ZRP
Tuca Zbarcea & Asociatii

Impactul GDPR în serviciile de sănătate

02 Decembrie 2018   |   Vlad Irimia, Senior Associate Voicu & Filipescu

Caracterul foarte variat al datelor cu caracter personal prelucrate în mod uzual de persoanele care activează în domeniul medical, reglementările specifice din această materie precum și contextul particular al relațiilor stabilite atât cu persoanele vizate, cât și cu diversele persoane implicate în procesele de prelucrare a datelor trebuie analizate în detaliu, pentru a identifica și adresa, în mod corespunzător, implicațiile acestor operațiuni, din perspectiva cerințelor Regulamentului, raportat și la realitățile efective ale activității medicale.

Vlad Irimia, Senior Associate Voicu & Filipescu

 
 
Odată acceptată ideea că Regulamentul 2016/679 privind protecția datelor1 (denumit în cele ce urmează „Regulamentul” sau „GDPR”) este pe deplin aplicabil nu doar diverselor entități juridice (inclusiv în cazul companiilor mici, cu un nivel destul de redus al activității), ci și în cazul persoanelor fizice care prelucrează date cu caracter personal, în cursul activității acestora, se poate pune problema implicațiilor specifice ale Regulamentului asupra activității desfășurată în domeniul medical.

În acest context, alinierea la cerințele GDPR impune o analiză detaliată a particularităților domeniului medical, luând în considerare, în mod special, prevederile legale aplicabile în această materie (inclusiv legislația specifică ce reglementează profesia de medic), pentru a răspunde, astfel, scopurilor adoptării Regulamentului.


Aspecte specifice

În afară de necesitățile generale de conformare cu prevederile GDPR – aspecte care nu sunt, însă, deloc de neglijat, luând în considerare diversele chestiuni relevante în contextul unei analize (cum ar fi: nivelul de activitate, fluxurile specifice de informații, tipul și nivelul relațiilor cu alte persoane, apartenența la un grup de societăți ori operațiunile complexe cu un impact asupra datelor cu caracter personal prelucrate) –, specificul domeniului medical poate aduce implicații suplimentare care trebuie adresate din perspectiva protecției datelor, în contextul particular al desfășurării unei activități reglementate și în care o parte semnificativă a informațiilor o reprezintă categoriile speciale de date cu caracter personal, în sensul GDPR.

La o primă vedere, s-ar putea aprecia că, la nivelul unui cabinet medical, cerințele Regulamentului pot fi mai ușor de implementat și observat, pe parcursul aplicării acestora; un principal argument ar putea fi acela că activitatea curentă din cadrul unui simplu cabinet medical presupune un flux și un nivel de informații mai puțin complicat, putând fi în mod lesne identificate principalele aspecte care trebuie aliniate cu cerințele GDPR.

În funcție însă de modalitatea specifică de organizare a cabinetului, în acord cu prevederile legale, și luând în considerare și relațiile stabilite de cabinetul medical cu diverșii săi parteneri – relații care vizează inclusiv furnizorii de servicii specifice (spre exemplu: furnizorii de servicii IT, furnizorii de servicii de contabilitate/ salarizare), precum și colaborările stabilite cu alte cabinete ori societăți/ clinici care activează în domeniul medical – pot apărea o serie de aspecte destul de complexe care pot îngreuna conformarea cu prevederile Regulamentului.

Potențiale aspecte de dificultate


Între altele, următoarele chestiuni specifice ar putea implica anumite dificultăți de analiză:

(a)    Identificarea relațiilor cu partenerii

În afară de identificarea corectă a tuturor datelor cu caracter personal prelucrate, implementarea măsurilor cu caracter minimal privind protecția acestora, pregătirea și furnizarea, către persoanele vizate, a informațiilor necesare conform GDPR, ori asigurarea condițiilor pentru ca acestea să își poată exercita drepturile specifice, în practică, se poate dovedi destul de dificilă și analiza relațiilor stabilite cu diverși contractori, din prisma Regulamentului.

Întrucât identificarea unei relații de tip operator – operator, operator – persoană împuternicită de operator sau operatori asociați poate impune o serie de obligații specifice (conform Regulamentului), atât circumstanțele contractuale agreate cât și realitatea relațiilor dintre părți va fi definitorie pentru a putea stabili pașii specifici de urmat pentru asigurarea protecției datelor cu caracter personal.

În aceste condiții, orientările specifice adoptate de fostul Articol 29 Grupul de Lucru pentru  protecția datelor privind conceptele de operator și persoană împuternicită de operator se pot dovedi extrem de utile în aprecierile ce urmează a fi făcute în acest sens, de la caz la caz.

În plus, acolo unde există, ar trebui luate în considerare și diversele instrucțiuni, orientări sau alte asemenea opinii având rol orientativ, adoptate de asociații profesionale, organe de reglementare specifice profesiei și/sau alte organisme active în domeniul sănătății, pentru mai multă claritate.

(b)    Identificarea obligațiilor specifice în funcție de circumstanțele prelucrării

O altă posibilă chestiune care ar trebui adresată în mod corespunzator derivă din nivelul specific al datelor prelucrate în domeniul medical.

În mod particular, principiul minimizării datelor, prevăzut de GDPR, trebuie circumstanțiat în contextul desfășurării activității medicale, întrucât anumite date care, la prima vedere, ar putea fi considerate excesive, pot căpăta o relevanță deosebită, prelucrarea lor fiind necesară în scopul efectuării consultațiilor medicale și prescrierii recomandărilor/ tratamentrelor specifice (cum ar fi: informații referitoare la obiceiuri alimentare ori legate de muncă sau alte aspecte personale).

Așadar, cadrul prelucrării unor informații ar trebui analizat în detaliu, de la caz la caz, luând în considerare atât contextul mai larg al serviciului medical prestat persoanei vizate, cât și necesitatea prelucrării unor anumite categorii de date ce pot căpăta o relevanță deosebită împreună cu diverse alte elemente referitoare la persoana vizată.

(c)    Identificarea temeiurilor specifice ale prelucrării datelor

Acest aspect poate și el ridica anumite dificultăți, în contextul specific al prelucrării categoriilor de date cu caracter special ale pacienților.

În concret, cerințele specifice ale Regulamentului au un impact semnificativ asupra operațiunilor de prelucrare, ținând cont și că, istoric, prelucrarea datelor pacienților s-a realizat, în cele mai multe situații, în baza unui consimțământ implicit al acestora, aspect care va trebui însă analizat cu multă atenție (și chiar reconsiderat) din prisma GDPR.

Temeiurile prelucrării categoriilor de date cu caracter special vor trebui identificate atât prin raportare la prevederile art. 6 GDPR cât și prin raportare la dispozițiile art. 9 GDPR, luând în considerare, între altele, și scopul prelucrării (aspect care înlesnește identificarea corectă a temeiului operațiunii de prelucrare).
De asemenea, în contextul identificării temeiurilor prelucrării, vor trebui avute în vedere și adresate separat cerințele specifice din legislația medicală și normele privind protecția datelor, fiecare având un obiect propriu de reglementare.

Cu titlu de exemplu, pot exista situații în care datele cu caracter personal sunt prelucrate în baza unor cerințe legale sau a unor interese legitime, fiind totodată necesare în contextul obligațiilor legate de medicina muncii; în același timp, însă, din perspectiva legislației medicale, serviciul medical (și, implicit, prelucrarea datelor) poate fi efectuat în baza unui consimțământ informat al pacientului (diferit, ca și conținut și scop, de consimțământul ca temei al prelucrării în baza GDPR).

(d)    Necesitatea unei evaluări a impactului asupra protecției datelor

Nu în ultimul rând, evaluarea impactului asupra protecției datelor (în limba engleză denumită DPIA – data protection impact assessment) reprezintă, de asemenea, un aspect sensibil care ar trebui analizat în contextul specific al activității desfășurate.

Această chestiune va trebui tratată pornind de la cerințele specifice ale Regulamentului (inclusiv prin raportare la considerentele relevante reținute în preambulul GDPR) și luând în considerare situațiile obligatorii definite la nivel național pentru realizarea unei astfel de evaluări a impactului (astfel cum au fost acestea detaliate în cuprinsul Deciziei ANSPDCP2 nr. 17/2018).

În particular, o relevanță deosebită o prezintă situațiile de prelucrare pe scară largă a datelor genetice și/sau de sănătate ale pacienților, ori situațiile de prelucrare pe scară largă a datelor angajaților (prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului), cazuri în care se impune efectuarea unei evaluări de impact, în mod corespunzător. În general, aspectul esențial în aceste situații îl reprezintă interpretarea și aplicarea conceptului de scară largă, chestiune care s-ar putea dovedi chiar mai problematică în cazul unui simplu cabinet medical, față de situația unei clinici private de sănătate.

Concluzii
Caracterul foarte variat al datelor cu caracter personal prelucrate în mod uzual de persoanele care activează în domeniul medical, reglementările specifice din această materie precum și contextul particular al relațiilor stabilite atât cu persoanele vizate cât și cu diversele persoane implicate în procesele de prelucrare a datelor trebuie analizate în detaliu, pentru a identifica și adresa, în mod corespunzător, implicațiile acestor operațiuni, din perspectiva cerințelor Regulamentului, raportat și la realitățile efective ale activității medicale.
Eventualele materiale pregătite la nivelul diverselor asociații profesionale, organe de reglementare și/sau alte organisme active în domeniul medical se pot dovedi extrem de utile pentru a defini, cel puțin la nivel principial, unele recomandări de urmat de către cei care activează în acest domeniu. Cu titlu orientativ, pot fi luate în considerare inclusiv materiale pregătite de autoritățile naționale din domeniul protecției datelor cu caracter personal ori diverse orientări pregătite chiar la nivelul asociațiilor/ organelor profesionale, din alte state membre UE, care pot oferi recomandări destul de utile în contextul necesității de conformare cu cerințele GDPR.


1.  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
2.  ANSPDCP înseamnă Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 704 / 14015
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
Ce proiecte i-au ținut ocupați pe avocații de Real Estate de la Biriș Goran, în ultimul an. Punctele vulnerabile ale tranzacțiilor din piața imobiliară, explicate de Gabriel Biriș, fondatorul firmei
LegiTeam: Zamfirescu Racoţi & Partners recrutează Paralegal
Transferurile de proprietate și închirierile, cea mai mare pondere în mandatele echipei de Real Estate de la Radu & Asociații, în ultimele luni. Lucian Vițelaru, Senior Managing Associate, explică la ce se uită investitorii și ce precauții își iau bancile care finanțează proiectele
Cei mai buni avocați de Banking & Finance, recomandați de Legal 500 în ediția 2019. Cu ce proiecte au punctat firmele evidențiate și avocații listați
The European Legal 500, ediția 2019 | Cele mai bune firme de avocatură din România, în 15 arii de practică. NNDKP, ŢZA, PeliFilip, CMS și PNSA s-au distanțat de pluton. Cine sunt avocații considerați ‘Leading individuals’ și ‘Next Generation’
Mihai Mareș, singurul avocat român din elita “Leading individuals” – Legal 500 EMEA 2019, remarcat pentru practica “white-collar crime” | Avocatul la care trebuie să te duci, în România, pentru infracțiuni legate de criminalitatea gulerelor albe
Nestor Nestor Diculescu Kingston Petersen anunță formalizarea Centrului de Excelență în Litigii Fiscale (NNDKP CELF)
Noerr își consolidează departamentul de taxe, prin cooptarea a doi membri noi
Practica de Banking & Finance din KPMG Legal a reprezentat aproximativ 50% din totalul veniturilor societății de avocatură. Laura Toncescu, Partener KPMG în România: În afară de tranzacții și finanțări, un factor de succes a fost orientarea noastra spre zona de FinTech
RTPR Allen & Overy a asistat Barclays Bank PLC în calitate de aranjor pentru Alpha Bank România în cadrul primului program de emisiuni de obligațiuni ipotecare din România. A fost o tranzacție extraordinar de complexă și solicitantă, spun avocații
Clifford Chance Badea a asistat Alpha Bank România la lansarea primului program de emisiune de obligațiuni ipotecare realizată de un emitent român. Ce avocați au făcut parte din echipă
Echipa de Real Estate a BSMP lucrează în cinci proiecte de achiziție a unor terenuri din București pe care se vor construi birouri și ansambluri rezidențiale. Daniela Milculescu, Partener: Suntem implicați și într-o serie de discuții privind potențiale tranzacții pe piața hotelieră
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...