ENTREVISTA   |  Jornal Médico



         Um data breach                          de se preparar para tentar evitar quebras de   científica”  levantando  inúmeras  questões
         no setor da saúde                       segurança, não só pelo valor das coimas asso-  em matéria de proteção de dados.
                                                 ciadas, mas também, e talvez sobretudo, pelo  Quer ao nível da prestação de cuidados de
         tem, naturalmente,                      impacto a nível reputacional que um  data   saúde, organização interna, investigação ou
         consequências mais                      breach pode representar para o bom nome e  da internet of things (IoT), sendo extremamen-
                                                 confiança dos titulares dos dados na organi-
                                                                                         te valiosos os recursos a profiling e big data
         gravosas do que                         zação. Por outro lado, a própria necessidade   e envolvendo todos os agentes da cadeia de
         noutros setores,                        das  empresas  conseguirem  identificar  um   produção – nomeadamente hospitais, farma-
         atendendo à especial                    data breach e terem processos adequados a   cêuticas,  laboratórios,  startups  e  PME  –  que
                                                                                         tenham atividade na prestação de serviços às
                                                 agir de forma ágil para mitigar riscos e cum-
         sensibilidade                           prir a lei obriga à implementação de medidas  entidades de saúde ou criação de tecnologias
         destes dados                            de segurança e organizacionais adequadas.   que tratem dados de saúde. Por outro lado, no
                                                 Por  outro  lado,  quanto  à  obrigação  da  no-
                                                                                         setor público, e pela abrangência do seu uni-
                                                 meação de um encarregado de proteção de   verso alvo, a necessidade de desmaterializa-
                                                 dados (DPO) parece-me uma mudança fun-  ção dos processos e do acesso à informação e
                                                 damental para garantir o respeito pela priva-  a introdução de novas tecnologias associadas
                                                 cidade e segurança dos dados, aliás, seguin-  à prestação de cuidados médicos representam
                                                 do as boas práticas já implementadas nesta  maiores dificuldades no cumprimento das no-
                                                 área. Já havia muitas empresas que tinham  vas regras face ao setor privado.
                                                 um cargo desta natureza nos seus quadros. O
         dos, no sentido de se sentir uma necessidade  DPO será a entidade preferencial de contacto   JM  | As  coimas  previstas  no  caso  de  in-
         de maior transparência, informação e contro-  com  as  autoridades  de  supervisão,  ficando   cumprimento da legislação são elevadas.
         lo sobre os tratamentos dos seus dados pes-  encarregue  da  monitorização  do  cumpri-  Quem  terá  a  cargo  a  fiscalização  deste
         soais. Na prática, apenas foram alteradas as   mento  das regras  de privacidade,  encabe-  processo e a instauração das mesmas?
         regras para o consentimento base, tornando-o  çando um papel fundamental na orientação  AR | Atendendo ao novo sistema de balcão
         mais exigente, nomeadamente pela proibição  das organizações no desenvolvimento da sua   único, determina-se  que  a autoridade  de
         de  consentimentos  implícitos,  fundamenta-  atividade e de novos projetos.    controlo do estabelecimento principal do
         dos  no  silêncio  do  titular  ou  em  caixas  pré-                            responsável pelo tratamento terá um papel
         tickadas. Especificamente, no que respeita aos   JM | As entidades têm até dois anos para  mais  proeminente,  embora  não  exclusivo,
         dados relativos à saúde e sempre que se recor-  adotar  as  novas  regras.  Já  passou  um.  no controlo e supervisão da aplicação do re-
         ra ao consentimento do titular enquanto fun-  Acredita que a maior parte dos organis-  gulamento. Em Portugal, a CNPD será a au-
         damento legítimo para o tratamento de dados,   mos  está em  condições  de  cumprir  este  toridade  de  referência.  Nesta  sede,  o  papel
         mantém-se o mesmo modelo de consentimen-  prazo legal?                          das autoridades de controlo deveria não só
         to high standard que se traduz na necessidade   AR | Dependendo do estado de maturida-  constituir-se numa ótica única sancionatória,
         de obtenção de uma manifestação de vontade   de das empresas, haverá algumas que es-  mas sobretudo formadora, educativa e “tra-
         explícita.  Parece-me  que  os  próximos  anos   tarão em  melhores condições de cumprir.   dutora” dos conceitos e obrigações impostos
         constituirão um desafio para as empresas, no   Parece-me,  no  entanto  que  em  Portugal   pelas  novas  regras,  devendo  estar  próxima
         sentido de que terão de conseguir comunicar   não  temos  ainda  enraizada  uma  cultura  dos cidadãos e das empresas. Este novo re-
         e  transmitir  confiança,  demonstrando  que   de respeito pela privacidade nas organiza-  gulamento representará também um desafio
         tratam os dados de forma justa. Serão vence-  ções,  em  comparação  com  países  como  o   para as autoridades de supervisão, na forma
         doras aquelas que melhor interiorizarem que  Reino Unido, França ou Alemanha. Nesta   como vão encarar o seu novo papel.
         os dados são dos seus titulares e que, como tal,   medida, o esforço terá de ser maior. Até
         o tratamento dos mesmos, em prol das organi-  porque o cumprimento das novas regras
         zações, apenas poderá ser realizado de forma   representa  não  só  a  implementação  de
         ética e responsável.                    procedimentos  e processos  novos,  mas
                                                 também  um  assimilar destes  novos  con-
         JM | Algumas das novidades  a nível or-  ceitos e direitos de privacidade, consubs-
         ganizacional  contemplam  a  notificação  tanciada numa necessidade de repensar
         obrigatória às autoridades de proteção de  e compreender também do ponto de vista
         dados – CNPD – em caso de data breaches  ético qual o papel das empresas.
         e a nomeação de data protection officers
         (DPO). Até que ponto estas alterações po-  JM | Tendo em conta as várias entidades   Em Portugal
         derão contribuir para as boas práticas de   do setor da saúde – hospitais, companhias
         segurança e privacidade da informação  farmacêuticas, farmácias, PME, startups   não temos ainda
         nas entidades do setor da saúde?        – quais, a seu ver, poderão ter maior di-  enraizada uma
         AR | Um data breach no setor da saúde tem,  ficuldade  na  adoção  (adequada  e  atem-
         naturalmente, consequências mais gravosas   pada) das novas regras? E em termos de  cultura
         do que noutros setores, atendendo à especial   setor público versus setor privado, espe-  de respeito
         sensibilidade destes dados. A obrigação de  ra-se alguma discrepância?
         notificação de data breaches às autoridades  AR | A transformação digital, as tecnologias  pela privacidade
         de controlo, e comunicação ao titular dos   da sociedade de informação, são realidades   nas organizações,
         dados sempre que a violação dos dados pes-  incontornáveis nos vários setores da econo-  em comparação
         soais seja suscetível de implicar um elevado   mia e, claro, na sociedade em geral. O setor
         risco para os direitos e liberdades das pes-  da  saúde  não  é  exceção  e  são  enormes  os   com países como
         soas, parece-me que terá duas consequências   desafios  que  se  avizinham.  Os  avanços  ao   o Reino Unido,
         imediatas e naturais, nomeadamente pelo  nível  da  inteligência  artificial  ou  da  reali-
         facto  das  empresas  terem  necessariamente   dade aumentada já não são apenas “ficção  França ou Alemanha


                                                                 15
                                                               Abril 2017