Embed Size (px)
Citation preview
VERBO jurídico ®
Pedro Miguel Marques Gaspar
A Proteção de Dados Pessoais na Indústria Farmacêutica (Um)a análise do Estado da Arte
A Proteção de Dados Pessoais na Indústria Farmacêutica
(Um)a análise do Estado da Arte
Pedro Miguel Marques Gaspar
Trabalho submetido para obtenção de aproveitamento no
II Curso Pós-Graduado de Atualização sobre Direito do Medicamento
Lisboa, junho de 2015
2
Abreviaturas e Siglas
AIM - Autorização de Introdução no Mercado
CNPD - Comissão Nacional de Proteção de Dados
CRP - Constituição da República Portuguesa
EM - Estatuto do Medicamento
INFARMED - Autoridade Nacional do Medicamento e Produtos de Saúde, I.P.
LADA - Lei de Acesso aos Documentos Administrativos
LIS - Regime Jurídico de Informação em Saúde
LPD - Lei de Proteção de Dados Pessoais
TJUE - Tribunal de Justiça da União Europeia
3
Índice
1. Nota Introdutória - A Inovação Tecnológica e a proteção da privacidade 4
2 O enquadramento jurídico da proteção de dados 6
2.1 A tutela comunitária 6
2.2 A tutela nacional 7
2.2.1 Considerações gerais 7
2.2.1 O tratamento de dados de saúde em especial 10
3. O Estado da Arte 12
3.1 A Investigação Científica na área da saúde 13
3.1.1 Considerações Gerais 13
3.1.2 Deliberação n.º 227/2007 13
3.2 A Farmacovigilância 18
3.2.1 Considerações Gerais 18
3.2.2 Deliberação n.º 219/2009 18
4. Considerações finais - (Que) Soluções para o futuro 23
5. Bibliografia 25
4
Capítulo I:
Questões Prévias
1. Nota Introdutória - A Inovação Tecnológica e a proteção da privacidade
É inegável constatar que se tem vindo a verificar nos últimos anos um desenvolvimento
vincado nas novas tecnologias de informação. O fenómeno da internet permite, à distância
de um mero clique, conectar um determinado indivíduo a toda uma panóplia de
informações sobre uma multiplicidade de temas à sua escolha.1 A acrescentar a este facto, o
crescente impacto e relevância que as redes sociais assumem no quotidiano da sociedade
amplificam os efeitos desta partilha de informação, colocando à disposição dos sujeitos a
faculdade de divulgarem todos e quaisquer aspetos que os mesmos dignem relevantes de
partilha no mundo digital.
Contudo, é também incontestável que as redes sociais são, pela sua própria natureza, um
meio simplificado de os indivíduos colocarem em causa a sua própria privacidade.2 Com
efeito, é hoje comum encontrarmos em populares redes sociais tais como Facebook, Twitter
ou Instagram, partilhas (pelos próprios sujeitos) do seu estado de espírito, das normais
decorrências do seu quotidiano e de quaisquer outros aspetos que se tenham por
merecedores de especial referência.3
Se sujeitarmos tais partilhas a um escrutínio mais próximo, encontramos também,
frequentemente, referências aos dados de saúde dos próprios sujeitos, não estando os
1 Neste sentido, dispõe DOMINGOS SOARES FARINHO, Intimidade da Vida Privada e Media no Ciberespaço, Almedina, Coimbra, 2006, p. 9 que “(...) a internet, um conjunto potencial de vários milhares de computadores ligados entre si, permite-nos aceder a um mundo virtual que visa mimetizar o mundo sensorial em que nos movemos. Esse novo mundo, o ciberespeaço, como também tem sido denominado, é, por um lado, um vasto reservatório de informação que coloca novos desafios e problemas, e, por outro, um importante meio de comunicação, conseguindo ampliar fortemente as possibilidades humanas, através da transmissão combinada de texto, de voz, de uma, em múltiplos suportes”. 2 Conforme defende THEODORE F. CLAYPOOLE no artigo Privacy and Social Media, “(...) from every angle, social media is anathema to privacy” (artigo acessível em http://www.americanbar.org/publications/blt/2014/01/03a_claypoole.html) 3 Mais uma vez, citando THEODORE F. CLAYPOOLE no mesmo artigo, com as redes sociais “(…) we learned things about the people in our world, and they about us. Thanks to social media, we now know (…) when people are leaving town and how long they will be gone. We know if they come into money. We learn about their families and their vulnerabilities. We learn about drinking and drug use, sexual promiscuity, and even crimes like DWI or hit and run.”
5
mesmos, por vezes, cientes do(s) impacto(s) que esta divulgação de informação poderá ter
nas suas vidas.4
Por estes motivos, é assim a proteção de dados pessoais um assunto da maior relevância no
paradigma atual. Mais ainda, a cada vez maior frequência com que questões conexas com a
saúde e com a vida privada dos indivíduos são divulgadas densificam esta já complexa
temática.
Em face do exposto, e pela indústria farmacêutica estar particularmente conexa / atuar
com as supra referidas categorias de dados, optámos por focar o nosso trabalho nesta
mesma temática, pretendendo, ainda que de forma sumária, expor alguns dos desafios que
atualmente se impõem a nível de proteção de dados pessoais nesta indústria.
Cabe também, desde logo, advertir que não é nossa pretensão com este trabalho, um
estudo exaustivo do tema (algo que seria impossível pela complexidade que o mesmo
apresenta), procurando antes reconhecer as questões tidas como fundamentais, dar uma
perspetiva o mais panorâmica possível das suas repercussões e propor linhas interpretativas
que provoquem uma reflexão do regime atualmente em vigor.
Assim, iniciaremos agora o nosso trajeto indagando, primeiramente, sobre a integração
sistemática e jurídica da proteção de dados pessoais.
4 A título de exemplo sobre os potenciais perigos que de tais partilhas advêm, é exposto no Report of the Standing Committee on Access to Information, Privacy and Ethics - Privacy and Social Media in the Age of Big Data, coordenado por PIERRE-LUC DUSSEAULT , p. 3 que “a first component of the issue of privacy and social media is that individuals give their personal information willingly on social media sites, but may not fully understand the way their information is used, or the associated privacy risks. Professor Normand Landry of TELUQ identified six risks and pitfalls associated with the disclosure of personal information on social media sites, some of which particularly impact minors: the loss or absence of anonymity on social media sites and the disclosure of information deemed to be private or confidential; identity theft; employment-related dangers and risks; multiple attacks on honour and reputation; cyber-bullying; and psychological and sexual violence.” (sublinhado nosso) (artigo acessível em http://www.parl.gc.ca/content/hoc/Committee/411/ETHI/Reports/RP6094136/ethirp05/ethirp05-e.pdf)
6
2. O Enquadramento Jurídico da Proteção de Dados Pessoais
2.1 A tutela comunitária
Atualmente, podemos destacar a Diretiva 95/46/CE5 do Parlamento Europeu e do
Conselho, de 24 de outubro de 1995, como principal instrumento jurídico a nível
comunitário em matéria de proteção e livre circulação de dados pessoais.
Conforme referido no Manual de Legislação Europeia de Proteção de Dados Pessoais do
Conselho da Europa6, a Diretiva 95/46/CE “foi adotada em 1995, numa altura em que vários
Estados-Membros tinham já adotado leis nacionais sobre proteção de dados. A livre circulação de
mercadorias, capitais, serviços e pessoas no mercado interno exigia o livre fluxo de dados, que só seria
possível se os Estados-Membros pudessem confiar na existência de um nível uniformemente elevado de
proteção de dados.”
Também a jurisprudência do TJUE7 assume aqui um papel de destaque ao esclarecer que “a
Diretiva 95/46/CE visa […] tornar equivalente em todos os Estados-Membros o nível de proteção dos
direitos e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais […] A aproximação
das legislações nacionais aplicáveis na matéria não deve fazer diminuir a proteção que asseguram, devendo,
pelo contrário, ter por objetivo garantir um elevado nível de proteção na União Assim, […] a
harmonização das referidas legislações nacionais não se limita a uma harmonização mínima, mas conduz a
uma harmonização que é, em princípio, completa.”
Contudo, não se esgota neste diploma a regulamentação de proteção de dados a nível
europeu, tendo havido necessidade desde a elaboração da mesma de se proceder a uma
atualização / complementação do tema em causa. Deste modo, salientamos a existência de
instrumentos tais como a Diretiva 2002/58/CE8 9 do Parlamento Europeu e do Conselho
5 Disponível para consulta em http://www.cnpd.pt/bin/legis/internacional/95-46-CE.pdf 6 Disponível para consulta em: http://www.cnpd.pt/bin/legis/internacional/fra-2014-handbook-data-protection-pt.pdf 7 TJUE, acórdão de 24 de novembro de 2011, nos processos apensos C-468/10 e C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) e Federación de Comercio Electrónico y Marketing Directo (FECEMD) v. Administración del Estad, n.ºs 28 e 29. 8 Disponível para consulta em http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32002L0058&qid=1435063793734 9 Saliente-se ainda que, a determinada altura, foi criada a Diretiva 2006/24/CE relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações que procedeu à alteração da Diretiva 2002/58/CE. Esta Diretiva, vulgarmente conhecida como Diretiva da Conservação de Dados, foi contudo invalidada pelo TJUE a 8 de abril de 2014 pelo mesmo tribunal considerar que implicava uma invasão desproporcional na vida privada dos cidadãos utilizadores de meios de comunicação eletrónica, violando direitos fundamentais ao respeito pela vida privada e à proteção de dados pessoais. Para mais detalhes sobre esta questão, veja-se o
7
relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das
comunicações eletrónicas, a Diretiva 2009/136/CE10 11 do Parlamento Europeu e do
Conselho relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e
serviços de comunicações eletrónicas bem como à utilização de cookies pelos websites.
Pelo seu caráter impulsionador em temas de proteção de dados pessoais, nota deverá ser
também feita à Convenção 10812 do Conselho da Europa, na medida em que este diploma
de 1981 “era, e ainda é, o único instrumento internacional juridicamente vinculativo no domínio da
proteção de dados”13. A título de breve exposição, a Convenção 108 “aplica-se a todos os
tratamentos de dados pessoais realizados tanto pelo setor privado como pelo setor público, incluindo os
tratamentos de dados efetuados pelas autoridades policiais e judiciárias. Protege as pessoas contra os abusos
que podem acompanhar a recolha e o tratamento de dados pessoais e procura simultaneamente regular o
fluxo transfronteiriço de dados pessoais. Quanto à recolha e tratamento de dados pessoais, os princípios
estabelecidos na Convenção respeitam, em especial, à recolha e tratamento automatizado de dados de forma
leal e lícita, armazenados para finalidades determinadas e legítimas, não podendo ser utilizados para fins
incompatíveis com essas finalidades nem conservados por tempo superior ao necessário. Dizem também
respeito à qualidade dos dados, estabelecendo, em especial, que têm de ser adequados, pertinentes e não
excessivos (proporcionalidade), bem como exatos.”14
2.2 A tutela nacional
2.2.1 Considerações gerais
Não só a nível comunitário mas também a nível nacional, a proteção de dados tem sido
objeto de uma preocupação marcada por parte do legislador. Desde logo, dispõe o artigo
35.º da CRP que:
1 - Todos os cidadãos têm o direito de acesso aos dados informatizados que lhe digam respeito, podendo exigir a sua rectificação e actualização, e o direito de conhecer a finalidade a que se destinam nos termos da lei.
Comunicado de Imprensa n.º 54/14 do TJUE acessível para consulta em http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054pt.pdf 10 Disponível para consulta em http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32009L0136 11 Tendo a mesma procedido à alteração da Directiva 2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações electrónicas, a Directiva 2002/58/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas e o Regulamento (CE) n.o 2006/2004 relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de defesa do consumidor. 12
CdE, Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal, Conselho da Europa, STCE n.º 108, 1981. 13 Cfr. Manual de Legislação Europeia sobre Proteção de Dados, Conselho da Europa, p. 16 14 Idem
8
2 - A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua protecção, designadamente através de entidade administrativa independente. 3 - A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis. 4 - É proibido o acesso a dados pessoais de terceiros, salvo em casos excepcionais previstos na lei. 5 - É proibida a atribuição de um número nacional único aos cidadãos. 6 - A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de protecção de dados pessoais e de outros cuja salvaguarda se justifique por razões de interesse nacional. 7 - Os dados pessoais constantes de ficheiros manuais gozam de protecção idêntica à prevista nos números anteriores, nos termos da lei.
A acrescentar a esta disposição constitucional, destaca-se a LPD15 (Lei 67/98, de 26 de
outubro), resultante da transposição para o ordenamento jurídico interno da Diretiva
95/46/CE, a qual define conceitos fundamentais em matéria de proteção de dados.
Neste sentido, define a alínea a) do artigo 3.º da LPD dados pessoais como “qualquer
informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem,
relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável
a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de
identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica,
cultural ou social”.
Outro conceito fundamental é o de tratamento de dados pessoais, pois é a partir do mesmo
que podemos compreender quais as operações concretas que se encontram abrangidas pela
LPD (uma vez que esta se aplica “ao tratamento de dados pessoais por meios total ou parcialmente
automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em
ficheiros manuais ou a estes destinados” conforme resulta do artigo 4.º).
Tratamento de dados pessoais é assim “qualquer operação ou conjunto de operações sobre dados
pessoais, efetuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a
conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por
transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou
15 Disponível para consulta em http://www.cnpd.pt/bin/legis/nacional/LPD.pdf
9
interconexão, bem como o bloqueio, apagamento ou destruição”, conforme resulta da alínea b) do
artigo 3.º da LPD.
Tal definição torna-se especialmente relevante pois apercebemo-nos com a mesma da
amplitude que o legislador (tanto comunitário como nacional) pretendeu dar ao próprio
conceito, tornando virtualmente qualquer ato que envolva dados pessoais um necessário
“tratamento” dos mesmos, e sujeitando-o à tutela da lei.
De modo a compreender corretamente como qualquer tratamento se processa, temos
também de definir os dois “papéis” fundamentais que determinada entidade poderá
assumir em qualquer tratamento de dados. Assim, num tratamento de dados uma entidade
poderá ser um responsável pelo tratamento16 ou um subcontratante17. Esta qualificação,
apesar de se revelar de mais difícil análise em determinados casos é fundamental para
regular quem deverá assumir as obrigações estabelecidas nos termos da LPD.
Com efeito, estabelece o artigo 6.º da LPD que, por regra18, “o tratamento de dados pessoais só
pode ser efetuado se o seu titular tiver dado de forma inequívoca o seu consentimento”. Mais ainda,
qualquer tratamento de dados deverá, conforme a sua natureza específica ser objeto de uma
notificação ou sujeito a uma autorização prévia por parte da CNPD.
Em concreto, estão sujeitos a autorização, entre outros, os tratamentos de dados sensíveis.
Tal definição é de especial relevo no nosso trabalho na medida em que dados sensíveis
integram as categorias de dados “referentes a convicções filosóficas ou políticas, filiação
partidária ou sindical, fé religiosa, vida privada19 e origem racial ou étnica, bem como o
tratamento de dados relativos à saúde20 e à vida sexual, incluindo os dados genéticos”,
conforme dispõe o n.º 1 do artigo 7.º da LPD, realidades essas que nos serão próximas
neste texto.
A nível nacional, devemos salientar também a Lei n.º 41/2004, de 18 de Agosto, na sua
atual redação. Este diploma que visa regular a proteção da privacidade no setor das
16 i.e. “a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar os dados pessoais em causa”. Cfr. Art. 3.º, alínea d) da LPD 17 i.e. “a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento”. Cfr. Art. 3.º, alínea e) da LPD 18 Existem contudo cinco situações distintas previstas no referido artigo que dispensam o consentimento do titular dos dados 19 Sublinhado nosso 20 Sublinhado nosso
10
comunicações eletrónicas, assume particular destaque neste trabalho pois o artigo 13.º-A do
mesmo pretendeu dar uma proteção adicional aos titulares de dados, dado a estes o direito
de opt-in de quaisquer comunicações não solicitadas.21 Tal passo apresentou-se como um
grande avanço a nível legislativo pois permite uma maior salvaguarda dos titulares,
nomeadamente contra eventuais técnicas de marketing (e, eventualmente, de estudos de
mercado) que possam surgir, independentemente do propósito ou natureza (incluímos aqui
os estudos de mercado que por vezes se verificam por parte ou no interesse de empresas
farmacêuticas).
2.2.2 O Tratamento de Dados de Saúde em Especial
De entre a tutela nacional de proteção de dados, considerámos adequado destacar um
breve sub-ponto específico para a matéria do tratamento dos dados de saúde. Neste
sentido, devemos desde logo salientar que a informação de saúde tem um regime jurídico
próprio contido na LIS (Lei n.º 12/2005, de 26 de janeiro). Tal diploma soma-se à já
referida LPD merecendo ainda nota a LADA (Lei n.º 46/2007 de 24 de agosto) na qual se
encontra contida uma norma relativa ao acesso à informação de saúde na guarda de
entidades públicas.
O tratamento de dados de saúde encontra-se ainda regulamentado quanto a algumas
profissões específicas nos seus respetivos códigos deontológicos, escusando-nos nós de
uma análise detalhada aos mesmos por considerarmos extrapolar do propósito do nosso
trabalho.
Para além de aspetos específicos dignos de nota e de referências pontuais a outros
diplomas22 que se demonstrem necessários ao longo do texto do nosso trabalho23, desde já
consideramos importante mencionar que a recolha de dados de saúde só poderá, conforme
dispõe nº 4 do artigo 7.º da LPD, ser feita por um profissional de saúde ou outra pessoa
sujeita a segredo profissional. Ora aqui encontramos uma primeira coordenada relevante
21 Estabelece o referido artigo que “Está sujeito a consentimento prévio e expresso do assinante que seja pessoa singular, ou do utilizador, o envio de comunicações não solicitadas para fins de marketing direto, designadamente através da utilização de sistemas automatizados de chamada e comunicação que não dependam da intervenção humana (aparelhos de chamada automática), de aparelhos de telecópia ou de correio eletrónico, incluindo SMS (serviços de mensagens curtas), EMS (serviços de mensagens melhoradas) MMS (serviços de mensagem multimédia) e outros tipos de aplicações similares.” 22 Referimo-nos, em especial, a determinadas disposições do EM (i.e. Decreto-Lei n.º 176/2006, de 30 de agosto, na sua atual redação). 23 Nomeadamente, quanto à necessidade de consentimento dos titulares de dados de saúde abordada em maior detalhe no ponto 3.1.1 do presente trabalho
11
para a nossa análise pois qualquer recolha de dados pessoais de saúde estará então sujeita
este limitação24. Mais concretamente, individualizámos este aspeto pois o mesmo deverá
estar sempre presente aquando da leitura das nossas considerações, nomeadamente para
fins referentes à indústria farmacêutica, dado que tais tratamentos terão, tanto quanto
possível e excetuando quaisquer casos especificamente delimitados na lei, forçosamente de
ser realizados por estes mesmos profissionais.
24 Não obstante ser questionável até que ponto é que um acordo de confidencialidade nos quais os deveres deontológicos de determinada ordem profissional estejam replicados não preencherá os mesmos requisitos da racio da norma.
12
3. O Estado da Arte
Muitas vezes a LPD bem como a demais legislação em matéria de proteção de dados
pessoais revela-se insuficiente para dar resposta aos desafios práticos que surgem e que se
proporcionam. Neste sentido, tem a CNPD vindo a desenvolver várias deliberações que
atuam como princípios gerais e regras a serem respeitadas pelas entidades que tratam dados
pessoais nas mais diversas circunstâncias.
Concretamente, e não alheia à complexidade que o tratamento de dados de saúde (e maxime
a própria indústria farmacêutica) reflete em matéria de dados pessoais, a CNPD emanou
três deliberações, sobre temas específicos – a farmacovigilância, a investigação científica na
área da saúde e os ensaios clínicos. A saber:
(i) Deliberação n.º 227/2007 (aplicável aos tratamentos de dados pessoais efetuados no
Âmbito de estudos de investigação científica na área da saúde)25;
(ii) Deliberação n.º 333/2007 (sobre a proteção de dados pessoais nos ensaios clínicos com
medicamentos de uso humano)26; e
(iii) Deliberação n.º 219/2009 (na qual constam os princípios aplicáveis aos tratamentos de
dados pessoais efetuados no Âmbito do Sistema Nacional de Farmacovigilância de
Medicamento para Uso Humano – Farmacovigilância)27.
Deste modo, e por considerarmos estes textos fundamentais para o corpo do presente
trabalho, passaremos a abordar sumariamente as Deliberações n.º 227/2007 e Deliberação
n.º 219/2009, não podendo deixar também de influir a nossa posição quanto a
determinados aspetos específicos.
Cabe também esclarecer que excluímos do escopo da nossa análise, a Deliberação n.º
333/2007 referente ao tema dos ensaios clínicos, pelo facto de – não obstante
reconhecermos a relevância do tema face à indústria farmacêutica – a mesma ter sido
elaborada e redigida antes da entrada em vigor da Lei n.º 21/2014, de 16 de abril, na qual se
encontra atualmente regulado o regime aplicável a ensaios clínicos. Assim, e pela
Deliberação n.º 333/2007 se encontrar estruturada com base na ora revogada a Lei n.º
25 Disponível para consulta em http://www.cnpd.pt/bin/orientacoes/DEL227-2007-ESTUDOS-CLINICOS.pdf 26 Disponível para consulta em http://www.cnpd.pt/bin/orientacoes/DEL333-2007-ENSAIOS-CLINICOS.pdf 27 Disponível para consulta em http://www.cnpd.pt/bin/orientacoes/Delibe_geral_Farmaco.pdf
13
46/2004, de 19 de Agosto, consideramos que uma análise da mesma se revelará desajustada
e extemporânea.
3.1 A Investigação Científica na área da saúde
3.1.1 Considerações Gerais
De imediato se compreende que o conceito de investigação clínica em matéria de saúde
engloba um conjunto de casos distintos e complexos entre si. Em termos regulamentares,
devemos destacar a Lei n.º 125/99, de 20 de abril como diploma fundamental em termos
de investigação científica, encontrando-se dispostos nesta, temas como (i) as diferentes
espécies de instituições deste tipo de investigação28, (ii) a sua organização29; e (iii) os
princípios aplicáveis à investigação científica30 devendo ainda ser referida a Lei 21/2014, de
16 de abril que aprova a lei da investigação clínica (não obstante este último diploma se
apresentar de especial importância para a questão dos ensaios clínicos, tema esse excluído
por já referidas razões do nosso trabalho).
3.1.2 O impacto da Deliberação n.º 227/2007
Não é de estranhar, dada a importância que a investigação científica assume para o
progresso da criação e descoberta de novos métodos, fórmulas e avanços para o ser
humano que a CNPD tenha optado por condensar numa só orientação os princípios gerais
a ser adotados e respeitados em tal matéria.
A própria Deliberação estabelece na génese do seu texto, por forma a esclarecer a
multiplicidade de situações abrangidas pela mesma que “Os estudos de investigação nesta área
utilizam várias designações, que refletem objetivos diferenciados, metodologias distintas e categorias diversas
de informação recolhida. Podemos estar, genericamente, perante estudos observacionais ou epidemiológicos,
retrospetivos e/ou prospetivos.”31 É também referido na mesma que, pela complexidade que é
devida ao tema de ensaios clínicos (i.e. estudos experimentais com medicamentos) que “os
quais não serão (…) abordados, vindo a ser objeto de uma deliberação autónoma, tendo em conta as suas
28 Cfr. Artigos 2.º a 7.º da Lei n.º 125/99, de 20 de Abril 29 Cfr. Artigos 20.º a 27.º da Lei n.º 125/99, de 20 de Abril 30 Cfr. Artigos 8.º a 19.º da Lei n.º 125/99, de 20 de Abril 31 Cfr. p. 2 da Deliberação n.º 227/2007
14
especificidades e o regime legal aplicável”32 encontrando neste ponto uma separação clara entre a
investigação científica com dados de saúde em geral e o regime individualizado dos ensaios
clínicos.
Dando por assentes aspetos tais como a necessidade de uma obtenção de uma autorização
prévia da CNPD para o tratamento de dados pessoais considerado sensíveis, dado que “os
tratamentos de dados com a finalidade de realizar estudos de investigação na área da saúde incidem sobre
dados sensíveis, pelo que, nos termos da alínea a) do artigo 28º da LPD, estão sujeitos a controlo prévio.
Consequentemente, tais tratamentos não poderão iniciar-se antes da obtenção da respetiva Autorização da
CNPD, a emitir nos termos e condições fixadas após notificação do tratamento a esta Comissão”33, a
qualificação de quem são os responsáveis pelo tratamento34 e os princípios aplicáveis ao
tratamento de dados pessoais35, focaremos a nossa análise desta Deliberação
especificamente na indicação das categorias de dados (passíveis de serem) tratados em sede
de investigação científica bem como as condições necessárias ao seu tratamento.
No tocante à primeira matéria, desde logo indica a Deliberação a necessidade de que exista
uma adequação, pertinência e caráter não excessivo relativamente às categorias de dados
tratados. Após esta consideração de natureza geral, e apesar de esta Deliberação indicar
uma lista taxativa de dados36 que poderão ser recolhidos em caso de necessidade, torna-se
também adequado demonstrar a preocupação da CNPD em limitar, tanto quanto possível,
que quaisquer dados pessoais sejam tratados.
Em concreto, refere a Deliberação 227/2007 que “sempre que um estudo possa ser efetuado sem o
tratamento de dados pessoais, deve ser essa a opção do investigador37. Isto é, sempre que o estudo puder ser
feito com dados anonimizados, em que não se identifica nem permite identificar os titulares dos dados, deve
ser esta a opção tomada para a investigação. No caso de não se poder efetuar o estudo com dados anónimos,
deve ainda privilegiar-se a utilização de dados codificados, ainda que estes possam ser, mediante a aplicação
32 Idem 33 Cfr. p. 2 da Deliberação n.º 227/2007
34 Conforme esclarece a Deliberação n.º 227/2007 na p. 4, Nos termos do artigo 3º, alínea d), da Lei 67/98, o responsável pelo tratamento é “a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outros organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais”. Estes estudos podem ser da responsabilidade de um Laboratório do Estado, de outra instituição pública de investigação ou de instituições particulares de investigação (artigo 2º da Lei 125/99, de 20 de Abril). 35 maxime o princípio da proporcionalidade 36 Em concreto, enuncia os Deliberação n.º 227/2007 que poderão ser recolhidos (i) dados de identificação; (ii) dados de saúde (História clínica/medicamentação/resultados de meios complementares de diagnóstico); (iii) história familiar (informação de saúde/informação genética); (iv) hábitos Pessoais; (v) dados relativos à actividade profissional; e (vi) dados relativos aos parâmetros clínicos em estudo para a prossecução de investigação clínica. 37 Sublinhado nosso
15
de uma chave de descodificação, convertidos em dados pessoais, No entanto, sendo essa chave de acesso
restrito, deve ser preferida esta forma de investigação àquela em que se utilizam dados que identificam
imediatamente os titulares. Só em último caso e perante a estrita necessidade se admite a utilização de dados
pessoais de saúde para efeitos de investigação científica. Sendo assim, a entidade responsável, na notificação
do tratamento de dados pessoais, deve justificar a necessidade de efetuar o estudo de forma identificada ou
identificável.”38
Apesar de destacarmos pela positiva a preocupação demonstrada pela CNPD em precaver
a possibilidade uma anonimização de dados pessoais como “válvula de escape” à
necessidade de realização de um tratamento de dados pessoais, a prática demonstra-nos que
tal não se afigura, muitas vezes, adequada à realidade. Com efeito, e conforme resulta do
próprio registo público do website da CNPD, encontramos mais de 60 registos /
autorizações concedidas a entidades distintas nas quais o tratamento de dados pessoais em
conexão com investigação científica com dados de saúde ocorreu39. Salientamos ainda que,
conforme se encontra disposto no próprio website, o mesmo não disponibiliza ainda a
totalidade de decisões da CNPD existindo a possibilidade de muitas autorizações não
estarem ainda contempladas nos resultados apresentados.
Já quanto às condições necessárias para o tratamento de dados pessoais sensíveis, desde
logo estabelece esta Deliberação que, para que uma autorização da CNPD seja obtida (a
qual poderá ocorrer em virtude de interesse público importante e desde que o tratamento
seja indispensável ao exercício de atribuições legais ou estatutárias do seu responsável,
desde que sejam asseguradas garantias de não discriminação) será necessário, no caso dos
tratamentos de dados pessoais efetuados no âmbito de estudos de investigação na área da
saúde, que se obtenha o consentimento livre40, específico41, informado42 (alínea h) do artigo
38 Cfr. p. 5 da Deliberação n.º 227/2007 39 Com base numa pesquisa realizada a 28.06.2015 junto do registo público da CNPD, existiram, entre 1999 e 2014, 62 resultados referentes a investigação científica. 40 O consentimento livre significa que o titular não conhece nenhuma condicionante ou dependência no momento da sua declaração que afete a formação da sua vontade e, ainda, que pode revogar, sem penalizações e com efeitos retroactivos, o consentimento que haja prestado. 41 “O consentimento específico significa que o consentimento se refere a uma contextualização factual concreta, a uma atualidade cronológica precisa e balizada e a uma operação determinada. O consentimento específico afasta os casos de consentimento preventivo e generalizado, prestado de modo a cobrir uma pluralidade de operações.” Cfr. p. 7 da Deliberação n.º 227/2007 42 “O consentimento informado significa que ao titular foi dado conhecimento, não apenas dos elementos do artigo 10º da LPD, mas ainda de todas as informações relevantes para a compreensão de todos os elementos atinentes ao tratamento. O dever de informação por parte do responsável inclui o dever de esclarecer e a obrigação de se certificar que o titular conheceu e apreendeu todos os elementos do conteúdo do direito de informação. A existência ou possibilidade de ocorrência de riscos para o titular, quer para a sua saúde, quer para a sua privacidade, deve ser comunicada.” Cfr. p. 7 da Deliberação n.º 227/2007
16
3.º da LPD) expresso do titular43 (n.º 2 do artigo 7.º da LPD) e escrito44 (n.º 3 do artigo 4.º
da Lei 12/2005) do titular dos dados. Torna-se assim claro que, no presente caso, para além
da LPD, também a LIS deverá ser tida em conta.
Atenta à diversidade de situações que poderão estar em causa, a CNPD procedeu a uma
divisão de diferentes casos referindo, a título de exemplo, que “admite a Lei 12/2005 que, nos
casos de utilização retrospectiva de material biológico e amostras de ADN em que não tenha sido recolhido
o consentimento do titular, nem este possa ter sido obtido devido à quantidade de dados ou à anterior morte
do titular, o fundamento de legitimidade para o tratamento de dados pessoais decorra do disposto no n.º 6
do artigo 19º da Lei n.º 12/2005, de 26 de Janeiro. Neste caso, o tratamento de dados pessoais para
investigação científica encontra a condição de legitimidade preenchida pela verificação das circunstâncias de
aplicação desta norma legal.”45
Já quanto se “se tratar de investigação científica retrospetiva de informação de saúde extraída de outros
dados pessoais que não as amostras (fichas clínicas, por exemplo), no caso de ausência de consentimento nos
termos indicados, a autorização para o tratamento de dados pessoais deve revestir-se de uma ponderação
minuciosa dos interesses em jogo.”46
Em concreto, apresenta a Deliberação duas condições necessárias para que o tratamento
ocorra sem o consentimento, sendo que “em primeiro lugar, devem estar cabalmente
circunstanciadas e demonstradas as “situações especiais” (veja-se o nº 6 do artigo 19º da Lei 12/2005:
“No caso de uso retrospetivo de amostras ou em situações especiais”) das quais deriva a impossibilidade de
obtenção do consentimento. Estas situações devem ser verdadeiramente especiais, não se verificando,
designadamente, em casos de maior conveniência, vantagem, facilidade.”47
Mais ainda, “deve ser demonstrada de forma inequívoca a existência e a importância do interesse público
do estudo ou da investigação em causa, interesse público que deve ser prosseguido de forma imediata e direta
pelo resultado da investigação (o resultado da investigação deve concretizar imediata e diretamente o interesse
43 “O consentimento expresso significa que a sua prestação tem de visar diretamente o tratamento de dados pessoais de saúde, não podendo ser inferido ou extraído implicitamente de outras declarações ou comportamentos.” Cfr. p. 7 da Deliberação n.º 227/2007 44 “O consentimento expresso significa que a sua prestação tem de visar diretamente o tratamento de dados pessoais de saúde, não podendo ser inferido ou extraído implicitamente de outras declarações ou comportamentos.” Cfr. p. 7 da Deliberação n.º 227/2007
45 Cfr. p. 8 da Deliberação n.º 227/2007 46 Idem 47 Idem
17
público em causa, o qual deve revestir inquestionável importância para a comunidade, não bastando que a
investigação prossiga o interesse público de forma indireta, mediata, reflexa ou remota).”48
Também o tratamento de dados pessoais de saúde efetuados no âmbito de teses
académicas para fins de investigação clínica poderá ocorrer sem o consentimento dos
titulares. Neste sentido, “sendo a entidade responsável pelo tratamento a pessoa individual autora da
referida tese, em princípio não deve ser admitida a utilização desses dados sem o consentimento dos titulares.
De facto, os tratamentos de dados pessoais para fins de investigação científica sem consentimento dos
titulares, além de dever ser uma realidade absolutamente excecional dificilmente compaginável com
finalidades individuais ou privadas, deve revestir-se de garantias de capacidade técnica, de dotação de meios,
de suficiência organizacional, de adoção de medidas de segurança que muito raramente se verificam numa
pessoa individual. Tal não obsta a que os Comités de Ética das Universidades, acompanhados pelos
Comités de Ética das Universidades ou Hospitalares, motivando e fundamentando a importância do
interesse público na investigação, se responsabilizem pelo acompanhamento e avaliação dos estudos em
causa, assumindo a responsabilidade efetiva pela dotação de meios adequados à pessoa singular em causa.
Nestes casos, após análise casuística de cada notificação, pode acontecer que se preencham as exigências para
a admissibilidade dos tratamentos de dados pessoais para investigação científica sem consentimento dos
titulares.”49
Ora da análise destes três casos encontramos agora situações nas quais a CNPD tentou,
atuando circunscrita a determinados limites, adequar (e simplificar) processo de obtenção
de consentimento de titulares dos dados. Queremos com isto dizer que, não obstante ser
clara e objetiva a importância que a necessidade de obtenção do titular dos dados para
tratamento dos seus dados será possível, in extremis e verificadas as diferentes circunstâncias
a cada caso, que o mesmo seja dispensado e que, consequentemente, possa existir uma
investigação (e um progresso) científico.
Apesar de aplicáveis a uma realidade mais alargada, consideramos que a indústria
farmacêutica gozará – sempre que tal se adeque – deste regime e das suas exceções.
48 Cfr. p. 9 da Deliberação n.º 227/2007
49 Cfr. pp. 9-10 da Deliberação n.º 227/2007
18
3.2 A Farmacoviligância
3.2.1 Considerações Gerais
Desde logo importa esclarecer o propósito da farmacoviligância que, conforme apresentada
pela próprio INFARMED, “visa melhorar a qualidade e segurança dos medicamentos, em defesa do
utente e da Saúde Pública, através da deteção, avaliação e prevenção de reações adversas a medicamentos.”50
Acrescenta ainda a Deliberação n.º 219/2009 sobre este tema que “a farmacovigilância constitui
um elemento essencial do mecanismo de contro da segurança, da qualidade e da eficácia dos medicamentos
durante o seu ciclo de vida”.51
A farmacovigilância e respetivos sistemas desempenham pois um papel fundamental em
dois pontos distintos: (i) na recolha e avaliação de reações adversas a medicamentos; e (ii)
na atribuição de responsabilidades a titulares de AIM, de profissionais de saúde e das
demais entidades de saúde. É assim possível, através desta figura, maximizar a necessária
segurança dos pacientes relativamente à utilização de medicamentos.
Em termos de regulamentação, a farmacovigilância encontra-se regulada em Portugal no
EM.
3.2.2 O impacto da Deliberação n.º 219/2009
Apresentada a figura da farmacovigilância, torna-se claro que estamos perante um
tratamento de dados de saúde e, consequentemente, de dados sensíveis. Assim, não é de
estranhar que a própria Deliberação n.º 219/2009 estabeleça a necessidade de um controlo
prévio no seu enunciado.52
Salvo melhor opinião, um aspeto de particular relevância que vem exposto na Deliberação
n.º 219/2009, é a de uma delimitação clara e objetiva dos responsáveis do tratamento de
dados pessoais em sede de farmacovigilância. Tal qualificação é, como já vimos
anteriormente, absolutamente necessária na medida em que permite estabelecer quem é a
parte incumbida de – nesta situação – solicitar o pedido de autorização prévia à CNPD.
50 Cfr. http://www.infarmed.pt/portal/page/portal/INFARMED/PERGUNTAS_FREQUENTES/MEDICAMENTOS_USO_HUMANO/MUH_FARMACOVIGILANCIA#P2 51 Cfr. p. 2 da Deliberação n.º 219/2009 52 Com efeito, estabelece a Deliberação n.º 219/2009 que “os tratamentos de dados com a finalidade de farmacovigilância incidem sobre dados sensíveis, em particular dados de saúde, pelo que, nos termos da alínea a) do n.º1 do artigo 28º da LPD, estão sujeitos a controlo prévio. Consequentemente, tais tratamentos não poderão iniciar-se antes da obtenção da respetiva Autorização da CNPD, a emitir nos termos e condições fixadas após notificação do tratamento a esta Comissão.”
19
Assim, será antes de mais tido por responsável pelo tratamento o próprio INFARMED.
Com efeito, estabelece o n.º 2 do artigo 166.º do EM que é o INFARMED a entidade
responsável pelo acompanhamento, coordenação e aplicação do Sistema Nacional de
Farmacovigilância de Medicamentos de Uso Humano. Estabelece também o artigo 192.º
do EM que, em cumprimento da LPD, poderá o INFARMED proceder à recolha e ao
tratamento de dados pessoais, desde que se mostrem indispensáveis ao exercício das suas
atribuições.
Esta preocupação do legislador em definir cabalmente as funções e poderes do
INFARMED em matéria de proteção de dados demonstra a importância do mesmo surgir
como (um) responsável pelo tratamento, sendo inclusive solução diversa impraticável pelo
papel desempenhado pelo INFARMED em termos de regulamentação do setor dos
medicamentos.
A acrescentar ao exposto, a Deliberação acrescenta ainda diversa fundamentação jurídica à
qualificação da entidade em causa como responsável pelo tratamento, sendo de destacar,
entre outros, os poderes que o INFARMED tem para receber, avaliar e emitir informações
sobre suspeitas de reações adversas a medicamentos bem como para definir, delinear e
desenvolver sistemas de informação e as bases de dados do Sistema Nacional de
Farmacovigilância e para validar informação contida nas bases de dados de reações
adversas.
Não é também de estranhar que ao INFARMED se acrescentem outros responsáveis pelo
tratamento, sendo inequívoco – na maioria dos casos – a sua qualidade na medida que
determinam as finalidades e tratamento de dados pessoais. Nomeadamente, também os
titulares de AIMs e de importação paralela, as próprias unidades de farmacovigilância e os
promotores de ensaios clínicos são, para efeitos desta deliberação, responsáveis pelo
tratamento.
Um aspeto que nos causa contudo alguma perplexidade é o dos profissionais de saúde (i.e.
as pessoas legalmente habilitadas a prescrever, dispensar, administrar medicamentos,
designadamente, médicos, médicos dentistas, médicos veterinários, odontologistas ou
farmacêuticos53) não serem considerados como responsáveis pelo tratamento.
Neste sentido, é exposto que “a intervenção dos profissionais de saúde nos termos descritos não lhes
confere a qualidade de responsável pelo tratamento na aceção do artigo 3º alínea d) da LPD, uma vez que
53 Cfr. Artigo 3.º, n.º 1, alínea cc), Artigo 169.º e Anexo II, ponto 1, alínea c) do EM
20
a sua obrigação é apenas a de informar a existência de situações de reações adversas às unidades de
farmacovigilância ou ao serviço responsável pela farmacovigilância do INFARMED”54.
Apesar de não questionarmos as funções dos profissionais de saúde em sede de
farmacovigilância na medida em que o próprio EM, no ponto 6. do Anexo II estabelece
que “os profissionais de saúde, pertencentes ou não ao SNS, devem comunicar tão rápido quanto possível,
às unidades de farmacovigilância ou ao serviço responsável de farmacovigilância do INFARMED, I.P.
quanto aquelas não existam, as reações adversas e as suspeitas de reações adversas graves ou inesperadas de
que tenham conhecimento, resultantes da utilização de medicamentos”, parece-nos excessivos a sua
exclusão como responsável pelo tratamento de dados.
Ora vejamos,
Como já abordado em momento anterior, o responsável é a pessoa que, individualmente
ou em conjunto com outrem, determina as finalidades e os meios de tratamento de dados
pessoais. Foi também já referido a amplitude do próprio conceito de tratamento de dados
pessoais. Assim e ainda que as funções dos profissionais de saúde estejam delimitadas pela
própria lei, também é verdade que os mesmos atuam em cumprimento dos respetivos
códigos deontológicos e com autonomia decisional que, pela sua formação específica, lhes
é devida. Ora, se os profissionais de saúde (i) decidem, dentro dos limites da razoabilidade,
quanto se deu um evento adverso; e (ii) têm capacidade para atuar, nomeadamente, através
da comunicação supra referida, perante os mesmos, então têm os mesmos um papel
determinante o suficiente para que, ainda em conjunto com outros (aspeto permitido pela
própria norma da LPD), serem considerados responsáveis pelo tratamento de dados.
Consideramos, salvo melhor opinião, que posição diversa tende a instrumentalizar o papel
dos próprios profissionais de saúde e, consequentemente, a desvirtuar o seu papel em sede
de farmacovigilância.
Quanto à natureza dos subcontratantes, limita-se a Deliberação n.º 219/2009 a explanar o
enunciado jurídico e respetivos requisitos dispostos na LPD55.
54 Cfr. p. 6 da Deliberação n.º 219/2009 55 Com efeito, estabelece a Deliberação n.º 219/2009 que subcontratante “é a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento (Cf. artigo 3º alínea e) da LPD). Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais não pode proceder ao tratamento sem instruções do responsável pelo tratamento, salvo por força de obrigações legais (cf. artigo 16º da LPD)”.
21
Já quanto as categorias de dados pessoais tratados, são enunciadas nesta Deliberação
categorias específicas, permitindo assim garantir que (alguns) dados sensíveis não são
objeto de uma recolha desproporcionada e excessiva para o fim a que se destinam.
Deste modo, e relativamente aos participantes do ensaio clínico e às pessoas que sofreram
a reação adversa, são registadas as seguintes categorias:
i. Identificação (iniciais do nome, sexo, data de nascimento);
ii. Antropométricos (peso e altura);
iii. Dados da reação adversa (descrição, início, duração, gravidade, evolução,
identificação do medicamento suspeito, data de início da toma, data da suspensão,
via de administração, dose diária, indicação terapêutica, primeira utilização, dados
relativos à medicação concomitante, existência de reações anteriores ao mesmo
fármaco, reintrodução do mesmo fármaco e suspeita de interação);
iv. Dados clínicos, exames auxiliares de diagnóstico, alergias e gravidez.
v. Parecer clínico quanto à relação causal.
É curioso também que os profissionais de saúde vêm-se, na nossa opinião,
simultaneamente responsáveis pelo tratamento de determinados dados pessoais e titulares
de outros.
Na verdade, estabelece também a Deliberação que, quanto os profissionais de saúde que
transmitem a informação, será também registado (i) o nome, (ii) o local de trabalho; (iii) o
contacto; e (iv) a especialidade médica.
Quanto a temas como à comunicação e a interconexão de dados, acaba a Deliberação por
destacar e remeter para o INFARMED tais questões. Com efeito, quanto à primeira
questão, é estabelecido que “ao INFARMED são transmitidos os dados pessoais tratados pelos
diversos intervenientes no sistema de farmacovigilância, a saber: os titulares de autorização, de introdução no
mercado de medicamento, de importação paralela, excecional para comercialização, bem como das unidades
Caso o responsável pelo tratamento opte pela contratação, para a prestação destes serviços, de uma entidade externa, deve essa prestação de serviços ser regida por um contrato ou acto jurídico que vincule a entidade (subcontratante) ao responsável pelo tratamento. Nesse contrato ou acto jurídico, o qual deverá revestir a forma escrita, com valor probatório legalmente reconhecido, deve constar que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe a obrigação de pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, bem como para garantir um nível de segurança adequado em relação aos riscos inerentes ao tratamento e à natureza dos dados a proteger (cfr. artigo 14º da Lei n.º 67/98).”
22
de farmacovigilância, dos serviços de saúde e dos profissionais de saúde”,56 sendo também latente a
importância do INFARMED quanto à segunda na medida em que “o n.º 3 do artigo 192º do
DL n.º 176/2006 constitui o fundamento de legitimidade para que o INFARMED proceda a
interconexões desde que estas se mostrem indispensáveis ao exercício das suas atribuições e sejam respeitadas
as condições estabelecidas na LPD para a realização destas operações (cf. artigos 2º, 9º, 5º, 14º, 15º, 28º,
todos da LPD), carecendo, no entanto, de autorização prévia da CNPD. Não existe previsão legal que
legitime interconexões aos outros responsáveis pelos tratamentos de farmacovigilância. Poderão, no entanto,
estas ser autorizadas se verificadas as condições estabelecidas no artigo 9º da LPD, devendo os responsáveis
comprovar, casuisticamente, a sua necessidade.”57
Já quanto à possibilidade de conservação dos dados pessoais e respetivos prazos, é feita
uma articulação entre o disposto na LPD, a (ora revogada) Lei n.º 46/2004 e o EM. Não
nos alongando excessivamente sobre o tema, é contudo de destacar que, para além da regra
genérica de que os dados pessoais devem ser conservados pelo período necessário à
prossecução da finalidade do tratamento, é também expressamente referido que, exceto
quanto ao promotor (cujos prazos se encontram estabelecidos no ponto 5.2. do Anexo I do
EM), os restantes responsáveis obrigados a realizar tratamentos de dados pessoais só
poderão conservar os dados por um período máximo de 2 anos após o fim do ciclo do
medicamento. Ora, apesar de generoso, poderá o prazo concedido pela CNPD revelar-se
excessivo face à natureza “imediata” inerente à farmacovigilância. Queremos com isto dizer
que, se o papel dos sistemas de farmacovigilância é o de protegerem a saúde pública e a
segurança dos doentes relativamente à utilização de medicamentos, tal propósito poderá
considerar-se frustrado se determinadas ações forem tomadas apenas ao fim de 2 anos.
Assim, e por ser aplicável genericamente a tantas outras situações, consideramos que tal
prazo deveria, para uma melhor adequação à realidade, ser reduzido a não mais do que 1
ano após o fim do ciclo do medicamento.
Damos por encerrado o presente capítulo uma vez que não nos parece serem merecedores
de especial nota, determinados aspetos tais como os direitos dos titulares, o regime de
transferência de dados ou as medidas de segurança do tratamento referidas na Deliberação
n.º 219/2009, pelos mesmos refletirem o disposto na LPD, damos por encerrado o
presente capítulo.
56 Cf. artigos 29º, n.º 1 alínea j), 83º, 85º, 93º, 169º, 170º, 176º, n.º 1 alínea c) e f) do EM
57 Cfr. pp. 8-9 da Deliberação n.º 219/2009
23
4. Considerações finais – (Que) Soluções para o Futuro
Chegado ao fim esta brevíssima excursão pelo tema da proteção de dados pessoais no setor
da saúde e da indústria farmacêutica, não podemos, pelo caráter imediato que lhe influi,
deixar de referir os (grandes) avanços que em breve se verificarão neste nosso tema.
Em concreto, foi proposto em 2012 pela Comissão Europeia um pacote de reforma
legislativa na temática da proteção de dados pessoais, tendo sido avocada a necessidade de
uma modernização sobre as atuais regras vigentes face à rápida evolução tecnológica e à
própria globalização. Esta reforma englobará concretamente um novo Regulamento geral
sobre a proteção de dados58 bem como uma nova Diretiva59 sobre o tema. Das (muitas)
alterações que tal atualização legislativa provocará no dia-a-dia de todos (e para todos) os
que lidem com tratamentos de dados pessoais, existem alguns aspetos que podemos –
ainda que a título provisório dado que tal pacote legislativo ainda não se encontra em vigor
– destacar dada a relevância que consideramos que os mesmos podem vir a assumir para a
indústria farmacêutica. Assim, serão agora os direitos dos titulares dos dados pessoais
reforçados, encontrando-se no regulamento uma nova exigência de que os mesmos tenham
acesso ao prazo de conservação de dados (Artigo 14.º)60 bem como que estes vejam –
finalmente – consagrado o seu direito ao esquecimento (Artigo 17.º) desde que verificadas
determinadas condições. Também um novo direito a não ser alvo de “profiling” aparece
espelhado no artigo 20.º ao se encontrar disposto que “qualquer pessoa singular tem o direito de
não ficar sujeita a uma medida que produza efeitos na sua esfera jurídica ou que a afete de modo
significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar
determinados aspetos da sua personalidade, ou a analisar ou prever, em especial, a sua capacidade
profissional, situação financeira, localização, saúde61, preferências pessoais, fiabilidade ou comportamento.”
De destacar também a maior responsabilização dos responsáveis pelo tratamento, uma vez
que o regime de notificação às entidades nacionais será substituído por um dever de
“consulta prévia” às mesmas, nos termos do artigo 34.º da proposta. Mais ainda, terão os
responsáveis pelo tratamento de, entre outros, (i) conservar a documentação de tais
tratamentos (i.e. criar ficheiros para o efeito); (ii) aplicar requisitos concretos de segurança;
(iii) realizar uma avaliação de impacto sobre a proteção de dados; e (iv) designar um
58 Disponível para consulta em http://register.consilium.europa.eu/doc/srv?f=ST+5853+2012+INIT&l=pt 59 Disponível para consulta em http://www.dgpj.mj.pt/sections/noticias/uniao-europeia-proposta2399/downloadFile/attachedFile_f0/Proposta_Diretiva.pdf?nocache=1334583610.51
60 Facto este que, necessariamente, afetará a redação das Deliberações da CNPD por nós abordadas 61 Sublinhado nosso
24
delegado para a proteção de dados, ou seja indicarem um determinado sujeito cujas funções
sejam apenas as de garantir o cumprimento estrito da lei e das exigências regulamentares.
Acreditamos que esta mudança de paradigma, apesar de revestir um (ainda) caráter de
incerteza, será percursora de uma maior agilização de determinados processos burocráticos
permitindo assim a que, de um modo mais expedito, resultados positivos sejam alcançados,
nomeadamente em termos de avanços e descobertas no setor farmacêutico. Mais ainda,
julgamos que, em última análise, permitirá este avanço legislativo influenciar
(in)diretamente um crescente longevidade e qualidade na vida humana, levando a que
coexistamos, cada vez mais com um melhor e mais positivo envelhecimento das
populações o qual é (e continuará a ser) em muito influenciado pelos avanços de tal
indústria.
Lisboa, 30 de junho de 2015
25
Bibliografia consultada
Monografias, Obras E Documentos Regulamentares
i. COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS, Deliberação n.º 219/2009 na qual constam
os princípios aplicáveis aos tratamentos de dados pessoais efetuados no Âmbito do Sistema Nacional de
Farmacovigilância de Medicamento para Uso Humano – Farmacovigilância, disponível para
consulta em http://www.cnpd.pt/bin/orientacoes/Delibe_geral_Farmaco.pdf (Último
acesso a 29.06.2015)
ii. COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS, Deliberação n.º 227/2007 aplicável aos
tratamentos de dados pessoais efetuados no Âmbito de estudos de investigação científica na área da
saúde, disponível para consulta em http://www.cnpd.pt/bin/orientacoes/DEL227-
2007-ESTUDOS-CLINICOS.pdf (Último acesso a 29.06.2015)
iii. COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS, Deliberação n.º 333/2007 sobre a proteção
de dados pessoais nos ensaios clínicos com medicamentos de uso humano, disponível para consulta
em http://www.cnpd.pt/bin/orientacoes/DEL333-2007-ENSAIOS-CLINICOS.pdf
(Último acesso a 29.06.2015)
iv. CONSELHO DA EUROPA, Manual de Legislação Europeia de Proteção de Dados Pessoais, 2014,
disponível para consulta em http://www.cnpd.pt/bin/legis/internacional/fra-2014-
handbook-data-protection-pt.pdf (Último acesso a 29.06.2015)
v. DOMINGOS SOARES FARINHO, Intimidade da Vida Privada e Media no Ciberespaço,
Almedina, Coimbra, 2006
vi. PIERRE-LUC DUSSEAULT (Coord), Report of the Standing Committee on Access to Information,
Privacy and Ethics - Privacy and Social Media in the Age of Big Data, disponível para consulta
em
http://www.parl.gc.ca/content/hoc/Committee/411/ETHI/Reports/RP6094136/ethi
rp05/ethirp05-e.pdf) (Último acesso a 29.06.2015)
vii. PROPOSTA DE DIRETIVA DO PARLAMENTO EUROPEU E DO CONSELHO relativa à
proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais
pelas autoridades competentes para efeitos de prevenção, investigação, deteção e
repressão de infrações penais ou de execução de sanções penais, e à livre circulação
desses dados, disponível para consulta em
http://www.dgpj.mj.pt/sections/noticias/uniao-europeia-
proposta2399/downloadFile/attachedFile_f0/Proposta_Diretiva.pdf?nocache=1334583
610.51 (Último acesso a 29.06.2015)
26
viii. PROPOSTA DE REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO relativo à
proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à
livre circulação desses dados, disponível para consulta em
http://register.consilium.europa.eu/doc/srv?f=ST+5853+2012+INIT&l=pt (Último
acesso a 29.06.2015)
ix. THEODORE F. CLAYPOOLE, Privacy and Social Media, disponível para consulta em
http://www.americanbar.org/publications/blt/2014/01/03a_claypoole.html (Último
acesso a 29.06.2015)
x. TJUE, Comunicado de Imprensa n.º 54/14 disponível para consulta em
http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054pt.pdf
(Último acesso a 29.06.2015)
Jurisprudência
TJUE, acórdão de 24 de novembro de 2011, nos processos apensos C-468/10 e C-
469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) e Federación de
Comercio Electrónico y Marketing Directo (FECEMD) v. Administración del Estad
