Mensagem 001
Comunicação da Comissão - TRIS/(2025) 3364
Directiva (UE) 2015/1535
Notificação: 2025/0708/FR
Notificação de um projeto de texto de um Estado-Membro
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20253364.PT
1. MSG 001 IND 2025 0708 FR PT 25-11-2025 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2025/0708/FR - SERV - Serviços da sociedade da informação
5. Decreto que altera determinadas disposições relativas ao alojamento de dados de saúde pessoais
6. Alojamento de dados de saúde pessoais.
7.
8. O presente decreto, emitido nos termos do artigo 31.º da Lei SREN, tem como objetivo o seguinte:
1) Especificar as obrigações de soberania estabelecidas no artigo L. 1111-8, IV, do Código da Saúde Pública, incorporando os requisitos 28 a 31 da norma relativa aos prestadores de serviços de alojamento de dados de saúde, notificada com o número de notificação 2023/0682/FR:
- Exige que os dados de saúde sejam alojados exclusivamente no território de um Estado-Membro da União Europeia ou uma parte no Espaço Económico Europeu. No caso de acesso remoto a partir de um país terceiro, esse acesso deve basear-se numa decisão de adequação da Comissão Europeia ou, na sua falta, em garantias adequadas especificadas no contrato de alojamento.
- Introduz novas obrigações contratuais para os prestadores de serviços de alojamento, que devem informar os seus clientes sobre as regulamentações não europeias que possam conduzir à transferência ou ao acesso não autorizados a dados, as medidas aplicadas para limitar os seus efeitos e quaisquer riscos residuais remanescentes.
- É introduzida uma obrigação de transparência, exigindo que os prestadores de serviços de alojamento publiquem e atualizem um mapa das transferências de dados para países fora do EEE e uma descrição dos riscos de acesso não autorizado.
2) Harmonizar determinadas disposições do artigo R. 1111-11 com as do RGPD:
- Relativamente ao conteúdo da cláusula contratual no que diz respeito às regras para exercício dos direitos dos titulares dos dados, em conformidade com os direitos efetivamente previstos no RGPD.
- Relativamente ao requisito 19, em consonância com o RGPD para visar os direitos das pessoas singulares, tal como previsto no RGPD, aquando da sua atualização em 2024.
9. O artigo 32.º da Lei SREN altera o artigo L. 1111-8, IV, do Código da Saúde Pública, acrescentando novas obrigações em matéria de soberania dos dados que devem ser cumpridas pelos prestadores de serviços de alojamento de dados de saúde pessoais, prevendo, por um lado, a obrigação de armazenar os dados na UE e, por outro lado, prevendo novas disposições que devem ser incluídas no contrato entre o prestador de serviços de alojamento e o seu cliente, tendo em conta os riscos de transferência ou acesso não autorizados aos dados pessoais por legislação não europeia.
O conteúdo destas obrigações e disposições contratuais deve agora ser especificado por decreto do Conselho de Estado.
O artigo 32.º da Lei SREN prevê igualmente que o alojamento de dados de saúde como parte de um serviço de arquivo eletrónico está agora sujeito ao requisito de certificação de «prestador de serviços de alojamento de dados de saúde», além de ser aprovado pelo Ministro da Cultura. Esta alteração da lei não implica quaisquer alterações regulamentares, com exceção da clarificação de que a atividade de alojamento correspondente à «salvaguarda dos dados de saúde» inclui a atividade de «arquivo eletrónico».
O projeto notificado está em conformidade com as regulamentações europeias em matéria de dados pessoais, nomeadamente o Regulamento (UE) 2025/327 relativo ao Espaço Europeu de Dados de Saúde (EEDS). Em particular, a obrigação de os prestadores de serviços de alojamento de dados de saúde de manterem a localização física dos dados na UE ou no EEE é coerente com o artigo 86.º do Regulamento EEDS, que concede expressamente aos Estados-Membros a opção de limitar o armazenamento de dados de saúde ao território da UE. Além disso, caso o prestador de serviços de alojamento ou um dos seus subcontratantes sujeitem o acesso remoto a dados a partir de um país terceiro a uma decisão de adequação da Comissão nos termos do artigo 46.º do Regulamento (UE) 2016/679 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD), tal está em conformidade com o artigo 90.º do Regulamento EEDS, que concede aos Estados-Membros a possibilidade de manter ou introduzir condições complementares relativas ao acesso internacional aos dados de saúde. Por último, a obrigação de incluir, na ausência de uma decisão de adequação da Comissão, as medidas tomadas para fazer face aos riscos de transferência ou acesso não autorizados a esses dados por países terceiros fora da UE ou do EEE está igualmente em conformidade com o artigo 90.º do Regulamento EEDS, que concede aos Estados-Membros a opção de sujeitar a transferência de dados pessoais a condições complementares de proteção.
10. Referências aos textos de base: 2023/0682/FR, 2017/0343/F
Os textos de base foram transmitidos no âmbito de uma notificação anterior:
2023/0682/FR
2017/0343/F
11. Não.
12.
13. Não.
14. Não
15. Não
16.
Aspectos OTC: Não
Aspectos MSF: Não
**********
Comissão Europeia
Contacto para obter informações de carácter general Directiva (UE) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
