Os nossos dados de saúde vão ser partilhados a nível europeu. Estamos protegidos?
Espaço Europeu de Dados de Saúde entra em vigor em 2026, mas só deverá estar operacional em 2028. Uso de dados para investigação científica a partir de 2030. Temos garantias de segurança?
A partir de 2028, profissionais de saúde em toda a Europa poderão aceder ao nosso historial clínico, mediante autorização do titular dos dados. E dois anos depois, em 2030, os nossos dados estarão acessíveis, depois de anonimizados ou pseudonimizados, para investigação científica.
Tudo graças ao regulamento do Espaço Europeu de Dados de Saúde, aprovado em Abril deste ano.
Mas como é que todo este progresso se irá conjugar com os direitos dos cidadãos à privacidade e como será garantida a segurança dos nossos dados?
O PÚBLICO entrevistou Sara Cerdas, ex-eurodeputada do Partido Socialista que esteve activamente envolvida nas negociações do regulamento, e responde às questões essenciais à volta da nova legislação.
Os meus dados de saúde vão estar disponíveis a qualquer profissional de saúde da União Europeia?
Sim, mas o utente tem controlo sobre quem vê o quê e pode omitir dados, caso o deseje. Por exemplo, uma mulher que viva num Estado-membro em que a interrupção voluntária da gravidez é ilegal pode abortar noutro país e ocultar essa informação, para que não seja visível por qualquer profissional.
Há apenas uma ressalva: em caso de risco emergente de vida, há dados que estarão sempre acessíveis, como alergias e medicação habitual no contexto de emergência.
Posso impedir que os meus dados sejam utilizados para investigação?
Sim, o regulamento prevê a possibilidade de o cidadão sair do sistema e de não ceder os seus dados para investigação.
Já no caso de dados genéticos, proteómicos e dados de biobancos, que não são anonimizáveis, é necessário o utente decidir activamente dar o seu consentimento (opt-in) para que os dados sejam utilizados para investigação.
Quem poderá ter acesso aos dados?
Poderão aceder aos dados investigadores na área da saúde com competência comprovada, academias e universidades, mas também actores privados.
Existirá um processo de pedido de acesso a dados, em que os investigadores terão de explicar “os dados de que precisam e justificar a pertinência do pedido”. Caso essa pertinência não exista, “os dados não são facultados”, explica Sara Cerdas.
Há risco de ser identificado no uso secundário de dados?
Os dados a tratar serão anonimizados, com esse tratamento a ser feito por organismos nacionais (no caso português, pelos Serviços Partilhados do Ministério da Saúde).
Quanto à pseudonimização dos dados, mais susceptível a possíveis reidentificações, ela poderá ser feita apenas em casos “muito excepcionais”, “nomeadamente para questões de saúde pública”, diz Sara Cerdas.
"Ao facultar o acesso a um conjunto de dados anonimizados ou pseudonimizados, um organismo de acesso a dados de saúde deve utilizar tecnologia e normas de anonimização ou pseudonimização de ponta, assegurando, na medida do possível, que as pessoas singulares não possam ser reidentificadas pelo utilizador dos dados de saúde", lê-se no acordo do EEDS.
O documento sublinha que os investigadores não devem tentar reidentificar pessoas singulares através do conjunto de dados, sob pena de multas e eventuais sanções penais.
Vai haver uma megabase de dados sensíveis de cidadãos europeus?
Não, “esta não será uma base de dados gigante, vulnerável a ataques”, garante Sara Cerdas. Os dados serão armazenados por prestadores de cuidados nos diferentes países, pelo que existe “uma certa dispersão”.
O que acontece se os meus dados forem utilizados indevidamente?
O EEDS estabelece que é proibida qualquer tentativa de utilizar os dados de saúde contra o seu titular e dá exemplos: “Para aumentar os prémios de um seguro, para publicitar produtos ou tratamentos, para automatizar a tomada de decisões individuais, para reidentificar pessoas singulares ou para desenvolver produtos nocivos.”
Em caso de violação, há sanções previstas. As multas são semelhantes às previstas do Regulamento Geral de Protecção de Dados (RGPD): infracções menores cometidas pelos utilizadores de dados podem ser objecto de coimas até 10 milhões de euros ou, no caso de uma empresa, 2% do volume de negócios anual total do exercício financeiro anterior.
Algumas infracções, no entanto, podem ser objecto de coimas até 20 milhões de euros ou, no caso de uma empresa, 4% do volume de negócios anual total a nível mundial do exercício financeiro anterior.
Em casos mais graves, pode ainda haver sanções penais, quando as legislações nacionais as prevejam. E os cidadãos podem exigir compensações, caso os seus dados sejam violados.
Em caso de mau uso primário de dados — isto é, caso haja um acesso indevido ao nosso processo clínico —, o cidadão deve recorrer às autoridades nacionais de controlo de dados pessoais. No caso português, a Comissão Nacional de Protecção de Dados (CNPD).
Quem irá supervisionar os maus usos?
Além das autoridades nacionais, que irão gerir a utilização de dados de saúde em cada país (no caso português, serão os Serviços Partilhados do Ministério da Saúde), o regulamento cria um novo organismo europeu de gestão do Espaço Europeu de Dados Saúde, em que se sentarão os diferentes Estados-membros.
Sara Cerdas diz que uma das vitórias do Parlamento Europeu, em particular da bancada dos socialistas e democratas, foi garantir que a indústria não tem lugar neste órgão de gestão.
Porque é que as negociações demoraram tanto tempo?
Esperava-se que o regulamento do EEDS fosse aprovado em Março, mas as negociações foram particularmente difíceis e só terminaram no final de Abril, como descreveu o Politico num artigo.
Questionada sobre as razões do impasse, a ex-eurodeputada socialista Sara Cerdas não quis entrar em detalhes, já que as negociações são privadas, mas descreveu ao PÚBLICO semanas difíceis, com reuniões a estenderem-se até às quatro da manhã sem qualquer resolução.
O problema, segundo a socialista, é que vários grupos políticos se fizeram representar apenas pelos assessores, o que levou a diversos impasses.
Neste tipo de negociações mais técnicas, são os assessores que elaboram o texto final, mas quem toma as decisões políticas são os eurodeputados. E muitos “nem se dignaram a aparecer”, critica Sara Cerdas. “Mas nós somos eleitos para isso”, lembra.
A ex-eurodeputada lembra uma noite em que, quando deu conta, além de si, “só tinha uma colega da Comissão de Liberdades do PS e o colega do Grupo Popular Europeu da Saúde Pública. Éramos três apenas do Parlamento, nem tínhamos maioria. Torna-se complicado”.
Ainda assim, Sara Cerdas diz ter “um grande orgulho do texto final. Não tivemos grandes cedências porque estivemos nas reuniões do início ao fim e conseguimos ultrapassar qualquer impasse que existia e as nossas premissas mais importantes foram garantidas no texto final”, diz a ex-eurodeputada.
Quando é que o regulamento entra em vigor?
O regulamento entra em vigor nos 27 Estados-membros em 2026. Mas só em 2028 os registos de saúde vão estar acessíveis entre países, quando a estrutura MyHealth@EU estiver pronta. A partilha de dados para uso em investigação só será possível em 2030.
Como será financiado?
A Comissão Europeia atribuiu um orçamento de 810 milhões de euros para construir a infra-estrutura que tornará o Espaço Europeu de Dados de Saúde uma realidade nos próximos anos; 280 milhões de euros estarão disponíveis no âmbito do Programa EU4Health e o restante será financiado pelo Programa Europa Digital, pelo Mecanismo Interligar a Europa e pelo Horizonte Europa.
Além disso, o Plano de Recuperação e Resiliência está também a ajudar, com 12 mil milhões de euros, diversos Estados-membros a modernizar os seus sistemas de saúde — Portugal é um deles.
O Fundo Europeu de Desenvolvimento Regional e o Invest EU oferecem outras oportunidades de investimento.