As implicações do RGPD para nutricionistas

O Regulamento Geral sobre a Proteção de Dados tem vindo a causar alguma preocupação entre os profissionais das mais diversas áreas. A classe dos nutricionistas não é exceção. Neste âmbito, o primeiro passo a dar é ter a consciência de que existem novas regras sobre a proteção de dados e certificar-se que você e a sua organização, se for o caso, estão inteirados das principais obrigações. Se está a ler este texto então, no mínimo, acabou de dar esse primeiro passo.

Neste artigo, abordaremos algumas das implicações do Regulamento Geral sobre a Proteção de Dados (doravante, RGPD ou Regulamento) para os nutricionistas. Para saber mais sobre o RGPD e os passos que o Nutrium está a dar em direção à conformidade, leia a nossa publicação anterior aqui.

Pode ainda consultar o Regulamento e visitar o site da Comissão Nacional de Proteção de Dados para obter mais informações.

As partes em jogo

Não será possível explicar, convenientemente, o RGPD sem que, previamente, se esclareçam alguns conceitos centrais acerca dos seus intervenientes. As relações no Regulamento são configuradas, grosso modo, da seguinte forma: o titular de dados (o seu paciente) disponibiliza os seus dados pessoais ao responsável pelo tratamento (o nutricionista) que assim se responsabiliza por tratar esses dados da forma exigida pelo Regulamento.

Em certas ocasiões, o responsável pelo tratamento, poderá subcontratar um terceiro para realizar parte dessas operações de tratamento de dados pessoais. Esses terceiros, na nomenclatura do RGPD, designam-se por subcontratantes (designação que tem sido alvo de críticas, devendo ler-se “subcontratados”).

É o caso da nossa empresa. A Healthium é, acima de tudo, subcontratante do profissional e pode, ela própria, contratualizar o tratamento dos dados com outros subcontratantes. Estes subcontratantes deverão dar-lhe todas as garantias de que cumprem com os requisitos do RGPD.

Licitude do tratamento

Enquanto responsável pelo tratamento, e para que evite complicações legais e sanções, deverá certificar-se de que todo o tratamento dos dados pessoais dos seus pacientes é lícito, i.e., que tem na sua base pelo menos uma justificação legal para a sua realização. O RGPD consagra, no seu artigo 6.º, seis fundamentos para que o tratamento que faz dos dados seja considerado lícito. Vejamos três deles:

  • Consentimento: poderá optar por fazer o tratamento com base no consentimento. Sempre que o titular tiver dado o seu consentimento explícito e informado o tratamento será legítimo. Por exemplo, deverá recorrer ao consentimento sempre que quiser utilizar os dados do seu paciente para efeitos de marketing. Nada impede que realize as suas consultas com base no consentimento, mas, tenha em conta que, nestas situações o paciente poderá retirar o consentimento a qualquer momento, impedindo-o de prosseguir o tratamento dos seus dados. Terá, ainda, que dispor dos meios organizativos para comprovar esse consentimento e para conferir ao titular dos dados a fácil retirada do consentimento.

  • Execução do contrato: será lícito o tratamento de dados sempre que este seja necessário à boa execução do contrato. Por exemplo, num contrato de trabalho que celebre com uma secretária será lícita a recolha de todos os dados pessoais necessários à identificação das partes desse contrato e para o processamento dos salários. Dados como o nome completo, a morada ou o número de uma conta bancária, por exemplo.

  • Interesse legítimo: verifica-se sempre que o tratamento seja necessário para efeito da prossecução dos interesses legítimos do responsável pelo tratamento ou por terceiros. Por exemplo, o nutricionista tem um interesse legítimo em recolher dados relativos à saúde do seu paciente já que são estes dados que lhe permitem realizar com sucesso a consulta.

Em última análise compete ao nutricionista escolher e analisar qual o fundamento a que vai recorrer ou a que está sujeito. Poderão existir fundamentos de licitude mais adequados do que outros, consoante o tratamento em causa.

Por exemplo, fundar o tratamento de dados em “interesses legítimos” poderá parecer o caminho mais simples a percorrer, mas obrigará, no entanto, à elaboração de uma “avaliação sobre os interesses legítimos” por forma a que fiquem claros para o titular dos dados quais os concretos interesses em causa.

Por outro lado, o “consentimento”, entrega ao titular dos dados pessoais o controlo quase absoluto sobre os seus dados. Este é um método considerado como sendo mais transparente, mas pode não ser prático de implementar, já que obrigará à manutenção de um registo organizado desses consentimentos e imporá de si a capacidade de garantir os direitos conexos ao consentimento.

Os direitos dos seus pacientes

Como vimos, para além de serem seus pacientes são também titulares de dados pessoais. Como tal, o RGPD vem estabelecer um conjunto de direitos com os quais terá que cumprir. Ao longo das próximas linhas tentaremos, de forma sucinta, explicar e demonstrar como poderá cumprir com alguns desses direitos:

  • Direito a ser informado: sempre que os dados pessoais forem recolhidos junto dos pacientes dever-lhe-ão ser prestadas, de modo claro, conciso e transparente, todas as informações constantes do artigo 13.º do Regulamento. Ora, este é um conjunto extensíssimo de informações que, idealmente, deverão ser compiladas num documento e disponibilizadas ao cliente. Pode fazê-lo de diversas formas: comunicando oralmente estas informações ao paciente; entregando-lhe o documento impresso na consulta; dedicando uma página no seu website e convidando o paciente a lê-la; entre outras formas.

  • Direito de acesso: o paciente tem o direito a saber se os seus dados estão a ser objeto de tratamento e, caso estejam, tem o direito a aceder aos seus dados pessoais. Nestas situações, o nutricionista deverá fornecer ao paciente todos os detalhes sobre os dados pessoais em fase de tratamento, prestando-lhe ainda todas as informações previstas no artigo 15.º. A informação deverá ser, em princípio fornecida num formato eletrónico de uso corrente, como por exemplo, em pdf.

  • Direito de retificação e apagamento: quando confrontado com informação errónea ou incompleta, o paciente, pode requerer que a sua informação seja corrigida. Pode ainda obter do nutricionista o apagamento dos seus dados sem demora injustificada, sendo certo que é ao nutricionista que compete, num primeiro momento, analisar a pertinência deste pedido, nos termos do art. 17.º.

  • Direito de portabilidade: sempre que o tratamento se basear no consentimento ou num contrato e seja realizado por meios automáticos, o responsável pelo tratamento deve, a pedido do titular dos dados, disponibilizar-lhe toda a informação num ficheiro de leitura automática e de uso corrente como, por exemplo, um documento pdf, Word ou mesmo Excel.

  • Direito de oposição e direito de limitação: O direito de oposição aplica-se, sobretudo, àquelas situações em que a licitude do tratamento é realizada com base nos interesses legítimos do nutricionista. Nestes casos, uma vez que não existe pedido prévio de consentimento permite-se a sua oposição posterior. A limitação do tratamento, por sua vez, destina-se a situações em que o apagamento imediato dos dados pessoais não é desejado e como tal exige-se apenas a sua limitação.

Registo das atividades de tratamento

Se nos pedissem para definir o RGPD em duas palavras elas talvez fossem: método e organização. Pelo menos, são estas palavras que melhor definem a exigência do artigo 30.º: o nutricionista e, especialmente, as clínicas de nutrição estão, em princípio, obrigados a realizar o mapeamento dos dados pessoais que processam.

Assim, deverá compilar, em formato escrito e num ficheiro eletrónico (numa folha Excel, por exemplo) todas as categorias de titulares de dados pessoais e respetivos dados pessoais que recolhe, descrevendo-os e associando-os às finalidades de tratamento a que se destinam. E colocamos ênfase em “todos”. É que, este mapeamento poderá ter que abranger não só os dados dos seus clientes, mas também, por exemplo, os dados dos seus trabalhadores, quando aplicável.

Deverá, ainda, explicitar a que subcontratantes recorre e disponibilizar o seu nome e contacto, assim como os contactos do seu Encarregado de Proteção de Dados e do seu representante, quando aplicável. A lista aqui exposta não é, no entanto, exaustiva. Poderá consultar a lista integral no artigo 30.º do Regulamento.

Gostaríamos de sublinhar que este é um documento de enorme importância já que deverá ser disponibilizado à entidade fiscalizadora sempre que requerido. Não deve ser confundido com documentos como Políticas de Privacidade cuja vocação é tendencialmente pública e de informação dos seus pacientes.

Segurança e proteção dos dados

Uma das maiores preocupações do Regulamento é garantir que o tratamento dos dados pessoais é feito da forma mais segura quanto possível. Como tal, os nutricionistas estão adstritos a implementar nos seus consultórios todas as medidas de segurança necessárias à proteção dos dados pessoais dos seus pacientes.

Essas medidas poderão passar, por exemplo, pela escolha de fornecedores Cloud que estejam em conformidade com o RGPD; pela encriptação dos dispositivos eletrónicos que contenham dados pessoais, como computadores, por exemplo; pela renovação periódica das suas palavras passe; entre muitas outras medidas.

No entanto, uma vez que o Regulamento não se aplica só ao contexto digital, deverão ainda ser tomadas precauções relativas ao espaço físico do consultório. Os armários com ficheiros dos pacientes deverão estar fechados à chave e deverá limitar-se o acesso a esse tipo de ficheiros apenas àqueles grupos de pessoas estritamente necessários.

Para além disto, todos os documentos em papel, especialmente aqueles que contenham dados de categorias consideradas sensíveis, deverão ser eliminados de forma adequada, nomeadamente, através de trituradores de papel.

Por fim, deverá estar preparado para as hipóteses de violação de dados. Nestes casos, quando todas as medidas de segurança falham e se verificar que a violação de dados colocou em risco os direitos e liberdades das pessoas singulares, nomeadamente, através de perda ou roubo, deverá notificar a Comissão Nacional de Proteção de Dados e o titular de dados pessoais, sem demora injustificada.

Conclusão

Estas são apenas algumas das medidas que terá que adotar ao longo dos próximos tempos e carecem de um planeamento ponderado e de algum estudo do Regulamento. Da parte da equipa do Nutrium estaremos sempre disponíveis para o ajudar, estamos a implementar todas as medidas necessárias para que consiga dar resposta aos pedidos dos seus pacientes o mais eficientemente quanto possível. Esperamos que esta breve exposição lhe tenha sido útil.

Uma última nota apenas para dizer que o presente artigo foi escrito tendo em conta uma audiência mundial de profissionais da nutrição. Apesar de poder ser um bom ponto de partida, este artigo não é, pela necessidade de adequação ao meio em que é publicado, exaustivo. As informações que aqui disponibilizamos carecem de concretização de país para país e de profissional para profissional. Por favor, informe-se com o seu advogado previamente ou com os seus órgãos e associações locais.

alt