, a Comissão Europeia sublinhou, na sua Comunicação "Saúde em linha – melhorar os cuidados de saúde para os cidadãos europeus: plano de acção para um espaço europeu da saúde em linha"4, a importância dos serviços de saúde em linha e da interoperabilidade dos registos de saúde electrónicos. Além disso, a Comunidade Europeia está a financiar projectos relevantes, como os relativos a registos electrónicos de doentes ou a identificadores de doentes (como o Cartão Europeu de Seguro de Doença). Ao executar estes programas, a Comissão Europeia, juntamente com os Estados-Membros, deve assegurar o respeito por todas as normas legais aplicáveis em matéria de protecção de dados pessoais e, sempre que adequado, a criação de mecanismos que garantam a confidencialidade e a segurança desses dados5.
Os sistemas RSE podem melhorar a qualidade e a segurança da informação médica em relação às formas tradicionais de documentação médica. No entanto, numa perspectiva de protecção de dados, importa sublinhar que os sistemas RSE podem não só tratar mais dados pessoais (por exemplo, em novos contextos ou por agregação) como também disponibilizar mais prontamente os dados sobre o doente a um leque mais vasto de destinatários.
Importa sublinhar igualmente que as informações sobre a saúde em formato electrónico de um sistema RSE, para além de serem acessíveis aos profissionais da saúde, podem de uma forma geral interessar terceiros, como companhias de seguros e serviços de polícia. Do ponto de vista da protecção de dados pessoais, ao compilarem as informações médicas existentes sobre uma pessoa provenientes de diversas fontes, permitindo o acesso mais fácil e mais generalizado a tais informações sensíveis, os sistemas RSE criam um novo cenário de risco, alterando radicalmente as possibilidades de utilização abusiva de dados médicos individuais. Na maior parte dos projectos, este novo cenário de risco só irá colocar-se de facto quando, futuramente, estiverem plenamente operacionais. É, no entanto, necessário estar-se já atento a estes perigos, numa altura em que a maior parte dos modelos existentes prevê apenas uma aplicação limitada ou parcial (por exemplo, apenas um conjunto básico de dados médicos ou de hospitais de uma certa região), visto que a sua aplicação generalizada é uma mera questão de tempo.
4 COM (2004) 356 final. 5 Ver, por exemplo, o n.º 5 do artigo 5.° da Decisão 1786/2002/CE.
6 / 23
II. Enquadramento de protecção de dados dos registos de saúde electrónicos
O tratamento de dados pessoais em sistemas RSE deve sempre observar plenamente as regras de protecção de dados pessoais. O Grupo de Trabalho sublinha que o enquadramento em matéria de utilização de RSE é estabelecido no considerando n.º 2 da Directiva, que refere que "os sistemas de tratamento de dados estão ao serviço do Homem; (…) devem respeitar as liberdades e os direitos fundamentais das pessoas singulares independentemente da sua nacionalidade ou da sua residência, especialmente a vida privada, e contribuir para o progresso económico e social, o desenvolvimento do comércio e o bem-estar dos indivíduos". O direito fundamental à protecção de dados pessoais baseia-se essencialmente no artigo 8.° da Convenção Europeia de Salvaguarda dos Direitos do Homem e das Liberdades Fundamentais (CEDH) e no artigo 8.° da Carta dos Direitos Fundamentais da União Europeia6. Mais especificamente, a Directiva relativa à protecção de dados (95/46/CE), a Directiva sobre a privacidade e comunicações electrónicas7 (2002/58/CE) e as legislações nacionais dos Estados-Membros que implementam estas directivas estabelecem regras mais precisas.
O tratamento de dados pessoais no âmbito do RSE deve igualmente respeitar as regras estabelecidas na Convenção do Conselho da Europa relativa à protecção das pessoas no que diz respeito ao tratamento automatizado de dados pessoais (ETS n.º 108) e o Protocolo Adicional à Convenção n.º 108 no que respeita às autoridades de controlo e às transferências transfronteiras de dados (ETS n.º 181).
No contexto do RSE, o Grupo de Trabalho chama particularmente a atenção para a Recomendação nº. R(97) 5 do Conselho da Europa relativa à protecção de dados médicos (13 de Fevereiro de 1997). Importa igualmente referir as recomendações formuladas pelo Grupo de Trabalho Internacional relativo à Protecção de Dados nas Telecomunicações no "Documento de trabalho relativo à disponibilidade em linha de registos de saúde electrónicos"8.
1. Princípios gerais
Os responsáveis pelo tratamento que recolhem os dados no contexto de aplicações RSE devem, portanto, cumprir todos os princípios gerais de protecção de dados, incluindo os seguintes:
• Princípio da utilização limitada (princípio da finalidade): este princípio, em parte consagrado designadamente no n.º 1, alínea b), do artigo 6.° da Directiva, proíbe o tratamento posterior incompatível com a ou as finalidades da recolha.
• Princípio da qualidade dos dados: este princípio da Directiva determina que os dados pessoais sejam pertinentes e não excessivos relativamente às finalidades para que são
6 O direito à protecção dos dados pessoais não é absoluto e pode ser restringido se um interesse público específico o requerer. Contudo, estes objectivos de interesse público apenas podem justificar uma ingerência na protecção dos dados pessoais se estiverem em conformidade com a legislação, forem necessários numa sociedade democrática para a prossecução de interesses de segurança nacional, segurança pública ou bem-estar económico do país, para a prevenção de perturbações da ordem pública ou da criminalidade, para a protecção da saúde ou a defesa da moral pública, ou para a protecção dos direitos e liberdades de terceiros, se não forem desproporcionados ao objectivo pretendido (n.º 2 do artigo 8.° da CEDH). 7 Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (JO L 201 de 31.7.2002, pp. 37-47). 8 Adoptado na sua 39.ª reunião, realizada em 6-7 de Abril de 2006 em Washington D.C, (http://www.berlin-privacy-group.org).
7 / 23
recolhidos. Por conseguinte, não devem ser recolhidos dados não pertinentes e, se o tiverem sido, devem ser rejeitados (n.º 1, alínea b), do artigo 6.°). Requer igualmente que os dados sejam exactos e actualizados.
• Princípio da retenção: este princípio determinam que os dados pessoais sejam conservados apenas durante o tempo necessário para a finalidade para que foram recolhidos ou tratados posteriormente.
• Requisitos de informação: nos termos do artigo 10.º da Directiva, os responsáveis pelo tratamento de dados que tratem informações constantes de sistemas RSE devem prestar certas informações às pessoas em causa, nomeadamente sobre a identidade do responsável pelo tratamento, a finalidade do tratamento, os destinatários dos dados e a existência de um direito de acesso.
• Direito de acesso da pessoa em causa: o artigo 12.° da Directiva permite que as pessoas em causa possam verificar a exactidão dos dados e assegurar que eles sejam actualizados. Estes direitos aplicam-se plenamente no que respeita à recolha de dados pessoais em sistemas RSE.
• Obrigações ligadas à segurança: o artigo 17.° da Directiva impõe aos responsáveis pelo tratamento de dados a obrigação de aplicar medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, ou a divulgação não autorizada. As medidas podem ser de carácter organizativo ou técnico.
2. Protecção especial de dados pessoais sensíveis
Contudo, quando o tratamento de tais dados pessoais estiver ligado à saúde de uma pessoa, é particularmente sensível e requer, portanto, uma protecção especial.
A definição de dados pessoais constante da alínea a) do artigo 2.° da Directiva 95/46/CE é a seguinte:
«Dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;"
A definição de categorias específicas de dados constante do n.º 1 do artigo 8.° da Directiva é a seguinte:
"Os Estados-Membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual."
O facto de uma pessoa se ter lesionado num pé e estar com baixa por doença a meio tempo constitui um dado de carácter pessoal relativo à saúde, na acepção do n.º 1 do artigo 8.° da Directiva9. Esta definição aplica-se igualmente a dados pessoais estreita e claramente ligados à descrição do estado de saúde de uma pessoa: dados sobre o consumo de medicamentos, álcool ou drogas, bem como dados genéticos, são sem dúvida "dados de carácter pessoal relativos à saúde", em especial se constarem de um ficheiro médico. Também devem ser considerados sensíveis quaisquer outros dados - por exemplo, dados administrativos (número
9 Tribunal de Justiça das Comunidades Europeias, acórdão de 6 de Novembro de 2003, processo C -101/01 – Bodil Lindqvist.
8 / 23
da segurança social, data de internamento num hospital, etc.) - constantes da documentação médica do tratamento de um doente: se não fossem relevantes no contexto do tratamento do doente, não deviam ter sido incluídos num ficheiro médico.
Consequentemente, os membros do Grupo de Trabalho consideram que todos os dados constantes da documentação médica, de registos de saúde electrónicos e de sistemas RSE devem ser considerados "dados pessoais sensíveis". Estão, portanto, sujeitos não só a todas as regras gerais em matéria de protecção de dados pessoais previstas na Directiva, como também às regras de protecção de dados específicos sobre o tratamento de informações sensíveis constantes do artigo 8.° da mesma.
3. Proibição geral do tratamento de dados pessoais relativos à saúde - com derrogações
O n.º 1 do artigo 8.° da Directiva relativa à protecção de dados (95/46/CE) proíbe de uma forma geral o tratamento de dados pessoais relativos à saúde. O mesmo sucede no artigo 6.° da Convenção n.° 108 do Conselho da Europa.
Esta protecção especial prevista no n.º 1 do artigo 8.° complementa as outras disposições da Directiva, nomeadamente o artigo 6.°, sobre os princípios relativos à qualidade dos dados, e o artigo 7.°, sobre os princípios relativos à legitimidade do tratamento de dados.
Contudo, dada a importância da utilização da informação sobre um doente para o tratar medicamente de forma adequada, há isenções em relação à proibição geral do tratamento de dados médicos.
A Directiva relativa à protecção de dados estabelece derrogações obrigatórias nos n.os 2 e 3 do artigo 8.° e uma isenção facultativa no n.º 4 do artigo 8.°.
Todas estas derrogações são limitadas, exaustivas e devem ser interpretadas de forma restrita.
4. N° 2, alínea a), do artigo 8º: "consentimento explícito"
Em conformidade com o n.º 2, alínea a), do artigo 8.° da Directiva:
"O n.º 1 não se aplica quando: a) A pessoa em causa tiver dado o seu consentimento explícito para esse tratamento, salvo se a legislação do Estado-Membro estabelecer que a proibição referida no n.º 1 não pode ser retirada pelo consentimento da pessoa em causa;"
a) Por conseguinte, uma justificação para o tratamento de dados sensíveis pode ser o consentimento da pessoa em causa10. Como foi já referido nos documentos de trabalho anteriores WP 1211 e WP 11412, um aspecto importante a salientar é o facto de, para ser válido, quaisquer que sejam as circunstâncias em que é concedido, é necessário que o consentimento seja uma "manifestação de vontade, livre, específica e informada", tal como definido na alínea h) do artigo 2.º da Directiva.
10 Aceitar um determinado tratamento médico não implica automaticamente "consentimento", na acepção da alínea h) do artigo 2.°, em relação ao tratamento (nomeadamente a divulgação ou a transferência) de dados pessoais recolhidos durante esse tratamento médico. 11 Grupo de Trabalho do artigo 29.°: "Documento de trabalho: Transferência de dados pessoais para países terceiros: aplicação dos artigos 25.º e 26.º da directiva da UE sobre protecção dos dados” ” (WP 12, 24 de Julho de 1998). 12 Grupo de Trabalho do à artigo 29.°: "Documento de trabalho sobre uma interpretação comum do n.º 1 do artigo 26.º da Directiva 95/46/CE de 24 de Outubro de 1995" (WP 114, 25 de Novembro de 2005).
9 / 23
aa) O consentimento deve ser livre: entende-se por "livre" consentimento uma decisão voluntária, tomada por uma pessoa na posse de todas as suas faculdades, sem qualquer tipo de coerção, de carácter social, financeiro, psicológico ou outro. Num contexto médico, o consentimento sob a ameaça de não tratamento ou de tratamento de menor qualidade não pode ser considerado "livre". O consentimento de uma pessoa em causa a quem não foi concedida uma liberdade de escolha genuína ou que foi confrontada com um facto consumado não pode ser considerado válido.
O Grupo de Trabalho do artigo 29.° considera que se, em virtude de uma consequência necessária e inevitável, a situação médica exigir que um profissional da saúde trate dados pessoais num sistema RES, não é lícito procurar legitimar este tratamento através de um consentimento. O recurso ao consentimento deve limitar-se a casos em que a pessoa em causa tenha uma liberdade de escolha genuína e possa subsequentemente retirar o consentimento sem correr riscos13.
bb) O consentimento deve ser específico: o consentimento "específico" deve dizer respeito a uma situação bem definida e concreta em que é ponderado o tratamento de dados médicos. Por conseguinte, um "acordo geral" da pessoa em causa, por exemplo em relação à recolha dos seus dados médicos para um RSE e a transferência subsequente dos dados médicos passados e futuros para profissionais da saúde envolvidos no tratamento não constitui um consentimento nos termos da alínea h) do artigo 2.° da Directiva.
cc) O consentimento deve ser informado: entende-se por consentimento "informado" o consentimento da pessoa em causa baseado numa apreciação e compreensão dos factos e implicações de uma acção. A pessoa em causa deve receber, de forma clara e compreensível, informações exactas e completas sobre todas as questões pertinentes, designadamente as especificadas nos artigos 10.° e 11.° da Directiva, como a natureza dos dados tratados, as finalidades do tratamento, os destinatários das eventuais transferências e os seus direitos. Isto implica igualmente a consciência das consequências do não consentimento do tratamento em questão.
b) Contrariamente ao disposto no artigo 7.° da Directiva, o consentimento em relação a dados pessoais sensíveis e, portanto, constantes do RSE, deve ser explícito. As soluções de auto-exclusão ("opt-out") não satisfazem o requisito de serem "explícitas". Em conformidade com a definição geral de que o consentimento pressupõe uma declaração de intenções, o carácter explícito deve dizer respeito, nomeadamente, à sensibilidade dos dados. A pessoa em causa deve estar consciente de que está a renunciar a uma protecção especial. Não é necessário, no entanto, o consentimento escrito.
c) O Grupo de Trabalho do artigo 29.° observou que é por vezes difícil obter o consentimento devido a problemas práticos, nomeadamente caso não haja contacto directo entre o responsável pelo tratamento e as pessoas em causa. Quaisquer que sejam as dificuldades, o responsável pelo tratamento dos dados deve poder sempre provar que, em primeiro lugar, obteve o consentimento explícito de cada pessoa em causa e, em segundo lugar, que esse consentimento foi dado com base em informações suficientemente precisas.
13 Ver igualmente o "Parecer 8/2001 sobre o tratamento de dados pessoais no contexto do emprego" do Grupo de Trabalho do artigo 29.° (WP 84, secção 10).
10 / 23
d) Também contrariamente ao disposto no artigo 7.°, o n.º 2, alínea a), do artigo 8.° reconhece que pode haver casos de tratamento de dados sensíveis em que nem sequer o consentimento explícito da pessoa em causa pode anular a proibição de tratamento: os Estados-Membros são livres de definir as condições e a forma de regulamentação pormenorizada de tais casos.
5. N.º 2, alínea c), do artigo 8.º: "interesses vitais da pessoa em causa"
O tratamento de dados pessoais sensíveis pode ser necessário para proteger interesses vitais da pessoa em causa, ou de uma outra pessoa, se a pessoa em causa se encontrar física ou legalmente incapaz de manifestar o seu consentimento.
O tratamento deve estar ligado a interesses pessoais essenciais da pessoa em causa ou de uma outra pessoa e deve - no contexto médico - ser necessário para uma terapêutica vital numa situação em que a pessoa em causa não esteja em condições de manifestar a sua vontade. Por conseguinte, esta excepção apenas pode aplicar-se a um número reduzido de casos de tratamento e nunca pode ser invocada para justificar o tratamento de dados médicos pessoais para finalidades diferentes do tratamento da pessoa em causa, como para levar a cabo investigação médica de carácter geral que apenas produzirá resultados no futuro14.
A título de exemplo: suponhamos que uma pessoa em causa perdeu a consciência após um acidente e não pode manifestar o seu consentimento em relação à divulgação necessária das respectivas alergias conhecidas. No contexto dos sistemas RSE, esta disposição permitiria o acesso de um profissional da saúde à informação armazenada no RSE a fim de obter pormenores sobre alergias conhecidas da pessoa em causa, dado que podem ser decisivos para as opções terapêuticas.
6. N.º 3 do artigo 8.º: "tratamento de dados (médicos) por profissionais da saúde"
O n.º 3 do artigo 8.° permite o tratamento de dados pessoais sensíveis desde que sejam respeitadas simultaneamente três condições: o tratamento desses sensíveis deve ser "necessário" e efectuar-se "para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos médicos ou gestão de serviços da saúde e quando o tratamento desses dados for efectuado por um profissional da saúde obrigado ao segredo profissional pelo direito nacional ou por regras estabelecidas pelos organismos nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de segredo equivalente".
a) Esta derrogação apenas abrange o tratamento de dados pessoais para a finalidade específica da prestação de serviços de saúde de carácter preventivo, diagnóstico, terapêutico ou pós-terapêutico e para efeitos de gestão destes serviços de cuidados de saúde, como para facturação, contabilidade ou estatísticas.
Não abrange o tratamento subsequente desnecessário para a prestação directa de tais serviços, como a investigação médica, o reembolso subsequente dos custos por um regime de seguro de doença ou a satisfação de reivindicações pecuniárias. Também não são abrangidas pelo n.º 3 do artigo 8.° algumas outras operações de tratamento de dados em domínios como a saúde pública e a protecção social, especialmente para assegurar a qualidade e a relação custo/eficácia dos procedimentos utilizados para regularizar pedidos de prestações e serviços
14 Para uma interpretação da disposição análoga constante do n.º 1, alínea e), do artigo 26.° no que respeita às transferências de dados para fora da UE, ver "Documento de trabalho sobre uma interpretação comum do n.º 1 do artigo 26.º da Directiva 95/46/CE de 24 de Outubro de 1995" (WP 114, de 25 de Novembro de 2005) do Grupo de Trabalho do artigo 29.°.
11 / 23
no âmbito do sistema de seguro de doença, visto que são referidos no considerando n.º 34 da Directiva como casos em que é legítimo invocar o n.º 4 do artigo 8.°.
b) Além disso, o tratamento de dados pessoais com base no n.º 3 do artigo 8.° deve ser "necessário" para as finalidades específicas referidas em a). O Grupo de Trabalho sublinha que, num contexto RSE, isto significa que a inclusão de dados pessoais num RSE terá de se justificar plenamente; não bastará alegar a mera "utilidade" da inclusão de tais dados pessoais no RSE.
c) A terceira condição nos termos do n.º 3 do artigo 8.° prevê que o tratamento de dados pessoais sensíveis deve ser efectuado por pessoal médico ou outro sujeito ao segredo (médico) profissional ou a uma obrigação equivalente de segredo.
O requisito ético de confidencialidade da classe médica foi inicialmente estabelecido no "Juramento Hipocrático"15 e subsequentemente confirmado na Declaração da Associação Médica Mundial de Genebra (1948). Protege as informações recolhidas por um profissional da saúde durante o tratamento de um doente. A utilização desta informação apenas é autorizada no respeito pelo contrato de tratamento. Esta relação de confidencialidade exclui quaisquer terceiros, mesmo profissionais da saúde terceiros, a menos que o doente tenha consentido transferir os seus dados ou que tal facto seja previsto especificamente na legislação.
O Grupo de Trabalho sublinha que a obrigação especial de segredo profissional deve ser estabelecida quer pela legislação nacional dos Estados-Membros, quer por organismos profissionais nacionais competentes com poderes para adoptarem regras vinculativas a nível da profissão. Estas regras nacionais em matéria de segredo profissional devem igualmente prever sanções efectivas em caso de violação.
Nos termos da Directiva, se for necessário que o pessoal não médico trate estes dados pessoais sensíveis, ele deve estar igualmente sujeito a regras vinculativas que assegurem, no mínimo, um grau de confidencialidade e protecção equivalente. Mais especificamente, estas regras devem prever a obrigação de os dados serem utilizados apenas para as finalidades referidas no n.º 3 do artigo 8.°.
Os profissionais da saúde directamente responsáveis pelo tratamento de doentes estão geralmente sujeitos à obrigação legal de conservar a documentação dos respectivos tratamentos médicos (actos, prescrições, etc.) nos registos dos doentes. Em conformidade com numerosas disposições jurídicas existentes sobre a obrigação de segredo profissional dos profissionais da saúde, a conservação e utilização de processos de doentes circunscreve-se tradicionalmente à relação directa bilateral entre um doente e o profissional da saúde/a instituição de cuidados de saúde que o doente consulta.
d) Como o n.º 3 do artigo 8.° da Directiva constitui uma isenção da proibição geral de tratamento de dados sensíveis, esta isenção deve ser interpretada de forma restrita.
e) Relativamente à questão de saber se o n.º 3 do artigo 8.° da Directiva pode constituir a única base jurídica para o tratamento de dados pessoais num sistema RSE, o Grupo de Trabalho do artigo 29.° considera que este número só pode dizer respeito ao tratamento de dados médicos para as finalidades médicas e de cuidados de saúde nele previstas e unicamente na condição de que o tratamento seja "necessário" e administrado por um profissional da saúde ou por outra pessoa sujeita a uma obrigação de segredo profissional ou a uma obrigação de segredo equivalente. Se o tratamento de dados pessoais no âmbito de um
15 "Aquilo que, no exercício ou fora do exercício da profissão e no convívio da sociedade, eu tiver visto ou ouvido, que não seja preciso divulgar, eu conservarei inteiramente secreto." (Fonte: http://pt.wikipedia.org/wiki/Juramento_de_Hip%C3%B3crates).
12 / 23
RSE ultrapassar de algum modo estas finalidades ou não satisfizer as referidas condições, o n.º 3 do artigo 8.° não pode constituir a única base jurídica para o tratamento desses dados pessoais.
Contudo, mesmo que sejam preenchidos todos estes requisitos prévios, o Grupo de Trabalho do artigo 29.° sublinha que os sistemas RSE criam um novo cenário de risco, que requer garantias adicionais em contrapartida: os sistemas RSE facultam o acesso directo a uma compilação da documentação existente sobre o tratamento médico de uma dada pessoa, proveniente de fontes diferentes (por exemplo, hospitais e profissionais da saúde) e referente a toda a sua vida. Estes sistemas RSE ultrapassam, por conseguinte, os limites tradicionais da relação directa do doente individual com um profissional ou uma instituição de saúde: a conservação de informações médicas num RSE excede o âmbito dos métodos tradicionais de conservação e utilização da documentação médica relativa aos doentes. No plano técnico, múltiplos pontos de acesso a uma rede aberta como a Internet aumentam o risco de intercepção de dados sobre os doentes. A manutenção da norma jurídica de confidencialidade, adequada num ambiente tradicional de registos em papel, pode não bastar para proteger a privacidade de um doente quando os registos de saúde electrónicos são colocados em linha. Os sistemas RSE plenamente desenvolvidos tendem, portanto, a abrir e a facilitar o acesso às informações médicas e aos dados pessoais sensíveis. Os sistemas RSE constituem desafios significativos quando se pretende assegurar que só os profissionais da saúde habilitados acedam à informação para finalidades legítimas ligadas aos cuidados da pessoa em causa. Dificultam também o tratamento de dados pessoais sensíveis, com implicações directas nos direitos das pessoas. Consequentemente, um sistema RSE deve ser considerado um novo cenário de risco no que respeita à protecção de dados pessoais sensíveis.
A principal garantia tradicional prevista no n.º 3 do art. 8.º - para além da limitação da finalidade e do requisito e da necessidade estrita - é a obrigação de confidencialidade dos profissionais médicos em relação a dados médicos sobre os respectivos doentes. Esta situação pode já não ser inteiramente aplicável num contexto RSE, uma vez que uma das finalidades do mesmo consiste em facultar o acesso à documentação médica para fins terapêuticos a profissionais que não participaram no tratamento anterior, documentado num ficheiro médico.
Por conseguinte, o Grupo de Trabalho do artigo 29.° não está persuadido de que, num contexto RSE, mesmo que o n.º 3 do artigo 8.° seja invocado como justificação do tratamento de dados, se deva contar apenas com a obrigação de segredo profissional para garantir uma protecção suficiente. Um novo cenário de risco requer garantias adicionais e possivelmente novas, para além das previstas no n.º 3 do artigo 8.°, a fim de assegurar a protecção adequada dos dados pessoais num contexto RSE.
7. N.º 4 do artigo 8.º: isenções devidas a um interesse público importante Algumas disposições da Directiva prevêem um significativo grau de flexibilidade para estabelecer um equilíbrio adequado entre, por um lado, a protecção dos direitos da pessoa em causa e, por outro, os interesses legítimos dos responsáveis pelo tratamento e de terceiros e o interesse público eventualmente existente.
O n.º 4 do artigo 8.° da Directiva autoriza os Estados-Membros a introduzirem novas derrogações em relação à proibição do tratamento de categorias de dados sensíveis:
"Sob reserva de serem prestadas as garantias adequadas, os Estados-Membros poderão estabelecer, por motivos de interesse público importante, outras derrogações para além das previstas no n.º 2, quer através de disposições legislativas nacionais, quer por decisão da autoridade de controlo referida no artigo 28º."
13 / 23
O considerando n.º 34 tem a seguinte redacção:
"(34) Considerando que, sempre que um motivo de interesse público importante o justifique, os Estados-Membros devem também ser autorizados a estabelecer derrogações à proibição de tratamento de categorias de dados sensíveis em domínios como a saúde pública e a segurança social - em especial para garantir a qualidade e a rentabilidade no que toca aos métodos utilizados para regularizar os pedidos de prestações e de serviços no regime de seguro de doença - e como a investigação científica e as estatísticas públicas; que lhes incumbe, todavia, estabelecer garantias adequadas e específicas para a protecção dos direitos fundamentais e da vida privada das pessoas;"
a) Consequentemente, se um Estado-Membro pretender recorrer a este meio, a isenção deve constar de uma disposição jurídica ou de uma decisão da autoridade de controlo (base jurídica especial).
b) Tal processamento de dados pessoais sensíveis deve assentar em motivos de interesse público importante. O considerando n.º 34 da Directiva dá exemplos de domínios particularmente adequados em que podem estar em causa situações "de interesse público importante". Trata-se nomeadamente dos domínios da saúde pública e da segurança social, a fim de garantir a qualidade e a rentabilidade dos procedimentos utilizados para regularizar os pedidos de prestações e os serviços no regime de seguro de doença.
O interesse público importante deve ser sempre explicitado pelo Estado-Membro em relação a todo o âmbito do tratamento isento e o tratamento deve ser necessário à luz desse interesse público importante. Tal medida deve ser proporcional, ou seja, não deve haver outras medidas disponíveis que impliquem um menor grau de ingerência.
Além disso, para que seja legítima, qualquer ingerência no direito à vida privada e familiar deve estar em conformidade com o artigo 8.° da Convenção Europeia dos Direitos do Homem e deve ser interpretada à luz da jurisprudência de Estrasburgo: é necessário que esteja "prevista na lei" e deve "constituir uma providência que, numa sociedade democrática, seja necessária" para uma finalidade de interesse público. A jurisprudência de Estrasburgo sublinhou repetidamente que a legislação que prevê a ingerência "deve indicar com suficiente clareza o alcance do poder discricionário conferido às autoridades competentes e o modo como este deve ser exercido, tendo em conta o objectivo legítimo da medida em questão, a fim de garantir aos indivíduos protecção adequada contra a ingerência arbitrária."
c) Os Estados-Membros são obrigados a prever garantias específicas e adequadas para proteger os direitos fundamentais e a privacidade das pessoas nesse contexto.
d) O recurso ao n.º 4 do artigo 8.° por parte de um Estado-Membro deve ser notificado à Comissão em conformidade com o n.º 6 do artigo 8.° da Directiva.
No contexto do RSE, o Grupo de Trabalho do artigo 29.° sublinha que a argumentação a favor da introdução de sistemas RSE (cf. ponto I) pode alegar um "interesse público importante". Nalguns Estados-Membros, o "direito à protecção da saúde" está consagrado na Constituição, o que demonstra a importância atribuída a todos os meios adequados para assegurar a "protecção da saúde". Um sistema RSE em tais contextos jurídicos deve seguramente basear-se no "interesse público importante", visto tratar-se de um instrumento destinado essencialmente a garantir a assistência médica adequada aos doentes.
14 / 23
O n.º 4 do artigo 8.° da Directiva pode, por conseguinte, constituir a base jurídica de sistemas RSE, desde que todas as condições nele mencionadas sejam satisfeitas. Mais especificamente, devem ser previstas garantias adequadas de protecção de dados pessoais nos sistemas RSE.
Na secção que se segue, o Grupo de Trabalho analisa as garantias possíveis, assim como o enquadramento jurídico adequado para os sistemas RSE.
III. Reflexões sobre um enquadramento jurídico adequado para os sistemas RSE
O Grupo de Trabalho do artigo 29.° passa agora a analisar os temas que carecem particularmente de garantias especiais16 no âmbito dos sistemas RSE para salvaguardar os direitos de defesa dos doentes em matéria de protecção de dados. Tendo em conta o impacto dos sistemas RSE e a necessidade especial de transparência de tais sistemas, as garantias devem estar preferivelmente previstas num enquadramento jurídico global especial.
1. Respeito pela autodeterminação
Mesmo que um sistema RSE não assente inteiramente no consentimento como base jurídica (n.º 2 do artigo 8.°), a autodeterminação do doente em relação a quando e como os respectivos dados são utilizados deve desempenhar um papel de garantia importante17.
a) A funcionalidade da "aceitação" no contexto das garantias adequadas é diferente do "consentimento" previsto no n.º 2 do artigo 8.° da Directiva e não é, portanto, necessário que satisfaça todos os requisitos desse número: por exemplo, enquanto o consentimento como base jurídica para o tratamento de dados de saúde tem sempre de ser "explícito", nos termos do n.º 2 do artigo 8.°, a aceitação como garantia não tem necessariamente de ser explícita; a possibilidade de manifestar a autodeterminação pode, consoante as circunstâncias, também assumir a forma de auto-exclusão/direito de recusa.
b) Dado que os vários tipos de informação sobre a saúde podem ter efeitos prejudiciais de grau variável, importa prever categorias de utilização com graus diferentes de exercício da autodeterminação.
As disposições jurídicas que estabelecem um sistema RSE devem geralmente prever que a introdução de dados no RSE, ou o acesso a tais dados, devem ser regidos por um sistema cumulativo de requisitos em matéria de auto-inclusão ("opt-in") (especialmente em caso de tratamento de dados que possam ser ainda mais lesivos, como dados psiquiátricos, dados sobre abortos, etc.18) e de auto-exclusão ("opt-out") em relação a dados menos confidenciais19. Poder-se-ia assim assegurar, por um lado, a protecção necessária e, por outro,
16 Os requisitos gerais previstos na Directiva 95/46/CE em relação ao tratamento lícito dos dados pessoais não são retomados nesta parte do documento, uma vez que se aplicam sempre. O presente documento apenas aborda requisitos adicionais específicos em relação ao tratamento de dados médicos em sistemas RSE, que se afiguram necessários como contrapartida do cenário especial de risco para a privacidade decorrente dos sistemas RSE. 17 Nalgumas jurisdições há não só um direito fundamental à protecção dos dados como também um direito constitucional à protecção óptima da saúde: consequentemente, na sequência desta obrigação de facultar o tratamento ideal, alguns Estados-Membros concederam aos profissionais da saúde o acesso automático aos dados disponíveis no sistema RSE. Isto afigura-se aceitável desde que seja alcançado o equilíbrio necessário através de uma maior ênfase noutras garantias, como a regulamentação pormenorizada das circunstâncias de acesso lícito e sobre as consequências - graves - em caso de utilização abusiva dos direitos de acesso, etc. 18 Podiam ser utilizadas técnicas específicas, como "envelopes selados", susceptíveis de serem abertos sem a cooperação da pessoa em causa. 19 As soluções de auto-exclusão requerem, no entanto, que o doente seja adequadamente informado para que possam constituir "garantias adequadas".
15 / 23
a viabilidade e a flexibilidade.
c) Em princípio, se assim o entender, um doente deve poder sempre proibir a divulgação a outros profissionais da saúde dos respectivos dados médicos recolhidos por um profissional da saúde durante o seu tratamento.
Há que ponderar igualmente a questão da forma como deve ser abordada a proibição do acesso à informação num RSE: a proibição poderá ser ocultada para que não seja detectável ou, nalguns casos, deverá talvez existir uma mensagem que indique a existência de informações adicionais, apenas disponíveis em determinadas condições específicas
d) No pressuposto de que ninguém pode ser forçado a participar num sistema RSE, as disposições jurídicas que o estabelecem devem abordar a questão da possível retirada completa do sistema RSE. As regras devem prever se tal facto desencadeia a obrigação da supressão total ou apenas implica impedir o acesso subsequente aos dados existentes no sistema RSE; esta escolha podia ser igualmente exercida pelas pessoas em causa.
2. Identificação e autenticação dos doentes e profissionais da saúde
a) A identificação fiável20 dos doentes nos sistemas RSE reveste-se de uma importância crucial. Se forem utilizados dados de saúde referentes à pessoa errada em virtude da identificação incorrecta de um doente, as consequências serão frequentemente prejudiciais.
Os cartões de saúde inteligentes podem contribuir significativamente para a identificação electrónica adequada dos doentes, bem como para a sua autenticação21, se pretenderem aceder aos respectivos dados RSE. b) Além disso, a sensibilidade especial dos dados de saúde requer que não seja facultado qualquer tipo de acesso a pessoas não autorizadas. A fiabilidade do controlo de acesso depende da fiabilidade da identificação22 e da autenticação. É, portanto, necessário identificar inequivocamente e autenticar correctamente os utilizadores23.
Como uma das principais vantagens dos sistemas RSE é a sua disponibilidade por via electrónica, qualquer que seja o local e o momento, terão de ser estabelecidas rotinas fiáveis de identificação e autenticação electrónicas. Há que ponderar, pelo menos a mais longo prazo, a autenticação através de assinaturas electrónicas - facultadas aos utilizadores autorizados junto com uma identificação oficial adequada, por exemplo em cartões inteligentes especiais-, a fim de evitar os riscos conhecidos da autenticação por senha.
Para os profissionais da saúde, será necessário desenvolver um sistema de identificação e autenticação que comprove não só a sua identidade, como também a que título actuam por via electrónica, por exemplo na qualidade de psiquiatras ou enfermeiros.
3. Autorização de acesso de leitura e escrita ao RSE
a) Garantias gerais de acesso:
20 Entende-se por "identificação" a descrição de uma pessoa por identificadores, como o nome, a data de nascimento, o endereço, etc.; neste contexto, tal descrição terá de ser certificada oficialmente por intermédio de uma certidão de nascimento, um passaporte, um cartão de saúde, etc. 21 Entende-se por "autenticação" uma prova do facto de que uma pessoa que alega ter uma determinada identidade é realmente essa pessoa. Efectua-se geralmente exibindo um documento de identidade oficial que inclua uma fotografia (por exemplo, um passaporte), ou - no mundo electrónico - através do recurso a uma assinatura electrónica. 22 A "identificação fiável" não deve recorrer a números de identificação, que são muito utilizados noutros contextos sem garantias específicas, para evitar a interconexão fácil (ver o n.º 7 do artigo 8.° da Directiva). 23 Em França, as primeiras experiências com os SER, que estão prestes a iniciar-se, assentam na criação de um identificador específico; não é ainda seguro que este sistema vá ser mantido na versão final do RSE.
16 / 23
Os dados dos sistemas RSE são registos médicos confidenciais. Por conseguinte, o acesso a um RSE deve assentar no princípio essencial de que – para além do próprio doente - só podem ter acesso os profissionais da saúde/pessoal autorizado dos estabelecimentos de cuidados de saúde que estão nessa altura envolvidos no tratamento do doente. Deve existir, portanto, uma autêntica relação de tratamento entre o doente e o profissional da saúde que pretenda aceder ao respectivo registo RSE.
Afigura-se igualmente necessário regulamentar quais as categorias e os níveis de profissionais da saúde/estabelecimentos que têm acesso aos dados do RSE (clínicos, médicos hospitalares, farmacêuticos, enfermeiros e eventualmente quiropráticos, psicólogos, terapeutas familiares, etc.)
A protecção de dados podia ser ainda reforçada através de direitos de acesso modulares, ou seja, através da criação de categorias de dados médicos num sistema RSE, sendo portanto o acesso limitado a categorias específicas de profissionais/estabelecimentos de cuidados de saúde24. As possíveis vantagens de uma estrutura RSE modular serão abordadas no ponto 6.
b) Garantias de acesso especiais que envolvem o doente:
Caso seja possível e exequível – ou seja, se o doente estiver presente e capaz de agir – o doente deve poder proibir o acesso aos seus dados RSE se assim o entender. Isto requer a informação prévia sobre quem, quando e porquê o pedido de acesso aos seus dados e sobre as consequências eventuais da recusa de acesso. Devem ser elaborados procedimentos que evitem uma pressão psicológica abusiva sobre o doente no sentido de obter o seu consentimento em relação a pedidos de acesso aos seus dados.
Se for necessária uma prova da aceitação pelo doente do acesso aos seus dados RSE, são indispensáveis instrumentos fiáveis para o efeito, como a verificação electrónica do token do doente ou, se tais instrumentos estiverem já muito difundidos, a assinatura electrónica do doente, etc. A apresentação de tal prova deve ser documentada electronicamente com vista a eventuais auditorias.
Devem ser elaboradas regras que determinem se a pessoa em causa pode exigir que certos dados não sejam introduzidos no seu ficheiro. "Envelopes selados" que não possam ser abertos sem o consentimento explícito da pessoa em causa podem constituir igualmente uma solução possível.
c) Acesso das pessoas em causa aos seus próprios dados RSE:
A questão de se determinar se deve ser concedido aos doentes o acesso directo de leitura (electrónica) aos respectivos RSE é uma questão de exequibilidade médica. O direito de acesso ligado à protecção de dados, por exemplo ao abrigo do artigo 12.° da Directiva 95/46/CE, nem sempre implica necessariamente um acesso directo. O acesso directo pode, contudo, contribuir consideravelmente para a confiança depositada num sistema RSE. Do ponto de vista da protecção de dados, uma condição prévia para conceder o acesso directo seria a identificação e a autenticação electrónicas seguras, a fim de impedir o acesso de pessoas não autorizadas.
As disposições relativas aos sistemas RSE devem igualmente determinar se devem ser os próprios doentes a introduzir dados nos respectivos RSE ou se tais dados devem ser introduzidos por um profissional da saúde. A transparência adequada das rotinas de codificação, ao revelar o autor das entradas num registo RES, solucionaria provavelmente eventuais problemas de responsabilidade em relação à exactidão dos dados. Podia ser 24 Por exemplo, o acesso aos dados sobre o tratamento psiquiátrico podia ser restringido numa primeira abordagem aos psiquiatras; assim como podia existir igualmente um módulo de medicação especial acessível aos farmacêuticos, que não teriam acesso às outras partes do sistema RSE.
17 / 23
igualmente ponderada a limitação de acesso de escrita a um módulo específico dentro de um registo RSE.
Neste contexto, há que atender às capacidades e necessidades específicas dos doentes crónicos, idosos, deficientes e inválidos.
4. Utilização do RSE para outras finalidades
A aceitação dos sistemas RSE pelos cidadãos dependerá da confiança que depositem na confidencialidade do sistema.
A justificação do acesso legítimo aos dados RSE deve corresponder ao objectivo principal de qualquer sistema RSE, ou seja, ao tratamento médico bem sucedido devido a uma melhor informação. O Grupo de Trabalho considera que deve ser em princípio proibido o acesso aos dados médicos do RSE para finalidades diferentes das referidas no n.º 3 do artigo 8.°. Tal facto exclui, por exemplo, o acesso ao RSE por parte de profissionais médicos que actuam na qualidade de peritos por conta de terceiros, como para companhias de seguros privadas, no âmbito de litígios, para a concessão de subsídios de reforma, para a entidade patronal das pessoas em causa, etc. Além disso, deve ser elaborada legislação disciplinar aplicável aos profissionais da saúde para combater efectivamente infracções a estas regras.
Devem ser adoptadas medidas específicas para evitar que os doentes sejam ilegalmente induzidos a divulgar os seus dados RSE, por exemplo a pedido de um empregador prospectivo ou de uma companhia de seguros privada. A educação do doente é essencial para impedir que sejam aceites pedidos de divulgação ilegais ao abrigo da legislação de protecção de dados. Pode ser igualmente necessário utilizar meios técnicos, como requisitos especiais em relação à impressão de todo o conteúdo de um RSE, etc.
Como excepção à regra acima estabelecida, pode ser autorizado o tratamento de dados RSE para efeitos de investigação científica médica e estatísticas governamentais, desde que todas estas excepções estejam em conformidade com a Directiva (cf. n.º 4 do artigo 8.° e considerando n.º 34 correspondente): a legislação deve, portanto, prever finalidades específicas previamente estabelecidas em condições especiais que garantam a proporcionalidade ("garantias adequadas") a fim de proteger os direitos fundamentais e a privacidade das pessoas.
Além disso, sempre que possível e exequível, os dados dos sistemas RSE apenas devem ser utilizados para outras finalidades (como estatísticas ou a avaliação da qualidade) de forma anónima ou, no mínimo, com pseudónimos seguros25.
5. Estrutura organizativa de um sistema RSE
No quadro do debate sobre as várias alternativas organizativas em relação ao armazenamento de dados nos sistemas RSE, são geralmente apontadas as seguintes grandes soluções:
• RSE como sistema de acesso a registos médicos conservados pelo profissional da saúde, que tem a obrigação de manter registos sobre o tratamento dos seus doentes – uma solução frequentemente denominada "armazenamento descentralizado", ou
• RSE como sistema uniforme de armazenamento, para onde os profissionais da medicina devem transferir a sua documentação - frequentemente denominada
25 Entende-se por utilização de pseudónimos a atribuição de uma nova denominação a identificadores (como o nome e a data de nascimento), preferivelmente através de cifragem, para que o destinatário das informações não possa identificar a pessoa em causa.
18 / 23
"armazenamento centralizado";
• Uma terceira alternativa poderia ser autorizar a pessoa em causa a gerir os seus próprios registos médicos, permitindo-lhe o armazenamento dos respectivos dados médicos no âmbito de um serviço especial em linha por ela controlado, que podia eventualmente deixá-la optar sobre os dados a incluir no RSE26.
a) Embora a terceira alternativa (armazenamento sob o controlo da pessoa em causa) se afigure a melhor solução em termos de autodeterminação, a sua exactidão e exaustividade podem levantar problemas se for apenas a pessoa em causa a decidir que dados são armazenados no seu RSE e se o sistema não previr um mecanismo de rectificação por um profissional da medicina.
b) No caso de um modelo de armazenamento "descentralizado", que apenas passa a ser um "sistema" caso sejam criadas as vias de pesquisa correspondentes, permaneceria inalterada a estrutura existente de documentação de dados de saúde dos vários prestadores de cuidados de saúde. Neste sistema, a facilidade de pesquisa dos dados de um doente varia consoante a qualidade do sistema de pesquisa.
Neste modelo organizativo, o profissional ou a instituição de cuidados de saúde continua a ser o "responsável pelo tratamento" do ficheiro (ou, mais especificamente, da parte do registo RSE por si criada). Dada a complexidade da arquitectura deste modelo, pode ser necessário instituir um organismo central responsável pela gestão e controlo de todo o sistema que assegure o respeito pela protecção de dados. Pode ser igualmente útil que as pessoas em causa possam apresentar os seus problemas de protecção de dados a um organismo central, em vez de terem de procurar um dos inúmeros responsáveis pelo tratamento.
c) A principal vantagem do chamado sistema de armazenamento "centralizado" seria possivelmente uma maior segurança e disponibilidade técnica (acesso 24 horas por dia), que não será fácil de assegurar se o sistema RSE ultrapassar o âmbito hospitalar. Haverá um único responsável pelo tratamento a nível de todo o sistema, distinto dos profissionais/estabelecimentos de cuidados de saúde que transmitem os respectivos documentos (no todo ou em parte) para o sistema central.
Em termos de protecção de dados, poderia objectar-se que um sistema desse tipo aumenta o risco de utilização abusiva dos dados armazenados centralmente. Podiam ser previstas disposições e medidas de segurança especiais (como o armazenamento cifrado) para compensar, no mínimo de forma adequada, os riscos de segurança em relação aos dados armazenados centralmente. No entanto, a responsabilidade pela confidencialidade do sistema deixa de incumbir aos profissionais da medicina, o que poderá influenciar a confiança dos doentes num tal sistema.
O grau de influência do doente sobre o conteúdo e a divulgação do seu registo RSE depende em ambos os casos - armazenamento descentralizado ou centralizado – da configuração específica do sistema (ver ponto 3. b).
6. Categorias de dados armazenados nos RSE e respectivos modos de apresentação
Os "sistemas RSE" assentam na recolha de todos os dados relativos à saúde de uma pessoa específica que possam ser relevantes para o seu estado de saúde a longo prazo, de forma a
26 É o caso do modelo francês que está actualmente a ser implementado. Esses fornecedores de serviços são chamados hosts (anfitriões) e a sua situação é regulada por um decreto que foi sujeito ao parecer prévio da CNIL. É complexo e centra-se em questões de acreditação desses fornecedores de serviços e na segurança do sistema.
19 / 23
que, num tratamento futuro, se encontrem disponíveis informações completas e pertinentes e que os doentes tenham uma maior probabilidade de bons resultados.
O Grupo de Trabalho considera que isso pode conduzir aos seguintes problemas principais:
a) É praticamente impossível e também indesejável a "exaustividade" de um ficheiro de saúde: só devem ser introduzidas no RSE informações relevantes. Uma das questões mais difíceis aquando da criação de um sistema RSE é, por conseguinte, determinar quais as categorias de dados médicos que nele devem ser registadas e o período durante o qual devem ser conservadas27. Embora os peritos médicos tenham uma primeira palavra a dizer sobre esta questão, ela tem igualmente implicações na protecção de dados: de acordo com os princípios da relevância e da proporcionalidade da recolha de dados, cada compilação dos mesmos deve limitar-se aos dados relevantes e não excessivos para a finalidade do tratamento de dados (n.º 1, alínea c), do artigo 6.° da Directiva). A legitimidade dos sistemas RSE dependerá, portanto, igualmente de uma escolha adequada das categorias "correctas" de dados e da duração "correcta" do período de armazenamento das informações no RSE.
b) No que respeita à apresentação dos dados no RSE: o facto de ser possível distinguir categorias diferentes de dados de saúde que requerem graus de confidencialidade também bastante diferentes sugere que, de uma forma geral, pode ser útil criar vários módulos de dados nos sistemas RSE dotados de requisitos de acesso diferentes: um "módulo de dados de vacinação" deve estar sempre acessível à pessoa em causa e pode igualmente estar acessível a um vasto leque de pessoal dos serviços de cuidados de saúde; um "módulo de dados de medicação" pode comportar uma forma especial de acesso aos farmacêuticos, se o doente concordar28; um "módulo de dados de emergência" pode ser dotado, por exemplo, de meios técnicos especiais de acesso. Também faria sentido a criação de "sistemas de convocação" especiais; serviriam para recordar automaticamente ao doente a necessidade de vacinas, exames de saúde e exames de acompanhamento.
Dados particularmente sensíveis podiam igualmente ser melhor protegidos se fossem armazenados em módulos distintos com condições de acesso muito estritas. São disso exemplo dados sobre tratamentos psiquiátricos, o HIV ou o aborto. Em vez de excluir estes dados do RSE – o que poderá prejudicar o sucesso de futuros tratamentos médicos -, o sistema devia prever limitações especiais de acesso a tais dados RSE, incluindo o consentimento explícito do doente e barreiras técnicas especiais (como "envelopes selados").
c) Ao definir a estrutura dos registos RSE, há que atender igualmente a pesquisas específicas de informação repetitivas. Um exemplo: ao abrigo da legislação nacional, as companhias de seguros privadas podiam ser autorizadas a receber alguma informação (limitada) em relação a registos de saúde, desde que necessária no contexto do cumprimento das suas obrigações contratuais para com doentes segurados. Conceder às companhias de seguros privadas acesso ao RSE de um doente afigura-se inaceitável. Por isso, uma solução podia ser a criação de um "pacote documental" específico normalizado que, sempre que necessário, satisfaça os interesses legítimos de informação da seguradora e que, mediante autorização do doente, pode ser enviado (por via electrónica) à companhia de seguros privada.
27 Há categorias de dados que são importantes ao longo de toda a vida de um doente (como sobre alergias), mas também há dados que são extremamente importantes apenas durante um breve período, como as incompatibilidades entre tratamentos. 28 A vantagem de dispor de um tal módulo de medicação no RSE seria dupla, visto que proporcionaria igualmente ao médico assistente a oportunidade de ver na íntegra a medicação do doente.
20 / 23
7. Transferência internacional de registos médicos
O acesso electrónico aos dados médicos dos sistemas RSE pode reforçar consideravelmente os meios diagnósticos ou terapêuticos ao mobilizar competências médicas apenas disponíveis em estabelecimentos de saúde estrangeiros. A consulta adicional de peritos estrangeiros para fins diagnósticos geralmente não requer a revelação da identidade do doente. Por conseguinte, se possível, tais dados apenas devem ser transferidos para países situados fora da União Europeia/Espaço Económico Europeu sob anonimato ou, no mínimo, utilizando pseudónimos. Se não houver um consentimento explícito da pessoa em causa em relação à transferência de dados pessoais29, será igualmente desnecessário autorizar a transferência de dados, uma vez que a pessoa em causa não é identificável pelo destinatário.
Tendo em conta o risco elevado para os dados pessoais de um sistema RSE num contexto que não disponha de protecção adequada, o Grupo de Trabalho do artigo 29.° sublinha que qualquer tratamento – em especial o armazenamento - de dados RSE deve decorrer em jurisdições que apliquem a Directiva da UE relativa à protecção de dados ou num enquadramento jurídico adequado à protecção de dados.
Um problema específico são os fluxos de dados transfronteiriços no âmbito de estudos clínicos: o grupo de estudo que lida directamente com os doentes pode por vezes necessitar de acesso aos dados RSE na sua forma personalizada original. Em relação a todas as transferências de dados de estudos clínicos para patrocinadores ou outras instituições licitamente envolvidas, um requisito mínimo prévio deve ser, contudo, a obrigatoriedade do recurso a pseudónimos seguros, designadamente se tais patrocinadores estiverem estabelecidos em países sem uma protecção de dados adequada.
Neste quadro, há que prestar especial atenção às questões da segurança dos dados para evitar o risco de divulgação não autorizada em contextos que possam não ser seguros em matéria de protecção de dados.
8. Segurança dos dados
A aceitabilidade de um sistema de tratamento de dados com riscos possivelmente excepcionais depende de um nível elevado de segurança dos dados que seja também adequado para o funcionamento global do sistema. Para que o sistema seja aceitável numa perspectiva de protecção de dados, importa impedir e tornar praticamente impossível o acesso de pessoas não autorizadas. Contudo, caso seja realmente imprescindível, o acesso ao sistema deve ser praticamente ilimitado para os profissionais autorizados a fim de que o sistema possa alcançar o seu objectivo de melhorar o tratamento médico de doentes.
O enquadramento jurídico com vista à criação de sistemas RSE terá de prever a implementação de uma série de medidas técnicas e organizativas adequadas que permitam evitar perdas de dados, assim como a alteração, o tratamento e o acesso não autorizados dos dados contidos no sistema. Há que assegurar a integridade do sistema através do recurso aos conhecimentos e instrumentos que correspondam ao estado da técnica em matéria de informática e tecnologias da informação.
Sempre que possível, devem ser utilizadas tecnologias de protecção da privacidade (TPP)30 para promover a protecção dos dados pessoais. A cifragem deve ser utilizada não só para a 29 Em situações em que um doente é fisicamente incapaz de responder a um pedido de consentimento (por exemplo, numa situação de coma), os seus dados médicos podem, não obstante, em conformidade com o n.º 1, alínea e), do artigo 26.° da Directiva, ser transferidos para países que não disponham de uma protecção adequada dos dados se os seus interesses vitais o exigirem. 30 Em relação às TPP, ver o ponto 4.3 do documento da Comissão "Primeiro relatório sobre a implementação da Directiva relativa à protecção de dados (95/46/CE)", COM (2003) 265 final.
21 / 23
transferência como também para o armazenamento de dados nos sistemas RSE. Todas as medidas de segurança devem ser conviviais para que sejam largamente aplicadas. Importa considerar os custos necessários como um investimento na compatibilidade dos sistemas RSE com os direitos fundamentais, que será uma das condições prévias mais importantes para assegurar o êxito dos sistemas RSE.
Independentemente do facto de muitas das garantias acima discutidas já comportarem uma vertente de segurança dos dados, o enquadramento jurídico das medidas de segurança deve designadamente prever:
• o desenvolvimento de um sistema fiável e efectivo de identificação e autenticação electrónicas, assim como registos permanentemente actualizados para verificar de forma rigorosa a autorização concedida às pessoas que têm ou solicitam acesso ao sistema RSE;
• a codificação e a documentação exaustivas de todas as etapas de tratamento efectuadas no sistema, em especial dos pedidos de acesso de leitura ou escrita, assim como verificações internas periódicas e medidas de controlo da correcção da autorização;
• mecanismos efectivos de cópia de segurança e de recuperação para preservar o conteúdo do sistema;
• a prevenção do acesso não autorizado ou da alteração dos dados RSE aquando da transferência ou do armazenamento da cópia de segurança, por exemplo através da utilização de algoritmos criptográficos;
• instruções escritas claras a todo o pessoal autorizado sobre como utilizar correctamente os sistemas RSE e evitar riscos e violações de segurança;
• uma distinção clara de funções e competências no que respeita às categorias de pessoas responsáveis pelo sistema, ou pelo menos nele envolvidas, numa óptica de responsabilidade em caso de problema;
• a auditoria interna e externa periódica da protecção de dados.
9. Transparência
Afigura-se evidente que os RSE têm grandes potencialidades no domínio do tratamento médico, embora em princípio estejam também muito sujeitos a abusos em matéria de acesso não autorizado. Para que neles possam confiar, a opinião pública e as pessoas exigirão, portanto, uma maior transparência do conteúdo e do funcionamento dos sistemas RSE. Os responsáveis pelo tratamento do sistema devem assegurar a notificação das autoridades de controlo da protecção de dados, assim como informações específicas, facilmente acessíveis e compreensíveis. A utilização da Internet como veículo privilegiado de circulação da informação pode contribuir para garantir a transparência necessária do ou dos sistemas RSE existentes a nível nacional.
Um contributo valioso para a transparência e, por conseguinte, para a confiança no sistema, podiam ser pontos de acesso gratuitos e conviviais, embora seguros, que permitissem às pessoas em causa verificar o conteúdo e a divulgação dos respectivos registos RSE.
10. Questões de responsabilidade
Os sistemas RSE devem igualmente assegurar que o risco de eventuais violações da privacidade devido ao armazenamento e fornecimento de dados médicos neles contidos seja adequadamente compensado pela responsabilidade pelos prejuízos causados, por exemplo devido à utilização incorrecta ou não autorizada de dados RSE.
22 / 23
Numa análise dos possíveis problemas ligados aos sistemas RSE numa perspectiva de protecção de dados, apenas é possível aflorar as questões de responsabilidade por utilização incorrecta dos sistemas RSE. No entender do Grupo de Trabalho, qualquer Estado-Membro que pretenda introduzir um sistema RSE deve efectuar previamente estudos cuidados e aprofundados, realizados por peritos, sobre a legislação nas esferas civil e médica, assim como avaliações de impacto, para clarificar as novas questões de responsabilidade que provavelmente se colocarão neste contexto, nomeadamente no que respeita à exactidão e exaustividade dos dados introduzidos no RSE, à definição do acesso ao RSE dos profissionais da saúde que tratem determinado doente ou às consequências previstas na legislação em matéria de responsabilidade se o acesso não for possível por motivos técnicos, etc.
11. Mecanismos de controlo do tratamento de dados nos RSE
Tendo em conta o cenário de risco especial criado pelo estabelecimento dos sistemas RSE, são necessários mecanismos de controlo efectivos para avaliar as garantias existentes. A complexidade das informações armazenadas nos RSE, para além da multiplicidade de possíveis utilizadores, pode requerer novos procedimentos em matéria de direitos de acesso das pessoas em causa:
a) Deve ser instituído um procedimento especial de arbitragem de litígios sobre a utilização correcta de dados nos sistemas RSE; as pessoas em causa devem poder recorrer fácil e gratuitamente a um tal procedimento. Dado o facto de serem geralmente necessárias competências médicas específicas para apreciar alegações de informações falsas ou desnecessárias tratadas nos sistemas RSE, as autoridades de controlo da protecção de dados poderão não ser o órgão mais adequado para as tratar, pelo menos numa primeira abordagem. Caso já existam, os "advogados dos doentes" públicos podem ser incumbidos desta tarefa.
b) Um sistema RSE deve assegurar que a pessoa em causa possa exercer os seus direitos de acesso sem dificuldades de maior. Em princípio, o responsável pelo tratamento é obrigado a facultar o acesso. Os sistemas RSE são, contudo, sistemas de agregação de informação com muitos responsáveis diferentes pelo tratamento. Nos sistemas que tenham um elevado número de responsáveis pelo tratamento, deve existir uma só instituição específica responsável perante as pessoas em causa pelo tratamento adequado dos pedidos de acesso. Em virtude da complexidade previsível dos RSE plenamente operacionais e da necessidade de promover a confiança dos doentes no sistema, afigura-se essencial que os doentes cujos dados são processados num sistema RSE saibam como contactar um parceiro responsável com quem possam debater eventuais falhas do sistema. Toda a regulamentação dos sistemas RSE deve incluir disposições específicas para o efeito.
c) Para instaurar um clima de confiança, poderá ser criada uma rotina especial destinada a informar a pessoa em causa sobre quem acedeu e quando aos dados do seu RSE. O envio periódico às pessoas em causa de uma lista das pessoas ou instituições que acederam ao seu ficheiro tranquilizaria os doentes, pois estariam ao corrente do que sucede aos respectivos dados RSE.
d) Devem efectuar-se auditorias internas e externas periódicas dos protocolos de acesso numa óptica de protecção de dados. O já referido relatório de acesso anual enviado às pessoas em causa constituiria mais um meio eficaz para verificar que os dados RES estão a ser utilizados de forma lícita. A existência de funcionários de protecção de dados nos hospitais que participam nos sistemas RSE aumentaria seguramente a probabilidade da utilização correcta dos dados neles existentes.
23 / 23
IV. CONCLUSÃO Todas as pessoas e todos os doentes têm direito à privacidade e podem, portanto, esperar legitimamente que todos os profissionais da saúde assegurem estritamente a confidencialidade e a protecção dos seus dados pessoais. O mesmo se verifica em relação aos sistemas de registos de saúde electrónicos (RSE).
O Grupo de Trabalho do artigo 29.° elaborou este documento para dar orientações sobre a interpretação do enquadramento jurídico em matéria de protecção de dados aplicável aos sistemas de registos de saúde electrónicos (RSE) e para enunciar alguns princípios gerais. O documento de trabalho destina-se igualmente a expor as condições em matéria de protecção de dados necessárias para a criação de um sistema RSE de âmbito nacional, assim como as garantias aplicáveis, e a contribuir para a aplicação uniforme das medidas nacionais adoptadas ao abrigo da Directiva 95/46/CE.
O Grupo de Trabalho do artigo 29.° sublinha que a instituição e o funcionamento dos sistemas RSE deve respeitar plenamente os princípios de protecção de dados pessoais consagrados na Directiva 95/46/CE. O Grupo considera que o respeito destes princípios facilita a tarefa de todas as pessoas e instituições envolvidas na garantia do funcionamento adequado de tais sistemas. Além disso, o Grupo de Trabalho do artigo 29.° sublinha a necessidade de criar e fazer funcionar os sistemas RSE num enquadramento jurídico que garanta a protecção de dados pessoais, independentemente da base jurídica de tais sistemas.
O Grupo de Trabalho do artigo 29.° convida a classe médica, todos os restantes profissionais da saúde, as pessoas e estabelecimentos envolvidos na prestação de serviços médicos e o público em geral a apresentar comentários sobre o presente documento de trabalho31.
Tendo em conta a evolução em curso neste domínio, poderão ser necessários trabalhos suplementares, comentários adicionais e medidas de acompanhamento por parte do Grupo de Trabalho do artigo 29.°.
Feito em Bruxelas, em 15 de Fevereiro de 2007
Pelo Grupo de trabalho O Presidente Peter SCHAAR
31 Os comentários em relação ao presente documento de trabalho devem ser enviados para: Secretariado do Grupo de Trabalho do artigo 29.º Comissão Europeia, Direcção-Geral da Justiça, da Liberdade e da Segurança Unidade C.5 - Protecção dos dados Gabinete: LX 46 1/43 B - 1049 Bruxelas Endereço de correio electrónico: [email protected]; Fax: +32-2-299 80 94 Todos os comentários, quer do sector público quer do sector privado, serão publicados no sítio Internet do Grupo de Trabalho do artigo 29.º, a menos que os inquiridos indiquem expressamente que pretendem preservar a confidencialidade de determinadas informações.