Orice vizita la medic presupune indiscutabil o prelucrare de date cu caracter personal, acestea fiind utilizate pentru realizarea actului medical, dar si pentru indeplinirea obligatiilor legale stabilite in sarcina furnizorilor de servicii medicale potrivit prevederile legale aplicabile in domeniul sanatatii. Fiind vorba de volume mari de date, pastrate uneori pentru perioade destul de lungi, o intrebare fireasca este daca aceste date pot fi utilizate si in alte scopuri decat cele pentru care au fost initial colectate. De exemplu, pot fi valorificate pentru dezvoltarea de noi tratamente medicale, in scopuri statistice sau pentru motive ce tin de sanatatea publica sau, mergand mai departe, pentru imbunatatirea calitatii serviciilor prestate de furnizorii de servicii medicale sau pentru crearea de profile ale pacientilor si subsecvent pentru prezentarea de oferte de servicii medicale personalizate?
Sunt doar cateva intrebari care conduc la nevoia de interpretare pe de o parte a prevederilor legale aplicabile in domeniul medical, dar si a celor din domeniul protectiei datelor cu caracter personal, dat fiind ca aceste date reprezinta categorii speciale de date cu caracter personal si pentru care regulile de prelucrare sunt vadit mai stricte.
Regulamentul general privind protectia datelor (“Regulamentul”) defineste datele privind sanatatea ca fiind „date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia”.
Ca orice prelucrare de date cu caracter personal, si prelucrarea datelor privind sanatatea trebuie sa respecte principiile statuate de Regulament, printre care si legalitatea. Asadar, ne punem intrebarea care este temeiul legal in baza caruia pot fi prelucrate datele privind sanatatea, atunci cand furnizorii de servicii medicale doresc sa le valorifice in alte scopuri decat cele pentru care au fost initial colectate, de exemplu in scopuri de cercetare stiintifica sau pentru imbunatatirea calitatii serviciilor pe care le presteaza.
De la inceput trebuie precizat ca, fiind vorba de categorii speciale de date cu caracter personal, prelucrarea lor trebuie sa se faca in baza unuia dintre temeiurile legale prevazute de art. 6 din Regulament, dar si a uneia dintre derogarile specifice din art. 9 din acelasi Regulament.
Raportat la natura prelucrarii datelor cu caracter personal, in cazul de fata, furnizorii de servicii medicale ar putea explora obtinerea consimtamantului persoanelor vizate, incidenta unui interes legitim in a prelucra datele cu caracter personal in scop de cercetare stiintifica sau pentru imbunatatire a serviciilor prestate sau un eventual interes public. Cu siguranta insa, incadrarea prelucrarilor subsecvente in scopuri comerciale intr-unul dintre temeiurile indicate anterior pare, mai degraba, problematica.
Asadar, o prima optiune pe care furnizorii de servicii medicale o au la dispozitie este obtinerea consimtamantului pacientilor pentru anumite activitati subsecvente de prelucrare, de exemplu in cursul efectuarii actelor medicale pentru care acesta s-a prezentat sau ulterior, prin contactarea acestora dupa prestarea serviciilor medicale pentru oferirea de servicii suplimentare. In acest caz, consimtamantul trebuie sa indeplineasca toate conditiile prevazute de art. 6 alin. (1) lit. (a), 7 si 9 alin. (2) lit. (a) din Regulament. Consimtamantul trebuie sa fie o manifestare de vointa libera, specifica, informata si lipsita de ambiguitate si in plus, pentru a fi explicit, trebuie sa fie dat printr-o declaratie expresa sau printr-o „actiune fara echivoc”. In acest sens, o atentie speciala trebuie acordata verificarii de catre furnizorul de servicii medicale, in calitate de operator, in ce masura consimtamantul este liber. Analiza trebuie efectuata de furnizor de la caz la caz, insistand pe masura in care pacientul respectiv se poate simti intr-un dezechilibru de putere, de exemplu cand starea lui de sanatate il face sa se simta dependent de furnizorul de servicii medicale. In practica insa, de cele mai multe ori sau cel putin pentru datele istorice, consimtamantul nu a fost colectat pentru realizarea unui profil al pacientului sau pentru contactarea ulterioara in vederea oferirii de servicii suplimentare, eventual personalizate.
Un alt temei de prelucrare care ar putea fi incident in cazul efectuarii unor cercetari stiintifice este necesitatea indeplinirii unei sarcini care sa serveasca unui interes public, temei prevazut de art. 6 alin. (1) lit. (f), coroborat cu una dintre derogarile prevazute de art. 9 alin. (2) din Regulament.
Astfel, art. 9 alin. (2) din Regulament prevede o serie de exceptii in care prelucrarea datelor cu caracter special, cum este cazul si datelor medicale, este posibila. Avand in vedere prelucrarea in contextul cercetarilor stiintifice, furnizorii de servicii medicale se pot prevala de exceptiile prevazute la literele (i) si (j) din articolul citat, respectiv:
- prelucrarea este necesara din motive de interes public in domeniul sanatatii publice, cum ar fi protectia impotriva amenintarilor transfrontaliere grave la adresa sanatatii sau asigurarea de standarde ridicate de calitate si siguranta a asistentei medicale si a medicamentelor sau a dispozitivelor medicale, in temeiul dreptului Uniunii sau al dreptului intern, care prevede masuri adecvate si specifice pentru protejarea drepturilor si libertatilor persoanei vizate, in special a secretului profesional (litera i);
- prelucrarea este necesara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in conformitate cu articolul 89 alineatul (1) din Regulament, in baza dreptului Uniunii sau a dreptului intern, care este proportional cu obiectivul urmarit, respecta esenta dreptului la protectia datelor si prevede masuri corespunzatoare si specifice pentru protejarea drepturilor fundamentale si a intereselor persoanei vizate (litera j).
Din nefericire insa, legislatia nationala restrange domeniul de aplicare a temeiului legal al interesului public. Si asta pentru ca, Legea 190/2018 privind masuri de punere in aplicare a Regulamentului ("Legea 190/2018") defineste notiunea de “indeplinire a unei sarcini care serveste unui interes public” ca incluzand “acele activitati ale partidelor politice sau ale organizatiilor cetatenilor apartinand minoritatilor nationale, ale organizatiilor neguvernamentale, care servesc realizarii obiectivelor prevazute de dreptul constitutional sau de dreptul international public ori functionarii sistemului democratic, incluzand incurajarea participarii cetatenilor in procesul de luare a deciziilor si a pregatirii politicilor publice, respectiv promovarea principiilor si valorilor democratiei”. Prin urmare consideram ca in ceea ce priveste prelucrarile de date efectuate in contextul cercetarilor stiintifice, furnizorii de servicii medicale sau alti terti specializati nu ar putea invoca drept temei legal indeplinirea unei sarcini care serveste unui interes public, fiind in afara domeniului de aplicare stabilit expres de Legea 190/2018.
Mergand mai departe insa, art. 138 din Legea 95/2006 privind reforma in domeniul sanatatii (”Legea sanatatii”) prevede urmatoarele obligatii specifice in sarcina furnizorilor de servicii medicale:
- inregistrarea, stocarea, prelucrarea si transmiterea datelor colectate rezultate din activitatea proprie, conform normelor aprobate prin ordin al ministrului sanatatii;
- raportarea datelor prevazute la lit. a) se face catre Ministerul Sanatatii, structurile de specialitate ale Ministerului Sanatatii si, dupa caz, catre ministerele si institutiile cu retea sanitara proprie, pentru constituirea bazei de date, la nivel national, in vederea fundamentarii deciziilor de politica de sanatate, precum si pentru raportarea datelor catre organismele internationale;
- raportarea catre CNAS si casele de asigurari de sanatate cu care se afla in relatii contractuale a tuturor datelor mentionate in contractele incheiate cu acestia;
- pastrarea, securizarea si asigurarea sub forma de document scris si electronic a documentatiei primare, ca sursa a acestor date, constituind arhiva furnizorului, conform reglementarilor legale in vigoare.
Nu credem insa ca prevederile Legii Sanatatii citate anterior sunt suficiente pentru a schimba concluzia anterioara si a justifica o prelucrare in scopuri proprii ale furnizorilor de servicii medicale.
Un ultim temei de prelucrare care ar putea fi explorat de furnizorii de servicii medicale este cel al interesului legitim prevazut de art. 6 alin. (1) lit. (f), coroborat cu una dintre derogarile prevazute de art. 9 alin. (2) lit. (i) sau (j) din Regulament, prezentate anterior. Totusi, in cazul ambelor derogari, una dintre cerinte este sa existe o prevedere legala, aplicabila in temeiul Dreptului Uniunii sau a dreptului intern, care sa permita prelucrarea datelor cu caracter medical in scopurile prevazute in cuprinsul respectivelor derogari. Asadar, chiar si in situatia existentei unui interes legitim in a prelucra datele pacientilor pentru imbunatatirea tratamentelor oferite in cadrul activitatii desfasurate de furnizorii de servicii medicale, prelucrarea poate fi efectuata numai cu identificarea unei derogari, care, raportat la contextul analizat impune conditia existentei unei prevederi legale care sa permita furnizorului de servicii medicale astfel de prelucrari. Ori, o astfel de prevedere legala nu pare sa existe in actualul cadru legislativ, asa cum am aratat mai sus.
In concluzie, prelucrarea datelor medicale in alte scopuri decat cele pentru care au fost colectate initial pare a fi mai degraba problematica si greu de circumscris unor eventuale interese comerciale ale furnizorilor de servicii medicale. Credem totusi ca, un consimtamant valabil, informat, poate fi colectat de la pacienti si pentru alte scopuri (e.g. cercetari stiintifice, contactarea ulterioara pentru a oferi alte servicii medicale personalizate, identificarea de servicii medicale noi care pot fi oferite de catre furnizorii de servicii medicale, etc.) cu privire la datele lor medicale pe care le va prelucra furnizorul de servicii medicale. Din nefericire insa, o astfel de solutie nu pare a fi aplicabila in cazul datelor medicale istorice, fiind dificil de sustinut ca o astfel de prelucrare ar fi efectuata cu respectarea actualului cadru legislativ. In schimb, pentru pacientii noi sau pentru cei care revin in clinicile medicale, poate fi redactat un formular de consimtamant care sa mentioneze expres eventuale scopuri ulterioare de prelucrare a datelor conform intereselor furnizorului de servicii medicale.
Desigur, temeiurile mai sus analizate prezinta relevanta numai in masura in care informatiile ce urmeaza a fi prelucrate reprezinta date cu caracter personal, adica fac identificabila o persoana fizica, respectiv un pacient care a beneficiat de servicii medicale. In situatia in care furnizorii de servicii medicale aleg sa anonimizeze aceste date si pot demonstra ca prin aplicarea tehnicilor de anonimizare, inclusiv a celor automatizate dezvoltate de diversi furnizori de astfel de solutii tehnice, datele nu mai pot face identificabile persoanele fizice, informatiile respective ar putea fi prelucrate in scopuri de cercetare medicala si pentru imbunatatirea serviciilor medicale oferite. Totusi, utilizarea acestor noi informatii de catre furnizorii de servicii medicale pentru a-si promova direct serviciile catre pacientii lor curenti sau potentiali implica o noua prelucrare de date cu caracter personal, de aceasta data a informatiilor de contact (e-mail, numar de telefon), devenind astfel aplicabile prevederile referitoare la efectuarea de comunicari comerciale, la randul lor restrictive si greu de utilizat pentru datele medicale istorice.
