Dados sensíveis: o que são e como são protegidos
Rigor e Profissionalismo, na procura das melhores soluções.
Artigo julho 2019
Privacidade, Proteção de Dados e Cibersegurança
A sua organização recolha e trata dados sensíveis? Saiba o que os distingue dos dados pessoais e em que base o poderá fazer sem recorrer ao consentimento previsto no RGPD
Da Distinção entre Dados Pessoais e Dados SensíveisPara se perceber esta distinção, importa distinguir a noção de dados pessoais da dos dados sensíveis.
O RGPD define como dado pessoal toda a informação relativa a uma pessoa singular identificada ou identificável. O quer dizer que, por exemplo, o nome, associado a uma morada, ou a um número de contribuinte e/ou de segurança social constituem dados pessoais. Mas também são dados pessoais o endereço eletrónico, os elementos de identidade física, os genéticos ou de ordem fisiológica, os dados obtidos através de dispositivos eletrónicos – endereço de IP e dados de localização, os dados financeiros, preferências sociais…Como se depreende desta noção ampla de dado pessoal, o Regulamento veio a considerar hipoteticamente tudo o que, a miude, possa identificar o titular dos dados. Mas, para além do alargamento da noção de dado pessoal, o RGPD veio criar uma categoria de dados que dada a sua natureza, merece pois, uma proteção acrescida. Assim, foram classificados pelo referido Regulamento determinados dados como sensíveis. São eles:
Dos Dados Genéticos, Biométricos e de SaúdeO RGPD impõe com clareza que os dados genéticos deverão ser definidos como os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que resultem da análise de uma amostra biológica da pessoa singular em causa, nomeadamente da análise de cromossomas, ácido desoxirribonucleico (ADN) ou ácido ribonucleico (ARN), ou da análise de um outro elemento que permita obter informações equivalentes.
Os dados biométricos para identificação são dados pessoais são aqueles resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos (impressões digitais). E quanto aos dados de saúde, deverão ser considerados todos aqueles que forem relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro. O que precede informações sobre a pessoa singular recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação, a essa pessoa singular; qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a informação a partir de dados genéticos e amostras biológicas; e quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, através de um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro. Da Proteção Especial dos Dados Sensíveis no RGPDOra, os dados sensíveis mereceram uma proteção específica, já que, são especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, pois o seu tratamento pode implicar riscos significativos para o direito à reserva da vida privada. Como tal, o Regulamento consagra como regra geral que a sua recolha e/ou tratamento está proibida, (cfr. Art.º 9º do RGPD).
Quer isto dizer que nenhuma organização pode recolher e tratar, por exemplo, os dados de saúde ou biométricos? Não. Pois, foram fixadas situações excecionais para as quais o tratamento de dados sensíveis é possível se for considerado necessário:
O Regulamento deixa, ainda, a porta aberta a que o direito nacional dos Estados-Membros possa permitir derrogações à proibição de tratamento de categorias especiais de dados pessoais, ainda que devam ser sujeitas a salvaguardas adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, caso tal seja do interesse público, nomeadamente o tratamento de dados pessoais em matéria de direito laboral, de direito de proteção social, incluindo as pensões, e para fins de segurança, monitorização e alerta em matéria de saúde, prevenção ou controlo de doenças transmissíveis e outras ameaças graves para a saúde. Essas derrogações poderão ser previstas por motivos sanitários, incluindo de saúde pública e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência em termos de custos dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. O Regulamento define, assim, que as categorias especiais de dados pessoais que merecem uma proteção mais elevada só deverão ser objeto de tratamento para fins relacionados com a saúde quando tal for necessário para atingir os objetivos no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação social, incluindo o tratamento por parte da administração e das autoridades sanitárias centrais nacionais desses dados para efeitos de controlo da qualidade, informação de gestão e supervisão geral a nível nacional e local do sistema de saúde ou de ação social, assegurando a continuidade dos cuidados de saúde ou de ação social e da prestação de cuidados de saúde transfronteiras, ou para fins de segurança, monitorização e alerta em matéria de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos baseados na legislação e que têm de cumprir um objetivo, assim como para os estudos realizados no interesse público no domínio da saúde pública. O Regulamento veio estabelecer condições harmonizadas para o tratamento de categorias especiais de dados pessoais relativos à saúde, tendo em conta necessidades específicas, designadamente quando o tratamento desses dados for efetuado para determinadas finalidades ligadas à saúde por pessoas vinculadas a um dever de sigilo. A legislação nacional deverá prever medidas específicas e adequadas com vista à defesa dos direitos fundamentais e dos dados pessoais das pessoas singulares. Assim, as legislações nacionais de cada Estado-Membro podem manter ou introduzir outras condições, incluindo limitações, no que diz respeito ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde. Da Aplicabilidade Prática – o Fundamento de LicitudePara explicitar a aplicabilidade prática do referido, vejamos o seguinte exemplo (Obtenção de Consentimento do Titular dos Dados):
Uma clínica de medicina dentária não só recolhe dados de saúde (diagnóstico/ tratamento/ estado de saúde) dos seus pacientes, mas também recolhe dados pessoais de identificação para faturação e de contacto. Assim, os primeiros só podem ser recolhidos e tratados com o fundamento para fins de prestação de cuidados ou tratamentos de saúde (…) por força de um contrato com um profissional de saúde, sob reserva de sigilo profissional ou por pessoa sujeita ao dever de confidencialidade (cfr. al. h) do n.º 2 do art.º 9 do RGPD) e portanto, já se depreende que o consentimento não é o fundamento de licitude adequado para este fim, pelo que não será necessário obtê-lo. Os segundos (nome, morada, n.º de identificação fiscal, endereço eletrónico) já são dados pessoais recolhidos para fins diferentes dos primeiros e portanto já não configuram dados sensíveis e, como tal já não caiem no fundamento legal elencado. Estes são-no para a finalidade da execução de um contrato (o contrato da prestação de cuidados de saúde) e de cumprimento de obrigações fiscais, nomeadamente de facturação e já não merecem a proteção especial de serem acedidos somente por uma pessoa sob reserva de sigilo, como é o caso do médico, estes já podem ser acedidos pelo pessoal administrativo, por exemplo. E, claro, também não será necessário obter o consentimento do titular dos dados, para os dados de contacto e faturação, já que, a prestação do serviço é feita no seu interesse. O que quer dizer que, agora, o Regulamento estabelece claramente uma divisão entre a natureza do dado, a finalidade do seu tratamento e quem pode aceder a ele. Na verdade, o acesso indiscriminado às fichas dos pacientes contendo dados de saúde pelo pessoal não sujeito ao dever sigilo profissional (ou seja, não médico) é veementemente rejeitado pelo RGPD e punido com a medida da coima mais gravosa. Assim, o tratamento de dados sensíveis impõe a restrição de acesso em função da pessoa que os acede, pelo que as organizações devem impor medidas que impeçam a exposição dos dados sensíveis, por pessoal administrativo. Se as fichas dos pacientes, contendo dados da saúde estão armazenadas em arquivo físico, este passará a ser fechado e o seu acesso só poderá ser feito pelo pessoal médico. Por outro lado, se os dados sensíveis são armazenados em plataforma informática, haverá que criar diferentes acessos através de encriptação, consoante a função do seu utilizador. Como vimos, no exemplo apresentado, o consentimento dos titulares do dados não é o único fundamento de licitude previsto no Regulamento nem mesmo o mais adequado para determinadas finalidades de tratamento. Por outro lado, se por acaso a nossa Clinica pretender utilizar os dados pessoais do titular para efeitos de marketing ou publicitários, aí, já terá que se obter o consentimento do titular por integrar finalidade diferente das acima elencadas. Da Obtenção do Consentimento do Menor ou do Titular das ResponsabilidadesOutra situação em que a obtenção do consentimento tem sido proliferamente obtido, no que aos dados sensíveis concerne, é quando o titular dos dados de saúde é menor.
Deverá ser sempre obtido o consentimento do titular das responsabilidades parentais para recolha e tratamento de dados sensíveis? Não. No nosso exemplo, deverá subsumir-se o mesmo raciocínio para a prestação de cuidados de saúde aos menores. Não se podendo confundir com a proteção especial prevista quanto aos seus dados pessoais, a qual se prende com os serviços de diretamente disponibilizados às crianças, que merecerão uma análise em lugar próprio. Portanto, dada a proteção específica aos dados sensíveis, pela exposição ao risco de violação de direitos fundamentais dos titulares dos dados, as organizações devem levar a cabo um levantamento dos dados pessoais que tratam, identificar os motivos pelos quais o fazem e para que fim, de modo a garantir os direitos aos seus titulares e redobrar os seus cuidados caso procedam a operações de tratamento de dados sensíveis em conformidade com o RGPD. Do Registo da Atividade de TratamentoMormente, no caso de tratamento de dados sensíveis, a organização deverá proceder a registo de atividade de tratamento de dados e avaliar se os dados sensíveis que recolhe e trata cumprem com algum dos requisitos das condições elencadas acima para legitimar o seu tratamento. Caso contrário, violará a al. a) do n.º 5 do art.º 83.º do Regulamento Geral de Proteção de Dados, com a cominação da coima mais gravosa de 20.000.000€ ou 4% da faturação.
Neste prisma, exige-se uma análise concreta e individualizada da organização junto da sua administração, para avaliar e implementar o Regulamento. Esta obrigação de registo é nova, designa-se de accountablity e é obrigatória para todos os responsáveis de tratamento de dados sensíveis, ou seja, o RGPD impõe mais um requisito a cumprir para quem trate esta categoria de dados. Deve ser conservado um registo das atividades de tratamento de modo a poder demonstrar em qualquer momento, de forma transparente, o cumprimento da lei. Eventualmente, para cumprimento desta obrigação, as organizações poderão vir a necessitar de contratar software específico, consoante a amplitude da natureza e dos tratamentos de dados que executarem. Da Avaliação de ImpactoAinda, dependendo se a organização procede a operações de dados sensíveis em larga escala impõe o Regulamento que se proceda a Avaliação de Impacto (PIA), para identificar e minimizar os riscos por incumprimento das regras de proteção de dados, que deverá ter em consideração:
Sem prescindir dos fundamentos de licitude indicados para legitimar as operações de tratamento de dados sensíveis, deverá atender-se sempre aos princípios previstos no art.º 5 do Regulamento: da licitude, da lealdade e transparência, em que os dados devem ser recolhidos para finalidades determinadas explícitas e legítimas, devendo ser exatos e atualizados; respeitando a minimização dos dados e de acordo com os princípios da necessidade e da proporcionalidade. Como vimos, as operações de tratamento de dados sensíveis exigem maiores cuidados para as empresas, as quais devem procurar entender as suas responsabilidades face à exposição ao risco de violação dos direitos fundamentais dos titulares dos dados, devendo diligenciar o quanto antes no sentido de adaptar a sua estrutura em conformidade com o Regulamento. + Artigos
> Para obtenção de Newseltters e Publicações disponíveis, por favor contacte [email protected]. > Para visitar a página Comunicação do NFS Advogados. |
Tel. (+351) 222 440 820
E-mail. [email protected] Membro Associado da
Associação Europeia de Advogados. Áreas de atuação.
Legalização de Estrangeiros Seguros Proteção de Dados e Cibersegurança Imobiliário e Construção Heranças e Partilhas Recuperação de Créditos Insolvências + Áreas Contactos.
Telf.: (+351) 222 440 820 Fax: (+351) 220 161 680 E-mail: [email protected] Porto | Lisboa | São Paulo |