No caso de clínicas/consultórios que à luz do Regulamento Geral de Proteção de Dados (RGPD) se enquadrem no conceito de micro, pequena e média empresa (nomeadamente por via de terem menos de 250 trabalhadores e de apenas possuírem instalações numa mesma cidade), a principal medida a adotar deverá passar pela obtenção do consentimento dos doentes à recolha dos dados e seu tratamento para efeitos de prestação dos cuidados de saúde, de faturação e/ou divulgação de serviços. Este consentimento deverá, para efeitos da sua demonstração/prova, ser obtido por escrito, devendo da declaração escrita constar a identificação do prestador do consentimento, a identificação do consultório/clínica e, numa linguagem clara, simples, inteligível e de fácil acesso, as finalidades para as quais se destinam os dados, entre os quais os dados de saúde na aceção ampla do artigo 2º da Lei 12/2005, de 26 de janeiro. Sempre que o doente o requerer, dever-lhe-á ser assegurado o direito de acesso aos seus dados, incluindo o direito de requerer a sua retificação, o direito ao seu apagamento (“direito a ser esquecido”) e o direito à sua portabilidade (direito a receber os dados num formato estruturado, de uso corrente e de leitura automática ou de transmitir os seus dados a outrem). No caso de doentes menores de 16 anos a declaração deverá ser assinada pelos seus representantes legais (usualmente ambos os progenitores).
A título de mero exemplo, a declaração poderá ser do seguinte teor:
… (identificação do doente) declaro que autorizo a recolha dos meus dados de saúde e de identificação para efeitos da prestação de cuidados de saúde por parte do Dr. …… (médico e/ou nome da empresa), incluindo faturação e divulgação de serviços. Mais declaro estar ciente que o processo clínico e exames complementares de diagnóstico serão guardados durante 5 anos após o último registo e findo esse prazo o processo passará a um “arquivo morto” sendo que, a sua destruição poderá lugar, em virtude do prazo de prescrição ordinária consignado no Código Civil e da natureza jurídica do contrato de prestação de serviços médicos, no final de 20 anos após o último registo efetuado pelo médico na respetiva ficha. Mais declaro estar ciente de que, querendo, me assiste o direito de requerer o acesso, a retificação, o apagamento ou portabilidade dos referidos dados.
Salientamos ainda que, do RGPD decorre a obrigação de comunicação de qualquer situação que importe a violação dos dados pessoais à Comissão Nacional de Proteção de Dados e ao titular dos dados violados /doente. Do exposto resulta assim que, no caso destas clínicas /consultórios não é necessário possuir um encarregado de proteção de dados. As regras supra referidas aplicam-se no caso de processo clínico informatizado ou em suporte de papel.