Lgpd na Saúde - Ed. 2021

1. Rgpd: Compartilhamento e Tratamento de Dados Sensíveis na União Europeia – O Caso Particular da Saúde

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Parte I - Contextualização da proteção de dados de saúde: perspectiva internacional e legislativa

Autores:

Carla Barbosa

Dulce Lopes

Introdução

A União Europeia possui uma longa tradição na proteção de dados pessoais. Em termos legislativos poderemos dizer que está atualmente em vigor a terceira geração de diplomas legais que abordam especificamente o tratamento de dados pessoais. Começámos no início da década de 1980 com a Convenção para a proteção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal, também conhecida como “Convenção 108” 1 . É o primeiro instrumento legalmente vinculativo, com relevância global, que trata as questões relativas à proteção de dados. Em 2001, foi adotado um Protocolo Adicional (ETS n.º 181) à Convenção 108 que introduziu alterações sobre fluxos de dados internacionais para países terceiros e sobre o estabelecimento obrigatório de autoridades nacionais de supervisão da proteção de dados. A convenção passou, ainda, por um processo de modernização com a adoção de um protocolo de alteração (CETS nº 223), em 2018. A Convenção atualizada, que continua em vigor, é agora conhecida como “Convenção 108+”. Todos os Estados-Membros do Conselho da Europa (CoE) e, portanto, todos os Estados-Membros da União Europeia (UE), são partes na convenção. Podem, contudo, aderir à Convenção, os Estados não membros do CoE.

Tendo por base a Convenção 108, o Parlamento Europeu e o Conselho da União Europeia aprovaram a Diretiva 95/46/CE, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, aplicável no âmbito do mercado interno (a segunda geração). Essa Diretiva, proposta em 1990 e aprovada em 1995, procurou colmatar a assimetria regulamentar verificada entre os diferentes Estados-Membros, que, ou não dispunham de quadro legislativo nessa matéria, ou, dispondo, apresentavam graus de proteção variáveis e âmbitos de aplicação deficitários, situação que penalizava fortemente o mercado interno europeu.

De facto, a Diretiva de Proteção de Dados Europeia 95/46/CE foi um dos principais instrumentos do direito à proteção de dados na União Europeia. O principal objetivo da diretiva era lograr “(...) a livre circulação de dados pessoais dentro da Europa” e visava alcançar um nível mínimo de proteção de dados nos Estados-Membros, que se expressava por seis princípios: i) legitimidade para coletar dados para; ii) propósitos limitados; iii) transparência para a pessoa em causa; iv) proporcionalidade em relação à finalidade; v) segurança do tratamento; e vi) controlo pelas autoridades de proteção de dados.

Foi adotada, em 24 de Outubro de 1995, por todos os Estados-Membros que afirmaram que “os sistemas de tratamento de dados estão ao serviço do Homem, (…) eles devem seja qual for a sua nacionalidade ou residência de pessoas singulares, respeitar os seus direitos e liberdades fundamentais, em particular a direito à privacidade, e contribuir para o progresso económico e social, (…) e para o bem-estar dos indivíduos”.

Em 2016 foi aprovado o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados – RGPD). A terceira geração.

O RGPD foi adotado como parte do Pacote de Reforma da Proteção de Dados da UE, que, para além do RGPD, abrange também a Diretiva (UE) 2016/680 relativa à proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais pelas autoridades policiais e judiciárias e à livre circulação desses dados e, mais recentemente, o Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados. O RGDP entrou em vigor em 2016 e iniciou a sua aplicação a 25 de maio de 2018 diretamente a todos os Estados-Membros da UE (não há necessidade de transposições nacionais), pelo que cria regras de proteção de dados consistentes em toda a UE (apesar das várias cláusulas abertas). Contudo, os Estados-Membros tiveram de atualizar as suas leis nacionais de proteção de dados considerando que o RGPD possui, como já referimos, várias “cláusulas abertas” que necessitam de ser regulamentadas pelos Estados-Membros. São, pois, essas leis internas que asseguram a plena execução do RGPD nos ordenamentos jurídicos internos.

1.O RGPD e o tratamento de dados sensíveis

1.1.Conceitos gerais

A proteção de dados desempenha um papel importante para reduzir ou até mesmo inibir o tratamento de dados sensíveis, categoria em que englobamos os dados de saúde porquanto estabelece um princípio geral de proibição do seu tratamento. Proibição essa que não é, contudo, absoluta.

Os dados pessoais relativos à saúde são dados pessoalíssimos ou sensíveis.

O RGPD aplica-se ao tratamento de dados pessoais, ou seja, à informação relativa a uma pessoa singular identificada ou identificável, direta ou indiretamente, em especial por referência a um identificador 2 , por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

À semelhança do que acontecia com a Diretiva de 95, o Regulamento proíbe o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa (artigo 9.º do RGPD). São esses os designados dados sensíveis.

No que se reporta especificamente aos dados de saúde, pela primeira vez uma legislação avança com uma definição, estabelecendo que deverão ser considerados dados pessoais relativos à saúde todos os dados relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro (Considerando 35 do RGPD) 3 . De referir que dentro da categoria dos dados pessoais de saúde há, ainda, uma subcategoria que merece tratamento diferenciado considerando a particular sensibilidade da sua informação. Referimo-nos aos dados genéticos definidos como os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular, que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resultem designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa (artigo 4.º, n.º 13 do RGPD). 4

Como referimos infra, há uma proibição de tratamento de dados sensíveis (artigo 9.º, n.º 1). No entanto, o Regulamento determina a possibilidade de tratamento desses dados naquelas …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
24 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1250396544/1-rgpd-compartilhamento-e-tratamento-de-dados-sensiveis-na-uniao-europeia-o-caso-particular-da-saude-lgpd-na-saude-ed-2021