Legal Briefings

Impactul GDPR în serviciile de sănătate

Odată acceptată ideea că Regulamentul 2016/679 privind protecția datelor1 (denumit în cele ce urmează „Regulamentul” sau „GDPR”) este pe deplin aplicabil nu doar diverselor entități juridice (inclusiv în cazul companiilor mici, cu un nivel destul de redus al activității), ci și în cazul persoanelor fizice care prelucrează date cu caracter personal, în cursul activității acestora, se poate pune problema implicațiilor specifice ale Regulamentului asupra activității desfășurată în domeniul medical.

În acest context, alinierea la cerințele GDPR impune o analiză detaliată a particularităților domeniului medical, luând în considerare, în mod special, prevederile legale aplicabile în această materie (inclusiv legislația specifică ce reglementează profesia de medic), pentru a răspunde, astfel, scopurilor adoptării Regulamentului.


Aspecte specifice


În afară de necesitățile generale de conformare cu prevederile GDPR – aspecte care nu sunt, însă, deloc de neglijat, luând în considerare diversele chestiuni relevante în contextul unei analize (cum ar fi: nivelul de activitate, fluxurile specifice de informații, tipul și nivelul relațiilor cu alte persoane, apartenența la un grup de societăți ori operațiunile complexe cu un impact asupra datelor cu caracter personal prelucrate) –, specificul domeniului medical poate aduce implicații suplimentare care trebuie adresate din perspectiva protecției datelor, în contextul particular al desfășurării unei activități reglementate și în care o parte semnificativă a informațiilor o reprezintă categoriile speciale de date cu caracter personal, în sensul GDPR.

La o primă vedere, s-ar putea aprecia că, la nivelul unui cabinet medical, cerințele Regulamentului pot fi mai ușor de implementat și observat, pe parcursul aplicării acestora; un principal argument ar putea fi acela că activitatea curentă din cadrul unui simplu cabinet medical presupune un flux și un nivel de informații mai puțin complicat, putând fi în mod lesne identificate principalele aspecte care trebuie aliniate cu cerințele GDPR.

În funcție însă de modalitatea specifică de organizare a cabinetului, în acord cu prevederile legale, și luând în considerare și relațiile stabilite de cabinetul medical cu diverșii săi parteneri – relații care vizează inclusiv furnizorii de servicii specifice (spre exemplu: furnizorii de servicii IT, furnizorii de servicii de contabilitate/ salarizare), precum și colaborările stabilite cu alte cabinete ori societăți/ clinici care activează în domeniul medical – pot apărea o serie de aspecte destul de complexe care pot îngreuna conformarea cu prevederile Regulamentului.

Potențiale aspecte de dificultate


Între altele, următoarele chestiuni specifice ar putea implica anumite dificultăți de analiză:

(a)    Identificarea relațiilor cu partenerii

În afară de identificarea corectă a tuturor datelor cu caracter personal prelucrate, implementarea măsurilor cu caracter minimal privind protecția acestora, pregătirea și furnizarea, către persoanele vizate, a informațiilor necesare conform GDPR, ori asigurarea condițiilor pentru ca acestea să își poată exercita drepturile specifice, în practică, se poate dovedi destul de dificilă și analiza relațiilor stabilite cu diverși contractori, din prisma Regulamentului.

Întrucât identificarea unei relații de tip operator – operator, operator – persoană împuternicită de operator sau operatori asociați poate impune o serie de obligații specifice (conform Regulamentului), atât circumstanțele contractuale agreate cât și realitatea relațiilor dintre părți va fi definitorie pentru a putea stabili pașii specifici de urmat pentru asigurarea protecției datelor cu caracter personal.

În aceste condiții, orientările specifice adoptate de fostul Articol 29 Grupul de Lucru pentru  protecția datelor privind conceptele de operator și persoană împuternicită de operator se pot dovedi extrem de utile în aprecierile ce urmează a fi făcute în acest sens, de la caz la caz.

În plus, acolo unde există, ar trebui luate în considerare și diversele instrucțiuni, orientări sau alte asemenea opinii având rol orientativ, adoptate de asociații profesionale, organe de reglementare specifice profesiei și/sau alte organisme active în domeniul sănătății, pentru mai multă claritate.

(b)    Identificarea obligațiilor specifice în funcție de circumstanțele prelucrării

O altă posibilă chestiune care ar trebui adresată în mod corespunzator derivă din nivelul specific al datelor prelucrate în domeniul medical.

În mod particular, principiul minimizării datelor, prevăzut de GDPR, trebuie circumstanțiat în contextul desfășurării activității medicale, întrucât anumite date care, la prima vedere, ar putea fi considerate excesive, pot căpăta o relevanță deosebită, prelucrarea lor fiind necesară în scopul efectuării consultațiilor medicale și prescrierii recomandărilor/ tratamentrelor specifice (cum ar fi: informații referitoare la obiceiuri alimentare ori legate de muncă sau alte aspecte personale).

Așadar, cadrul prelucrării unor informații ar trebui analizat în detaliu, de la caz la caz, luând în considerare atât contextul mai larg al serviciului medical prestat persoanei vizate, cât și necesitatea prelucrării unor anumite categorii de date ce pot căpăta o relevanță deosebită împreună cu diverse alte elemente referitoare la persoana vizată.

(c)    Identificarea temeiurilor specifice ale prelucrării datelor

Acest aspect poate și el ridica anumite dificultăți, în contextul specific al prelucrării categoriilor de date cu caracter special ale pacienților.

În concret, cerințele specifice ale Regulamentului au un impact semnificativ asupra operațiunilor de prelucrare, ținând cont și că, istoric, prelucrarea datelor pacienților s-a realizat, în cele mai multe situații, în baza unui consimțământ implicit al acestora, aspect care va trebui însă analizat cu multă atenție (și chiar reconsiderat) din prisma GDPR.

Temeiurile prelucrării categoriilor de date cu caracter special vor trebui identificate atât prin raportare la prevederile art. 6 GDPR cât și prin raportare la dispozițiile art. 9 GDPR, luând în considerare, între altele, și scopul prelucrării (aspect care înlesnește identificarea corectă a temeiului operațiunii de prelucrare).
De asemenea, în contextul identificării temeiurilor prelucrării, vor trebui avute în vedere și adresate separat cerințele specifice din legislația medicală și normele privind protecția datelor, fiecare având un obiect propriu de reglementare.

Cu titlu de exemplu, pot exista situații în care datele cu caracter personal sunt prelucrate în baza unor cerințe legale sau a unor interese legitime, fiind totodată necesare în contextul obligațiilor legate de medicina muncii; în același timp, însă, din perspectiva legislației medicale, serviciul medical (și, implicit, prelucrarea datelor) poate fi efectuat în baza unui consimțământ informat al pacientului (diferit, ca și conținut și scop, de consimțământul ca temei al prelucrării în baza GDPR).

(d)    Necesitatea unei evaluări a impactului asupra protecției datelor

Nu în ultimul rând, evaluarea impactului asupra protecției datelor (în limba engleză denumită DPIA – data protection impact assessment) reprezintă, de asemenea, un aspect sensibil care ar trebui analizat în contextul specific al activității desfășurate.

Această chestiune va trebui tratată pornind de la cerințele specifice ale Regulamentului (inclusiv prin raportare la considerentele relevante reținute în preambulul GDPR) și luând în considerare situațiile obligatorii definite la nivel național pentru realizarea unei astfel de evaluări a impactului (astfel cum au fost acestea detaliate în cuprinsul Deciziei ANSPDCP2 nr. 17/2018).

În particular, o relevanță deosebită o prezintă situațiile de prelucrare pe scară largă a datelor genetice și/sau de sănătate ale pacienților, ori situațiile de prelucrare pe scară largă a datelor angajaților (prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului), cazuri în care se impune efectuarea unei evaluări de impact, în mod corespunzător. În general, aspectul esențial în aceste situații îl reprezintă interpretarea și aplicarea conceptului de scară largă, chestiune care s-ar putea dovedi chiar mai problematică în cazul unui simplu cabinet medical, față de situația unei clinici private de sănătate.

Concluzii
Caracterul foarte variat al datelor cu caracter personal prelucrate în mod uzual de persoanele care activează în domeniul medical, reglementările specifice din această materie precum și contextul particular al relațiilor stabilite atât cu persoanele vizate cât și cu diversele persoane implicate în procesele de prelucrare a datelor trebuie analizate în detaliu, pentru a identifica și adresa, în mod corespunzător, implicațiile acestor operațiuni, din perspectiva cerințelor Regulamentului, raportat și la realitățile efective ale activității medicale.
Eventualele materiale pregătite la nivelul diverselor asociații profesionale, organe de reglementare și/sau alte organisme active în domeniul medical se pot dovedi extrem de utile pentru a defini, cel puțin la nivel principial, unele recomandări de urmat de către cei care activează în acest domeniu. Cu titlu orientativ, pot fi luate în considerare inclusiv materiale pregătite de autoritățile naționale din domeniul protecției datelor cu caracter personal ori diverse orientări pregătite chiar la nivelul asociațiilor/ organelor profesionale, din alte state membre UE, care pot oferi recomandări destul de utile în contextul necesității de conformare cu cerințele GDPR.

 


1.  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
2.  ANSPDCP înseamnă Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Follow Us

Subscribe Our Newsletter

Amazing Deals, Updates & Freebies In Your Inbox

People's Poll

Ati stabilit măsurile ce ar trebui întreprinse pentru conformarea la prevederile Regulamentului (UE) 2016/679 ?
logo

Download Newskit App

Lorem Ipsum is simply dummy text of the printing and
typesetting industry.

banner

Social & newsletter

© 2017 BMPH. All Rights Reserved.Design & Development by LIDERO Network

Search