Clínicas, consultórios e hospitais tratam a categoria de dados mais protegida pelo RGPD: a informação de saúde. Estes dados são categorias especiais ao abrigo do artigo 9.º do RGPD, cujo tratamento é, em regra, proibido — só é lícito ao abrigo de uma das exceções do n.º 2, tipicamente a prestação de cuidados de saúde (al. h). Em Portugal, acresce a Lei n.º 12/2005, sobre informação genética e de saúde. Este guia explica as obrigações concretas de uma organização de saúde: base de licitude, gestão de acessos dos profissionais, encarregado obrigatório, subcontratantes clínicos e prazos de conservação — com o caso real que marcou o setor em Portugal.
Pontos-chave
- Os dados de saúde são categoria especial (art. 9.º): tratamento proibido salvo exceção do n.º 2.
- A gestão de acessos por perfil é o ponto mais fiscalizado — e o mais sancionado.
- Hospitais e grandes prestadores têm encarregado de proteção de dados obrigatório (art. 37.º).
- A CNPD aplicou 400 000 € ao Centro Hospitalar Barreiro Montijo por perfis de acesso indevidos.
Base de licitude para tratar dados de saúde
Tratar dados de saúde exige uma dupla base: uma do artigo 6.º e uma do artigo 9.º, n.º 2. Para a prestação de cuidados, a combinação típica é o artigo 6.º, n.º 1, al. c) ou e) com o artigo 9.º, n.º 2, al. h) — tratamento para fins de medicina preventiva, diagnóstico, prestação de cuidados ou gestão de sistemas de saúde, por profissional sujeito a sigilo. A Lei n.º 12/2005 qualifica a informação de saúde e reforça que esta pertence à pessoa, sendo as unidades meros depositários. A escolha da base deve ficar inscrita no registo de atividades de tratamento e é detalhada no guia sobre dados sensíveis do artigo 9.º.
O consentimento raramente é a base adequada para o tratamento clínico corrente: seria frágil, porque o doente não pode livremente recusá-lo sem perder o cuidado. O consentimento reserva-se para tratamentos acessórios — investigação, marketing, partilha não necessária.
Gestão de acessos: o ponto crítico
Numa unidade de saúde, o maior risco não é o exterior — é o acesso interno indevido. O RGPD exige, através dos artigos 5.º, n.º 1, al. f), e 32.º, que só acedam aos dados de um doente os profissionais que dele cuidam, e apenas na medida necessária. Isto traduz-se em:
- Perfis de acesso por função (médico, enfermeiro, administrativo), com permissões diferenciadas.
- Princípio da necessidade de conhecer: o acesso ao processo depende da relação de cuidado.
- Registo de acessos (logs) que permita auditar quem consultou o quê.
- Revisão periódica dos perfis, sobretudo quando profissionais saem.
O caso do Centro Hospitalar Barreiro Montijo
Em 2018, a CNPD aplicou uma coima de 400 000 euros ao Centro Hospitalar Barreiro Montijo. A investigação revelou que o hospital tinha um número de perfis de acesso de «médico» muito superior ao número de médicos ao serviço, e que técnicos administrativos e outros profissionais conseguiam aceder a processos clínicos sem terem relação de cuidado com os doentes. A CNPD considerou violados os princípios de minimização e de integridade e confidencialidade. É o caso de referência em Portugal sobre gestão de acessos — e a razão pela qual a auditoria de perfis é hoje a primeira coisa que uma unidade deve rever. O enquadramento sancionatório é aprofundado no guia sobre coimas RGPD da CNPD.
Encarregado de proteção de dados obrigatório
Hospitais e grandes prestadores de cuidados de saúde tratam categorias especiais de dados em larga escala, pelo que a designação de um encarregado de proteção de dados é obrigatória nos termos do artigo 37.º, n.º 1, al. c). O encarregado fiscaliza os acessos, aconselha sobre as AIPD dos novos sistemas clínicos e é o ponto de contacto da CNPD. Para clínicas mais pequenas, a designação pode não ser obrigatória, mas a avaliação deve ser documentada — e muitas designam voluntariamente.
Subcontratantes clínicos
Uma unidade de saúde raramente processa tudo internamente. Software clínico, alojamento em nuvem, laboratórios de análises, empresas de destruição de arquivo, teleconsulta — todos são subcontratantes que tratam dados de saúde por conta da unidade. Cada um exige um contrato de subcontratação nos termos do artigo 28.º, com garantias reforçadas por se tratar de categorias especiais. Antes de contratar, verifique onde ficam alojados os dados: o alojamento fora da UE obriga a analisar as transferências internacionais.
Antes de introduzir um novo sistema clínico que trate dados de saúde em larga escala, deve realizar-se uma avaliação de impacto (AIPD), obrigatória pelo artigo 35.º e pela lista da CNPD. Documentar estes elementos — bases, subcontratantes, acessos, AIPD — é trabalho contínuo; plataformas como a Legiscope centralizam o registo, os contratos e as medidas de segurança de forma auditável.
Prazos de conservação de processos clínicos
Os processos clínicos têm prazos de conservação longos, fixados por legislação de saúde. Findo o prazo aplicável, a informação deve ser eliminada ou anonimizada. A política deve constar da abordagem geral de prazos de conservação da unidade, com a fonte legal de cada prazo. Nunca se conservam processos indefinidamente «por precaução».
O que a CNPD verifica numa fiscalização de saúde
Numa fiscalização a uma unidade de saúde, a CNPD tende a concentrar-se em pontos concretos e verificáveis. Primeiro, o registo de tratamentos e a base de licitude escolhida para os dados clínicos. Segundo, e sobretudo, a matriz de perfis de acesso: quantos perfis de cada tipo existem, se correspondem aos profissionais efetivamente ao serviço e se há registo de acessos que permita auditar consultas. Terceiro, os contratos com os subcontratantes clínicos e a existência de AIPD para os sistemas de risco elevado. As orientações do Comité Europeu para a Proteção de Dados (CEPD) reforçam que, quanto mais sensíveis os dados, mais rigorosas devem ser as medidas — e a saúde está no topo dessa escala. Preparar estes elementos de forma contínua, e não perante uma inspeção iminente, é o que distingue uma unidade que controla os seus dados de uma que apenas reage.
Perguntas frequentes
Que base de licitude usa uma clínica para tratar dados de doentes?
A combinação do artigo 6.º (al. c ou e) com o artigo 9.º, n.º 2, al. h) — prestação de cuidados por profissional sujeito a sigilo. O consentimento não é a base adequada para o tratamento clínico corrente, reservando-se para fins acessórios como investigação ou marketing.
Uma clínica precisa de encarregado de proteção de dados?
Hospitais e grandes prestadores sim, por tratarem dados de saúde em larga escala (art. 37.º). Clínicas pequenas podem não estar obrigadas, mas devem documentar a avaliação; muitas designam um encarregado voluntariamente dado o risco elevado.
O que a CNPD mais fiscaliza numa unidade de saúde?
A gestão de acessos. O caso do Centro Hospitalar Barreiro Montijo (coima de 400 000 €, 2018) mostrou que perfis de acesso mal geridos, que permitem consultas sem relação de cuidado, são a falha mais grave e mais sancionada.
Os laboratórios e o software clínico são subcontratantes?
Sim. Sempre que uma entidade trata dados de saúde por conta da unidade, é subcontratante e exige contrato do artigo 28.º, com garantias reforçadas por se tratar de categoria especial.
Conclusão
O RGPD na saúde gira em torno de uma ideia: os dados de doentes são a categoria mais protegida, e só devem ser acedidos por quem deles cuida e na medida necessária. Isto exige base de licitude dupla (arts. 6.º e 9.º), gestão rigorosa de acessos por perfil, encarregado nos hospitais, contratos com todos os subcontratantes clínicos e prazos de conservação com fonte legal. O caso do Centro Hospitalar Barreiro Montijo deixou a lição mais cara e mais clara do setor: auditar quem acede ao quê não é burocracia — é a obrigação central de qualquer organização de saúde.
Outros guias setoriais de RGPD: RGPD para imobiliárias, RGPD na hotelaria e turismo e RGPD para contabilistas.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial