Análise do projeto de orientações do Comité Europeu de Proteção de Dados (CEPD)
Fique a par das novidades
SubscreverUm contexto que exige clareza
A ciência é, há muito, reconhecida na legislação da União Europeia (UE) como um valor que beneficia a sociedade. O Regulamento Geral sobre a Proteção de Dados (RGPD) reflete isso ao permitir um certo grau de flexibilidade quando os dados são utilizados exclusivamente para fins de investigação científica, como a possibilidade de os armazenar por períodos mais longos ou reutilizá-los em projetos relacionados. No entanto, o desenvolvimento de novas tecnologias e a expansão da investigação transfronteiriça suscitaram questões sobre o âmbito dessas exceções. Que atividades podem beneficiar do regime de investigação? Como devem os participantes ser informados quando o objeto de um estudo evolui? Que medidas minimizam o risco de reidentificação? Em resposta a estas questões, o Comité Europeu de Proteção de Dados (CEPD) adotou, em 15 de abril de 2026, o Projeto de Orientações 1/2026 com o objetivo de harmonizar as abordagens e, uma vez concluída a Consulta pública, disponibilizar um ponto de referência para as autoridades de controlo.
O que se entende por investigação científica?
O RGPD não define o conceito de “investigação científica”; as orientações colmatam essa lacuna, descrevendo seis características que, em conjunto, levam a presumir que uma atividade constitui investigação científica: (1) uma abordagem metódica e sistemática; (2) observância de padrões éticos e de integridade da investigação; (3) a verificabilidade e a transparência dos resultados; (4) autonomia e independência na escolha dos meios e dos fins; (5) uma contribuição para o conhecimento e o bem-estar social; e (6) o potencial de contribuir para o conhecimento científico existente ou para o aplicar de formas inovadoras. Quando todos estes elementos estão presentes, a utilização dos dados pode beneficiar das flexibilidades previstas pelo RGPD.
O CEPD esclarece também que as infraestruturas de dados de investigação, como os biobancos, os bancos de imagens ou os repositórios genéticos, podem por si mesmas, qualificar-se como investigação científica quando a sua conceção refletir esses seis fatores. Além disso, salienta que as operações de tratamento acessórias — a seleção de participantes, a curadoria de conjuntos de dados ou a pseudonimização da informação — podem entrar no âmbito da investigação científica quando perseguem um objetivo científico claro.
Uma vez identificadas as características que distinguem a investigação científica, a questão seguinte é como estas se enquadram na estrutura do RGPD.
Da definição da finalidade à gestão do tempo
Uma vez qualificada uma atividade como científica, o passo seguinte consiste em cumprir os princípios básicos do RGPD. O princípio da limitação da finalidade impede a reutilização dos dados para finalidades incompatíveis com aquelas para as quais foram originalmente recolhidos. O artigo 5.º, n.º 1, alínea b), introduz, no entanto, uma presunção de compatibilidade da finalidade: o tratamento posterior de dados pessoais para fins de investigação científica é geralmente lícito e não exige um teste autónomo de compatibilidade quando se mantenha a finalidade científica.
Essa presunção aplica-se apenas quando o tratamento permaneça circunscrito a fins de investigação científica. Se um projeto se desviar para utilizações comerciais ou exceder o âmbito do consentimento inicialmente obtido, será necessária uma avaliação de compatibilidade e, quando aplicável, poderá ser necessário identificar uma nova base jurídica.
Outra questão fundamental é a gestão do tempo. O RGPD permite que os responsáveis pelo tratamento conservem os dados pessoais durante períodos mais longos quando estes sejam tratados para fins de investigação científica e existam garantias adequadas. Por conseguinte, as orientações instam os responsáveis pelo tratamento a estabelecer períodos de conservação concretos, ou pelo menos critérios claros, e a revê-los periodicamente, evitando a conservação por tempo indeterminado. A conservação de dados pessoais após a conclusão de um estudo pode justificar-se pela necessidade de verificação de resultados ou suporte a projetos subsequentes, mas tal conservação deve ser devidamente justificada.
Fundamentos jurídicos: consentimento, interesse público e interesse legítimo
Após determinação da finalidade e do prazo, segue-se a análise da base jurídica. As orientações identificam três bases jurídicas principais para a investigação e recordam aos responsáveis pelo tratamento que, no caso de dados de saúde, dados genéticos ou outras categorias especiais de dados pessoais, também deve ser invocada uma das condições previstas no artigo 9.º.
- Consentimento abrangente. Pode ser solicitado um consentimento abrangente para projetos futuros que ainda não possam ser descritos na íntegra, desde que o âmbito da investigação esteja suficientemente delimitado. Não basta referir-se em termos gerais à “investigação científica”; deve especificar-se o domínio ou o objetivo previsto. Antes do início de cada projeto específico, o responsável pelo tratamento deve verificar se este se enquadra nesse consentimento abrangente e, caso contrário, obter um consentimento adicional. Por outras palavras, fala-se em consentimento dinâmico. Dado que o consentimento abrangente é menos específico, as orientações recomendam manter os participantes informados e estabelecer uma supervisão externa.
- Interesse público ou exercício da autoridade pública. O artigo 6.º, n.º 1, alínea e) do RGPD permite o tratamento quando uma lei ou um ato administrativo atribua a uma entidade uma missão de interesse público. A medida em causa deve ser clara, necessária e proporcional. Na área da saúde, espera-se que as normas específicas do sector especifiquem as garantias com maior pormenor.
- Interesse legítimo. A investigação científica pode igualmente assentar nos interesses legítimos do responsável pelo tratamento ou de um terceiro, desde que o valor social da investigação seja ponderado face aos direitos e às expectativas razoáveis dos titulares dos dados. Devem ser adotadas medidas adequadas para mitigar os riscos. As autoridades públicas não podem invocar esta base jurídica relativamente a tratamentos realizados no exercício das suas funções públicas. No que diz respeito a categorias especiais de dados pessoais, a condição pertinente do artigo 9.º e quaisquer requisitos nacionais aplicáveis determinarão igualmente a análise.
Transparência e direitos dos titulares dos dados
Uma vez identificada a base jurídica, os responsáveis pelo tratamento devem assegurar a transparência. As orientações deixam claro que os participantes devem saber quem trata os seus dados pessoais, para que finalidade, durante quanto tempo e como podem exercer os seus direitos. Nos estudos de longa duração, é recomendável recolher dados de contacto para que os participantes possam manter-se informados sobre desenvolvimentos e alterações. A informação pode ser prestada através de notificações escritas, websites ou aplicações, e deve incluir um ponto de contacto para esclarecimentos.
Quando os dados pessoais sejam obtidos de outras fontes, os titulares dos dados devem ser igualmente informados, salvo se tal for impossível ou se puder prejudicar gravemente o objetivo da investigação. Qualquer alteração substancial — por exemplo, a inclusão de novas categorias de dados ou de novos parceiros — deve ser comunicada com a devida antecedência.
Os participantes mantêm os seus direitos ao apagamento e de oposição, embora o RGPD preveja exceções específicas no contexto da investigação. O responsável pelo tratamento pode recusar um pedido de apagamento quando a eliminação impossibilite a investigação ou a prejudique gravemente e quando tenham sido estabelecidas as garantias adequadas. Da mesma forma, uma oposição pode ser anulada quando o responsável pelo tratamento puder demonstrar que o tratamento é necessário para uma tarefa realizada no interesse público ou que o seu interesse legítimo prevalece e coincide com esse interesse público. As exceções previstas no artigo 89.º, n.º 2 e nas legislações nacionais permitem adaptar esses direitos ao contexto científico.
O tratamento destes direitos está intimamente relacionado com a atribuição de responsabilidades e com as medidas técnicas e organizativas que sustentam a confiança na investigação científica.
Responsabilidades e garantias: uma ponte para a confiança
Para além dos princípios e das bases jurídicas, a proteção de dados exige uma clara delimitação de responsabilidades. Quando várias entidades determinam em conjunto as finalidades e os meios de um estudo — como acontece frequentemente nos consórcios de investigação —, atuam como corresponsáveis pelo tratamento e devem documentar e comunicar as respetivas responsabilidades, para que os participantes saibam a quem se devem dirigir.
As garantias adequadas constituem o outro pilar que permite recorrer à flexibilidade do artigo 89.º, n.º 1. O CEPD insiste na minimização dos dados: sempre que possível, devem ser utilizados dados anonimizados ou pseudonimizados, e os dados que permitam uma identificação direta só devem ser tratados quando for estritamente necessário. Os projetos devem também estar sujeitos a uma supervisão ética independente. Os ambientes de tratamento seguros permitem analisar a informação sem a copiar ou descarregar, o que reduz o risco de divulgação. As tecnologias como a pseudonimização, a encriptação e a privacidade diferencial podem mitigar ainda mais o risco.
Tal como salientámos na nossa publicação anterior Post |Pseudonymised data in clinical trials, a pseudonimização reduz o risco de reidentificação, mas não elimina a natureza pessoal dos dados quando exista uma chave de reidentificação. O projeto de orientações reforça este ponto. Por conseguinte, os responsáveis pelo tratamento devem combinar a pseudonimização com proteções contratuais, uma governação sólida e critérios de publicação que impeçam a revelação da identidade dos participantes.
Implicações práticas para o sector farmacêutico e de saúde
Para o sector farmacêutico e de saúde, as orientações traduzem-se em práticas concretas. Os promotores de ensaios clínicos devem recorrer a metodologias sólidas e garantir que os protocolos sejam revistos por comités de ética. Quando se recorre ao consentimento abrangente, o âmbito da investigação deve ser claramente delimitado e os participantes devem ser mantidos informados, para que se possa solicitar o consentimento dinâmico à medida que os projetos evoluem. Os biobancos devem definir quem pode aceder às amostras e garantir que o tratamento seja realizado em ambientes seguros. Em projetos multinacionais, é essencial identificar os responsáveis conjuntos pelo tratamento e acordar condições de transferência que cumpram as regras de proteção de dados.
Uma oportunidade de participação
A consulta pública sobre as Orientações 1/2026 permanecerá aberta até 25 de junho de 2026. Isto cria uma oportunidade para as empresas farmacêuticas, os hospitais universitários, as organizações de doentes e outras partes interessadas apresentarem comentários. Essas observações podem influenciar a versão final das orientações e a futura interpretação do RGPD no contexto da investigação.
Enquanto se aguarda essa versão definitiva, as organizações do sector farmacêutico e da saúde já podem começar a rever os seus projetos à luz do projeto de texto. É útil verificar se as atividades reúnem as seis características que identificam a investigação científica, escolher a base jurídica adequada e, quando aplicável, a condição do artigo 9.º, atualizar as declarações de privacidade para que os participantes compreendam a finalidade e a duração do tratamento, estabelecer canais de comunicação e procedimentos para gerir os pedidos de apagamento e oposição, atribuir responsabilidades entre os parceiros e implementar medidas de segurança, tais como a pseudonimização e ambientes de tratamento seguros. Em resumo, uma abordagem proativa à proteção de dados não só facilita a conformidade, como também contribui para gerar confiança, uma condição necessária para que a investigação científica prospere e continue a trazer benefícios para a saúde pública.
Para mais informações, não hesite em contactar os nossos especialistas através da Área de Conhecimento e Inovação.
Fique a par das novidades
Subscrever