<?xml version="1.0" encoding="ISO-8859-1"?><article xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<front>
<journal-meta>
<journal-id>2182-5173</journal-id>
<journal-title><![CDATA[Revista Portuguesa de Medicina Geral e Familiar]]></journal-title>
<abbrev-journal-title><![CDATA[Rev Port Med Geral Fam]]></abbrev-journal-title>
<issn>2182-5173</issn>
<publisher>
<publisher-name><![CDATA[Associação Portuguesa de Medicina Geral e Familiar]]></publisher-name>
</publisher>
</journal-meta>
<article-meta>
<article-id>S2182-51732018000500001</article-id>
<article-id pub-id-type="doi">10.32385/rpmgf.v34i5.12466</article-id>
<title-group>
<article-title xml:lang="pt"><![CDATA[Proteção de dados e o novo regulamento geral da União Europeia]]></article-title>
</title-group>
<contrib-group>
<contrib contrib-type="author">
<name>
<surname><![CDATA[Simões]]></surname>
<given-names><![CDATA[José Augusto]]></given-names>
</name>
<xref ref-type="aff" rid="A1 "/>
</contrib>
</contrib-group>
<aff id="AA1">
<institution><![CDATA[,ARS Centro ACeS Baixo Mondego UCSP da Mealhada]]></institution>
<addr-line><![CDATA[ ]]></addr-line>
</aff>
<aff id="AA2">
<institution><![CDATA[,Universidade da Beira Interior Faculdade de Ciências da Saúde ]]></institution>
<addr-line><![CDATA[ ]]></addr-line>
</aff>
<pub-date pub-type="pub">
<day>00</day>
<month>10</month>
<year>2018</year>
</pub-date>
<pub-date pub-type="epub">
<day>00</day>
<month>10</month>
<year>2018</year>
</pub-date>
<volume>34</volume>
<numero>5</numero>
<fpage>266</fpage>
<lpage>267</lpage>
<copyright-statement/>
<copyright-year/>
<self-uri xlink:href="http://scielo.pt/scielo.php?script=sci_arttext&amp;pid=S2182-51732018000500001&amp;lng=en&amp;nrm=iso"></self-uri><self-uri xlink:href="http://scielo.pt/scielo.php?script=sci_abstract&amp;pid=S2182-51732018000500001&amp;lng=en&amp;nrm=iso"></self-uri><self-uri xlink:href="http://scielo.pt/scielo.php?script=sci_pdf&amp;pid=S2182-51732018000500001&amp;lng=en&amp;nrm=iso"></self-uri></article-meta>
</front><body><![CDATA[ <p align="right"><font size="2"><b>EDITORIAL</b></font></p>     <p><font size="4"><b>Proteção de dados e o novo regulamento   geral da União Europeia</b></font></p>     <p><b>José Augusto Simões*</b></p>     <p>*Médico de   família. UCSP da Mealhada, ACeS Baixo Mondego, ARS Centro. Professor   Associado Convidado. Faculdade de Ciências da Saúde, Universidade da Beira Interior.</p>     <p><a href="#c0">Endere&ccedil;o para correspond&ecirc;ncia</a> | <a href="#c0">Direcci&oacute;n para correspondencia</a> | <a href="#c0">Correspondence</a><a name="topc0"></a></p> <hr/>     <p>&nbsp;</p>      <p>A 25 do   pretérito mês de maio entrou em vigor na União Europeia o novo Regulamento   Geral de Proteção de Dados (RGPD),<sup>1</sup> que substituiu a anterior   Diretiva europeia e a legislação nacional de proteção de dados. Os principais   princípios deste regulamento são os seguintes:</p>     <p>• Informação   aos titulares dos dados. O RGPD obriga a informar os titulares dos dados acerca   da base legal para o tratamento dos seus dados, o tempo de conservação e a   transferência dos mesmos. É, assim, necessária uma política de privacidade e   textos que informem os titulares dos dados.</p>     <p>• Exercício   dos direitos dos titulares dos dados. O RGPD obriga a garantir o exercício dos   direitos dos titulares dos dados. Desta forma, os pedidos de exercício desses direitos   passam a ser monitorizados e documentados com prazos máximos de resposta.   Direitos à portabilidade dos dados, à eliminação dos dados e à notificação de   terceiros sobre a retificação, o apagamento ou a limitação de tratamento   solicitados pelos titulares dos mesmos.</p>     <p>•   Consentimento dos titulares dos dados. O RGPD obriga a controlar as   circunstâncias em que foi obtido o consentimento dos titulares, como base legal   para o tratamento dos seus dados pessoais. Existe um conjunto de exigências   para obtenção desse consentimento e o seu não cumprimento obriga à obtenção de   um novo consentimento.</p>     ]]></body>
<body><![CDATA[<p>• Natureza   dos dados. O RGPD define o conceito de dados sensíveis, que estão sujeitos a   condições específicas para o seu tratamento, nomeadamente tratamento automatizado.   Exemplo de dados sensíveis são os dados biométricos e de saúde. Dependendo da   dimensão e contexto desse tratamento de dados específicos, pode ser obrigatória   a nomeação de um Encarregado de Proteção de Dados (DPO &#8211; <i>Data Protection Officer</i>).</p>     <p>• Documentação   e registo. O RGPD obriga a manter um registo documentado de todas as atividades   de tratamento de dados pessoais. As organizações são obrigadas a demonstrar o   cumprimento de todos os requisitos decorrentes da aplicação do regulamento.</p>     <p>•   Subcontratação. O regulamento obriga a que o subcontratante garanta que detém   todas as autorizações dos responsáveis pelo tratamento de dados. Os contratos   de subcontratação têm de incluir um conjunto vasto de informações, com o   objetivo de proteger a informação dos titulares de dados, a qual é   frequentemente tratada por várias entidades sem que os respetivos titulares   tenham conhecimento.</p>     <p>•   Encarregado de Proteção de Dados (DPO &#8211; <i>Data Protection Officer</i>). O RGPD introduz a figura do DPO que tem o   papel de controlar os processos de segurança para garantir a proteção de dados   no dia-a-dia de uma organização. Embora não seja obrigatório para todas, a   existência do mesmo ou de um serviço externo que garanta essa função pode   acrescentar muito valor aos processos de cumprimento das obrigações de proteção   de dados.</p>     <p>• Processos   de segurança e tratamento de dados. O RGPD obriga a um grande controlo do risco   associado ao possível roubo de informação. Este controlo de risco deve ser   garantido por medidas de segurança efetivas que garantam a confidencialidade, a   integridade dos dados e que previnam a destruição, perda e alterações   acidentais ou ilícitas ou a divulgação/acesso não autorizado de dados.</p>     <p>• Proteção   de dados desde a conceção. O RGPD salienta a necessidade de se avaliar em projetos   futuros o tratamento de dados com a devida antecedência e rigor, de forma a   poder avaliar o seu impacto na proteção de dados e adotar as medidas adequadas   para mitigar esses riscos.</p>     <p>•   Notificação de violações de segurança. O RGPD obriga a que todas as violações   de segurança que resultem em risco para os direitos dos titulares sejam   comunicadas à autoridade de controlo &#8211; Comissão Nacional de Proteção de   Dados, em Portugal &#8211; assim como aos respetivos titulares dos dados.</p>     <p>• Coimas. O   RGPD estabelece um quadro de coimas em função da gravidade da violação da   proteção de dados.</p>     <p>Que   implicações têm os princípios atrás enumerados para a prática do médico de   família? </p>     <p>• Enquanto   funcionário do Serviço Nacional de Saúde ou de uma organização de saúde   privada, saber que política de privacidade e proteção de dados a sua   instituição, pública ou privada, definiu e que normativos estabeleceu para o   seu cumprimento.</p>     ]]></body>
<body><![CDATA[<p>• Enquanto   médico com atividade liberal (consultório particular), estabelecer   procedimentos que garantam a proteção e segurança dos dados sensíveis à sua   guarda e informar os seus pacientes desses procedimentos, garantindo a   confidencialidade dos seus dados.</p>     <p>As Unidades   de Saúde Familiares (USF), enquanto unidades funcionais com autonomia   funcional, devem igualmente estabelecer procedimentos que garantam a proteção e   segurança dos dados sensíveis à sua guarda e informar os seus utentes desses   procedimentos, garantindo a confidencialidade dos dados. Todos estes   procedimentos devem ser passíveis de auditoria e comprovação, uma vez que   perante o estabelecido no novo RGPD são as organizações que têm de provar que   atuam de acordo com o estabelecido no regulamento.</p>     <p>Por fim,   como proceder perante estudos de ficheiro, avaliação de qualidade e trabalhos   de investigação. Aquando da elaboração do protocolo do estudo deve ser   ponderado o modo de utilização de dados. Se os dados puderem ser completamente   anonimizados deve-se optar por essa solução e garantir que a mesma se cumpre.   Na maioria dos estudos observacionais e de qualidade pode-se fazer essa opção.   Desde que se garanta a completa anonimização dos dados, ou seja, que não é   possível identificar a quem pertencem aqueles dados, o seu tratamento não   contraria o estabelecido no RGPD.</p>     <p>Se não for   conveniente que os dados sejam anonimizados, por exemplo, estudos de   intervenção, então deve-se procurar uma anonimização parcial, ou seja, os dados   serem codificados e a chave de leitura desse código, o que permite ligar os   dados à pessoa, fique à guarda do seu médico de família ou de quem se   responsabilize pela proteção dos dados. Todo esse procedimento tem de estar   estabelecido no protocolo do estudo e deve ser passível de auditoria.</p>     <p>Concluindo,   deixou de ser necessário pedir autorização à Comissão Nacional de Proteção de   Dados (CNPD), mas passou a ser necessário ponderar a segurança dos dados e a   garantia da sua confidencialidade. No entanto, perante o tratamento de dados   pessoais particularmente sensíveis pode ser realizada uma consulta prévia à   CNPD.</p>     <p>Por fim,   mantém-se a necessidade de parecer da Comissão de Ética para a Saúde para o   protocolo do estudo, particularmente se de investigação clínica e, no mesmo,   passam a ter de estar estabelecidos os procedimentos adotados para a garantia   de proteção de dados, assim como uma avaliação de impacto sobre a proteção de   dados, se particularmente sensíveis.</p>     <p>&nbsp;</p>     <p><strong>REFER&Ecirc;NCIAS BIBLIOGR&Aacute;FICAS</strong></p>     <!-- ref --><p>1.   Parlamento Europeu, Conselho Europeu. Regulamento (UE) 2016/679 do Parlamento   Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas   singulares no que diz respeito ao tratamento de dados pessoais e à livre   circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral   sobre a Proteção de Dados). JOUE. 2016;L(119):1-88.    &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[&#160;<a href="javascript:void(0);" onclick="javascript: window.open('/scielo.php?script=sci_nlinks&ref=1379045&pid=S2182-5173201800050000100001&lng=','','width=640,height=500,resizable=yes,scrollbars=1,menubar=yes,');">Links</a>&#160;]<!-- end-ref --></p>     ]]></body>
<body><![CDATA[<p>&nbsp;</p>     <p><a href="#topc0">Endere&ccedil;o para correspond&ecirc;ncia</a> | <a href="#topc0">Direcci&oacute;n para correspondencia</a> | <a href="#topc0">Correspondence</a><a name="c0"></a></p>      <p><a href="mailto:jars58@gmail.com">jars58@gmail.com</a></p>      ]]></body><back>
<ref-list>
<ref id="B1">
<label>1</label><nlm-citation citation-type="journal">
<collab>Parlamento Europeu</collab>
<collab>Conselho Europeu</collab>
<article-title xml:lang="pt"><![CDATA[Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)]]></article-title>
<source><![CDATA[JOUE]]></source>
<year>2016</year>
<volume>L</volume>
<numero>119</numero>
<issue>119</issue>
<page-range>1-88</page-range></nlm-citation>
</ref>
</ref-list>
</back>
</article>
