1) O documento discute a implementação do Regulamento Geral de Proteção de Dados (RGPD) no setor de saúde, enfatizando a importância de abordagens de segurança e gestão de dados. 2) É essencial garantir a privacidade, confidencialidade e integridade dos dados de pacientes através de auditorias, certificações de sistemas e uma visão de risco zero para incidentes. 3) As organizações de saúde devem mapear processos, categorizar dados, auditar fluxos de dados e soluções

1. NOTA PRÉVIA
Numa sociedade ultra concorrencial, em constante transformação, onde a metainformação se transformou
num ativo imensurável, existem, neste contexto, fraquezas e potencialidades, que importa acautelar.
Nesta apresentação, focalizamos, o que nos parece mais pertinente, para a implementação do Regulamento
Geral de Proteção de Dados em contextos de prestação de Cuidados de Saúde.
Desde logo, admitimos, que é um palco complicado! Deste modo, percebemos, que a sua implementação nos
merece superior sabedoria e não menos cautelas. Todavia, na certeza, que serão as organizações públicas a
corporizar e cimentar este processo.
Realisticamente, a sua implementação é uma obrigatoriedade. Ao contrário do que já lemos, mitigar a sua
implementação, trás mais custos que benefícios.
Arrastar este processo para alem do razoável, não nos parece fazer sentido!
Na abordagem que aqui realizamos, não sobrepomos nenhum dos ângulos de eventual abordagem: normativo,
informático, profissional, de entre outros, dado que todos eles têm a sua importância relativa, e, é nossa
obrigação, aborda-los pela mesma latitude.
Importa então que o RGPD, corporize um ativo, de cada uma das organizações de saúde, que garantem a
privacidade e a confidencialidade da informação que produzem, tornando a segurança dos dados, numa
vantagem competitiva.
Baltazar Fernandes
bcfernandes@sapo.pt

3. Segurança global dos dados
Segurança local dos dados
Daí que importa abordar o RGPD a nível local e a nível global

4. A Information Commissioner’s
Office anunciou esta quarta-feira a
decisão final de multar a empresa
Facebook no valor mais alto
segundo as regras anteriores
sobre proteção de dados. Em
causa está o escândalo que
envolveu a empresa de análise de
dados Cambridge Analytica.
RTP25 Out, 2018, 13:44 | Mundo
Este representa o valor [560 mil euros] mais alto possível segundo as regras sobre proteção de dados prévias à
alteração de maio. A quantia deve ser paga até 24 de novembro de 2018.
4%
560.000€
?
Estarão os nossos dados seguros?!
http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-
euros-por-permitir-acessos-indevidos-a-processos-clinicos

6. • Regulamento Geral de Proteção de Dados
• Uma aproximação ao setor de saúde
As organizações públicas, serão o
marco norteador deste novo
enquadramento normativo.

7. Análise &Reflexão
Da reflexão à ação, ou seja, o período de reflexão
terminou, teoricamente, na data de entrada em
vigor do RGPD, importa então agir!
O RGPD é igual a governação organizacional, que
implica comunicação e sensibilização, em vista a
prevenção da confiabilidade, privacidade,
Integridade e consequentemente da segurança
dos dados, isto é, a mudança de paradigma.
Primeira Mensagem
• Nunca reduzir o RGPD, ao contexto informático,
ou jurídico!
• Pois neste caso, são duas dimensões que se
entrelaçam!
Segunda Mensagem
• Assim sendo duas dimensões que se entrelaçam,
não podemos confundir segurança informática
com proteção de dados!

8. Umaevidência
nestecontexto:
A partir do momento que nos
conectamos, começa a nossa interação
em rede;
…só podemos controlar os riscos de
tratamentos e segurança dos dados que
conhecemos…
Atenção particular às iniciativas
individuais (BD locais, aplicações,
internet & nuvem.

9. Sistemas informáticos/Sistemas
de informação
Sistemas de
informação::
Atores > Processos >
Informação
Os operadores,
Que interagem
reciprocamente
com:
Os sistemas
informáticos:
Material >
Aplicativos > Softwares

10. • Empresas/Cidadãos/Colaboradores
CIDADANIA
• O processo de implementação do RGPD é uma evolução [entenda-
se mudança de paradigma] e não uma revolução, por isso deve ter
em conta:
• A gestão da segurança dos dados: privacidade, fidelidade e
integridade dos dados dos cidadãos, das empresas e dos seus
colaboradores.
• Assim, deve fundir-se na participação e não reação, de todos os
colaboradores, para sua segurança, e de todos os que fazem parte
do nosso envolvimento organizacional e global.

11. Confidencialidade é a propriedade da
informação garantindo que não estará
disponível ou será divulgada a indivíduos,
entidades ou processos sem autorização.
Noutras palavras, confidencialidade é a
garantia da salvaguarda das informações
dadas pessoalmente, confiando-nos na sua
proteção.
Privacidade é o direito à
reserva de informações
pessoais e da própria vida
pessoal: the right to be let
alone, segundo o jurista norte-
americano Louis Brandeis, que
provavelmente, foi o primeiro
a formular o conceito de
direito à privacidade,
juntamente com Samuel
Warren
Integridade: é à capacidade de
garantir a corporização da
informação, salvaguardando a
desintegração ou separação das
suas partes, ou seja, prevenir,
que seja danificada, ou
corrompida!

12. No que respeita à privacidade da informação, a proposta de Regulamento
das comunicações eletrónicas (ePrivacy) -Prevê a revogação do
Regulamento da (CE) n.º 45 – 2001. do Parlamento Europeu e do
Conselho, de 18 de dezembro de 2000 que ainda está em vigor,
procurando alinhar as normas para as comunicações eletrónicas, com o
RGPD, alargando as regras a novos prestadores de serviços de plataformas
digitais como: facebook, watsapp, Messenger, Skype etc.
Enquadrar os requisitos e a restrição do direito ao
esquecimento;(1)
Abordagem digital e manual, como harmonizar
estas duas realidades, em contextos de prestação
de cuidados de saúde e em sede RGPD.
A Segurança, enquanto ativo, da
informação, será, garantidamente,
uma das vantagens competitivas
das Organizações
(1) Este direito é afastado na exata medida em que o tratamento se revele necessário por
motivos de saúde ou interesse público .

13. Gestão da Segurança dos Dados
Tipos de
segurança
• Física
• Armazenamento
• Acesso [Gestão]
• Rede interna
• Internet
Garantia
de:
• Qualidade
• Classificação dos dados
• Qualidade da informação
• Propósito e limitação
• Dos direitos do cidadão
• Do consentimento
Finalidade: > Os dados produzidos e disponibilizados são para um fim específico, previamente autorizado?
Proporcionalidade e pertinência: > a informação, que produzimos, é adequada ao fim preciso!
Durabilidade da conservação: > A informação individual, tem limite temporal, não tem durabilidade indefinida!
A gestão e privacidade implica pela parte da informação produzida:
Cidadania e Responsabilidade!

14. • Etapas,para Cumprir o GDPR [https://gdpr-
governance.pt/free_guide.html];
• GDPR [https://eugdpr.org/]
Clarificando o conceito!
GDPR; RGPD; REPD?!......
Embora, não abunde na bibliografia, ainda se encontram, à data, três tipos
de conceitos:
GDPR > General Data Protection Regulation;
REPD > Regulamento Europeu de Proteção de Dados,
[https://www.sgeconomia.gov.pt/destaques/rgpd-faculdade-de-direito-da-universidade-de-lisboa-24-de-
outubro-span-classnovo-novospan.aspx]
RGPD > Regulamento Geral de Proteção de Dados.
Obviamente, que o RGPD, trouxe muitas oportunidades de negócio, que cada
um divulga e explora da melhor maneira que entende e sabe.
Assim, desde a formação, até a implementação do RGPD, tudo eram, e ainda
são, oportunidades que alguns não descoram.
A metodologia de introdução também varia, como aqui pretendemos deixar
evidente.

15. O Compromisso
Um dos objetivos do Regulamento Geral de Proteção de
Dados é fortalecer os direitos dos indivíduos e capacitar os
atores. E quanto ao processamento de dados pessoais de
saúde nesta nova configuração?
• A partir de 25 de maio de 2018, com a entrada em
vigor do Regulamento Geral sobre a Proteção de
Dados, passará a existir um conjunto único, de
regras de proteção de dados, para todas as
empresas ativas na UE, independentemente da sua
localização.
• Regras de proteção de dados mais rigorosas
significam:
✓ um maior controlo dos cidadãos sobre os seus dados
pessoais
✓ condições mais equitativas para as empresas
• [https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-
reform-eu-data-protection-rules_pt]

16. Privacy Impact Assessment – “PIA”.
Antes do início de qualquer operação de
tratamento de dados, e sempre que a
mesma seja considerada de risco, as
organizações do SNS devem realizar
uma análise do impacto destas sobre a
privacidade, confidencialidade e
integridade dos dados processados. Maior responsabilização na seleção das
entidades externas.
O RGPD cria uma maior responsabilização na
seleção dos prestadores de serviços, sendo
impostas obrigações claras e
precisas neste sentido.

17. Visão estratégica da segurança da informação
Informação sobre o sistema de segurança;
O todo & a parte (contendo/conteúdo);
O Hospital gere e processa dados de:
• Caráter pessoal/profissional e de terceiros prestadores;
• Dados dos utentes, na dimensão nominal;
• Dados de saúde num limite estático, ou contínuo, num dado
horizonte temporal, intra e interorganizacional;
• Os dados de contactos gerais: dos profissionais, dos utentes,
dos parceiros e subcontrantes;
• Dados estes que circulam e, são acedidos em múltiplas
plataformas, por profissionais diversos, a diferentes níveis, e
em vários contextos geográficos .

18. A análise
A complexidade do sistemas de informação em saúde
Gestão da doença e
intervenções dos
Profissionais
Soluções informáticas
Médicas e outras [Sclínico,
SAM. SAPE, etc.]
Gestão de
Pessoal
RH/Biométricas
Ficheiros de outro
programas :
*.log; *.tmp e
outputs de todos
os outros
aplicativos
Partilha
Correio, contatos,
Nuvem, ….
A importância mapeamento dos processos, da categorização dos dados;
Utilitários de proteção e segurança dos metadados;
Estabelecer níveis de segurança e qualidade adequados, por defeito, adotar a norma ISO
27000

19. 1
• Auditar diária e constantemente;
• Garantir a gestão e a governação dos dados, desde o nível
operacional,
• Adaptar um sistema de qualidade;
2
• Realizar auditorias diárias;
• Certificar os sistemas de privacidade da informação;
• Optarmos por visão de incidente nulo;
3
• Notificar dentro do prazo, a ocorrência de eventuais incidentes;
• Equilibrar a segurança e os potenciais riscos….
•Uma unidade de saúde estará em conformidade quando:
A produção de meta informação, torna-se num de risco potencial, onde a Organização deve garantir o
controle!

20. O RGTD, implica meios como:
Conhecimento do processamento
de dados:
O quê, quando e porquê?
abordagem do processo, por
profissão;
abordagem pelo potencial risco,
Fluxos de dados, soluções,
localizações e atores.
O RGPD implica Registo de
tratamentos:
Informação e sensibilização de
todos os atores [doentes,
colaboradores, parceiros]
Proteger os dados de maneira
adequada e ajustada;
Arquivo das evidências de uma boa
gestão e da utilização responsável
dos dados

21. Complexidade do sistema de informação
Informação dos níveis de segurança
Alto Médio Baixo Nulo
Soluções Informáticas:
Gerais, Específicas e Aplicações;
Ficheiros do sistema: txt. Xls,
Sav, log, tmp…
Correio, endereços, BYOD
Acesso à rede:
Terceiros usuários [subcontratos]
Colaboradores ligados à rede;
Periféricos médicos;
WIFI, PWD e afins
DADOS

22. Evolução da aproximação à segurança dos dados:
complementaridade das abordagens “segurança e gestão” Análise lógica do acontecimento
Identificação dos pontos
vulneráveis;
Mapeamento da intervenção:
Aplicação do protocolo
Remoção dos pontos vulneráveis!
Segurança da Informação
> “abordagem tecnológica”
Abordagem pela qualidade
Gestão Física e lógica
Cópias de segurança
RGDP
Firewall/DNS/Proxy; antimalware; Phishing

23. Da Implementação a conformidade do RGPD
Gestão dos dados implica:
Políticas, regras, categorização e
consentimento, …. certificação!
Cumprimento das normas internas
relativas à privacidade
O quê?
Dados Internos,
Estruturados, não estruturados.
Datacenter/local/móvel/nuvem.
Software, equipamento médico,
ficheiros, informação de suporte em
papel .
Dados conexos, e.g. “upgrades” não
auditados, projetos internos
paralelos, etc.
Gestão do ciclo de vida
dos dados:
identificação, classificação,
tratamento, difusão, encriptação,
armazenamento, arquivo e
destruição.
Aplicativo A….; Periférico B…. ….. …..
[ Privacidade] > Controle interno (da
organização, sobre terceiros
prestadores)
Partes interessadas: Gestão de topo,
responsável da proteção de dados,
auditor interno, sistemas de
informação, sistemas de compras,
comissão de ética, …
Gestão da
segurança:
Monitorização;
gestão dos
direitos; reporte
de incidente.
Sensibilização e
comunicação
Colaboradores
internos e externos,
parceiros e utentes.
Gestão operacional:
Declaração espontânea; certificação
interna.
Gestão dos registos e tratamento dos
incidentes.

24. A garantia da organização e segurança dos dados está, no equilíbrio, da governação e gestão operacional”
Governação: [Gestão de topo]
✓ define as regras;
✓ Dá os meios necessários;
✓ Valida as auditorias
Gestão operacional:
Equipa composta pelo Responsável de
proteção de dados, dos sistemas de
informação; responsável da segurança
interna e das diferentes categorias
profissionais, que promovem:
✓ O mapeamento dos processamentos e a categorização
dos dados;
✓ Elaboram recomendações e definem normas;
✓ Efetuam auditorias e asseguram a segurança global;
✓ Assumem a manutenção;
✓ Efetuam a monitorização e o registo de furtos e piratarias;
✓ Corrigem e analisam os incidentes;
✓ Asseguram, reporte dos incidentes às autoridades;
✓ Mantém atualizado os registos dos incidentes.

25. https://ec.europa.eu/justice/smedataprotect/index_en.htm
www.ha-sante.fr
https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=OJ:L:2018:127:FULL&from=PT#%FE%FF%00O%00J%00X%000%000%000%002%000%00
1%00P%00T
http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN
https:// www.cnil.fr/fr/se - preparer - au - reglement – europeen
https://www.health.belgium.be/sites/default/files/uploads/fields/fpshealth_theme_file/gdpr_exple_implementati
on_cusl.pdf
Referências