Reunião · Equipa de Proteção de Dados · Hospital Pedro Hispano — ULS Matosinhos
O UBNIC é um sistema de informação clínica da Equipa de Joelho do Serviço de Ortopedia e Traumatologia do HPH, para registo estruturado, seguimento longitudinal e medição de resultados reportados pelos doentes (PROMs). Não é um dispositivo médico e não substitui o SClínico — complementa-o, com consentimento explícito de cada doente.
01 · Porquê o UBNIC
Hoje, os resultados funcionais dos doentes operados ao joelho não são medidos de forma sistemática. O UBNIC fecha esse ciclo: regista de forma estruturada, segue o doente ao longo do tempo e devolve evidência — ao doente, à equipa e ao hospital.
samd-boundary.md e a decisão clínica permanece exclusivamente no médico.02 · Utilizadores e acessos
O princípio é necessidade de conhecer: cada profissional só vê os doentes da sua unidade, com quem existe relação de cuidado registada. Este filtro não é uma regra de ecrã — é aplicado na camada de dados, em todas as consultas à base de dados, antes de qualquer informação ser devolvida. O doente acede apenas aos seus próprios dados, através de portal próprio.
argon2id (parâmetros reforçados: 64 MB de memória, 3 iterações). Sessões JWT com validade de 15 minutos; renovação por refresh token revogável (30 dias, guardado em base de dados). Autenticação multifator planeada em fase posterior.03 · Alojamento
O UBNIC corre num servidor dedicado em Leça da Palmeira, Portugal, operado pela CPS Concept LDA (NIF 516286153), a entidade responsável pelo tratamento. A opção por infraestrutura externa é deliberada e tem quatro razões:
O UBNIC nasce da iniciativa dos profissionais para melhoria contínua da sua prática, com consentimento explícito e separado de cada doente. Não concorre com o SClínico nem assume as suas obrigações — por isso não vive dentro dele.
O objetivo é alargar a plataforma a outras equipas e hospitais, permitindo comparação de resultados entre centros. A arquitetura já é multi-instituição, com isolamento rigoroso por organização. Alojado na rede de um único hospital, esse alargamento seria impossível.
Os PROMs seguem o doente durante 15 anos. Um registo desta duração não pode depender do vínculo de um profissional a uma instituição — a continuidade fica garantida pela entidade responsável, sempre com o consentimento do doente.
Servidor dedicado e exclusivo ao projeto: encriptação campo a campo, zero portas de rede expostas, cópias de segurança testadas mensalmente. Nenhuma infraestrutura partilhada com terceiros, nenhum dado fora de Portugal em repouso.
O servidor não expõe nenhuma porta à internet (nem SSH): todo o tráfego entra por um túnel de saída autenticado.
| Subcontratante | Função | Localização | Garantias |
|---|---|---|---|
| Cloudflare | Proxy TLS / túnel de acesso | Irlanda (operações EEE) | DPA em vigor; sem acesso a conteúdo clínico armazenado |
| Brevo | Emails transacionais (convites, magic links) | França (EEE) | DPA em vigor; sem conteúdo clínico nas mensagens |
| Twilio | SMS (lembretes) | EUA | Cláusulas Contratuais-Tipo + EU-U.S. Data Privacy Framework; DPA; sem conteúdo clínico |
04 · Segurança
Toda a informação pessoal é encriptada campo a campo dentro da base de dados: mesmo em caso de acesso indevido ao servidor ou a uma cópia de segurança, os dados dos doentes são ilegíveis sem as chaves — que nunca ficam guardadas junto dos dados.
AES-256-GCM em todos os campos de identificação e saúde. Encriptação autenticada: qualquer adulteração dos dados é detetada. Pesquisa sem desencriptar, através de índices cegos.
TLS 1.3 mínimo em todas as comunicações. HTTPS obrigatório, certificados geridos automaticamente, zero portas de rede expostas no servidor.
Cópias de segurança diárias, com cópia offline adicional cifrada (GPG) guardada em local físico separado. Restauro testado todos os meses — uma cópia que não se testa não é uma cópia.
versão ‖ IV (12 B) ‖ texto cifrado ‖ tag GCM (16 B), IV aleatório por operação; chaves de 256 bits versionadas.HMAC-SHA256 com chave própria e independente — o sistema encontra o doente sem alguma vez desencriptar a coluna.| Categoria de dados | Retenção | Fundamento |
|---|---|---|
| Registos clínicos (doente, consultas, cirurgias) | vida + 20 anos | Decreto-Lei 62/79 (arquivo clínico) |
| Consentimentos e documentos gerados | vida + 20 + 5 anos | Prova em litígio |
| Respostas PROM | 15 anos, depois anonimizadas | Investigação de resultados |
| Registo de auditoria | 10 anos | Responsabilização RGPD |
| Tokens e ligações de sessão | 30–90 dias | Higiene de segurança |
A retenção é executada automaticamente por tarefas agendadas (diária, mensal, anual), cada execução registada em auditoria.
05 · SClínico e risco de perda de dados
A pergunta certa perante qualquer sistema externo é: «e se ele desaparecer amanhã?». No UBNIC a resposta é simples — nenhuma informação clínica existe apenas no UBNIC.
Nada muda no circuito institucional: o registo no SClínico é feito como sempre e continua a ser a fonte primária e legalmente vinculativa.
O médico propõe a participação no UBNIC. Duas declarações separadas: gestão clínica e, opcionalmente, PROMs/investigação. Recusar não afeta em nada os cuidados prestados.
A informação relevante é registada de forma estruturada na plataforma, encriptada campo a campo.
O UBNIC gera o relatório da consulta/cirurgia em texto e o médico cola-o no SClínico. Cópia legível, permanente e pesquisável no sistema do hospital.
Os dados são apagados/anonimizados no UBNIC (Art. 17.º RGPD). O registo institucional no SClínico permanece intacto — como deve ser.
A cópia em texto no SClínico é a última rede de segurança, não a única. Por ordem:
Além disso, qualquer doente (ou a equipa, para efeitos regulamentares) pode obter exportação completa em formato aberto (JSON) de todos os seus dados.
06 · Conformidade RGPD
O projeto seguiu a ordem inversa do habitual: primeiro o enquadramento legal e ético, depois o software. A avaliação de impacto (AIPD/DPIA), o registo de atividades de tratamento (ROPA) e as políticas foram elaborados e submetidos a revisão jurídica externa antes de existir qualquer dado real.
| Tratamento | Base legal (RGPD) | Nota |
|---|---|---|
| Gestão clínica (registo, consultas, cirurgias, seguimento) | Art. 6.º-1-b + 9.º-2-h | Prestação de cuidados por profissional sujeito a sigilo (Art. 29.º-4 Lei 58/2019) |
| PROMs e investigação secundária | Art. 6.º-1-a + 9.º-2-j | Consentimento explícito e separado; pseudonimização (Art. 31.º Lei 58/2019) |
| Retenção legal | Art. 6.º-1-c | Decreto-Lei 62/79 — arquivo clínico |
| Auditoria e segurança | Art. 6.º-1-f | Interesse legítimo; apenas dados não especiais |
privacy@ubnic.com, +351 910 955 766). Não é DPO formal do Art. 37.º (dimensão do tratamento não o exige); mitigações do conflito de interesses: consulta jurídica externa anual obrigatória, validação externa de toda a documentação, declaração de conflito em cada decisão, e obrigação de designar DPO externo independente se o tratamento escalar.07 · Equipa
Todos os membros assinaram o acordo formal de utilização e completam formação RGPD obrigatória antes de qualquer acesso ao sistema.
08 · Próximos passos
O projeto está deliberadamente numa fase sem dados reais: toda a estrutura de conformidade foi construída primeiro. Isso significa que as recomendações da equipa de proteção de dados podem ainda ser incorporadas no desenho — esta é a janela ideal para ajustes, desde que não bloqueiem as funcionalidades essenciais do projeto.
Dossier completo submetido a 11-06-2026 pela plataforma institucional (protocolo, consentimentos, AIPD, declarações do investigador e do diretor de serviço). Aguarda parecer.
Formalizar o enquadramento entre a instituição e a entidade responsável (corresponsabilidade Art. 26.º RGPD ou acordo de tratamento de dados). O contributo da equipa de proteção de dados é determinante para escolher e redigir o modelo certo.
Sem dados reais no sistema, há total liberdade para incorporar recomendações — circuito da cópia em texto no SClínico, cláusulas do consentimento, medidas adicionais — antes da entrada em produção.
Parecer ético favorável + acordo formalizado + formação RGPD de toda a equipa concluída + simulacro de resposta a incidentes realizado. Só depois entra o primeiro doente.