# Anexo RGPD/AIPD e especificação técnica

Versão: 0.3
Atualização: 2026-06-09
Estado: Documento em fase de implementação — alinhado com a AIPD/RAT Parenteris e sujeito a validação jurídica/DPO antes de produção real.

## 1. Âmbito AIPD/RAT

Fonte interna: AIPD para RAT (em fase de implementação) — Parenteris; versão 2026.06.11-phase464; estado: Em fase de implementação — sujeito a validação final pela instituição/DPO.

Título do RAT: Parenteris - aplicação hospitalar para suporte à prescrição, validação farmacêutica, preparação, rastreabilidade, controlo de qualidade e administração de nutrição parentérica.

Responsável: Hospital do Divino Espírito Santo de Ponta Delgada, EPER; contacto DPO: dpo.hdes@azores.gov.pt.

Alojamento: Infraestrutura local/interna da instituição hospitalar, sem cloud pública ou armazenamento externo previsto. Não está prevista transferência de dados para fora da União Europeia/Espaço Económico Europeu.

## 2. Requisitos de privacidade por defeito

human_review_required: Sim

immutable_user_agreement_acceptance: Sim

mobile_touch_ergonomics: Não

no_clinical_email_repository: Sim

no_cloud_public_storage: Sim

no_external_cdn_runtime: Sim

no_extra_eu_transfer: Sim

no_financial_or_billing_data: Sim

no_fully_automated_decisions: Sim

no_gender_required: Sim

no_patient_contact_details_required: Sim

no_physical_media_transfer_normal_flow: Sim

no_scoring: Sim

no_third_party_sharing: Sim

qr_payload_internal_lot_only: Sim

## 3. Medidas técnicas e organizativas

SEC-001 — Infraestrutura interna: Configuração on-premise/interna, sem cloud pública prevista.

SEC-002 — Controlo de acesso: Autenticação individual, contas nominativas, perfis por função e princípio da necessidade de acesso.

SEC-003 — Perfis e segregação: Médico, farmacêutico, TSDT, enfermeiro, administrador funcional e administrador técnico.

SEC-004 — Auditoria: Logs de acessos, consultas, alterações, validações, preparações, impressões, administrações, correções e ocorrências.

SEC-005 — Rastreabilidade clínica-operacional: Modelo de lotes internos, histórico, eventos de produção/administração e consulta por lote.

SEC-006 — QR minimizado: QR code contém apenas o lote interno da preparação; a consulta clínica ocorre na base de dados institucional.

SEC-007 — Dados em trânsito: HTTPS/TLS obrigatório/recomendado em produção; rede interna restrita para app-base de dados.

SEC-008 — Dados em repouso: Prever cifragem de volumes/discos/base de dados/backups quando tecnicamente disponível e aprovado; manter controlos compensatórios até confirmação.

SEC-009 — Backups: Backups institucionais, periódicos, protegidos, com retenção definida e testes de restauro quando aplicável.

SEC-010 — Sem meio físico normal: Transferência física não prevista; se excecional, exigir cifragem forte, autorização, palavra-passe por canal separado e registo.

SEC-011 — Sem email clínico: Email limitado a funções técnicas/administrativas sem dados de saúde; exceções exigem minimização, cifragem e dupla verificação.

SEC-012 — Retenção: Conservação conforme processo clínico/documentação hospitalar; temporários eliminados quando deixem de ser necessários; backups seguem política institucional.

SEC-013 — Equipamentos protegidos: Antivírus/antimalware institucional e, quando disponível, EDR/equivalente, patches, firewall e restrição de privilégios.

SEC-014 — Acesso físico: Áreas técnicas/serviços de acesso restrito; documentação física guardada em áreas clínicas/farmacêuticas controladas.

SEC-015 — Formação: Formação/sensibilização sobre confidencialidade, credenciais, minimização, uso da app, documentos impressos e incidentes.

SEC-016 — Incidentes: Comunicação interna, contenção, análise de logs, avaliação de risco, correção, documentação e eventual notificação CNPD/titulares.

SEC-017 — Manutenção: Atualizações versionadas, validação UAT quando aplicável, plano de reversão, patches, monitorização e revisão de acessos.

SEC-018 — Testes/formação: Dados fictícios, anonimizados ou minimizados em teste/formação/demonstração sempre que possível.

SEC-019 — Assets locais sem CDN: Litepicker, IMask e TomSelect são servidos a partir de static/vendor; CSP não permite cdn.jsdelivr.net em produção.

SEC-020 — Aceitação legal imutável: Modelo UserAgreementAcceptance com versão e SHA-256 do documento, IP hash e user-agent hash.

SEC-021 — Base mobile/PWA: A Phase464 reverteu o aumento global de alvos táteis da Phase461; mantém apenas a camada mobile base e o PWA, sem forçar overrides globais sobre formulários, dropdowns, calendário ou navegação clínica.

## 4. Especificações técnicas presentes na aplicação

Django web app com autenticação individual, CSRF, gestão de sessão e expiração por inatividade configurável.

Bloqueio temporário após tentativas falhadas de autenticação, quando configurado.

Modelo de perfis/roles e decorators de autorização para operações clínicas, farmacêuticas, técnicas, enfermagem e administração.

Registos de auditoria para ações sensíveis e relatórios/exports auditáveis.

Backups/restauro via módulo institucional, com possibilidade de password/cifragem conforme configuração.

Cabeçalhos de segurança, cookies seguros em produção HTTPS e CSP sem cdn.jsdelivr.net.

QR code operacional com lote interno apenas, sem composição, nome, processo ou dados clínicos no código.

Documentos legais dinâmicos com exportação Markdown, anexo funcional de dados tratados por módulo e aceitação legal imutável com SHA-256.

Camada mobile/PWA com alvos táteis mínimos, dropdowns responsivos, campos a 16px para evitar zoom no iOS e calendário Litepicker adaptado a toque.

Comando de readiness RGPD/AIPD para auditoria não destrutiva das obrigações declaradas.

## 5. Matriz de risco residual

Discriminação do titular: impacto 2 × probabilidade 1 = 2

Roubo de identidade ou utilização indevida de dados: impacto 2 × probabilidade 1 = 2

Perdas financeiras do titular: impacto 1 × probabilidade 1 = 1

Perdas de reputação do titular: impacto 2 × probabilidade 2 = 4

Violação/perda de confidencialidade de dados pessoais: impacto 3 × probabilidade 2 = 6

Perda de dados, incluindo ransomware: impacto 3 × probabilidade 2 = 6

Acesso não autorizado: impacto 3 × probabilidade 2 = 6

Outros danos sociais ou económicos significativos: impacto 2 × probabilidade 1 = 2

Perdas de liberdades ou direitos: impacto 2 × probabilidade 1 = 2

Impossibilidade de exercício de controlo dos dados: impacto 2 × probabilidade 1 = 2

Exposição de categorias especiais de dados: impacto 3 × probabilidade 2 = 6

Outros: impacto 1 × probabilidade 1 = 1

Risco residual máximo identificado: 6.

Não foram identificados parâmetros com resultado superior a 8; não resulta, nesta matriz, obrigação automática de consulta prévia por risco residual superior ao limiar indicado no formulário.

## 6. Condições a validar antes de produção real

Confirmação formal de HTTPS/TLS e configuração de certificados em produção.

Confirmação pela informática de cifragem de discos/volumes/base de dados/backups ou registo de controlos compensatórios aprovados.

Confirmação de política institucional de backups, retenção, testes de restauro e eliminação segura.

Confirmação de proteção antimalware/EDR ou equivalente nos postos e servidores institucionais.

Validação de formação dos utilizadores, perfis/permissões, resposta a incidentes e procedimento de contingência.

## Anexo dinâmico — funcionalidades e dados tratados

### Autenticação e gestão de utilizadores
Finalidade: Criar contas, autenticar utilizadores, aplicar perfis e permissões, gerir convites, sessão, bloqueio temporário e recuperação de palavra-passe.
Perfis: Administrador, Médico, Farmacêutico, TSDT, Enfermeiro
Dados pessoais: nome, username, email institucional, perfil profissional, número mecanográfico quando aplicável, serviço/unidade, estado da conta
Eventos de auditoria: login, logout, tentativas falhadas, bloqueio temporário, alterações de perfil, convites, alterações de password

### Prescrição de nutrição parentérica
Finalidade: Registar e consultar prescrições, dados principais do utente, parâmetros clínicos e constituintes calculados/introduzidos.
Perfis: Médico, Farmacêutico, TSDT leitura, Enfermeiro leitura, Administrador
Dados pessoais: identificação mínima do utente, número de processo/episódio, data de nascimento ou idade, médico prescritor
Dados clínicos/farmacotécnicos: peso, idade gestacional quando aplicável, datas de início/administração, líquidos, glicose, constituintes, volumes, via, velocidades, alertas
Eventos de auditoria: criação, edição, submissão, validação, consulta

### Validação farmacêutica e caixa de saída
Finalidade: Validar prescrições, consultar cálculos, enviar prescrições para produção e acompanhar estados do circuito.
Perfis: Farmacêutico, Administrador
Dados pessoais: identificação mínima do utente, identificação do profissional validador
Dados clínicos/farmacotécnicos: prescrição, cálculos, alertas, estado de validação, intervenções farmacêuticas
Eventos de auditoria: validação, alteração de estado, envio para produção, consulta

### Produção, preparação e controlo de qualidade
Finalidade: Gerir preparações, materiais, lotes, pesos estimados/medidos, controlo de qualidade e documentação de produção.
Perfis: Farmacêutico, TSDT, Administrador
Dados pessoais: identificação mínima do utente, profissional que prepara, profissional que confere/liberta CQ
Dados clínicos/farmacotécnicos: lotes internos, materiais, quantidades, pesos, CQ, folhas de preparação, prazos de validade
Eventos de auditoria: preparação, CQ, libertação, impressão, reimpressão, exportação de relatórios

### Enfermagem, transporte e administração
Finalidade: Acompanhar preparações, verificar lote interno/QR code e registar administração ou ocorrência.
Perfis: Enfermeiro, TSDT leitura/transporte quando aplicável, Farmacêutico, Administrador
Dados pessoais: identificação mínima do utente, profissional que transporta/recebe/administra, data/hora
Dados clínicos/farmacotécnicos: lote interno, estado da preparação, prescrição associada, registo de administração, ocorrências
Eventos de auditoria: transporte, receção, administração, consulta de painel

### Notificações, emails e atualizações
Finalidade: Enviar notificações internas e emails transacionais/técnicos quando configurado, sem usar email como repositório clínico.
Perfis: Todos os perfis, Administrador
Dados pessoais: email institucional, nome, perfil, preferências/configuração técnica de email
Eventos de auditoria: envio, falha, leitura de notificação, teste SMTP, unsubscribe quando aplicável

### Submissão de bugs e suporte técnico
Finalidade: Permitir comunicação de erros técnicos, com minimização de dados e sem anexação intencional de dados clínicos identificáveis.
Perfis: Todos os perfis, Administrador
Dados pessoais: utilizador, perfil, URL atual, user-agent/browser, metadados técnicos
Dados clínicos/farmacotécnicos: d, a, d, o, s,  , c, l, í, n, i, c, o, s,  , n, ã, o,  , d, e, v, e, m,  , s, e, r,  , i, n, c, l, u, í, d, o, s, ;,  , s, e,  , s, u, r, g, i, r, e, m,  , a, c, i, d, e, n, t, a, l, m, e, n, t, e,  , e, m,  , d, e, s, c, r, i, ç, ã, o, /, a, n, e, x, o, ,,  , d, e, v, e, m,  , s, e, r,  , t, r, a, t, a, d, o, s,  , c, o, m, o,  , d, a, d, o, s,  , s, e, n, s, í, v, e, i, s,  , e,  , m, i, n, i, m, i, z, a, d, o, s
Eventos de auditoria: submissão de bug, triagem, alteração de estado, consulta por administrador

### Auditoria, logs, backups e exportações
Finalidade: Registar atividade, gerar relatórios operacionais, suportar cópias de segurança/restauro e documentar rastreabilidade.
Perfis: Administrador, Farmacêutico/TSDT/Enfermeiro conforme relatório
Dados pessoais: utilizador, perfil, ações, timestamps, IP, user-agent parcial
Dados clínicos/farmacotécnicos: d, a, d, o, s,  , i, n, c, l, u, í, d, o, s,  , n, o, s,  , r, e, l, a, t, ó, r, i, o, s, ,,  , l, o, g, s,  , e,  , b, a, c, k, u, p, s, ,,  , q, u, a, n, d, o,  , a, p, l, i, c, á, v, e, l,  , a, o,  , c, i, r, c, u, i, t, o
Eventos de auditoria: exportação, download, backup, restore, erro de sistema, evento de segurança

## Anexo — perfis de acesso

- Médico: Criação, consulta, edição/submissão de prescrições e consulta do respetivo estado, dentro do âmbito funcional autorizado.
- Farmacêutico: Validação farmacêutica, consulta de cálculos/alertas, produção, controlo de qualidade, rastreabilidade, relatórios e auditoria operacional.
- TSDT: Preparação técnica, materiais, lotes, produção, impressão operacional, controlo do circuito e consulta necessária à preparação.
- Enfermeiro: Consulta da informação necessária à administração, verificação por lote/QR code, registo de administração ou ocorrência.
- Administrador funcional: Gestão operacional de parâmetros, utilizadores, perfis e permissões, dentro dos limites institucionais.
- Administrador técnico: Gestão técnica da aplicação, servidor, base de dados, backups, logs e manutenção, sem substituição de atos clínicos/farmacêuticos.
