Artigo 29.º - Tratamento de dados de saúde e dados genéticos - Situações específicas de tratamento de dados pessoais - Lei n.º 58/2019 - RGPD

O Artigo 29 da Lei n.º 58/2019 trata do tratamento de dados de saúde e dados genéticos. Essa lei assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, também conhecido como Regulamento Geral de Proteção de Dados (RGPD).

De acordo com o artigo, o tratamento de dados de saúde e dados genéticos deve reger-se pelo princípio da necessidade de conhecer a informação. O responsável pelo tratamento dos dados é obrigado a notificar o titular dos dados de qualquer acesso aos seus dados pessoais. Isso significa que é necessário implementar um mecanismo de rastreabilidade e notificação para garantir a transparência e proteção dos dados de saúde e genéticos.

Vale ressaltar que a lei não se aplica aos ficheiros de dados pessoais do Sistema de Informações da República Portuguesa, que possui regras específicas. A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e desta lei.

CAPÍTULO VI - Situações específicas de tratamento de dados pessoais

1. Nos tratamentos de dados de saúde e de dados genéticos, o acesso a dados pessoais rege-se pelo princípio da necessidade de conhecer a informação.
2. Nos casos previstos nas alíneas h) e i) do n.º 2 do artigo 9.º do RGPD, o tratamento dos dados previstos no n.º 1 do mesmo artigo deve ser efetuado por um profissional obrigado a sigilo ou por outra pessoa sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.
3. O acesso aos dados a que alude o número anterior é feito exclusivamente de forma eletrónica, salvo impossibilidade técnica ou expressa indicação em contrário do titular dos dados, sendo vedada a sua divulgação ou transmissão posterior.
4. Os titulares de órgãos, trabalhadores e prestadores de serviços do responsável pelo tratamento de dados de saúde e de dados genéticos, o encarregado de proteção de dados, os estudantes e investigadores na área da saúde e da genética e todos os profissionais de saúde que tenham acesso a dados relativos à saúde estão obrigados a um dever de sigilo.
5. O dever de sigilo referido no número anterior é também aplicável a todos os titulares de órgãos e trabalhadores que, no contexto do acompanhamento, financiamento ou fiscalização da atividade de prestação de cuidados de saúde, tenham acesso a dados relativos à saúde.
6. O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.
7. As medidas e os requisitos técnicos mínimos de segurança inerentes ao tratamento de dados a que alude o n.º 1 são aprovados por portaria dos membros do Governo responsáveis pelas áreas da saúde e da justiça, que deve regulamentar, nomeadamente, as seguintes matérias:
   1. Estabelecimento de permissões de acesso aos dados pessoais diferenciados, em razão da necessidade de conhecer e da segregação de funções;
   2. Requisitos de autenticação prévia de quem acede;
   3. Registo eletrónico dos acessos e dos dados acedidos.