Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English

 

Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

Parecer nº 1/95

 

Em 12 de Janeiro de 1995 deu entrada na Comissão Nacional de Protecção de Dados Pessoais Informatizados, remetido por S. Exª o Sr. Secretário de Estado dos Assuntos Parlamentares, para os efeitos previstos na Lei 10/91 de 29 de Abril, o projecto de diploma que visa criar o cartão de identificação do utente do Serviço Nacional de Saúde (SNA).

Na sequência de contactos estabelecidos com o Ministério da Saúde, que tinham em vista perceber que tipo de cartão se pretendia criar (em papel ou em suporte magnético) e o seu "modo de produção", foi remetido pelo Chefe de Gabinete de S. Exª o Secretário de Estado da Saúde, em 6/2/95, um novo projecto de diploma, com alterações substanciais.

Feita uma abordagem inicial do projecto de diploma foram solicitados esclarecimentos, os quais foram prestados em ofício recebido em 8/3/95.

Reportando-se o diploma em análise ao tratamento de dados sensíveis (estado de saúde) compete à Comissão a emissão do respectivo parecer, nos termos das disposições combinadas dos artigos 8º nº 1, al. a), 11º nº 1 al. b) , 17º nº 1 e 18 da Lei 10/91 de 29 de Abril, na redacção introduzida pela Lei 28/94 de 28 de Agosto.

I. Aspectos que nos sugerem comentários e objecções

1. Introdução

  1. A criação de um cartão de identificação do utente do SNS deve ser abordada no contexto da produção legislativa que, nos últimos anos, foi produzida e equacionada numa perspectiva de modernização e automatização dos serviços dependentes das "regiões de saúde" e das entidades que têm a seu cargo a prestação de cuidados de saúde.
  1. Merecem particular referência os diplomas que aprovaram:
  • A Lei de Bases da Saúde (Lei 48/90 de 24 de Agosto);
  • O Regime das taxas moderadoras (D. L. 54/92 de 11 de Abril);
  • O Regime de comparticipação do Estado no preço dos medicamentos (D. L. 118/92 de 25 de Junho);
  • O Estatuto do SNS (D. L. 11/93 de 15 de Janeiro);
  • A Orgânica do Instituto de Gestão Informática e Financeira da Saúde (D. L. 308/93 de 2 de Setembro).

 

O diploma em análise visa criar um mecanismo fundamental no domínio da identificação dos utentes do Serviço Nacional de Saúde, permitir uma uniformização dos suportes de identificação e definir a situação exacta de cada um, garantir a "concretização dos direitos dos seus titulares, designadamente o acesso a actividades de protecção da saúde, a prestação de cuidados, fornecimento de medicamentos, quer pelos serviços próprios do SNS, quer pelas entidades privadas com ele convencionadas" (cf. preâmbulo). Porém, este objectivo só será conseguido através da efectiva automatização dos serviços envolvidos e a sua ligação em rede.

Este cartão comprova a identidade do seu titular perante "as instituições e serviços integrados no SNS e as entidades privadas com actividade na área da saúde"( artº 2º nº1 ).

Assinale-se que este cartão é de emissão gratuita (nº2) e tem carácter substitutivo, tendo desaparecido a referência que constava do preâmbulo relativamente à sua obrigatoriedade, princípio que não tinha suporte no conteúdo do diploma.

Muito embora esteja fora das competências desta Comissão, anota-se que uma interpretação ou aplicação mais restritiva do artº 3º (condicionadora da prestação de cuidados de saúde à apresentação do cartão) pode vir a suscitar objecções ao nível da constitucionalidade do preceito, na medida em que poderia colidir com a consagração constitucional do "direito à saúde" (vd. artº 64 da C.R. ).

A instituição deste cartão tem já resultados visíveis em relação á fácil identificação da pessoa e à definição dos seus direitos enquanto utente do SNS.

Neste contexto, o presente parecer tem em conta, em primeira linha, as implicações determinantes da criação do cartão. Serão considerados, ainda, os reflexos do sistema proposto em sede de comunicação de dados às "instituições e serviços prestadores de cuidados de saúde integrados no SNS".

As objecções apresentadas alertam para algumas imprecisões verificadas e pretendem dar um contributo para conciliar os princípios de segurança e simplificação de procedimentos, que o diploma se propõe atingir, com o direito à intimidade e à protecção da privacidade dos cidadãos.

 

2. Serviços encarregados do processamento da informação

A alínea c) do artº 18º da Lei 10/91 impõe a necessidade de virem indicados na lei quais os "serviços encarregados do processamento da informação".

O processamento e acesso à informação é um dos aspectos mais importantes a considerar, atento o conteúdo dos dados e a natureza sensível dos mesmos.

O diploma em análise estabelece o seguinte mecanismo:

Os "serviços competentes" nos termos do nº 1 do artº 2º solicitam ao interessado o preenchimento de um formulário, os quais fazem a comprovação de vários dados(artº 4º nº 1 e 2º nº 1);

  1. Estes serviços remetem o formulário às administrações regionais de saúde para os efeitos do artº 13º nº 1 (parece que seria útil a inclusão, no artº 13º nº 2, de norma que estabelecesse a remessa dos formulários às ARSs).
  1.  

Anote-se, em primeiro lugar, que não parece estar excluída a possibilidade legal de "entidades privadas com actividade na área da saúde" poderem vir a solicitar o preenchimento do formulário, em face da formulação genérica constante no artº 4º nº 1 ("serviços competentes"). É desejável que, se esta possibilidade se verificar, seja definido o modo de participação no processo de recolha e o "manuseamento" dessa informação por parte daquelas entidades.

O artº 4º nº 3 sugere-nos as seguintes observações:

É utilizada uma terminologia não uniforme quando se fala em "registo de identificação" para se referir ao "formulário de identificação" (o que acontece, igualmente, no artº 13º nº 2).

Lembra-se, ainda, que o modelo a aprovar, por Portaria, deve respeitar os princípios estabelecidos no disposto no artº 22 da Lei 10/91.

 

Segundo nos foi informado, o cartão a produzir é um cartão em suporte de papel (apontando-se a sua regulamentação por Portaria, nos termos do artº 5º nº 2).

Entende esta Comissão, nos termos do artº 17º nº 1 da Lei 10/91, que as características do cartão e a "estrutura" do número devem constar da lei especial. Só as dimensões e modelo poderão ser aprovados por Portaria (vd. artº 5º nº 2).

 

As características do cartão são determinantes em relação ao modo de "circulação da informação" e acesso aos dados, com reflexos decisivos ao nível da segurança de todo o sistema.

Em relação ao número de identificação veremos, no ponto seguinte, as razões justificativas.

Em face da metodologia indicada, conclui-se que a ARS é o serviço encarregado do processamento da informação, sendo aconselhável, por isso, uma referência expressa a esse facto no artº 19º nº 1 (...nomeadamente pelo seu processamento, gestão e segurança).

3. Dados pessoais contidos em cada registo

  1. Sendo o cartão produzido automaticamente, com recurso aos elementos que constam na base de dados, interessa apurar se o seu conteúdo não suscita qualquer discriminação ou não é susceptível de se traduzir num risco de intromissão na vida privada.
  1. Para apreciação deste aspecto interessa considerar o que vem proposto nos artigos 5º nº 2 , 6º e 13º nº 1 do projecto.
  1. Esta Comissão não suscita objecções à constituição de uma base de dados onde seja registada a generalidade da informação indicada no artº 13º nº 1.
  1. Em relação à informação que consta da Base de Dados deve referir-se o seguinte:
  1. Na linha do que foi dito, deve ser definida neste diploma a estrutura do número de identificação.
  1.  
  1. O artº 35º nº 5 da Constituição da República proíbe a atribuição de um número nacional único aos cidadãos. O artº 24 nº 2 da Lei 10/91 estabelece que "não é permitida a atribuição de um mesmo número de cidadão para os efeitos de interconexão de ficheiros automatizados de dados pessoais que contenham informações de carácter médico".
  1. O que se pretende proibir é a atribuição de um "número informaticamente significativo", isto é, do qual se permita deduzir alguma informação de carácter pessoal sobre os elementos de identificação ou de caracterização do cidadão.
  1. A utilização de um número único noutros ficheiros que tratam dados de saúde pode determinar algum risco de interconexão de informação que o artº 24º nº 2 proibe (sobre esta matéria veja-se José António Barreiros - "Informática, Liberdades e Privacidade" in Estudos Sobre a Constituição Vol. I, 1977, pág. 119 e Garcia Marques - Informática e Liberdade, pág. 119).
  1. Entende-se que, no mínimo, deveria ser utilizada uma formulação idêntica à que consta do artº 2º nº 2 do D. L. 463/79 de 30 de Novembro, relativamente ao número de contribuinte, quando se refere a um "número sequencial".
  1. Neste momento, a adopção de um número "não significativo" não levanta objecções. Anota-se, porém, que utilização generalizada deste número em bases de dados sectoriais em instituições e serviços prestadores de cuidados de saúde, servindo de "chave de acesso" uniforme e com potencialidades para estabelecer relacionamento de informação, pode vir a ser condicionado.
  1. Não parece suficientemente justificada a inclusão na base de dados do número de Bilhete de Identidade ou da cédula pessoal.
  1.  
  1. A identificação do cidadão e a resolução de casos de homonímia será possível através de uma validação dos campos relativos à naturalidade e data de nascimento. Será sempre possível, ainda, o confronto dos formulários.
  1. A inclusão do bilhete de identidade, nomeadamente como "chave de pesquisa" , envolve um risco de cruzamento desta informação com outra que seja ou venha a ser tratada automaticamente pelos serviços da ARS ou pelas instituições e serviços prestadores de cuidados de saúde e que tenham como "chave de pesquisa" o Nº de BI (vd. no mesmo sentido o parecer da PGR de 10/5/90 in DR IIª Série de 17/12/90, pág. 13755).
  1. Pode haver risco de interconexão de ficheiros se for utilizado este dado em mais de um ficheiro, não se vendo que haja motivos relevantes que justifiquem a inclusão na base de dados do número de Bilhete de Identidade.
  1. O número da cédula pessoal, só por si, não é elemento de identificação uma vez que é necessário indicar a respectiva Conservatória. Tanto quanto se sabe, o novo Código de Registo Civil, em fase de revisão, aponta para a eliminação da cédula pessoal.
  1. Estes dados são excessivos em relação à finalidade do ficheiro, pelo que não devem ser registados nos termos do artº 29º da Lei 10/91.

 

4. Finalidade dos dados e entidades a que podem ser transmitidas e em que condições

Entende-se que devem ser respeitados e definidos princípios básicos no domínio do acesso directo (em linha) ou da transmissão (em suporte magnético) da informação recolhida.

Assim:

Só é admissível o acesso directo ou a transmissão de dados quando se destinam a ser utilizados com a finalidade determinante da recolha (artº 8º nº 1 al. a) e artº 15 da Lei 10/91);

A utilização de dados para finalidades não determinantes da recolha carece de preceito legal que a admita e autorização da CNPDPI (artº 8º nº 1 al c) da Lei 10/91):

Devem ser concretizadas, tanto quanto possível , as entidades a quem podem ser transmitidos os dados e em que condições (vg. condicionar o acesso à identificação do posto de trabalho do utilizador - por "password"-definir as seguranças adoptadas ou proceder ao registo, no sistema informático, das pesquisas ou tentativas de pesquisa efectuadas, e por quem, durante um certo tempo).

O artº 14, nº 1 autoriza o acesso às "instituições e serviços prestadores de cuidados de saúde integrados no SNS" e ao "Instituto de Gestão Informática e Financeira da Saúde".

Este diploma, no contexto dos princípios que definem o "sistema de saúde", deve clarificar quais são as instituições prestadoras de cuidados de saúde com acesso à informação.

O princípio básico a reter é o princípio da finalidade consignado no artº 15º da Lei 10/91: "os dados pessoais só podem ser utilizados para a finalidade determinante da sua recolha, salvo autorização concedida por lei". Daí que, só poderá aceder à informação quem prestar cuidados de saúde e deve limitar o acesso às exigências advenientes da prestação desses cuidados.

Mesmo aqui, o acesso em linha deverá ser autorizado expressamente pelo responsável pela base de dados, verificando, previamente, a legitimidade e interesse da instituição em aceder, as medidas de segurança adoptadas (passwords de identificação dos utilizadores) e a confidencialidade, com salvaguarda e controle de que os dados são utilizados com respeito pelo princípio da finalidade de recolha.

Os procedimentos relativos à autorização de acesso, por parte do responsável, devem ser regulamentados expressamente neste diploma.

Em relação à transmissão noutro suporte informático (vg. disquetes, bandas magnéticas) não apreendeu esta Comissão que tipo de solução se pretende adoptar. O esclarecimento fornecido, através do ofício datado de 8/3/95, não clarificou as dúvidas que se suscitavam.

Se o cartão de identificação de utente comprova a identidade do seu titular perante aquelas instituições (artº 2º nº 1) e é apresentado para prestação de cuidados de saúde e outros serviços conexos (artº 3º nº 1) não resulta claro do projecto, nem dos esclarecimento fornecidos, que seja necessário haver uma "base de dados local" com informação similar à que consta do cartão.

A transmissão de dados "em suporte informático" poder trazer, ainda, alguns riscos que devem ser equacionados:

  • Traduz-se, necessariamente, na existência de informação desactualizada (haverá um período para transmissão de bandas pelos diversos serviços? Qual?) ;
  • Propicia a utilização dessa informação com finalidade diferente daquela que determinou a sua recolha, com violação do disposto no artº 15º da Lei 10/91.
  • Possibilita o manuseamento e alteração dessa informação pelos serviços que a recebem, sendo fonte de criação de "bases de dados paralelas" e com finalidade diferenciada.

5. Categorias de pessoas que têm acesso à informação

  1. A Lei 10/91 exige, no artº 18 al. j), a especificação da "categoria de pessoas que têm acesso às informações".
  1. Depois da concretização das entidades a quem são transmitidos os dados, conforme exposto, interessa enumerar, tanto quanto possível, que pessoas - e as categorias - que acedem à informação.
  1. Dentro dos respectivos serviços, e atendendo a que é pressuposto que exista uma password que defina o "perfil do utilizador" em função da qualidade dos dados a que acede, nem a todas as pessoas deverá ser facultado o acesso. Também aqui deverá ser seguido o princípio da finalidade.
  1.  

6. Formas e condições sobre as quais as pessoas podem tomar conhecimento dos dados e correcção de inexactidões

O direito de informação, acesso e rectificação têm ampla consagração na Lei 10/91 e na Convenção nº 108 ratificada pelo Decreto do Presidente da República nº 21/93 de 9/7/93 (DR Iª Série -A de 20/8/93). O cidadão tem direito de ser informado sobre os dados pessoais que constam a seu respeito em ficheiro automatizado (artº 8º al. b) da Convenção e artº 13º ,27º e 28º da Lei 10/91) e exigir a sua rectificação (artº 8º al. c) da Convenção e artº 30º da Lei 10/91).

Os artigos 16º e 17º do projecto de diploma vieram regulamentar esta matéria.

Quando, no artº 16º nº 2, se fala na indicação do significado de "códigos e abreviaturas" só pode reportar-se à possibilidade de se codificarem alguns dos elementos descritos no artº 13º (vg. sexo, situações da al. g) ou qualidade de dador benévolo). Deve ficar claro que não é possível - porque viola o artº 18º al. d) da Lei 10/91- o registo de dados pessoais (ainda que por recurso a abreviaturas) que não constem da lei especial.

Em primeiro lugar, a informação será requerida à "entidade responsável" (artº 16º nº 3).

Porém, o alcance do direito de informação, através das instituições ou serviços a quem os dados são comunicados nos termos do artº 14º, deve ser definido no diploma.

 

No contexto do que foi referido, as instituições que recebem os dados "em suporte informático" (isto é, sem ser "em linha") não devem ser autorizadas a assegurar o exercício do direito de informação. A razão primordial é a de que este ficheiro não se identifica com a base de dados dos utentes do SNS. É uma base "alimentada" por dados pessoais recebidos de um outro ficheiro e que, por isso, tem autonomia própria e não há qualquer segurança em relação à sua actualização. Neste contexto, deve cumprir as exigências da Lei 10/91.

Se aquelas instituições se limitam a aceder - através de linha de transmissão de dados - ao ficheiro dos utentes do SNS, será aceitável que possam assegurar o direito de informação. Porém, este diploma poderia - de entre as instituições - eleger os serviços vocacionados para assegurar este direito.

Em relação ao direito de rectificação, deve ser especificado como se exerce este direito, a quem deve ser dirigido o pedido e quem procede à rectificação dos registos na base de dados.

Considerando as objecções alinhadas no ponto nº 2 (serviços encarregados do processamento da informação), e em face do disposto no artº 19º nº 1 do projecto, a única opção defensável é a de que só as Administrações Regionais de Saúde, na qualidade de responsáveis pela "gestão da base de dados", têm poderes para proceder às correspondentes rectificações. O artº 17º deve, assim, concretizar estes aspectos.

 

7 - Prazo de Conservação

A opção do artº 15º - que aponta para um "período estritamente necessário para os fins a que se destinam" - poderia ser menos imprecisa e vaga. Poderia ser conseguido um maior rigor se os dados fossem conservados enquanto o seu titular mantivesse a qualidade de utente do SNS.

 

II - CONCLUSÕES:

 

  1. Nos termos do artº 17º nº 1 da Lei 10/91, as características do cartão e a "estrutura" do número devem constar da lei especial.Só as dimensões e modelo poderão ser aprovados por Portaria (vd. artº 5º nº 2).
  2. A ARS é o serviço encarregado do processamento da informação, sendo desejável, por isso, uma referência expressa a esse facto no artº 19º nº 1.
  3. Tanto o artº 35º nº 5 da Constituição da República como o artº 24º nº 2 da Lei 10/91 proíbem a atribuição de um "número informaticamente significativo", razão pela qual deve ser definida no diploma a estrutura do "número de identificação".
  4. Não há motivos relevantes que justifiquem a inclusão do Nº de Bilhete de Identidade ou Cédula Pessoal na base de dados, sendo o registo destes dados excessivo em função da finalidade e susceptível de envolver risco de interconexão de ficheiros (cf. artº 29º da Lei 10/91).
  5. O diploma, no contexto dos princípios que definem o "sistema de saúde", deve clarificar quais as instituições prestadoras de cuidados de saúde com acesso directo à informação, bem como o processo de autorização (artº 18º al. f) da Lei 10/91).
  6. Os riscos da transmissão da informação "noutro suporte informático" devem ser considerados, não sendo de admitir a utilização do ficheiro para finalidade diversa dos motivos determinantes da recolha de dados (artº 18º al. f e 15º da Lei 10/91).

7. Deve ser especificado como se exerce o direito de rectificação e a quem deve ser dirigido o pedido( artº 8º al. m e artº 30 da Lei 10/91).

Lisboa, 15 de Março de 1995

Amadeu Francisco Ribeiro Guerra (Relator), Joaquim Seabra Lopes, Nuno Albuquerque Morais Sarmento, Luís José Durão Barroso, João Alfredo Massano Labescat da Silva, Mário Manuel Varges Gomes, Augusto Victor Coelho (Presidente).