EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 5cd081b0-cd14-11ea-adf7-01aa75ed71a1
Commission Implementing Decision 2019/1765 of 22 October 2019 providing the rules for the establishment, the management and the functioning of the network of national authorities responsible for eHealth, and repealing Implementing Decision 2011/890/EU (notified under document C(2019) 7460) (Text with EEA relevance)Text with EEA relevance
Consolidated text: Decisão de Execução (UE) 2019/1765 da Comissão, de 22 de outubro de 2019, que estabelece as regras para a criação, a gestão e o funcionamento da rede de autoridades nacionais responsáveis pela saúde em linha e que revoga a Decisão de Execução 2011/890/UE [notificada com o número C(2019) 7460] (Texto relevante para efeitos do EEE)Texto relevante para efeitos do EEE
Decisão de Execução (UE) 2019/1765 da Comissão, de 22 de outubro de 2019, que estabelece as regras para a criação, a gestão e o funcionamento da rede de autoridades nacionais responsáveis pela saúde em linha e que revoga a Decisão de Execução 2011/890/UE [notificada com o número C(2019) 7460] (Texto relevante para efeitos do EEE)Texto relevante para efeitos do EEE
02019D1765 — PT — 17.07.2020 — 001.001
Este texto constitui um instrumento de documentação e não tem qualquer efeito jurídico. As Instituições da União não assumem qualquer responsabilidade pelo respetivo conteúdo. As versões dos atos relevantes que fazem fé, incluindo os respetivos preâmbulos, são as publicadas no Jornal Oficial da União Europeia e encontram-se disponíveis no EUR-Lex. É possível aceder diretamente a esses textos oficiais através das ligações incluídas no presente documento
|
DECISÃO DE EXECUÇÃO (UE) 2019/1765 DA COMISSÃO de 22 de outubro de 2019 que estabelece as regras para a criação, a gestão e o funcionamento da rede de autoridades nacionais responsáveis pela saúde em linha e que revoga a Decisão de Execução 2011/890/UE [notificada com o número C(2019) 7460] (Texto relevante para efeitos do EEE) (JO L 270 de 24.10.2019, p. 83) |
Alterada por:
|
|
|
Jornal Oficial |
||
|
n.° |
página |
data |
||
|
L 227I |
1 |
16.7.2020 |
||
DECISÃO DE EXECUÇÃO (UE) 2019/1765 DA COMISSÃO
de 22 de outubro de 2019
que estabelece as regras para a criação, a gestão e o funcionamento da rede de autoridades nacionais responsáveis pela saúde em linha e que revoga a Decisão de Execução 2011/890/UE
[notificada com o número C(2019) 7460]
(Texto relevante para efeitos do EEE)
Artigo 1.o
Objeto
A presente decisão define as regras necessárias para a criação, a gestão e o funcionamento da rede de autoridades nacionais responsáveis pela saúde em linha, como previsto no artigo 14.o da Diretiva 2011/24/UE.
Artigo 2.o
Definições
1. Para efeitos da presente Decisão, entende-se por:
«Rede de saúde em linha», a rede voluntária que liga as autoridades nacionais responsáveis pela saúde em linha designadas pelos Estados-Membros e que prossegue os objetivos estabelecidos no artigo 14.o da Diretiva 2011/24/UE;
«Pontos de contacto nacionais para a saúde em linha», os pontos de acesso organizativos e técnicos para a prestação de serviços de informação de saúde em linha transfronteiras sob a responsabilidade dos Estados-Membros;
«Serviços de informação de saúde em linha transfronteiras», serviços existentes processados através dos pontos de contacto nacionais para a saúde em linha e de uma plataforma de serviços de base desenvolvida pela Comissão para efeitos de cuidados de saúde transfronteiras;
«Infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras», a infraestrutura que permite a prestação de serviços de informação de saúde linha transfronteiras através de pontos de contacto nacionais para a saúde em linha e da plataforma europeia de serviços de base. Esta infraestrutura inclui por um lado os serviços genéricos, tal como definidos no artigo 2.o, n.o 2, alínea e), do Regulamento (UE) n.o 283/2014, desenvolvidos pelos Estados-Membros, e por outro uma plataforma de serviços de base, definida no artigo 2.o, n.o 2, alínea d), desenvolvida pela Comissão;
«Outros serviços europeus partilhados de saúde em linha», serviços digitais que podem ser desenvolvidos no âmbito da rede de saúde em linha e partilhados entre Estados-Membros;
«Modelo de governação», um conjunto de regras relativas à designação de organismos que participam nos processos de tomada de decisão relativos à infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras ou outros serviços europeus partilhados de saúde em linha, desenvolvidos no âmbito da rede de saúde em linha, bem como uma descrição desses processos;
«Utilizador da aplicação», a pessoa na posse de um dispositivo inteligente que tenha descarregado e que aciona uma aplicação móvel aprovada de rastreio de contactos e de alerta;
«Rastreio de contactos», as medidas aplicadas a fim de localizar as pessoas que tenham sido expostas a uma fonte de uma ameaça transfronteiriça grave para a saúde na aceção do artigo 3.o, alínea c), da Decisão 1082/2013/UE do Parlamento Europeu e do Conselho ( 1 );
«Aplicação móvel nacional de rastreio de contactos e de alerta», uma aplicação informática aprovada a nível nacional que funciona em dispositivos inteligentes, nomeadamente telemóveis inteligentes, concebida geralmente para uma interação abrangente e específica com recursos Web, que trata dados de proximidade e outras informações contextuais recolhidas por vários sensores presentes nos dispositivos inteligentes para efeitos de rastreio de contactos com pessoas infetadas com SARS-CoV-2 e que alerta as pessoas que possam ter estado expostas ao SARS-CoV-2. Estas aplicações móveis são capazes de detetar a presença de outros dispositivos que utilizem Bluetooth e procedem ao intercâmbio de informações com servidores de suporte utilizando a Internet;
«Portal federativo», um portal de acesso à rede gerido pela Comissão através de uma ferramenta informática segura que recebe, armazena e disponibiliza um conjunto mínimo de dados pessoais entre os servidores de suporte dos Estados-Membros para efeitos de assegurar a interoperabilidade das aplicações móveis nacionais de rastreio de contactos e de alerta;
«Chave», um identificador único efémero relativo a um utilizador da aplicação que comunique ter sido infetado com SARS-CoV-2, ou que possa ter sido exposto ao SARS-CoV-2;
«Verificação da infeção», o método aplicado para confirmar uma infeção com SARS-CoV-2, nomeadamente se foi comunicada pelo próprio utilizador da aplicação ou resultou de confirmação por parte de uma autoridade sanitária nacional ou de um teste laboratorial;
«Países de interesse», o Estado-Membro ou os Estados-Membros onde o utilizador da aplicação esteve nos 14 dias anteriores à data de carregamento das chaves e onde descarregou a aplicação móvel nacional aprovada de rastreio de contactos e de alerta e/ou onde viajou;
«País de origem das chaves», o Estado-Membro onde está localizado o servidor de suporte que carregou as chaves para o portal federativo;
«Histórico», um registo automático de uma atividade relacionada com o intercâmbio e o acesso a dados tratados através do portal federativo, que revele, nomeadamente, o tipo de atividade de tratamento, a data e hora da atividade de tratamento e o identificador da pessoa que efetua o tratamento dos dados.
2. As definições do artigo 4.o, pontos 1, 2, 7, e 8, do Regulamento (UE) 2016/679 são aplicáveis em conformidade.
Artigo 3.o
Participação na rede de saúde em linha
1. Os membros da rede de saúde em linha são as autoridades dos Estados-Membros responsáveis pela saúde em linha, designadas pelos Estados-Membros que participam na rede de saúde em linha.
2. Os Estados-Membros que desejem participar na rede de saúde em linha devem comunicar à Comissão, por escrito:
A decisão de participar na rede de saúde em linha;
A autoridade nacional responsável pela saúde em linha, que se tornará membro da rede de saúde em linha, bem como o nome do representante e do seu suplente.
3. Os membros devem notificar por escrito à Comissão o seguinte:
A sua decisão de se retirar da rede de saúde em linha;
Qualquer alteração nas informações referidas no n.o 2, alínea b).
4. A Comissão disponibiliza ao público a lista dos membros que participam na rede de saúde em linha.
Artigo 4.o
Atividades da rede de saúde em linha
1. Na prossecução do objetivo referido no artigo 14.o, n.o 2, alínea a), da Diretiva 2011/24/UE, a rede de saúde em linha pode, nomeadamente:
Facilitar uma maior interoperabilidade dos sistemas nacionais de tecnologias da informação e da comunicação e a transferibilidade transfronteiras dos dados de saúde eletrónicos no âmbito dos cuidados de saúde transfronteiras;
Dar orientações aos Estados-Membros, em cooperação com outras autoridades de supervisão competentes, no que diz respeito à partilha de dados de saúde entre os Estados-Membros e à capacitação dos cidadãos para acederem aos seus próprios dados de saúde e os partilharem;
Dar orientações aos Estados-Membros e facilitar o intercâmbio de boas práticas relativas ao desenvolvimento de diferentes serviços digitais de saúde, como a telemedicina, a saúde móvel ou as novas tecnologias no domínio dos megadados e da inteligência artificial, tendo em conta as ações em curso a nível da UE;
Dar orientações aos Estados-Membros no que diz respeito ao apoio à promoção da saúde, à prevenção de doenças e à melhoria da prestação de cuidados de saúde, através de uma melhor utilização dos dados relativos à saúde e da melhoria das competências digitais dos doentes e dos profissionais de saúde;
Dar orientações aos Estados-Membros e facilitar o intercâmbio voluntário de boas práticas sobre os investimentos em infraestruturas digitais;
Dar orientações, em colaboração com outros organismos e partes interessadas pertinentes, aos Estados-Membros sobre os casos de utilização necessários para a interoperabilidade clínica e os instrumentos para a sua consecução;
Dar orientações aos membros sobre a segurança da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras ou de outros serviços europeus partilhados de saúde em linha desenvolvidos no âmbito da rede de saúde em linha, tendo em conta a legislação e os documentos elaborados a nível da União, em especial no domínio da segurança, bem como recomendações no domínio da cibersegurança, trabalhando em estreita cooperação com o grupo de cooperação para a segurança das redes e da informação, com a Agência da União Europeia para a Segurança das Redes e da Informação e com as autoridades nacionais, se for caso disso;
Dar orientações aos Estados-Membros sobre o intercâmbio transfronteiras de dados pessoais através do portal federativo entre as aplicações móveis nacionais de rastreio de contactos e de alerta.
2. Ao elaborar as orientações relativas a métodos eficazes que permitam utilizar as informações médicas para efeitos de saúde pública e investigação referidas no artigo 14.o, n.o 2, alínea b), subalínea ii), da Diretiva 2011/24/UE, a rede de saúde em linha deve ter em conta as orientações adotadas e, se for caso disso, consultar o Comité Europeu para a Proteção de Dados. Estas orientações podem também abordar as informações trocadas através infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras ou outros serviços europeus partilhados de saúde em linha.
Artigo 5.o
Funcionamento da rede de saúde em linha
1. A rede de saúde em linha define o seu regulamento interno por maioria simples dos seus membros.
2. A rede de saúde em linha adota um programa de trabalho plurianual e um instrumento de avaliação sobre a execução do programa.
3. Para desempenhar as suas funções, a rede de saúde em linha pode criar subgrupos permanentes relacionados com tarefas específicas, em especial relativamente à infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras ou outros serviços europeus partilhados de saúde em linha desenvolvidos no âmbito da rede de saúde em linha.
4. A rede de saúde em linha pode também criar subgrupos temporários, nomeadamente com peritos para examinar questões específicas, com base num mandato definido pela própria rede de saúde em linha. Esses subgrupos são dissolvidos uma vez cumprido o seu mandato.
5. Quando os membros da rede de saúde em linha decidirem reforçar a sua cooperação em alguns domínios abrangidos pelas tarefas da rede de saúde em linha, deverão chegar a acordo e comprometer-se quanto às regras da cooperação reforçada.
6. Na prossecução dos seus objetivos, a rede de saúde em linha deve trabalhar em estreita cooperação com as ações conjuntas de apoio às atividades da rede de saúde em linha se essas ações existirem, com as partes interessadas ou outros organismos envolvidos ou mecanismos de apoio e deve ter em conta os resultados alcançados no quadro dessas atividades.
7. A rede de saúde em linha elabora, juntamente com a Comissão, os modelos de governação da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras e participa nessa governação das seguintes formas:
chega a acordo sobre as prioridades da infraestrutura de serviços digitais de saúde em linha, e supervisiona o seu funcionamento,
elabora orientações e requisitos aplicáveis à operação, incluindo a seleção das normas utilizadas para a infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras,
chega a acordo sobre se os membros da rede de saúde em linha devem ser autorizados a iniciar e a continuar o intercâmbio de dados de saúde eletrónicos pela infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras através dos seus pontos de contacto nacionais para a saúde em linha, com base na sua conformidade com os requisitos estabelecidos pela rede de saúde em linha, avaliada em testes e auditorias realizados pela Comissão,
aprova o plano de atividades anual para a infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras.
8. A rede de saúde em linha pode elaborar, juntamente com a Comissão, os modelos de governação de outros serviços europeus partilhados de saúde em linha desenvolvidos no âmbito da rede de saúde em linha e participar na sua governação. A rede pode igualmente definir as prioridades, juntamente com a Comissão, e elaborar orientações para o funcionamento desses serviços europeus partilhados de saúde em linha.
9. O regulamento interno pode prever que países que não sejam Estados-Membros que apliquem a Diretiva 2011/24/UE possam participar nas reuniões da rede de saúde em linha na qualidade de observadores.
10. Os membros da rede de saúde em linha e os seus representantes, assim como os peritos e observadores convidados, estão sujeitos às obrigações de sigilo profissional previstas no artigo 339.o do Tratado bem como às regras da Comissão em matéria de segurança no que respeita à proteção das informações classificadas da UE, estabelecidas no anexo da Decisão (UE, Euratom) 2015/444 da Comissão ( 2 ). Caso não cumpram estas obrigações, o presidente da rede de saúde em linha pode tomar todas as medidas adequadas, tal como previsto no regulamento interno.
Artigo 6.o
Relação entre a rede de saúde em linha e a Comissão
1. A Comissão deve:
Participar nas reuniões da rede de saúde em linha e copresidir às reuniões juntamente com o representante dos membros;
Cooperar com a rede de saúde em linha e prestar-lhe apoio no âmbito das suas atividades;
Assegurar o secretariado da rede de saúde em linha;
Desenvolver, implementar e manter medidas técnicas e organizativas adequadas relacionadas com os serviços essenciais da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras;
Apoiar a rede de saúde em linha a chegar a acordo sobre a conformidade técnica e organizativa dos pontos de contacto nacionais para a saúde em linha com os requisitos para o intercâmbio transfronteiras de dados de saúde, fornecendo e efetuando os testes e auditorias necessários. Os peritos dos Estados-Membros podem dar assistência aos auditores da Comissão;
Desenvolver, aplicar e manter medidas técnicas e organizativas apropriadas relacionadas com a segurança da transmissão e do alojamento de dados pessoais no portal federativo para efeitos de assegurar a interoperabilidade das aplicações móveis nacionais de rastreio de contactos e de alerta;
Apoiar a rede de saúde em linha a chegar a acordo sobre a conformidade técnica e organizativa das autoridades nacionais com os requisitos para o intercâmbio transfronteiras de dados pessoais no portal federativo, fornecendo e efetuando os testes e auditorias necessários. Os peritos dos Estados-Membros podem dar assistência aos auditores da Comissão.
2. A Comissão pode participar nas reuniões dos subgrupos da rede de saúde em linha.
3. A Comissão pode consultar a rede de saúde em linha sobre questões relacionadas com a saúde em linha a nível da União e o intercâmbio de boas práticas em matéria de saúde em linha.
4. A Comissão disponibiliza ao público informações sobre as atividades realizadas pela rede de saúde em linha.
Artigo 7.o
Proteção de dados pessoais tratados através da infraestrutura de serviços digitais de saúde em linha
1. Os Estados-Membros, representados pelas autoridades nacionais competentes ou por outros organismos designados, devem ser considerados responsáveis pelo tratamento de dados pessoais que tratam através da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras e devem atribuir claramente e de forma transparente as responsabilidades aos responsáveis pelo tratamento.
2. A Comissão deve ser considerada como subcontratante relativamente ao tratamento dos dados pessoais dos doentes através da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras. Na sua qualidade de subcontratante, a Comissão deve gerir os serviços de base da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras e cumprir as obrigações dos subcontratantes estabelecidas no ►M1 anexo I ◄ da presente decisão. A Comissão não tem acesso aos dados pessoais dos doentes tratados através da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras.
3. A Comissão deve ser considerada responsável pelo tratamento dos dados pessoais necessários para a concessão e gestão dos direitos de acesso aos serviços essenciais da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras. Estes dados são as informações de contacto dos utilizadores, incluindo o nome, o apelido e o endereço eletrónico, e a organização a que pertencem.
Artigo 7.o‐A
Intercâmbio transfronteiras de dados através do portal federativo entre as aplicações móveis nacionais de rastreio de contactos e de alerta
1. Sempre que há intercâmbio de dados pessoais através do portal federativo, o seu tratamento deve ser limitado aos fins de facilitação da interoperabilidade das aplicações móveis nacionais de rastreio de contactos e de alerta no âmbito desse portal e da continuidade do rastreio de contactos no contexto transfronteiras.
2. Os dados pessoais referidos no n.o 3 devem ser transmitidos ao portal federativo num formato sob pseudónimo.
3. Os dados pessoais sob pseudónimo que sejam trocados através do portal federativo e aí tratados devem incluir apenas as seguintes informações:
as chaves transmitidas pelas aplicações móveis nacionais de rastreio de contactos e de alerta até 14 dias antes da data de carregamento das chaves;
os históricos associados às chaves em consonância com o protocolo das especificações técnicas utilizado no país de origem das chaves;
a verificação da infeção;
os países de interesse e o país de origem das chaves.
4. As autoridades nacionais ou os organismos oficiais designados que tratem os dados pessoais no portal federativo devem ser responsáveis conjuntos pelos dados tratados no portal federativo. As responsabilidades respetivas dos responsáveis conjuntos pelo tratamento são atribuídas em conformidade com o anexo II. Cada Estado-Membro que pretenda participar no intercâmbio transfronteiras de dados entre as aplicações móveis nacionais de rastreio de contactos e de alerta deve notificar a Comissão, antes de aderir, da sua intenção, e indicar qual a autoridade nacional ou organismo oficial designado enquanto responsável conjunto pelo tratamento.
5. A Comissão é o subcontratante de dados pessoais tratados no portal federativo. Na sua qualidade de subcontratante, a Comissão assegura a segurança do tratamento, incluindo a transmissão e o alojamento de dados pessoais no portal federativo e cumpre as obrigações de um subcontratante estabelecidas no anexo III.
6. A eficácia das medidas técnicas e organizativas no sentido de assegurar a segurança do tratamento de dados pessoais no portal federativo deve ser regularmente testada, apreciada e avaliada pela Comissão e pelas autoridades nacionais autorizadas a aceder ao portal federativo.
7. Sem prejuízo da decisão dos responsáveis conjuntos pelo tratamento de porem termo ao tratamento no âmbito do portal federativo, o funcionamento desse portal deve ser desativado pelo menos 14 dias depois de todas as aplicações móveis nacionais de rastreio de contactos e de alerta conectadas cessarem de transmitir chaves através do portal federativo.
Artigo 8.o
Despesas
1. Os participantes nas atividades da rede de saúde em linha não são remunerados pela Comissão pelos serviços prestados.
2. As despesas de viagem e de estadia incorridas pelos participantes nas atividades da rede de saúde em linha são reembolsadas pela Comissão, em conformidade com as disposições em vigor na Comissão sobre o reembolso das despesas efetuadas por pessoas externas à Comissão convidadas para participar em reuniões na qualidade de peritos. Essas despesas são reembolsadas dentro dos limites das dotações disponíveis, atribuídas no âmbito do procedimento anual de afetação de recursos.
Artigo 9.o
Revogação
A Decisão de Execução 2011/890/UE é revogada. As remissões para a decisão revogada devem entender-se como sendo feitas para a presente decisão.
Artigo 10.o
Destinatários
Os destinatários da presente decisão são os Estados-Membros.
ANEXO I
RESPONSABILIDADES DA COMISSÃO ENQUANTO SUBCONTRATANTE NO ÂMBITO DA INFRAESTRUTURA DE SERVIÇOS DIGITAIS DE SAÚDE EM LINHA PARA OS SERVIÇOS DE INFORMAÇÃO DE SAÚDE EM LINHA TRANSFRONTEIRAS
A Comissão deve:
Criar e assegurar uma infraestrutura de comunicação segura e fiável que interliga as redes dos membros da rede de saúde em linha envolvidas na infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras («infraestrutura de comunicação segura central»). Para cumprir as suas obrigações, a Comissão pode recorrer a terceiros. A Comissão deve assegurar que esses terceiros cumpram as mesmas obrigações em matéria de proteção de dados estabelecidas na presente decisão.
Configurar parte da infraestrutura de comunicação segura central para que os pontos de contacto nacionais para a saúde em linha possam trocar informações de forma segura, fiável e eficiente.
Proceder ao tratamento dos dados pessoais mediante instruções documentadas dos responsáveis pelo tratamento.
Tomar todas as medidas de segurança de caráter organizativo, físico e lógico para a manutenção da infraestrutura de comunicação segura central. Para esse efeito, a Comissão:
Designa uma entidade responsável pela gestão da segurança ao nível da infraestrutura de comunicação segura central, comunica aos responsáveis pelo tratamento os seus dados de contacto e assegura a sua disponibilidade para reagir a ameaças à segurança;
Assume a responsabilidade pela segurança da infraestrutura de comunicação segura central;
Assegura que todas as pessoas a quem é concedido acesso à infraestrutura da comunicação segura central estão sujeitas a obrigações contratuais, profissionais ou legais de confidencialidade;
Assegura que o pessoal que tem acesso a informações classificadas preenche os critérios de autorização e confidencialidade correspondentes.
Tomar todas as medidas de segurança necessárias para evitar comprometer o bom funcionamento do domínio do outro. Para tal, a Comissão estabelece os procedimentos específicos relacionados com a ligação à infraestrutura de comunicação segura central. Essas informações devem incluir:
Um procedimento de avaliação dos riscos, a fim de identificar e estimar as potenciais ameaças ao sistema;
Um procedimento de auditoria e revisão para:
verificar a correspondência entre as medidas de segurança implementadas e a política de segurança em aplicação,
controlar regularmente a integridade dos ficheiros de sistema, dos parâmetros de segurança e das autorizações concedidas,
acompanhar a deteção de ruturas de segurança e intrusões,
implementar alterações para evitar vulnerabilidades de segurança existentes e
definir as condições de autorização, incluindo a pedido dos responsáveis pelo tratamento, e contribuir para a realização de auditorias independentes, incluindo inspeções, e de revisões às medidas de segurança;
Um procedimento de controlo de alterações para documentar e medir o impacto de uma alteração antes da sua implementação, mantendo os pontos de contacto nacionais para a saúde em linha informados de quaisquer alterações que possam afetar a comunicação com e/ou a segurança das outras infraestruturas nacionais;
Um procedimento de manutenção e reparação que especifique as regras e condições a seguir caso seja necessária a manutenção e/ou reparação de equipamentos;
Um procedimento para incidentes de segurança com vista a definir o sistema de notificação e escalonamento, informar sem demora a administração nacional responsável, bem como a Autoridade Europeia para a Proteção de Dados, de qualquer rutura da segurança e definir um processo disciplinar para lidar com ruturas da segurança.
Tomar medidas de segurança física e/ou lógica para as instalações que alojam o equipamento da infraestrutura de comunicação segura central e os controlos de acesso aos dados lógicos e à segurança. Para esse efeito, a Comissão:
Aplica a segurança física para estabelecer perímetros de segurança demarcados e permitir a deteção de ruturas;
Controla o acesso às instalações e mantém um registo de visitantes para fins de rastreabilidade;
Assegura que as pessoas externas a quem é concedido acesso às instalações são escoltadas por pessoal devidamente autorizado da sua organização respetiva;
Assegura que os equipamentos não podem ser adicionados, substituídos ou retirados sem autorização prévia dos organismos competentes designados;
Controla o acesso de e para outra(s) rede(s) interligada(s) à infraestrutura de comunicação segura central;
Garante que as pessoas que têm acesso à infraestrutura de comunicação segura central são identificadas e autenticadas;
Revê os direitos de autorização relacionados com o acesso à infraestrutura de comunicação segura central em caso de rutura da segurança que afete esta infraestrutura;
Mantém a integridade das informações transmitidas através da infraestrutura de comunicação segura central;
Aplica medidas de segurança técnicas e organizativas para impedir o acesso não autorizado a dados pessoais;
Aplica, sempre que necessário, medidas para bloquear o acesso não autorizado à infraestrutura de comunicação segura central a partir do domínio dos pontos de contacto nacionais para a saúde em linha (ou seja: bloqueia uma localização ou um endereço IP).
Tomar medidas para proteger o seu domínio, incluindo o corte de ligações, em caso de desvio substancial em relação aos princípios e conceitos de qualidade ou segurança.
Manter um plano de gestão dos riscos relacionado com a sua área de responsabilidade.
Acompanhar — em tempo real — o desempenho de todas as componentes dos serviços da sua infraestrutura de comunicação segura central, elaborar estatísticas regulares e manter registos.
Prestar apoio 24 horas por dia a todos os serviços da infraestrutura de comunicação segura central, em inglês, através do telefone, do correio ou do portal Web, e aceitar chamadas de utilizadores autorizados: coordenadores da infraestrutura de comunicação segura central e respetivos serviços de assistência, responsáveis de projeto e pessoas designadas da Comissão.
Apoiar os responsáveis pelo tratamento, facultando informações sobre a infraestrutura de comunicação segura central da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras, a fim de dar cumprimento às obrigações previstas no artigo 35.o e no artigo 36.o do Regulamento (UE) 2016/679.
Assegurar que os dados transferidos no âmbito da infraestrutura de comunicação segura central estão codificados.
Tomar todas as medidas necessárias para impedir que os operadores da infraestrutura de comunicação segura central tenham acesso não autorizado aos dados transferidos.
Tomar medidas para facilitar a interoperabilidade e a comunicação entre as administrações nacionais competentes designadas pertencentes à infraestrutura de comunicação segura central.
ANEXO II
RESPONSABILIDADES DOS ESTADOS-MEMBROS PARTICIPANTES ENQUANTO RESPONSÁVEIS CONJUNTOS PELO TRATAMENTO DO PORTAL FEDERATIVO PARA O TRATAMENTO TRANSFRONTEIRAS ENTRE APLICAÇÕES MÓVEIS NACIONAIS DE RASTREIO DE CONTACTOS E DE ALERTA
SECÇÃO 1
Subsecção 1
Divisão de responsabilidades
1) Os responsáveis conjuntos procedem ao tratamento dos dados pessoais através do portal federativo em conformidade com as especificações técnicas estipuladas pela rede de saúde em linha ( 3 ).
2) Cada responsável pelo tratamento é responsável pelo tratamento de dados pessoais no portal federativo em conformidade com o Regulamento Geral sobre a Proteção de Dados e com a Diretiva 2002/58/CE.
3) Cada responsável pelo tratamento cria um ponto de contacto com uma caixa de correio funcional que servirá para a comunicação entre os responsáveis conjuntos pelo tratamento e entre os responsáveis conjuntos pelo tratamento e o subcontratante.
4) Um subgrupo temporário criado pela rede de saúde em linha em conformidade com o artigo 5.o, n.o 4, será encarregado de analisar quaisquer questões decorrentes da interoperabilidade das aplicações móveis nacionais de rastreio de contactos e de alerta e da responsabilidade conjunta do tratamento correlato de dados pessoais e de facultar instruções coordenadas à Comissão enquanto subcontratante. Entre outras questões, os responsáveis pelo tratamento podem, no âmbito do subgrupo temporário, trabalhar no sentido de uma abordagem comum no que respeita à conservação de dados nos seus servidores de suporte nacionais, tendo em conta o período de conservação estabelecido no portal federativo.
5) As instruções ao subcontratante devem ser enviadas por qualquer ponto de contacto dos responsáveis conjuntos pelo tratamento, com o acordo dos outros responsáveis conjuntos pelo tratamento no âmbito do subgrupo anteriormente referido.
6) Somente as pessoas autorizadas pelas autoridades nacionais ou organismos oficiais designados podem aceder aos dados pessoais dos utilizadores intercambiados no portal federativo.
7) Cada autoridade nacional ou organismo oficial designado deixa de ser responsável conjunto pelo tratamento a partir da data de retirada da sua participação do portal federativo. Permanece, contudo, responsável pelo tratamento no portal federativo antes da sua retirada.
Subsecção 2
Responsabilidades e funções para tramitação de pedidos e informação dos titulares dos dados
1) Cada responsável pelo tratamento deve fornecer aos utilizadores da sua aplicação móvel nacional de rastreio de contactos e de alerta («os titulares dos dados») informações sobre o tratamento dos seus dados pessoais no portal federativo para efeitos de interoperabilidade transfronteiras das aplicações móveis nacionais de rastreio de contactos e de alerta, em conformidade com os artigos 13.o e 14.° do Regulamento Geral sobre a Proteção de Dados.
2) Cada responsável pelo tratamento atua como ponto de contacto para os utilizadores da sua aplicação móvel nacional de rastreio de contactos e de alerta e tramita os pedidos relacionados com o exercício dos direitos dos titulares dos dados em conformidade com o Regulamento Geral sobre a Proteção de Dados, submetidos por esses utilizadores ou pelos seus representantes. Cada responsável pelo tratamento nomeia um ponto de contacto específico dedicado aos pedidos recebidos dos titulares dos dados. Caso um responsável conjunto pelo tratamento receba um pedido de um titular de dados que não seja da sua responsabilidade, deve de imediato remetê-lo para o responsável conjunto pelo tratamento adequado. Se tal for solicitado, os responsáveis conjuntos pelo tratamento de dados devem prestar-se assistência recíproca na tramitação dos pedidos dos titulares dos dados e devem responder uns aos outros sem atrasos indevidos e o mais tardar no prazo de 15 dias a contar da receção de um pedido de assistência.
3) Cada responsável pelo tratamento disponibiliza aos titulares dos dados o conteúdo do presente anexo, incluindo as disposições previstas nos pontos 1 e 2.
SECÇÃO 2
Gestão de incidentes de segurança, incluindo violações de dados pessoais
1) Os responsáveis conjuntos pelo tratamento devem assistir-se reciprocamente na identificação e no tratamento de quaisquer incidentes de segurança, incluindo violações de dados pessoais, ligados ao tratamento no portal federativo.
2) Em particular, os responsáveis conjuntos pelo tratamento devem notificar-se mutuamente do seguinte:
quaisquer riscos potenciais ou reais para a disponibilidade, confidencialidade e/ou integridade dos dados pessoais em fase de tratamento no portal federativo;
quaisquer incidentes de segurança associados à operação de tratamento no portal federativo;
qualquer violação de dados pessoais, as consequências prováveis da violação de dados pessoais e a avaliação do risco para os direitos e liberdades das pessoas singulares, e eventuais medidas adotadas para combater a violação de dados pessoais e atenuar o risco para os direitos e liberdades das pessoas singulares;
qualquer violação de salvaguardas técnicas e/ou organizativas das operações de tratamento no portal federativo.
3) Os responsáveis conjuntos pelo tratamento comunicam eventuais violações de dados autoridades de controlo competentes e, se assim for requerido, aos titulares dos dados, em conformidade com os artigos 33.o e 34.o do Regulamento (UE) 2016/679 ou após notificação pela Comissão.
SECÇÃO 3
Avaliação de impacto sobre a proteção de dados
Caso um responsável pelo tratamento, de molde a cumprir as suas obrigações especificadas nos artigos 35.o e 36.o do Regulamento Geral sobre a Proteção de Dados, precisar de informações de outro responsável pelo tratamento, deve enviar um pedido específico para a caixa de correio funcional referida na secção 1, subsecção 1(3). Este último responsável pelo tratamento deve envidar os seus melhores esforços para prestar tais informações.
ANEXO III
RESPONSABILIDADES DA COMISSÃO ENQUANTO SUBCONTRATANTE DO TRATAMENTO DE DADOS DO PORTAL FEDERATIVO PARA O TRATAMENTO TRANSFRONTEIRAS ENTRE APLICAÇÕES MÓVEIS NACIONAIS DE RASTREIO DE CONTACTOS E DE ALERTA
A Comissão:
Estabelece e assegura a segurança e a fiabilidade de uma infraestrutura de comunicação que interliga as aplicações móveis nacionais de rastreio de contactos e de alerta dos Estados-Membros que participam no portal federativo. A fim de cumprir as suas obrigações enquanto subcontratante de dados do portal federativo, a Comissão pode contratar terceiros como subcontratantes; a Comissão informa os responsáveis conjuntos pelo tratamento de quaisquer alterações previstas relativas ao aditamento ou substituição de outros subcontratantes, dando assim aos responsáveis pelo tratamento a oportunidade de se oporem conjuntamente a tais alterações, tal como definido no anexo II, secção 1, subsecção 1(4). A Comissão deve assegurar que esses subcontratantes cumpram as mesmas obrigações em matéria de proteção de dados estabelecidas na presente decisão.
Procede ao tratamento dos dados pessoais apenas com base em instruções documentadas por parte dos responsáveis pelo tratamento, exceto ordem contrária nos termos do direito da União ou dos Estados-Membros; nesse caso, a Comissão informa os responsáveis pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público.
O tratamento efetuado pela Comissão implica o seguinte:
autenticação de servidores de suporte nacionais, com base em certificados de servidores de suporte nacionais;
receção dos dados referidos no artigo 7.o-A, n.o 3, da decisão de execução carregados pelos servidores de suporte nacionais pela prestação de uma interface de programação de aplicações que permita aos servidores de suporte nacionais carregar os dados pertinentes;
armazenamento dos dados no portal federativo, após sua receção a partir dos servidores de suporte nacionais;
disponibilização dos dados para descarregamento pelos servidores de suporte nacionais;
supressão dos dados quando todos os servidores de suporte nacionais os tiverem descarregado ou 14 dias após a sua receção, consoante o que ocorrer primeiro.
após o termo da prestação do serviço, supressão de quaisquer dados remanescentes, exceto se o direito da União ou dos Estados-Membros exigir o armazenamento de dados pessoais.
O subcontratante deve tomar as medidas necessárias para preservar a integridade dos dados tratados.
Toma todas as medidas de segurança mais avançadas ao nível organizacional, físico e lógico para manter o portal federativo. Para esse efeito, a Comissão:
designa uma entidade responsável pela gestão da segurança ao nível do portal federativo, comunica aos responsáveis pelo tratamento os seus dados de contacto e assegura a sua disponibilidade para reagir a ameaças à segurança;
assume a responsabilidade pela segurança do portal federativo;
assegura que todas as pessoas a quem é concedido acesso ao portal federativo estão sujeitas a obrigações contratuais, profissionais ou legais de confidencialidade;
Toma todas as medidas de segurança necessárias para evitar comprometer o bom funcionamento dos servidores de suporte nacionais. Para esse efeito, a Comissão implementa procedimentos específicos relacionados com a ligação dos servidores de suporte ao portal federativo. Tal inclui:
um procedimento de avaliação dos riscos, a fim de identificar e estimar as potenciais ameaças ao sistema;
um procedimento de auditoria e revisão para:
verificar a correspondência entre as medidas de segurança implementadas e a política de segurança aplicável;
controlar regularmente a integridade dos ficheiros de sistema, dos parâmetros de segurança e das autorizações concedidas;
acompanhar a deteção de ruturas de segurança e intrusões;
implementar alterações para evitar vulnerabilidades de segurança existentes
permitir, incluindo a pedido dos responsáveis pelo tratamento, e contribuir para a realização de auditorias independentes, incluindo inspeções, e revisões de medidas de segurança, sob reserva de condições que respeitem o Protocolo (N.o 7) do TFUE relativo aos Privilégios e Imunidades da União Europeia ( 4 );
um procedimento de controlo de alterações para documentar e medir o impacto de uma alteração antes da sua implementação, mantendo os responsáveis pelo tratamento informados de quaisquer alterações que possam afetar a comunicação com e/ou a segurança das suas infraestruturas;
Um procedimento de manutenção e reparação que especifique as regras e condições a seguir caso seja necessária a manutenção e/ou reparação de equipamentos;
Um procedimento para incidentes de segurança com vista a definir o sistema de notificação e escalonamento, informar sem demora os responsáveis pelo tratamento, bem como a Autoridade Europeia para a Proteção de Dados, de qualquer rutura da segurança e definir um processo disciplinar para lidar com ruturas da segurança.
Toma medidas de segurança física e/ou lógica para as instalações que alojam o equipamento do portal federativo e os controlos de acesso aos dados lógicos e à segurança. Para esse efeito, a Comissão:
aplica a segurança física para estabelecer perímetros de segurança demarcados e permitir a deteção de ruturas;
controla o acesso às instalações e mantém um registo de visitantes para fins de rastreabilidade;
assegura que as pessoas externas a quem é concedido acesso às instalações são escoltadas por pessoal devidamente autorizado;
assegura que os equipamentos não podem ser adicionados, substituídos ou retirados sem autorização prévia dos organismos competentes designados;
controla o acesso de e para os servidores de suporte ao portal federativo;
garante que as pessoas que têm acesso ao portal federativo são identificadas e autenticadas;
revê os direitos de autorização relacionados com o acesso ao portal federativo em caso de rutura da segurança que afete esta infraestrutura;
mantém a integridade das informações transmitidas através do portal federativo;
aplica medidas de segurança técnicas e organizativas para impedir o acesso não autorizado a dados pessoais;
aplica, sempre que necessário, medidas para bloquear o acesso não autorizado ao portal federativo a partir do domínio das autoridades nacionais (ou seja, bloqueio de localização/endereço IP).
Toma medidas para proteger o seu domínio, incluindo o corte de ligações, em caso de desvio substancial em relação aos princípios e conceitos de qualidade ou segurança.
Mantém um plano de gestão dos riscos relacionado com a sua área de responsabilidade.
Acompanha — em tempo real — o desempenho de todas as componentes dos serviços do seu portal federativo, elabora estatísticas regulares e mantém registos.
Presta apoio 24 horas por dia a todos os serviços do portal federativo, em inglês, através do telefone, do correio ou do portal Web, e aceita chamadas de utilizadores autorizados: coordenadores do portal federativo e respetivos serviços de assistência, responsáveis de projeto e pessoas designadas da Comissão.
Assiste os responsáveis pelo tratamento através de medidas técnicas e organizativas adequadas, na medida do possível, para o cumprimento da obrigação do responsável pelo tratamento de responder aos pedidos de exercício dos direitos do titular de dados estabelecidos no capítulo III do Regulamento Geral sobre a Proteção de Dados.
Apoia os responsáveis pelo tratamento ao prestar informações sobre o portal federativo, de forma a cumprir as obrigações decorrentes dos artigos 32.o, 35.o e 36.o do Regulamento Geral sobre a Proteção de Dados.
Assegura que os dados tratados no âmbito do portal federativo são ininteligíveis para qualquer pessoa que não esteja autorizada a aceder a esse portal.
Toma todas as medidas necessárias para impedir que os operadores do portal federativo tenham acesso não autorizado aos dados transferidos.
Toma medidas para facilitar a interoperabilidade e a comunicação entre os responsáveis pelo tratamento designados do portal federativo.
Mantém um registo das atividades de tratamento realizadas em nome dos responsáveis pelo tratamento em conformidade com o disposto no artigo 31.o, n.o 2, do Regulamento (UE) 2018/1725.
( 1 ) Decisão n.o 1082/2013/UE, do Parlamento Europeu e do Conselho, de 22 de outubro de 2013, relativa às ameaças sanitárias transfronteiriças graves e que revoga a Decisão n.o 2119/98/CE (JO L 293 de 5.11.2013, p. 1).
( 2 ) Decisão (UE, Euratom) 2015/444 da Comissão, de 13 de março de 2015, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE (JO L 72 de 17.3.2015, p. 53).
( 3 ) Em particular, as especificações de interoperabilidade para as cadeias de transmissão transfronteiras entre as aplicações aprovadas, de 16 de junho de 2020, disponíveis em: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0.
( 4 ) Protocolo (N.o 7) relativo aos privilégios e imunidades da União Europeia (JO C 326 de 26.10.2012, p. 266).