dados-sensiveis

Com o objectivo de apoiar as empresas no âmbito do Regulamento Geral de Protecção de Dados (RGPD), a CCIP lançou uma rúbrica, na sua newsletter quinzenal, que irá abordar alguns aspectos relacionados com este tema. Nesta edição, damos-lhe a conhecer um caso prático sobre um incidente de segurança com dados sensíveis. Conheça agora o caso. 

 

O caso

Uma Clínica especializada em tratamento de doentes com HIV enviou um e-mail ao paciente X copiando os restantes pacientes da clínica, tendo os mesmos tido acesso aos resultados clínicos do paciente X. O envio deste e-mail constitui um incidente de segurança? Se sim, o que fazer?

 

Análise prática

Com efeito, é proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

Neste caso, estamos perante o tratamento de dados relativos à saúde do paciente X, isto é, dados pessoais relacionados com a condição física ou mental de uma pessoa singular, através da divulgação, via e-mail, para os demais pacientes da clínica, dando conta que o mesmo é portador de HIV.

 

Conforme mencionado, é proibido o tratamento de dados pessoais relativos à saúde dos pacientes, salvo nos casos de:

  • consentimento do seu titular;
  • cumprimento de obrigações em matéria de legislação laboral, segurança social e protecção social;
  • interesses vitais do titular ou de outra pessoa incapacitada de dar o seu consentimento;
  • actividades legítimas e mediante garantias de uma entidade sem fins lucrativos, que prossiga fins políticos, filosóficos, religiosos ou sindicais, relativamente a membros;
  • dados tornados públicos pelo titular;
  • tratamento necessário no âmbito de um processo judicial;
  • motivos de interesse público importante proporcional ao objectivo visado (investigação científica ou histórica, estatística, desde que respeite a essência do direito à protecção dos dados)
  • medicina preventiva no âmbito da segurança e higiene no trabalho;

 

keyboard fingersNada nos leva a crer que se verifique a existência de qualquer situação prevista nas excepções acima referidas, pelo que será forçoso concluir que o tratamento de dados pessoais relativos à saúde, tal como descrito, revela-se vedado nos termos do nº 1 do artigo 9º do RGPD.

Assim, o paciente X tem o direito a apresentar, à Comissão Nacional de Protecção de Dados, a sua reclamação, bem como a ser indemnizado pelo responsável pelo tratamento ou subcontratante, pelos danos patrimoniais e não patrimoniais incorridos.

A infração acima descrita – tratamento indevido de dados sensíveis – está sujeita à aplicação de sansões.

 

Incidente de segurança

Note-se que, neste caso, o envio do e-mail, constitui um incidente de segurança pois verificou-se uma violação de dados pessoais – ou seja, uma falha da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Face a este incidente de segurança, o responsável pelo tratamento, neste caso a Clínica em causa, deverá notificar a Comissão Nacional de Protecção de Dados, da violação de dados pessoais até 72 horas após ter tido conhecimento da mesma. Se este prazo não for cumprido, a notificação à autoridade de controlo deve ser acompanhada dos motivos do atraso.

Por outro lado, sempre que a violação dos dados pessoais for susceptível de implicar um elevado risco para os titulares dos dados, o responsável pelo tratamento deve comunicar também a violação de dados pessoais ao titular dos dados, sem demora injustificada. Deverá descrever, em linguagem clara e simples, a natureza da violação dos dados pessoais e fornecer as informações e recomendações previstas no Regulamento.

Quaisquer violações de dados pessoais devem ser documentadas.

 

 

Caso prático desenvolvido por: Azeredo Perdigão & Associados – Sociedade de Advogados

Saiba como fazer parte da rede da Câmara de Comércio

 

Torne-se nosso associado

 

Apresentação Câmara de Comércio