Prelucrarea datelor personale privind sănătatea

I. Cadrul legal

Convenția 108 a Consiliului Europei pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal și Regulamentul (UE) 679/2016 (Regulamentul general privind protecția datelor – GDPR – mai exact, art. 9.2.) stabilesc precondiții specifice pentru prelucrarea datelor sensibile care se aplică pe lângă regulile generale privind prelucrarea datelor.

Convenția 108 introduce cerințe puternice și condiții suplimentare pentru prelucrarea datelor referitoare la sănătate. Articolul 6 din Convenția 108 permite prelucrarea datelor genetice, a datelor biometrice identificând în mod unic o persoană, precum și a datelor cu caracter personal legate de sănătate numai în condițiile în care sunt acordate garanțiile corespunzătoare.

Un alt instrument legal al Consiliului Europei care se aplică procesării datelor medicale este Recomandarea privind datele rezultate în urma efectuării testelor genetice (CM/Rec (2016) 8). Această recomandare are o importanță deosebită pentru eHealth (date medicale electronice-monitorizare la distanță, acces la consultații prin intermediul internetului, senzori de monitorizare a constantelor biologice, etc.) unde sisteme TIC integrate facilitează îngrijirea medicală. Un astfel de exemplu este împărțirea rezultatelor testelor de paternitate ale pacientului între diferiți furnizori de servicii medicale.

De asemenea, un rol important are și Directiva privind drepturile pacienților în asistența medicală transfrontalieră (2011/24/UE) care stabilește dreptul cetățenilor UE să solicite asistență medicală într-o altă țară europeană și să solicite rambursarea sumelor și, astfel, creează bazele schimbului transfrontalier de date privind sănătatea.

Revenind însă la prevederile GDPR, pentru a prelucra în mod legal datele privind sănătatea, operatorul trebuie să identifice atât o bază legală în conformitate cu articolul 6, cât și o condiție separată pentru prelucrarea de categorii speciale de date personale în conformitate cu articolul 9.2.

II. Condițiile de prelucrare a datelor privind sănătatea

Art. 9 din GDPR stabilește că datele privind starea de sănătate pot fi prelucrate de un operator în anumite condiții, cum ar fi:

a) prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate;

b) prelucrarea este necesară în scopuri legate de medicina preventivă (…), de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva respectării anumitor condiţii şi garanţii (datele să fie prelucrate de către un profesionist supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naţionale competente sau de o altă persoană supusă, de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naţionale competente); 

c) prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului profesional; 

d) persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice (de exemplu pentru un testimonial sau pentru marketing direct), cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicţia prelucrării acestor date să nu poată fi ridicată prin consimţământul persoanei vizate;

e) prelucrarea este necesară în scopuri de arhivare, de cercetare științifică sau istorică sau în scopuri statistice și se bazează pe dreptul Uniunii sau pe dreptul național;

f) prelucrarea vizează date personale care sunt făcute publice în mod manifest de către persoana vizată;

g) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exerciâiul funcției lor judiciare;

h) prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate de către o fundație, asociație sau orice alt organism fără scop lucrativ (…) cu condiția ca prelucrarea să se refere numai la membrii respectivului organism sau la persoane cu care acesta are contacte permanente (…).

i) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul;

j) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern (…).

III. Ce trebuie să conțină informarea adresată personalor vizate

Indiferent de temeiul juridic în baza căruia un operator prelucrează date personale privind sănătatea, acesta va trebui să informeze persona vizată cel puțin cu privire la următoarele aspecte:

a) numele/denumirea și datele de contact ale operatorului, inclusiv datele de contact ale DPO-ului dacă acesta a fost desemnat de către operator;

b) temeiul legal utilizat pentru prelucrare și scopurile specifice;

c) categoriile de destinatari ai datelor personale;

d) durata de stocare a datelor personale;

e) drepturile persoanei vizate vizate și modalitatea în care le poate exercita (inclusiv dreptul de a transmite plângere la ANSPDCP);

f) posibilitatea de retragere a consimțământului (doar pentru cazurile în care temeiul de prelucrare este consimțământul);

g) dacă se transferă date personale în alte state, garanțiile de adecvare pentru aceste state;

h) dacă persona vizată este obligată să furnizeze datele de sănătate, consecințele refuzului de a le furniza;

i) în situația în care exista un proces decizional automatizat, informarea persoanei vizate despre acest proces, importanța și efectele sale (coroborat cu dreptul de a solicita intervenție umană).

IV. Intersectarea GDPR cu prevederile din Legea Pacientului

Legea nr. 46/2003 reprezintă actul normativ care reglementează drepturile pacientului. Potrivit art. 21 din Legea pacientului, ’’toate informațiile privind starea pacientului, rezultatele investigațiilor, diagnosticul, prognosticul, tratamentul, datele personale sunt confidențiale și după decesul acestuia’.

Mai departe, articolele următoare din Legea nr. 46/2003 vizează situațiile în care se pot divulga datele personale ale pacienților.

Astfel, art. 22 din Legea nr. 46/2003 reglementează cele două cazuri generale în care datele pot fi divulgate: ’’informațiile cu caracter confidențial pot fi furnizate numai în cazul în care pacientul îți dă consimțământul explicit sau dacă legea o cere în mod expres’’, pe când art. 23 reglementează cazul de excepție de la prevederile anterioare: ‘’în cazul în care informațiile sunt necesare altor furnizori de servicii medicale acreditați, implicați în tratamentul pacienților, acordarea consimțământului nu mai este obligatorie.’’

Atât în Legea Pacientului cât și în GDPR se face vorbire despre date confidențiale care, în mod evident, sunt și date cu caracter personal. Însă în Legea Pacientului se reglementează doar activitatea de divulgare, pe când GDPR definește prelucrarea datelor personale ca fiind o paletă largă de activități (în care intră inclusiv activitatea de divulgare).

Avocat Gherasim Andrei-Gheorghe

Titular Cabinet de Avocat ”Gherasim Andrei-Gheorghe” specializat litigii de muncă