O Registo Oncológico Nacional (RON) avançou no passado dia 14 de Julho, desafiando o parecer da Comissão Nacional de Protecção de Dados (CNPD) e a menos de um ano do novo Regulamento Geral de Protecção de Dados (RGPD) se tornar directamente aplicável. Mais, este regulamento será obrigatório a partir de 25 de maio de 2018 e vinculará todas as entidades que tratem dados pessoais na União Europeia (UE).

O RON é um registo centralizado assente numa plataforma única electrónica que tem por finalidade a recolha e a análise de dados de todos os doentes oncológicos diagnosticados e ou tratados em Portugal. Tal permitirá a monitorização da actividade realizada pelas instituições, da efectividade terapêutica, a vigilância epidemiológica, a investigação e, em articulação com o INFARMED, a monitorização da aplicabilidade de medicamentos e dispositivos médicos.

Nos termos do RON, o registo electrónico de todos os novos casos de cancro é obrigatório no prazo de 9 meses a contar da data de conhecimento do diagnóstico. Tal norma será aplicável a todos os estabelecimentos e serviços de saúde públicos e privados.

Sendo o tratamento de qualquer doença facultativo e não obrigatório, desconhece-se que palavra terá o cidadão a dizer quando, num exame de rotina, seja alertado para resultado oncológico positivo. A partir desse momento, o seu nome, número de utente e demais informações pessoais ficarão associadas e registadas podendo ser passíveis de consulta não autorizada pelo próprio.

PUB • CONTINUE A LER A SEGUIR

Em que medida se articula a ausência de consentimento do doente para registo dos seus dados sensíveis nesta plataforma electrónica, com o sigilo médico e a obrigatoriedade do estabelecimento de saúde em registar tal ocorrência?

A questão é que não se trata do mero registo do cancro para efeitos estatísticos, ou para informação pública, a ser tratada posteriormente de forma anónima ou pseudomizada. Bem pelo contrário: dado que apenas se prevê que o anonimato dos dados pessoais possa acontecer num prazo de 15 anos a contar da data do conhecimento da morte do doente, devendo ser conservados pelo prazo de 100 anos, o RON ficará de forma automática, e no imediato, na posse de um cadastro pessoalíssimo do paciente donde constam, entre outros, o seu nome, sexo, data de nascimento, morada, número de utente, profissão, naturalidade, identificação do estabelecimento e processo clínico, dados aos quais se se junta a terapêutica, o acompanhamento da doença e demais detalhes até à data do óbito.

Veja-se ainda que do registo de um doente oncológico nesta plataforma constarão ainda outras eventuais doenças do utente. Tal colocará também em causa a privacidade da sua família, tendo em conta a possível incidência genética associada ao cancro. Já em 2011 a CNPD se tinha pronunciado quanto à criação de um ficheiro nacional de dados de saúde lembrando que ‘o direito à reserva da intimidade da vida privada, entre outros direitos pessoais, está previsto no artigo 26.º da Constituição’, relembrando agora o risco elevado de exposição da privacidade e de juízos discriminatórios.

Desconhece-se se, antes deste avanço, existiu uma avaliação de impacto nesta forma de manusear dados que identifique e minimize os riscos por incumprimento das regras de protecção dos mesmos. Tais procedimentos são obrigatórios, pela sua sensibilidade, nas matérias que envolvam, especificamente, categorias especiais de dados tratados em grande escala.

O RON prevê, como não podia deixar de ser, o direito de acesso e rectificação dos dados por parte do seu titular, princípio fundamental para a protecção de dados pessoais. Porém, exige que o titular se dirija por escrito ao conselho de direcção do GHIPOFG (Grupo Hospitalar Instituto Português de Oncologia Francisco Gentil), entidade responsável pela administração do RON.

É extensa a lista de profissionais e entidades com acesso ao RON bem como as interconexões possíveis com outras bases de dados não cabalmente elencadas e especificadas, e definidas de forma ampla como ’registos nacionais ou centrais’, ‘sistemas de informação locais’, entre outros, não dando garantias de efectiva privacidade. O caminho fica facilitado a eventuais falhas de segurança que, em última análise, poderão beneficiar os interessados, como bancos e seguradoras, em especial as que mantém uma ligação próxima com os estabelecimentos de saúde, no âmbito de, por exemplo, concessão de crédito e outros produtos que exijam exames médicos.

Encontrando-se todos aqueles que tratam dados pessoais na UE em período de transição e adaptação a um novo paradigma europeu, obrigatório e exigente partir do próximo ano, o RON vem confundir e abrir espaço a que falhas na protecção dos direitos individuais se venham mesmo a verificar. De salientar que as novas regras sobre esta matéria no espaço comunitário imporão penalidades, às instituições ou empresas que as violem, que podem alcançar os 20 milhões de euros ou 4% da facturação anual.

Enquanto cidadãos, bem como potenciais vítimas de doença oncológica, resta-nos pensar em alternativas inovadoras que nos protejam. Com o avanço da medicina, e a subsequente aposta em inovação, estaria na altura de encarar mudanças no protocolo de uso do chip do Cartão de Cidadão, actualmente demasiado permissivo e vulnerável no que diz respeito à facilidade com que qualquer um pode aceder a dados pessoais para fins menos lícitos. De resto, o furto, usurpação e tráfico de dados é já das mais rentáveis actividades criminosas, perpetrada por singulares, grupos terroristas e mesmo, suspeita-se, por países.

Em Portugal, e no caso do Cartão do Cidadão, seria porventura este o momento para mudar a forma ainda indiscriminada como os dados em chip são manipulados. À semelhança do que já acontece com o efectivo acesso a uma plataforma própria (e-factura) que veio facilitar ao Estado a verificação da situação fiscal do contribuinte e ajudar no combate à evasão e fugas fiscais, urge dar uma mesma plataforma aos cidadão que lhe permita aceder, modificar, actualizar e até mesmo apagar, ou pelo menos desindexar o seu nome aos dados de saúde que lhe digam respeito, fazendo valer um real direito de acesso e, mesmo, o ‘direito ao apagamento dos dados – direito a ser esquecido’ previsto no RGPD.

A divulgação de dados pessoais tão sensíveis como os que à saúde dizem respeito deve ser feita com consentimento directo dos cidadãos, de forma directa, livre, específica, informada e explícita e não por defeito.

Filipa Iglésias é advogada da Abreu Advogados na área de propriedade intelectual