DECISÃO DE EXECUÇÃO (UE) 2019/1765 DA COMISSÃO

de 22 de outubro de 2019

que estabelece as regras para a criação, a gestão e o funcionamento da rede de autoridades nacionais responsáveis pela saúde em linha e que revoga a Decisão de Execução 2011/890/UE

[notificada com o número C(2019) 7460]

(Texto relevante para efeitos do EEE)

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta a Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (1), nomeadamente o artigo 14.o, n.o 3,

Considerando o seguinte:

(1)

O artigo 14.o da Diretiva 2011/24/UE prevê que a União apoie e promova a cooperação e o intercâmbio de informações entre os Estados-Membros no âmbito de uma rede voluntária composta pelas autoridades nacionais responsáveis pela saúde em linha («rede de saúde em linha») designadas pelos Estados-Membros.

(2)	A Decisão de Execução 2011/890/UE da Comissão (2) estabelece regras para o estabelecimento, a gestão e o funcionamento da rede de saúde em linha.

(3)

Essa decisão não inclui atualmente regras adequadas no que diz respeito a certos aspetos necessários ao funcionamento suficientemente transparente da rede de saúde em linha, em especial no que se refere ao papel da rede de saúde em linha e da Comissão relativamente à infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras e aos novos requisitos em matéria de proteção de dados previstos no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (3) («regulamento geral sobre a proteção de dados») e no Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (4).

(4)

A gestão transparente da rede de saúde em linha deve ser assegurada através do estabelecimento de regras relativas à adesão dos membros à rede e à sua saída. Dado que a participação na rede de saúde em linha é voluntária, os Estados-Membros devem ter a possibilidade de aderir a qualquer momento. Por motivos de organização, os Estados-Membros que pretendam participar devem informar antecipadamente a Comissão dessa intenção.

(5)

A comunicação eletrónica é um meio adequado para um intercâmbio rápido e fiável de dados entre os Estados-Membros que fazem parte da rede de saúde em linha. Neste domínio, registaram-se desenvolvimentos significativos. Nomeadamente, a fim de facilitar a interoperabilidade dos sistemas europeus de saúde em linha, os Estados-Membros que participam na rede, e que decidiram reforçar a sua cooperação neste domínio com o apoio da Comissão, criaram a infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras, enquanto instrumento informático para o intercâmbio de dados de saúde no âmbito do programa Mecanismo Interligar a Europa (5). Esta evolução deve ser refletida na presente decisão. Além disso, tal como salienta a Comunicação da Comissão, de 25 de abril de 2018, sobre a viabilização da transformação digital dos serviços de saúde e de prestação de cuidados no Mercado Único Digital, a capacitação dos cidadãos e a construção de uma sociedade mais saudável (6), o respetivo papel dos Estados-Membros participantes e da Comissão no funcionamento da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras deve ser clarificado.

(6)

O papel da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras deve ser o de facilitar o intercâmbio transfronteiras de dados de saúde entre os Estados-Membros que participam na rede de saúde em linha, tal como reconhecido nas conclusões do Conselho de 2017 sobre a saúde na sociedade digital (7), tais como os dados dos doentes incluídos nas receitas eletrónicas e nos resumos de saúde dos doentes e, mais tarde, registos de saúde eletrónicos mais completos, bem como desenvolver outros casos de utilização e domínios de informação em matéria de saúde.

(7)

A infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras é composta por serviços de base e serviços genéricos, tal como previsto no Regulamento (UE) n.o 283/2014 do Parlamento Europeu do Conselho (8). Os serviços de base são desenvolvidos, implantados e mantidos pela Comissão Europeia. Juntamente com os serviços genéricos, devem permitir e apoiar a conectividade transeuropeia. Os serviços genéricos são desenvolvidos, implantados e mantidos pelos pontos de contacto nacionais para a saúde em linha, designados por cada Estado-Membro. Os pontos de contacto nacionais para a saúde em linha, recorrendo aos serviços genéricos, ligam a infraestrutura nacional aos pontos de contacto nacionais para a saúde em linha de outro Estado-Membro através das plataformas de serviços de base.

(8)

A fim de melhorar o intercâmbio transfronteiras de dados de saúde e alcançar a interoperabilidade técnica, semântica e organizativa entre os sistemas nacionais de saúde em linha, a rede de saúde em linha deverá, no contexto da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras, assumir a liderança na elaboração e coordenação dos requisitos e especificações comuns necessários.

(9)

A rede de saúde em linha está já a realizar várias atividades no domínio da saúde em linha, definidas no seu programa de trabalho plurianual e destinadas principalmente a prestar orientações, partilhar boas práticas ou encontrar formas comuns de trabalhar em conjunto. Entre estas atividades contam-se, por exemplo: trabalhar para que os cidadãos possam desempenhar um papel ativo na gestão dos seus próprios dados de saúde, nomeadamente no domínio da saúde em linha, da saúde móvel e da telemedicina, bem como o acesso, a utilização e a partilha pelos doentes dos seus próprios dados de saúde e a literacia digital dos doentes. Outras atividades da rede estão relacionadas com a utilização inovadora dos dados de saúde, incluindo os megadados, a inteligência artificial, o desenvolvimento do conhecimento sobre a política de cuidados de saúde, incluindo a prestação, em cooperação com as partes interessadas a nível nacional e da UE, de orientações sobre a promoção da saúde, a prevenção de doenças e a melhoria da prestação de cuidados de saúde através de uma melhor utilização de dados de saúde. A rede apoia os Estados-Membros no sentido de permitir a partilha e a utilização de dados médicos e de saúde para efeitos de saúde pública e investigação. Em conformidade com o artigo 14.o, n.o 2, alínea c), da Diretiva 2011/24/UE, a rede apoia igualmente os Estados-Membros no desenvolvimento de meios de identificação eletrónica e de autenticação para facilitar a transferibilidade dos dados no âmbito de cuidados de saúde transfronteiriços, em especial no que diz respeito à infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras, tendo em conta o quadro eIDAS e outras ações em curso a nível da União.

(10)

A rede de saúde em linha está também a trabalhar no reforço da continuidade dos cuidados, melhorando a adesão aos serviços de saúde em linha transfronteiras, desenvolvendo novos casos de utilização e domínios de informação de saúde, para além do resumo de saúde dos doentes e das receitas eletrónicas, bem como nos desafios de implementação relacionados com a interoperabilidade, a proteção de dados, a segurança dos dados ou as competências digitais dos profissionais de saúde. A rede permite ainda uma maior interoperabilidade dos sistemas nacionais de tecnologias da informação e da comunicação e a transferibilidade transfronteiras de dados de saúde eletrónicos no âmbito dos cuidados de saúde transfronteiras, prestando orientações sobre os requisitos e especificações que devem ser utilizados para alcançar a interoperabilidade técnica, semântica e organizativa entre os sistemas nacionais de cuidados de saúde digitais. A rede está a trabalhar no sentido de promover uma cooperação mais forte no que diz respeito ao desenvolvimento e à partilha de boas práticas em matéria de estratégias nacionais de saúde digital, com o objetivo de criar convergência para um sistema interoperável de saúde em linha.

(11)

Ao preparar orientações sobre aspetos de segurança do intercâmbio de dados, a rede de saúde em linha deve beneficiar dos conhecimentos especializados do grupo de cooperação da segurança das redes e da informação (SRI), criado nos termos do artigo 11.o da Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (9), e da Agência da União Europeia para a Segurança das Redes e da Informação (ENISA).

(12)

A rede de saúde em linha promove igualmente a troca de pontos de vista entre os seus membros sobre os desafios estratégicos nacionais no que se refere às novas tecnologias e aos novos usos de dados, e deve promover debates com outras instâncias pertinentes da União (como o grupo diretor para a promoção da saúde, prevenção das doenças e gestão de doenças não transmissíveis ou o Conselho de Estados-Membros para as redes europeias de referência) sobre as prioridades, as orientações estratégicas e a sua implementação.

(13)

Em 6 de fevereiro de 2019, a Comissão adotou uma recomendação relativa a um formato europeu de intercâmbio de registos de saúde eletrónicos (10) («Recomendação da Comissão»). A fim de apoiar a adoção, o desenvolvimento e a utilização do formato europeu para o intercâmbio de registos de saúde eletrónicos, a rede de saúde em linha, trabalhando em conjunto com a Comissão, as partes interessadas, os médicos, os representantes dos doentes e as autoridades competentes, deverá desenvolver orientações, continuar a apoiar o desenvolvimento e o acompanhamento do formato de intercâmbio de registos de saúde eletrónicos e apoiar os Estados-Membros na garantia da privacidade e da segurança do intercâmbio de dados. A fim de reforçar a interoperabilidade, a rede desenvolveu orientações para o investimento (11), que recomendam que sejam tidas em conta as normas e especificações referidas na Recomendação da Comissão, em especial para efeitos dos procedimentos de adjudicação de contratos.

(14)

Uma vez que a infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras é um elemento importante do funcionamento da rede, convém clarificar o papel da rede de saúde em linha na referida infraestrutura e noutros serviços europeus partilhados de saúde em linha, a fim de garantir a transparência do funcionamento da rede.

(15)

A fim de assegurar o intercâmbio efetivo de dados de saúde entre os Estados-Membros, a rede de saúde em linha deve poder trabalhar no sentido de permitir aos Estados-Membros fazer esse intercâmbio. Em especial, com base no cumprimento de requisitos predefinidos e nos testes previstos e nas auditorias realizadas pela Comissão e, se possível, por outros peritos, a rede de saúde em linha deverá ter a possibilidade de chegar a acordo sobre a preparação organizativa, semântica e técnica dos Estados-Membros candidatos para intercambiarem dados eletrónicos completos de saúde validados para os casos de utilização adotados, através do respetivo ponto de contacto nacional para a saúde em linha, e pela continuação do seu cumprimento a esse respeito.

(16)

Para um funcionamento eficaz e transparente da rede, devem ser estabelecidas regras relativas à adoção do regulamento interno e do programa de trabalho plurianual, bem como à criação de subgrupos, a fim de assegurar o funcionamento eficaz da rede de saúde em linha. O regulamento interno deve especificar o procedimento aplicável às decisões relativas ao intercâmbio de dados pessoais através da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras, tal como descrito acima.

(17)

Os membros interessados da rede de saúde em linha podem reforçar a sua cooperação nos domínios abrangidos pelas tarefas da rede. Esta cooperação é impulsionada pelos Estados-Membros e é de natureza voluntária. É o caso da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras, e pode também ser o caso de outros serviços europeus de saúde em linha partilhados, desenvolvidos no âmbito da rede de saúde em linha. Sempre que os Estados-Membros optem por reforçar a sua cooperação, devem chegar a acordo sobre as regras dessa cooperação e cumpri-las.

(18)

A fim de assegurar um funcionamento transparente da rede de saúde em linha, a sua relação com a Comissão deve ser estabelecida, em especial no que se refere às funções da rede de saúde em linha e ao papel da Comissão no intercâmbio transfronteiras de dados de saúde através da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras.

(19)

O tratamento de dados pessoais de doentes, de representantes de Estados-Membros, de peritos e de observadores que participam na rede de saúde em linha, que é efetuado sob a responsabilidade dos Estados-Membros ou de outras organizações ou organismos públicos dos Estados-Membros, deve ser efetuado em conformidade com o regulamento geral sobre a proteção de dados e a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (12). Os dados pessoais dos representantes das autoridades nacionais responsáveis pela saúde em linha, de outros representantes dos Estados-Membros, de peritos e de observadores que participam na rede de saúde em linha são tratados pela Comissão em conformidade com o Regulamento (UE) 2018/1725. O tratamento de dados pessoais para efeitos de gestão e garantia da segurança dos serviços essenciais da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras, efetuado sob a responsabilidade da Comissão, deve cumprir o disposto no Regulamento (UE) 2018/1725.

(20)

Os Estados-Membros, representados pelas autoridades nacionais competentes ou outros organismos designados, determinam em conjunto a finalidade e os meios de tratamento de dados pessoais através da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras e são, por conseguinte, responsáveis pelo tratamento. As responsabilidades respetivas entre os responsáveis pelo tratamento são definidas num acordo separado. A Comissão, enquanto prestadora de soluções técnicas e organizativas da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras, trata os dados pessoais codificados dos doentes em nome dos Estados-Membros entre os pontos de contacto nacionais para a saúde em linha e, por conseguinte, é um subcontratante. Nos termos do artigo 28.o do regulamento geral sobre a proteção de dados e do artigo 29.o do Regulamento (UE) 2018/1725, o tratamento por um subcontratante é regulado por um contrato ou ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento e especifica o tratamento. A presente decisão define regras que regulam o tratamento por parte da Comissão enquanto subcontratante.

(21)

A fim de assegurar a igualdade de direitos de acesso com base no Regulamento geral sobre a proteção de dados e no Regulamento (UE) 2018/1725, a Comissão deve ser considerada responsável pelo tratamento dos dados pessoais relativos à gestão dos direitos de acesso aos serviços de base da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras.

(22)	A fim de tornar os procedimentos de reembolso transparentes, devem ser definidas regras sobre as despesas dos participantes nas atividades da rede de saúde em linha.

(23)	A Decisão de Execução 2011/890/UE deve, por conseguinte, ser revogada e substituída pela presente decisão, por razões de clareza e segurança jurídica.

(24)	As medidas previstas na presente decisão estão em conformidade com o parecer do comité instituído pelo artigo 16.o da Diretiva 2011/24/UE,

ADOTOU A PRESENTE DECISÃO:

Artigo 1.o

Objeto

A presente decisão define as regras necessárias para a criação, a gestão e o funcionamento da rede de autoridades nacionais responsáveis pela saúde em linha, como previsto no artigo 14.o da Diretiva 2011/24/UE.

Artigo 2.o

Definições

1. Para efeitos da presente Decisão, entende-se por:

a)	«Rede de saúde em linha», a rede voluntária que liga as autoridades nacionais responsáveis pela saúde em linha designadas pelos Estados-Membros e que prossegue os objetivos estabelecidos no artigo 14.o da Diretiva 2011/24/UE;

b)	«Pontos de contacto nacionais para a saúde em linha», os pontos de acesso organizativos e técnicos para a prestação de serviços de informação de saúde em linha transfronteiras sob a responsabilidade dos Estados-Membros;

c)	«Serviços de informação de saúde em linha transfronteiras», serviços existentes processados através dos pontos de contacto nacionais para a saúde em linha e de uma plataforma de serviços de base desenvolvida pela Comissão para efeitos de cuidados de saúde transfronteiras;

«Infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras», a infraestrutura que permite a prestação de serviços de informação de saúde linha transfronteiras através de pontos de contacto nacionais para a saúde em linha e da plataforma europeia de serviços de base. Esta infraestrutura inclui por um lado os serviços genéricos, tal como definidos no artigo 2.o, n.o 2, alínea e), do Regulamento (UE) n.o 283/2014, desenvolvidos pelos Estados-Membros, e por outro uma plataforma de serviços de base, definida no artigo 2.o, n.o 2, alínea d), desenvolvida pela Comissão;

e)	«Outros serviços europeus partilhados de saúde em linha», serviços digitais que podem ser desenvolvidos no âmbito da rede de saúde em linha e partilhados entre Estados-Membros;

«Modelo de governação», um conjunto de regras relativas à designação de organismos que participam nos processos de tomada de decisão relativos à infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras ou outros serviços europeus partilhados de saúde em linha, desenvolvidos no âmbito da rede de saúde em linha, bem como uma descrição desses processos.

2. As definições do artigo 4.o, pontos 1, 2, 7, e 8, do Regulamento (UE) 2016/679 são aplicáveis em conformidade.

Artigo 3.o

Participação na rede de saúde em linha

1. Os membros da rede de saúde em linha são as autoridades dos Estados-Membros responsáveis pela saúde em linha, designadas pelos Estados-Membros que participam na rede de saúde em linha.

2. Os Estados-Membros que desejem participar na rede de saúde em linha devem comunicar à Comissão, por escrito:

a)	A decisão de participar na rede de saúde em linha;

b)	A autoridade nacional responsável pela saúde em linha, que se tornará membro da rede de saúde em linha, bem como o nome do representante e do seu suplente.

3. Os membros devem notificar por escrito à Comissão o seguinte:

a)	A sua decisão de se retirar da rede de saúde em linha;

b)	Qualquer alteração nas informações referidas no n.o 2, alínea b).

4. A Comissão disponibiliza ao público a lista dos membros que participam na rede de saúde em linha.

Artigo 4.o

Atividades da rede de saúde em linha

1. Na prossecução do objetivo referido no artigo 14.o, n.o 2, alínea a), da Diretiva 2011/24/UE, a rede de saúde em linha pode, nomeadamente:

a)	Facilitar uma maior interoperabilidade dos sistemas nacionais de tecnologias da informação e da comunicação e a transferibilidade transfronteiras dos dados de saúde eletrónicos no âmbito dos cuidados de saúde transfronteiras;

b)	Dar orientações aos Estados-Membros, em cooperação com outras autoridades de supervisão competentes, no que diz respeito à partilha de dados de saúde entre os Estados-Membros e à capacitação dos cidadãos para acederem aos seus próprios dados de saúde e os partilharem;

Dar orientações aos Estados-Membros e facilitar o intercâmbio de boas práticas relativas ao desenvolvimento de diferentes serviços digitais de saúde, como a telemedicina, a saúde móvel ou as novas tecnologias no domínio dos megadados e da inteligência artificial, tendo em conta as ações em curso a nível da UE;

d)	Dar orientações aos Estados-Membros no que diz respeito ao apoio à promoção da saúde, à prevenção de doenças e à melhoria da prestação de cuidados de saúde, através de uma melhor utilização dos dados relativos à saúde e da melhoria das competências digitais dos doentes e dos profissionais de saúde;

e)	Dar orientações aos Estados-Membros e facilitar o intercâmbio voluntário de boas práticas sobre os investimentos em infraestruturas digitais;

f)	Dar orientações, em colaboração com outros organismos e partes interessadas pertinentes, aos Estados-Membros sobre os casos de utilização necessários para a interoperabilidade clínica e os instrumentos para a sua consecução;

Dar orientações aos membros sobre a segurança da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras ou de outros serviços europeus partilhados de saúde em linha desenvolvidos no âmbito da rede de saúde em linha, tendo em conta a legislação e os documentos elaborados a nível da União, em especial no domínio da segurança, bem como recomendações no domínio da cibersegurança, trabalhando em estreita cooperação com o grupo de cooperação para a segurança das redes e da informação, com a Agência da União Europeia para a Segurança das Redes e da Informação e com as autoridades nacionais, se for caso disso.

2. Ao elaborar as orientações relativas a métodos eficazes que permitam utilizar as informações médicas para efeitos de saúde pública e investigação referidas no artigo 14.o, n.o 2, alínea b), subalínea ii), da Diretiva 2011/24/UE, a rede de saúde em linha deve ter em conta as orientações adotadas e, se for caso disso, consultar o Comité Europeu para a Proteção de Dados. Estas orientações podem também abordar as informações trocadas através infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras ou outros serviços europeus partilhados de saúde em linha.

Artigo 5.o

Funcionamento da rede de saúde em linha

1. A rede de saúde em linha define o seu regulamento interno por maioria simples dos seus membros.

2. A rede de saúde em linha adota um programa de trabalho plurianual e um instrumento de avaliação sobre a execução do programa.

3. Para desempenhar as suas funções, a rede de saúde em linha pode criar subgrupos permanentes relacionados com tarefas específicas, em especial relativamente à infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras ou outros serviços europeus partilhados de saúde em linha desenvolvidos no âmbito da rede de saúde em linha.

4. A rede de saúde em linha pode também criar subgrupos temporários, nomeadamente com peritos para examinar questões específicas, com base num mandato definido pela própria rede de saúde em linha. Esses subgrupos são dissolvidos uma vez cumprido o seu mandato.

5. Quando os membros da rede de saúde em linha decidirem reforçar a sua cooperação em alguns domínios abrangidos pelas tarefas da rede de saúde em linha, deverão chegar a acordo e comprometer-se quanto às regras da cooperação reforçada.

6. Na prossecução dos seus objetivos, a rede de saúde em linha deve trabalhar em estreita cooperação com as ações conjuntas de apoio às atividades da rede de saúde em linha se essas ações existirem, com as partes interessadas ou outros organismos envolvidos ou mecanismos de apoio e deve ter em conta os resultados alcançados no quadro dessas atividades.

7. A rede de saúde em linha elabora, juntamente com a Comissão, os modelos de governação da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras e participa nessa governação das seguintes formas:

i)	chega a acordo sobre as prioridades da infraestrutura de serviços digitais de saúde em linha, e supervisiona o seu funcionamento,

ii)	elabora orientações e requisitos aplicáveis à operação, incluindo a seleção das normas utilizadas para a infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras,

iii)

chega a acordo sobre se os membros da rede de saúde em linha devem ser autorizados a iniciar e a continuar o intercâmbio de dados de saúde eletrónicos pela infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras através dos seus pontos de contacto nacionais para a saúde em linha, com base na sua conformidade com os requisitos estabelecidos pela rede de saúde em linha, avaliada em testes e auditorias realizados pela Comissão,

iv)	aprova o plano de atividades anual para a infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras.

8. A rede de saúde em linha pode elaborar, juntamente com a Comissão, os modelos de governação de outros serviços europeus partilhados de saúde em linha desenvolvidos no âmbito da rede de saúde em linha e participar na sua governação. A rede pode igualmente definir as prioridades, juntamente com a Comissão, e elaborar orientações para o funcionamento desses serviços europeus partilhados de saúde em linha.

9. O regulamento interno pode prever que países que não sejam Estados-Membros que apliquem a Diretiva 2011/24/UE possam participar nas reuniões da rede de saúde em linha na qualidade de observadores.

10. Os membros da rede de saúde em linha e os seus representantes, assim como os peritos e observadores convidados, estão sujeitos às obrigações de sigilo profissional previstas no artigo 339.o do Tratado bem como às regras da Comissão em matéria de segurança no que respeita à proteção das informações classificadas da UE, estabelecidas no anexo da Decisão (UE, Euratom) 2015/444 da Comissão (13). Caso não cumpram estas obrigações, o presidente da rede de saúde em linha pode tomar todas as medidas adequadas, tal como previsto no regulamento interno.

Artigo 6.o

Relação entre a rede de saúde em linha e a Comissão

1. A Comissão deve:

a)	Participar nas reuniões da rede de saúde em linha e copresidir às reuniões juntamente com o representante dos membros;

b)	Cooperar com a rede de saúde em linha e prestar-lhe apoio no âmbito das suas atividades;

c)	Assegurar o secretariado da rede de saúde em linha;

d)	Desenvolver, implementar e manter medidas técnicas e organizativas adequadas relacionadas com os serviços essenciais da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras;

Apoiar a rede de saúde em linha a chegar a acordo sobre a conformidade técnica e organizativa dos pontos de contacto nacionais para a saúde em linha com os requisitos para o intercâmbio transfronteiras de dados de saúde, fornecendo e efetuando os testes e auditorias necessários. Os peritos dos Estados-Membros podem dar assistência aos auditores da Comissão.

2. A Comissão pode participar nas reuniões dos subgrupos da rede de saúde em linha.

3. A Comissão pode consultar a rede de saúde em linha sobre questões relacionadas com a saúde em linha a nível da União e o intercâmbio de boas práticas em matéria de saúde em linha.

4. A Comissão disponibiliza ao público informações sobre as atividades realizadas pela rede de saúde em linha.

Artigo 7.o

Proteção de dados

1. Os Estados-Membros, representados pelas autoridades nacionais competentes ou por outros organismos designados, devem ser considerados responsáveis pelo tratamento de dados pessoais que tratam através da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras e devem atribuir claramente e de forma transparente as responsabilidades aos responsáveis pelo tratamento.

2. A Comissão deve ser considerada como subcontratante relativamente ao tratamento dos dados pessoais dos doentes através da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras. Na sua qualidade de subcontratante, a Comissão deve gerir os serviços de base da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras e cumprir as obrigações dos subcontratantes estabelecidas no anexo da presente decisão. A Comissão não tem acesso aos dados pessoais dos doentes tratados através da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras.

3. A Comissão deve ser considerada responsável pelo tratamento dos dados pessoais necessários para a concessão e gestão dos direitos de acesso aos serviços essenciais da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras. Estes dados são as informações de contacto dos utilizadores, incluindo o nome, o apelido e o endereço eletrónico, e a organização a que pertencem.

Artigo 8.o

Despesas

1. Os participantes nas atividades da rede de saúde em linha não são remunerados pela Comissão pelos serviços prestados.

2. As despesas de viagem e de estadia incorridas pelos participantes nas atividades da rede de saúde em linha são reembolsadas pela Comissão, em conformidade com as disposições em vigor na Comissão sobre o reembolso das despesas efetuadas por pessoas externas à Comissão convidadas para participar em reuniões na qualidade de peritos. Essas despesas são reembolsadas dentro dos limites das dotações disponíveis, atribuídas no âmbito do procedimento anual de afetação de recursos.

Artigo 9.o

Revogação

A Decisão de Execução 2011/890/UE é revogada. As remissões para a decisão revogada devem entender-se como sendo feitas para a presente decisão.

Artigo 10.o

Destinatários

Os destinatários da presente decisão são os Estados-Membros.

Feito em Bruxelas, em 22 de outubro de 2019.

Pela Comissão

Vytenis ANDRIUKAITIS

Membro da Comissão

(1) JO L 88 de 4.4.2011, p. 45.

(2) Decisão de Execução 2011/890/UE da Comissão, de 22 de dezembro de 2011, que estabelece as normas para a criação, a gestão e o funcionamento da rede de autoridades nacionais responsáveis pela saúde em linha (JO L 344 de 28.12.2011, p. 48).

(3) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(4) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(5) Regulamento (UE) n.o 1316/2013 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2013, que cria o Mecanismo Interligar a Europa, altera o Regulamento (UE) n.o 913/2010 e revoga os Regulamentos (CE) n.o 680/2007 e (CE) n.o 67/2010 (JO L 348 de 20.12.2013, p. 129).

(6) Comunicação da Comissão sobre a viabilização da transformação digital dos serviços de saúde e de prestação de cuidados no Mercado Único Digital, a capacitação dos cidadãos e a construção de uma sociedade mais saudável [COM(2018) 233 final, p. 7].

(7) Conclusões do Conselho sobre a saúde na sociedade digital — fazer progressos na inovação baseada em dados no domínio da saúde (2017/C 440/05, n.o 30).

(8) Regulamento (UE) n.o 283/2014 do Parlamento Europeu e do Conselho, de 11 de março de 2014, relativo às orientações para as redes transeuropeias na área das infraestruturas de telecomunicações e que revoga a Decisão n.o 1336/97/CE (JO L 86 de 21.3.2014, p. 14).

(9) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016 relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de 19.7.2016, p. 1).

(10) Recomendação (UE) 2019/243 da Comissão, de 6 de fevereiro de 2019, relativa a um formato europeu de intercâmbio de registos de saúde eletrónicos (JO L 39 de 11.2.2019, p. 18).

(11) https://ec.europa.eu/health/sites/health/files/ehealth/docs/ev_20190611_co922_en.pdf

(12) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das telecomunicações (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

(13) Decisão (UE, Euratom) 2015/444 da Comissão, de 13 de março de 2015, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE (JO L 72 de 17.3.2015, p. 53).

ANEXO

Responsabilidades da comissão enquanto subcontratante no âmbito da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras

A Comissão deve:

Criar e assegurar uma infraestrutura de comunicação segura e fiável que interliga as redes dos membros da rede de saúde em linha envolvidas na infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras («infraestrutura de comunicação segura central»). Para cumprir as suas obrigações, a Comissão pode recorrer a terceiros. A Comissão deve assegurar que esses terceiros cumpram as mesmas obrigações em matéria de proteção de dados estabelecidas na presente decisão.

2.	Configurar parte da infraestrutura de comunicação segura central para que os pontos de contacto nacionais para a saúde em linha possam trocar informações de forma segura, fiável e eficiente.

3.	Proceder ao tratamento dos dados pessoais mediante instruções documentadas dos responsáveis pelo tratamento.

Tomar todas as medidas de segurança de caráter organizativo, físico e lógico para a manutenção da infraestrutura de comunicação segura central. Para esse efeito, a Comissão:

a)	Designa uma entidade responsável pela gestão da segurança ao nível da infraestrutura de comunicação segura central, comunica aos responsáveis pelo tratamento os seus dados de contacto e assegura a sua disponibilidade para reagir a ameaças à segurança;

b)	Assume a responsabilidade pela segurança da infraestrutura de comunicação segura central;

c)	Assegura que todas as pessoas a quem é concedido acesso à infraestrutura da comunicação segura central estão sujeitas a obrigações contratuais, profissionais ou legais de confidencialidade;

d)	Assegura que o pessoal que tem acesso a informações classificadas preenche os critérios de autorização e confidencialidade correspondentes.

Tomar todas as medidas de segurança necessárias para evitar comprometer o bom funcionamento do domínio do outro. Para tal, a Comissão estabelece os procedimentos específicos relacionados com a ligação à infraestrutura de comunicação segura central. Essas informações devem incluir:

a)	Um procedimento de avaliação dos riscos, a fim de identificar e estimar as potenciais ameaças ao sistema;

Um procedimento de auditoria e revisão para:

i)	verificar a correspondência entre as medidas de segurança implementadas e a política de segurança em aplicação,

ii)	controlar regularmente a integridade dos ficheiros de sistema, dos parâmetros de segurança e das autorizações concedidas,

iii)	acompanhar a deteção de ruturas de segurança e intrusões,

iv)	implementar alterações para evitar vulnerabilidades de segurança existentes e

v)	definir as condições de autorização, incluindo a pedido dos responsáveis pelo tratamento, e contribuir para a realização de auditorias independentes, incluindo inspeções, e de revisões às medidas de segurança;

Um procedimento de controlo de alterações para documentar e medir o impacto de uma alteração antes da sua implementação, mantendo os pontos de contacto nacionais para a saúde em linha informados de quaisquer alterações que possam afetar a comunicação com e/ou a segurança das outras infraestruturas nacionais;

d)	Um procedimento de manutenção e reparação que especifique as regras e condições a seguir caso seja necessária a manutenção e/ou reparação de equipamentos;

Um procedimento para incidentes de segurança com vista a definir o sistema de notificação e escalonamento, informar sem demora a administração nacional responsável, bem como a Autoridade Europeia para a Proteção de Dados, de qualquer rutura da segurança e definir um processo disciplinar para lidar com ruturas da segurança.

Tomar medidas de segurança física e/ou lógica para as instalações que alojam o equipamento da infraestrutura de comunicação segura central e os controlos de acesso aos dados lógicos e à segurança. Para esse efeito, a Comissão:

a)	Aplica a segurança física para estabelecer perímetros de segurança demarcados e permitir a deteção de ruturas;

b)	Controla o acesso às instalações e mantém um registo de visitantes para fins de rastreabilidade;

c)	Assegura que as pessoas externas a quem é concedido acesso às instalações são escoltadas por pessoal devidamente autorizado da sua organização respetiva;

d)	Assegura que os equipamentos não podem ser adicionados, substituídos ou retirados sem autorização prévia dos organismos competentes designados;

e)	Controla o acesso de e para outra(s) rede(s) interligada(s) à infraestrutura de comunicação segura central;

f)	Garante que as pessoas que têm acesso à infraestrutura de comunicação segura central são identificadas e autenticadas;

g)	Revê os direitos de autorização relacionados com o acesso à infraestrutura de comunicação segura central em caso de rutura da segurança que afete esta infraestrutura;

h)	Mantém a integridade das informações transmitidas através da infraestrutura de comunicação segura central;

i)	Aplica medidas de segurança técnicas e organizativas para impedir o acesso não autorizado a dados pessoais;

j)	Aplica, sempre que necessário, medidas para bloquear o acesso não autorizado à infraestrutura de comunicação segura central a partir do domínio dos pontos de contacto nacionais para a saúde em linha (ou seja: bloqueia uma localização ou um endereço IP).

7.	Tomar medidas para proteger o seu domínio, incluindo o corte de ligações, em caso de desvio substancial em relação aos princípios e conceitos de qualidade ou segurança.

8.	Manter um plano de gestão dos riscos relacionado com a sua área de responsabilidade.

9.	Acompanhar — em tempo real — o desempenho de todas as componentes dos serviços da sua infraestrutura de comunicação segura central, elaborar estatísticas regulares e manter registos.

10.

Prestar apoio 24 horas por dia a todos os serviços da infraestrutura de comunicação segura central, em inglês, através do telefone, do correio ou do portal Web, e aceitar chamadas de utilizadores autorizados: coordenadores da infraestrutura de comunicação segura central e respetivos serviços de assistência, responsáveis de projeto e pessoas designadas da Comissão.

11.

Apoiar os responsáveis pelo tratamento, facultando informações sobre a infraestrutura de comunicação segura central da infraestrutura de serviços digitais de saúde em linha para os serviços de informação de saúde em linha transfronteiras, a fim de dar cumprimento às obrigações previstas no artigo 35.o e no artigo 36.o do Regulamento (UE) 2016/679.

12.	Assegurar que os dados transferidos no âmbito da infraestrutura de comunicação segura central estão codificados.

13.	Tomar todas as medidas necessárias para impedir que os operadores da infraestrutura de comunicação segura central tenham acesso não autorizado aos dados transferidos.

14.	Tomar medidas para facilitar a interoperabilidade e a comunicação entre as administrações nacionais competentes designadas pertencentes à infraestrutura de comunicação segura central.