Înapoi

Înainte

I. Ce vă oferă această secțiune a Ghidului?

  • Vei înțelege că activitatea medicală beneficiază de o protecție legislativă specială dintr-o perspectivă sectorială, distinctă de aceea a realizării actului medical, pentru a proteja sănătatea și viața persoanelor. Această protecție specială are în centrul său Datele Medicale și Viața privată a persoanelor fizice.

  • Veți înțelege că activitatea medicală este îmbunătățită dacă se realizează conform unor principii de protecție a datelor existente în legislația internațională și a Uniunii Europene.

  • Veți înțelege că există riscuri mari pentru apărarea confidențialității dintre medici și pacienți, datorită dezvoltării accelerate a tehnologiei. Pe de altă parte, veți înțelege că protecția datelor medicale depășește sfera relației dintre medici și pacienți.

II. Datele privind starea de sănătate

Legislația de protecție a datelor, în special Regulamentul General privind Protecția Datelor (R.G.P.D.), leagă această protecție a datelor medicale de definirea concretă a categoriei, pentru că o consideră o categorie specială de date, deosebindu-se de toate celelalte categorii, denumind-o date referitoare la sănătate. Este o categorie specială pentru că dezvăluirea datelor medicale poate evidenția aspecte din viața intimă a unei persoane, aspecte privind viața privată, personalitatea sa etc.

  • Datele referitoare la sănătate” sunt toate datele cu caracter personal privind sănătatea fizică sau mentală a unei persoane fizice, inclusiv furnizarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate trecută, actuală și viitoare a acestei persoane (Recomandarea CM/Rec(2019)2 a Comitetului de Miniștri către statele membre privind protecția datelor referitoare la sănătate).

    Sintetizând, în activitatea sa, un medic trebuie să țină cont că datele medicale:

    • sunt atât cele referitoare la sănătatea sa fizică, cât și la cea mentală
    • sunt atât datele prelucrate în procesul de intervenție, cât și de tratament sau în cadrul serviciilor de asistență medicală
    • sunt atât datele privind trecutul medical al unei persoane, precum și datele actuale sau care vizează sănătatea viitoare a unei persoane

    R.G.P.D. declară datele medicale ca având o natură sensibilă, deosebindu-se de majoritatea altor date cu caracter personal; de asemenea, aceste date sunt însoțite de riscuri mai mari asupra vieții private a unei persoane sau asupra altor drepturi și libertăți. Pentru aceste motive R.G.P.D. le conferă o protecție specială, mai accentuată și mai ridicată față de alte date personale.

    ! Notă: Aceeași protecție specială este acordată datelor genetice și datelor biometrice, indiferent că se referă sau nu la starea de sănătate.

  • Nucleul juridic al protecției legale a datelor medicale îl reprezintă Regulamentul General privind Protecția Datelor, acesta fiind obligatoriu de respectat de către România și de fiecare stat membru al Uniunii Europene.

    Care sunt principalele consecințe ale faptului că R.G.P.D. este nucleul juridic al protecției legale?

    • În primul rând, orice activitate medicală și, totodată, orice legislație specială sau sectorială prin care se stabilesc reguli pentru activități în legătură cu date medicale trebuie să respecte cel puțin nivelul de protecție stabilit de R.G.P.D. 
      • Exemplu relevant prin simplitatea acestuia și prin specificitatea în legătură cu activitatea medicală: deșeurile medicale, cum ar fi cele anatomo-patologice reprezentate de fragmente din organe și organe umane, părți anatomice, trebuie gestionate nu doar cu grija principală a menținerii la locul desfășurării activității medicale a condițiilor de igienă și a prevenirii răspândirii oricăror boli sau a prevenirii oricăror riscuri specifice medicale; prelucrarea acestora trebuie să se realizeze și cu respectarea minimă a regulilor de protecție a datelor personale, prevăzute de R.G.P.D.. Această din urmă protecție legală va adăuga la obiectivele de sănătate și igienă ce trebuie atinse în activitatea medicală un obiectiv specific: protecția persoanei despre a cărei date genetice și de sănătate ar fi vorba împotriva oricărei tentative de acces neautorizat la acestea, de sustragere a unor asemenea date, de punere în pericol a propriilor țesuturi și organe ori chiar de vătămare a reputației sau de abuz din partea unor privați sau din partea unor autorități ale statului. Spre exemplu, în absența unei protecții speciale, un fragment de țesut ar putea fi utilizat în așa fel încât să se „planteze” în interiorul scenei unei infracțiuni, atrăgând posibile consecințe juridice de natură penală pentru persoana pe care proba biologică o va identifica în mod unic.
    • A două consecință principală a faptului că R.G.P.D. este nucleul juridic al protecției legale constă în aceea că prin legislația specifică unei activități se pot introduce măsuri și mai drastice de protecție a datelor medicale.
      • Spre exemplu, prelevarea de către personalul medical a unor probe biologice de la unele persoane care au săvârșit anumite infracțiuni, cu scopul introducerii profilului genetic într-o bază de date, se va realiza cu respectarea prevederilor Legii nr. 76/2008 privind organizarea și funcționarea Sistemului Naţional de Date Genetice Judiciar, lege care, cel puțin în teorie, ar trebui să respecte cel puțin nivelul de protecție specială prevăzut de R.G.P.D. (ori, după caz, de Legea 363/2018), dar care va cuprinde și alte garanții suplimentare legate de perioada specifică de stocare a datelor, de asigurarea securității și confidențialității bazei de date și alte asemenea.

  • Întrebări legitime care apar ori de câte ori un medic sau orice personal de specialitate asociat cu activități medicale și de sănătate este pus în situația de a face față legislației de protecție a datelor medicale

    • O întrebare este dacă este necesar să cunoască întreagă această legislație. Răspunsul la această întrebare este negativ, deoarece acesta este un obiectiv foarte dificil chiar și pentru specialiștii care lucrează strict pe domeniul protecției datelor, iar personalul medical și din sănătate are misiunea specifică de a acorda îngrijiri medicale sau a furniza servicii medicale. Este foarte adevărat că un asemenea răspuns nu ar fi pe gustul unei părți a juriștilor care vor contraargumenta invocând principiul latin Nemo censetur ignorarem legem (Nimeni nu se poate scuza de necunoașterea legii). Pentru a se ajunge la o soluție realistă activitățile medicale trebuie să cuprindă standardul de protecție a datelor în mod firesc datorită cuprinderii acestuia în mod organic încă din perioada învățării cel puțin la nivelul studiilor de licență efectuate de viitorii medici; totodată, prin instruiri de bază care să se focalizeze practic asupra acestui standard. Inclusiv rolul prezentului ghid este de instruire de bază. În concluzie, conștientizarea de către personalul care lucrează cu date medicale asupra standardului de protecție a datelor este etapa cea mai importantă pentru obiectivul protecției acestora.
    • În rândul întrebărilor legitime, apare și o alta: anume, unde se percepe cel mai concret protecția datelor medicale în acest sector? Răspunsul este extrem de simplu: în managementul oricărei activități care se intersectează direct sau indirect cu date cu caracter personal medicale. Spre exemplu, dacă am pe un calculator aplicația cu dosarul medical electronic trebuie să îmi iau măsuri foarte precise de protecție a securității și siguranței dispozitivului, astfel încât să previn orice acces neautorizat la acele baze de date ori distrugerea acestora. Situația poate fi și mai „vie”! Spre exemplu, atunci când consult un pacient pentru a stabili un diagnostic, mă voi asigura că această activitate nu permite unui terț „spectator”, aflat în proximitate, să identifice persoana respectivă și să obțină date privind sănătatea acesteia, utilizând pentru aceasta un telefon mobil cu funcții de înregistrare audio/video. Situația este asemănătoare, chiar dacă este supusă unor riscuri și mai mari, atunci când consultația se desfășoară online. Medicul se va asigura că la celălalt terminal se află doar beneficiarul consultației și nu alte persoane. În același timp, medicul se va asigura că în proximitatea sa fizică, la momentul transmisiei, se află doar personal autorizat și, recomandabil, instruit în domeniul protecției datelor.
    • O altă întrebare legitimă în legătură cu această legislație de protecție a datelor este aceea care lămurește rostul ei mai ales pentru activitatea unui medic și a oricărei alte persoane care prelucrează date medicale. Pentru ce avem o asemenea legislație? Activitatea medicală nu reprezintă o activitate desprinsă de ființa umană sau o profesie care tratează niște obiecte. În centrul acesteia se găsește o ființă vie, o persoană fizică. Legislația de protecție a datelor personale transformă activitatea medicală din una axată strict pe cunoștințele de specialitate ale medicului în una complet bilaterală și multisocială, bazată pe etică. Protecția datelor în orice profesie, indiferent că este una medicală sau de altă natură, înseamnă etică, contribuind la prezervarea demnității, la apărarea tuturor drepturilor și libertăților persoanelor.
    • În mod firesc, problema respectării sau nerespectării legislației de protecție a datelor aduce cu sine întrebarea referitoare la care ar putea fi consecințele nerespectării acestei legislații și cine le suportă. Răspunsul poate fi complex, dar în esență trebuie știut că nerespectarea acestei legislații poate „îmbrăca” foarte multe forme, poate să se exprime prin infinit de multe situații și să privească multe entități: medic, personalul medical, angajatorul acestuia, personalul auxiliar, furnizorul de servicii medicale, furnizorul de dispozitive medicale etc. Medicul este interesat în primul rând pentru că nerespectarea principiilor poate conduce la unele forme de malpraxis medical, care pentru pacient semnifică încălcarea vieții sale private, uneori vătămarea vieții și integrității sale fizice și/sau psihice. Spre exemplu, absența consemnării cu exactitate a unor date medicale care țin de stabilirea unui diagnostic, manipularea ulterioară greșită a acestora poate conduce la o intervenție eronată asupra unui pacient. Este foarte adevărat că, sub aspectul strict al regulilor de protecție a datelor, va exista o consecință aparte, complementară, de cele mai multe ori pentru angajator, deoarece acesta trebuie să se asigure că se respectă toate regulile de protecție a datelor într-o unitate spitalicească. Explicația va fi detaliată în următoarele secțiuni, atunci când se va analiza principiul responsabilității pentru prelucrarea datelor personale.
    • În final, fără însă a epuiza toate posibilele întrebări legitime, apare o întrebare ca urmare a tuturor afirmațiilor de mai sus. Cum ar putea un medic, care nu cunoaște complet toate reglementările din domeniul protecției datelor, să le și respecte, mai ales că toate activitățile sale sunt atât de variate, fac parte dintr-un ansamblu organizatoric (spre exemplu, lucrează într-un spital) și sunt exprimate prin nenumărate modalități (în baze de date, în activități directe de tratament sau alte îngrijiri, în componente organice și anorganice, în fișe și comunicări electronice, în înregistrări audio/video etc.). Răspunsul se bazează pe doi piloni obligatorii: primul pilon este instruirea și conștientizarea standardului de protecție, pilon amintit; al doilea pilon, presupune recurgerea de către organizația în care se desfășoară orice activități de genul celor care presupun utilizarea datelor medicale, la un specialist în domeniul protecției datelor, specialist care să asigure implementarea standardului de protecție a datelor și a conformității cu R.G.P.D. în activitățile organizatorice și de management ale organizației. Prezentul ghid are rolul în special de a contribui la realizarea primului pilon, fără însă a se reduce la acesta. O mențiune extrem de importantă în ideea răspunsului la această întrebare este aceea că protecția datelor privită în ansamblul său presupune și un al treilea pilon de urmărit: conștientizarea și instruirea persoanelor fizice vizate, adică a pacienților. 

Cunoașterea R.G.P.D. de către destinatarii acestui ghid se va face prin prezentarea sistematică a celor 7 principii de protecție a datelor, deoarece în acest mod se poate înțelege cu ușurință standardul de protecție a datelor și se poate aplica în activitatea de zi cu zi.

  • 1. Primul principiu este denumit principiul legalității, echității și transparenței și va fi analizat distinct pe fiecare dintre cele trei componente care îl caracterizează. Chiar dacă este mai dificil de aplicat, cel mai ușor de înțeles de către un medic este principiul legalității, deoarece orice medic cunoaște „organic” că toate activitățile pe care le realizează trebuie să fie prevăzute și în conformitate cu legea. Astfel, acest principiu al legalității semnifică ideea că ori de câte ori activitatea medicului presupune interferența cu date medicale ale unei persoane fizice, prelucrarea acelor date trebuie să corespundă clar unei situații pe care legea a avut-o în vedere. În caz contrar, prelucrarea datelor medicale personale nu are voie să se realizeze. Aceasta este o interdicție stipulată de norma juridică, mai exact Articolul 9 aliniatul 1 din R.G.P.D.

    Ce anume va face un medic pentru a respecta acest principiu al legalității? Trebuie să se asigure că activitatea sa de prelucrare a datelor se potrivește uneia dintre următoarele situații în care este permisă prelucrarea datelor medicale, situațiile fiind strict prevăzute de articolele 6 și 9 din R.G.P.D.: atunci când există consimțământul explicit al persoanei despre ale cărei date personale este vorba (denumită specific persoana vizată), atunci când este necesară prelucrarea datelor medicale în scopuri de medicină preventivă, pentru diagnosticare, pentru acordarea îngrijirilor medicale sau a tratamentului medical, ori prelucrarea este necesară pentru administrarea serviciilor medicale. 

    1.1 CONSIMȚĂMÂNTUL EXPLICIT este una dintre condițiile care, odată îndeplinite, asigură Legalitatea unei prelucrări de date medicale.

    Definiția prevăzută de R.G.P.D.: „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate (Art. 4 lit.11 R.G.P.D.).

    Pentru a fi specific, consimțământul trebuie să fie dat în legătură cu o situație concretă de prelucrare a datelor medicale, o situație conturată și precizată clar. Încălcarea acestei cerințe se produce cel mai adesea prin solicitări de consimțământ extrem de generalizate și evazive, sub forma unor acorduri pur teoretice și formalizate.

    Exemplu de practică greșită:

    Acord/Consimțământ al Persoanei Vizate

    Subsemnatul(a) _________ [Numele și prenumele pacientului], născut(ă) la data de _______ [data nașterii], domiciliat(ă) în _______ [adresa], posesor al actului de identitate seria ______, nr. ______, eliberat de ______, la data de ______, îmi exprim acordul/consimțământul pentru prelucrarea datelor mele medicale de către ______ [Numele și adresa clinicii/centrului medical/furnizorului de servicii medicale].

    Sunt de acord ca datele mele medicale să fie prelucrate în vederea obținerii unor informații despre sănătatea mea și în scopuri generale de cercetare.

    Data: ______ Semnătura: ______

    În acest exemplu, consimțământul este vag și nu explică în mod clar scopurile pentru care datele medicale vor fi prelucrate. Acesta menționează “scopuri generale de cercetare”, dar nu oferă detalii despre ce tip de cercetare sau cum vor fi folosite datele în acest context. Astfel de consimțământ nu respectă principiul specificității, conform Regulamentului General privind Protecția Datelor (GDPR).

    Consimțământul informat presupune înțelegerea de către persoana vizată a unor aspecte relevante în legătură cu prelucrarea datelor sale medicale, înțelegere datorată comunicării pe care o are cu operatorul datelor. Pacientul trebuie să înțeleagă, pe baza informării realizate la momentul solicitării consimțământului, ce tipuri de date i se prelucrează, care este scopul pentru care acele date se prelucrează, cine îi va utiliza acele date, ce drepturi are în legătură cu prelucrarea datelor sale, ce se întâmplă dacă nu este de acord cu prelucrarea datelor sale. Pentru a se atinge acest obiectiv comunicarea dintre medic sau personalul autorizat trebuie să se realizeze într-o manieră corectă, într-o formă inteligibilă și să acopere toate aspectele relevante.

    • Exemplu de practică greșită și sancțiunea aplicată: Utilizarea datelor medicale dintr-un dosar de angajare pe un post cu prilejul unei alte angajări, în loc să se realizeze o nouă reexaminare medicală în vederea angajării, reprezintă o prelucrare abuzivă a datelor medicale, caracterul abuziv fiind accentuat mai ales în condițiile în care persoana vizată nu a fost informată în vreun fel la momentul întocmirii primului dosar de angajare că asemenea date ar putea fi utilizate și în eventualitatea unor noi proceduri de recrutare. Cauza relevantă privind încălcarea acestei reguli a consimțământului informat este V. și EDPS împotriva Parlamentului European, persoanei vizate acordându-i-se despăgubiri morale de 20 000 Euro.

    Consimțământul explicit presupune stabilirea clară că pacientul a acceptat prelucrarea datelor sale medicale în legătură cu toate activitățile de prelucrare a datelor sale medicale care se vor realiza pe baza acestuia. Chiar dacă nu este necesar întotdeauna un consimțământ scris, trebuie să rezulte cel puțin din circumstanțele unei situații că această atitudine de acceptare este clară, ceea ce dintr-un unghi al dreptului, echivalează cu un acord al persoanei vizate.

    • Exemplu de practică greșită și sancțiunea aplicată: În cazurile în care, datorită circumstanțelor, se justifică transmiterea de către un spital a datelor referitoare la starea de sănătate, tratamentul acordat unui pacient și alte informații medicale detaliate către angajatorul acelui pacient, această posibilă transmitere trebuie să fi fost consimțită de pacient la momentul solicitării sale de a primi îngrijiri medicale. Un spital nu este obligat să ofere unui angajator informații detaliate privind starea de sănătate a unui pacient, în absența consimțământului explicit al acestuia. 
    • O cauză relevantă este Radu împotriva Republicii Moldova, în care Curtea europeană a drepturilor omului a constatat încălcarea vieții private a pacientului, deoarece spitalul căruia angajatorul îi solicitase informații privind concediul medical acordat, a comunicat date medicale în absența vreunui consimțământ explicit al persoanei vizate. S-au acordat 4500 Euro despăgubiri morale.

    Consimțământul liber presupune un acord al pacientului de a fi prelucrate datele sale personale, iar acest acord este determinat de o alegere reală și un control real din partea persoanelor pacienților. Ca regulă generală, R.G.P.D. prevede că, dacă persoana vizată nu beneficiază de o alegere reală, dacă se simte obligată să consimtă sau dacă va suporta consecințe negative în cazul în care nu consimte, atunci consimțământul nu va fi valabil. Dacă consimțământul este înglobat, ca parte ce nu poate fi negociată, în cuprinsul termenelor și condițiilor, se prezumă că acesta nu a fost exprimat în mod liber. În consecință, consimțământul nu va fi considerat liber exprimat dacă persoana vizată nu este în măsură să refuze sau să-și retragă consimțământul fără a fi prejudiciată.

    • Exemplu de practică greșită și sancțiunea aplicată: O persoană se prezintă la o clinică privată pentru a efectua un control de rutină. După ce discută cu medicul și completează formularul de istoric medical, asistenta îi oferă un formular de consimțământ în legătură cu prelucrarea datelor sale medicale. În formular se precizează că datele pacientului pot fi prelucrate și partajate cu companii terțe pentru cercetare, marketing și dezvoltarea de noi tratamente. Persoana nu este confortabilă cu ideea de a-și împărtăși datele medicale cu companii terțe și își exprimă îngrijorarea față de asistentă. Asistenta îi spune că, dacă nu semnează formularul de consimțământ, nu va putea primi serviciile medicale oferite de clinică. În acest caz, consimțământul nu este liber, deoarece persoana vizată se simte constrânsă să semneze formularul pentru a primi îngrijirea medicală necesară. În cauza Dent Estet Clinic SA s-a aplicat o sancțiune de 1000 de EURO deoarece un medic stomatolog colaborator a prelucrat, inclusiv prin utilizare și dezvăluire, datele personale privind starea de sănătate a persoanei vizate, în cadrul unui articol postat pe blogul personal, fără să prezinte dovezi privind obținerea consimțământului expres al persoanei implicate și fără informarea sa prealabilă.

    Notă! Practic și ușor de înțeles, dacă un medic sau o altă persoană dorește să afle mai multe despre cum anume trebuie să funcționeze o relație dintre el și un pacient, pe baza consimțământului, are la dispoziție un document bine realizat și care îmbracă forma unor îndrumări oficiale în această privință, deoarece ele sunt elaborate de un organism de expertiză relevant în domeniul protecției datelor, anume Comitetul European pentru protecția datelor. Documentul este intitulat Orientările nr 05/2020 privind consimțământul în temeiul Regulamentului 2016/679.

    1.2 Date prelucrate în legătură directă sau indirectă cu desfășurarea muncii!

    Prelucrarea datelor medicale se realizează pentru că este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice operatorului sau persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern, ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate (Articolul 9(2) lit.b R.G.P.D.). Asemănător, prelucrarea este legală dacă este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială (Articolul 9 litera h R.G.P.D.).

    Situația de mai sus acoperă tipologii de cazuri de prelucrare a datelor în scopuri variate. Câteva exemple mai des întâlnite sunt redate mai jos:

    • Evaluarea capacității de muncă: Înainte de angajare, un angajator poate solicita un control medical pentru a evalua dacă un potențial angajat este apt din punct de vedere medical să îndeplinească sarcinile aferente postului. Datele medicale colectate în acest scop sunt utilizate pentru a lua decizii privind angajarea și adaptarea la condițiile de muncă pentru care a fost recrutat sau angajat.
    • Evaluarea necesității de a acorda concediu medical: Angajatorii prelucrează datele medicale ale angajaților pentru a determina dacă un angajat are dreptul la concediu medical în caz de boală sau accident. Aceasta implică adesea obținerea unui certificat medical de la medicul angajatului și, în unele cazuri, solicitarea unei evaluări medicale independente.
    • Evaluarea eligibilității pentru beneficii de securitate socială și protecție socială: Agențiile guvernamentale responsabile de administrarea programelor de asistență socială pot prelucra datele medicale pentru a evalua eligibilitatea unei persoane pentru beneficii, precum pensia de invaliditate, indemnizația de handicap sau ajutorul financiar pentru îngrijirea copiilor cu dizabilități.
    • Reintegrarea pe piața muncii a persoanelor cu dizabilități sau probleme de sănătate: Programele de reintegrare profesională, cum ar fi cele finanțate de guvern sau de organizații non-profit, pot utiliza datele medicale pentru a identifica nevoile specifice ale persoanelor cu dizabilități sau probleme de sănătate și a adapta serviciile oferite în consecință.
    • Evaluarea riscurilor la locul de muncă: Angajatorii pot prelucra datele medicale pentru a evalua și a controla riscurile de sănătate și securitate la locul de muncă, cum ar fi expunerea la substanțe periculoase, condiții de muncă stresante sau zgomotoase.
    • Stabilirea situațiilor medicale asigurate: Societățile de asigurare pot prelucra unele date medicale, pentru a stabili dacă asigurarea medicală acoperă cazul asigurat și a acorda beneficiile financiare rezultate în urma contractului de asigurare.

    Notă! Toate aceste exemple presupun prelucrarea datelor cu caracter medical într-un mod care respectă drepturile și interesele persoanelor vizate, precum și reglementările legale și de confidențialitate aplicabile. Nu este necesar consimțământul persoanei în legătură cu prelucrările de acest fel, însă situațiile de prelucrare trebuie foarte atent realizate și trebuie verificată existența garanțiilor specifice unei protecții speciale, cum este cazul informării pacietului, adică a persoanei vizate.

    1.3 Datele medicale pot fi prelucrate dacă este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul.

    Această situație trebuie să fie receptată ca una complet de excepție, specifică unor situații de cele mai multe ori extrem de grave, astfel că sunt mai rar întâlnite în activitățile medicale curente, cu excepția serviciilor medicale de urgență.

    • Un exemplu este cazul când o persoană aflată în stare de inconștiență nu poate consimți în privința prelucrării datelor sale, astfel că personalul de specialitate care are nevoie de istoricul său din dosarul electronic de sănătate poate să facă aceasta deoarece urmărește protejarea unor interese esențiale ale pacientului. Aceeași situație este valabilă când persoana vizată deși nu este în stare de inconștiență, are nevoie urgentă de un tratament pentru protejarea intereselor sale esențiale privind sănătatea, dar nu are nici discernământ deplin, nici nu există vreo persoană autorizată de lege prezentă pentru a consimți în numele acesteia.
    • Un exemplu diferit este acela când este necesară protecția intereselor vitale ale unei alte persoane fizice decât aceea ale cărei date sunt prelucrate. Această situație este extrem de delicată deoarece presupune dezvăluirea datelor medicale către terți, dar are de multe ori fundamente etice la bază. Probabil cea mai cunoscută cauză jurisprudențială este cauza Tatiana Tarasoff care evidențiază necesitatea dezvăluirii de către un medic (sau o altă persoană supusă obligației de confidențialitate) a unor date medicale obținute în regim de confidențialitate de la pacient, dacă informațiile respective sunt necesare pentru a proteja interesele vitale ale unui terț sau chiar ale unei comunități. Iată succint ideea: un pacient la o clinică vă dezvăluie că dorește să omoare pe cineva. Sunteți supus confidențialității: totuși, dacă vi se pare rezonabilă rezoluția, raportat la boală, la istoricul persoanei, la context, trebuie să anunțați autoritățile de aplicare a legii, chiar dacă aceasta înseamnă o încălcare a confidențialității absolute.

    Notă! Această situație a protejării intereselor vitale nu poate fi transformată într-o regulă generală a acordării îngrijirilor medicale sub pretextul că acestea contribuie oricum la apărarea sănătății persoanelor.

    1.4 Dacă prelucrarea datelor medicale se realizează de către un organism fără scop lucrativ, dar cu specific politic, filozofic, religios sau sindical, atunci o asemenea prelucrare ar putea fi legală când îndeplinește următoarele condiții (Art.9 lit.d R.G.P.D.):

    • prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale
    • datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate
    • activitățile de prelucrare sunt legitime și însoțite de garanții adecvate

    Una dintre cauzele ilustrative privitoare la această situație este cauza Bodil Linquist, deoarece evidențiază că unele date medicale pot fi prelucrate de către o asociație cu privire la membrii săi, dar nu pot fi dezvăluite terților decât pe bază de consimțământ.

    1.5 Datele medicale pot fi prelucrate și în situația în care ele sunt făcute publice în mod manifest de către persoana vizată (articolul 9 lit.e R.G.P.D.).

    Câteva exemple sunt ilustrative:

    • Postări pe rețelele de socializare: Dacă o persoană își publică numele, adresa de e-mail, numărul de telefon sau alte informații personale, inclusiv date medicale, pe platforme precum Facebook, Instagram, Twitter sau LinkedIn, acestea sunt considerate date făcute publice în mod manifest.
    • Participarea la evenimente și conferințe: Persoanele care participă la evenimente publice și unele aspecte care privesc sănătatea lor pot fi percepute clar de către terți (ex. are un picior amputat expus în mod clar) fac publice aceste informații în mod manifest.
    • Testimoniale și recenzii online: Când o persoană oferă un testimonial sau o recenzie pentru un produs sau serviciu și își publică numele, fotografia și alte detalii personale, printre care date referitoare la starea sa de sănătate, aceste informații sunt considerate făcute publice în mod manifest.

    Notă! Este extrem de important să se înțeleagă că această situație este legală doar dacă datele sunt postate chiar de către persoana vizată, nu de către un terț! Transmiterile de date medicale dezvăluite public în mod nelegal de către terți, alții decât persoana vizată, adică pacientul, pot fi ilegale dacă afectează viața privată a acestuia.

    1.6 Este legală și prelucrarea datelor medicale dacă prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare (Art.9 lit.f R.G.P.D.).

    Cel mai adesea enunțul de mai sus acoperă situații în care instanțele de judecată solicită unor spitale documentație medicală privind un pacient, în interesul realizării unor probațiuni de care depinde soluționarea procesului, ori solicită unor experți medicali analiza unor date medicale sau furnizarea unor opinii medicale.

    Dintr-o perspectivă practică trebuie știut că simpla întreprindere / inițiativă a unor demersuri cu conotații judiciare nu justifică o prelucrare a datelor medicale fără a avea vreo limitare a posibilităților de prelucrare sau a modalităților de prelucrare.

    Exemple de rea practică:

    • o instanță reproduce, în cadrul unei hotărâri de divorț, un extras din fișa medicală personală a pacientului deși nu era necesară ca probă (L.L. c. Franței)
    • un act normativ, administrativ sau judiciar care limitează la zece ani perioada de confidențialitate a probelor produse care conțin date medicale, deși această perioadă nu era suficientă pentru protecția adecvată a vieții private a persoanelor în cauză (Z v. Finlanda)
    • se permite divulgarea de date psihiatrice confidențiale privind un solicitant în timpul unei audieri publice, cu toate că o constatare judiciară se putea realiza în ședință confidențială (Panteleyenko c. Ucrainei)
    • se face dezvăluirea identității unei persoane și a statutului de seropozitiv al acesteia într-o hotărâre judecătorească comunicată presei (Z v. Finlanda)

    Notă! În aceeași idee a apărării unor drepturi, într-o formulă contencioasă, chiar dacă nu se ajunge întotdeauna în fața instanței de judecată, prelucrarea datelor medicale se poate realiza de către comisiile de specialitate care investighează cazurile de malpraxis medical. Întotdeauna trebuie ca datele medicale care se prelucrează să fie adecvate pentru scopul urmărit și prelucrarea datelor să fie balansată adecvat cu drepturile pacientului.

    1.7 Prelucrarea datelor medicale este legală când se face pentru motive de interes public major sau din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale (Art.9 lit. g și i R.G.P.D.).

    Prelucrarea în asemenea situații necesită:

    • existența unei legi naționale sau a unei legi a Uniunii Europene
    • respectarea obligațiilor de confidențialitate
    • garanții specifice pentru protejarea drepturilor persoanei vizate

    Astfel de exemple pot fi întâlnite în România în perioada pandemiei COVID-19:

    • impunerea întocmirii unor evidențe cu temperatura tuturor persoanelor care intră într-un magazin sau care vin la locul de muncă. Blocarea accesului acelora care au peste 37.3 C.
    • impunerea unor declarații cu privire la locul în care te duci, permis specific doar prin ordonanță: Ex. la locul de muncă, la farmacie, la rude pentru îngrijiri medicale ș.a. Aceste declarații și datele existente pe ele erau verificate de polițiști care aveau acces în mod direct. Uneori s-a întâmplat să se fotografieze de către polițiști cu telefoanele personale, contrar bunelor practici! A.N.S.P.D.C.P. a intervenit cu un comunicat de presă prin care a adus clarificări asupra limitelor în care se poate desfășura această activitate.

    1.8 Prelucrarea datelor medicale când este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice este permisă (Art.9 lit. j), însă trebuie să se facă cu respectarea următoarelor condiții:

    • existența unei legi naționale sau a unei legi a Uniunii Europene
    • respectarea obligațiilor de confidențialitate
    • garanții specifice pentru protejarea drepturilor persoanei vizate

    Notă: situațiile sunt expuse exact în litera legii, în realitate veți ține cont de următoarele:

    • în scopuri de cercetare științifică este necesar consimțământul persoanei vizate – a se vedea Orientarea 3.13 privind utilizarea datelor cu caracter personal în scopuri secundare decât cele în care au fost colectate inițial
    • în scopuri statistice este necesar consimțământul persoanei vizate, cu excepția situației când datele pot fi anonimizate, adică nu pot fi nicidecum legate de identitate unei persoane fizice – a se vedea Orientarea 3.16 privind obținerea și gestionarea consimțământului persoanei vizate
    • în scopuri de arhivare în interes public, realitatea este că legea este temeiul prelucrării lor

  • 2. Principiul legalității prelucrării datelor cu caracter personal presupune și echitate și transparență chiar dacă aceste ultime două valențe pot fi analizate distinct. Aceste valențe trebuie asigurate în virtutea regulilor R.G.P.D. însă ele sunt detaliate în mod specific în convențiile și actele internaționale privind bioetica, reprezentând principii a căror respectare va conduce și la asigurarea legalității. Acestea sunt prezentate în cele ce urmează.

    2.1 Autonomie

    Acest principiu presupune o autonomie a fiecărui individ și are printre consecințe / valențe următoarele:

    • obligația de a obține consimțământul liber și în cunoștință de cauză de la o persoană, înainte de orice intervenție medicală sau de administrarea oricărui tratament
    • posibilitatea persoanei de a-și retrage consimțământul
    • dreptul de informare asupra stării propriei sănătăți și asupra rezultatelor testelor predictive
    • „dreptul de a nu cunoaște”
    • dreptul persoanele incapabile să ofere un consimțământ valabil de a fi protejate

    2.2 Binefacere și Non-maleficiență

    Presupune o obligație morală referitoare la activitățile de îngrijire a sănătății și de cercetare asupra ființelor umane sau în legătură cu ființele umane, obligație care presupune desfășurarea activităților în scopul maximizării beneficiilor și reducerii la maximum a consecințelor negative asupra persoanei fizice.

    2.3 Echitate

    Principiul impune ca activitățile din domeniul asistenței medicale și a cercetării să se desfășoare pe baze corecte și echitabile.

    2.4 Principiul Consimțământului Informat

    Persoana trebuie să aibă posibilitatea reală de a alege, iar nu a completa un formular și în realitate de a nu avea vreo posibilitate reală de decizie; pentru aceasta trebuie să fie corect informată asupra opțiunilor, asupra mecanismelor de acordare a asistenței sau tratamentului și asupra consecințelor, anterior petrecerii/producerii acestora.

    2.5 Protecția vieții private (articolul 10)

    Orice intervenție asupra elementelor biologice ale ființei umane poate fi realizată doar ținându-se cont de respectarea integrității fizice și psihice a persoanei fizice și cu consimțământul ori după caz informarea acesteia.

    2.6 Protejarea persoanelor care nu au capacitatea de a consimți (articolul 6)

    Presupune că acordarea tratamentului persoanelor din această categorie, spre exemplu minorilor, poate fi realizată numai dacă aduce beneficii reale și directe sănătății lor, ținând cont adecvat de dorințele respectivelor persoane și cu autorizarea reprezentanților legali.

    2.7 Respectarea demnității (articolul 1)

    Principiul demnității este la baza sistemului reglementar al Convenției de la Oviedo și interzice tratarea ființei umane într-un alt mod decât cel situat pe locul 1 în priorități, astfel încât armonia relațiilor indivizilor în societate, valorizarea lor proprie să nu fie deteriorate, iar avantajele biomedicinei să nu fie guvernate de pragmatism și câștiguri financiare sau de altă natură decât cele pentru propășirea societății umane.

    2.8 Preeminența ființei umane

    Acest principiu presupune că ființa umană se bucură de preeminență (prioritate și supremație) față de interesul exclusiv al științei sau al societății.

    2.9 Interzicerea câștigului financiar

    Organele și țesuturile, inclusiv sângele, nu ar trebui să fie cumpărate sau vândute sau să genereze câștiguri financiare pentru persoana de la care au fost prelevate sau pentru o persoană sau întreprindere terță. Comercializarea medicamentelor sau dispozitivelor medicale care conțin țesuturi umane ce au fost supuse unui proces de fabricație nu este interzisă, atâta timp cât țesutul folosit ca materie primă nu este vândut ca atare. Nu sunt permise plățile legate de obținerea consimțământului sau de autorizarea donării organelor/țesuturilor de la persoanele în cauză. Cu toate acestea, o persoană de la care a fost prelevat un țesut sau organ poate primi o compensație care nu constituie o remunerație, în schimb îl despăgubește în mod echitabil pentru cheltuielile suportate sau pierderea veniturilor.

    2.10 Principiul Nediscriminării

    Se interzice orice discriminare întemeiată pe patrimoniul genetic al unei persoane.

    2.11 Principiul respectării Standardele profesionale

    Orice intervenție în domeniul sănătății, inclusiv cercetarea, trebuie să fie efectuată în conformitate cu obligațiile și standardele profesionale relevante.

    NOTĂ FINALĂ! Această parte a ghidului urmărește să pregătească medicul, profesionistul pentru înțelegerea semnificației datelor cu caracter personal ale pacienților utilizate în mod inerent în activitățile medicale, insistându-se pe relevanța etică și juridică.

 Înapoi

Înainte