Prezentarea cazurilor în care sunt permise prelucrările secundare ale datelor
Prezentarea situațiilor în care nu se pot folosi datele în scop secundar, fără un alt temei legal valid (ex. un consimțământ)
Ca regulă generală, Regulamentul General privind protecția datelor permite prelucrarea datelor în scopuri secundare, cum este cel al cercetării științifice, medicale, istorice sau în scopuri statistice. Prevederile legale explicite sunt: art. 6 alin. (4), art. 9 alin. (2) lit. h), art. 9 alin. (3), art. 89.
Aspectele principale de care trebuie ținut cont sunt următoarele: urmărirea ca scopurile să fie compatibile cu scopul inițial al colectării datelor și, atunci când este posibil, luarea de măsuri prin care să nu se mai permită identificarea persoanelor vizate (Ex. pseudonimizarea sau anonimizarea datelor).
Ce ar trebui să cunoașteți:
Identificarea persoanelor este posibilă atât prin observarea unor date care pot duce direct la identificare (ex. un cod unic, precum C.N.P.-ul) cât și prin coroborarea mai multor seturi de informații care pot duce indirect la identificarea persoanei (ex. coroborarea diagnosticului cu vârsta, cu sexul, cu tratamentul oferit și cu locația unde s-a oferit tratamentul).
O simplă măsură de pseudonimizare a datelor nu este întotdeauna suficientă pentru a împiedica identificarea unei persoane.
- Exemplu: Cercetând cazuistica privind condamnările penale de pe portalurile online dedicate acestui subiect veți putea corobora mai multe informații care, împreună cu inițialele persoanelor implicate într-un proces, vă asigură identificarea persoanelor (ex. A.N. a comis o infracțiune de luare de mită într-un proces cu Ministerul X, aspect din care ne putem da seama că A.N. pot reprezenta inițialele unei persoane publice, ex. Adrian Năstase). Astfel acest lucru dovedește că, în anumite cazuri, simpla pseudonimizare nu este suficientă.
Puteți folosi un sistem propriu de protejare a identității persoanelor atunci când doriți să folosiți datele în scopuri secundare precum cel al studiilor clinice. O recomandare ar putea fi alocarea unui număr pacientului.
- Exemplu: Pentru pregătirea unei prezentări în cadrul unui congres veți căuta să eliminați din imagistica folosită elemente care, coroborate, pot identifica persoana. În schimb puteți aloca un număr – pacientul nr. 675. Însă trebuie să vă asigurați că documentul intern în care ați făcut coroborarea este securizat și păstrat în condiții ridicate de confidențialitate.
Prelucrarea datelor în scopuri statistice este întru totul compatibilă cu prevederile R.G.P.D.
- Exemplu: Un grup de medici de la un spital decide să efectueze un studiu epidemiologic pentru a urmări răspândirea unei anumite boli în comunitate. Pentru a face acest lucru, ei colectează date de la pacienții lor, inclusiv vârstă, sex, locație geografică, istoric medical și alte informații relevante pentru boala studiată. Înainte de a începe analiza datelor, medicii se asigură că toate datele sunt fie anonimizate (adică orice informație care ar putea identifica o persoană este eliminată), fie pseudonimizate (adică identificatorii direcți sunt înlocuiți cu pseudonime). Acest proces asigură că persoanele nu pot fi identificate din datele colectate, protejând astfel confidențialitatea pacienților.
Pentru cazuri speciale ori deosebit de grave care se doresc a fi mediatizate se impune colectarea consimțământului persoanei vizate ori a reprezentantului legal al acestuia. Alăturat, în Partea a IV-a, găsiți un model de declarație de consimțământ: Anexa 4 Consimțământ specific R.G.P.D.
- Exemplu: vedem adesea campanii de strângere de fonduri pentru diverse persoane cu boli rare ori dizabilități. Pentru ca să existe o acoperire legală pentru această acțiune se impune ca în prealabil să fie obținut consimțământul persoanei și acesta să fie valid conform legii.
Cazuistică relevantă
Un exemplu:
Unitatea medicală XYZ, în dorința de a promova serviciile și tratamentele inovatoare pe care le oferă, a decis să realizeze un studiu privind eficacitatea unui tratament nou pentru o afecțiune specifică. Fără a obține consimțământul pacienților și fără să se asigure de anonimizarea datelor, unitatea a prelucrat și analizat informațiile medicale ale pacienților care au beneficiat de tratament.
Ulterior, pentru a crește vizibilitatea studiului, unitatea medicală a publicat rezultatele pe site-ul său și pe rețelele de socializare. Datele pacienților, inclusiv informații privind diagnosticul, vârsta și tratamentul au fost expuse, permițând astfel identificarea indirectă a persoanelor vizate.
Un jurnalist a sesizat publicarea acestor informații și a scris un articol de investigație care a evidențiat încălcarea confidențialității pacienților și lipsa consimțământului acestora. În urma acestui incident, unitatea medicală a fost supusă unor investigații din partea autorităților de reglementare, a fost sancționată cu amenzi semnificative și a pierdut încrederea pacienților și a comunității medicale.
Acest incident ar fi putut fi evitat dacă unitatea medicală ar fi obținut consimțământul pacienților pentru prelucrarea datelor în scopuri secundare și ar fi implementat măsuri de protecție adecvate pentru a asigura confidențialitatea datelor.
Cazuistică din activitatea Autorității de Supraveghere:
Autoritatea de supraveghere din Italia (Garante) a aplicat o amendă de 5000 euro unui medic întrucât s-a demonstrat că radiografii / diapozitive ale unui caz clinic în care fusese implicat medicul au fost prezentate la un congres și ulterior acestea au fost publicate pe website-ul Società triveneta di chirurgia.
Slide-urile prezentării publicate conțineau date personale ale unui pacient, cum ar fi inițialele pacientului, vârsta, sexul, istoricul medical detaliat al pacientului, detaliile internărilor din 1980 până în 2016 și procedurile chirurgicale efectuate în perioada respectivă, data internării, secția de chirurgie care a efectuat procedurile, zilele petrecute în spital, numeroase imagini de diagnostic și 22 de fotografii care arată pacientul în timpul operațiilor.
Nu s-a putut dovedi că persoana vizată și-ar fi dat consimțământul pentru aceste prelucrări de date.
Sursa: Ordinanza ingiunzione – 15 aprile 2021 – Garante Privacy