de 26 de setembro
O Decreto-Lei 93/2009, de 16 de abril, criou o Sistema de Atribuição de Produtos de Apoio, designado por SAPA, que pretende assegurar a atribuição de produtos de apoio às pessoas com deficiências e com incapacidades, de natureza permanente ou temporária, realizando uma política global, integrada e transversal, de forma a compensar e a atenuar as suas limitações na atividade e restrições na participação.
Desde a criação do SAPA que está previsto que as entidades que o compõem estejam interligadas por um sistema informático centralizado cuja gestão da informação seja da competência do Instituto Nacional para a Reabilitação, I. P. (INR, I. P.), sendo esse sistema assente na conceção de uma base de dados de registo, com o objetivo de garantir a eficácia do sistema, a operacionalidade e a eficiência dos mecanismos do SAPA, promovendo uma aplicação criteriosa do mesmo.
A base de dados permitirá a desburocratização, a desmaterialização e a simplificação do SAPA. Através dessa, torna-se possível o controlo da atribuição dos produtos de apoio a nível nacional, de uma forma mais eficiente e célere, permitindo aos organismos envolvidos, a caracterização e a consulta da informação de beneficiários do SAPA. A gestão de prescrições de produtos de apoio, bem como a gestão da lista dos produtos a atribuir serão atualizadas, sempre de acordo com a competência estabelecida para cada organismo integrante do sistema.
Esta base de dados permite, ainda, o controlo de duplicação de atribuição de produtos de apoio, garantindo uma melhor gestão de pagamentos de prescrições a serem financiadas, tal como permite a troca eletrónica de informação entre as entidades integrantes do SAPA.
E porque a monitorização do sistema se reveste da maior importância, a base de dados de registo do SAPA permite a disponibilização de um conjunto de informação, contribuindo para o melhor conhecimento das características e do funcionamento do sistema, possibilitando ainda, uma análise estatística capaz de evidenciar potenciais melhorias a serem implementadas.
Foram promovidas as diligências necessárias à audição da Comissão Nacional de Proteção de Dados Pessoais, à Ordem dos Médicos e à Comissão para a Deficiência.
Assim:
Ao abrigo do artigo 14.º do Decreto-Lei 93/2009, de 16 de abril, alterado pelo Decreto-Lei 42/2011, de 23 de março, manda o Governo, pelo Ministro da Saúde, pelo Ministro da Educação e Ciência e pelo Ministro da Solidariedade, Emprego e Segurança Social, o seguinte:
CAPÍTULO I
Disposições gerais
Artigo 1.º
Objeto
A presente portaria regula a criação e manutenção da base de dados de registo do Sistema de Atribuição de Produtos de Apoio (BDR-SAPA), bem como o tratamento da informação no que respeita à referenciação, prescrição, atribuição, comparticipação e reutilização de produtos de apoio.
Artigo 2.º
Conceito e caracterização
1 - A BDR-SAPA é o conjunto estruturado de informação, constituído por ficheiros de dados, que permite aos organismos que compõem o Sistema de Atribuição de Produtos de Apoio (SAPA), a caracterização e a consulta da informação de beneficiários, para efeitos de atribuição dos produtos de apoio, possibilitando a gestão e o controlo da atribuição desses produtos, a nível nacional, a sua reutilização e a gestão de comparticipações.
2 - A BDR-SAPA contém a informação de todos os beneficiários definidos nos termos do artigo 2.º do Decreto-Lei 93/2009, de 16 de abril.
3 - A base de dados contém ainda informação relativa ao responsável pelo beneficiário, nos casos de menoridade ou tutela.
4 - A BDR-SAPA caracteriza-se pela:
a) Centralização do registo dos dados do processo individual;
b) Descentralização da função de recolha da informação.
Artigo 3.º
Finalidade
A BDR-SAPA tem como finalidade a identificação e a caracterização dos beneficiários do SAPA, para efeitos de atribuição dos produtos de apoio.
Artigo 4.º
Princípios gerais
1 - O tratamento da informação contida na BDR-SAPA deve processar-se nos termos dos princípios consagrados na legislação que regula a proteção de dados pessoais, nomeadamente, de forma transparente e no estrito respeito pela reserva da vida privada e pela autodeterminação informativa, bem como pelos demais direitos, liberdades e garantias fundamentais.
2 - O tratamento da informação contida na BDR-SAPA deve processar-se no estrito respeito pelo princípio da legalidade e, bem assim, pelos princípios da autenticidade, da veracidade e da univocidade dos elementos identificativos.
Artigo 5.º
Proibições gerais
1 - Em caso algum é permitida uma decisão automatizada, quanto à atribuição dos produtos de apoio, tomada exclusivamente com base no tratamento dos dados pessoais do beneficiário.
2 - É expressamente proibida a utilização, a análise e o tratamento de qualquer tipo de informação obtida a partir da BDR-SAPA para finalidades diferentes das previstas no presente diploma, estando os seus utilizadores sujeitos ao dever de sigilo.
Artigo 6.º
Categoria de dados pessoais
São considerados dados pessoais da BDR-SAPA, todos os definidos na legislação que regula a proteção de dados pessoais.
Artigo 7.º
Direito do titular dos dados
O beneficiário do produto de apoio goza do direito de informação e do direito de acesso, em todos os momentos, nos termos previstos nos artigos 10.º e 11.º da Lei da Proteção de Dados Pessoais.
CAPÍTULO II
Organização da BDR-SAPA
Artigo 8.º
Dados registados
1 - São objeto de registo os seguintes dados dos beneficiários, a incluir no seu processo individual:
a) Dados de identificação do beneficiário:
i) Nome;
ii) Sexo;
iii) Data de nascimento;
iv) Distrito de naturalidade;
v) Concelho de naturalidade;
vi) Freguesia de naturalidade;
vii) Data de óbito;
viii) Residência;
ix) Morada Alternativa do beneficiário;
x) Contacto telefónico do beneficiário;
xi) Endereço eletrónico do beneficiário;
xii) Número do documento de identificação civil nacional ou estrangeiro;
xiii) Número de identificação da segurança social;
xiv) Número de utente do serviço nacional de saúde;
xv) Número de identificação do beneficiário no seu subsistema de saúde, bem como o nome do subsistema de saúde;
xvi) Número de identificação fiscal;
xvii) Dados relativos ao seguro;
b) Dados de identificação do responsável pelo beneficiário, quando aplicável nos termos do n.º 3 do artigo 2.º:
i) Nome;
ii) Tipo de relação com o beneficiário;
iii) Data de nascimento;
iv) Contacto telefónico do Responsável;
v) Endereço eletrónico do responsável;
vi) Número do documento de identificação civil, nacional ou estrangeiro;
c) Dados de caracterização da candidatura ao financiamento, incluindo:
i) Atestado multiuso do beneficiário;
ii) Caracterização das limitações e restrições que justificam a atribuição do produto de apoio (Classificação CIF);
d) Dados de caracterização dos apoios a fornecer ao beneficiário, incluindo:
i) Identificação do produto de apoio e sua classificação ISO;
ii) Identificação das dificuldades e dos problemas a ultrapassar com a utilização dos produtos de apoio;
iii) Montante do financiamento para cada produto de apoio;
e) Relativamente aos dados de caracterização da candidatura aos apoios a conceder pelo Instituto do Emprego e Formação Profissional, I. P. (IEFP, I. P.), devem ser recolhidos os seguintes elementos:
i) Número de identificação do utente do IEFP, I. P.;
ii) Número de processo do utente do IEFP, I. P.;
iii) Situação do utente face ao emprego;
iv) Finalidade do produto de apoio;
v) Caracterização da atividade a desenvolver;
f) Relativamente aos dados de caracterização da candidatura aos apoios a conceder pelo Ministério da Educação e Ciência, devem ser recolhidos os seguintes elementos:
i) Código de agrupamento de escolas;
ii) Designação de agrupamento de escolas;
iii) Código das escolas;
iv) Designação das escolas;
v) Nível de ensino.
Artigo 9.º
Entidades responsáveis pelo tratamento dos dados
1 - As entidades prescritoras definidas nos termos do Decreto-Lei 93/2009, de 16 de abril, são as entidades responsáveis pela recolha dos dados da BDR-SAPA.
2 - As entidades financiadoras definidas nos termos do Decreto-Lei 93/2009, de 16 de abril, são as entidades responsáveis pela recolha dos dados da BDR-SAPA competindo-lhes ainda a recolha da informação necessária, nos termos da alínea b) do n.º 4 do artigo 2.º
3 - O Instituto de Informática, I. P., é a entidade responsável pelo processamento dos dados da BDR-SAPA, competindo-lhe ainda, em articulação com a entidade responsável pela informação da base de dados, a verificação das condições de funcionamento da mesma.
4 - Ao INR, I. P., enquanto entidade responsável pela gestão do SAPA, compete-lhe, em articulação com as entidades financiadoras, o tratamento dos dados da BDR-SAPA.
Artigo 10.º
Entidade responsável pela informação da BDR-SAPA
Compete ao INR, I. P., enquanto entidade responsável pela informação da BDR-SAPA, a adequada gestão da informação, designadamente:
a) Recolher, subsidiariamente, informação nos termos da alínea b) do n.º 4 do artigo 2.º;
b) Identificar a necessidade de corrigir inexatidões e omissões de dados, bem como a necessidade de suprimir dados indevidamente registados;
c) Apreciar a necessidade de conservação de dados pessoais;
d) Zelar pela legalidade da consulta ou da comunicação da informação, bem como definir os termos do controlo necessário à segurança dessa informação;
e) Garantir o bom funcionamento e cumprimento das obrigações inerentes à BDR-SAPA.
CAPÍTULO III
Recolha, tratamento, atualização, conservação e interconexão dos dados
Artigo 11.º
Recolha e atualização dos dados
1 - A função de recolha da informação é efetuada pelas entidades prescritoras, entidades financiadoras ou, subsidiariamente, pela entidade responsável pela informação.
2 - Os dados recolhidos são os necessários ao cumprimento da finalidade da BDR-SAPA, devendo ser exatos.
3 - Os dados constantes da BDR-SAPA são recolhidos e atualizados a partir de:
a) Declaração do titular dos dados, ou do seu representante;
b) Formulários, existentes para o efeito, preenchidos pelo titular dos dados, ou pelo seu representante, ou ainda, preenchidos pelas entidades prescritoras ou financiadoras, a seu pedido.
Artigo 12.º
Informação para fins de estatística ou de investigação científica
A informação que integra a BDR-SAPA pode ser comunicada, pela entidade responsável pela informação da base de dados, para fins de investigação científica e estatística, desde que não sejam identificados os indivíduos a que respeita.
Artigo 13.º
Interconexão de dados
1 - Após autorização da Comissão Nacional da Proteção de Dados, há interconexão de dados entre o sistema de informação da Segurança Social (SISS), os sistemas de informação do IEFP, I. P., e, através dos Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS), o Registo Nacional de Utentes (RNU) e a Plataforma de Dados da Saúde (PDS), nos seguintes termos:
a) Com o IEFP, I. P., quanto ao número de identificação, e às prescrições de produtos de apoio entre a BDR-SAPA e a base de dados do IEFP, I. P., sendo este Instituto o responsável pela receção e envio da informação, enquanto subsistema financiador de produtos de apoio;
b) Com o Ministério da Saúde para garantir que o acesso ao sistema SAPA é realizado apenas por utilizadores credenciados, o sistema será invocado a partir da PDS, com transmissão de dados de identificação do utilizador e do utente da PDS para o SAPA, não existindo ligação no sentido inverso;
c) Com o Ministério da Saúde, para utilizadores credenciados do SAPA, externos ao Ministério da Saúde, para validação do número de Utente registado na BDR-SAPA com o número de Utente existente no RNU, bem como, para obter os dados de identificação dos utentes do Serviço Nacional de Saúde no RNU que permitam a identificação dos beneficiários no SISS.
2 - Para efeitos da presente portaria, integram o SISS:
a) O subsistema de identificação e qualificação, que deve fornecer a informação relativa à identificação do beneficiário;
b) O subsistema integrado da conta corrente, que, enquanto subsistema da entidade financiadora, deve receber a informação relativa a prescrições e gerir a informação de comparticipações e pagamentos aos beneficiários;
c) O subsistema de informação financeira, que recebe a informação para contabilização.
3 - Para efeitos da presente portaria, entende-se por base de dados do IEFP, I. P., o sistema gerido pelo referido Instituto, responsável por receber e enviar informação relativa aos produtos de apoio atribuídos.
Artigo 14.º
Conservação dos dados
1 - Ficam disponíveis até ao falecimento dos beneficiários:
a) Os dados respeitantes à informação de beneficiários SAPA;
b) Os dados respeitantes a prescrições para beneficiários com incapacidades permanentes.
2 - Os dados respeitantes a prescrições para beneficiários com incapacidades temporárias devem ficar disponíveis aos utilizadores da BDR-SAPA, até ao limite do prazo de validade do produto de apoio atribuído, nos termos do despacho previsto no artigo 10.º do Decreto-Lei 93/2009, de 16 de abril, contados a partir da data de atribuição do produto de apoio.
CAPÍTULO IV
Segurança da base de dados
Artigo 15.º
Segurança da informação
1 - Ao INR, I. P., cabe garantir as condições de segurança necessárias à BDR-SAPA, de modo a impedir a consulta, modificação, supressão, adição, destruição ou a comunicação de dados por forma não consentida.
2 - O sistema deve garantir que os dados de identificação sejam armazenados em ficheiros separados dos restantes dados, manuseados por utilizadores distintos com perfis específicos, mediante acessos restritos, codificados e identificativos dos utilizadores.
3 - O acesso aos dados da BDR-SAPA é efetuado pelos utilizadores de acordo com o respetivo perfil.
4 - Os perfis de acesso à BDR-SAPA são:
a) Perfil de consulta, que permite apenas a consulta de processos e prescrições de produtos de apoio registadas para um beneficiário;
b) Perfil de registo, que permite o registo de processos e prescrições para um beneficiário e ainda a alteração dos processos e prescrições por si registadas;
c) Perfil de gestão, que permite a alteração de processos e prescrições efetuadas por outro utilizador do mesmo centro prescritor;
d) Perfil de validação, que permite a validação das prescrições efetuadas por utilizadores do mesmo centro prescritor.
Artigo 16.º
Controlo
1 - Compete ao INR, I. P., a definição das medidas que garantem o controlo e a segurança da informação, designadamente quanto a:
a) Suportes de dados e transporte, a fim de impedir que possam ser lidos, divulgados, copiados, alterados ou eliminados por pessoas não autorizadas;
b) Inserção de dados, a fim de impedir a introdução, bem como qualquer tomada de conhecimento, divulgação, alteração ou eliminação não autorizada de dados pessoais;
c) Sistemas de tratamento de dados, para impedir que possam ser utilizados por pessoas não autorizadas, nomeadamente, impedindo a instalação de mecanismos de transmissão de dados;
d) Limitação do acesso, pelas pessoas autorizadas, aos dados estritamente indispensáveis ao exercício das suas atribuições legais;
e) Transmissão dos dados, garantindo que a sua utilização seja limitada às entidades autorizadas;
f) Identificação do responsável pela introdução de dados pessoais nos sistemas de tratamento, bem como da data do procedimento.
2 - Para efeitos de monitorização e auditoria das prescrições efetuadas, serão notificadas, trimestralmente, as várias entidades prescritoras do volume e natureza das prescrições emitidas no trimestre anterior.
3 - Cabe ao Instituto de Informática, I. P., a implementação dos mecanismos necessários ao cumprimento do disposto nos números anteriores.
Artigo 17.º
Dever de Sigilo
1 - A comunicação ou a revelação dos dados pessoais registados na BDR-SAPA, mesmo que não identificados, só pode ser efetuada nos termos previstos no presente diploma e no estrito cumprimento das normas constantes da Lei da Proteção de Dados Pessoais.
2 - Aqueles que, no exercício das suas funções, tomem conhecimento de dados pessoais integrados na BDR-SAPA estão obrigados a sigilo profissional, mesmo após o termo das suas funções.
CAPÍTULO V
Disposições sancionatórias
Artigo 18.º
Violação do dever de sigilo
Quem, obrigado a dever de sigilo, nos termos do artigo 17.º, revelar ou divulgar, no todo ou em parte, informação constante da BDR-SAPA é punido nos termos gerais previstos na Lei da Proteção de Dados Pessoais.
Artigo 19.º
Violação de normas em matéria de dados pessoais
A violação das normas relativas à proteção de dados pessoais é punida nos termos da Lei da Proteção de Dados Pessoais.
Artigo 20.º
Falsas declarações
Os titulares dos dados ou os seus representantes que prestem falsas declarações para efeitos do n.º 3 do artigo 11.º são punidos de acordo com a lei penal vigente.
CAPÍTULO VI
Disposições transitórias e finais
Artigo 21.º
Norma transitória
A implementação da BDR-SAPA é efetuada numa primeira fase pela prescrição do produto de apoio e a segunda fase pelo seu financiamento.
Artigo 22.º
Direito subsidiário
Em tudo o que não estiver regulamentado na presente portaria será aplicado o disposto na legislação que regula a proteção de dados pessoais.
Artigo 23.º
Aplicação às Regiões Autónomas
A presente portaria deverá ser adaptada por diploma regional às Regiões Autónomas.
Artigo 24.º
Entrada em vigor
O presente diploma entra em vigor 30 dias após a sua publicação.
Em 19 de setembro de 2014.
O Ministro da Saúde, Paulo José de Ribeiro Moita de Macedo. - O Ministro da Educação e Ciência, Nuno Paulo de Sousa Arrobas Crato. - O Ministro da Solidariedade, Emprego e Segurança Social, Luís Pedro Russo da Mota Soares.
