FUNÇÃO REGULADA · CDPO
Clinical Data Protection Officer
Encarregado de Proteção de Dados especializado em investigação clínica — articulação entre o regime geral do RGPD e os regimes sectoriais da saúde e da investigação.
Âmbito da função
O Clinical Data Protection Officer (CDPO) é o EPD/DPO da organização especializado na intersecção entre RGPD e investigação clínica. É a figura nomeada nos termos do Art. 37.º RGPD e do Art. 12.º da Lei n.º 58/2019, mas com competência adicional substantiva em direito da investigação clínica, doutrina do CEIC e regulamentação europeia em saúde.
Quadro legal de referência
- Reg. (UE) 2016/679 — RGPD, com particular atenção aos arts. 9.º (dados sensíveis), 35.º (AIPD), 37.º a 39.º (EPD) e Cap. V (transferências);
- Lei n.º 58/2019 — execução do RGPD em Portugal;
- Deliberação CNPD n.º 1704/2015 — princípios orientadores em investigação clínica;
- Orientações 07/2020 do CEPD — conceitos de responsável e subcontratante;
- Documento CEIC sobre RGPD em investigação clínica;
- Documento CEIC sobre o consentimento informado;
- Decisões TJUE relevantes em matéria de saúde e investigação.
Responsabilidades operacionais
- Elaboração e revisão de Avaliações de Impacto sobre a Proteção de Dados (AIPD/DPIA) por estudo clínico;
- Revisão jurídica de cláusulas de proteção de dados em contratos promotor-hospital (Art. 28.º RGPD);
- Validação dos consentimentos informados quanto às exigências do RGPD em complemento das exigências CEIC;
- Análise jurídica de transferências internacionais de dados — Cláusulas Contratuais Tipo, BCR, decisões de adequação;
- Avaliação de impacto de transferência (TIA) para transferências para países terceiros;
- Actualização do Registo de Atividades de Tratamento (RAT) específico de investigação clínica;
- Resposta a pedidos de exercício de direitos por titulares (participantes em estudos);
- Gestão de incidentes de dados e notificação à CNPD em 72 horas;
- Ponto de contacto oficial com a CNPD;
- Formação obrigatória dos colaboradores envolvidos no tratamento de dados.
Articulação com o CCO e o CSO
A função do CDPO articula-se intimamente com o CCO (em matéria de bases legais conjugadas IC + RGPD) e com o CSO (em matéria de medidas de segurança técnicas e organizativas, gestão de incidentes e notificação dupla CNPD/CNCS).
Modelo de prestação
Avença mensal CDPO com SLA de 48 horas úteis para questões correntes e 24 horas para incidentes urgentes. Inclui presença em reuniões de investigação, relatório trimestral à Direção e ponto de contacto formal com a CNPD.
Avaliar a necessidade de um CDPO Clínico
Diagnóstico inicial de 30 minutos para avaliar o âmbito da função e a dimensão da operação.