2017/02/14

Proposta de criação do Registo Oncológico Nacional (RON)

Marco Alexandre Saias aborda, num artigo para a Advocatus, a proposta de criação do Registo Oncológico Nacional (RON) e as objeções levantadas pela Comissão Nacional de Proteção de Dados (CNPD).

Com a Proposta de criação do Registo Oncológico Nacional (RON) muitas foram as notícias a respeito do parecer negativo da Comissão Nacional de Proteção de Dados (CNPD).

O RON pretende centralizar a monitorização da atividade realizada pelas instituições, a avaliação da efetividade dos rastreios organizados, a vigilância epidemiológica, a monitorização da efetividade terapêutica, a investigação e a monitorização da efetividade de medicamentos e dispositivos médicos na área das doenças oncológicas.

Entre as objeções levantadas pela CNPD, refere-se o risco de exposição e discriminação que tal registo pode criar para os doentes, o que nos parece correto, uma vez que ao recolher os dados “número de utente" e "número de processo clínico" (v. 4(1)(a)), tratam-se dados pessoais que identificam o doente, o que, face às finalidades a que o tratamento se destina, não se nos afigura como relevante e necessário para essa finalidade (v. principio da minimização dos dados, 5(1)(d) do Regulamento).

Mais relevante é esta objeção se atendermos a:

  1. A Proposta identifica sete perfis de utilizadores com acesso ao RON (7(2)), ou seja, um aumento significativo do risco;
  2. A Proposta remete a temática da segurança da informação (10) para adoção das medidas especiais de segurança referidas no 15(1) da Lei de Proteção de Dados Pessoais (LPD).

Face ao Regulamento[1], não vemos como se incorporam princípios de privacy by design e by default, a pseudonimização, cifragem, etc., pois ao remeter para a LPD, esta é mais frágil.

É igualmente obrigação do responsável pelo tratamento manter os dados atualizados e não uma obrigação para os doentes, sujeita ainda a pedido por escrito.

Não se percebe de que forma o tratamento será transparente e informado, p.e., no conjunto das informações a prestar.

O Parecer refere também a confusão entre entidade “responsável pelo tratamento de dados pessoais" e "responsável pela administração da base" (epígrafe e nº 1, do artigo 6º da Proposta), confusão conceptual que deve ser retificada para uma identificação objetiva do responsável pelo tratamento.

Seria igualmente oportuno e transparente, em nosso entender, perceber se existirão subcontratantes envolvidos no tratamento; de que forma se obtêm destes garantias suficientes; e se a subcontratação será objeto de contrato ou outro ato (28(3) do Regulamento).

Quando faltam quinze meses para o Regulamento ser aplicável (25/05/2018) é inquietante que o Governo e a Administração Pública (obrigada a designar um encarregado da proteção de dados (37(1)(a)) do Regulamento)), continuem a legislar e atuar como se o amanhã não existisse, afetando os cidadãos nos seus direitos e liberdades.


[1] Uma vez que o Regulamento 2016/679 (Regulamento Geral sobre a Proteção de Dados) já está em vigor desde o dia 25/05/2017 e o mesmo se aplica às entidades públicas (2) tomaremos o mesmo por referência.