PILAR 2 · AUTORIDADES DE CONTROLO
Doutrina da CNPD e do CEPD
Articulação entre a doutrina nacional da Comissão Nacional de Proteção de Dados e a doutrina europeia uniforme do Comité Europeu para a Proteção de Dados.
A CNPD
A Comissão Nacional de Proteção de Dados é a autoridade de controlo independente para o RGPD em Portugal, prevista no Art. 51.º RGPD e regulada pela Lei n.º 43/2004 (com sucessivas alterações). Tem competência fiscalizadora, sancionatória, consultiva e regulamentar.
Deliberações relevantes em IC
- Deliberação n.º 1704/2015 — princípios orientadores para tratamento de dados pessoais em investigação clínica (anterior ao RGPD, mantém actualidade em muitos aspectos);
- Regulamento n.º 798/2018 — tipologias de tratamento com obrigatoriedade de AIPD;
- Deliberação 2025/267 — clarificações sobre EPD;
- Orientações sobre o consentimento, transferências, dados de saúde e direitos dos titulares.
O CEPD (EDPB)
O Comité Europeu para a Proteção de Dados (anteriormente Grupo de Trabalho do Art. 29.º) é o organismo europeu de coordenação das autoridades de controlo nacionais. Emite orientações e recomendações que asseguram aplicação uniforme do RGPD.
Orientações CEPD relevantes em IC
- Orientações 03/2020 sobre tratamento de dados de saúde para fins de investigação científica;
- Orientações 07/2020 sobre conceitos de responsável pelo tratamento e subcontratante;
- Orientações 04/2019 sobre Art. 25.º RGPD (proteção de dados desde a concepção);
- Orientações 05/2020 sobre consentimento;
- Recomendações 01/2020 sobre medidas suplementares para transferências internacionais (pós-Schrems II);
- Orientações 05/2021 sobre interplay entre Art. 3.º RGPD e Art. 44.º+ sobre transferências.
Articulação na prática
As autoridades nacionais aplicam o RGPD à luz da doutrina do CEPD. Em caso de divergência, a doutrina do CEPD prevalece, sob pena de violação do princípio da aplicação uniforme. O EPD/DPO clínico tem de manter-se actualizado em ambos os planos.
Jurisprudência do TJUE
O Tribunal de Justiça da União Europeia tem proferido decisões estruturantes sobre o RGPD aplicado à saúde — Schrems I e II (transferências), Fashion ID (responsabilidade conjunta), Bundesverband (legitimidade de associações). Estas decisões integram a doutrina aplicável em Portugal e devem ser conhecidas pelo CDPO clínico.
Necessita de apoio nesta matéria?
O Clinical Data Protection Officer assegura a aplicação especializada desta sub-área à investigação clínica.