Farmaceutic & Medical Tax & Legal

Datele medicale istorice – o comoară sau o piatră de moară pentru furnizorii de servicii medicale?

Orice vizită la medic presupune indiscutabil o prelucrare de date cu caracter personal, acestea fiind utilizate pentru realizarea actului medical, dar și pentru îndeplinirea obligațiilor legale stabilite în sarcina furnizorilor de servicii medicale potrivit prevederile legale aplicabile în domeniul sănătății. Fiind vorba de volume mari de date, păstrate uneori pentru perioade destul de lungi, o întrebare firească este dacă aceste date pot fi utilizate și în alte scopuri decât cele pentru care au fost inițial colectate.

Orice vizită la medic presupune indiscutabil o prelucrare de date cu caracter personal, acestea fiind utilizate pentru realizarea actului medical, dar și pentru îndeplinirea obligațiilor legale stabilite în sarcina furnizorilor de servicii medicale potrivit prevederile legale aplicabile în domeniul sănătății. Fiind vorba de volume mari de date, păstrate uneori pentru perioade destul de lungi, o întrebare firească este dacă aceste date pot fi utilizate și în alte scopuri decât cele pentru care au fost inițial colectate. De exemplu, pot fi valorificate pentru dezvoltarea de noi tratamente medicale, în scopuri statistice sau pentru motive ce țin de sănătatea publică sau, mergând mai departe, pentru îmbunătățirea calității serviciilor prestate de furnizorii de servicii medicale sau pentru crearea de profile ale pacienților și subsecvent pentru prezentarea de oferte de servicii medicale personalizate?

Sunt doar câteva întrebări care conduc la nevoia de interpretare pe de o parte a prevederilor legale aplicabile în domeniul medical, dar și a celor din domeniul protecției datelor cu caracter personal, dat fiind ca aceste date reprezintă categorii speciale de date cu caracter personal și pentru care regulile de prelucrare sunt vădit mai stricte.

Regulamentul general privind protecția datelor (“Regulamentul”) definește datele privind sănătatea ca fiind „date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia”.

Ca orice prelucrare de date cu caracter personal, și prelucrarea datelor privind sănătatea trebuie să respecte principiile statuate de Regulament, printre care și legalitatea. Așadar, ne punem întrebarea care este temeiul legal în baza căruia pot fi prelucrate datele privind sănătatea, atunci când furnizorii de servicii medicale doresc să le valorifice în alte scopuri decât cele pentru care au fost inițial colectate, de exemplu în scopuri de cercetare științifică sau pentru îmbunătățirea calității serviciilor pe care le prestează.

De la început trebuie precizat că, fiind vorba de categorii speciale de date cu caracter personal, prelucrarea lor trebuie să se facă în baza unuia dintre temeiurile legale prevăzute de art. 6 din Regulament, dar și a uneia dintre derogările specifice din art. 9 din același Regulament.

Raportat la natura prelucrării datelor cu caracter personal, în cazul de față, furnizorii de servicii medicale ar putea explora obținerea consimțământului persoanelor vizate, incidența unui interes legitim în a prelucra datele cu caracter personal în scop de cercetare științifică sau pentru îmbunătățire a serviciilor prestate sau un eventual interes public. Cu siguranță însă, încadrarea prelucrărilor subsecvente în scopuri comerciale într-unul dintre temeiurile indicate anterior pare, mai degrabă, problematică.

Așadar, o primă opțiune pe care furnizorii de servicii medicale o au la dispoziție este obținerea consimțământului pacienților pentru anumite activități subsecvente de prelucrare, de exemplu în cursul efectuării actelor medicale pentru care acesta s-a prezentat sau ulterior, prin contactarea acestora după prestarea serviciilor medicale pentru oferirea de servicii suplimentare. În acest caz, consimțământul trebuie să îndeplinească toate condițiile prevăzute de art. 6 alin. (1) lit. (a), 7 și 9 alin. (2) lit. (a) din Regulament. Consimțământul trebuie să fie o manifestare de voință liberă, specifică, informată și lipsită de ambiguitate și în plus, pentru a fi explicit, trebuie să fie dat printr-o declarație expresă sau printr-o „acțiune fără echivoc”. În acest sens, o atenție specială trebuie acordată verificării de către furnizorul de servicii medicale, în calitate de operator, în ce măsură consimțământul este liber. Analiza trebuie efectuată de furnizor de la caz la caz, insistând pe măsura în care pacientul respectiv se poate simți într-un dezechilibru de putere, de exemplu când starea lui de sănătate îl face să se simtă dependent de furnizorul de servicii medicale. În practică însă, de cele mai multe ori sau cel puțin pentru datele istorice, consimțământul nu a fost colectat pentru realizarea unui profil al pacientului sau pentru contactarea ulterioară în vederea oferirii de servicii suplimentare, eventual personalizate.

Un alt temei de prelucrare care ar putea fi incident în cazul efectuării unor cercetări științifice este necesitatea îndeplinirii unei sarcini care să servească unui interes public, temei prevăzut de art. 6 alin. (1) lit. (f), coroborat cu una dintre derogările prevăzute de art. 9 alin. (2) din Regulament.

Astfel, art. 9 alin. (2) din Regulament prevede o serie de excepții în care prelucrarea datelor cu caracter special, cum este cazul și datelor medicale, este posibilă. Având în vedere prelucrarea în contextul cercetărilor științifice, furnizorii de servicii medicale se pot prevala de excepțiile prevăzute la literele (i) și (j) din articolul citat, respectiv:

  • prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional (litera i);
  • prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1) din Regulament, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate (litera j).

Din nefericire însă, legislația națională restrânge domeniul de aplicare a temeiului legal al interesului public. Și asta pentru că, Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului („Legea 190/2018„) definește noțiunea de “îndeplinire a unei sarcini care servește unui interes public” ca incluzând “acele activități ale partidelor politice sau ale organizațiilor cetățenilor aparținând minorităților naționale, ale organizațiilor neguvernamentale, care servesc realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public ori funcționării sistemului democratic, incluzând încurajarea participării cetățenilor în procesul de luare a deciziilor și a pregătirii politicilor publice, respectiv promovarea principiilor și valorilor democrației”. Prin urmare considerăm că în ceea ce privește prelucrările de date efectuate în contextul cercetărilor științifice, furnizorii de servicii medicale sau alți terți specializați nu ar putea invoca drept temei legal îndeplinirea unei sarcini care servește unui interes public, fiind în afara domeniului de aplicare stabilit expres de Legea 190/2018.

Mergând mai departe însă, art. 138 din Legea 95/2006 privind reforma în domeniul sănătății (”Legea sănătății”) prevede următoarele obligații specifice în sarcina furnizorilor de servicii medicale:

  • înregistrarea, stocarea, prelucrarea şi transmiterea datelor colectate rezultate din activitatea proprie, conform normelor aprobate prin ordin al ministrului sănătăţii;
  • raportarea datelor prevăzute la lit. a) se face către Ministerul Sănătăţii, structurile de specialitate ale Ministerului Sănătăţii şi, după caz, către ministerele şi instituţiile cu reţea sanitară proprie, pentru constituirea bazei de date, la nivel naţional, în vederea fundamentării deciziilor de politică de sănătate, precum şi pentru raportarea datelor către organismele internaţionale;
  • raportarea către CNAS şi casele de asigurări de sănătate cu care se află în relaţii contractuale a tuturor datelor menţionate în contractele încheiate cu aceştia;
  • păstrarea, securizarea şi asigurarea sub formă de document scris şi electronic a documentaţiei primare, ca sursă a acestor date, constituind arhiva furnizorului, conform reglementărilor legale în vigoare.

Nu credem însă că prevederile Legii Sănătății citate anterior sunt suficiente pentru a schimba concluzia anterioară și a justifica o prelucrare în scopuri proprii ale furnizorilor de servicii medicale.

Un ultim temei de prelucrare care ar putea fi explorat de furnizorii de servicii medicale este cel al interesului legitim prevăzut de art. 6 alin. (1) lit. (f), coroborat cu una dintre derogările prevăzute de art. 9 alin. (2) lit. (i) sau (j) din Regulament, prezentate anterior. Totuși, în cazul ambelor derogări, una dintre cerințe este să existe o prevedere legală, aplicabilă în temeiul Dreptului Uniunii sau a dreptului intern, care să permită prelucrarea datelor cu caracter medical în scopurile prevăzute în cuprinsul respectivelor derogări. Așadar, chiar și în situația existenței unui interes legitim în a prelucra datele pacienților pentru îmbunătățirea tratamentelor oferite în cadrul activității desfășurate de furnizorii de servicii medicale, prelucrarea poate fi efectuată numai cu identificarea unei derogări, care, raportat la contextul analizat impune condiția existenței unei prevederi legale care să permită furnizorului de servicii medicale astfel de prelucrări. Ori, o astfel de prevedere legală nu pare să existe în actualul cadru legislativ, așa cum am arătat mai sus.

În concluzie, prelucrarea datelor medicale în alte scopuri decât cele pentru care au fost colectate inițial pare a fi mai degrabă problematică și greu de circumscris unor eventuale interese comerciale ale furnizorilor de servicii medicale. Credem totuși că, un consimțământ valabil, informat, poate fi colectat de la pacienți și pentru alte scopuri (e.g. cercetări științifice, contactarea ulterioară pentru a oferi alte servicii medicale personalizate, identificarea de servicii medicale noi care pot fi oferite de către furnizorii de servicii medicale, etc.) cu privire la datele lor medicale pe care le va prelucra furnizorul de servicii medicale. Din nefericire însă, o astfel de soluție nu pare a fi aplicabilă în cazul datelor medicale istorice, fiind dificil de susținut că o astfel de prelucrare ar fi efectuată cu respectarea actualului cadru legislativ. În schimb, pentru pacienții noi sau pentru cei care revin în clinicile medicale, poate fi redactat un formular de consimțământ care să menționeze expres eventuale scopuri ulterioare de prelucrare a datelor conform intereselor furnizorului de servicii medicale. 

Desigur, temeiurile mai sus analizate prezintă relevanță numai în măsura în care informațiile ce urmează a fi prelucrate reprezintă date cu caracter personal, adică fac identificabilă o persoană fizică, respectiv un pacient care a beneficiat de servicii medicale. În situația în care furnizorii de servicii medicale aleg să anonimizeze aceste date și pot demonstra că prin aplicarea tehnicilor de anonimizare, inclusiv a celor automatizate dezvoltate de diverși furnizori de astfel de soluții tehnice, datele nu mai pot face identificabile persoanele fizice, informațiile respective ar putea fi prelucrate în scopuri de cercetare medicală și pentru îmbunătățirea serviciilor medicale oferite. Totuși, utilizarea acestor noi informații de către furnizorii de servicii medicale pentru a-și promova direct serviciile către pacienții lor curenți sau potențiali implică o nouă prelucrare de date cu caracter personal, de această dată a informațiilor de contact (e-mail, număr de telefon), devenind astfel aplicabile prevederile referitoare la efectuarea de comunicări comerciale, la rândul lor restrictive și greu de utilizat pentru datele medicale istorice.

Share
Share
Share