Consulte aqui o documento original
I. Pedido
1 – Foi solicitado, pelo Gabinete da Ministra da Saúde, parecer da Comissão Nacional de Proteção de Dados (CNPD) sobre o pedido do Coordenador da Task Force da Vacinação contra a Covid-19 para acesso a informação constante em bases de dados da saúde, com a finalidade de avaliação e monitorização dos procedimentos relativos à vacinação.
2 – A CNPD emite parecer nos termos da alínea b) do nº 3 do artigo 58.º do Regulamento (UE) 2016/679, de 27 de abril – Regulamento Geral da Proteção de Dados (RGPD).
3 – No pedido do Coordenador da Task Force é especificado que o acesso à informação é imprescendível para o planeamento e gestão do plano de vacinação, com evidente reflexo na saúde pública em contexto de pandemia Covid-19. Não são identificadas as bases de dados onde reside a informação, mas indicam-se os dados a que se pretende aceder, que, no essencial, se dividem em quatro grupos:
a. Dados de identificação – Número de SNS e data de nascimento;
b. Dados da vacinação – género, ARS de residência, concelho de residência, data, marca e lote da 1ª e 2ª inoculação;
c. Dados de teste com resultado positivo – Data da positividade, tipo de teste e variante genética de SARS-CoV2;
d. Dados de internamento hospitalar – Data de internamento, data da entrada em UCI, data de alta hospitalar, data de óbito.
4 – De acordo com os termos do pedido do Coordenador da Task Force, não se pretende conhecer dados que identifiquem diretamente os titulares, mas é imprescendível o número do Serviço Nacional de Saúde (SNS) como elemento de ligação entre as várias bases de dados, bem como a data de nascimento como segundo dado de identificação. Ou seja, para correlacionar a informação da mesma pessoa, ainda que sem necessidade de conhecer a sua identidade.
5 – Foi ainda considerada a possibilidade de, excecionalmente e em circunstância pontuais, poder, no âmbito das atribuições e competências da Task Force, ocorrer acesso a dados identificados.
II. Análise
i. O tratamento de dados pessoais e respetivo fundamento de licitude
6 – De acordo com o despacho nº 11737/2020, de 26 de novembro, alterado pelo Despacho nº 3906/2021, de 19 de abril, ambos dos Ministros da Defesa Nacional, da Administração Interna e da Saúde, são atribuições da Task Force “[a] definição […] da estratégia de vacinação contra a covid-19, nomeadamente quanto à identificação dos parâmetros para o adequado seguimento clínico; [a] preparação […] do plano logístico para a vacinação contra a Covid-19 […]; [o] desenvolvimento […] do processo informático de suporte à vacinação contra a Covid-19, designadamente quanto ao registo e seguimento dos resultados e à identificação de reações adversas” – cf. alíneas a) a c) do nº 4 do citado despacho.
7 – No mesmo despacho, nas alíneas a) a c) do nº 2.2, especifica-se serem competências do Coordenador da Task Force “[a]rticular, acompanhar e avaliar o processo de implementação do Plano de Vacinação aprovado; [d]efinir e adaptar, no quadro das disponibilidades e necessidades de cada momento, a estratégia de implementação do Plano de Vacinação, de acordo com as orientações técnicas das entidades competentes; [m]onitorizar e avaliar a eficiência do processo de implementação e propor a adaptação, junto das entidades competentes do Ministério da Saúde, dos procedimentos estabelecidos, sempre que julgue necessário e adequado”.
8 – Em causa está um tratamento de dados pessoais, por corresponder a operações que incidem sobre informação relativa a pessoas singulares identificáveis (desde logo, pelo número do SNS), nos termos e para os efeitos das alíneas 1) e 2) do artigo 4º do RGPD, da responsabilidade da Task Force, na aceção da alínea 7) do artigo 4º do RGPD.
9 – Admite a CNPD que o tratamento dos dados pessoais acima elencados é adequado e necessário às finalidades visadas pela Task Force, uma vez que os dados anonimizados não permitem relacionar a informação da vacinação com subsquentes infeções, o que é essencial para a definição da estratégia de vacinação contra a Covid-19, a avaliação do processo de implementação do plano de vacinação e a sua adaptação.
10 – Todavia, a Task Force não tem, para as finalidades invocadas e que cabem nas atribuições definidas no citado Despacho, efetiva necessidade de conhecer a identidade dos titulares dos dados, pelo que, de acordo com o princípio de proporcionalidade e o princípio da minimização dos dados pessoais, consagrados na alínea c) do nº1 do artigo 5º do RGPD, o tratamento deve implicar uma operação de pseudonimização (cf. alínea 5) do artigo 4º do RGPD).
11 – Sendo certo que em causa estão dados pessoais relativos à saúde, o fundamento de licitude do tratamento de dados não se pode esgotar nas alíneas c) e e) do nº 1 do artigo 6.º do RGPD, tendo aind ade se recorrer ao disposto na alínea i) do nº 2 do artigo 9º do RGPD.
12 – Com efeito, o regime jurídico de proteção de dados pessoais abre espaço para que o direito da União ou o direito nacional preveja o tratamento dos dados com medidas adequadas e específicas para salvaguardar os direitos e liberdades dos titulares dos dados, em particular o sigilo profissional.
13 – Ora, considerando a atual situação pandémica, a relevância da vacinação no combate à mesma e da monitorização e adaptação da planificação, afigura-se admissível que, ao abrigo da competência regulamentar reconhecida pelo n.º 2 do artigo 17º da lei nº 81/2009, de 21 de agosto, seja prevista a regulada pela Ministra da Saúde uma solução excecional e transitória adequada e harmonizadora dos diferentes direitos e interesses em presença, com as garantias previstas no RGPD.
II. Origem da informação
14 – A informação indicada supra, no ponto 3.b., encontra-se na aplicação de registo de vacinas. A referida no ponto 3.c. reside no sistema de informação denonimado SINAVE Lab e no Instituto Nacional Ricardo Jorge (INSA). EM relação à informação elencada no ponto 3.d., a data de óbito é acessível no sistema de informação SICO, e a demais informação reside nos sistemas das instituições hospitalares.
15 – Em relação aos dados de identificação (número de SNS e data de nascimento), para agregação da informação, eles existem em todos estes sistemas.
III. Sistema de informação e medidas mitigadoras do impacto sobre os dados pessoais
16 – A informação referida supra, no ponto 3, a remeter pelos sistemas indicados no ponto 14, deverá ter por referência um qualquer elemento que a relacione com a doença Covid, seja o registo das vacinas contra a Covid, seja o resultado positivo do teste, seja esta a patologia codificada no óbito ou os dados de internamento em situações de doença.
17 – A informação recebida será guardada em base de dados, num servidor (máquina virtual) residente no Estado Maior General das Forças Armadas (EMGFA) e o acesso aplicacional será efetuado através de duas máquinas específicas (PCs), que se articulam de acordo com a arquitetura tecnolóigica existente.
18 – Para cumprimento do regime previsto no RGPD, os dados guardados na base de dados estão cifrados, as comunicações com os equipamentos realizar-se-ão por VPN com túnel IPSec e existirá proteção entre serviços, por recurso à autenticação LDAP, recorrendo ao mecanismo de TLS.
19 – Os dados serão mantidos e usados em sistema de “black box”, sendo utilizado os softwares de análise estatística Matlab e SPSS, estando definido um perfil de acesso para cada um deles.
20 – As contas de utilizadores serão individuais, permitindo a identificação unívoca.
21 – Através da utilização destes mecanismos, é garantido que não haverá acesso a dados individualizados, mas tão somente a estatísticas e indicadores.
22 – O sistema estará dotado de registo de logs, para garantir a sua auditabilidade.
IV. Acesso a dados identificados e medidas de mitigação do impacto sobre dados pessoais
23 – Tendo em conta o que se expôs supra, nos pontos 9 e 10, o acesso a dados pessoais identificados terá natureza excecional e a finalidade terá de estar contida nas atribuições e competências da Task Force. Este acesso só poderá ocorrer por determinação da Ministra da Saúde, nos termos do nº 4 do artigo 5º da Lei nº 82/2009, de 4 de abril, alterada pela Lei nº 135/2013, de 4 de outubro.
24 – Mas, para que tal seja possível, a medida indicada supra, no ponto 19, terá de ser afastada, por ser necessária a invocação da chave de cifra. Uma vez que daí decorre um risco significativo para os direitos e liberdades dos titulares dos dados, impõe-se a adoção de outras medidas que sejam aptas a mitigar esse novo risco.
25 – Tais medidas passarão por mecanismos que, não impedindo em absoluto o acesso aos dados identificados (número do SNS), obriguem o utilizador a justicá-lo e espoletem aleras ao(s) superior(es) hierárquico(s), que, desse modo, poderá(ão) intervir na eventualidade de acesso indevido. É exemplo deste tipo de mecanismos o denominado sistema de Break-the-Glass.
III. Conclusão
26 – Com os fundamentos acima expostos, desde que adotadas as medidas elencadas supra, nos pontos 18 a 20 e 25, a CNPD nada tem a opor ao tratamento de dados pessoais objeto de apreciação.
27 – A CNPD reitera o caráter excecional e transitório de uma solução normativa com este sentido que, eventualmente, venha a ser adotada, recomendando que, logo que cesse a necessidade deste tratamento, seja eliminada a base de dados para este efeito criada e fechados os perfis de acesso.
Lisboa, 18 de agosto de 2021
Filipa Calvão (Presidente, que relatou)