Noul Regulament european privind protecţia persoanelor fizice („GDPR") în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date va intra în vigoare în data de 25 mai 2018.
Dar, care este cel mai delicat domeniu în privinţa aplicării Regulamentului? Cu siguranţă domeniul medical!
Cu toţii avem nevoie de un control, fie de rutină, fie în vederea angajării. Suntem direct vizaţi de Regulament, deoarece acesta stabileşte că datele medicale referitoare la sănătatea sau starea medicală a unei persoane sunt date cu caracter personal, fiind incluse într-o categorie aparte, denumită categoria datelor sensibile. Cei care sunt primii care colectează, stabilesc şi gestionează asemenea date sunt medicii şi, în genere, structurile administrative unde se desfăşoară actul medical. De aceea, asemenea structuri, precum spitalele, sunt operatori de date cu caracter personal şi li se aplică toate regulile prevăzute de GDPR, sens în care menţionăm azi în special respectarea a două principii, cel al responsabilităţii operatorului de date şi principiul liberului consimţământ pentru prelucrarea datelor cu caracter personal, prevăzute de articolele 5 şi 6 din GDPR.
Articolul 5
Principii legate de prelucrarea datelor cu caracter personal
(1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată („legalitate, echitate şi transparenţă");
(b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile iniţiale, în conformitate cu articolul 89 alineatul (1) („limitări legate de scop");
(c) adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor");
(d) exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere („exactitate");
(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor şi libertăţilor persoanei vizate („limitări legate de stocare");
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate şi confidenţialitate").
(2) Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare („responsabilitate").
Articolul 6
Legalitatea prelucrării
(1) Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
(a) persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
Iată două exemple frecvent întâlnite, care evidenţiază şi dificultatea prelucrărilor şi starea de neconformitate cu legea europeană la care ne referim:
Exemplul 1: Medicul de la Unitatea de Primire Urgenţe este sunat la telefon de o persoană care pretinde că este rudă cu unul dintre pacienţii trataţi şi îi solicită informaţii legate de prezenţa şi starea de sănătate a acestuia. Sub presiunea contextului, i se oferă asemenea informaţii.
De ştiut: aceste informaţii privesc date cu caracter personal, iar comunicarea lor constituie o prelucrare de date, neautorizată de GDPR, atâta timp cât starea de sănătate a pacientului permite solicitarea consimţământului pentru comunicare, iar identitatea solicitantului nu este verificată pentru a se justifica un interes legitim al aparţinătorilor.
Exemplul 2: La un spital, odată cu internarea pacientului i se solicită să doneze o sumă modică de bani, dacă doreşte, pentru fundaţia spitalului care, de altfel, realizează acte de caritate medicale.
De ştiut: o asemenea practică este ilegală, deoarece consimţământul pentru donaţie (care presupune prelucrarea datelor pentru fiscalizarea donaţiei) nu este unul liber, atâta timp cât este dat în contextul internării pacientului. Responsabilitatea este a operatorului (spitalului)!
