Consulte aqui o documento original
O elevado e crescente número de notificações de tratamentos de dados pessoais relativos a estudos de investigação na área da saúde e a celeridade requerida na sua apreciação justificam a decisão da CNPD de adoptar esta Deliberação de carácter geral para aplicação a este tipo de tratamentos.
A presente Deliberação tem em vista estabelecer os princípios fixados pela CNPD na apreciação das notificações de tratamentos com aquela finalidade que lhe sejam
submetidos. Nas Autorizações a conceder será feita remissão directa para os fundamentos jurídicos aqui enunciados. Pretende-se, igualmente, com esta
Deliberação:
– Disponibilizar aos responsáveis dos tratamentos os princípios de protecção de dados aplicáveis nestas situações e estabelecer as regras orientadoras para o correcto cumprimento da Lei de Protecção de Dados;
– Dar a conhecer aos titulares desses dados os direitos que lhes assistem e os limites estabelecidos para estes tratamentos de dados.
Assim, tendo em conta:
-A Convenção 108º do Conselho da Europa, de 28 de Janeiro de 1981;
-A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro;
– O artigo 35º da Constituição da República Portuguesa;
– O n.º 4 do artigo 73º da Constituição da República Portuguesa;
– A Lei n.º 67/98, de 26 de Outubro, Lei de Protecção de Dados;
– A Lei n.º 12/2005, de 26 de Janeiro, relativa à Informação genética pessoal e informação de saúde;
– A Lei 48/90, de 24 de Agosto (Lei de Bases da Saúde);
– A Lei 125/99, de 20 de Abril (Lei da Investigação científica);
– O Código Deontológico da Ordem dos Médicos;
A Comissão Nacional de Protecção de Dados delibera estabelecer as condiçõesgerais para os tratamentos de dados pessoais com a finalidade de realizar estudos de
investigação na área da saúde.
Os estudos de investigação nesta área utilizam várias designações, que reflectem objectivos diferenciados, metodologias distintas e categorias diversas de informação recolhida. Podemos estar, genericamente, perante estudos observacionais ou epidemiológicos, retrospectivos e/ou prospectivos.
Existem, também, estudos experimentais com medicamentos – ensaios clínicos – os quais não serão aqui abordados, vindo a ser objecto de uma deliberação autónoma,
tendo em conta as suas especificidades e o regime legal aplicável.
Controlo prévio
Os tratamentos de dados com a finalidade de realizar estudos de investigação na área da saúde incidem sobre dados sensíveis, pelo que, nos termos da alínea a) do artigo 28º da LPD, estão sujeitos a controlo prévio. Consequentemente, tais tratamentos não poderão iniciar-se antes da obtenção da respectiva Autorização da CNPD, a emitir nos termos e condições fixadas após notificação do tratamento a esta Comissão.
Princípios de Protecção de Dados
Impõe-se que a CNPD aprecie, independentemente do fundamento de legitimidade aplicável ao caso concreto, se o tratamento está em conformidade com os princípios de protecção de dados, designadamente quanto à qualidade dos dados e quanto à
admissibilidade do tratamento. Quanto à qualidade dos dados, estes devem ser adequados, pertinentes e não excessivos relativamente à finalidade da recolha. Quanto à admissibilidade do tratamento, este deve ser efectuado de forma lícita e com respeito pelos princípios da boa fé, tratando e conservando os mesmos dados pessoais apenas durante o tempo necessário ao cumprimento da finalidade. Desta forma, verifica-se a conformidade do tratamento com todo o artigo 5º da LPD.
A observância dos princípios da transparência e da boa-fé está directamente relacionada com a prestação do direito de informação, não podendo os dados ser utilizados para outras finalidades, sendo a informação efectivamente prestada pelos responsáveis pelo tratamento aos titulares dos dados, no momento da obtenção do consentimento, uma das medidas da transparência, da boa fé e da lealdade do tratamento.
Já a adequação, pertinência, bem como a necessidade e não excessividade dos dados são aferidas pela avaliação das categorias de dados recolhidos em função da finalidade do estudo de investigação.
Princípio da proporcionalidade
Quanto ao princípio da proporcionalidade, ponderando os interesses em causa, do responsável e dos titulares, a CNPD terá de verificar se o tratamento de dados notificado se revela como o meio adequado para o fim visado, salvaguardando, por um lado, o direito à protecção dos dados pessoais e outros direitos fundamentais dos titulares e, por outro, o interesse do responsável, o qual se consubstancia também num direito que não pode ser comprimido para além do necessário, devendo ser atingido um justo equilíbrio que não afecte o conteúdo essencial dos direitos em presença.
Esta ponderação exige, em primeiro lugar, colocar em presença o direito à privacidade e à protecção dos dados pessoais de todas as pessoas, enquanto direito fundamental inscrito expressamente no catálogo dos direitos, liberdades e garantias individuais, com o interesse público constitucionalmente consagrado no capítulo dos direitos e deveres culturais e que se consubstancia no incremento da investigação científica: nº 4 do artigo 73º da CRP. (Por outro lado, incumbe ao Estado, na condução da política de saúde, estimular “ a (…) a investigação para a saúde, devendo procurar-se envolver os serviços, os profissionais e a comunidade”: alínea i) da Base II da Lei de
Bases da Saúde, aprovada pela Lei n.º 48/90, de 24 de Agosto). Por um lado, o conceito de ciência patente no nº 4 do artigo 73º da CRP é um conceito mais restrito do que os conceitos de cultura e de educação constantes dos outros números desta norma constitucional[1]J. J. Gomes Canotilho, Vital Moreira, Constituição da República Portuguesa Anotada, Vol. I, Coimbra
Editora, Coimbra, 2007, pag. 889
Por outro lado, não existe um direito (subjectivo fundamental) à ciência, mas apenas a obrigação estadual de proteger e incentivar a investigação científica em virtude de esta significar, não apenas nem sobretudo o desenvolvimento da personalidade dos autores, mas também e principalmente o desenvolvimento da comunidade política e o aumento de bem estar das pessoas.[2]Idem, pag. 890.
Desta forma, há casos em que a condição de legitimidade para tratamento de dados pessoais de saúde – tal como acontece nos estudos retrospectivos de dados pessoais de saúde – para fins de investigação científica se preenche, na ausência de consentimento livre, específico, informado e expresso, com a verificação rigorosa da importância do concreto e efectivo interesse público da investigação, que conduza a outras condições de legitimidade – base legal ou autorização da CNPD.
Responsável do Tratamento
Nos termos do artigo 3º, alínea d), da Lei 67/98, o responsável pelo tratamento é “a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outros organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais”.
Estes estudos podem ser da responsabilidade de um Laboratório do Estado, de outra instituição pública de investigação ou de instituições particulares de investigação (artigo 2º da Lei 125/99, de 20 de Abril).
As obrigações decorrentes da Lei de Protecção de Dados, desde logo a de notificação prevista no artigo 27º, para obtenção da autorização prévia, será de quem, na acepção da citada alínea c) do artigo 3º, assumir aquela qualidade, individualmente ou em coresponsabilidade. A entidade responsável deve ser individualmente indicada, só se admitindo a co-responsabilidade entre instituições em casos de absoluta impossibilidade de determinar individualmente a responsabilidade pelo tratamento.
Categorias de dados tratados
Os dados pessoais tratados devem ser adequados, pertinentes e não excessivos relativamente à finalidade.
Poderão mostrar-se necessárias para a prossecução do estudo notificado as seguintes categorias de dados:
– Dados de identificação;
– Dados de saúde (História clínica/medicamentação/resultados de meios complementares de diagnóstico)
– História familiar (informação de saúde/informação genética)
– Hábitos Pessoais;
– Dados relativos à actividade profissional;
– Dados relativos aos parâmetros clínicos em estudo;
Em primeiro lugar, importa analisar as características gerais dos estudos, designadamente se os mesmos são prospectivos ou retrospectivos, se obrigam à recolha de dados identificados, se o estudo pode ser efectuado com dados
identificáveis ou, ainda, se poderá decorrer com dados não identificáveis.
Sempre que um estudo possa ser efectuado sem o tratamento de dados pessoais, deve ser essa a opção do investigador. Isto é, sempre que o estudo puder ser feito com dados anonimizados, em que não se identifica nem permite identificar os titulares dos dados, deve ser esta a opção tomada para a investigação.
No caso de não se poder efectuar o estudo com dados anónimos, deve ainda privilegiar-se a utilização de dados codificados, ainda que estes possam ser, mediante a aplicação de uma chave de descodificação, convertidos em dados pessoais, No entanto, sendo essa chave de acesso restrito, deve ser preferida esta forma de investigação àquela em que se utilizam dados que identificam imediatamente os titulares.
Só em último caso e perante a estrita necessidade se admite a utilização de dados pessoais de saúde para efeitos de investigação científica. Sendo assim, a entidade responsável, na notificação do tratamento de dados pessoais, deve justificar a necessidade de efectuar o estudo de forma identificada ou identificável.
Recolha dos Dados
Os dados podem ser recolhidos directamente do titular, por resposta directa a inquéritos/questionários, que lhe serão disponibilizados pelo investigador ou por profissionais de saúde que colaboram no estudo. No caso da recolha de amostras, devem ser adoptadas técnicas pouco intrusivas e meios que preservem a dignidade da pessoa humana e a integridade física e moral das pessoas.
Podem, também, no âmbito de estudos retrospectivos, ser recolhidos indirectamente pelo médico assistente, que os transmitirá ao investigador. Nesta situação poderá não haver necessidade de identificar o dados, situação em que as informações deverão ser disponibilizadas de forma anónima.
Condições de legitimidade
Tendo a natureza de sensíveis (nº 1 do artigo 7º da LPD), os dados abrangidos pelos estudos em causa, por serem dados de saúde, dados genéticos, dados da vida privada e/ou dados relativos à raça ou etnia, aplica-se o princípio, quer constitucional, quer legal da proibição do seu tratamento.
Porém, existem algumas excepções expressamente previstas na lei, sendo permitido o seu tratamento quando se verifiquem as condições de legitimidade constantes do nº 2 do artigo 7º da Lei nº 67/98: lei (formal) habilitante; consentimento expresso do titular; autorização da CNPD, em virtude de interesse público importante e desde que o tratamento seja indispensável ao exercício de atribuições legais ou estatutárias do seu responsável, desde que sejam asseguradas garantias de não discriminação.
Por seu turno, a Lei n.º 12/2005, de 26 de Janeiro, relativa à informação genética pessoal e informação de saúde, veio reforçar a ideia da autodeterminação informacional já enunciada na Lei de Protecção de Dados e expressamente prever que as unidades do sistema de saúde são depositários da informação, informação que é “propriedade” do titular e que “não pode ser utilizada para outros fins que não os de prestação de cuidados e a investigação em saúde “(cf. artigo 3º nº1).
Nos n.º 3 e 4 do artigo 4º do mesmo diploma refere-se que a informação de saúde só pode ser utilizada pelo sistema de saúde nas condições expressas em autorização escrita do titular e que o acesso à informação pode ser facultado para fins de investigação desde que anonimizado.
Desta forma, as unidades do sistema de saúde só podem utilizar os dados pessoais de saúde para fins de investigação científica nos termos constantes da autorização escrita do titular. Assim, no caso dos tratamentos de dados pessoais efectuados no âmbito de estudos de investigação na área da saúde, a legitimidade terá de decorrer do consentimento livre, específico, informado (alínea h) do artigo 3º da LPD) expresso do titular (nº 2 do artigo 7º da LPD) e escrito (nº 3 do artigo 4º da Lei 12/2005).
O consentimento livre significa que o titular não conhece nenhuma condicionante ou dependência no momento da sua declaração que afecte a formação da sua vontade e, ainda, que pode revogar, sem penalizações e com efeitos retroactivos, o consentimento que haja prestado.
O consentimento específico significa que o consentimento se refere a uma contextualização factual concreta, a uma actualidade cronológica precisa e balizada e a uma operação determinada. O consentimento específico afasta os casos de consentimento preventivo e generalizado, prestado de modo a cobrir uma pluralidade de operações.
O consentimento informado significa que ao titular foi dado conhecimento, não apenas dos elementos do artigo 10º da LPD, mas ainda de todas as informações relevantes para a compreensão de todos os elementos atinentes ao tratamento. O dever de informação por parte do responsável inclui o dever de esclarecer e a obrigação de se certificar que o titular conheceu e apreendeu todos os elementos do conteúdo do direito de informação. A existência ou possibilidade de ocorrência de riscos para o titular, quer para a sua saúde, quer para a sua privacidade, deve ser comunicada.
O consentimento expresso significa que a sua prestação tem de visar directamente o tratamento de dados pessoais de saúde, não podendo ser inferido ou extraído implicitamente de outras declarações ou comportamentos.
O consentimento escrito significa que deve constar de texto lavrado ou subscrito pelo próprio titular.
A demonstração da obtenção do consentimento do titular é devida à entidade responsável pelo tratamento. No entanto, uma vez que o consentimento deve ser, obrigatoriamente, escrito, por razões de segurança e de confiança nos procedimentos, deve ser entregue ao titular cópia do consentimento escrito que prestou. Nos estudos retrospectivos e na escolha da amostra objecto de estudo, quando esta dependa da verificação de determinados parâmetros, é necessário aceder informação pré-existente detida pelo estabelecimento de saúde ou médico assistente do titular.
Exigindo a lei consentimento nos termos acima descritos, sempre que seja necessário aceder a essa informação sem que aquele consentimento tenha sido previamente concedido, o investigador terá que contar com a colaboração do detentor da
informação para atingir esse objectivo – obtenção do consentimento. Isto é, a entidade responsável pelo tratamento deve solicitar à unidade de saúde ou a quem detenha os dados pessoais que contacte os titulares e obtenha destes o competente consentimento, antes da realização do estudo, de forma a permitir este tratamento. Tal constitui condição sine qua non, sem a qual não é possível realizar o tratamento/estudo.
Admite a Lei 12/2005 que, nos casos de utilização retrospectiva de material biológico e amostras de ADN em que não tenha sido recolhido o consentimento do titular, nem este possa ter sido obtido devido à quantidade de dados ou à anterior morte do titular, o fundamento de legitimidade para o tratamento de dados pessoais decorra do disposto no n.º 6 do artigo 19º da Lei n.º 12/2005, de 26 de Janeiro. Neste caso, o tratamento de dados pessoais para investigação científica encontra a condição de legitimidade preenchida pela verificação das circunstâncias de aplicação desta norma legal.
Quando se tratar de investigação científica retrospectiva de informação de saúde extraída de outros dados pessoais que não as amostras (fichas clínicas, por exemplo), no caso de ausência de consentimento nos termos indicados, a autorização para o tratamento de dados pessoais deve revestir-se de uma ponderação minuciosa dos
interesses em jogo.
Em primeiro lugar, devem estar cabalmente circunstanciadas e demonstradas as “situações especiais” (veja-se o nº 6 do artigo 19º da Lei 12/2005: “No caso de uso retrospectivo de amostras ou em situações especiais”) das quais deriva a
impossibilidade de obtenção do consentimento. Estas situações devem ser verdadeiramente especiais, não se verificando, designadamente, em casos de maior conveniência, vantagem, facilidade. Em segundo lugar, deve ser demonstrada de forma inequívoca a existência e a importância do interesse público do estudo ou da investigação em causa, interesse público que deve ser prosseguido de forma imediata e directa pelo resultado da investigação (o resultado da investigação deve concretizar imediata e directamente o interesse público em causa, o qual deve revestir inquestionável importância para a comunidade, não bastando que a investigação prossiga o interesse público de forma
indirecta, mediata, reflexa ou remota).
Seja a entidade responsável um laboratório do Estado, uma outra instituição pública de investigação, um laboratório associado ou uma instituição particular de investigação integrada em programa de financiamento público de duração prolongada, a importância do interesse público da investigação a efectuar com o tratamento de dados pessoais de saúde sem o consentimento dos titulares deve ser declarada pela entidade independente que acompanha e avalia cientificamente estas instituições, quer internamente, quer pelo Ministério responsável pela tutela das áreas da Ciência e da Tecnologia (vide alínea a) do nº 1 e nº 2 do artigo 11º e artigo 12º da Lei 125/99, de 20 de Abril).
No caso de instituições particulares de investigação não inseridas nos programas de financiamento público de duração prolongada, a utilização de dados pessoais de saúde para investigação científica sem o consentimento devido pelos seus titulares deve resultar da demonstração, quer da “situação especial”, quer da importância do estudo, através de meios de igual valor.
Demonstrada, assim, a especialidade da situação que impossibilita a obtenção dos consentimentos dos titulares dos dados, por um lado, bem como a importância do interesse público directamente prosseguido pela investigação científica em causa, a CNPD pode autorizar a elaboração de estudos e investigações nas áreas das ciência que implicam tratamentos de dados pessoais de saúde dos titulares.
Pode acontecer que as unidades de saúde do sistema nacional de saúde se apresentem nos tratamentos de dados pessoais de saúde para fins de investigação científica, não apenas como elementos da cadeia de investigação sob responsabilidade de uma instituição de investigação científica, mas como verdadeira instituição de investigação científica e responsável pelo tratamento. Tal prevê-se que aconteça porque, nos termos da Base XVII da Lei de Bases de Saúde, o incremento e
apoio à investigação com interesse para a saúde devem ser uma realidade nos serviços do Ministério da Saúde, quer se trate de investigação científica básica, quer se trate de investigação científica aplicada à saúde pública.
Neste caso, i) uma vez que a unidade do sistema nacional de saúde já detém os dados pessoais dos titulares para fins de investigação científica (nº 1 do artigo 3º da Lei 12/2005); ii) uma vez que é pressuposta a existência e disponibilidade dos dados pessoais de saúde, no seio da unidade do sistema nacional de saúde, para fins de investigação científica (nº 5 do artigo 5º da Lei 12/2005); iii) uma vez que a utilização de amostras biológicas para fins de investigação, sem o consentimento dos titulares, é admitida nos termos e nos casos excepcionais do nº 6 do artigo 19º da Lei 12/2005, sendo que essas amostras são, potencialmente, reveladoras de informação mais
profunda e mais global dos indivíduos do que a informação médica registada no processo clínico; tudo leva a que as unidades do sistema nacional de saúde possam apresentar-se como responsáveis pelo tratamento de dados pessoais de saúde para fins de investigação científica, em posição em tudo equivalente a uma instituição de investigação científica.
Nestas situações, devido à idoneidade, competência técnica e capacidade organizacional e de meios que as unidades de saúde do sistema nacional de saúde apresentam, havendo motivação e fundamentação da importância do interesse público na investigação, que pode ser atestada pelo Comité de Ética Hospitalar ou pelo Comité de Ética de Investigação, podem as unidades do sistema nacional de saúde ser consideradas responsáveis pelo tratamento de dados pessoais de saúde para fins de investigação científica, à semelhança de qualquer instituição de investigação científica.
Situação diferente é o caso da utilização de dados pessoais de saúde, sem consentimento dos titulares, para fins de investigação científica, efectuados no âmbito de teses académicas.
Nestas situações, sendo a entidade responsável pelo tratamento a pessoa individual autora da referida tese, em princípio não deve ser admitida a utilização desses dados sem o consentimento dos titulares. De facto, os tratamentos de dados pessoais para fins de investigação científica sem consentimento dos titulares, além de dever ser uma realidade absolutamente excepcional dificilmente compaginável com finalidades individuais ou privadas, deve revestir-se de garantias de capacidade técnica, de dotação de meios, de suficiência organizacional, de adopção de medidas de segurança que muito raramente se verificam numa pessoa individual. Tal não obsta a que os Comités de Ética das Universidades, acompanhados pelos Comités de Ética das Universidades ou Hospitalares, motivando e fundamentando a importância do interesse público na investigação, se responsabilizem pelo acompanhamento e avaliação dos estudos em causa, assumindo a responsabilidade efectiva pela dotação de meios adequados à pessoa singular em causa. Nestes casos, após análise casuística de cada notificação, pode acontecer que se preencham as exigências para a admissibilidade dos tratamentos de dados pessoais para investigação científica sem
consentimento dos titulares.
Tratamento efectuado por subcontratante
Caso o responsável pelo tratamento opte pela contratação, para a elaboração do estudo, de uma entidade externa, normalmente entidades especialistas em consultadoria cientifica, deve essa prestação de serviços ser regida por um contrato ou acto jurídico que vincule a entidade (subcontratante) ao responsável pelo tratamento.
Nesse contrato ou acto jurídico, o qual revestirá a forma escrita, com valor probatório legalmente reconhecido, deve constar que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe a obrigação de pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, bem como para garantir um nível de segurança adequado em relação aos riscos inerentes ao tratamento e à natureza dos dados a proteger (cf. artigo 14º da Lei n.º 67/98).
Medidas de Segurança
Em relação à segurança da informação – e porque estão em causa dados sensíveis, designadamente dados de saúde – importa, antes de mais e quanto às amostras biológicas, assegurar as condições adequadas e suficientes que garantam a qualidade (exactidão, actualidade, fiabilidade, entre outras características) da informação nelas contidas que se reporta aos titulares.
É importante, ainda, considerar as medidas previstas no artigo 15.º da Lei 67/98. Tais medidas devem aplicar-se tanto aos dados contidos em ficheiros automatizados, como aos dados manuais. Importa ainda ter em atenção os procedimentos concretos quanto às formas de recolha, processamento e circulação da informação. Em primeiro lugar, e quanto aos dados automatizados, o sistema deve garantir uma separação lógica entre os dados referentes à saúde e os restantes dados pessoais, de natureza administrativa (artigo 15º nº 3 da Lei 67/98). Nesse sentido, o sistema informatizado deve estar estruturado, de modo a permitir o acesso à informação de acordo com os diferentes perfis de utilizador, com níveis de acesso diferenciados e privilégios de manuseamento da informação distintos. Deverão ser atribuídas palavraspasse que disciplinem as autorizações de acesso. Os perfis de utilizador devem ser mantidos actualizados e eliminados quando utilizador deixe de ter privilégios de acesso. As palavras-passe devem ainda ser periodicamente alteradas.
Devem, pois, ser adoptadas medidas de segurança que impeçam o acesso à informação a pessoas não autorizadas.
A consulta do processo clínico está expressamente prevista para fins de investigação epidemiológica, clínica ou genética (cf. n.º 5 do artigo 5º da Lei 12/2005) com as limitações constantes do artigo 16º relativamente à investigação sobre o genoma humano. Assim, o acesso ao processo clínico para estes fins pressupõe a préexistência de um tratamento de dados pessoais devidamente autorizado.
Sempre que haja circulação da informação de saúde em rede, a transmissão dos dados deve ser cifrada (nº 4 do artigo 15º da Lei 67/98).
Ainda no âmbito das condições de segurança, deve ser garantido um acesso restrito, sob o ponto de vista físico e lógico, aos servidores do sistema, que devem manter um registo de acesso à informação sensível para controlo das operações e para a realização auditorias de internas e externas. De igual modo, devem ser feitas cópias de segurança (backups) da informação, as quais deverão ser mantidas em local penas acessível ao administrador de sistema ou, sob sua direcção, a outros técnicos obrigados a segredo profissional.
No que diz respeito aos dados contidos em suporte de papel, devem ser adoptadas medidas organizacionais, que garantam um nível de segurança idêntico, impedindo o acesso e manuseamento indevidos. Quando a recolha de dados pessoais referentes à saúde não for efectuada directamente pelo profissional de saúde (por exemplo, preenchimento de um questionário directamente pelo titular dos dados), têm de ser tomadas medidas concretas quanto à circulação dessa informação, que impeçam a visualização dos dados por pessoa não autorizada (alíneas b) e h) do nº 1 do art. 15º da Lei 67/98), designadamente mediante a entrega directa ao profissional de saúde ou entrega nos serviços, em envelope fechado, endereçado ao profissional de saúde.
Independentemente das medidas de segurança adoptadas pela entidade responsável pelo tratamento, é a esta que cabe assegurar o resultado da efectiva segurança da informação e dos dados tratados.
Comunicação de Dados
Sem prejuízo das comunicações legalmente previstas, não pode haver comunicação de dados. No entanto, nos casos de estudos ou investigações policêntricos, os dados pessoais podem ser comunicados de uns centros a outros, com observância das regras de segurança da informação. A indicação dos centros e dos destinatários da informação e dos dados pessoais deve ser conhecida e declarada na notificação do tratamento junto da CNPD e deve ainda ser comunicada ao titular dos dado aquando da obtenção do consentimento.
Prazo de conservação da informação
Nos termos do artigo 5º n.º 1 alínea e) da Lei 67/98, os dados pessoais, incluindo as amostras biológicas identificadas ou identificáveis, apenas podem ser conservados durante o período necessário para prossecução das finalidades da recolha ou do tratamento posterior.
Após o prazo de conservação ter expirado, deve a entidade responsável proceder à destruição dos dados pessoais, lavrar o respectivo auto e enviar cópia à CNPD. Tal não impede, naturalmente, que os dados sejam conservados de forma anonimizada.
Direito de informação
A prestação de informação por parte do responsável do tratamento ao titular dos dados é um direito essencial no regime de protecção de dados, com consagração constitucional. Ademais, o direito de informação é corolário dos princípios da boa fé, da lealdade e da transparência, pelo que o titular dos dados deve «ter conhecimento a existência de um tratamento de dados pessoais e obter, no momento em que os dados lhe são pedidos, uma informação rigorosa e completa das circunstâncias dessa recolha, cujo conteúdo mínimo é, antes do mais, o constante do artigo 10º da LPD e de outros elementos relevantes para a formação da vontade do titular.
Direito de acesso, rectificação e eliminação
O direito de acesso aos seus dados pessoais por parte do titular, bem como o direito de os rectificar, são igualmente direitos fundamentais (nº 1 do artigo 35º da CRP), essenciais para a verificação dos princípios da adequação, pertinência, exactidão e actualização dos dados pessoais (alíneas c) e d) do artigo 5º da Lei 67/98).
Nos termos do nº 1 do artigo 11º da Lei 67/98, o titular dos dados tem o direito de obter directamente do responsável do tratamento, livremente, sem restrições, com periodicidade razoável, sem demoras ou custos excessivos, o conjunto das informações previstas nas alíneas a) a e) da norma acima mencionada.
Havendo, no contexto desta finalidade, lugar ao tratamento de dados de saúde, o direito de acesso deverá ser exercido, nos termos do nº 5 do artigo 11º da Lei 67/98, isto é, por intermédio de médico escolhido pelo titular dos dados. Esta é a imposição, também, do nº 3 do artigo 3º da Lei 12/2005.
Quanto ao direito de rectificação, este é exercido junto do responsável pelo tratamento, pelo que, no momento da prestação do direito de informação, aquele deverá estabelecer a forma como o titular dos dados o pode fazer.
Interconexões de dados
A admissibilidade de interconexões de dados depende da adequação, da estrita necessidade e da não excessividade da sua realização em relação finalidade do tratamento. A interconexão de dados não deve ser feita de tal modo que traduza uma informação global sobre o titular, em termos de acarretar um risco de discriminação ou uma potencial diminuição dos seus direitos, liberdades e garantias.
A interconexão de dados deve revestir-se de medidas de segurança da informação espacialmente preventivas de acessos e utilizações indevidas. (artigo 9º da LPD)
Transferências de dados para países terceiros
A possibilidade de transferir dados pessoais para países terceiros face à União Europeia depende da verificação dos requisitos constantes do artigo 19º da LPD ou se se estiver perante uma derrogação prevista expressamente no artigo 20º da mesma LPD.
Assim, tratando-se de dados pessoais sensíveis, no âmbito de tratamentos que, em regra, duram longos períodos de tempo e que requerem medidas de segurança de elevada eficácia, as circunstâncias a aferir para a admissibilidade do tratamento devem conhecer uma análise e ponderação rigorosas.
Caso os titulares tenham dado o seu consentimento livre, específico, informado, expresso e escrito para o envio dos seus dados pessoais para um qualquer país terceiro face à União Europeia, tal envio pode ser feito, à luz do corpo do nº 1 do artigo 20º da LPD.
Caso assim não tenha acontecido, haverá de verificar se alguma das excepções que derrogam a proibição do envio, constantes das alíneas a) a e) do nº 1 e dos nº 2 e 5 desse mesmo artigo, se aplicam ao caso concreto, para decidir da admissibilidade do referido envio.
Lisboa, 28 de Maio de 2007
Eduardo Campos (Relator), Luís Barroso, Ana Roque, Carlos de Campos Lobo, Helena Delgado António, Vasco Almeida, Luís Lingnau da Silveira (Presidente)