Proteção de Dados Pessoais Indústria...

AV. ENGº DUARTE PACHECOEMPREENDIMENTO DAS AMOREIRAS TORRE II, 13º A1099-042 LISBOA

Tel. (+351) 21 383 9060Fax. (+351) 21 385 3202

http://www.cralaw.com

‐ Proteção de Dados Pessoais ‐

Indústria Farmacêutica

Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014

Mónica Oliveira CostaCIPP/E

Certified Information Privacy Professional/Europe

Enquadramento e Regras Gerais

Dados Pessoais Sensíveis“É proibido

o

tratamento

de

dados

pessoais

referentes

a

convicções

filosóficas

ou

políticas, filiação partidária ou sindical, fé

religiosa, vida privada e origem racial ou étnica, bem

como

o

tratamento

de

dados

relativos

à

saúde

e

à vida

sexual,

incluindo

os

dados

genéticos”

(Artigo 7.º, n.º

1 da LPDP)

Dados de Saúde“…

há

que dar à

expressão «dados relativos à

saúde»…

uma interpretação lata, de modo

que

inclua

informações

relativas

a

todos

os

aspetos,

quer

físicos,

quer

psíquicos,

da saúde

de

uma

pessoa…” (Acórdão

de

6/11/2003

do

TJCE

– Proc.

C‐101/01),

ou

seja,

aos

dados que tenham uma ligação manifesta e estreita com a saúde

e “não apenas aqueles que

resultem

do

diagnóstico

médico

feito,

mas

todos

aqueles

que

permitam

apurá‐lo,

incluindo

resultados

de

análises

clínicas,

imagens

de

exames

radiológicos,

imagens

vídeo ou fotografias que sirvam o mesmo fim”

(Autorizações n.º

45/96 e 46/97 da CNPD).

Indústria Farmacêutica ‐

Proteção de Dados Pessoais ‐


Enquadramento e Regras Gerais Tratamento de dados sensíveisÉ permitido (artigo 7,º

n.º

2 da LPDP):

(i) Mediante: disposição legal ou

autorização da CNPD; e(ii) Quando: interesse público importante –

indispensável ao exercício da

atividade do responsável ou

consentimento expresso do titular; e(iii) Garantias de não discriminação +

medidas especiais de segurança.

E ainda (artigo 35.º, n.º

3 da CRP):(iv) Processamento de dados estatísticos não individualmente identificáveis

Tratamento de dados de saúdeÉ permitido (artigo 7.º, n.º

4 da LPDP) para as seguintes finalidades:

a) medicina preventiva;b) diagnóstico médico,c) prestação de cuidados ou tratamentos médicosd) gestão de serviços de saúde.




Enquadramento e Regras GeraisTratamento de dados de saúdeDesde que: (i) tratamento efetuado por profissional de saúde obrigado a sigilo ou por outra pessoa

sujeita igualmente a segredo profissional;(ii) seja notificado à CNPD; e(iii) medidas adequadas de segurança da informação.

Direitos dos titulares dos dados de saúde

(i) Direito de informação (artigo 10,º, n.º

5 da LPDP)Mediante disposição legal ou deliberação da CNPD pode ser dispensada

a

obrigação de informação – no caso de tratamento de dados com finalidadesestatísticas, históricas ou de investigação científica

– e quando:

a) a informação do titular dos dados se revelar impossível ou implicaresforços desproporcionados; ou ainda

b) a lei determinar expressamente o registo dos dados ou

a sua divulgação




Enquadramento e Regras Gerais Direitos dos titulares dos dados de saúde

(ii) Direito de correção

(iii) Direito de eliminação

(iv) Direito de acesso (artigo 11.º, n.º

5 e 6 da LPDP)

a) É

exercido por intermédio de médico escolhido pelo titular dos dados;

b) Lei pode restringir este direito quando:• Os

dados

não

forem

utilizados

para

tomar

medidas

ou

decisões

em

relação

a

pessoas determinadas;• Não

existe

qualquer

perigo

de

violação

dos

direitos,

liberdades

e

garantias

do

titular dos dados; e• Os

dados

forem

exclusivamente

utilizados

para

fins

de

investigação

científica

ou

conservados sob forma de dados pessoais durante um período que não exceda o necessário à

finalidade exclusiva de elaborar estatísticas.




Enquadramento e Regras Gerais Medidas especiais de segurança (artigo 15.º

da LPDP)

(i) Controlo da entrada nas instalações;(ii) Controlo dos suportes de dados(iii) Controlo da inserção(iv) Controlo da utilização(v) Controlo de acesso(vi) Controlo da transmissão(vii) Controlo da introdução(viii) Controlo do transporte(ix) Separação lógica entre os dados de saúde dos restantes dados pessoais(x) CNPD pode determinar que a transmissão dos dados seja cifrada quando ocorra

circulação em rede de dados que possa pôr em risco direitos, liberdades e garantias.




FarmacovigilânciaDeliberação CNPD 219/2009

Definição“A Farmacovigilância visa melhorar a qualidade e segurança dos medicamentos, em defesa do utente e da Saúde Pública, através da deteção, avaliação e prevenção de reações adversas a medicamentos” (www.infarmed.pt)

Aplicável, com as necessárias adaptações, à

vigilância de dispositivos médicos.

Autorização Prévia da CNPDEm virtude de ser um tratamento que incide sobre dados sensíveis (artigo 28.º

n.º

1 LPDP)

LegitimidadeDisposição

legal

(DL

176/2006

regime

jurídico

dos

medicamentos

de

uso

humano

e

Lei

21/2014 lei da investigação clínica)

Responsável‐INFARMED‐Titulares de AIM (de medicamento e de importação paralela)‐Unidades de farmacovigilância‐Promotor de ensaios clínicos




http://www.infarmed.pt/


Subcontratante‐Responsável opta pelo outsourcing para prestação destes serviços‐Contrato escrito:

(i) atua mediante instruções do responsável(ii) implementar medidas de segurança adequadas

Dados tratados‐Profissionais de saúde (nome, local de trabalho, contacto e especialidade)‐Participantes ensaio clínico + pessoas que sofreram reações adversas:

(i) identificação (iniciais do nome, sexo e data de nascimento)(ii) peso e altura(iii) dados da reação adversa(iv) dados clínicos, exames auxiliares de diagnóstico, alergias e gravidez(v) parecer clínico quanto à

relação causal





Comunicação de dados (nos termos legalmente previstos)‐INFARMED – AEM + CE + OMS‐Outros responsáveis –

INFARMED

Interconexões‐INFARMED (nos termos previstos na Lei)‐Restantes responsáveis (autorização prévia da CNPD concedida caso a caso)

Prazo de conservação‐Promotor (dados relativos a farmacovigilância em ensaios clínicos):

(i) 15 anos após a conclusão ou interrupção do ensaio; ou(ii) 2 anos após a concessão de AIM na UE e até

não haver pendente nem previsto

qualquer pedido de introdução no mercado na Comunidade Europeia; ou(iii) 2 anos após a interrupção formal do desenvolvimento clínico do medicamento

experimental.‐Restantes responsáveis – 2 anos após o fim do ciclo do medicamento





Transferências internacionais de dados‐Consentimento livre, específico, informado, expresso e escrito‐Cláusulas Standard da CE, Safe Harbor (?), Países de proteção adequada‐Autorização da CNPD, nos termos previstos na lei (artigo 20.º

da LPDP)

Medidas de segurança‐Dados contidos em ficheiros automatizados + dados manuais‐Separação lógica entre os dados de saúde e os dados de natureza administrativa: criação de

perfis

com

níveis

de

acesso

diferenciados

e

privilégios

de

manuseamento

da

informação distintos

‐Impedir o acesso à informação a pessoas não autorizadas‐Circulação dos dados de saúde em rede – transmissão cifrada‐Acesso

restrito

(físico

e

lógico)

aos

servidores

com

registo

de

acesso

à informação

para

controlo das operações e realização de auditorias ‐Backups da informação mantidos em local acessível ao administrador de sistema




Investigação Clínica Legislação(i) Lei de Bases da Saúde (Lei 48/90, de 24 de agosto)(ii) Lei da Investigação Científica (Lei 125/99, de 20 de abril)(iii) Lei dos Ensaios Clínicos (Lei 46/2004, de 19 de Agosto) em vigor até

14/06/14

(iv) Lei da Investigação Científica (Lei 21/2014, de 16 de abril) em vigor a partir de 15/06/2014

(abarca duas realidades até

aqui separadas: ensaios e estudos

clínicos), destacando‐se as seguintes alterações em matéria de proteção dedados pessoais:1. Remissão expressa para a LPDP2. Reformulação do conceito de consentimento informado3. Base de dados do INFARMED (ensaios clínicos + estudos clínicos com intervenção dedispositivos médicos) – sujeita a notificação à CNPD

4. Registo Nacional de Estudos Clínicos – sujeita a autorização da CNPD

Deliberações da CNPD‐

Ensaios clínicos –

Deliberação n.º

333/2007

‐

Estudos clínicos ou de investigação não interventivos –

Deliberação n.º

227/2007




Ensaios ClínicosDefinição

“Qualquer investigação conduzida no ser humano, destinada a descobrir ou verificar

os

efeitos

clínicos,

farmacológicos

ou

os

outros

efeitos

farmacodinâmicos

de

um

ou

mais

medicamentos

experimentais,

ou

identificar

os

efeitos

indesejáveis

de

um

ou

mais medicamentos

experimentais,

ou

a

analisar

a

absorção,

a

distribuição,

o

metabolismo

e

a

eliminação

de

um

ou

mais

medicamentos

experimentais,

a

fim

de

apurar

a

respetiva segurança ou eficácia”

(www.infarmed.pt)

Autorização Prévia da CNPDEm virtude de ser um tratamento que incide sobre dados sensíveis (artigo 28.º, n.º

1 LPD)

FinalidadeEnsaio clínico em concreto que se pretende realizar

Responsável pelo tratamentoPerante a CNPD – Promotor: determina a finalidade e os meios




Ensaios ClínicosSubcontratado‐

Investigador: prestar o direito de informação, obter o consentimento dos participantes, assegurar o processamento dos dados e garantir a confidencialidade

‐

Monitor: acompanha o ensaio, mantém o Promotor informado e garante que os dadossão registados corretamente

‐

Centro de Ensaio: se assumir por ex. obrigações de segurança da informação

Dados Tratados(i) Dados pessoais necessários à

realização do ensaio em concreto

(ii) Dados vida sexual, vida privada, origem racial ou étnica: apenas se for demonstrada asua pertinência, adequação, indispensabilidade e não excessividade face à

finalidade

do ensaio em concreto;(iii) Dados relativos a convicções filosóficas, políticas, filiação partidária ou sindical e fé

religiosa: não podem ser tratados.

Interconexões de dados e comunicação a terceirosPor regra não são admissíveis, exceto se expressamente autorizados pela CNPD.




Ensaios ClínicosLegitimidade

Consentimento, que deve ser:(i) livre, específico e informado;(ii) expresso;(iii) escrito, datado e assinado;(iv) uniformizado;(v) livremente revogável a todo o momento e sem quaisquer consequências.

Sigilo profissionalTodos os intervenientes nos ensaios clínicos estão sujeitos a sigilo profissional (obrigação decorrente da LPDP – artigo 17.º

‐

e Lei de Investigação Clínica – artigo 51.º)

Prazo de conservação‐

Medicamentos que obtenham AIM = farmacovigilância

‐

Restantes casos: * código do doente deve ser destruído 5 anos após o ensaio* nome do investigador deve ser eliminado 5 anos após o ensaio




Ensaios ClínicosMedidas de segurança

(i) diferentes níveis de acesso (mesmo entre os médicos e profissionais) (ii) medidas de transporte e acesso pelos auxiliares administrativos;(iii) mecanismos de autenticação;(iv) registo de todos os acessos e introdução de dados;(v) separação lógica e física dos dados de saúde, vida sexual e genéticos dos restantes;(vi) packs de dados dedicados com informação selecionada.

Anonimização, codificação e acesso aos dados ‐

Dados devem ser preferencialmente anonimizados ou, caso não seja possível,codificados de forma a que a identificação seja indireta e remota.

‐

Acesso dos intervenientes apenas na medida do indispensável.

Transferências InternacionaisAplicam‐se as regras gerais. No entanto, atendendo à

categoria de dados, os critérios de

aferição do nível adequado de proteção seguidos pela CNPD são particularmenteexigentes.




Estudos Clínicos ou de Investigação não interventivos

Definição“Qualquer estudo sistemático, conduzido no ser humano ou a partir de dados de saúde individuais, destinado a descobrir ou a verificar a distribuição ou o efeito de fatores de saúde, de estados ou resultados em saúde, de processos de saúde ou de doença, do desempenho e, ou, segurança de intervenções ou serviços de saúde, através de aspetos biológicos, comportamentais, sociais ou organizacionais” (artigo 2.º, n) da Lei 21/2014)

Autorização Prévia da CNPDEm virtude de ser um tratamento que incide sobre dados sensíveis (artigo 28.º, n.º

1 LPDP)

FinalidadeEstudo clínico ou de investigação em concreto que se pretende realizar

Responsável pelo tratamentoLaboratório do Estado, unidades de saúde do SNS, instituição pública de investigação,instituição particular ou um investigador.





Dados tratados

Categorias

admissíveis em função do tipo de estudo (retrospetivos ou prospetivos):(i) dados de identificação(ii) dados de saúde (história clínica/medicamentação/resultados de meios

complementares de diagnóstico;(iii) história familiar (informação saúde/ genética);(iv) hábitos pessoais;(v) dados relativos à

atividade profissional;

(vi) dados relativos aos parâmetros clínicos em estudo.

Identificabilidade

dos dados pela seguinte ordem de preferência:1.º

Dados anonimizados

2.º

Dados codificados3.º

Dados pessoais identificáveis (só

em última instância e desde que fundamentada)





RecolhaDireta –

junto do titular (ex.: amostras biológicas)

Indireta – através do médico

Legitimidade

(i) Unidades de saúde: consentimento (livre, específico e informado, expresso, escrito,datado e assinado, uniformizado, revogável a todo o momento e sem quaisquerconsequências) + acesso aos dados desde que anonimizados;

(ii) Estudos retrospetivos: consentimento é obtido pela unidade de saúde ou médico(iii) Impossibilidade de obter consentimento:

* Situações especiais (demonstradas)* Interesse público importante (aferido do resultado da investigação)

(iv) Teses académicas: consentimento, salvo raras exceções a apreciar pela CNPD.

Comunicação a terceirosPor regra não é permitida, exceto no caso de estudos policêntricos.





Medidas de segurança

(Além das já

referidas anteriormente a propósito da farmacovigilância e ensaios clínicos)‐

Perfis de utilizador devem ser mantidos atualizados e eliminados quando o utilizadordeixe de ter privilégios de acesso;‐

Palavras‐passe devem ser periodicamente alteradas

‐

Circulação de dados – sobretudo quando os dados não são diretamente entregues aoprofissional de saúde

‐

Acesso ao processo clínico para fins de investigação epidemiológica, clínica ougenética –

pressupõe a pré‐existência de um tratamento de dados pessoais autorizado

pela CNPD

Prazo de conservação

Durante o período do estudo, acrescido de 1 mês, após o qual devem ser destruídos, semprejuízo de serem conservados de forma anonimizada




AV. ENGº

DUARTE PACHECOEMPREENDIMENTO DAS AMOREIRAS TORRE II, 13º

A1099‐042 LISBOA

Tel. (+351) 21 383 9060Fax. (+351) 21 385 3202

http://www.cralaw.com

Muito obrigada!

[email protected]




Mónica Oliveira CostaCIPP/E

Certified Information Privacy Professional/Europe

http://www.cralaw.com/

mailto:[email protected]

Proteção de Dados Pessoais Indústria...

Documents

Transcript of Proteção de Dados Pessoais Indústria...