Reunião · Equipa de Proteção de Dados · Hospital Pedro Hispano — ULS Matosinhos

Registo estruturado e resultados em cirurgia do joelho, com a proteção de dados desenhada de raiz

O UBNIC é um sistema de informação clínica da Equipa de Joelho do Serviço de Ortopedia e Traumatologia do HPH, para registo estruturado, seguimento longitudinal e medição de resultados reportados pelos doentes (PROMs). Não é um dispositivo médico e não substitui o SClínico — complementa-o, com consentimento explícito de cada doente.

01 · Porquê o UBNIC

Melhores cuidados, trabalho valorizado, instituição reconhecida

Hoje, os resultados funcionais dos doentes operados ao joelho não são medidos de forma sistemática. O UBNIC fecha esse ciclo: regista de forma estruturada, segue o doente ao longo do tempo e devolve evidência — ao doente, à equipa e ao hospital.

Para os doentes

  • PROMs sistemáticos (ex.: Oxford Knee Score) antes e depois da cirurgia — o resultado é medido, não presumido
  • Deteção precoce de evolução desfavorável entre consultas
  • Lembretes, informação e documentos claros sobre o seu percurso
  • Acesso aos próprios dados através de portal seguro

Para os profissionais

  • Registo estruturado e rápido na consulta — menos texto livre repetido, mais dados comparáveis
  • Relatórios gerados automaticamente a partir do registo
  • Evidência objetiva do trabalho da equipa: volume, técnicas, resultados
  • Melhoria contínua da prática assente em dados próprios

Para a instituição

  • Resultados mensuráveis da cirurgia do joelho no HPH — benchmarking interno e externo
  • Base para investigação clínica e publicações com afiliação ULS Matosinhos
  • Projeto submetido à Comissão de Ética da ULSM (11-06-2026)
  • Reconhecimento como centro que mede e publica outcomes
Detalhe técnico — o que é (e não é) o UBNIC
  • É um sistema de informação clínica (CIS) para gestão longitudinal, registo estruturado e análise de PROMs em doentes de cirurgia do joelho.
  • Não é um dispositivo médico (SaMD): não faz diagnóstico, não recomenda tratamento, não calcula risco clínico. A fronteira está documentada em samd-boundary.md e a decisão clínica permanece exclusivamente no médico.
  • Não substitui o registo clínico institucional: o SClínico continua a ser a fonte primária e legalmente vinculativa do processo clínico.
  • Modelo: ferramenta de melhoria contínua da prática da equipa (Cenário A do protocolo), com consentimento informado escrito e específico de cada doente, separado do consentimento assistencial.
  • Volume previsto: ~50–200 doentes no 1.º ano; ~1 000 doentes num horizonte de 3 anos.
  • Dados tratados: identificação (nome, data de nascimento, sexo, contactos), saúde (diagnósticos, comorbilidades, biometria, cirurgias, exame clínico, PROMs, analíticas), operacionais (consultas, cirurgias, documentos) e registos de acesso.

02 · Utilizadores e acessos

Quem acede aos dados de que doentes

O princípio é necessidade de conhecer: cada profissional só vê os doentes da sua unidade, com quem existe relação de cuidado registada. Este filtro não é uma regra de ecrã — é aplicado na camada de dados, em todas as consultas à base de dados, antes de qualquer informação ser devolvida. O doente acede apenas aos seus próprios dados, através de portal próprio.

Partilha entre instituições nunca é automática. A arquitetura é multi-instituição (Organização → Hospital → Serviço → Unidade), mas os dados de um doente só ficam visíveis a outra instituição mediante consentimento explícito do próprio doente, registado no sistema — e mesmo assim em leitura.
Detalhe técnico — autenticação, sessões e auditoria
  • Profissionais: email + palavra-passe com hashing argon2id (parâmetros reforçados: 64 MB de memória, 3 iterações). Sessões JWT com validade de 15 minutos; renovação por refresh token revogável (30 dias, guardado em base de dados). Autenticação multifator planeada em fase posterior.
  • Doentes: acesso por magic link enviado ao email registado — sem palavra-passe a memorizar ou a fugir. Ligações válidas por 15 minutos, limitadas a 3 pedidos por 15 minutos.
  • Questionários e consentimentos: tokens opacos de uso específico, ligados a um único recurso, sem identidade associada.
  • Aprovação de contas: nenhum profissional se auto-regista — as contas são criadas por convite e aprovadas pelo administrador local.
  • Auditoria: todos os acessos e alterações ficam registados (quem, o quê, quando, de onde) num registo append-only, imutável em produção, com o antes/depois de cada alteração. Retenção: 10 anos. Leituras de dados sensíveis geram registo explícito.
  • Formação: cada membro da equipa assina um acordo formal e completa formação RGPD obrigatória antes de receber acesso.

03 · Alojamento

Porquê um servidor externo ao hospital

O UBNIC corre num servidor dedicado em Leça da Palmeira, Portugal, operado pela CPS Concept LDA (NIF 516286153), a entidade responsável pelo tratamento. A opção por infraestrutura externa é deliberada e tem quatro razões:

1 · É um projeto da equipa, não um sistema institucional

O UBNIC nasce da iniciativa dos profissionais para melhoria contínua da sua prática, com consentimento explícito e separado de cada doente. Não concorre com o SClínico nem assume as suas obrigações — por isso não vive dentro dele.

2 · Vocação multi-hospitalar

O objetivo é alargar a plataforma a outras equipas e hospitais, permitindo comparação de resultados entre centros. A arquitetura já é multi-instituição, com isolamento rigoroso por organização. Alojado na rede de um único hospital, esse alargamento seria impossível.

3 · Continuidade do seguimento longitudinal

Os PROMs seguem o doente durante 15 anos. Um registo desta duração não pode depender do vínculo de um profissional a uma instituição — a continuidade fica garantida pela entidade responsável, sempre com o consentimento do doente.

4 · Controlo total da pilha de segurança

Servidor dedicado e exclusivo ao projeto: encriptação campo a campo, zero portas de rede expostas, cópias de segurança testadas mensalmente. Nenhuma infraestrutura partilhada com terceiros, nenhum dado fora de Portugal em repouso.

Utilizador
browser, HTTPS
→ TLS 1.3 →
Cloudflare Tunnel
ponto de entrada único · sem portas abertas no servidor
Servidor UBNIC · Leça da Palmeira 🇵🇹
aplicação · base de dados encriptada · documentos · rede interna isolada

O servidor não expõe nenhuma porta à internet (nem SSH): todo o tráfego entra por um túnel de saída autenticado.

Detalhe técnico — infraestrutura e subcontratantes
  • Servidor: máquina virtual dedicada (Proxmox) em instalação da CPS Concept LDA, Leça da Palmeira. Acesso físico restrito; chaves de encriptação guardadas em cofre físico separado.
  • Serviços: contentores isolados em rede interna Docker — PostgreSQL 16 (dados), Redis (filas), MinIO (documentos e imagens), geração de documentos, proxy Caddy. Zero portas publicadas no anfitrião.
  • Enquadramento com a ULSM: acordo formal entre a ULS Matosinhos e a CPS Concept LDA (modelo de corresponsabilidade, Art. 26.º RGPD, ou acordo de tratamento) em preparação — um dos objetivos desta reunião.
SubcontratanteFunçãoLocalizaçãoGarantias
CloudflareProxy TLS / túnel de acessoIrlanda (operações EEE)DPA em vigor; sem acesso a conteúdo clínico armazenado
BrevoEmails transacionais (convites, magic links)França (EEE)DPA em vigor; sem conteúdo clínico nas mensagens
TwilioSMS (lembretes)EUACláusulas Contratuais-Tipo + EU-U.S. Data Privacy Framework; DPA; sem conteúdo clínico

04 · Segurança

Encriptação e medidas de proteção

Toda a informação pessoal é encriptada campo a campo dentro da base de dados: mesmo em caso de acesso indevido ao servidor ou a uma cópia de segurança, os dados dos doentes são ilegíveis sem as chaves — que nunca ficam guardadas junto dos dados.

Em repouso

AES-256-GCM em todos os campos de identificação e saúde. Encriptação autenticada: qualquer adulteração dos dados é detetada. Pesquisa sem desencriptar, através de índices cegos.

Em trânsito

TLS 1.3 mínimo em todas as comunicações. HTTPS obrigatório, certificados geridos automaticamente, zero portas de rede expostas no servidor.

Em cópia

Cópias de segurança diárias, com cópia offline adicional cifrada (GPG) guardada em local físico separado. Restauro testado todos os meses — uma cópia que não se testa não é uma cópia.

Detalhe técnico — criptografia, chaves e retenção
  • Formato: versão ‖ IV (12 B) ‖ texto cifrado ‖ tag GCM (16 B), IV aleatório por operação; chaves de 256 bits versionadas.
  • Gestão de chaves: chaves apenas em variáveis de ambiente e memória — nunca na base de dados. Procedimento documentado de rotação (a chave antiga mantém-se 90 dias para desencriptar cópias de segurança).
  • Índices cegos: pesquisa por nome, telefone ou email através de HMAC-SHA256 com chave própria e independente — o sistema encontra o doente sem alguma vez desencriptar a coluna.
  • Cópias de segurança: base de dados diária às 02:00 (30 dias online + 12 meses offline); documentos diários às 02:30; snapshots da VM (7 diários, 4 semanais, 3 mensais) para armazenamento externo. Objetivos: RPO 24 h, RTO 4 h. Se o teste mensal de restauro falhar, o sistema alerta e suspende novas escritas.
  • Resposta a incidentes: procedimento formal — deteção, isolamento, snapshot imediato, avaliação em 24 h, notificação à CNPD em 72 h quando exigível, notificação aos titulares sem demora quando aplicável, análise de causa raiz em 7 dias. Simulacro semestral obrigatório antes da entrada em produção.
Categoria de dadosRetençãoFundamento
Registos clínicos (doente, consultas, cirurgias)vida + 20 anosDecreto-Lei 62/79 (arquivo clínico)
Consentimentos e documentos geradosvida + 20 + 5 anosProva em litígio
Respostas PROM15 anos, depois anonimizadasInvestigação de resultados
Registo de auditoria10 anosResponsabilização RGPD
Tokens e ligações de sessão30–90 diasHigiene de segurança

A retenção é executada automaticamente por tarefas agendadas (diária, mensal, anual), cada execução registada em auditoria.

05 · SClínico e risco de perda de dados

O SClínico continua a ser o registo primário — e fica sempre com cópia

A pergunta certa perante qualquer sistema externo é: «e se ele desaparecer amanhã?». No UBNIC a resposta é simples — nenhuma informação clínica existe apenas no UBNIC.

Compromisso da equipa: em cada consulta ou registo relevante, o UBNIC gera um relatório em formato de texto que o médico cola diretamente no SClínico. O sistema foi desenhado para isso — o registo estruturado produz automaticamente um relatório copiável. O processo clínico institucional mantém-se completo, atualizado e totalmente independente do UBNIC.

O doente é observado e registado no SClínico

Nada muda no circuito institucional: o registo no SClínico é feito como sempre e continua a ser a fonte primária e legalmente vinculativa.

Convite e consentimento informado escrito

O médico propõe a participação no UBNIC. Duas declarações separadas: gestão clínica e, opcionalmente, PROMs/investigação. Recusar não afeta em nada os cuidados prestados.

Registo estruturado no UBNIC

A informação relevante é registada de forma estruturada na plataforma, encriptada campo a campo.

Relatório em texto colado no SClínico

O UBNIC gera o relatório da consulta/cirurgia em texto e o médico cola-o no SClínico. Cópia legível, permanente e pesquisável no sistema do hospital.

Se o doente retirar o consentimento

Os dados são apagados/anonimizados no UBNIC (Art. 17.º RGPD). O registo institucional no SClínico permanece intacto — como deve ser.

Detalhe técnico — camadas de proteção contra perda de dados

A cópia em texto no SClínico é a última rede de segurança, não a única. Por ordem:

  • Camada 1 — Base de dados transacional com verificação de integridade e checksums no armazenamento de documentos.
  • Camada 2 — Cópias diárias: base de dados (02:00) e documentos (02:30), 30 dias online.
  • Camada 3 — Cópia offline mensal cifrada com GPG, 12 meses, em local físico separado.
  • Camada 4 — Snapshots da máquina virtual (7 diários / 4 semanais / 3 mensais) replicados para armazenamento externo.
  • Camada 5 — Teste de restauro mensal obrigatório; falha no teste alerta e suspende novas escritas até resolução.
  • Camada 6 — Cópia em texto no SClínico, colada pelo médico em cada registo relevante: mesmo no cenário-limite de perda total da plataforma, a informação clínica dos doentes está no sistema do hospital.

Além disso, qualquer doente (ou a equipa, para efeitos regulamentares) pode obter exportação completa em formato aberto (JSON) de todos os seus dados.

06 · Conformidade RGPD

Conformidade documentada antes da primeira linha de dados

O projeto seguiu a ordem inversa do habitual: primeiro o enquadramento legal e ético, depois o software. A avaliação de impacto (AIPD/DPIA), o registo de atividades de tratamento (ROPA) e as políticas foram elaborados e submetidos a revisão jurídica externa antes de existir qualquer dado real.

Documentação em vigor

  • AIPD/DPIA v1.0 — validada em revisão jurídica externa (21-04-2026)
  • ROPA (Art. 30.º) — 5 atividades de tratamento documentadas
  • Política de Privacidade v1.1 e Termos de Utilização v1.1 — revistos por advogado
  • Política de retenção, procedimento de violação de dados, procedimento de direitos dos titulares
  • Submissão à Comissão de Ética da ULSM — 11-06-2026, em análise

Direitos dos titulares

  • Canal dedicado: privacy@ubnic.com
  • Resposta em 30 dias (máx. +60 com justificação, Art. 12.º-3)
  • Acesso e portabilidade: exportação completa em formato aberto
  • Apagamento: anonimização automatizada, com verificação de identidade prévia
  • Direito de reclamação à CNPD comunicado ao doente no consentimento e na política de privacidade
Detalhe técnico — bases legais e papéis
TratamentoBase legal (RGPD)Nota
Gestão clínica (registo, consultas, cirurgias, seguimento)Art. 6.º-1-b + 9.º-2-hPrestação de cuidados por profissional sujeito a sigilo (Art. 29.º-4 Lei 58/2019)
PROMs e investigação secundáriaArt. 6.º-1-a + 9.º-2-jConsentimento explícito e separado; pseudonimização (Art. 31.º Lei 58/2019)
Retenção legalArt. 6.º-1-cDecreto-Lei 62/79 — arquivo clínico
Auditoria e segurançaArt. 6.º-1-fInteresse legítimo; apenas dados não especiais
  • Responsável pelo tratamento: CPS Concept LDA (NIF 516286153), representada pelo Dr. João Pedro Campos.
  • Responsável de Privacidade designado: Dr. João Pedro Campos (privacy@ubnic.com, +351 910 955 766). Não é DPO formal do Art. 37.º (dimensão do tratamento não o exige); mitigações do conflito de interesses: consulta jurídica externa anual obrigatória, validação externa de toda a documentação, declaração de conflito em cada decisão, e obrigação de designar DPO externo independente se o tratamento escalar.
  • Relação com a ULSM: acordo formal (corresponsabilidade Art. 26.º ou acordo de tratamento) em preparação — precisamente o passo em que esta reunião se insere.
  • Consentimento: duas declarações independentes (A — gestão clínica; B — PROMs/investigação, opcional). Revogável a qualquer momento, com efeitos apenas para o futuro; a recusa nunca prejudica os cuidados.
Os dados saem de Portugal?
Os dados clínicos ficam alojados e em repouso exclusivamente em Portugal (Leça da Palmeira). Os subcontratantes de comunicações (email em França, SMS nos EUA com Cláusulas Contratuais-Tipo + Data Privacy Framework) transportam apenas mensagens sem conteúdo clínico, ao abrigo de DPAs.
O UBNIC toma alguma decisão clínica?
Não. O UBNIC não é um dispositivo médico: regista, organiza e mede. Não diagnostica, não recomenda tratamentos, não calcula risco clínico. Qualquer decisão é do médico, no circuito normal de cuidados.
Quem controla se alguém abusa dos acessos?
Todos os acessos — incluindo leituras de dados sensíveis — ficam em registo de auditoria imutável durante 10 anos, com utilizador, ação, data/hora, IP e o antes/depois de cada alteração. O acesso indevido é detetável e demonstrável.
E se a CPS Concept cessar atividade?
Três salvaguardas: a cópia em texto no SClínico garante que o processo clínico institucional está sempre completo; os dados são exportáveis em formato aberto; e as cópias de segurança offline permanecem desencriptáveis durante o período de retenção. O encerramento da plataforma nunca deixa o hospital ou o doente sem a informação.
O doente pode recusar ou desistir?
Sim, a qualquer momento e sem qualquer consequência nos cuidados. A recusa inicial significa que nenhum dado entra no UBNIC; a desistência posterior desencadeia o apagamento/anonimização (Art. 17.º). O registo no SClínico mantém-se sempre.

07 · Equipa

Equipa de Joelho — Serviço de Ortopedia e Traumatologia, HPH

Todos os membros assinaram o acordo formal de utilização e completam formação RGPD obrigatória antes de qualquer acesso ao sistema.

Dr. João Pedro Campos
Assistente Hospitalar · Investigador Principal
OM 60079
Responsável de Privacidade
Dr. José Manuel Araújo
Diretor de Serviço
OM 33339
Dr. Carlos Arce
Assistente Hospitalar
OM 37163
Dr. Pedro Mendes Santos
Interno de Formação Específica
OM 68439
Dr. José Miguel Costa
Interno de Formação Específica
OM 71875
CPS Concept LDA
Responsável pelo tratamento · Operação da plataforma
NIF 516286153
privacy@ubnic.com

08 · Próximos passos

Esta reunião é um passo do processo — e chega no momento certo

O projeto está deliberadamente numa fase sem dados reais: toda a estrutura de conformidade foi construída primeiro. Isso significa que as recomendações da equipa de proteção de dados podem ainda ser incorporadas no desenho — esta é a janela ideal para ajustes, desde que não bloqueiem as funcionalidades essenciais do projeto.

EM ANÁLISE

Parecer da Comissão de Ética da ULSM

Dossier completo submetido a 11-06-2026 pela plataforma institucional (protocolo, consentimentos, AIPD, declarações do investigador e do diretor de serviço). Aguarda parecer.

ESTA REUNIÃO

Acordo formal ULSM ↔ CPS Concept LDA

Formalizar o enquadramento entre a instituição e a entidade responsável (corresponsabilidade Art. 26.º RGPD ou acordo de tratamento de dados). O contributo da equipa de proteção de dados é determinante para escolher e redigir o modelo certo.

ABERTO A CONTRIBUTOS

Ajustes recomendados pela equipa de proteção de dados

Sem dados reais no sistema, há total liberdade para incorporar recomendações — circuito da cópia em texto no SClínico, cláusulas do consentimento, medidas adicionais — antes da entrada em produção.

COMPROMISSO

Antes de qualquer dado real

Parecer ético favorável + acordo formalizado + formação RGPD de toda a equipa concluída + simulacro de resposta a incidentes realizado. Só depois entra o primeiro doente.