Unele temeiuri juridice ale prelucrării datelor cu caracter personal privind sănătatea potrivit articolului 9 din Regulamentul general privind protecția datelor

O atare ipoteză este cea privind, de exemplu, concediile medicale pentru incapacitate temporară de muncă. Certificatul de concediu medical conține codul de diagnostic, adică codul bolii care a determinat incapacitatea temporară de muncă, precum şi forma clinică a bolii (acută, subacută sau cronică) care constituie în mod evident date ce dezvăluie informații despre starea de sănătate a angajatului. Certificatele se completează în 3 exemplare, din care două se înmânează pacientului sau, după caz, persoanei care îl reprezintă, care are obligaţia de a le depune la plătitor, în termenul stabilit de lege. Unul dintre acestea este depus lunar de către angajator la Casa de Asigurări de Sănătate în a cărei rază administrativ-teritorială îşi are sediul^[18]. Celălalt exemplar rămâne la angajator, ataşat la fişa angajatului, fiind vizat, după caz, de medicul de întreprindere, în cazul asiguraţilor salariaţi^[19].

Practic, ne aflăm în prezența unei prelucrări necesare în vederea îndeplinirii unei obligații legale^[20] ce revine operatorului, precum în cazul temeiului prevăzut de art. 6 alin. (1) lit. c) din GDPR, cu diferența că obligația prelucrării datelor medicale nu poate privi decât domeniul ocupării forței de muncă, al securității sociale sau al protecției sociale.

Această prelucrare de date privind sănătatea este autorizată de dreptul intern care însă trebuie să prevadă garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate iar, potrivit considerentului (156), respectivele garanții ar trebui să asigure faptul că au fost instituite măsuri tehnice și organizatorice adecvate de către operator pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu Regulamentului general privind protecţia datelor. Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile menționate includ şi punerea în aplicare de către operator a unor politici adecvate de protecție a datelor. Nu în ultimul rând, art. 25 din GDPR impune operatorului obligația de a asigura protecția datelor începând cu momentul conceperii și în mod implicit.

Unicele „măsuri” pe care le-am putut-o identifica în cadrul normativ actual privesc exclusiv confidențialitatea acestor datelor. De exemplu, plătitorul, adică angajatorul, are obligația de a respecta confidenţialitatea diagnosticului^[21], la fel şi medicii care au obligația de a respecta confidențialitatea datelor și informațiilor privitoare la certificatele de concediu medical eliberate asiguraților^[22]. Simpla menționare a unei asemenea obligații este o „garanție” precară şi insuficientă – prin raportare la datele sensibile care necesită un nivel mai ridicat de protecţie – întrucât nu priveşte instituirea efectivă de măsuri tehnice și organizatorice, adică de veritabile garanții adecvate.

3. Prelucrarea efectuată pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice

Potrivit art. 9 alin. (2) lit. c) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul”.

În același sens, considerentul (46) precizează că prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru viața unei alte persoane fizice. Același considerent subliniază în continuare faptul că „prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic”.

Subliniem că nu se poate recurge la temeiul juridic prevăzut de art. 9 alin. (2) lit. c) din GDPR pentru a prelucra date privind sănătatea atunci când persoana vizată, deşi este capabilă să-şi dea consimţământul, refuză să-l dea^[23].

Considerentul (46) menţionează şi câteva situaţii când prelucrarea poate servi intereselor vitale ale persoanei vizate, respectiv cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om.

Astfel, acest temei este deosebit de relevant în special pentru asistența medicală de urgență. De exemplu, în situaţia în care persoană vizată şi-a pierdut cunoştinţa după un accident şi nu îşi poate da consimţământul pentru aflarea alergiilor cunoscute. În contextul sistemelor de tip dosar electronic de sănătate, această prevedere permite accesul cadrelor medicale la informaţiile stocate pentru a extrage date despre alergiile cunoscute ale persoanei vizate, acestea putând fi decisive în alegerea unui anumit tratament^[24].

4. Prelucrarea datelor care sunt făcute publice în mod manifest de către persoana vizată

Potrivit art. 9 alin. (2) lit. e) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată”. Pierderea controlului asupra datelor lor cu caracter personal poate proveni nu doar din fapta unui terţ, ci intervine şi atunci când însăşi persoana vizată divulgă în mod vădit date privind starea sa de sănătate ridicând astfel vălul ce în mod normal protejează viaţa sa privată de privirile indiscrete.

În atare situaţie, art. 7 din Legea nr. 190/2018^[25] prevede că prelucrarea respectivelor datelor va putea fi efectuată în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare. În ceea ce ne priveşte, considerăm că datele nu ar putea fi în mod legitim prelucrate în alt scop decât cele enumerate în mod exhaustiv de legea menţionată.

5. Prelucrarea efectuată de un profesionist supus obligației de păstrare a secretului profesional în contextul serviciilor de asistenţă medicală

Potrivit art. 9 alin. (2) lit. h) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate (s.n.) (…), în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat^[26] cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3)”.

În esenţă, această dispoziţie permite prelucrarea datele privind sănătatea pacienţilor în contextul furnizării serviciilor de asistenţă medicală, atât în situaţia în care respectiva prelucrare este prevăzută de lege, cât şi atunci când acordarea serviciilor medicale are loc pe cale contractuală. Prelucrarea nu poate fi realizată însă decât de un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia ori de o altă persoană supusă, de asemenea, unei obligații de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naționale competente.

Precizăm că relaţia contractuală nu poate constitui temei juridic al prelucrării datelor privind sănătatea când prelucrarea nu este într-adevăr necesară pentru executarea contractului, ci este mai degrabă impusă în mod unilateral de către operator persoanei vizate (de exemplu, filmarea unei proceduri medicale). Practic, aici ne aflăm în prezenţa unei aplicaţii a principiului reducerii la minimum a datelor prevăzut de art. 5 alin. (1) lit. c) din GDPR, potrivit căruia datele cu caracter personal trebuie să fie „adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (executarea contractului – n.n.)”. De aceea, între prelucrarea datelor și scopul executării contractului trebuie să existe o legătură directă și obiectivă^[27]. Pe de altă parte, dacă operatorul va dori să legitimeze prelucrarea datelor medicale excedentare atunci va trebui să recurgă la un alt temei juridic, precum consimţământul, pentru acea parte din prelucrare^[28].

6. Prelucrarea efectuată din motive de interes public în domeniul sănătății publice

Potrivit art. 9 alin. (2) lit. i) din GDPR prelucrarea datelor privind sănătatea este permisă atunci când „prelucrarea este necesară din motive de interes public (s.n.) în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional”.

Lăsând la o parte ipoteza amenințărilor transfrontaliere, acest text permite prelucrarea datelor privind sănătatea din motive de interes public pentru asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale. Considerentul (55) prevede că prelucrarea datelor cu caracter personal de către autoritățile publice în vederea realizării obiectivelor prevăzute de dreptul constituțional, precum măsurile luate în considerarea asigurării sănătăţii publice^[29], se efectuează din motive de interes public.

Un exemplu este cel privind realizarea şi implementarea dosarului electronic de sănătate, serviciu declarat ca fiind de utilitate publică de interes naţional^[30], utilizarea acestuia având drept scop prioritar creșterea calității și eficienței actului medical prin accesul imediat la date și informații medicale, precum și furnizarea de date și informații statistice necesare politicilor de sănătate^[31].

Constatăm că, deși în acest caz prelucrarea datelor privind sănătatea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public, art. 6 din Legea nr. 190/2018 nu menționează art. 9 alin. (2) lit. i) din GDPR – ci numai art. 9 alin. (2) lit. g) din GDPR privind prelucrarea datelor sensibile care este necesară din motive de interes public major și art. 6 alin. (1) lit. e) din GDPR privind prelucrarea altor date decât cele sensibile şi care este necesară pentru îndeplinirea unei sarcini care servește unui interes public – atunci când precizează garanțiile ce trebuie să însoțească o asemenea prelucrare, ca și cum prelucrarea în temeiul art. 9 alin. (2) lit. i) din GDPR nu ar necesita acele garanții.

În ceea ce ne privește nu găsim vreo diferență calitativă semnificativă între măsurile „corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate” impuse de recurgerea la art. 9 alin. (2) lit. g) din GDPR (prelucrarea din motive de interes public major) și măsurile „adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional” impuse de recurgerea la art. 9 alin. (2) lit. g) din GDPR (prelucrarea din motive de interes public în domeniul sănătății publice) astfel că de lege ferenda este necesară completarea art. 6 din Legea nr. 190/2018 în sensul includerii art. 9 alin. (2) lit. i) din GDPR în domeniul de aplicare al acestui text legislativ.

În încheiere nu putem decât a constata că – în cel mai des întâlnite situaţii practice – prelucrarea datelor privind starea de sănătate a persoanelor vizate se va realiza fără consimţământul acestora, cel puţin în contextul prestării serviciilor de asistență medicală. Oricare va fi însă temeiul juridic al prelucrării, operatorii vor trebui să poată proba pertinenţa respectivei alegeri ca parte a obligaţiei lor de a demonstra conformitatea preluării cu dispoziţiile Regulamentul (UE) 2016/679.