Considerando o elevado número de pedidos de informação que a ERS tem vindo a receber em matéria de proteção de dados pessoais, entendeu-se necessário divulgar alguns esclarecimentos genéricos sobre esta temática:

O RGPD é um regulamento comunitário e, como tal, de aplicação direta e imediata em todos os estados-membros da União Europeia. Por isso, a partir do dia 25 de maio passado, recaiu sobre todos os seus destinatários, independentemente da sua natureza ser pública ou não, a obrigação de cumprimento das normas em si mesmo consagradas, desde logo a sua implementação.

Cabe ao responsável por cada organização, que “grosso modo” corresponderá ao responsável pelo tratamento de dados na aceção do RGPD, optar pela sua implementação da forma mais adequada à sua realidade, desde que obedecendo aos princípios dele constantes.

Esclarece a ERS que um dos princípios subjacentes ao regime do RGPD é o da auto-regulação. Este princípio concretiza-se, nomeadamente, na obrigação de o responsável pelo tratamento de dados em cada organização demonstrar que estes, incluindo os dados pessoais especiais (sensíveis), como é o caso dos dados de saúde, são tratados de acordo com o imposto pelo regulamento, evidenciando, por exemplo, a existência de registos de operações de tratamento, sempre que tal for solicitado, numa eventual fiscalização nesse âmbito.