ENTRE:


CBR-G e Médico / Subcontratante serão doravante designados conjuntamente como “Partes”.


CONSIDERANDO QUE:


A.    A CBR-G é detentora e comercializa a plataforma tecnológica Elsie, que permite estabelecer o contacto entre médicos geneticistas, prestadores de cuidados de saúde e laboratórios, criando processos eficientes de requisição e disponibilização de testes genéticos, e  visando promover a implementação de abordagens inovadoras na prática clínica, designadamente através da medicina personalizada com recurso à utilização de informação genética enquanto elemento de suporte à decisão médica (“Plataforma Elsie”);

B.    Nas versões de subscrição dos serviços prestados pela CBR-G nas modalidades Elsie Premium, Elsie Premium Plus e Elsie Enterprise, a CBR-G disponibiliza um conjunto de serviços que implicam a realização de operações de tratamento de dados pessoais de pacientes, designadamente a sua informação clínica e genética, sendo a CBR-G a Responsável pelo Tratamento destes dados pessoais no contexto da prestação dos referidos serviços;

C.    Nos casos referidos no número anterior, o Médico procede à recolha e tratamento de dados pessoais dos pacientes por conta da CBR-G, atuando na qualidade de subcontratante;

D.    O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016 (“Regulamento Geral sobre Proteção de Dados” ou “RGPD”), em particular, no seu artigo 28.º, estabelece um conjunto de requisitos a que a subcontratação das atividades de tratamento de dados pessoais deve obedecer;

E.    Nos termos do artigo referido no Considerando anterior, a relação de subcontratação e o tratamento de dados pessoais efetuado nesse âmbito deverá ser regulada por um ato vinculante, nomeadamente, contratual.


É celebrado o presente Acordo de Tratamento de Dados Pessoais (adiante referido abreviadamente como “Acordo”), o qual se regerá pelos Considerandos supra e pelas seguintes disposições:


1.    Nos termos do presente Acordo, o Médico/Subcontratante recolhe e trata dados pessoais de pacientes de que a CBR-G é a Responsável pelo Tratamento, por todo o período de duração da subscrição do serviço Elsie Premium, Elsie Premium Plus e Elsie Enterprise.

2.    O tratamento de dados pessoais levado a cabo pelo Médico / Subcontratante no contexto do presente Acordo é efetuado com as seguintes finalidades:

i)    Requisição de teste(s) genético(s) através da Plataforma Elsie e disponibilização dos mesmos ao(s) paciente(s);

ii)    Utilização da Plataforma Elsie como mecanismo de suporte à decisão clínica, designadamente mediante a realização de consulta de genoma.

O Médico / Subcontratante não levará a cabo quaisquer atividades de tratamento dos dados pessoais disponibilizados no contexto do presente Acordo para quaisquer finalidades diversas das descritas supra.

3.    O tratamento de dados pessoais levado a cabo pelo Médico / Subcontratante no contexto do presente Acordo compreende os seguintes tipos de dados pessoais:

i)    Dados de identificação do paciente (nome, morada, género, contacto email, contacto telefónico);

ii)    Dados respeitantes à informação clínica do paciente, incluindo dados demográficos (tais como o histórico médico pessoal e familiar, idade, características físicas e informação comportamental, como hábitos de exercício ou etnicidade autodeclarada; dados clínicos contidos em relatórios médicos ou informação de suporte à decisão clínica produzidos pelos Laboratórios presentes na Plataforma Elsie ou pela CBR-G);

iii)    Dados respeitantes à informação genética do paciente, gerada após a recolha de uma amostra biológica do paciente.

4.    O tratamento de dados pessoais levado a cabo pelo Médico / Subcontratante no contexto do presente Acordo compreende as seguintes categorias de titulares de dados:

i)    Pacientes do Médico / Subcontratante que utilizem os serviços disponibilizados pela CBR-G. 

5.    O Médico / Subcontratante apenas procederá ao tratamento de dados pessoais por conta da CBR-G de acordo com as instruções que esta tiver, a cada momento, manifestado de forma escrita, incluindo no que respeita às transferências de dados pessoais para um país terceiro ou para uma organização internacional (na aceção dada pelo Regulamento Geral sobre Proteção de Dados), caso a esta haja lugar, a menos que o Médico / Subcontratante a tal estiver obrigado em virtude do Direito da União Europeia ou do Estado-Membro a que está sujeita, em cujo caso o Médico / Subcontratante informará a Responsável pelo Tratamento dessa exigência legal em momento prévio ao tratamento, salvo se o Direito do Estado-Membro em questão o proibir por razões de interesse público.

O Médico / Subcontratante informará a Responsável pelo Tratamento, de imediato, da eventual falta de instruções ou da eventual desconformidade das instruções com a legislação aplicável.

6.    O Médico / Subcontratante manterá um registo, sob a forma escrita, de todas as categorias de atividades de tratamento efetuadas por conta da Responsável pelo Tratamento, que necessariamente contenha:

i)    o nome e contactos do Médico / Subcontratante e da Responsável pelo Tratamento, bem como os respetivos representantes e/ou encarregados da proteção de dados, se aplicável;

ii)    as categorias de tratamentos de dados pessoais efetuados por conta da Responsável pelo Tratamento;

iii)    uma descrição geral das medidas técnicas e organizativas existentes no domínio da segurança;

iv)    as transferências de dados pessoais para países terceiros ou organizações internacionais, bem como a identificação dos referidos países ou organizações e, ainda, se aplicável, a documentação que demonstre a existência de garantias adequadas para as transferências em questão, se aplicável.

7.    O Médico / Subcontratante garantirá que as pessoas a cada momento autorizadas a tratar os dados pessoais no contexto do presente Acordo se comprometam, de forma escrita, a respeitar a confidencialidade dos dados pessoais tratados e das respetivas operações de tratamento, ou que as pessoas em questão estão sujeitas a obrigações legais de confidencialidade adequadas.

O Médico / Subcontratante manterá à disposição da Responsável pelo Tratamento a documentação que evidencie o cumprimento da obrigação estabelecida no parágrafo antecedente.

8.    O Médico / Subcontratante adota as medidas técnicas e organizativas adequadas que garantem o cumprimento dos requisitos estabelecidos no Regulamento Geral sobre Proteção de Dados e, ainda, a proteção dos direitos dos titulares dos dados tratados no contexto do presente Acordo, aqui se incluindo, designadamente, a garantia de um nível de segurança adequado ao risco que as operações de tratamento em causa revelam.

9.    O Médico / Subcontratante prestará assistência à Responsável pelo Tratamento na resposta aos pedidos formulados pelos titulares dos dados relativos ao exercício dos direitos conferidos no Regulamento Geral sobre a Proteção de Dados, dispondo das medidas técnicas e organizativas adequadas para o efeito.

O Médico / Subcontratante levará a cabo as instruções objeto de notificação da Responsável pelo Tratamento, nos termos do artigo 19.º do Regulamento Geral sobre Proteção de Dados, com respeito à retificação ou apagamento dos dados pessoais tratados ou quanto à limitação do respetivo tratamento.

10.    O Médico / Subcontratante prestará, mediante solicitação, assistência à Responsável pelo Tratamento na realização (i) das avaliações de impacto relativas à proteção de dados; (ii) das consultas prévias junto da autoridade de controlo; e (iii) das notificações e comunicações de violações de dados pessoais que, nos termos do Regulamento Geral sobre Proteção de Dados, venham a ser necessárias com respeito às operações de tratamento decorrentes do presente Acordo.

O Médico / Subcontratante notificará a Responsável pelo Tratamento, sem qualquer demora indevida e no prazo máximo de 24 (vinte e quatro) horas, de quaisquer violações de dados pessoais que sejam objeto de tratamento no contexto do presente Acordo, devendo incluir na notificação em questão todas as informações necessárias para a documentação e comunicação do incidente à autoridade de controlo a efetuar pela Responsável pelo Tratamento, bem como de qualquer outra informação que se torne, entretanto, disponível.

11.    O Médico / Subcontratante manterá à disposição da Responsável pelo Tratamento as informações necessárias para a demonstração do cumprimento das obrigações decorrentes da relação de subcontratação, bem como permitirá e colaborará ativamente na realização de auditorias ou inspeções pela Responsável pelo Tratamento ou por auditor por esta devidamente mandatado.

A Responsável pelo Tratamento, mediante notificação efetuada com a antecedência de 2 (dois) dias, poderá apresentar-se nas instalações do Médico / Subcontratante e, se for caso disso, da sua subcontratante, com o objetivo de realizar os controlos e auditorias que julge oportuno para atestar o cumprimento das obrigações decorrentes do Regulamento Geral sobre a Proteção de Dados.

12.    Salvo se a legislação aplicável obrigar o Médico / Subcontratante à conservação dos dados pessoais por um prazo superior, uma vez cessada a prestação de serviços que implique o tratamento de dados pessoais no contexto do presente Acordo, o Médico / Subcontratante compromete-se a apagar ou restituir à Responsável pelo Tratamento os dados pessoais que tenham sido disponibilizados, mediante escolha da Responsável pelo Tratamento, a qual deverá ser notificada ao Médico / Subcontratante.

Caso a Responsável pelo Tratamento opte pela restituição dos dados pessoais em questão, o Médico / Subcontratante deverá entregar ou colocar à disposição da Responsável pelo Tratamento os dados tratados num formato de utilização comum e interoperável, bem como entregar ou colocar à disposição os respetivos suportes originais que disponha, devendo ainda destruir de forma segura e irreversível quaisquer cópias ou reproduções dos dados pessoais/documentos suporte na sua posse.

Caso a Responsável pelo Tratamento opte pelo apagamento dos dados pessoais em questão, o Médico / Subcontratante deverá proceder à sua integral destruição, aqui se incluindo quaisquer documentos suporte dos mesmos, de forma segura e irreversível.

O apagamento dos dados pessoais previsto no presente número deverá constar de registo elaborado pelo Médico / Subcontratante, o qual poderá ser disponibilizado mediante pedido da Responsável pelo Tratamento.

13.    O Médico / Subcontratante não poderá subcontratar nenhuma das prestações que integrem o presente Acordo e que impliquem o tratamento de dados pessoais, salvo mediante autorização prévia escrita por parte da Responsável pelo Tratamento.

Caso a Responsável pelo Tratamento autorize a subcontratação nos termos do parágrafo anterior, o Médico / Subcontratante notificará por escrito a Responsável pelo Tratamento de quaisquer subcontratantes adicionais e/ou da substituição de qualquer subcontratante atual, sendo conferida à Responsável pelo Tratamento a possibilidade de oposição, prévia e livre.

Caso a Responsável pelo Tratamento autorize a subcontratação nos termos do presente número, o Médico / Subcontratante garantirá, antes da disponibilização de quaisquer dados pessoais, que o subcontratante em questão fique sujeito, mediante acordo escrito, a obrigações idênticas às previstas no presente Acordo.





Update: 28/01/2019

Version: 1