Detalhe da notificação | TRIS - European Commission

Portaria que altera a portaria de 11 de junho de 2018 que aprova o quadro de acreditação dos organismos de certificação e o quadro de certificação para o alojamento de dados pessoais de saúde

Número de notificação:

2023/0682/FR (France)

Data de receção:

05/12/2023

Fim do período de statu quo:

06/03/2024 (closed)

Texto do projeto:

FR EN DE

Texto final:

FR DE EN

Clique aqui para obter uma versão para impressão desta página

Message

Mensagem 001

Comunicação da Comissão - TRIS/(2023) 3385

Directiva (UE) 2015/1535

Notificação: 2023/0682/FR

Notificação de um projeto de texto de um Estado-Membro

Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt

Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna

MSG: 20233385.PT

1. MSG 001 IND 2023 0682 FR PT 05-12-2023 FR NOTIF

2. France

3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13

3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS

4. 2023/0682/FR - S00S - Saúde, equipamentos médicos

5. Portaria que altera a portaria de 11 de junho de 2018 que aprova o quadro de acreditação dos organismos de certificação e o quadro de certificação para o alojamento de dados pessoais de saúde

6. A atividade de alojamento de dados pessoais de saúde em meios digitais

7.

8. O presente projeto de portaria altera o quadro de acreditação dos organismos de certificação e o quadro de certificação para o alojamento de dados pessoais de saúde.

Em conformidade com o disposto nos artigos L.1111-8 e R.1111-10 do Código da Saúde Pública, todos os prestadores de serviços de alojamento de dados de saúde pessoais devem estar na posse de um certificado de conformidade emitido por um organismo de certificação com base num quadro de certificação, aprovado por portaria do ministro da Saúde.

As principais alterações ao quadro de certificação para o alojamento de dados de saúde destinam-se a:
- Clarificar quais as atividades para as quais os prestadores de serviços de alojamento virtual obtiveram certificação, nomeadamente especificando a definição da atividade de administração e exploração de sistemas de saúde;
- Melhorar a legibilidade das garantias fornecidas pelo prestador de serviços de alojamento a cada prestador que utiliza os seus serviços;
- Clarificar as obrigações contratuais do prestador de serviços de alojamento;
- Incorporar alterações à ISO 27001 no quadro de certificação para alojamento de dados de saúde.

O quadro revisto de alojamento de dados de saúde propõe igualmente o aditamento de quatro novos requisitos em matéria de soberania de dados, nomeadamente:

- Limitar o armazenamento de dados de saúde ao território de um Estado que faz parte do Espaço Económico Europeu;

Dois requisitos relativos à transparência do prestador de serviços de alojamento em relação aos seus clientes:

- Informando-os de qualquer transferência ou acesso remoto aos dados do cliente a partir de um território fora do Espaço Económico Europeu (EEE) que não assegure um nível adequado de proteção de dados, na aceção do artigo 45.º do RGPD, e das medidas organizacionais e técnicas implementadas para regular essa transferência;

- Informando-os de qualquer sujeição a regulamentações extracomunitárias que possa implicar um risco de acesso aos dados por parte de um organismo situado num país que não assegure um nível adequado de proteção de dados na aceção do artigo 45.º do RGPD, bem como das medidas tomadas para atenuar esse risco;

Um requisito de transparência em relação aos seus potenciais clientes: o prestador de serviços de alojamento deve tornar públicas e manter atualizadas informações detalhadas sobre quaisquer transferências de dados que aloje para um país não pertencente ao EEE e sobre as medidas tomadas para garantir o cumprimento do RGPD.

9. O procedimento de certificação obrigatório para o alojamento de dados pessoais de saúde, criado por lei, destina-se a garantir aos utilizadores e aos profissionais de saúde que estes dados sensíveis na aceção do RGPD, confiados no âmbito dos cuidados médicos, são seguros.

O presente projeto de portaria é adotado nos termos dos artigos L.1111-8 e R.1111-10 do Código da Saúde Pública para aprovar uma versão revista: por um lado, o quadro de certificação para o acolhimento de dados de saúde e, por outro, o quadro de acreditação dos organismos de certificação, inicialmente aprovado pela portaria de 11 de junho de 2018. O Decreto n.º 2018-137, que criou o disposto nos artigos R. 1111-8-8 e seguintes do Código da Saúde Pública, bem como a portaria de 11 de junho de 2018, foram ambos notificados à Comissão Europeia em 2017.

O sistema global de certificação implementado em 2018 não foi alterado, tendo apenas alguns pontos sido atualizados.
Os únicos requisitos adicionados ao quadro de certificação dizem respeito à soberania dos dados de saúde e visam assegurar o cumprimento do RGPD (o quadro anterior tinha sido aprovado antes da entrada em vigor do RGPD).

O sistema de certificação para o alojamento de dados de saúde deve fornecer garantias às partes interessadas do setor da saúde e do setor médico-social no que diz respeito à proteção de dados face a legislação não comunitária que possa implicar um risco de divulgação de dados, e não deve fornecer garantias aos indivíduos quanto à eficácia dos seus direitos ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD).

O quadro foi objeto de um parecer emitido pela autoridade francesa para a proteção de dados (CNIL) em 13 de julho de 2023.

Na pendência dos resultados dos debates a nível europeu sobre os futuros quadros europeus (EUCS — European Cybersecurity Certification Scheme for Cloud Services), decidiu-se não alinhá-lo, até à data, com os requisitos em matéria de imunidade extraterritorial estabelecidos pelo quadro francês denominado «SecNumCloud versão 3.2», adotado pela ANSSI (Agência Francesa para a Segurança dos Sistemas de Informação).

10. Referências aos textos de base: 2017/0343/F, 2017/0379/F

Os textos de referência devem ser enviados como parte de uma notificação anterior:
2017/0343/F
2017/0379/F

11. Não

12.

13. Não

14. Não

15. Não

16.
Aspectos OTC: Não

Aspectos MSF: Não

**********
Comissão Europeia
Contacto para obter informações de carácter general Directiva (UE) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu

Disclosed messages

message-id	Ano	Número	País	Type	Title	Data de receção
106215	2023	3386	COMComissão Europeia	003	Receipt of the draft text	05-12-2023
106216	2023	3387	COMComissão Europeia	037	Competitiveness analysis	05-12-2023
108179	2024	1293	COMComissão Europeia	049	Acknowledgement of receipt of the adopted text	16-05-2024

Línguas

Contribuições de partes interessadas

O sítio Web TRIS permite que qualquer pessoa ou organização partilhe facilmente o seu ponto de vista sobre uma determinada notificação.

Devido ao estado da notificação ou ao fim do período de statu quo, não estamos atualmente a aceitar quaisquer contribuições adicionais para esta notificação através do sítio Web.

Não foram encontradas contribuições relativas a esta notificação