1. Objectivo
Informar todos os colaboradores do 2CA-Braga no que respeita a aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD).
2. Âmbito
Aplica-se a todos os beneficiários dos serviços prestados pelo 2CA- Braga.
3. Responsabilidades
Compete à Direção do 2CA-Braga, ao Encarregado de Proteção de Dados, bem como a todos os colaboradores do 2CA-Braga que procedam a tratamento de dados, a implementação desta política.
4. Referências e abreviaturas
Critérios do Manual CHKS [2016]: 15.11, 15.14, 15.15, 15.18.
CNPD – Comissão Nacional de Proteção de Dados
DPIA – Data Protection Impact Assessment ou Avaliação do Impacto sobre a Proteção de Dados
DPO – Data Protection Officer ou Encarregado de Proteção de Dados
RGPD – Regulamento Geral sobre a Proteção de Dados
SNS – Serviço Nacional de Saúde
5. Descrição do processo
O 2CA-Braga necessita recolher e tratar dados pessoais dos participantes e de formandos, no âmbito dos estudos de investigação clínica e de formações, respetivamente, aqui decorrentes.
Neste sentido, a presente Política de Privacidade do 2CA-Braga (doravante “Política da Privacidade”), visa ajudar os participantes de estudos/formandos a compreender que dados pessoais recolhemos, como e por que motivo os usamos, a quem os divulgamos e como protegemos a sua privacidade quando utilizam os nossos serviços.
5.1. Porquê?
O 2CA-Braga está empenhado em proteger a segurança e a privacidade dos participantes de estudos/formandos. Neste contexto, elaborou a presente Política de Privacidade, com a finalidade de afirmar o seu compromisso e respeito para com as regras de privacidade e de proteção de dados pessoais.
Pretendemos que os participantes de estudos/formandos conheçam as regras gerais de privacidade e os termos de tratamento dos dados que recolhemos, no estreito cumprimento da legislação aplicável neste âmbito, nomeadamente do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (“Regulamento Geral sobre a Proteção de Dados” ou “RGPD”).
O 2CA-Braga procura respeitar as melhores práticas em matéria de segurança e proteção de dados pessoais, de promoção/sensibilização para as boas práticas neste âmbito, e melhorando sistemas de forma a acautelar a proteção de dados que lhe são disponibilizados pelos participantes de estudos/formandos, no estreito cumprimento das obrigações legais.
A participação em estudos clínicos ou em formações ministradas pelo 2CA-Braga, implicam direta ou indiretamente, o conhecimento das condições desta Política, e de quaisquer outros termos, políticas e condições específicas referentes ao desenvolvimento da sua atividade, conforme aplicável.
5.2. O que são dados pessoais?
Entende-se por dados pessoais qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável (titular dos dados). É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social.
Os dados pessoais poderão ter uma natureza mais sensível em determinadas situações, classificando-os o RGPD como “categorias especiais de dados”. Estes podem versar sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde.
São “dados relativos à saúde” dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde passado, presente ou futuro. Tal inclui, por exemplo:
i.
qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a partir de dados genéticos e amostras biológicas;
ii.
quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro.
5.3. Outras definições importantes
Tratamento
Operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
Titular dos dados
Pessoa singular identificada ou identificável a quem os dados pessoais dizem respeito;
Responsável pelo tratamento
Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União Europeia ou de um Estado- Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União Europeia ou de um Estado-Membro;
Subcontratante
Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
Terceiro
Pessoa singular ou coletiva, autoridade pública, serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
Encarregado da proteção de dados (“Data Protection Officer – “DPO”)
Pessoa ou entidade nomeada para garantir, numa organização, a conformidade do tratamento de dados pessoais com o RGPD, assegurando a comunicação eficiente com os titulares dos dados e a cooperação com as autoridades de controlo em causa, fazendo ainda a ponte com as diferentes áreas de atividade dentro do hospital. O DPO não recebe instruções relativamente ao exercício das suas funções, respondendo diretamente aos órgãos de direção da entidade que o nomeou (responsável pelo tratamento ou do subcontratante);
Consentimento informado, livre e esclarecido
Do titular dos dados – manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
Definição de perfis
Qualquer forma de tratamento automatizado de dados pessoais que consista na utilização desses dados pessoais para, nomeadamente, incluir uma pessoa singular em determinada categoria, respeitante ao seu desempenho profissional, à sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;
Violação de dados pessoais
Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
Privacidade desde a conceção (privacy by design)
Significa levar o risco de privacidade em conta em todo o processo de conceção de um novo produto ou serviço, em vez de considerar as questões de privacidade apenas posteriormente. Tal significa avaliar cuidadosamente e implementar medidas e procedimentos técnicos e organizacionais adequados desde o início para garantir que o tratamento está em conformidade com o RGPD e protege os direitos dos titulares dos dados em causa;
Privacidade por defeito (privacy by default)
Significa assegurar que são colocados em prática, dentro de uma organização, mecanismos para garantir que, por defeito, apenas a quantidade necessária de dados pessoais são recolhidos, utilizados e conservados para cada tarefa, tanto em termos da quantidade de dados recolhidos, como do tempo pelo qual eles são mantidos;
Pseudonimização
O tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
Anonimização
Técnica que resulta do tratamento de dados pessoais a fim de lhes retirar elementos suficientes para que deixe de ser possível identificar o titular dos dados, de forma irreversível. Mais precisamente, os dados têm de ser tratados de forma a que já não possam ser utilizados para identificar uma pessoa singular utilizando «o conjunto dos meios suscetíveis de serem razoavelmente utilizados», seja pelo responsável pelo tratamento, seja por terceiros. As principais técnicas de anonimização de dados pessoais são a aleatorização e a generalização;
Avaliação de impacto sobre a proteção de dados (data protection impact assessment – “DPIA”)
Processo concebido para avaliar a necessidade e proporcionalidade do tratamento de dados pessoais, permitindo a gestão dos riscos decorrentes desse tratamento para os direitos e liberdades das pessoas singulares. O DPIA é obrigatório em determinados casos (ex.: avaliação sistemática e completa de pessoas singulares, incluindo a definição de perfis, ou tratamento em larga escala de categorias especiais de dados) e deve ser feito antes de se iniciar o tratamento;
Autoridade de controlo
Uma autoridade pública independente criada por um Estado-Membro, com a responsabilidade pela fiscalização da aplicação do RGPD, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação dos dados na União. Em Portugal, a autoridade de controlo será a Comissão Nacional de Proteção de Dados (“CNPD”);
Transferências internacionais de dados
Transferências de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro (não localizado na União Europeia) ou para uma organização internacional, podendo a transferência ocorrer entre dois ou mais responsáveis pelo tratamento ou entre responsáveis pelo tratamento e subcontratantes;
Serviços da sociedade da informação
Qualquer serviço prestado normalmente mediante remuneração, à distância, por via eletrónica e mediante pedido individual de um destinatário de serviços. Para efeitos da referida definição, entende- se por:
1.
“à distância”: um serviço prestado sem que as partes estejam simultaneamente presentes;
2.
“por via eletrónica”: um serviço enviado desde a origem e recebido no destino através de instrumentos eletrónicos de processamento (incluindo a compressão digital) e de armazenamento de dados, que é inteiramente transmitido, encaminhado e recebido por cabo, rádio, meios óticos ou outros meios eletromagnéticos;
3.
“mediante pedido individual de um destinatário de serviços”: um serviço fornecido por transmissão de dados mediante pedido individual.
Plataforma de Dados da Saúde (PDS)
É uma plataforma web, que disponibiliza um sistema central de registo e partilha de informação clínica de acordo com os requisitos da Comissão Nacional de Proteção de Dados. A plataforma permite o acesso a informação dos cidadãos que tenham número de utente do Serviço Nacional de Saúde (doravante “SNS”), aos profissionais de saúde em diversos pontos do SNS (hospitais, urgências, cuidados primários, rede nacional de cuidados continuados), sem os deslocar do local seguro onde agora estão guardados. Este acesso pode ser auditado e gerido pelo próprio Utente através do Portal do Utente.
5.4. Quem é o responsável pelo tratamento dos seus dados pessoais?
A presente Política de Privacidade visa dar a conhecer aos participantes de estudos/formandos os termos de tratamento de dados pessoais levados a cabo pelo 2CA-Braga, determinando as finalidades e meios de tratamento dos seus dados no contexto da participação em estudos clínicos ou em formações, pelo que este deve ser considerado como a entidade Responsável pelo Tratamento, nos termos do RGPD.
No âmbito do desenvolvimento de investigação clínica e de formação, por regra, o 2CA-Braga é a entidade responsável pelo tratamento dos seus dados pessoais. No entanto, no âmbito de parcerias, formações ou estudos clínicos de âmbito académico ou comercial, o 2CA-Braga poderá tratar os seus dados conjuntamente com outras entidades, sendo dessa forma corresponsável pelo tratamento dos seus dados pessoais.
Especificamente no âmbito dos estudos clínicos realizados no 2CA- Braga, e conforme contratos celebrados com os Promotores e especificado nos protocolos de investigação clínica, os seus dados poderão ser tratados pela diretamente pela entidade promotora (académica ou comercial) do estudo clínico, por empresas subcontratantes, designadas pelos Promotores ou pelo 2CA-Braga, na qualidade de contratante/subcontratante. Nestes casos todas as entidades serão os corresponsáveis pelo Tratamento dos Dados. De acordo com as Boas Práticas Clínicas (ICH-GCP) todos os dados serão anonimizados ou pseudonimizados, conforme aplicável.
Não obstante o referido, e relativamente aos tratamentos de dados pessoais acima descritos, à luz do RGPD, os beneficiários dos serviços prestados pelo 2CA-Braga poderão exercer os seus direitos (melhor descritos na secção “5.10. Quais Os Direitos Dos Titulares Dos Dados?”), junto do 2CA-Braga, através do endereço de correio eletrónico dpo@ccabraga.org ou de carta endereçada ao Encarregado de Proteção de Dados para a seguinte morada:
Centro Clínico Académico
Hospital de Braga, Piso 1 – Ala E
Sete Fontes – S. Victor
4710-243 BRAGA
ou através de queixa dirigida à autoridade nacional - Comissão Nacional de Proteção de Dados (www.cnpd.pt).
5.5. Que dados pessoais recolhemos e através de que meios?
O 2CA-Braga recolhe e trata os dados pessoais necessários no âmbito da sua participação em estudos clínicos ou inscrição em formação. Os seus dados poderão ser recolhidos diretamente, designadamente, quando demonstra interesse em participar num estudo clínico, quando vai a uma consulta de estudo ou fazer um exame, ou quando se inscreve para fazer formação organizada pelo 2CA-Braga.
Neste sentido, os seus dados pessoais podem incluir dados pessoais direta ou indiretamente relacionados com a sua saúde.
Formação
Categoria de Dados Trabalhados
Nome, morada, data de nascimento, número de telefone/ telemóvel, e-mail e n.o de Identificação Fiscal (NIF). Estes dados pessoais poderão ser de fornecimento obrigatório, conforme especificado em ficha de inscrição de formação, sendo o formando informado da necessidade da disponibilização destes dados para registo na formação.
Meios e Momentos de Recolha
Quando se regista na formação, através do preenchimento da ficha de inscrição ou através do envio de e-mail para entrar em contato com o 2CA-Braga ou para fornecer dados necessários ao respetivo registo; ou para procedermos à emissão e respetivo envio por carta do recibo relacionados com o pagamento da formação.
Categoria de Dados Trabalhados
Restantes dados de identificação, tais como: morada (localidade, código postal, concelho, freguesia), profissão, situação profissional, formação académica.
Meios e Momentos de Recolha
Quando se regista na formação, através do preenchimento da ficha de inscrição ou através do envio de e-mail para entrar em contato com o 2CA-Braga ou para fornecer dados necessários ao respetivo registo; ou para validarmos a sua inscrição, através da recolha de informação necessária à confirmação dos critérios de inclusão para participação na formação.
Categoria de Dados Trabalhados
Dados relativos ao desempenho na formação: resultados das avaliação tais como, testes, exames, apresentações, relatórios ou trabalhos para permitir aferir a qualificação ou aquisição de conhecimentos/competências.
Meios e Momentos de Recolha
No decorrer da avaliação da formação. Esta recolha de dados poderá ser realizada mediante a utilização de plataformas digitais de recolha de dados (smartphones, tablets, computadores) ou em papel.
Categoria de Dados Trabalhados
A sua opinião sobre nós
Meios e Momentos de Recolha
Quando participa nos nossos inquéritos/questionários de satisfação.
Investigação Clínica
Categoria de Dados Trabalhados
Nome, data de nascimento, número de telefone/ telemóvel, e-mail, n.o de Identificação Fiscal.
Estes dados pessoais são de fornecimento obrigatório, conforme requerido por protocolo de estudo clínico, sendo o participante de estudos informado da necessidade da disponibilização destes dados para participar no estudo clínico no consentimento informado, livre e esclarecido.
Meios e Momentos de Recolha
Quando aceita participar num estudo clínico, através do registo em caderno de recolha de dados (digital ou papel) ou para procedermos ao pagamento de despesas relacionadas com a participação em estudos clínicos.
Quando é efetuado um contato com o 2CA-Braga através dos vários canais (e-mail, telefone e contacto direto).
Categoria de Dados Trabalhados
Informações sobre as suas marcações, consultas ou exames (incluindo a data e hora da marcação, a especialidade do médico, o exame a realizar/realizado, dados constantes da prescrição médica, entre outros necessários à condução de investigação clínica);
Meios e Momentos de Recolha
Quando é efetuada uma marcação/quando solicita informações através dos vários canais (e-mail, telefone e contato direto); quando é recolhida informação sobre história médica, diagnóstico para confirmação dos critérios de inclusão/exclusão do estudo clínico; e após no consentimento informado, livre e esclarecido.
Categoria de Dados Trabalhados
Restantes dados de identificação, tais como: número de processo clínico, no do cartão de utente, país, distrito e concelho de nascimento, morada (localidade, código postal, país, distrito, concelho, freguesia), profissão, situação profissional, centro de saúde, médico de família, estado civil, nome do cônjuge, nome do pai, nome da mãe (caso participante do estudo seja menor).
Meios e Momentos de Recolha
Quando aceita participar num estudo clínico e é criado o seu processo ou registo nos cadernos de recolha de dados (digital ou papel) dos estudos clínicos; quando é recolhida informação sobre história médica, diagnóstico para confirmação dos critérios de inclusão/exclusão do estudo clínico; após consentimento informado.
Categoria de Dados Trabalhados
Informações sobre a sua saúde; incluindo: motivo da consulta/ato, antecedentes pessoais (doenças de infância, imunizações, hábitos etílicos ou tabágicos, adições, história ginecológica e obstétrica, alergias, medicação, doenças ativas, doenças inativas), antecedentes cirúrgicos, antecedentes familiares (situações mais frequentes – diabetes, HTA, TP, cancro, vivo/falecido, causa de morte), exame clínico, diagnósticos, exames complementares, encaminhamento, alertas (diabetes, hipertensão, etc.), grupo sanguíneo;
medicamentos prescritos, identificação do prescritor, código do local de prescrição e dados da receita e regime especial de comparticipação;
ato e rúbrica do episódio realizado, data de início e fim do episódio, estado do episódio, profissional de saúde que executou o episódio, no de episódio, tipo de episódio, indicação se existem resultados do episódio e identificador desses resultados.
Dados genéticos, origem racial ou étnica e dados relativos à vida sexual e orientação sexual.
Informações sobre funcionalidade, autonomia e qualidade de vida: dados sobre atividades do quotidiano, afazeres, atividades laborais ou de lazer, bem-estar ou qualidade de vida, por exemplo.
Informações sobre o seu funcionamento cognitivo: Dados sobre seu funcionamento cognitivo (por exemplo, funcionamento da memória, atenção ou linguagem, entre outros processos cognitivos).
Meios e Momentos de Recolha
Se aceitar participar num estudo clínico, e após no consentimento informado, livre e esclarecido, poderá ser necessário recolher os dados referidos quando:
- é criado o seu processo ou registo nos cadernos de recolha de dados (digital ou papel) dos estudos clínicos;
- é recolhida informação sobre história médica, diagnóstico para confirmação dos critérios de inclusão/exclusão do estudo clínico;
- é necessário realizar exames complementares de diagnóstico, exames físicos, colheitas de sangue ou de outras amostras biológicas, conforme especificado no protocolo.
- é necessário recolher dados sobre funcionalidade/autonomia, qualidade de vida e funcionamento cognitivo, através de instrumentos neuropsicológicos ou questionários/escalas administradas por profissionais qualificados ou de auto- administração, conforme especificado no protocolo.
Esta recolha de dados poderá ser realizada mediante a utilização de caderno de recolha de dados (digital ou papel).
Categoria de Dados Trabalhados
A sua opinião sobre nós
Meios e Momentos de Recolha
Quando participa nos nossos inquéritos/questionários de satisfação.
No âmbito da participação em estudos clínicos, e após o seu consentimento informado, livre e esclarecido, o 2CA-Braga poderá recolher dados relativos à sua saúde e, em certos casos, dados genéticos, dados relativos à sua origem racial ou étnica e dados relativos à sua vida sexual ou orientação sexual. Tais informações são consideradas “categorias especiais de dados”, nos termos do RGPD, pelo que o 2CA-Braga observará os requisitos de proteção mais exigentes dispostos no RGPD relativamente ao tratamento desses dados, quer relativamente aos fundamentos de licitude adequados ao seu tratamento (ver secção “5.7. Com Que Fundamento Tratamos Os Seus Dados Pessoais?”), quer relativamente à implementação de medidas técnicas e organizativas adequadas à minimização do seu tratamento, à restrição do acesso a esses dados (ver secção “5.8. Que Profissionais Do 2CA-Braga Têm Acesso Aos Seus Dados?”) e à garantia da segurança dos mesmos (ver secção “5.11. Quais As Medidas De Segurança Adotadas Pelo 2CA-Braga?”).
5.6. Quais as finalidades da recolha dos seus dados pessoais?
Os dados pessoais dos participantes em estudos são tratados no âmbito da participação em estudos clínicos, para permitir, por exemplo, a análise da eficácia de determinados fármacos, tratamentos ou dispositivos médicos para uma melhor prestação de cuidados de saúde; ou a análise da prevalência de determinadas doenças ou fatores de risco, por exemplo, entre os utentes do Hospital de Braga/população em geral/população clínica; mas também para melhoria contínua dos serviços do 2CA-Braga.
Os seus dados pessoais poderão ser tratados no âmbito da participação em formações ministradas pelo 2CA-Braga.
Neste sentido, usamos os seus dados pessoais para os seguintes efeitos:
No âmbito da participação em estudos clínicos
De forma a podermos desenvolver investigação clínica, utilizamos as suas informações acima referidas para marcar consultas, marcar exames, confirmar diagnósticos médicos, conforme protocolos clínicos; para desenvolvimento de investigação clínica. Neste sentido, será sempre recolhido o consentimento informado, livre e esclarecido onde são explicados os propósitos do estudo e os dados recolhidos nesse contexto. Em todo o caso, o 2CA-Braga e os respetivos colaboradores e investigadores, respeitarão integralmente a decisão do participante de estudo caso decida recusar ou interromper a participação em estudos, casos em que deixará de tratar os seus dados para esse efeito.
Os seus dados pessoais ou relativos à sua saúde apenas serão tratados por ou sob a responsabilidade de profissionais obrigados a sigilo profissional ou sob compromisso de confidencialidade, na estrita medida do necessário à condução dos estudos clínicos, podendo ser comunicados aos seus familiares, apenas nas circunstâncias expressamente previstas na Lei em vigor. Conforme requerido pelos protocolos de investigação clínica e de acordo com as Boas Práticas Clínicas (ICH-GCP) os dados serão anonimizados ou pseudonimizados, conforme aplicável.
No âmbito das formações
De forma a podermos realizar formações sobre tópicos relacionados com a investigação clínica, utilizamos as suas informações para poder comunicar consigo sobre a formação ou eventos futuros; processar a sua inscrição e emitir recibo do respetivo pagamento; avaliar os seus conhecimentos ou aquisição de conhecimentos; bem como avaliar a satisfação dos formandos acerca da formação/formador.
Os seus dados pessoais serão tratados unicamente por colaboradores do 2CA-Braga envolvidos na formação, obrigados a compromisso de confidencialidade.
Para comunicar e gerir a nossa relação consigo
Podemos contatá-lo por telefone, e-mail ou SMS, por motivos administrativos ou operacionais, por exemplo, para lhe enviar confirmação das suas marcações, para o informar sobre quaisquer alterações ou imprevistos acerca das suas marcações/agendamentos.
Também vamos utilizar os seus dados pessoais para responder aos seus pedidos, sugestões ou contatos, para melhorar os nossos serviços e a sua experiência enquanto beneficiário dos serviços prestados pelo 2CA-Braga.
Para melhorar os nossos serviços e cumprir os nossos objetivos administrativos e de nível de serviço
Os objetivos de nível de serviço para os quais usamos as suas informações incluem contabilidade, faturação, formação e auditoria, nomeadamente para cumprimento da relação contratual estabelecidade com promotores dos estudos clínicos ou para efeitos de certificação, avaliação e medição dos níveis de serviço e auditoria do 2CA-Braga, deteção e análise de fraude, segurança, efeitos jurídicos e processuais, estudos estatísticos, bem como para o desenvolvimento e manutenção de sistemas.
Para cumprir as nossas obrigações legais
No âmbito da investigação clínica, temos a obrigação de fornecer os seus dados ao INFARMED e à Comissão de Ética Competente no exercício dos seus poderes e atribuições (para saber mais acerca das categorias de destinatários dos seus dados pessoais, consulte a secção “5.13. Em Que Circunstâncias Existe Comunicação De Dados A Outras Entidades?”).
5.7. Com que fundamento tratamos os seus dados pessoais?
O 2CA-Braga apenas tratará os seus dados pessoais quando esteja devidamente habilitado para o fazer. O RGPD exige, para que o tratamento de dados pessoais seja lícito, que exista um fundamento de licitude adequado para cada tratamento específico. Tais fundamentos poderão ser de vária índole.
Assim, e em primeiro lugar, os tratamentos de dados requeridos/associados à participação em estudos clínicos, sempre terão como fundamento o desenvolvimento de investigação clínica. Adicionalmente, quando a referida participação em estudos clínicos, implicar o tratamento de dados relativos à saúde dos participantes de estudos ou de outras categorias especiais de dados (tais como dados genéticos, dados relativos à vida sexual ou dados relativos á origem étnica), será realizada uma avaliação de impacto sobre a protecção de dados. Estes estudos são previamente autorizados pelas entidades competentes (comissões de ética competente, local ou nacional, e/ou INFARMED; conforme aplicável) e o racional para a realização destes estudos bem como a necessidade de recolha destes dados é apresentada no respetivo consentimento informado, livre e esclarecido.
No que diz respeito ao contexto das formações, será recolhido o mínimo de dados pessoais, necessários ao processamento da sua inscrição; emissão de recibos de formação; avaliação dos formandos e da qualidade da formação/formador.
Relativamente aos tratamentos dos seus dados efetuados pelo 2CA- Braga para melhorar os nossos serviços e cumprir os nossos objetivos administrativos e de qualidade, o fundamento de licitude adequado será a prossecução de interesses legítimos da entidade Responsável pelo Tratamento. Tal implica que os titulares dos dados possam opor-se ao tratamento dos seus dados para os efeitos acima referidos, ao abrigo do RGPD, caso apresentem motivos válidos relacionados com a sua situação particular. Em tal eventualidade, o Responsável pelo Tratamento poderá apresentar razões imperiosas e legítimas que justifiquem a continuação desse tratamento, caso em que se reserva o direito de continuar a tratar os seus dados para esses efeitos, tal como nos casos em que tal tratamento seja necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Embora o tratamento de dados naqueles âmbitos seja feito, tendencialmente, com recurso a informação anonimizada ou pseudonimizada, é possível que, em determinados casos, este envolva, inclusivamente, determinados dados relativos à saúde dos titulares, tais como o seu no de processo clínico, os identificadores dos atos clínicos por si realizados, entre outros.
Já relativamente ao tratamento de dados realizado pelo 2CA-Braga no contexto do cumprimento de obrigações legais, o fundamento de licitude para a realização de tais tratamentos – na sua maioria, comunicações de dados para entidades externas – será a necessidade do tratamento para o efeito do cumprimento de obrigações jurídicas do Responsável pelo Tratamento, nomeadamente, a obrigação de fornecer os seus dados pessoais ao INFARMED e à Comissão de Ética Competente no exercício dos seus poderes e atribuições (para saber mais acerca das categorias de destinatários dos seus dados pessoais, consulte a secção “5.13. Em Que Circunstâncias Existe Comunicação De Dados A Outras Entidades?”).
5.8. Que profissionais do 2ca-braga têm acesso aos seus dados?
No âmbito do tratamento dos seus dados pessoais, o 2CA-Braga observa, a todo o tempo, os princípios da proteção de dados desde a conceção (privacy by design) e por defeito (privacy by default). Tal compromisso implica, entre outros aspetos, que os seus dados pessoais serão de acesso limitado às pessoas que tenham necessidade de os conhecer no exercício das suas funções, na estrita medida do necessário para a prossecução das finalidades de tratamento que já elencámos acima (ver secção “5.6. Quais As Finalidades Da Recolha Dos Seus Dados Pessoais?”).
Assim, quanto aos dados relativos à sua saúde e outras categorias especiais de dados, estes serão, em observância da lei aplicável, de acesso reservado aos médicos e outros profissionais de saúde adstritos à realização de investigação clínica e quando devidamente autorizados para tal.
No caso das formações, apenas os formadores e pessoal administrativo (para contatos, emissão de recibos) do 2CA-Braga terão acesso aos seus dados pessoais, estando estes igualmente sob compromisso de confidencialidade.
Entre os casos em que o pessoal administrativo tem acesso aos seus dados pessoais, de saúde e outras categorias especiais de dados deve-se ao tratamento de dados para efeito de pagamento de despesas aos participantes de estudos clínicos, de faturação das despesas aos Promotores dos estudos clínicos (dados pseudonimizados), para efeito da marcação de consultas e exames complementares de diagnóstico ou para gestão dos seus pedidos de informação ou reclamações.
5.9. Qual o período de conservação dos seus dados pessoais?
Investigação clínica
Os dados pessoais dos participantes de estudos que o 2CA-Braga recolhe são tratados no estrito cumprimento do que é requerido por protocolo do estudo clínico em que aceitou, de forma livre e esclarecida participar, sendo armazenados em base de dados específicos, criadas para o efeito. Tais dados são conservados num formato anonimizado/pseudonimizado por um período de tempo durante o qual os dados são armazenados e conservados, que varia de acordo com a finalidade para a qual a informação é utilizada. Existem, no entanto, requisitos legais que obrigam a conservar os dados por um determinado período de tempo. Nessa medida, os dados relativos à sua saúde são conservados por pelo menos 5 anos, segundo a legislação vigente. Se os dados forem armazenados por mais tempo, deverá ser especificado no consentimento informado, livre e esclarecido o tempo pelo qual são armazenados. Também tomamos por referencial para determinação do período de conservação adequado as várias deliberações das autoridades de controlo de proteção de dados europeias, nomeadamente da CNPD.
Formações
Os dados pessoais recolhidos no âmbito da sua inscrição e participação em formações, são conservados por pelo menos 5 anos, segundo a legislação vigente, a contar da data de início de cada ação de formação frequentada.
5.10. Quais os direitos dos titulares dos dados?
Nos termos da legislação aplicável, o titular dos dados poderá solicitar, a todo o tempo, o acesso aos dados pessoais que lhe digam respeito, bem como à sua retificação, à portabilidade dos seus dados, ou opor-se ao seu tratamento, diretamente através do e-mail dpo@ccabraga.org ou de carta endereçada a Encarregado de Proteção de Dados, através da seguinte morada:
Centro Clínico Académico
Hospital de Braga, Piso 1 – Ala E
Sete Fontes – S. Victor
4710-243 BRAGA
Em alternativa, poderá solicitar o contato presencial com o Encarregado de Proteção de Dados (Data Protection Officer, DPO), na mesma morada. No caso de dados relativos à informação clínica, o direito de acesso à informação de saúde por parte do titular (ou de terceiros com o seu no consentimento informado, livre e esclarecido ou nos termos da lei) pode ser exercido diretamente, ou por intermédio de um médico se o titular da informação o solicitar, mediante pedido escrito através do e-mail 2ca@ccabraga.org.
Poderá obter a confirmação dos dados pessoais que lhe dizem respeito que são objeto de tratamento, bem como o acesso aos mesmos, sendo-lhe disponibilizada, caso requeira e não existam restrições legais, uma cópia dos dados objeto de tratamento por parte do 2CA-Braga.
Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, o titular dos dados tem direito a apresentar uma reclamação à CNPD (www.cnpd.pt) ou a outra autoridade de controlo competente nos termos da lei, caso considere que os seus dados não estão a ser objeto de tratamento legítimo por parte do 2CA-Braga, nos termos da legislação aplicável e da presente Política.
5.11. Quais as medidas de segurança adotadas pelo 2CA-Braga?
O 2CA-Braga está empenhado em assegurar a confidencialidade, proteção e segurança dos dados pessoais dos seus participantes de estudos clínicos/formandos, através da implementação das medidas técnicas e organizativas adequadas para proteger os seus dados contra qualquer forma de tratamento indevido ou ilegítimo e contra qualquer perda acidental ou destruição destes dados. Para o efeito, dispomos de sistemas e equipas destinados a garantir a segurança dos dados pessoais tratados, criando e atualizando procedimentos que previnam acessos não autorizados, perdas acidentais e/ ou destruição dos dados pessoais, comprometendo-se a respeitar a legislação relativa à proteção de dados pessoais dos participantes em estudos/formandos e a tratar estes dados apenas para os fins para que foram recolhidos, assim como a garantir que estes dados são tratados com adequados níveis de segurança e confidencialidade.
Porque reconhecemos a sensibilidade desta informação, todos os nossos colaboradores assinam um acordo de confidencialidade bem como tomam conhecimento da política interna do Hospital de Braga sobre Segurança da Informação (POL.006 – Segurança da Informação), que define os procedimentos de proteção de dados pessoais, com vista a assegurar o seu conhecimento acerca das obrigações que lhes são impostas nesta matéria. Para garantir a permanente sensibilização dos nossos colaboradores, desenvolvemos ainda ações de formação junto dos mesmos, os quais assumem o compromisso de não revelar a terceiros ou utilizar para fins contrários à lei, qualquer informação pessoal dos participantes de estudos clínicos cujo conhecimento lhes advenha do exercício das suas funções.
Neste âmbito, o 2CA-Braga designou também um Encarregado de Proteção de Dados (Data Protection Officer ou “DPO”) [e-mail dpo@ccabraga.org], o qual poderá contactar para acompanhar o cumprimento das políticas e normas aplicáveis em matéria de proteção de dados pessoais.
5.12. Em que circunstâncias existe comunicação de dados a outras entidades?
O 2CA-Braga recorre a outras entidades para o desenvolvimento de investigação clínica e de formações. Tal poderá implicar o acesso, por estas entidades, a dados pessoais dos participantes em estudos clínicos/formandos, como é o caso de parceiros do 2CA-Braga, entidades que prestem serviços de suporte dos sistemas informáticos do 2CA-Braga, o Técnico Oficial de Contas, o Revisor Oficial de Contas, de prestadores de serviços clínicos em determinados Serviços e sociedades de advogados, e das entidades terceiras que façam a gestão do arquivo físico do 2CA-Braga.
Assim, qualquer parceiro ou entidade subcontratante do 2CA-Braga tratará os dados pessoais dos participantes de estudos clínicos/formandos, em nosso nome e por nossa conta, na estrita obrigação de seguir as nossas instruções. O 2CA-Braga assegura que tais entidades subcontratantes ou parceiros oferecem garantias suficientes de execução de medidas técnicas e organizativas adequadas de forma que o tratamento cumpra os requisitos da lei aplicável e assegure a segurança e proteção dos direitos dos titulares dos dados, nos termos do acordo de subcontratação celebrado com as referidas entidades subcontratantes.
No âmbito específico da investigação clínica, o 2CA-Braga poderá, ainda, transmitir, dados pessoais dos participantes de estudos clínicos a entidades terceiras, quando julgue tais comunicações de dados como necessárias ou adequadas, nomeadamente
i.
à luz da lei aplicável,
ii.
no cumprimento de obrigações jurídicas/ordens judiciais;
iii.
para responder a solicitações de autoridades públicas ou governamentais.
Neste sentido, o 2CA-Braga poderá transmitir os seus dados pessoais ao INFARMED, à Comissão de Ética Competente, às Administrações Regionais de Saúde, à Entidade Reguladora da Saúde, aos Tribunais, Solicitadores, aos órgãos de polícia criminal ou ao Ministério Público quando seja notificado para o efeito ou quando tal seja necessário para o cumprimento de obrigações jurídicas, conforme legalmente previsto. Em qualquer das situações acima mencionadas, o 2CA- Braga compromete-se a tomar todas as medidas razoáveis para garantir a proteção efetiva dos dados pessoais que trata.
5.13. Em que circunstâncias poderão os seus dados ser objeto de transferências internacionais?
O 2CA-Braga implementará as medidas necessárias e adequadas à luz da lei aplicável para assegurar a proteção dos dados pessoais objeto de uma tal transferência, cumprindo rigorosamente as disposições legais relativamente aos requisitos aplicáveis a tais transferências, nomeadamente informando os participantes em estudos clínicos neste âmbito, mediante consentimento informado, livre e esclarecido.
5.14. Contacte-nos
Poderá contactar o Encarregado de Proteção de Dados (“DPO”) do 2CA-Braga para mais informações sobre o tratamento dos seus dados pessoais, bem como quaisquer questões relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em especial, os referidos na presente Política de Privacidade, através dos seguintes contactos:
E-mail:
Morada:
Centro Clínico Académico
Hospital de Braga, Piso 1 – Ala E
Sete Fontes – S. Victor
4710-243 BRAGA
5.15. Como pode ficar a conhecer quaisquer alterações à nossa política de privacidade?
O 2CA-Braga reserva-se o direito de, a qualquer momento, proceder a modificações ou atualizações à presente Política de Privacidade, sendo essas alterações devidamente atualizadas nas nossas Plataformas. Sugerimos que as consulte regularmente para estar a par de eventuais alterações.