I. Introducere
Protecția juridică a datelor privind sănătatea se află de multă vreme printre prioritățile României și ale Uniunii Europene. Ce rost ar mai avea relația confidențială dintre medic și pacient dacă datele ar fi compromise? Cum s-ar putea oferi un diagnostic și un tratament corect dacă medicul nu ar avea suficient de multe date personale actualizate despre pacient? Noi ne-am propus, într-un articol succint, să trecem în revistă cele mai importante aspecte privind prelucrarea datelor privind sănătatea. Astfel, în secțiunea II, am precizat sediul materiei, în secțiunea III, am discutat despre principiile prelucrării datelor privind sănătatea și despre temeiurile juridice privind prelucrarea datelor privind sănătatea. În secțiunea IV, am vorbit despre drepturile persoanelor vizate și despre cum pot fi acestea exercitate, iar în secțiunea V, am discutat despre modalitatea în care pot fi transferate, în mod legal, la nivel internațional, date cu caracter personal privind sănătatea.
CUPRINS:
II. Sediul materiei
III. Prelucrarea datelor privind sănătatea
III.A. Principiile aplicabile prelucrării datelor privind sănătatea
1. Legalitatea, echitatea și transparența
2. Limitări legate de scop
3. Exactitatea datelor
4. Reducerea la minimum a datelor și limitarea stocării
5. Integritatea și confidențialitatea datelor
6. Responsabilitatea
IIIB. Temeiurile juridice ale prelucrării datelor privind sănătatea
IV. Exercitarea drepturilor persoanelor vizate
V. Transferurile internaționale de date privind sănătatea
VI. CONCLUZII
II. Sediul materiei
În Uniunea Europeană, sediul materiei în ceea ce privește protecția juridică a datelor privind sănătatea este reprezentat de Regulamentul (UE) nr. 679/2016 (în continuare „GDPR”, „RGPD” sau „Regulamentul”). În România, prelucrarea datelor privind sănătatea se supune atât RGPD, cât și legislației naționale de punere în aplicare a RGPD, respectiv Legii nr. 190/2018. Legea 190/2018 reprezintă legea specială în raport cu RGPD și cuprinde anumite dispoziții derogatorii de la regimul comun instituit prin Regulament.
III. Prelucrarea datelor privind sănătatea
Datele privind sănătatea sunt considerate date cu caracter special sau „date sensibile” și un regim mult mai strict de prelucrare față de categoriile obișnuite de date personale. Legiuitorul european a considerat că prelucrarea unor date cu caracter personal prezintă riscuri mult mai ridicate pentru persoanele fizice decât prelucrarea unor date personale obișnuite. În categoria datelor personale sensibile se regăsesc și alte categorii de date a căror prelucrare poate afecta într-o măsură mai mare drepturile și libertățile persoanelor fizice, printre care datele care dezvăluite originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate, datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind viața sexuală și datele privind orientarea sexuală a persoanei. De ce necesită aceste date o protecție mai ridicată? Un răspuns ar putea fi acela că pe baza acestor date o persoană aparținând unui grup minoritar vulnerabil (e.g. rasă, religie, orientare sexuală, etnie, dizabilitate) ar putea fi discriminată. Un alt răspuns ar putea fi acela că prelucrarea nelegală sau excesivă a acestor date ar putea conduce către afectarea drepturilor și libertăților într-o măsură mult mai mare decât prelucrarea nelegală și excesivă a unor categorii obișnuite de date. De exemplu, un soft de recrutare bazat pe inteligență artificială ar putea fi mult mai predispus să discrimineze/dezavantajeze/excludă persoanele la angajare prin prelucrarea unor categorii speciale de date (e.g. rasă, etnie, dizabilitate, probleme de sănătate) decât pe baza unor categorii obișnuite de date (e.g. nume, prenume, domiciliu). În ceea ce privește prelucrarea datelor privind sănătatea, prelucrarea lor poate face uneori diferența între viață sau moarte în ceea ce privește stabilirea diagnosticului și alegerea tratamentului.
Fără a intra în detalii cu privire la regimul juridic al categoriilor speciale de date, este important de menționat faptul că prelucrarea acestor date (inclusiv a datelor privind sănătatea) este interzisă, cu anumite excepții. Interdicția prelucrării acestor date reiese din formularea art. 9 alin. (1) RGPD, respectiv: „se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice”. Mai departe, art. 9 alin. (2) din RGPD enumeră anumite situații în care prelucrarea datelor privind sănătatea este legală despre care ne vom ocupa pe larg în secțiunea (*) în prezentul articol.
Este important de știut că orice prelucrare de date personale, inclusiv prelucrarea datelor privind sănătatea trebuie să respecte principiile-cheie ale Regulamentului (e.g. legalitate, echitate, transparență, exactitate, responsabilitate) și să aibă o bază legală (un temei juridic) pentru prelucrare. În continuare, vom discuta despre principiile aplicabile prelucrării datelor privind sănătatea privind sănătatea (puncul A) și despre temeiurile juridice ale prelucrării datelor privind sănătatea (punctul B).
A. Principiile aplicabile prelucrării datelor privind sănătatea
Fiecare prelucrare de date trebuie să respecte, în mod cumulativ, șapte principii-cheie introduse de RPD la articolul 5, respectiv „legalitatea, echitatea și transparența”, „limitări legate de scop”, „exactitatea datelor”, integritatea și confidențialitatea datelor, și limitarea stocării și reducerea la minimum a datelor personale și responsabilitatea operatorului cu privire la prelucrarea datelor în conformitate cu dispozițiile RGPD. Înainte de a discuta separat despre fiecare principiu în parte, este important de subliniat faptul că aceste principii trebuie să se aplice în mod cumulativ oricărui de tip de prelucrare.
§1. Legalitatea, echitatea și transparența
Prelucrarea datelor privind sănătatea trebuie realizată legal, astfel cum indică legea sau în baza unui temeiul legal dintre cele despre care vom discuta la punctul B. Datele privind sănătatea trebuie prelucrate echitabil, într-un mod în care persoanele vizate s-ar putea aștepta în mod rezonabil, fără a exista efecte negative nejustificate asupra persoanelor vizate. De exemplu, dacă o persoană este înșelată sau indusă în eroare atunci când i se obțin datele personale, atunci, cel mai probabil, această prelucrare nu este echitabilă.
Principiul transparenței instituie în sarcina operatorului obligația să prelucreze datele privind sănătatea în mod transparent față de persoana vizată[1]. Pe de altă parte, astfel cum arată Grupul de Lucru 29, transparența este strâns legată de echitate. Ar fi inechitabil pentru persoana vizată ca datele sale privind sănătatea să îi fie prelucrate într-un mod invizibil și să fie surprinsă de prelucrare sau de consecințele prelucrării[2]. Cu alte cuvinte, o persoană fizică ar trebui să cunoască încă de la început la ce să se aștepte atunci când intră într-o relație de orice natură cu un operator ce îi prelucrează datele personale. Fiecare persoană vizată ale cărei date privind sănătatea sunt prelucrate are dreptul de fi informată despre modalitatea în care i se prelucrează datele și despre riscurile inerente, între-un limbaj pe care acesta îl poate ințelege. Mai multe informații despre acesta informare regăsiți mai jos în articol, în secțiunea B.
2. Limitări legate de scop
Principiul limitării de scop se regăsește la art. 5 alin. (1) lit. b) RGPD și înseamnă, în esență, două lucruri principale. Un prim aspect este acela că, de principiu, datele privind sănătatea pot fi „colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri”. De exemplu, mostrele de sânge recoltate pentru analize vor fi prelucrate doar astfel cum a cerut subiectul: recoltare și interpretare. Ar fi în afara RGPD ca mostrele, rezultatele, interpretările să fie utilizate în scopuri incompatibile cum ar fi, de exemplu, furnizarea acestor date unor companii terțe ce vor putea utiliza marketing direcționat către persoanele care suferă de boli. Cu toate acestea, un alt aspect important de menționat este faptul că RGPD (art. 5 alin. (1) lit. b) permite prelucrarea ulterioară a datelor privind sănătatea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistic care nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu art., 89 alin. (1) RGPD. Utilizarea datelor medicale în scop de cercetare științifică ar trebui privită și în lumina Directivei privind datele deschise. Astfel cum am explicat într-un articol recent „În ce privește datele din cercetare, Directiva privind datele deschise[5] introduce principiul „Open by Default”, arătând la art. 10 alin. (1) faptul că „preocupările legate de […] protecția datelor cu caracter personal […] sunt luate în considerare în conformitate cu principiul <<cât mai deschis cu putință, dar atât de închis cât este necesar>>”. Prin urmare, în dezvoltarea IA, principiul Open by Default ar trebui să facă echipă cu principiile protecției datelor personale, Directiva indicând în mod clar la art. 1 alin. (4) faptul că „nu aduce atingere dreptului Uniunii și dreptului intern privind protecția datelor cu caracter personal”[3].
Totodată, în conformitate cu art. 89 din RGPD, prelucrarea datelor privind sănătatea în scopul cercetării științifice este posibil cu respectarea, în mod cumulativ, a unor codiții stricte, respectiv:
- Existența unui garanții corespunzătoare pentru drepturile și libertățile persoanelor; Potrivit RGPD, „respectivele garanții asigură faptul că au fost instituite măsuri tehnice și organizatorice necesare pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor. Respectivele măsuri pot include pseudonimizarea, cu condiția ca respectivele scopuri să fie îndeplinite în acest mod. Atunci când respectivele scopuri pot fi îndeplinite printr-o prelucrare ulterioară care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt îndeplinite în acest mod.”
- Derogarea de la drepturile persoanelor fizice pentru cercetare științifică (art. 15 – „dreptul de acces”, 16 – „dreptul la rectificare, art. 18 – dreptul la restricționarea prelucrării, art. 21 – dreptul la opoziție) poate fi realizată doar sub rezerva garanțiilor prevăzute la art. 89 alin (1) RGPD doar în „în măsura în care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.”
Legea 190/2018 reia dispozițiile RGPD spunând la art. 8 faptul că, în privința datelor privind sănătatea, prevederile art. 15, 16, 18 și 21 din Regulamentul general privind protecția datelor nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în măsura în care drepturile menționate la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.
Având în vedere că este clar că, atât RGPD, cât și legislația națională permite cercetarea științifică a datelor privind sănătatea doar cu respectarea unor condiții clare, apare o altă întrebare? Este permisă crearea unor profiluri sau luarea unor decizii automate prelucrând date privind sănătatea? Atât RGPD, cât și legislația națională, interzic, în principiu luarea unor decizii automate sau profilarea unor persoane pe baza datelor privind sănătatea, această acțiune fiind posibilă doar cu îndeplinirea cumulativă a două condiții:
- Existența un temei legal. Singurele temeiuri legale acceptate pentru prelucrarea datelor privind sănătatea în vederea creării unui profil sau luării unei decizii automate sunt consimțământul expres și interesul public major în baza dreptului UE sau al dreptului intern, „care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate” sau, astfel cum se explică legiuitorul român „în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate” (art. 3 din Legea nr.190/2018);
- au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; art. 22 alin. (4) RGPD.
3. Exactitatea datelor
Având în vedere importanța fundamentală a datelor privind sănătatea este necesar ca datele privind sănătatea ale unui pacient să fie exacte și, dacă nu sunt exacte, să fie actualizate. Personalul medical ar nevoie de toate datele relevante acordării serviciilor medicale pentru a nu ajunge, de exemplu, în tragica situația de a executa o perfuzie cu glucoză unui pacient ce suferă de diabet.
4. Reducerea la minimum a datelor și limitarea stocării
Reducerea la minimum a datelor este un principiu care, în viziunea mea, ar trebui privit cu maximă precauție în prelucrarea datelor privind sănătatea. Or, un medic sau un aparat medical are nevoie de cât mai multe date privind sănătatea despre pacient pentru a putea emite un diagnostic, furniza un tratament sau efectua o operație. În domeniul medical principiul „reducerii la minimum a datelor” ar trebuie să însemne prelucrarea tuturor datelor necesare pentru furnizarea la cel mai înalt nivel al serviciilor necesare și reducerea la minimum a datelor care nu sunt necesare pentru tratamentul pacientului. De exemplu, în timp ce un medic ar trebui să aibă acces la toate datele privind sănătatea pacientului (e.g. boli prezente și trecute, grupă de sânge, tratamente, rezultatele analizelor), unele date personale ar putea sa nu fie relevante pentru relația medic-pacient (e.g. profilul de instagram, poze din vacanță). În concluzie, acest principiu ar trebui să primească o atenție deosebită pentru a nu scăpa din vedere date importante care ar putea conduce către un diagnostic mai corect, către un tratament mai adecvat și către o însănătoșire mai rapidă.
5. Integritatea și confidențialitatea datelor
Confidențialitatea datelor privind sănătatea nu are nevoie de explicații suplimentare deoarece ea se află în strânsă legătură cu Jurămânul lui Hipocrate. Integritatea datelor medicale, privind sănătatea, necesită cele mai ridicate măsuri de securitate pentru a preveni accesul neautorizat sau divulgarea datelor personale către surse neautorizate.
6. Responsabilitatea
Un alt principiu este responsabilitatea. În baza acestui principiu, operatorului – cel care decide cum și pentru ce vor fi utilizate datele privind sănătatea trebuie, în principiu, să:
- să asigure protecția datelor începând cu momentul conceperii și în mod implicit (acest principiu are, de obicei, relevanță în privința construirii și adoptării de noi tehnologii) – art. 25 RGPD;
- dacă împarte baze de date cu alți (alte clinici, laboratoare etc), să stabilească responsabilitățile fiecăruia cu privire la protecția datelor și gestionarea drepturilor persoanelor vizate – art. 26 RGPD;
- dacă utilizează persoane împuternicite (e.g. alte clinici, software-uri, laboratoare, personal contractual extern) să se asigure că lucrează doar cu entități de încredere, să le stabilească responsabilitățile și sancțiunile în caz de încălcare printr-un contract distinct – art. 28 RGPD.
- Să țină o evidență a activităților de prelucrare – art. 30 RGPD
- Să asigure securitatea prelucrării – art. 32 RGPD
- Să notifice autoritatea de supraveghere atunci când există o breșă de securitate care este susceptibilă să genereze riscuri pentru drepturile și libertățile persoanelor.
- Să informeze persoanele vizate atunci când există o breșă de securitate care este susceptibilă să genereze riscuri ridicate;
- Pentru activitățile cu impact ridicat asupra drepturilor și persoanelor fizice, să realizeze o evaluare a impactului asupra drepturilor și libertăților fundamentale și să se consulte cu autoritatea de supraveghere dacă rezultatul acestei evaluări de impact este unul negativ.
- Să desemneze, atunci când consideră necesar sau atunci când este obligatoriu în temeiul art. 37 alin. (1), un responsabil cu protecția datelor care să ajute, printre altele, la respectarea regulamentului, la protecția datelor personale și la cooperarea cu autoritatea de supraveghere și cu persoanele vizate.
B. Temeiurile juridice ale prelucrării datelor privind sănătatea
Prelucrarea datelor privind sănătatea trebuie să se bazeze atât pe un temei de la art. 6 RGPD, cât și pe un temei de la art. 9 alin. (1) RGPD. Evident că temeiurile sunt diferite de la caz la caz deoarece, de exemplu, în timp ce vaccinarea personalului nu se poate realiza decât în temeiul consimțământului (art. 6. alin. 1 lit. (a) sau art. 9 alin. (2) lit. a)), prelucrarea unor date necesare angajării se poate nu doar prin consimțământul persoanei vizate, ci și în baza temeiului existent la art. 6. alin. 1 lit. (b), respectiv „prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”. Oricum, în privința legalității prelucrării datelor privind sănătatea, sunt importante de ținut minte două aspecte: fiecare prelucrare trebuie să aibă cel puțin un temei legal la art. 6 și altul la art. 9, iar alegerea temeiurilor legale se face, de la caz la caz, cu analiza textelor art. 6 și art. 9 în față.
IV. Exercitarea drepturilor persoanelor vizate
Dreptul la viață privată și dreptul la protecția datelor sunt drepturi fundamentale incluse în Carta Drepturilor Fundamentale a Uniunii Europene. RGPD oferă persoanei vizate ale drepturi pe care și le poate exercita în raport cu operatorul care îi prelucrează datele privind starea de sănătate. Aceste drepturi sunt, în mare, următoarele:
- Dreptul la informare – operatorul trebuie să îi furnizeze persoanei vizate (i.e. pacientului) – art. 13 și art. 14 RGPD toate informațiile necesare, printre care identitatea și datele de contact ale operatorului, scopurile în care sunt prelucrate datele, temeiurile prelucrării, datele de contact ale responsabilului cu protecția datelor etc.
- Dreptul de acces asupra propriilor date personale – art. 15 RGPD;
- Dreptul de a-și rectifica datele personale inexacte – art. 16 RGPD;
- Dreptul de a-și șterge datele privind sănătatea – art. 17 RGPD;
- Dreptul a restricționa prelucrarea asupra propriilor date – art. 18;
- Dreptul de a-și porta datele (de exemplu, portarea datelor către alt medic sau către altă clinică medicală) – art. 20 RGPD;
- Dreptul la opoziție și, în mod specific, dreptul de a se opune de conținut de marketing – art. 21 RGPD;
- dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri – art. 22 RGPD.
Persoana vizată își poate exercita oricare dintre drepturile de mai sus trimițând o cerere (e.g. poștă/email), la care operatorul este obligat să răspundă în termen de o lună de la primirea cererii sau, în cazuri mai complexe, în termen de 3 luni. Dacă operatorul nu răspunde sau răspunde într-un mod defectuos, persoana fizică poate să se adreseze cu o plângere la autoritatea de supraveghere sau cu acțiune în instanță, putând obține inclusiv despăgubiri materiale și/sau morale. Pentru absenta răspunsurilor sau pentru răspunsuri incomplete, operatorul poate răspunde contravenționale și/sau civil.
V. Transferurile internaționale de date privind sănătatea
Deși datele privind sănătatea pot circula fără restricții în interiorul Uniunii Europene, lucrurile încep să se complice atunci când se transferă date medicale către state din afara Uniunii Europene. Pentru a transfera de date în afara Uniunii Europene trebuie respectate o serie de condiții printre care existența unui nivel de protecție adecvat (e.g. un stat de drept, existența și funcționarea uneia sau a mai multor autorități de supraveghere independente, garanții adecvate, drepturi opozabile și căi de atac eficiente). Indiferent de instrumentul utilizat (e.g. clauze contractuale standard, coduri de conduită, reguli corporatiste obligatorii), transferul internațional de date privind sănătatea trebuie să respecte principiul general al transferurilor de la art. 44 RGPD, potrivit căruia niciun transfer nu poate submina nivelul de protecție asigurat de RGPD. Cu alte cuvinte, în privința transferurilor internaționale de date, RGPD reprezintă standardul minim care trebuie respectat de toate entitățile din statul ce primește datele. Acest lucru rezultă în mod clar din considerentul (101) „ […] Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat”
VI. Concluzii
În concluzie, prelucrarea datelor privind sănătatea necesită o protecție deosebită deoarece sunt strâns legate de sănătatea umană și o prelucrare nelegală sau neechitabilă ar putea conduce către afectarea sănătății sa vieții unei persoane. Acest articol a trecut în revistă, într-un mod sumar și pe înțelesul tuturor, o parte dintre principalele aspecte privind prelucrarea datelor privind sănătatea. Sper ca timpul să îmi permită să continui munca începută prin intermediul articolului, însă, oricum ar fi invit colegii (e.g. avocați, responsabili cu protecția datelor, IT’iști, specialiști în securitate informatică) să adauge, să critice sau să continue munca mea.
Referințe:
[1] Art. 5 alin. (1) lit. a) RGPD prevede faptul că datele trebuie „prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”)”.
[2] GL29, Orientări privind transparența în temeiul Regulamentului 2016/679, adoptate la 29 noiembrie 2017, revizuite și adoptate ultima dată la 11 aprilie 2018, p. 8, disponibile la următoarea adresă, link accesat 01.03.2021.
[2] Ruxandra SAVA, disponibil aici, 12.02.2021, link accesat 31.07.2021.