As recentes notícias relativas ao acesso indevido a dados de milhares de utentes do Serviço Nacional de Saúde vieram colocar novamente em evidência um tema que assume crescente relevância jurídica: a proteção dos dados pessoais de saúde.
A proteção dos dados de saúde no contexto da digitalização dos serviços médicos
Num contexto em que a digitalização dos serviços de saúde permite o acesso rápido e eficiente à informação clínica dos utentes, aumenta igualmente a necessidade de assegurar mecanismos eficazes de controlo, monitorização e segurança. Quando esses mecanismos falham, as consequências podem ultrapassar largamente a esfera tecnológica, dando origem a responsabilidades de natureza civil, contraordenacional e, em determinadas circunstâncias, criminal.
O que são dados pessoais de saúde e porque beneficiam de proteção reforçada?
Os dados relativos à saúde integram uma categoria especial de dados pessoais, beneficiando de um nível de proteção reforçado ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD). Informações relativas a diagnósticos, tratamentos, prescrições médicas, exames clínicos ou historial de saúde encontram-se sujeitas a um regime particularmente exigente, justificado pela sua natureza sensível e pelo potencial impacto que a sua divulgação indevida pode ter na esfera privada dos titulares.
Quando existe uma violação de dados pessoais de saúde?
Importa recordar que uma violação de dados pessoais não pressupõe necessariamente a existência de um ataque informático sofisticado. Em muitos casos, o acesso indevido resulta da utilização abusiva de credenciais legítimas, da inexistência de mecanismos adequados de controlo de acessos ou, simplesmente, de falhas internas nos procedimentos de segurança. Do ponto de vista jurídico, o elemento determinante não reside na forma como o acesso ocorreu, mas sim na existência de um tratamento de dados realizado sem fundamento legal ou em violação das medidas de segurança exigíveis.
Quais são as obrigações legais das entidades responsáveis pelo tratamento de dados?
Perante uma violação de dados pessoais, as entidades responsáveis pelo tratamento encontram-se sujeitas a um conjunto de deveres legais.
Deveres de avaliação, mitigação e notificação
Entre estes destacam-se a obrigação de avaliar o incidente, implementar medidas de mitigação, documentar os factos ocorridos e, sempre que aplicável, proceder à notificação da autoridade de controlo competente e à comunicação aos titulares dos dados afetados.
Responsabilidade civil por acesso indevido a dados de saúde
Para além da vertente regulatória, importa atender às potenciais consequências em matéria de responsabilidade civil. O RGPD consagra expressamente o direito dos titulares dos dados a obter indemnização pelos danos sofridos em consequência de uma violação das normas de proteção de dados.
Que danos podem ser indemnizados ao abrigo do RGPD?
Esses danos podem assumir natureza patrimonial, mas também não patrimonial, abrangendo situações de angústia, perda de controlo sobre os dados pessoais, receio de utilização abusiva da informação ou lesão da reserva da vida privada.
O entendimento do Tribunal de Justiça da União Europeia
A jurisprudência do Tribunal de Justiça da União Europeia tem vindo a reconhecer que a proteção conferida pelo RGPD não se esgota na prevenção de prejuízos económicos, admitindo a indemnização de danos imateriais sempre que seja demonstrada uma afetação efetiva dos direitos do titular dos dados. A avaliação dessa afetação dependerá naturalmente das circunstâncias concretas de cada caso e da gravidade da violação ocorrida.
Pode existir responsabilidade criminal pelo acesso indevido a dados de saúde?
Em determinadas situações, os factos poderão ainda assumir relevância criminal, designadamente quando estejam em causa acessos ilegítimos a sistemas informáticos, violação do dever de sigilo ou utilização indevida de dados pessoais. A análise da eventual responsabilidade penal exigirá, contudo, a verificação dos pressupostos específicos previstos na legislação aplicável.
A proteção de dados de saúde como questão de confiança e responsabilidade
A crescente digitalização dos serviços de saúde representa um avanço inegável na prestação de cuidados médicos. Contudo, quanto maior for a quantidade de informação sensível armazenada e partilhada digitalmente, maior será também a responsabilidade das entidades que a tratam.
A proteção dos dados de saúde deixou há muito de ser uma questão meramente tecnológica. É hoje uma questão de confiança, de responsabilidade e, cada vez mais, de contencioso.
Para mais informações ou apoio especializado, clique aqui para marcar uma reunião com um dos nossos profissionais.
O conteúdo desta informação não constitui aconselhamento jurídico e não deve ser invocado nesse sentido. Aconselhamento específico deve ser procurado sobre as circunstâncias concretas do caso. Se tiver alguma dúvida sobre uma questão de direito Português, não hesite em contactar-nos.