GDPR și serviciile medicale: 5 probleme care ar trebui să dea de gândit

Concluziile de la ultiml training pe care l-am ținut în cadrul Wolters Kluwer România ne-au arătat că implementarea regulilor GDPR în serviciile medicale se confruntă cu numeroase obstacole practice. Chiar dacă GDPR ar trebui, de principiu, să fie neutru față de industriile în care se aplică, există probleme juridice și operaționale specifice sectorului sănătății. Acestea sunt doar câteva dintre punctele nevralgice care trebuie să fie tratate pentru a implementa corect obligațiile de protecție a datelor:

1. Confuzia dintre consimțământul pentru intervenții medicale și consimțământul pentru prelucrarea datelor personale

Încă se practică în anumite unități medicale fie condiționarea serviciilor de consimțământul pentru prelucrarea datelor personale, fie solicitarea unui singur acord pentru două scopuri (servicii medicale, respectiv prelucrarea datelor personale).

O parte din problemă este popularizarea ideii complet greșite că, din prisma GDPR, „consimțământul ne acoperă” și că acesta ar fi  întotdeauna cel mai bun temei pentru prelucrarea datelor. Dimpotrivă, conform art. 7 din GDPR, persoana vizată își poate retrage oricând consimțământul, ceea ce va lăsa prelucrarea fără niciun temei legal și va duce la oprirea acesteia. Or, unitățile medicale nu vor putea opri sau refuza serviciile de sănătate pe motiv că nu pot obține consimțământul pentru prelucrarea datelor personale.

O altă componentă a problemei este echivalarea, fără nicio justificare, între consimțământul pacientului si dreptul pacientului de a decide cu privire la serviciile medicale, reglementate în Legea 46/2003 privind drepturile pacientului și consimțământul pentru prelucrarea datelor personale reglementat de GDPR.

2. Informarea despre prelucrarea datelor personale

Pacienții trebuie să fie informați despre serviciile medicale (confom Legii 46/2003) dar și despre prelucrarea datelor lor personale (conform GDPR, art. 13 și 14). Acestea sunt două obligații distincte, iar datele personale prelucrate, de exemplu, de un spital, exced sferei datelor de sănătate. De pildă, spitalul are informații despre programări, înregistrări CCTV, carduri pentru gestionarea abonamentelor etc. Obligația de informare conform GDPR le acoperă și pe acestea din urmă.  Mai mult, obligația de informare există și față de personalul unității medicale, nu doar față de pacienți.

3. Proceduri interne pentru gestionarea cererilor de la persoanele vizate

O mare parte dintre măsurile recente aplicate de autoritatea de protecție a datelor din România (ANSPDCP) au fost cauzate de ignorarea cererilor de la persoanele vizate (persoanele ale căror date sunt prelucrate). Conform GDPR, persoanele vizate au o serie de drepturi specifice, care sunt exercitate prin cereri către entitățile care le prelucrează datele (de exemplu, de acces la date, de rectificare, de ștergere ș.a.). În lipsa unor proceduri de gestionare a unor astfel de solicitări, personalul unității medicale fie nu știe să le recunoască ca atare, fie nu le consideră suficient de importante pentru a fi soluționate la timp (maxim 1 lună, care poate fi prelungită în condiții excepționale).

4. Inventarierea categoriilor de date prelucrare și a activităților de prelucrare

Simplul gând de a începe completarea unui Registru al activităților de prelucrare a datelor personale – ROPA (cf. art. 30 GDPR) poate fi descurajant pentru managementul unei unități medicale de mari dimensiuni. Însă, pe lângă faptul că este o obligație expres prevăzută de GDPR, întocmirea ROPA este un instrument foarte util pentru a înțelege și controla procesele de prelucrare a datelor și documentele care le conțin.

5. Identificarea vulnerabilităților și abordarea riscurilor

Odată cu familiarizarea proceselor interne de prelucrare a datelor personale (cu ajutorul ROPA), vor fi identificate puncte critice, cum ar fi:

  • situații în care nu este clar stabilit temeiul legal pentru prelucrarea datelor personale
  • prelucrări cu potențial risc ridicat unde este necesară efectuarea unei evaluări de impact (DPIA)
  • prelucrări de date făcute cu ajutorul unor furnizori cu care nu s-au încheiat acorduri de prelucrare a datelor personale sau furnizori care nu prezintă garanții pentru protecția datelor pacienților
  • persoane care nu ar trebui să aibă acces la anumite date
  • transferuri de date în afara Uniunii Europene care nu sunt însoțite de garanții juridice adecvate
  • ș.a.

Soluția pentru problemele de mai sus (și nu numai) este ca unitatea medicală să aplice pentru sine același nivel de rigurozitate pe care îl aplică pentru tratarea pacienților, pornind de la analizarea cât mai obiectivă a situației actuale și continuând cu diagnosticarea corectă a vulnerabilităților și începerea demersurilor de remediere.