Upload
builiem
View
214
Download
0
Embed Size (px)
Citation preview
AV. ENGº DUARTE PACHECOEMPREENDIMENTO DAS AMOREIRAS TORRE II, 13º A1099-042 LISBOA
Tel. (+351) 21 383 9060Fax. (+351) 21 385 3202
http://www.cralaw.com
‐ Proteção de Dados Pessoais ‐
Indústria Farmacêutica
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Mónica Oliveira CostaCIPP/E
Certified Information Privacy Professional/Europe
Enquadramento e Regras Gerais
Dados Pessoais Sensíveis“É proibido
o
tratamento
de
dados
pessoais
referentes
a
convicções
filosóficas
ou
políticas, filiação partidária ou sindical, fé
religiosa, vida privada e origem racial ou étnica, bem
como
o
tratamento
de
dados
relativos
à
saúde
e
à vida
sexual,
incluindo
os
dados
genéticos”
(Artigo 7.º, n.º
1 da LPDP)
Dados de Saúde“…
há
que dar à
expressão «dados relativos à
saúde»…
uma interpretação lata, de modo
que
inclua
informações
relativas
a
todos
os
aspetos,
quer
físicos,
quer
psíquicos,
da saúde
de
uma
pessoa…” (Acórdão
de
6/11/2003
do
TJCE
– Proc.
C‐101/01),
ou
seja,
aos
dados que tenham uma ligação manifesta e estreita com a saúde
e “não apenas aqueles que
resultem
do
diagnóstico
médico
feito,
mas
todos
aqueles
que
permitam
apurá‐lo,
incluindo
resultados
de
análises
clínicas,
imagens
de
exames
radiológicos,
imagens
vídeo ou fotografias que sirvam o mesmo fim”
(Autorizações n.º
45/96 e 46/97 da CNPD).
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Enquadramento e Regras Gerais Tratamento de dados sensíveisÉ permitido (artigo 7,º
n.º
2 da LPDP):
(i) Mediante: disposição legal ou
autorização da CNPD; e(ii) Quando: interesse público importante –
indispensável ao exercício da
atividade do responsável ou
consentimento expresso do titular; e(iii) Garantias de não discriminação +
medidas especiais de segurança.
E ainda (artigo 35.º, n.º
3 da CRP):(iv) Processamento de dados estatísticos não individualmente identificáveis
Tratamento de dados de saúdeÉ permitido (artigo 7.º, n.º
4 da LPDP) para as seguintes finalidades:
a) medicina preventiva;b) diagnóstico médico,c) prestação de cuidados ou tratamentos médicosd) gestão de serviços de saúde.
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Enquadramento e Regras GeraisTratamento de dados de saúdeDesde que: (i) tratamento efetuado por profissional de saúde obrigado a sigilo ou por outra pessoa
sujeita igualmente a segredo profissional;(ii) seja notificado à CNPD; e(iii) medidas adequadas de segurança da informação.
Direitos dos titulares dos dados de saúde
(i) Direito de informação (artigo 10,º, n.º
5 da LPDP)Mediante disposição legal ou deliberação da CNPD pode ser dispensada
a
obrigação de informação – no caso de tratamento de dados com finalidadesestatísticas, históricas ou de investigação científica
– e quando:
a) a informação do titular dos dados se revelar impossível ou implicaresforços desproporcionados; ou ainda
b) a lei determinar expressamente o registo dos dados ou
a sua divulgação
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Enquadramento e Regras Gerais Direitos dos titulares dos dados de saúde
(ii) Direito de correção
(iii) Direito de eliminação
(iv) Direito de acesso (artigo 11.º, n.º
5 e 6 da LPDP)
a) É
exercido por intermédio de médico escolhido pelo titular dos dados;
b) Lei pode restringir este direito quando:• Os
dados
não
forem
utilizados
para
tomar
medidas
ou
decisões
em
relação
a
pessoas determinadas;• Não
existe
qualquer
perigo
de
violação
dos
direitos,
liberdades
e
garantias
do
titular dos dados; e• Os
dados
forem
exclusivamente
utilizados
para
fins
de
investigação
científica
ou
conservados sob forma de dados pessoais durante um período que não exceda o necessário à
finalidade exclusiva de elaborar estatísticas.
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Enquadramento e Regras Gerais Medidas especiais de segurança (artigo 15.º
da LPDP)
(i) Controlo da entrada nas instalações;(ii) Controlo dos suportes de dados(iii) Controlo da inserção(iv) Controlo da utilização(v) Controlo de acesso(vi) Controlo da transmissão(vii) Controlo da introdução(viii) Controlo do transporte(ix) Separação lógica entre os dados de saúde dos restantes dados pessoais(x) CNPD pode determinar que a transmissão dos dados seja cifrada quando ocorra
circulação em rede de dados que possa pôr em risco direitos, liberdades e garantias.
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
FarmacovigilânciaDeliberação CNPD 219/2009
Definição“A Farmacovigilância visa melhorar a qualidade e segurança dos medicamentos, em defesa do utente e da Saúde Pública, através da deteção, avaliação e prevenção de reações adversas a medicamentos” (www.infarmed.pt)
Aplicável, com as necessárias adaptações, à
vigilância de dispositivos médicos.
Autorização Prévia da CNPDEm virtude de ser um tratamento que incide sobre dados sensíveis (artigo 28.º
n.º
1 LPDP)
LegitimidadeDisposição
legal
(DL
176/2006
regime
jurídico
dos
medicamentos
de
uso
humano
e
Lei
21/2014 lei da investigação clínica)
Responsável‐INFARMED‐Titulares de AIM (de medicamento e de importação paralela)‐Unidades de farmacovigilância‐Promotor de ensaios clínicos
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
FarmacovigilânciaDeliberação CNPD 219/2009
Subcontratante‐Responsável opta pelo outsourcing para prestação destes serviços‐Contrato escrito:
(i) atua mediante instruções do responsável(ii) implementar medidas de segurança adequadas
Dados tratados‐Profissionais de saúde (nome, local de trabalho, contacto e especialidade)‐Participantes ensaio clínico + pessoas que sofreram reações adversas:
(i) identificação (iniciais do nome, sexo e data de nascimento)(ii) peso e altura(iii) dados da reação adversa(iv) dados clínicos, exames auxiliares de diagnóstico, alergias e gravidez(v) parecer clínico quanto à
relação causal
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
FarmacovigilânciaDeliberação CNPD 219/2009
Comunicação de dados (nos termos legalmente previstos)‐INFARMED – AEM + CE + OMS‐Outros responsáveis –
INFARMED
Interconexões‐INFARMED (nos termos previstos na Lei)‐Restantes responsáveis (autorização prévia da CNPD concedida caso a caso)
Prazo de conservação‐Promotor (dados relativos a farmacovigilância em ensaios clínicos):
(i) 15 anos após a conclusão ou interrupção do ensaio; ou(ii) 2 anos após a concessão de AIM na UE e até
não haver pendente nem previsto
qualquer pedido de introdução no mercado na Comunidade Europeia; ou(iii) 2 anos após a interrupção formal do desenvolvimento clínico do medicamento
experimental.‐Restantes responsáveis – 2 anos após o fim do ciclo do medicamento
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
FarmacovigilânciaDeliberação CNPD 219/2009
Transferências internacionais de dados‐Consentimento livre, específico, informado, expresso e escrito‐Cláusulas Standard da CE, Safe Harbor (?), Países de proteção adequada‐Autorização da CNPD, nos termos previstos na lei (artigo 20.º
da LPDP)
Medidas de segurança‐Dados contidos em ficheiros automatizados + dados manuais‐Separação lógica entre os dados de saúde e os dados de natureza administrativa: criação de
perfis
com
níveis
de
acesso
diferenciados
e
privilégios
de
manuseamento
da
informação distintos
‐Impedir o acesso à informação a pessoas não autorizadas‐Circulação dos dados de saúde em rede – transmissão cifrada‐Acesso
restrito
(físico
e
lógico)
aos
servidores
com
registo
de
acesso
à informação
para
controlo das operações e realização de auditorias ‐Backups da informação mantidos em local acessível ao administrador de sistema
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Investigação Clínica Legislação(i) Lei de Bases da Saúde (Lei 48/90, de 24 de agosto)(ii) Lei da Investigação Científica (Lei 125/99, de 20 de abril)(iii) Lei dos Ensaios Clínicos (Lei 46/2004, de 19 de Agosto) em vigor até
14/06/14
(iv) Lei da Investigação Científica (Lei 21/2014, de 16 de abril) em vigor a partir de 15/06/2014
(abarca duas realidades até
aqui separadas: ensaios e estudos
clínicos), destacando‐se as seguintes alterações em matéria de proteção dedados pessoais:1. Remissão expressa para a LPDP2. Reformulação do conceito de consentimento informado3. Base de dados do INFARMED (ensaios clínicos + estudos clínicos com intervenção dedispositivos médicos) – sujeita a notificação à CNPD
4. Registo Nacional de Estudos Clínicos – sujeita a autorização da CNPD
Deliberações da CNPD‐
Ensaios clínicos –
Deliberação n.º
333/2007
‐
Estudos clínicos ou de investigação não interventivos –
Deliberação n.º
227/2007
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Ensaios ClínicosDefinição
“Qualquer investigação conduzida no ser humano, destinada a descobrir ou verificar
os
efeitos
clínicos,
farmacológicos
ou
os
outros
efeitos
farmacodinâmicos
de
um
ou
mais
medicamentos
experimentais,
ou
identificar
os
efeitos
indesejáveis
de
um
ou
mais medicamentos
experimentais,
ou
a
analisar
a
absorção,
a
distribuição,
o
metabolismo
e
a
eliminação
de
um
ou
mais
medicamentos
experimentais,
a
fim
de
apurar
a
respetiva segurança ou eficácia”
(www.infarmed.pt)
Autorização Prévia da CNPDEm virtude de ser um tratamento que incide sobre dados sensíveis (artigo 28.º, n.º
1 LPD)
FinalidadeEnsaio clínico em concreto que se pretende realizar
Responsável pelo tratamentoPerante a CNPD – Promotor: determina a finalidade e os meios
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Ensaios ClínicosSubcontratado‐
Investigador: prestar o direito de informação, obter o consentimento dos participantes, assegurar o processamento dos dados e garantir a confidencialidade
‐
Monitor: acompanha o ensaio, mantém o Promotor informado e garante que os dadossão registados corretamente
‐
Centro de Ensaio: se assumir por ex. obrigações de segurança da informação
Dados Tratados(i) Dados pessoais necessários à
realização do ensaio em concreto
(ii) Dados vida sexual, vida privada, origem racial ou étnica: apenas se for demonstrada asua pertinência, adequação, indispensabilidade e não excessividade face à
finalidade
do ensaio em concreto;(iii) Dados relativos a convicções filosóficas, políticas, filiação partidária ou sindical e fé
religiosa: não podem ser tratados.
Interconexões de dados e comunicação a terceirosPor regra não são admissíveis, exceto se expressamente autorizados pela CNPD.
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Ensaios ClínicosLegitimidade
Consentimento, que deve ser:(i) livre, específico e informado;(ii) expresso;(iii) escrito, datado e assinado;(iv) uniformizado;(v) livremente revogável a todo o momento e sem quaisquer consequências.
Sigilo profissionalTodos os intervenientes nos ensaios clínicos estão sujeitos a sigilo profissional (obrigação decorrente da LPDP – artigo 17.º
‐
e Lei de Investigação Clínica – artigo 51.º)
Prazo de conservação‐
Medicamentos que obtenham AIM = farmacovigilância
‐
Restantes casos: * código do doente deve ser destruído 5 anos após o ensaio* nome do investigador deve ser eliminado 5 anos após o ensaio
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Ensaios ClínicosMedidas de segurança
(i) diferentes níveis de acesso (mesmo entre os médicos e profissionais) (ii) medidas de transporte e acesso pelos auxiliares administrativos;(iii) mecanismos de autenticação;(iv) registo de todos os acessos e introdução de dados;(v) separação lógica e física dos dados de saúde, vida sexual e genéticos dos restantes;(vi) packs de dados dedicados com informação selecionada.
Anonimização, codificação e acesso aos dados ‐
Dados devem ser preferencialmente anonimizados ou, caso não seja possível,codificados de forma a que a identificação seja indireta e remota.
‐
Acesso dos intervenientes apenas na medida do indispensável.
Transferências InternacionaisAplicam‐se as regras gerais. No entanto, atendendo à
categoria de dados, os critérios de
aferição do nível adequado de proteção seguidos pela CNPD são particularmenteexigentes.
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Estudos Clínicos ou de Investigação não interventivos
Definição“Qualquer estudo sistemático, conduzido no ser humano ou a partir de dados de saúde individuais, destinado a descobrir ou a verificar a distribuição ou o efeito de fatores de saúde, de estados ou resultados em saúde, de processos de saúde ou de doença, do desempenho e, ou, segurança de intervenções ou serviços de saúde, através de aspetos biológicos, comportamentais, sociais ou organizacionais” (artigo 2.º, n) da Lei 21/2014)
Autorização Prévia da CNPDEm virtude de ser um tratamento que incide sobre dados sensíveis (artigo 28.º, n.º
1 LPDP)
FinalidadeEstudo clínico ou de investigação em concreto que se pretende realizar
Responsável pelo tratamentoLaboratório do Estado, unidades de saúde do SNS, instituição pública de investigação,instituição particular ou um investigador.
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Estudos Clínicos ou de Investigação não interventivos
Dados tratados
Categorias
admissíveis em função do tipo de estudo (retrospetivos ou prospetivos):(i) dados de identificação(ii) dados de saúde (história clínica/medicamentação/resultados de meios
complementares de diagnóstico;(iii) história familiar (informação saúde/ genética);(iv) hábitos pessoais;(v) dados relativos à
atividade profissional;
(vi) dados relativos aos parâmetros clínicos em estudo.
Identificabilidade
dos dados pela seguinte ordem de preferência:1.º
Dados anonimizados
2.º
Dados codificados3.º
Dados pessoais identificáveis (só
em última instância e desde que fundamentada)
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Estudos Clínicos ou de Investigação não interventivos
RecolhaDireta –
junto do titular (ex.: amostras biológicas)
Indireta – através do médico
Legitimidade
(i) Unidades de saúde: consentimento (livre, específico e informado, expresso, escrito,datado e assinado, uniformizado, revogável a todo o momento e sem quaisquerconsequências) + acesso aos dados desde que anonimizados;
(ii) Estudos retrospetivos: consentimento é obtido pela unidade de saúde ou médico(iii) Impossibilidade de obter consentimento:
* Situações especiais (demonstradas)* Interesse público importante (aferido do resultado da investigação)
(iv) Teses académicas: consentimento, salvo raras exceções a apreciar pela CNPD.
Comunicação a terceirosPor regra não é permitida, exceto no caso de estudos policêntricos.
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Estudos Clínicos ou de Investigação não interventivos
Medidas de segurança
(Além das já
referidas anteriormente a propósito da farmacovigilância e ensaios clínicos)‐
Perfis de utilizador devem ser mantidos atualizados e eliminados quando o utilizadordeixe de ter privilégios de acesso;‐
Palavras‐passe devem ser periodicamente alteradas
‐
Circulação de dados – sobretudo quando os dados não são diretamente entregues aoprofissional de saúde
‐
Acesso ao processo clínico para fins de investigação epidemiológica, clínica ougenética –
pressupõe a pré‐existência de um tratamento de dados pessoais autorizado
pela CNPD
Prazo de conservação
Durante o período do estudo, acrescido de 1 mês, após o qual devem ser destruídos, semprejuízo de serem conservados de forma anonimizada
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
AV. ENGº
DUARTE PACHECOEMPREENDIMENTO DAS AMOREIRAS TORRE II, 13º
A1099‐042 LISBOA
Tel. (+351) 21 383 9060Fax. (+351) 21 385 3202
http://www.cralaw.com
Muito obrigada!
Indústria Farmacêutica ‐
Proteção de Dados Pessoais ‐
Conselho Distrital de Lisboa – Ordem dos Advogados27 maio 2014
Mónica Oliveira CostaCIPP/E
Certified Information Privacy Professional/Europe