ZRP
Tuca Zbarcea & Asociatii

Impactul GDPR în serviciile de sănătate

02 Decembrie 2018   |   Vlad Irimia, Senior Associate Voicu & Filipescu

Caracterul foarte variat al datelor cu caracter personal prelucrate în mod uzual de persoanele care activează în domeniul medical, reglementările specifice din această materie precum și contextul particular al relațiilor stabilite atât cu persoanele vizate, cât și cu diversele persoane implicate în procesele de prelucrare a datelor trebuie analizate în detaliu, pentru a identifica și adresa, în mod corespunzător, implicațiile acestor operațiuni, din perspectiva cerințelor Regulamentului, raportat și la realitățile efective ale activității medicale.

Vlad Irimia, Senior Associate Voicu & Filipescu

 
 
Odată acceptată ideea că Regulamentul 2016/679 privind protecția datelor1 (denumit în cele ce urmează „Regulamentul” sau „GDPR”) este pe deplin aplicabil nu doar diverselor entități juridice (inclusiv în cazul companiilor mici, cu un nivel destul de redus al activității), ci și în cazul persoanelor fizice care prelucrează date cu caracter personal, în cursul activității acestora, se poate pune problema implicațiilor specifice ale Regulamentului asupra activității desfășurată în domeniul medical.

În acest context, alinierea la cerințele GDPR impune o analiză detaliată a particularităților domeniului medical, luând în considerare, în mod special, prevederile legale aplicabile în această materie (inclusiv legislația specifică ce reglementează profesia de medic), pentru a răspunde, astfel, scopurilor adoptării Regulamentului.


Aspecte specifice

În afară de necesitățile generale de conformare cu prevederile GDPR – aspecte care nu sunt, însă, deloc de neglijat, luând în considerare diversele chestiuni relevante în contextul unei analize (cum ar fi: nivelul de activitate, fluxurile specifice de informații, tipul și nivelul relațiilor cu alte persoane, apartenența la un grup de societăți ori operațiunile complexe cu un impact asupra datelor cu caracter personal prelucrate) –, specificul domeniului medical poate aduce implicații suplimentare care trebuie adresate din perspectiva protecției datelor, în contextul particular al desfășurării unei activități reglementate și în care o parte semnificativă a informațiilor o reprezintă categoriile speciale de date cu caracter personal, în sensul GDPR.

La o primă vedere, s-ar putea aprecia că, la nivelul unui cabinet medical, cerințele Regulamentului pot fi mai ușor de implementat și observat, pe parcursul aplicării acestora; un principal argument ar putea fi acela că activitatea curentă din cadrul unui simplu cabinet medical presupune un flux și un nivel de informații mai puțin complicat, putând fi în mod lesne identificate principalele aspecte care trebuie aliniate cu cerințele GDPR.

În funcție însă de modalitatea specifică de organizare a cabinetului, în acord cu prevederile legale, și luând în considerare și relațiile stabilite de cabinetul medical cu diverșii săi parteneri – relații care vizează inclusiv furnizorii de servicii specifice (spre exemplu: furnizorii de servicii IT, furnizorii de servicii de contabilitate/ salarizare), precum și colaborările stabilite cu alte cabinete ori societăți/ clinici care activează în domeniul medical – pot apărea o serie de aspecte destul de complexe care pot îngreuna conformarea cu prevederile Regulamentului.

Potențiale aspecte de dificultate


Între altele, următoarele chestiuni specifice ar putea implica anumite dificultăți de analiză:

(a)    Identificarea relațiilor cu partenerii

În afară de identificarea corectă a tuturor datelor cu caracter personal prelucrate, implementarea măsurilor cu caracter minimal privind protecția acestora, pregătirea și furnizarea, către persoanele vizate, a informațiilor necesare conform GDPR, ori asigurarea condițiilor pentru ca acestea să își poată exercita drepturile specifice, în practică, se poate dovedi destul de dificilă și analiza relațiilor stabilite cu diverși contractori, din prisma Regulamentului.

Întrucât identificarea unei relații de tip operator – operator, operator – persoană împuternicită de operator sau operatori asociați poate impune o serie de obligații specifice (conform Regulamentului), atât circumstanțele contractuale agreate cât și realitatea relațiilor dintre părți va fi definitorie pentru a putea stabili pașii specifici de urmat pentru asigurarea protecției datelor cu caracter personal.

În aceste condiții, orientările specifice adoptate de fostul Articol 29 Grupul de Lucru pentru  protecția datelor privind conceptele de operator și persoană împuternicită de operator se pot dovedi extrem de utile în aprecierile ce urmează a fi făcute în acest sens, de la caz la caz.

În plus, acolo unde există, ar trebui luate în considerare și diversele instrucțiuni, orientări sau alte asemenea opinii având rol orientativ, adoptate de asociații profesionale, organe de reglementare specifice profesiei și/sau alte organisme active în domeniul sănătății, pentru mai multă claritate.

(b)    Identificarea obligațiilor specifice în funcție de circumstanțele prelucrării

O altă posibilă chestiune care ar trebui adresată în mod corespunzator derivă din nivelul specific al datelor prelucrate în domeniul medical.

În mod particular, principiul minimizării datelor, prevăzut de GDPR, trebuie circumstanțiat în contextul desfășurării activității medicale, întrucât anumite date care, la prima vedere, ar putea fi considerate excesive, pot căpăta o relevanță deosebită, prelucrarea lor fiind necesară în scopul efectuării consultațiilor medicale și prescrierii recomandărilor/ tratamentrelor specifice (cum ar fi: informații referitoare la obiceiuri alimentare ori legate de muncă sau alte aspecte personale).

Așadar, cadrul prelucrării unor informații ar trebui analizat în detaliu, de la caz la caz, luând în considerare atât contextul mai larg al serviciului medical prestat persoanei vizate, cât și necesitatea prelucrării unor anumite categorii de date ce pot căpăta o relevanță deosebită împreună cu diverse alte elemente referitoare la persoana vizată.

(c)    Identificarea temeiurilor specifice ale prelucrării datelor

Acest aspect poate și el ridica anumite dificultăți, în contextul specific al prelucrării categoriilor de date cu caracter special ale pacienților.

În concret, cerințele specifice ale Regulamentului au un impact semnificativ asupra operațiunilor de prelucrare, ținând cont și că, istoric, prelucrarea datelor pacienților s-a realizat, în cele mai multe situații, în baza unui consimțământ implicit al acestora, aspect care va trebui însă analizat cu multă atenție (și chiar reconsiderat) din prisma GDPR.

Temeiurile prelucrării categoriilor de date cu caracter special vor trebui identificate atât prin raportare la prevederile art. 6 GDPR cât și prin raportare la dispozițiile art. 9 GDPR, luând în considerare, între altele, și scopul prelucrării (aspect care înlesnește identificarea corectă a temeiului operațiunii de prelucrare).
De asemenea, în contextul identificării temeiurilor prelucrării, vor trebui avute în vedere și adresate separat cerințele specifice din legislația medicală și normele privind protecția datelor, fiecare având un obiect propriu de reglementare.

Cu titlu de exemplu, pot exista situații în care datele cu caracter personal sunt prelucrate în baza unor cerințe legale sau a unor interese legitime, fiind totodată necesare în contextul obligațiilor legate de medicina muncii; în același timp, însă, din perspectiva legislației medicale, serviciul medical (și, implicit, prelucrarea datelor) poate fi efectuat în baza unui consimțământ informat al pacientului (diferit, ca și conținut și scop, de consimțământul ca temei al prelucrării în baza GDPR).

(d)    Necesitatea unei evaluări a impactului asupra protecției datelor

Nu în ultimul rând, evaluarea impactului asupra protecției datelor (în limba engleză denumită DPIA – data protection impact assessment) reprezintă, de asemenea, un aspect sensibil care ar trebui analizat în contextul specific al activității desfășurate.

Această chestiune va trebui tratată pornind de la cerințele specifice ale Regulamentului (inclusiv prin raportare la considerentele relevante reținute în preambulul GDPR) și luând în considerare situațiile obligatorii definite la nivel național pentru realizarea unei astfel de evaluări a impactului (astfel cum au fost acestea detaliate în cuprinsul Deciziei ANSPDCP2 nr. 17/2018).

În particular, o relevanță deosebită o prezintă situațiile de prelucrare pe scară largă a datelor genetice și/sau de sănătate ale pacienților, ori situațiile de prelucrare pe scară largă a datelor angajaților (prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului), cazuri în care se impune efectuarea unei evaluări de impact, în mod corespunzător. În general, aspectul esențial în aceste situații îl reprezintă interpretarea și aplicarea conceptului de scară largă, chestiune care s-ar putea dovedi chiar mai problematică în cazul unui simplu cabinet medical, față de situația unei clinici private de sănătate.

Concluzii
Caracterul foarte variat al datelor cu caracter personal prelucrate în mod uzual de persoanele care activează în domeniul medical, reglementările specifice din această materie precum și contextul particular al relațiilor stabilite atât cu persoanele vizate cât și cu diversele persoane implicate în procesele de prelucrare a datelor trebuie analizate în detaliu, pentru a identifica și adresa, în mod corespunzător, implicațiile acestor operațiuni, din perspectiva cerințelor Regulamentului, raportat și la realitățile efective ale activității medicale.
Eventualele materiale pregătite la nivelul diverselor asociații profesionale, organe de reglementare și/sau alte organisme active în domeniul medical se pot dovedi extrem de utile pentru a defini, cel puțin la nivel principial, unele recomandări de urmat de către cei care activează în acest domeniu. Cu titlu orientativ, pot fi luate în considerare inclusiv materiale pregătite de autoritățile naționale din domeniul protecției datelor cu caracter personal ori diverse orientări pregătite chiar la nivelul asociațiilor/ organelor profesionale, din alte state membre UE, care pot oferi recomandări destul de utile în contextul necesității de conformare cu cerințele GDPR.


1.  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
2.  ANSPDCP înseamnă Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 418 / 13729
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
LegiTeam: ZRP recrutează avocat stagiar pentru departamentul Litigii
LegiTeam: Reff & Associates is looking for Litigation Manager
LegiTeam: Reff & Associates is looking for Senior Litigation Lawyer
Mihai Selegean, Head of Legal la BRD-GSG, printre cei mai buni profesioniști europeni nominalizați de Lexology. Pe lista scurtă pentru European Counsel Awards 2019 mai este un român
Gabriel Zbârcea, Managing Partner Ţuca Zbârcea & Asociaţii: În România, o firmă de avocați poate ajunge la afaceri de 20 mil. € anual. În anii următori se va consolida tendința de divizare a pieței
KPMG Legal cooptează doi avocați de talie grea. Vlad Peligrad și Cătălin Oroviceanu se alătură echipei ca parteneri coordonatori
Cum văd partenerii Noerr evoluția firmei în perioada următoare. Prof. dr. Jörg K Menzer, Head CEE Offices, Noerr: În 2019 vom mări și echipele, dar și baza de clienți. În ciuda ultimelor schimbări juridice din Ungaria, România și Polonia – pe alocuri foarte controversate – am remarcat că există în continuare interes pentru fuziuni, achiziții și investiții noi în regiune
KPMG Legal – Toncescu Mihai Olteanu SPRL a câștigat definitiv anularea taxelor vamale, antidumping și TVA impuse de autoritățile vamale la importurile produselor din afara spațiului UE pentru unul dintre cei mai importanți producători de piese pentru industria automotive
Cei mai buni avocați de fuziuni și achiziții din România. Clasamentul Chambers Global 2019
La un an de la înființarea departamentului de drept penal, CLO își mărește echipa de „white collar crime”. Departamentul numără, la început de an, 6 avocați specializați
Chambers Global 2019: Șapte firme locale domină ariile de practică analizate în România
Cei mai buni avocaţi în domeniul mărcilor, remarcați de WTR 1000, ediția 2019. NNDKP, lider pe segmentele analizate, poziții fruntașe pentru Mușat, TZA și ZRP
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...