I Jornadas de Proteção de Dados e Empresas

Transcrição

1 I Jornadas de Proteção de Dados e Empresas FDUL, 3 de maio de 2018 O IMPACTO DO RGPD NAS EMPRESAS DE SAÚDE: PROTEÇÃO DE DADOS A DUAS VELOCIDADES? Alexandre Dias Pereira - Centro de Direito Biomédico Faculdade de Direito da Universidade de Coimbra (FDUC)

2 A internet como «bola de cristal» if you re not paying you re the product O mercado negro dos dados pessoais As simpáticas apps gratuitas que partilham os nossos dados com terceiros Aplicações da Cambridge Analytica no setor segurador

3 O RGPD como lei de 3.ª geração de proteção de dados Origem e evolução da proteção de dados pessoais Tutela de bens da personalidade (e.g. o direito ao nome, à imagem, à reserva da vida privada) no Código Civil, na Constituição, no Código Penal Autonomização e administrativização da proteção dos dados pessoais: A lei de 30 de setembro de 1970, da Land Hesse, Alemanha; Recomendações e diretrizes de organizações internacionais Artigo 35 da Constituição e Artigo 8 da Carta de Direitos Fundamentais da União Direito interno e da União Europeia 1ª, 2ª e 3ª geração de leis Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro, e Lei 67/98, de 26 de outubro

4 Proteção de dados pessoais 3.0 A jurisprudência do Tribunal de Justiça da União Europeia (case-law) O direito à autodeterminação informativa na jurisprudência portuguesa: por ex. STJ , proc. 679/05.7TAEVR.E2.S1; TC Ac. n 442/2007, n.º 403/2015 Orientações (Guidelines) do Grupo do Artigo 29 (agora Comité europeu) Reg. 2016/679 (RGPD) -Regulamento Geral de Proteção de Dados na União Europeia

5 Liberdade de circulação de dados pessoais no mercado único

6 Dados pessoais de saúde A proteção reforçada dos dados de saúde ( dados sensíveis ) Ao abrigo da Dir. 95/46, a noção de dados de saúde deve abranger, segundo o Article 29 Working Group: (a) quaisquer dados pessoais estritamente relacionados com o estado de saúde da pessoa, tais como dados genéticos ou dados sobre o consumo de medicamentos, álcool e drogas, e (b) quaisquer outros dados contidos nos ficheiros clínicos sobre o tratamento de um paciente, incluindo dados administrativos (numero de segurança social, data de admissão no hospital, etc.), de modo a que qualquer dado que não seja relevante para o tratamento do paciente não seja inserido nos ficheiros médicos

7 Noção ampla de saúde no RGPD dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde (artigo 4/15). O considerando (35) acrescenta no passado, no presente ou no futuro. Inclui informações sobre a pessoa singular recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação, a essa pessoa singular, como (a) (b) as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a partir de dados genéticos e amostras biológicas (por ex. recolhas de urina, saliva ou sangue); e (c) quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro.

8 Lei da informação pessoal de saúde e genética Lei 12/2005, de 26 de janeiro (regulamentada pela Decreto-Lei n.º 131/2014, de 29 de agosto) Artigo 2.º -Informação de saúde: abrange todo o tipo de informação direta ou indiretamente ligada à saúde, presente ou futura, de uma pessoa, quer se encontre com vida ou tenha falecido, e a sua história clínica e familiar.

9 O funcionamento de motor de busca na internet como possível tratamento de dados pessoais a atividade de um motor de busca que consiste em encontrar informações publicadas ou inseridas na Internet por terceiros, indexá-las automaticamente, armazená-las temporariamente e, por último, pô-las à disposição dos internautas por determinada ordem de preferência deve ser qualificada de «tratamento de dados pessoais», [ ]quando essas informações contenham dados pessoais [ ]o operador desse motor de busca deve ser considerado «responsável» pelo dito tratamento. Acórdão de 13 de maio de 2014, proc. C-131/12, Google SpainSL e Google Incc. Associação Espanhola de Dados Pessoais (AEPD) c. Mário Costeja Gonzalez

10 Proteção de dados a duas velocidades? RGPD, Art. 83º/7: Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.o, n.º 2, os Estados--Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território. Proposta de Lei n.º 120/XIII, Art. 44.º (Âmbito de aplicação das contraordenações) 1 -Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, não se aplicam às entidades públicas as coimas previstas no RGPD e na presente lei. 2 -Sem prejuízo do disposto no número anterior, as entidades públicas estão sujeitas aos poderes de correção da CNPD, tal como previstos no RGPD e na presente lei, com exceção da aplicação de coimas.

11 Vícios públicos vs. Virtudes privadas? O Setor Público da Saúde A proteção de dados como direito disciplinar no setor público da saúde? Dever de confidencialidade no Código Deontológico da Ordem dos Médicos (2016) O possível impacto económico do Regulamento Multas sobre proteção de dados fechariam 90% das empresas

12 Dados de saúde no setor público LADAR (documentos do setor público) -Lein.º 26/2016, de 22 de agosto -Os dados pessoais no SNS o mysns -Possibilidade de acesso por terceiros a informação de saúde sem consentimento do titular dos dados nem mediação do médico - Exigência de interesse pessoal, direto e legítimo, suficientemente relevante segundo o princípio da proporcionalidade - Os pareceres da CADA - CADA vs. CNPD?

13 O impacto das duas velocidades nos tratamentos para fins de investigação científica Os fins de investigação científica justificam Tratamentos derivados ou secundários (consentimento amplo) Tratamento de categorias sensíveis de dados pessoais sem consentimento do respetivo titular Afastamento do direito de apagamento e do direito de oposição ao tratamento, mediante salvaguardas adequadas Transferências de dados para países terceiros em casos isolados

14 Noção ampla de fins investigação científica Os fins da investigação científica abrangem por exemplo: o desenvolvimento tecnológico, a investigação aplicada e a investigação financiada pelo setor privado Legitima o acessos a dados de projetos de investigação patrocinados por seguradoras? a realização de um espaço europeu de investigação estudos de interesse público realizados no domínio da saúde pública Considerando 159 do RGPD

15 Tratamentos secundários ou derivados Exceção ao princípio da limitação do tratamento A natureza dinâmica da investigação e a aplicação de IA às minas de dados Os tratamentos posteriores para fins de investigação científica são considerados compatíveis com o consentimento inicial (art. 5/1-b) Considerando 33: os titulares dos dados deverão poder dar o seu consentimento para determinadas áreas de investigação científica, desde que estejam de acordo com padrões éticos reconhecidos para a investigação científica.

16 A investigação científica como interesse legítimo justificativo do tratamento primário Possibilidade de tratamento de categorias especiais de dados pessoais (por ex. dados de saúde) para fins de investigação científica (art. 9/2-j), embora os Estados-Membros possam manter ou impor novas condições, incluindo limitações, no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde. Combinando informações provenientes dos registos, os investigadores podem obter novos conhecimentos de grande valor relativamente a problemas médicos generalizados, como as doenças cardiovasculares, o cancro e a depressão. Considerando (157) RGPD Os organismos públicos podem tratar dados pessoais sem o consentimento dos titulares para execução de tarefa no interesse público (art. 6-e)

17 Investigação em saúde pública Proibição de tratamento desses dados por terceiros, nomeadamente seguradores O tratamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nos domínios da saúde pública, sem o consentimento do titular dos dados. ( ) Tais atividades de tratamento de dados sobre a saúde autorizadas por motivos de interesse público não deverão ter por resultado que os dados sejam tratados para outros fins por terceiros, como os empregadores ou as companhias de seguros e entidades bancárias. Considerando 54 RGPD

18 Condições da exceção de IC (art. 89) Medidas técnicas e organizativas adequadas para cumprir o princípio da minimização do tratamento Remissão para os padrões éticos da IC A pseudonimizaçãoe a cifragem dos dados pessoais como medidas adequadas (art. 32/1-a). Noção de pseudonimização(art. 4/3-b) Todavia, a pseudonimizaçãosó é obrigatória desde que os fins visados possam ser atingidos desse modo (art. 89/2)

19 Pseudonimizaçãovs. anonimização Os dados anónimos não são regulados pelo RGPD Os princípios da proteção de dados não deverão, pois, aplicar-se às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado. O presente regulamento não diz, por isso, respeito ao tratamento dessas informações anónimas, inclusive para fins estatísticos ou de investigação. Considerando 26 RGPD

20 Exceções aos direitos do titular de dados Dever de informação (transparência) Não há dever de informar se os dados forem obtidos por terceiros ou de fontes públicas acessíveis (1) ou se impossibilitar ou dificultar seriamente a prossecução dos objetivos visados, na medida em que sejam adotadas medidas adequadas (2) Exceções aos direitos dos titulares de dados para fins de IC Direito ao apagamento: necessidade superveniente art. 17/3-d Direito de oposição interesse público -art. 21/6 Isenções previstas por lei interna (art. 89): os EM podem prever exceções adicionais aos direitos de acesso, retificação, limitação ou oposição Art. 31/2 do Projeto de Lei: os fins de IC prevalecem sobre os direitos de acesso, retificação, limitação do tratamento e de oposição O tratamento de dados para fins científicos deverá igualmente respeitar outra legislação aplicável, tal como a relativa aos ensaios clínicos. (art. 89)

21 Lei da informação pessoal de saúde e genética Lei 12/2005, de 26 de janeiro (regulamentada pela Decreto-Lei n.º 131/2014, de 29 de agosto) Artigo 16/4 -Investigação sobre o genoma humano: A investigação sobre o genoma humano em pessoas não pode ser realizada sem o consentimento informado dessas pessoas, expresso por escrito, após a explicação dos seus direitos, da natureza e finalidades da investigação, dos procedimentos utilizados e dos riscos potenciais envolvidos para si próprios e para terceiros. Princípio da proibição da discriminação em função do património genético (art. 11) e proibição geral de testes genéticos ou informação genética para a celebração de contratos de seguro de vida ou acidente, trabalho, ou na adoção (arts. 12 a 14) O Código Deontológico da Ordem dos Médicos (2016): possibilidade de acesso a informação de saúde para fins de investigação desde que anonimizada (?)