29.7.2019   

PT

Jornal Oficial da União Europeia

L 200/35


DECISÃO DE EXECUÇÃO (UE) 2019/1269 DA COMISSÃO

de 26 de julho de 2019

que altera a Decisão de Execução 2014/287/UE que define critérios para a criação e avaliação de redes europeias de referência e dos seus membros, bem como para facilitar o intercâmbio de informações e experiências sobre a criação e avaliação das referidas redes

(Texto relevante para efeitos do EEE)

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta a Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (1), nomeadamente o artigo 12.o, n.o 4, alíneas b) e c),

Considerando o seguinte:

(1)

A Decisão de Execução 2014/287/UE da Comissão (2) define critérios para a criação e avaliação de redes europeias de referência e dos seus membros, bem como para facilitar o intercâmbio de informações e experiências sobre a criação e avaliação dessas redes. O artigo 6.o da referida decisão convida os Estados-Membros a instituir um Conselho de Estados-Membros, com vista a decidir da eventual aprovação das propostas de redes, da sua composição e da sua cessação. Os Estados-Membros instituíram o Conselho de Estados-Membros, que aprovou seguidamente 23 redes europeias de referência (RER) em dezembro de 2016 e uma em fevereiro de 2017. Todas as redes iniciaram atividades em 2017.

(2)

Para aumentar a eficiência das redes europeias de referência, o Conselho de Estados-Membros deve servir de fórum para o intercâmbio de informações e de conhecimentos, com vista a direcionar o desenvolvimento das RER, fornecer orientações às redes e aos Estados-Membros e aconselhar a Comissão sobre questões relacionadas com a criação das redes. A fim de promover a troca de experiências e facilitar um processo coerente com outros intercâmbios transfronteiriços de dados relativos à saúde, o referido conselho deve prever uma estreita cooperação com a rede de saúde em linha, a fim de desenvolver, sempre que possível, abordagens comuns, estruturas de dados e orientações que facilitem o acesso transparente a diferentes serviços e simplifiquem as regras aplicáveis aos prestadores de cuidados de saúde. O Conselho de Estados-Membros deve igualmente promover o debate com outros fóruns pertinentes da UE (como o grupo diretor para a promoção da saúde, a prevenção das doenças e a gestão de doenças não transmissíveis) em domínios de interesse comum.

(3)

A atual experiência das 24 RER existentes demonstrou que, para garantir o funcionamento eficaz de cada rede, os seus membros devem cooperar estreitamente no desempenho das suas funções, nomeadamente no intercâmbio de dados de saúde relativos aos diagnósticos e tratamentos de doentes de uma forma eficiente e segura, contribuindo para as atividades de investigação científica e para o desenvolvimento de orientações médicas. A cooperação estreita implica a confiança mútua entre os membros de cada rede e o reconhecimento mútuo, em especial, dos seus conhecimentos e competências, da qualidade dos seus cuidados clínicos, bem como dos seus recursos humanos, estruturais e de equipamento específicos, tal como previsto no anexo II, ponto 2, da Decisão Delegada 2014/286/UE da Comissão (3).

(4)

A confiança mútua e o reconhecimento pelos pares são igualmente importantes quando os prestadores de cuidados de saúde pretendem aderir a uma rede existente, uma vez que garantem as condições prévias adequadas para a futura cooperação no âmbito da rede. Assim, a candidatura de adesão à rede a que o prestador de cuidados de saúde pretende aderir deve ser acompanhada de um parecer favorável do Conselho Diretivo dessa rede, na sequência de uma revisão pelos pares realizada pela rede com base nos critérios e condições estabelecidos no anexo II, ponto 2, da Decisão Delegada 2014/286/UE, ao ser apreciada por um organismo de apreciação independente nomeado pela Comissão. A fim de permitir que o prestador de cuidados de saúde expresse o seu ponto de vista sobre o parecer do Conselho Diretivo da rede, o prestador de cuidados de saúde deve ser autorizado a apresentar as suas observações sobre o projeto de parecer no prazo de um mês a contar da data de receção do referido parecer.

(5)

Devem ser estabelecidos prazos razoáveis a respeitar pelo Conselho Diretivo da rede no que respeita ao projeto e ao parecer final. Assim, o prazo para a emissão do parecer final deve ser, em princípio, de quatro meses. No entanto, caso o prestador de cuidados de saúde apresente observações sobre o projeto de parecer do Conselho Diretivo da rede, o prazo de quatro meses para a emissão do parecer final deve ser prorrogado por um mês, a fim de permitir que o Conselho Diretivo da rede tome em consideração as observações recebidas. Por razões de segurança jurídica, se o Conselho Diretivo da rede não enviar o projeto de parecer ou não emitir o parecer final nos prazos fixados, o parecer final deve ser considerado favorável.

(6)

Se uma candidatura de adesão receber um parecer desfavorável do Conselho Diretivo da rede a que o prestador de cuidados de saúde deseja aderir embora tenha recebido aprovação sob a forma de uma declaração escrita do Estado-Membro de estabelecimento do prestador de cuidados de saúde, o Estado-Membro de estabelecimento deve ter a possibilidade de solicitar ao Conselho dos Estados-Membros que decida, com base nos critérios e condições estabelecidos no anexo II, ponto 2, da Decisão Delegada 2014/286/UE, se a candidatura pode, mesmo assim, ser apresentada à Comissão.

(7)

A fim de ajudar os profissionais de saúde em todas as RER a colaborarem à distância no diagnóstico e tratamento de doentes com doenças ou afeções complexas raras ou de baixa prevalência para além das fronteiras nacionais e para facilitar a investigação científica sobre essas doenças ou afeções, a Comissão desenvolveu um sistema de gestão clínica dos doentes (SGCD) para as RER, com o objetivo de facilitar a criação e o funcionamento das RER, tal como previsto no artigo 12.o, n.o 4, alínea c), da Diretiva 2011/24/UE.

(8)

O SGCD deve proporcionar uma infraestrutura comum para os profissionais de saúde poderem colaborar, no âmbito das RER, no diagnóstico e tratamento de doentes com doenças ou afeções complexas raras ou de baixa prevalência. Deve disponibilizar os meios através dos quais se procede ao intercâmbio de informações e conhecimentos especializados sobre essas doenças no âmbito das RER da forma mais eficaz.

(9)

Por conseguinte, o SGCD deve consistir numa infraestrutura de TI segura que proporcione uma interface comum em que os prestadores de cuidados de saúde que são membros das RER, parceiros afiliados (4) ou utilizadores convidados («prestadores de cuidados de saúde autorizados a aceder ao SGCD») possam trocar informações no âmbito das redes sobre os doentes em causa, com o objetivo de facilitar o seu acesso a cuidados de saúde seguros e de elevada qualidade e, facilitando o intercâmbio de informações pertinentes, promover uma cooperação eficaz em matéria de cuidados de saúde entre os Estados-Membros.

(10)

A fim de garantir o cumprimento das regras de proteção de dados e assegurar a utilização de um ambiente eficaz e seguro para o intercâmbio eletrónico de dados pessoais de doentes entre prestadores de cuidados de saúde nas RER para os efeitos referidos no artigo 12.o, n.o 2, da Diretiva 2011/24/UE, esse intercâmbio só deve ter lugar com base no consentimento explícito dos doentes e apenas através do SGCD. Os prestadores de cuidados de saúde são responsáveis por garantir a segurança dos dados que processam fora do SGCD com o objetivo de os introduzir no SGCD, bem como dos dados que não são introduzidos no SGCD, mas que são por eles tratados em conexão com o SGCD (tai como os formulários de consentimento), ou dos dados por eles descarregados do SGCD e tratados fora do SGCD.

(11)

O SGCD trata dados sensíveis relativos a doentes que sofrem de doenças complexas raras ou de baixa prevalência. Estes dados são tratados unicamente com o objetivo de facilitar o diagnóstico e o tratamento dos doentes, para os introduzir em registos pertinentes ou noutras bases de dados de doenças complexas raras e de baixa prevalência, que sirvam objetivos de investigação científica ou objetivos clínicos ou de política de saúde, bem como para contactar potenciais participantes para iniciativas de investigação científica. Os prestadores de cuidados de saúde das RER devem poder tratar os dados dos doentes no SGCD depois de terem obtido o consentimento específico, informado e livre dos doentes sobre três possíveis utilizações dos seus dados (apreciação médica do ficheiro para aconselhamento em matéria de diagnóstico e tratamento, introdução de dados nos registos de doenças raras ou noutras bases de dados de doenças complexas raras e de baixa prevalência, bem como possibilidade de contactar os doentes para participarem numa iniciativa de investigação científica). O consentimento deve ser obtido separadamente para cada um dos três objetivos. A presente decisão deve estabelecer os objetivos e as salvaguardas para o tratamento desses dados no SGCD. Em especial, a Comissão deve estabelecer as características gerais do SGCD em relação a cada rede, fornecer e manter a infraestrutura informática segura necessária para esse efeito e garantir o seu funcionamento técnico e a sua segurança. Em conformidade com o princípio da minimização dos dados, a Comissão só deve tratar os dados pessoais estritamente necessários para assegurar a administração do SGCD em relação a cada rede e, por conseguinte, não deve ter acesso aos dados de saúde dos doentes trocados nas RER, a menos que tal seja estritamente necessário para cumprir as suas obrigações enquanto responsável conjunto pelo tratamento dos dados.

(12)

A presente decisão de execução só deve ser aplicável ao tratamento de dados pessoais efetuado no SGCD, em particular dados de contacto e dados relativos à saúde, no âmbito das RER.

(13)

O artigo 26.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (5) e o artigo 28.o do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (6) atribuem aos responsáveis conjuntos pelo tratamento de dados pessoais a obrigação de determinarem, de forma transparente, as respetivas responsabilidades pelo cumprimento das obrigações decorrentes desses regulamentos. Os referidos artigos preveem igualmente a possibilidade de essas responsabilidades serem determinadas pela legislação da União ou do Estado-Membro à qual os responsáveis pelo tratamento estão sujeitos.

(14)

A Decisão de Execução 2014/287/UE deve, por conseguinte, ser alterada em conformidade.

(15)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 e emitiu um parecer em 13 de setembro de 2018.

(16)

As medidas previstas na presente decisão estão em conformidade com o parecer do Comité instituído pelo artigo 16.o da Diretiva 2011/24/UE,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

A Decisão de Execução 2014/287/UE é alterada do seguinte modo:

1)

É aditado o seguinte artigo 1.o-A:

«Artigo 1.o-A

Definições

Para efeitos da presente decisão de execução, entende-se por:

a)

“Coordenador das redes europeias de referência”, a pessoa nomeada como coordenador da rede pelo membro de uma rede europeia de referência escolhido como membro coordenador, tal como referido no considerando 3 e no artigo 4.o da Decisão Delegada 2014/286/UE;

b)

“Conselho Diretivo da rede”, um organismo responsável pela governação da rede, composto por representantes de cada membro da rede, como referido no considerando 3 e no anexo I, ponto 1, alínea b), subalínea ii), da Decisão Delegada 2014/286/UE;

c)

“Parceiro afiliado”, os centros nacionais associados, os centros nacionais colaboradores e as plataformas nacionais de coordenação, conforme referidos no considerando 14 e no anexo I, ponto 7, alínea c), da Decisão Delegada 2014/286/UE e na declaração do Conselho de Estados-Membros, de 10 de outubro de 2017;

d)

“Utilizador convidado”, um prestador de cuidados de saúde que não seja membro ou parceiro afiliado e que tenha o direito, após a aprovação do coordenador da rede europeia de referência competente, por um período limitado, de inscrever os doentes no SGCD e de participar no painel relacionado com esse doente ou de participar num painel específico como perito.».

2)

No artigo 8.o, são inseridos os seguintes n.os 4, 5 e 6:

«4.   Se a Comissão concluir que os requisitos estabelecidos no artigo 8.o, n.o 2 e n.o 3, estão preenchidos, o Conselho Diretivo da rede a que o prestador de cuidados de saúde deseja aderir deve emitir um parecer sobre a candidatura de adesão, na sequência de uma revisão pelos pares realizada pela rede com base nos critérios e nas condições estabelecidos no anexo II, ponto 2, da Decisão Delegada 2014/286/UE.

5.   Antes de emitir o parecer referido no n.o 4 e no prazo de três meses a contar do momento em que a Comissão tiver confirmado o cumprimento dos requisitos previstos no artigo 8.o, n.o 2 e n.o 3, o Conselho Diretivo da rede envia um projeto de parecer ao prestador de cuidados de saúde requerente, o qual pode enviar observações à rede no prazo de um mês após a receção do projeto de parecer. Caso o Conselho Diretivo da rede não receba observações sobre o projeto, deve emitir um parecer final sobre a candidatura de adesão no prazo de quatro meses a contar do momento em que a Comissão tiver confirmado que os requisitos estabelecidos no artigo 8.o, n.o 2 e n.o 3, estão preenchidos.

Caso o Conselho Diretivo da rede receba observações, o prazo para a emissão do parecer final é alargado para cinco meses a contar do momento em que a Comissão tiver confirmado que os requisitos estabelecidos no artigo 8.o, n.o 2 e n.o 3, estão preenchidos. Ao receber as observações, o Conselho Diretivo da rede deve alterar o seu parecer, explicando se as observações justificam uma alteração da sua apreciação. Se o Conselho Diretivo da rede não enviar o projeto de parecer ou não emitir o seu parecer final nos prazos acima fixados, o parecer final é considerado favorável.

6.   No caso de um parecer desfavorável do Conselho Diretivo da rede, a pedido do Estado-Membro de estabelecimento, o Conselho de Estados-Membros pode emitir um parecer favorável após a reapreciação da candidatura com base nos critérios e condições estabelecidos no anexo II, ponto 2, da Decisão Delegada 2014/286/UE. Esse parecer favorável deve acompanhar a candidatura.».

3)

No artigo 9.o, o n.o 1 passa a ter a seguinte redação:

«1.   Caso seja emitido um parecer favorável nos termos do artigo 8.o, n.o 5 ou n.o 6, a Comissão deve designar um organismo para examinar a candidatura de adesão que o parecer acompanha.».

4)

No capítulo IV, é inserido o seguinte artigo 15.o-A:

«Artigo 15.o-A

Intercâmbio de informações e de conhecimentos entre os Estados-Membros

Os Estados Membros são convidados a trocar informações e conhecimentos no âmbito do Conselho de Estados-Membros, com vista a direcionar o desenvolvimento das RER, fornecer orientações às redes e aos Estados-Membros e aconselhar a Comissão sobre questões relacionadas com a criação das redes.».

5)

É inserido o artigo 16.o-A seguinte:

«Artigo 16.o-A

O sistema de gestão clínica de doentes

1.   É criado um sistema de gestão clínica de doentes (“SGCD”) para o intercâmbio eletrónico de dados pessoais dos doentes entre prestadores de cuidados de saúde autorizados a aceder ao SGCD no âmbito das RER.

2.   O SGCD consiste numa ferramenta informática segura fornecida pela Comissão para a partilha e a conservação de dados dos doentes e para a comunicação em tempo real e atempada sobre casos de doentes no âmbito das RER.

3.   Deve incluir, nomeadamente, um visualizador de imagens médicas, capacidade de comunicação de dados e conjuntos de dados personalizados e deve integrar salvaguardas adequadas em matéria de proteção de dados, em conformidade com o anexo I.».

6)

É aditado o seguinte artigo 16.o-B:

«Artigo 16.o-B

Dados pessoais tratados no SGCD

1.   Os dados pessoais dos doentes, que consistem no nome, sexo, data e local de nascimento e outros dados pessoais necessários para efeitos de diagnóstico e tratamento, devem ser trocados e tratados no âmbito das RER exclusivamente através do SGCD. O tratamento dos dados deve servir exclusivamente para facilitar a colaboração em matéria de apreciação médica do ficheiro de um doente para diagnóstico e tratamento, para introduzir os dados em registos e outras bases de dados de doenças complexas raras e de baixa prevalência, que sirvam objetivos de investigação científica ou objetivos clínicos ou de política de saúde, e para contactar potenciais participantes em iniciativas de investigação científica. Deve basear-se no consentimento obtido em conformidade com o anexo IV.

2.   A Comissão é considerada responsável pelo tratamento dos dados pessoais relacionados com a gestão dos direitos de acesso e procede ao seu tratamento com base no consentimento explícito das pessoas identificadas pelos prestadores de cuidados de saúde como utilizadores e autorizadas pelas RER pertinente, na medida do necessário para garantir que:

a)

São concedidos direitos de acesso a essas pessoas;

b)

Essas pessoas podem exercer os seus direitos e cumprir as suas obrigações; e

c)

A Comissão pode cumprir as suas obrigações enquanto responsável pelo tratamento.

3.   A Comissão não tem acesso aos dados pessoais dos doentes, a menos que tal seja estritamente necessário para cumprir as suas obrigações na qualidade de responsável conjunto pelo tratamento.

4.   Apenas as pessoas autorizadas pelas RER e pertencentes às categorias de pessoal e outras pessoas afiliadas aos prestadores de cuidados de saúde autorizadas a aceder ao SGCD podem aceder aos dados pessoais dos doentes no SGCD.

5.   O nome do doente, bem como o local e a data exata do nascimento, devem ser encriptados e pseudonimizados no SGCD. Os outros dados pessoais necessários para efeitos de diagnóstico e tratamento devem ser pseudonimizados. Apenas os dados pseudonimizados podem ser acedidos pelos utilizadores do SGCD pertencentes a outros prestadores de cuidados de saúde para debater e apreciar os ficheiros dos doentes.

6.   A Comissão garante a segurança da transferência e do alojamento dos dados pessoais.

7.   Os prestadores de cuidados de saúde autorizados a aceder ao SGCD devem apagar os dados que deixem de ser necessários. Os dados pessoais dos doentes só devem ser conservados durante o tempo necessário no interesse do tratamento do doente, do diagnóstico de doenças ou para garantir a prestação de cuidados no âmbito de uma RER aos membros da família dos doentes. De 15 em 15 anos, pelo menos, cada prestador de cuidados de saúde autorizado a aceder ao SGCD deve analisar a necessidade de manter os dados dos doentes pelos quais é responsável.

8.   A eficácia das medidas técnicas e organizativas destinadas a garantir a segurança do tratamento de dados pessoais no SGCD deve ser testada, apreciada e avaliada regularmente pela Comissão e pelos prestadores de cuidados de saúde autorizados a aceder ao SGCD.».

7)

É aditado o seguinte artigo 16.o-C:

«Artigo 16.o-C

Responsabilidade conjunta pelo tratamento dos dados pessoais dos doentes através do SGCD

1.   Cada um dos prestadores de cuidados de saúde que tratam dados dos doentes no SGCD e a Comissão são responsáveis conjuntos pelo tratamento desses dados no SGCD.

2.   Para efeitos do n.o 1, as responsabilidades serão repartidas entre os responsáveis conjuntos em conformidade com o anexo III.

3.   Cada um dos responsáveis conjuntos pelo tratamento deve cumprir a legislação aplicável da União e nacional à qual o respetivo responsável está sujeito.».

8)

É aditado um novo anexo III, cujo texto consta do anexo I da presente decisão.

9)

É aditado um novo anexo IV, cujo texto consta do anexo II da presente decisão.

Artigo 2.o

A presente decisão entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Feito em Bruxelas, em 26 de julho de 2019.

Pela Comissão

O Presidente

Jean-Claude JUNCKER


(1)  JO L 88 de 4.4.2011, p. 45.

(2)  Decisão de Execução 2014/287/UE da Comissão, de 10 de março de 2014, que define critérios para a criação e avaliação de redes europeias de referência e dos seus membros, bem como para facilitar o intercâmbio de informações e experiências sobre a criação e avaliação das referidas redes (JO L 147 de 17.5.2014, p. 79).

(3)  Decisão Delegada 2014/286/UE da Comissão, de 10 de março de 2014, que estabelece os critérios e condições a cumprir pelas redes europeias de referência e pelos prestadores de cuidados de saúde que desejem integrar uma rede europeia de referência (JO L 147 de 17.5.2014, p. 71).

(4)  Tal como referido no considerando 14 e no anexo I, ponto 7, alínea c), da Decisão Delegada 2014/286/UE, bem como na Declaração do Conselho de Estados-Membros, de 10 de outubro de 2017, disponível em https://ec.europa.eu/health/sites/health/files/ern/docs/boms_affiliated_partners_en.pdf

(5)  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(6)  Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).


ANEXO I

«ANEXO III

ATRIBUIÇÃO DE RESPONSABILIDADES ENTRE OS CONTROLADORES CONJUNTOS

1.

A Comissão é responsável:

i)

pela criação, funcionamento e administração do SGCD;

ii)

por fornecer, quando necessário, os meios técnicos aos prestadores de cuidados de saúde para permitir que os doentes exerçam os seus direitos através do SGCD em conformidade com o Regulamento (UE) 2018/1725 e responder e atender aos pedidos das pessoas em causa, sempre que tal seja exigido pela legislação aplicável;

iii)

por assegurar que o SGCD cumpre os requisitos aplicáveis aos sistemas de comunicação e de informação da Comissão (1);

iv)

por definir e aplicar os meios técnicos que permitam aos doentes exercer os seus direitos em conformidade com o Regulamento (UE) 2018/1725;

v)

por comunicar aos prestadores de cuidados de saúde quaisquer violações de dados pessoais no âmbito do SGCD;

vi)

por exportar conjuntos de dados pessoais do SGCD em caso de alteração do subcontratante que trata os dados pessoais;

vii)

por identificar as categorias de pessoal e outras pessoas a quem pode ser concedido acesso ao SGCD, afiliados aos prestadores de cuidados de saúde autorizados a aceder ao SGCD;

viii)

por assegurar que o nome e local de nascimento dos doentes (exceto se necessário para o diagnóstico e o tratamento) e a data exata de nascimento sejam encriptados e pseudonimizados, e que outros dados pessoais necessários para efeitos de diagnóstico e tratamento sejam pseudonimizados no SGCD;

ix)

por criar as salvaguardas adequadas para garantir a segurança e a confidencialidade dos dados pessoais tratados através do SGCD relativos aos doentes.

2.

Cada prestador de cuidados de saúde autorizado a aceder ao SGCD é responsável:

i)

pela seleção dos doentes cujos dados pessoais são tratados através do SGCD;

ii)

pela recolha e manutenção do(s) consentimento(s) explícito(s), informado(s), dado(s) livremente e específico(s) dos doentes cujos dados são tratados através do SGCD em conformidade com os requisitos mínimos obrigatórios relativos ao formulário de consentimento especificados no anexo IV;

iii)

por servir de ponto de contacto para os seus doentes, incluindo quando estes exercem os seus direitos, respondendo aos pedidos dos doentes ou dos seus representantes e garantindo que os doentes cujos dados são tratados através do SGCD têm a possibilidade de exercer os seus direitos em conformidade com a legislação em matéria de proteção de dados, utilizando, se necessário, os meios técnicos disponibilizados pela Comissão em conformidade com o ponto 1, alínea ii);

iv)

por rever, pelo menos de quinze em quinze anos, a necessidade de tratar dados pessoais específicos dos doentes através do SGCD;

v)

por garantir a segurança e a confidencialidade de qualquer tratamento de dados pessoais dos pacientes fora do SGCD levado a cabo por esse prestador de cuidados de saúde, quando esses dados sejam tratados para efeitos ou no âmbito do tratamento de dados pessoais dos doentes através do SGCD;

vi)

por comunicar à Comissão, às autoridades de controlo competentes e, se for caso disso, aos doentes, em conformidade com os artigos 33.o e 34.o do Regulamento (UE) 2016/679 ou a pedido da Comissão, quaisquer violações de dados pessoais no que diz respeito aos dados pessoais dos doentes tratados através do SGCD;

vii)

por identificar, em conformidade com os critérios de acesso referidos no ponto 1, subalínea vii), do presente anexo, o pessoal e outras pessoas afiliadas ao prestador, a quem deve ser concedido acesso aos dados pessoais dos doentes no âmbito do SGCD e comunicá-lo à Comissão;

viii)

por assegurar que o pessoal e outras pessoas afiliadas ao prestador, que têm acesso aos dados pessoais dos doentes no âmbito do SGCD, recebem formação adequada para assegurar que desempenham as suas tarefas em conformidade com as regras aplicáveis à proteção de dados pessoais e que estão sujeitos à obrigação de sigilo profissional, em conformidade com o artigo 9.o, n.o 3, do Regulamento (UE) 2016/679.

»

(1)  Decisão (UE, Euratom) 2017/46 da Comissão, de 10 de janeiro de 2017, relativa à segurança dos sistemas de comunicação e de informação na Comissão Europeia (JO L 6 de 11.1.2017, p. 40) e Decisão da Comissão, de 13 de dezembro de 2017, que estabelece as normas de execução dos artigos 3.o, 5.o, 7.o, 8.o, 9.o, 10.o, 11.o, 12.o, 14.o e 15.o da Decisão (UE, Euratom) 2017/46 sobre a segurança dos sistemas de comunicação e informação na Comissão [C(2017) 8841 final].


ANEXO II

«ANEXO IV

Requisitos mínimos obrigatórios aplicáveis ao formulário de consentimento a fornecer pelos prestadores de cuidados de saúde autorizados a aceder ao SGCD

1.

O formulário de consentimento deve descrever a base jurídica e a legalidade do tratamento, bem como o conceito e a finalidade das RER estabelecidas pela Diretiva 2011/24/UE relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços. Deve conter informações sobre operações de tratamento específicas e sobre os direitos respetivos do titular dos dados em conformidade com a legislação aplicável em matéria de proteção de dados. Deve explicar que as redes são constituídas por membros que são prestadores de cuidados de saúde altamente especializados, com o objetivo de permitir que os profissionais de saúde trabalhem em conjunto para apoiar os doentes com doenças ou afeções complexas raras ou de baixa prevalência que necessitam de cuidados de saúde altamente especializados.

2.

O formulário de consentimento deve solicitar o consentimento explícito do doente para partilhar os seus dados pessoais com uma ou mais RER, com o único objetivo de melhorar o seu acesso a diagnóstico e tratamento e à prestação de cuidados de saúde de elevada qualidade. Para esse efeito, deve explicar que:

a)

Se o consentimento for dado, os dados pessoais dos doentes serão tratados por prestadores de cuidados de saúde autorizados a aceder ao SGCD, respeitando as seguintes condições:

i)

o nome do doente, bem como o local e a data exata de nascimento não serão incluídos nos dados partilhados; os dados de identificação do doente serão substituídos por um identificador único que não permite a identificação do doente por qualquer outra pessoa que não o prestador de cuidados de saúde (pseudonimização),

ii)

apenas serão partilhados os dados relevantes para efeitos de diagnóstico e tratamento; tal pode incluir a zona de nascimento e a zona de residência, o sexo, o ano e o mês de nascimento, as imagens médicas, os relatórios de laboratório, bem como os dados relativos às amostras biológicas. Pode igualmente incluir cartas e relatórios de outros profissionais de saúde que tenham cuidado do doente no passado,

iii)

os dados do doente serão partilhados através do sistema de gestão clínica de doentes (SGCD), um sistema de informação eletrónico seguro,

iv)

apenas os profissionais de saúde e outras pessoas afiliadas aos prestadores de cuidados de saúde sujeitos à obrigação de sigilo profissional que têm direito de acesso aos dados dos doentes nas redes podem ter acesso aos dados do doente,

v)

os profissionais de saúde e outras pessoas afiliadas aos prestadores de cuidados de saúde que têm direito de acesso aos dados dos doentes podem efetuar pesquisas no SGCD e criar relatórios para identificar casos semelhantes de doentes;

b)

Se o consentimento não for dado, isso não afetará de forma alguma os cuidados prestados ao doente pelo respetivo prestador de cuidados de saúde.

3.

O formulário de consentimento pode igualmente solicitar o consentimento adicional do doente para os seus dados serem introduzidos em registos ou noutras bases de dados de doenças complexas raras e de baixa prevalência, para fins científicos, clínicos ou de elaboração de políticas. Se for solicitado o consentimento para este fim, o formulário de consentimento deve descrever o conceito e a finalidade dos registos ou bases de dados de doenças raras e explicar que:

a)

Se o consentimento for dado, os dados pessoais dos doentes serão tratados por prestadores de cuidados de saúde autorizados a aceder ao SGCD, respeitando as seguintes condições:

i)

apenas serão partilhados os dados relevantes relacionados com a situação médica do doente,

ii)

os profissionais de saúde e outras pessoas afiliadas aos prestadores de cuidados de saúde que têm direito de acesso aos dados dos doentes podem efetuar pesquisas no SGCD e criar relatórios para identificar casos semelhantes de doentes;

b)

Se o consentimento não for dado, isso não afetará de forma alguma os cuidados prestados ao doente pelo respetivo prestador de cuidados de saúde, nem obstará a que a rede preste aconselhamento em matéria de diagnóstico e tratamento, a pedido do doente.

4.

O formulário de consentimento pode igualmente solicitar o consentimento adicional do doente para ser contactado por um membro da rede que considere que o doente pode ser adequado para uma iniciativa de investigação científica, um projeto de investigação científica específico ou partes de um projeto de investigação científica. Se for solicitado o consentimento para esse efeito, o formulário de consentimento deve explicar que, nesta fase, dar consentimento para ser contactado para fins de investigação científica não significa dar o consentimento para que os dados do doente sejam utilizados para uma iniciativa específica de investigação científica, nem significa que o doente será em qualquer caso contactado no âmbito de um projeto de investigação científica específico ou que o doente fará parte de um projeto de investigação científica específico; deve igualmente explicar que:

a)

Se o consentimento for dado, os dados pessoais dos doentes serão tratados por prestadores de cuidados de saúde autorizados a aceder ao SGCD, respeitando as seguintes condições:

i)

os profissionais de saúde e outras pessoas afiliadas aos prestadores de cuidados de saúde que têm direito de acesso aos dados dos doentes podem efetuar pesquisas no SGCD e criar relatórios para encontrar doentes adequados para investigação científica,

ii)

se a doença ou afeção do doente for relevante para um projeto de investigação científica específico, o doente pode ser contactado para este projeto de investigação científica específico, a fim de obter o consentimento do doente para que os seus dados sejam utilizados para esse projeto de investigação científica;

b)

Se o consentimento não for dado, isso não afetará de forma alguma os cuidados prestados ao doente pelo respetivo prestador de cuidados de saúde, nem obstará a que a rede preste aconselhamento em matéria de diagnóstico e tratamento, a pedido do doente.

5.

O formulário de consentimento deve explicar os direitos do doente no que respeita ao(s) respetivo(s) consentimento(s) para partilhar dados pessoais e, em particular, dar a informação de que o doente:

a)

Tem o direito de dar ou de reter qualquer dos consentimentos e que isso não afetará os cuidados que lhe são prestados;

b)

Pode retirar a qualquer altura o consentimento previamente dado;

c)

Tem o direito de saber que dados são partilhados numa rede e de aceder aos dados que lhe dizem respeito e solicitar a correção de eventuais erros;

d)

Pode solicitar o bloqueio ou o apagamento dos seus dados pessoais e tem o direito de portabilidade dos dados.

6.

O formulário de consentimento deve informar o doente de que o prestador de cuidados de saúde conservará os dados pessoais apenas durante o tempo necessário para os fins para os quais o doente tenha dado o seu consentimento e que a necessidade de armazenar os dados pessoais dos doentes no SGCD será revista, pelo menos, de quinze em quinze anos.

7.

O formulário de consentimento deve informar o doente sobre a identidade e os dados de contacto dos responsáveis pelo tratamento de dados, indicando claramente que o ponto de contacto para exercer os direitos do doente é o prestador de cuidados de saúde específico autorizado a aceder ao SGCD, sobre os contactos dos responsáveis pela proteção de dados e, se aplicável, sobre as vias de recurso disponíveis relacionadas com a proteção de dados, e deve indicar os dados de contacto da autoridade nacional de proteção de dados.

8.

O formulário de consentimento deve registar separadamente o consentimento individual para cada uma das três formas diferentes de partilha de dados de um modo específico, explícito e inequívoco:

a)

O consentimento deve ser demonstrado através de uma ação afirmativa inequívoca, por exemplo, utilizando uma quadrícula específica a assinalar e uma assinatura no formulário;

b)

Devem ser incluídas ambas as opções (dar ou recusar o consentimento).

»