RGPD nas clínicas de saúde: o que é obrigatório para proteger os dados dos pacientes

Medicina DentáriaMedicina VeterináriaRadiologia
Escrito por Janine Ornelas

As clínicas de saúde tratam diariamente informação de elevada sensibilidade. Dados pessoais, dados de identificação e registos clínicos dos pacientes estão sujeitos a regras rigorosas — e o seu incumprimento pode resultar em sanções significativas.

O Regulamento Geral sobre a Proteção de Dados (RGPD) estabelece um conjunto de obrigações que qualquer clínica deve cumprir, independentemente da sua dimensão. Em Portugal, a entidade responsável pela fiscalização é a Comissão Nacional de Proteção de Dados (CNPD), com competência para instaurar processos de contraordenação sempre que se verifique incumprimento.

Neste artigo, identificamos as principais obrigações legais aplicáveis às clínicas de saúde no contexto do RGPD.

Secretária de clínica de saúde com pasta de processo clínico e computador protegido por palavra-passe, ilustrando conformidade com o RGPD na proteção de dados dos pacientes.

Por que razão os dados de saúde merecem proteção reforçada

Os dados de saúde são classificados pelo RGPD como dados de categorias especiais, beneficiando de um nível de proteção mais elevado do que os dados pessoais comuns. Esta classificação abrange não só os diagnósticos e registos clínicos, mas também informações como a história familiar, os medicamentos prescritos ou os resultados de exames.

Por este motivo, qualquer clínica que recolha e trate informação de pacientes está obrigada a implementar medidas jurídicas, organizacionais e técnicas específicas — que vão bem além de uma simples declaração de confidencialidade.

Política de privacidade: uma obrigação de transparência

Uma das primeiras obrigações consiste na existência de uma política de privacidade clara, acessível e atualizada. Este documento deve indicar, de forma transparente:

  • Que dados são recolhidos e para que finalidades;

  • Qual a base legal que legitima o tratamento;

  • Durante quanto tempo os dados são conservados;

  • Quais os direitos dos pacientes e como podem ser exercidos.

A política de privacidade deve estar disponível na receção da clínica e, caso exista website, deve também ser publicada online. A sua ausência ou desatualização pode ser objeto de fiscalização pela CNPD.

Registo de atividades de tratamento: o mapa interno de dados

registo de atividades de tratamento é um documento interno obrigatório que funciona como inventário das operações realizadas com dados pessoais. Deve conter, designadamente:

  • As categorias de dados tratados e as respetivas finalidades;

  • Os destinatários da informação (internos e externos);

  • Os prazos de conservação aplicáveis;

  • As medidas de segurança implementadas.

Mesmo clínicas de pequena dimensão devem manter este registo atualizado. Trata-se de um dos principais instrumentos de prova do cumprimento do RGPD em caso de fiscalização.

"O registo de atividades de tratamento não é um mero formalismo, mas sim a evidência documental de que a clínica conhece e controla os dados que trata."

Consentimento informado e proteção de dados: duas obrigações que se cruzam

No momento da admissão do paciente, é essencial recolher o consentimento para o tratamento dos dados pessoais de saúde, o qual deve ser prestado de forma livre, específica e informada. O paciente deve poder revogá-lo a qualquer momento, sem que isso afete a prestação de cuidados de saúde a que tem direito.

Quando os dados são utilizados para finalidades adicionais — como comunicações de marketing, envio de newsletters ou campanhas promocionais —, é necessário obter um consentimento separado e autónomo para cada uma dessas finalidades.

Importa não confundir o consentimento clínico (para a realização de tratamentos) com o consentimento para o tratamento de dados pessoais: trata-se de dois instrumentos juridicamente distintos.

Fornecedores externos e contratos de subcontratação

Muitas clínicas recorrem a fornecedores que acedem, ainda que de forma limitada, a dados pessoais dos pacientes: empresas de software clínico, serviços de informática, plataformas de armazenamento em cloud, laboratórios externos ou empresas de contabilidade.

O RGPD exige que, nestes casos, sejam celebrados contratos de subcontratação que definam claramente as responsabilidades de cada parte. Estes contratos devem estabelecer, entre outros aspetos, as obrigações de confidencialidade, as medidas de segurança exigidas e os procedimentos em caso de incidente.

A ausência destes contratos constitui uma das situações de incumprimento mais frequentemente identificadas em auditorias e fiscalizações.

Medidas de segurança: técnicas e organizacionais

A proteção de dados dos pacientes exige a implementação de medidas de segurança adequadas ao nível de risco envolvido. Na prática, isto pode incluir:

Medidas técnicas:

  • Controlo de acessos com credenciais individuais para cada colaborador;

  • Limitação do acesso aos dados clínicos apenas aos profissionais autorizados;

  • Realização de cópias de segurança regulares e testadas;

  • Utilização de software de proteção atualizado.

Medidas físicas e organizacionais:

  • Arquivo dos processos clínicos em locais seguros e com acesso controlado;

  • Procedimentos internos documentados para o tratamento de informação;

  • Limitação de acesso às áreas administrativas.

Violações de dados: como reagir e quando notificar a CNPD

Uma violação de dados pessoais pode ocorrer em situações como o roubo de equipamento com informação de pacientes, o acesso não autorizado ao sistema informático ou o envio acidental de dados para um destinatário errado.

Quando se verifica uma violação, a clínica deve:

  1. Avaliar a gravidade do incidente e o risco para os direitos dos pacientes;

  2. Documentar internamente o ocorrido, independentemente da sua gravidade;

  3. Notificar a CNPD no prazo máximo de 72 horas, quando a violação for suscetível de implicar risco para os titulares dos dados;

  4. Informar os pacientes afetados, quando o risco for elevado.

A existência de um procedimento interno de gestão de incidentes é fundamental para garantir uma resposta rápida e documentada.

Formação da equipa: a primeira linha de prevenção

A maioria das violações de dados resulta de erros humanos — um email enviado para o destinatário errado, uma password partilhada ou um equipamento deixado desbloqueado. Por este motivo, a formação e sensibilização dos colaboradores constitui uma das medidas preventivas mais eficazes.

A equipa deve estar familiarizada com:

  • As regras de confidencialidade aplicáveis à sua função;

  • As boas práticas no manuseamento de dados pessoais;

  • Os procedimentos internos em caso de incidente ou suspeita de violação.

A formação deve ser periódica e documentada, podendo ser considerada como evidência de cumprimento em caso de fiscalização.

Os direitos dos pacientes em matéria de proteção de dados

Os pacientes têm um conjunto de direitos relativamente aos seus dados pessoais, que a clínica está obrigada a respeitar e a facilitar o exercício:

  • Direito de acesso — saber que dados são tratados e obter uma cópia;

  • Direito de retificação — corrigir dados incorretos ou incompletos;

  • Direito ao apagamento — em determinadas condições, solicitar a eliminação dos dados;

  • Direito à limitação do tratamento — restringir o uso dos dados em certas circunstâncias;

  • Direito à portabilidade — receber os dados num formato estruturado;

  • Direito de oposição — opor-se ao tratamento em determinadas situações.

A clínica deve dispor de um procedimento interno para responder a estes pedidos, em regra no prazo máximo de 30 dias a contar da receção.

A Legal In presta apoio jurídico especializado a clínicas de saúde no cumprimento das suas obrigações em matéria de proteção de dados. Se pretende avaliar o nível de conformidade da sua clínica com o RGPD ou implementar as medidas necessárias, entre em contacto connosco para uma consulta inicial.

FAQs — Perguntas Frequentes

  • Sim. O RGPD aplica-se a qualquer entidade que trate dados pessoais, independentemente da dimensão.

    As clínicas, mesmo as unipessoais, estão sujeitas às suas obrigações, incluindo a obrigação de manter o registo de atividades de tratamento.

  • Depende. A nomeação de DPO é obrigatória quando o tratamento de dados de saúde é realizado em larga escala.

    Clínicas de menor dimensão podem não estar obrigadas, mas a análise deve ser feita caso a caso.

  • Não. São dois instrumentos juridicamente distintos.

    O consentimento para a realização de tratamentos clínicos e o consentimento para o tratamento de dados pessoais têm finalidades e requisitos diferentes e devem ser recolhidos separadamente.

  • A omissão da notificação obrigatória pode ser considerada uma infração grave nos termos do RGPD, sujeita a coima.

    A notificação deve ser feita mesmo que a investigação não esteja concluída, podendo ser completada posteriormente.

  • Em regra, não.

    A partilha de dados clínicos exige base legal adequada — seja o consentimento do titular, seja outra base prevista no RGPD, como a necessidade para prestação de cuidados de saúde.

    A partilha para fins comerciais ou com terceiros não diretamente envolvidos no tratamento requer, em princípio, consentimento explícito.

 

Mais Conteúdos Relevantes

Artigos
RGPD nas clínicas de saúde: o que é obrigatório para proteger os dados dos pacientes
RGPD nas clínicas de saúde: o que é obrigatório para proteger os dados dos pacientes

O RGPD impõe obrigações específicas às clínicas de saúde no tratamento de dados clínicos e pessoais dos pacientes. Conheça as medidas jurídicas, organizacionais e técnicas exigidas pela lei e fiscalizadas pela CNPD.

Leia mais →
Publicidade nas Redes Sociais para Clínicas de Saúde: O Que é Permitido e o Que é Proibido
Publicidade nas Redes Sociais para Clínicas de Saúde: O Que é Permitido e o Que é Proibido

A publicidade de serviços de saúde nas redes sociais está sujeita a regras legais e deontológicas específicas em Portugal.

Conheça os limites, os erros mais comuns e as boas práticas para comunicar de forma legal e eficaz.

Leia mais →
Licenciamento de Radiação Ionizante na Indústria: Erros Críticos
Licenciamento de Radiação Ionizante na Indústria: Erros Críticos

O licenciamento de equipamentos com radiação ionizante na indústria não acompanha automaticamente o equipamento.

Erros comuns na gestão de registo, licença ou autorização podem expor empresas a incumprimento e sanções regulatórias.
Saiba como garantir conformidade legal e proteção radiológica eficaz.

Leia mais →
Janine Ornelas
Próximo

Publicidade nas Redes Sociais para Clínicas de Saúde: O Que é Permitido e o Que é Proibido