GDPR – Prelucrarea datelor de sănătate, inclusiv prin aplicații de sănătate și wellbeing

I. Preambul

GDPR este aplicabil inclusiv aplicațiilor mobile care prelucrează date cu caracter personal ale cetățenilor UE. Nu este relevant dacă aplicația este operată din afara Uniunii Europene fiindcă GDPR se va aplica oricum, fiind vorba despre datele personale ale cetățenilor Uniunii Europene.

Scopurile GDPR sunt să ofere un nivel de protecție și un control îmbunătățit al vieții private pentru cetățenii UE. Este conceput pentru a oferi indivizilor controlul datelor lor personale și pentru a îmbunătăți modul în care organizațiile gestionează datele personale ale consumatorilor.

În categoria mai largă de aplicații se încadrează și aplicațiile care prelucrează date privind sănătatea personaleor vizate (de ex. date privind activitatea fizică, greutatea corporală, indicele glicemic, etc.). Sectorul asistenței medicale prelucrează în mod tradițional cantități mari de date cu caracter personal. În prezent, în practica medicală se utilizează din ce în ce mai mult tehnologiile informaționale, cum ar fi aplicațiile pentru smartphone-uri și dispozitivele purtabile de către persoanele vizate (de exemplu, ceasurile sau brățările inteligente), pentru planurile de tratament și colectarea informațiilor.

II. Temei legal

Atunci când datele privind sănătatea sunt prelucrate de organizații cu activitate comercială, prin intermediul aplicațiilor și utilizatorilor lor, din prevederile GDPR este clar că temeiul legal este consimțământul explicit al persoanei fizice și, mai puțin frecvent, executarea unui contract (scopul fiind de prestare a serviciului oferit prin aplicația respectivă), în caz contrar, prelucrarea este interzisă.

Deoarece aceste aplicații colectează datele personale de la persoana vizată, articolele 12 și 13 GDPR sunt de asemenea relevante. Articolul 13 oferă o imagine de ansamblu asupra informațiilor pe care operatorul trebuie să le furnizeze persoanei vizate, iar articolul 12 stabilește că aceste informații trebuie furnizate „într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar și simplu„.

Consimțământul explicit poate fi dat, de exemplu, bifând o căsuță de către persoana vizată atunci când vizitează un site web, alegând expres anumite setări tehnice sau orice altă declarație care indică, în acest context, acceptarea clară de către persoana vizată a prelucrării propuse. Casetele marcate/bifate în prealabil sau inactivitatea de către persoana vizată nu constituie consimțământ. În plus, cererea de solicitare consimțământ trebuie să fie prezentată într-o formă distinctă. Acest lucru înseamnă că nu se poate găsi ca parte într-un contract sau alt document în formă scrisă. În acest sens trebuie interpretate și dispozițiile art. 7 alin. (2) din GDPR:

(2) În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu.(…)’’

Este de notorietate aspectul că foarte puține persoane citesc până la final toate politicile de confidențialitate, procedurile, etc, motiv pentru care declarația/notificarea prin care i se solicită consimțământul persoanei vizate trebuie prezentată individual.

În ceea ce privește prelucrarea datelor privind sănătatea în contextul medical, de ex. de către spitale, nu este necesar consimțământul persoanei vizate dacă se aplică excepția articolului 9 alineatul (2) litera (h), împreună cu punctul (3). Cu toate acestea, entitățile medicale care gestionează în mod obișnuit datele privind sănătatea, au o sarcină suplimentară pentru a menține „date referitoare la sănătate”, „date genetice” și „date biometrice” la un standard de protecție mai ridicat decât datele personale, în general.

III. Potențiale riscuri pentru datele de sănătate

Companiile pot monetiza datele utilizatorilor, care sunt la mare valoare pe piața datelor de sănătate, care include companiile de asigurări, financiar-bancare împreună cu alte sectoare, precum companii de marketing. Ca atare, survin întrebări cu privire la modul în care se poate obține consimțământul informat sau dacă este posibil să se vorbească despre consimțământ informat atunci când nu este clar modul în care datele personale vor fi prelucrate, monetizate sau traseul acestora (transmiterea către terți). Acest risc intră la categoria partajării datelor personale privind sănătatea către entități terțe, această operațiune neintrând în sfera prestării serviciului, a temeiului și a scopurilor comunicate utilizatorilor.

Un alt risc constă în nivelul de protecție asigurat împotriva breșelor și atacurilor cibernetice. Chiar dacă s-ar putea argumenta că nivelul de protecție este similar cu cel din clinici și spitale, acest argument este neîndestulător fiindcă dezvoltatorii de aplicații nu investec atât de mult pe partea de securitate.

IV. Acțiuni care pot fi întreprinse de operatori și persoane împuternicite

Operatorii de date personale care colectează date privind sănătatea de la utilizatorii tehnologiilor lor digitale de sănătate se confruntă cu mai multe provocări decât cei care colectează date personale care nu se încadrează în sfera categoriilor speciale de date.

Prelucrarea datelor cu caracter personal într-o manieră transparentă este o cerință esențială pentru a demonstra conformitatea cu GDPR. Cu toate acestea, trackerele de fitness și aplicațiile de sănătate/wellbeing, de foarte multe ori, nu informează indivizii cu privire la datele concrete, specifice care vor fi prelucrate sau cu privire la cât de multe dintre datele lor de sănătate vor prelucra aceste tehnologii și în ce scopuri. Pentru a veni cu o soluție optimă, companiile de tehnologie digitală de sănătate ar trebui să își îmbunătățească procesele în scopul transparentizării cu privire la informațiile pe care le comunică utilizatorului despre operațiunile de prelucrare.

Pentru început, este necesară comunicarea unei notificări de confidențialitate redactată conform GDPR și disponibilă publicului. În plus, politicile de confidențialitate trebuie să furnizeze informații clare, inteligibile și concise persoanelor cu privire la ce date personale sunt colectate și la modul în care aceste date sunt prelucrate (cu emfază pe tipurile de persoane vizate constând în adulți sau copii vulnerabili).

Conform articolului 22 din GDPR, dacă o decizie va avea un efect semnificativ asupra unei persoane, este necesară intervenție umană la un moment dat în procesul de luare a deciziilor. Acest aspect este unul de luat în considerare de către companiile care dezvoltă aplicații privind sănătatea dacă, de exemplu, tehnologia tip AI ia decizii de diagnostic sau o companie își bazează decizii în legătură cu asigurarea de sănătate pe datele dintr-o aplicație de urmărire a sănătății.

Organizațiile trebuie, de asemenea, să își regândească și cadrul efectiv de gestionare a datelor și să adopte noi politici de accesibilitate, stocare, arhivare, organizare și protecție. Ar trebui să existe un sistem eficient care să garanteze că persoanele vizate pot exercita toate drepturile prezentate în GDPR. De ex., entitățile din Statele Unite se pot baza pe un cadru de securitate cum ar fi HITRUST CSF, care pretinde că încorporează toate regulile GDPR.

Organizațiile care prelucrează date de sănătate pot recurge la implementarea testelor de penetrare a rețelelor din spitale/clinici de către companii profesioniste de testare. Alte exemple de bune practici care vor ajuta securizarea datelor pot include următoarele: firewall-uri, soluții antimalware, sisteme de detectare a încălcărilor (BDS) – din categoria sitemelor de securitate, alte sisteme de securitate care detectează și previn atacurile de rețea și tehnologii de criptare. În plus, dispozitivele medicale și software-ul furnizate de către terți trebuie să fie suficient securizate.

În ceea ce privește comunicările către persoanele vizate, trebuie să respecte regulile din GDPR, să fie transmise fără a li se induce opțiunea, fără să fie influențate/constrânse în vreun mod. Consimțământul nu trebuie condiționat de altă acțiune și persoanele vizate trebuie să aibă posibilitatea de a-și configura setări diferite de confidențialitate ale aplicației în scopul de a beneficia de un nivel cât mai ridicat de confidențialitate.

Avocat Gherasim Andrei-Gheorghe

Titular Cabinet de Avocat ”Gherasim Andrei-Gheorghe”