← Voltar ao blog

RGPD em ferramentas IA: como avaliar fornecedores na clínica

Cada ferramenta de IA é um subcontratante RGPD. Sem avaliação documentada, a clínica responde por incumprimentos do fornecedor. 5 critérios e processo prático.

RGPD em ferramentas IA: como avaliar fornecedores na clínica
Neste artigo

Em resumo

  • Cada ferramenta de IA que processa dados de pacientes é um subcontratante RGPD: a clínica continua responsável pelos tratamentos e responde solidariamente por incumprimentos do fornecedor.
  • Coimas RGPD em Portugal podem atingir 20 milhões de euros ou 4% do volume de negócios anual, mas para uma clínica média o risco real situa-se tipicamente entre 5.000 e 50.000 euros por incidente reportado à CNPD.
  • Cerca de 70% das ferramentas SaaS de IA disponíveis no mercado processam dados em servidores fora do EEE, exigindo Cláusulas Contratuais Tipo, avaliação de transferência (TIA) e, em saúde, normalmente medidas suplementares.
  • Uma avaliação rigorosa de fornecedor demora 4 a 8 horas e custa muito menos do que um incidente: assenta em 5 critérios não negociáveis que detalhamos abaixo.

Quando uma clínica adota um chatbot, um transcritor de consultas ou um assistente de marcação com inteligência artificial, está a partilhar dados pessoais e, frequentemente, dados de saúde com um terceiro. À luz do RGPD esse terceiro é um subcontratante e a clínica continua a ser responsável pelo tratamento. Sem uma avaliação documentada antes da contratação, qualquer falha técnica, fuga de dados ou utilização indevida pelo fornecedor recai sobre o responsável: a clínica. Este artigo descreve um processo prático e os critérios concretos para escolher fornecedores conformes.

Porque é que cada ferramenta de IA é um subcontratante RGPD

O artigo 4.º do RGPD distingue responsável pelo tratamento (a clínica que decide o porquê e o como) e subcontratante (a entidade que trata dados em nome do responsável). Quando contrata um software que processa nomes, contactos, sintomas, transcrições de consultas, fotografias clínicas ou registos de marcação, está a delegar parte do tratamento. O artigo 28.º exige que essa relação seja regulada por contrato escrito, com cláusulas específicas e garantias adequadas.

O erro mais comum em clínicas portuguesas é assumir que ferramentas populares como assistentes de IA generativa, transcritores ou geradores de relatórios oferecem garantias suficientes por defeito. Não oferecem. A versão gratuita ou a conta pessoal típica não tem contrato de subcontratação assinado, frequentemente treina modelos com os dados introduzidos e não distingue dados de saúde de qualquer outro input. Utilizar essas contas para tratar dados de pacientes é, na prática, uma violação documentada à espera de ser detetada.

Os 5 critérios não negociáveis

Antes de qualquer subscrição, valide estes cinco pontos. Se algum falhar, o fornecedor não é adequado para dados de pacientes, independentemente das suas vantagens funcionais.

  1. Contrato de subcontratação (DPA) assinado e específico: tem de cumprir o artigo 28.º, identificar finalidades, durações, tipos de dados e categorias de titulares.
  2. Localização dos dados e regime de transferências internacionais: servidores no EEE são preferíveis; fora dele, exigem mecanismos legais e medidas suplementares.
  3. Não utilização dos dados para treino de modelos: cláusula expressa e auditável de que inputs e outputs não alimentam modelos partilhados com terceiros.
  4. Medidas técnicas e organizativas verificáveis: cifragem em trânsito e em repouso, controlos de acesso, registos, certificações reconhecidas.
  5. Procedimento documentado de violação de dados: notificação ao responsável em prazo compatível com as 72 horas do artigo 33.º do RGPD.

Critério 1: contrato de subcontratação (DPA) específico

O Data Processing Agreement é o documento que materializa o artigo 28.º. Em Portugal, a CNPD tem reforçado em deliberações recentes que um DPA genérico, redigido apenas em inglês, sem identificação concreta dos tratamentos, é insuficiente para clínicas. Procure cláusulas que descrevam, com detalhe, os tipos de dados processados (incluindo a menção explícita a dados de saúde quando aplicável), a duração do tratamento, as categorias de titulares envolvidas e as instruções documentadas que pode dar ao subcontratante.

Verifique também a cadeia de subcontratação. Muitos fornecedores de IA assentam em infraestruturas de terceiros (por exemplo, fornecedores de cloud ou de modelos linguísticos). Cada elo dessa cadeia tem de ser autorizado e estar coberto por contrato equivalente, com obrigações em cascata. Exija a lista atualizada de subcontratantes autorizados e o direito a ser informado quando essa lista mudar. Sem isto, perde controlo real sobre quem acede aos dados dos seus pacientes.

Critério 2: localização dos dados e transferências internacionais

Esta é frequentemente a falha mais grave. Após o acórdão Schrems II, transferências de dados pessoais para fora do EEE exigem mecanismos jurídicos, tipicamente Cláusulas Contratuais Tipo, acompanhados de uma Transfer Impact Assessment. Para dados de saúde, a literatura especializada e a prática da CNPD apontam para medidas suplementares como cifragem ponto a ponto com chaves controladas pelo responsável ou pseudonimização robusta antes da transferência.

Pergunte ao fornecedor onde estão fisicamente os servidores. Servidores em Lisboa, Frankfurt, Amesterdão ou Paris reduzem substancialmente a complexidade. Servidores nos Estados Unidos, Reino Unido ou Índia obrigam a documentação adicional. Para chatbots de IA que conversam com pacientes em tempo real, idealmente procure fornecedores que ofereçam regiões europeias dedicadas e contratualizem retenção mínima dos prompts e respostas.

Critério 3: não utilização para treino de modelos

A pergunta a fazer é literal: os dados introduzidos pelos nossos utilizadores e pelos nossos pacientes são usados para treinar, afinar ou avaliar modelos de inteligência artificial, partilhados com terceiros ou não? A resposta tem de constar no contrato, não apenas na página de marketing. Muitos fornecedores oferecem por defeito treino com inputs em planos gratuitos ou de baixo custo, e só desativam essa utilização em planos empresariais.

Para uma clínica, qualquer plano que não garanta zero retenção para treino é inadequado. A justificação é prática: uma vez incorporados num modelo, os dados podem reaparecer em respostas a outros utilizadores e tornam-se praticamente impossíveis de eliminar, comprometendo o direito ao apagamento previsto no artigo 17.º do RGPD.

Critério 4: medidas técnicas e organizativas verificáveis

O artigo 32.º do RGPD exige medidas adequadas ao risco. Em dados de saúde, isso traduz-se em requisitos concretos: cifragem TLS 1.2 ou superior em trânsito, cifragem em repouso com gestão documentada de chaves, controlos de acesso baseados em funções, registos de auditoria com retenção mínima de 12 meses e segregação clara entre ambientes de produção e desenvolvimento.

Certificações reconhecidas como ISO/IEC 27001, ISO/IEC 27701 (privacidade) e SOC 2 Tipo II são indicadores úteis, embora não substituam a leitura atenta do âmbito da certificação. Peça o sumário executivo do último relatório SOC 2 ou o certificado ISO com o anexo declarativo de aplicabilidade. Se o fornecedor recusar partilhar, mesmo sob NDA, considere-o um sinal de alarme.

Tabela comparativa: o que avaliar em cada fornecedor

Use esta grelha como checklist para qualquer fornecedor de IA que vá tratar dados de pacientes. Idealmente, todos os indicadores devem estar a verde antes da contratação.

CritérioAceitávelAdequadoNão adequado
DPA artigo 28.ºGenérico, em inglês, assinadoEspecífico, com lista de subcontratantes e categorias de dadosSem DPA ou apenas Termos de Serviço
Localização dos dadosEEE com transferências pontuais cobertas por CCTUE/EEE exclusivo, com região definidaEUA ou outros sem CCT nem TIA
Treino com inputsOpt-out documentado e ativadoNão treino por defeito, contratualizadoTreino ativo ou cláusula ambígua
Cifragem e certificaçõesTLS 1.2, ISO 27001TLS 1.3, ISO 27001 + 27701, SOC 2 Tipo IISem cifragem em repouso nem certificações
Notificação de incidentesNotificação até 72 horasNotificação até 24 horas com canal dedicadoSem compromisso contratual
Retenção e apagamentoApagamento mediante pedido em 30 diasRetenção configurável, apagamento em 7 diasRetenção indefinida ou não esclarecida

Critério 5: gestão de incidentes e direitos dos titulares

O artigo 33.º do RGPD obriga a notificar a CNPD em 72 horas após conhecimento de uma violação de dados. Para cumprir, a clínica precisa de saber em tempo útil. Por isso, o contrato com o fornecedor tem de fixar prazos de notificação interna ao responsável tipicamente inferiores a 24 horas, identificar um canal dedicado e descrever a informação que será partilhada (volume de registos afetados, natureza dos dados, medidas mitigadoras já em curso).

O mesmo se aplica ao exercício de direitos pelos pacientes. Quando um paciente pede acesso, retificação, apagamento ou portabilidade dos seus dados, a clínica tem de poder cumprir nos 30 dias do artigo 12.º. Pergunte ao fornecedor como apoia esses pedidos: existe API ou painel? Em quantos dias devolve a exportação? Como confirma o apagamento? Sem respostas claras, não há conformidade real, apenas documental.

Conformidade ERS e Ordens profissionais

A Entidade Reguladora da Saúde acompanha de perto a publicidade e a comunicação de prestadores. Quando uma ferramenta de IA atende pacientes, escreve respostas automáticas, gere agendas ou produz conteúdos, está a comunicar em nome da clínica e tem de respeitar as mesmas regras dos profissionais. As Ordens dos Médicos, dos Médicos Dentistas, dos Psicólogos, dos Enfermeiros e dos Nutricionistas reforçam estes deveres deontológicos.

  • Não permitir que o chatbot prometa cura, resultados garantidos ou prazos de melhoria que dependam do quadro clínico individual.
  • Evitar mensagens com urgência artificial (vagas limitadas, promoção termina hoje) em comunicações relacionadas com saúde.
  • Proibir comparações nominais com concorrentes ou afirmações de superioridade não objetivamente comprovadas.
  • Não permitir aconselhamento clínico generativo: o chatbot esclarece dúvidas administrativas e orienta para consulta, não diagnostica nem prescreve.
  • Bloquear sugestões de tratamentos, produtos ou exames quando não foram pedidos pelo paciente.
  • Garantir identificação clara: o paciente tem de saber que está a interagir com um sistema automatizado.
  • Manter registo das conversas para auditoria e resposta a reclamações apresentadas à ERS ou Ordem competente.

Estas regras devem estar refletidas no prompt de sistema do chatbot e no manual de operação da equipa. Não basta confiar na boa configuração do fornecedor.

Processo de avaliação em 6 passos

Recomendamos um processo curto mas rigoroso, idealmente conduzido pelo encarregado de proteção de dados em articulação com a direção clínica. Pode ser executado em 4 a 8 horas para a maioria dos fornecedores.

  1. Levantar finalidades concretas e tipos de dados que a ferramenta irá tratar.
  2. Solicitar ao fornecedor o pacote de conformidade: DPA, lista de subcontratantes, certificações, política de privacidade, ficha técnica de segurança.
  3. Verificar cada um dos 5 critérios contra a grelha acima.
  4. Executar uma Avaliação de Impacto sobre a Proteção de Dados quando o tratamento envolva dados de saúde ou perfilagem, conforme orientações da CNPD.
  5. Documentar a decisão (aprovação, condicionada ou rejeição) e arquivar evidências por um período mínimo equivalente à duração do contrato mais 5 anos.
  6. Reavaliar anualmente ou sempre que o fornecedor altere subcontratantes, localização de dados ou modelo subjacente.

Erros frequentes que a CNPD penaliza

A análise de deliberações públicas e de coimas aplicadas no setor da saúde em Portugal e na União Europeia revela padrões. Os erros mais penalizados pelas autoridades de controlo são previsíveis e evitáveis, mas continuam comuns mesmo em clínicas com encarregado de proteção de dados nomeado.

  • Uso de contas pessoais ou versões gratuitas de assistentes de IA para tratar dados de pacientes, sem DPA.
  • Transferências internacionais sem CCT nem TIA, particularmente para serviços nos Estados Unidos.
  • Falta de informação clara aos pacientes sobre a utilização de IA, na política de privacidade e no momento da recolha.
  • Inexistência de base de licitude documentada para tratamentos automatizados, sobretudo quando envolvem dados de saúde.
  • Ausência de registos de auditoria e de capacidade real de resposta a pedidos de exercício de direitos.
  • Falta de Avaliação de Impacto quando obrigatória, conforme a lista publicada pela CNPD.

Perguntas frequentes

O que distingue um responsável de um subcontratante no RGPD?

O responsável decide finalidades e meios do tratamento, a clínica no caso típico. O subcontratante trata dados em nome do responsável, seguindo instruções. Mesmo quando contrata um fornecedor de IA, a clínica continua a ser responsável perante o paciente e a CNPD.

É obrigatório ter DPA com todas as ferramentas de IA?

Sim, sempre que a ferramenta processe dados pessoais por conta da clínica. O artigo 28.º do RGPD exige contrato escrito. Sem DPA, a relação é juridicamente irregular, mesmo que o fornecedor seja tecnicamente seguro e localizado no EEE.

Apenas com planos empresariais que ofereçam DPA, regiões europeias e cláusula contratual de não treino com inputs. Contas gratuitas ou pessoais não cumprem o RGPD para dados de saúde e expõem a clínica a coimas e perdas reputacionais significativas.

Quanto tempo demora avaliar um fornecedor de IA corretamente?

Para fornecedores maduros com documentação organizada, tipicamente entre 4 e 8 horas de trabalho do encarregado de proteção de dados. Casos complexos com cadeias de subcontratação longas ou transferências internacionais podem exigir 2 a 3 dias úteis e parecer jurídico externo.

Que coima posso esperar se houver uma violação?

O limite legal vai até 20 milhões de euros ou 4% do volume de negócios. Na prática, para uma clínica de pequena ou média dimensão, as deliberações da CNPD têm aplicado valores na ordem dos 5.000 a 50.000 euros, agravados pelo impacto reputacional e por eventuais ações de pacientes.

É preciso fazer Avaliação de Impacto sobre Proteção de Dados?

Sempre que o tratamento envolva dados de saúde em larga escala, perfilagem ou decisões automatizadas com efeitos relevantes. A CNPD publicou listas de operações que exigem AIPD. Em clínicas, chatbots clínicos e analítica avançada de pacientes estão tipicamente abrangidos.

O que faço se o fornecedor não tiver servidores no EEE?

Verifique se existem Cláusulas Contratuais Tipo, conduza uma Transfer Impact Assessment e avalie medidas suplementares como cifragem ponto a ponto ou pseudonimização. Para dados de saúde, prefira sempre fornecedores com região europeia dedicada quando disponível no mercado.

Os pacientes precisam de saber que estão a falar com IA?

Sim. O princípio da transparência (artigo 5.º) e os deveres deontológicos das Ordens exigem identificação clara. O chatbot deve apresentar-se como sistema automatizado, indicar como o paciente pode falar com um humano e descrever, em termos simples, como os dados serão tratados.

Próximos passos

Avaliar fornecedores de IA com o rigor que o RGPD exige é trabalho técnico, jurídico e operacional. Se a sua clínica está a ponderar adotar um chatbot, um transcritor ou outro assistente de IA, a melhor altura para fazer esta avaliação é antes da contratação, não depois de um incidente. Um processo bem documentado protege os pacientes, a equipa e a reputação da clínica.

Se quiser uma análise objetiva das ferramentas que já utiliza ou que está a considerar, com checklist preenchida, identificação de riscos e plano de ação para conformidade, Solicite um diagnóstico e recebemos o seu pedido para agendar uma sessão de trabalho com a nossa equipa.

Partilhar WhatsApp

Quer um site com IA que atende e agenda pela sua clínica?

Pedir proposta gratuita

Inês Carvalho

Comercial & Marketing

Inês Carvalho

Sabia que 30% das marcações de clínicas acontecem fora do horário? Posso explicar como capturamos essas.

Usamos cookies para analisar o tráfego e melhorar a sua experiência. Pode aceitar ou recusar. Saiba mais na Política de Privacidade.