Noile reglementări ale protecţiei datelor personale în sistemul medical

Universitatea de Medicină și Farmacie (UMF) din Târgu Mureș și Universitatea „Petru Maior” (UPM) din Târgu Mureș, în parteneriat cu Asociaţia română de drept şi afaceri europene (ARDAE) şi alte instituții, au organizat joi, 22 martie, în Amfiteatrul Facultății de Farmacie din cadrul UMF Tîrgu Mureș, conferința internaţională „Protecția datelor cu caracter personal în domeniul medical”. Limitele respectării confidenţialităţii datelor personale dintr-un dosar medical, a drepturilor la viaţa privată, precum şi ocrotirea demnităţii umane au fost câteva dintre principalele subiecte abordate în cadrul discuţiilor. Perfecţionarea profesională a personalului medical şi managerial, creşterea calităţii serviciilor medicale şi farmaceutice intră în sfera dezideratelor ce nu suportă amânare, având în vedere că din 25 mai 2018, se va aplica Regulamentul General privind Protecţia Datelor (RGPD) 2016/679.

De asemenea, a avut loc lansarea cărţii “Legislaţia Uniunii Europene privind protecţia datelor personale”, editată de către prof. dr. Daniel-Mihail Şandru şi dr. Irina Alexe, volum recomandabil în special pentru practicieni. “Internetul a răsturnat structurile de piaţă tradiţionale, furnizând o infrastructură comună la nivel global pentru o gamă largă de servicii de comunicare electronică. Acestea deschid noi posibilităţi pentru utilizatori, dar reprezintă şi noi riscuri pentru datele lor personale şi pentru confidenţialitatea comunicaţiilor lor. Volumul de faţă vine în ajutorul tuturor celor care vor să-şi ia măsuri de securitate privind viaţa privată”, Daniel-Mihail Şandru descrie succint conţinutul cărţii.

“S-au schimbat termenii tehnici, dar şi cei sociali, prietenia se defineşte altfel acum, în funcţie de câţi prieteni ai pe facebook, punctele de vedere şi opiniile le exprimăm prin like-uri şi dislike-uri…”

Primul care a luat cuvântul a fost rectorul Universităţii de Medicină şi Farmacie, prof. dr. Leonard Azamfirei, care ne-a vorbit despre influenţa canalelor de socializare în viaţa cotidiană, ce atribuţii noi vom avea începând cu acest an şi ce impact are expunerea datelor personale în spaţiul public asupra fiecăruia dintre noi: “Bine aţi venit la un eveniment care este diferit de majoritatea cu care v-aţi obişnuit, consider această întâlnire a noastră ca fiind necesară. Curând, se va aplica şi în România o legislaţie care este destul de severă şi bine formulată, dar care impune fiecărei instituţii publice o abordare diferită de cea pe care o avea până acum legată de protecţia datelor. Aceasta devine aplicabilă din 25 mai 2018 şi cred că fiecare dintre noi avem atribuţii administrative şi obligaţii pe care trebuie să ni le asumăm şi să le punem în practică. Cred că trăim într-o lume care este schimbată în întregime, în care s-au redefinit termeni cărora le dădeam o componenţă mult mai terestră şi mai bine definită fizic până de curând; acum, nu mai există graniţe, suntem într-o lume cu interese diferite decât ni se pare la prima vedere. S-au schimbat termenii tehnici, dar şi cei sociali, prietenia se defineşte altfel acum, în funcţie de câţi prieteni ai pe facebook, punctele de vedere şi opiniile ni le exprimăm prin like-uri şi dislike-uri, se schimbă destine, ţări, regimuri, folosind această manipulare a datelor. Cel mai percutant argument este recentul scandal legat de Cambridge Analytica şi utilizarea subversivă a datelor personale a peste 50 de miloane de oameni. Ce importanţă are dacă un CNP sau o altă dată personală apare în spaţiul public? Multiplicaţi aceste informaţii şi daţi-le pe mâna unor oameni care ştiu ce să facă cu ele şi veţi vedea, cu siguranţă, pe termen scurt, că impactul poate să fie unul de-a dreptul dramatic. Ce poate să fie Brexsit-ul dacă nu rodul folosirii informaţiilor într-un fel sau altul?”, a punctat rectorul UMF Târgu Mureş, care apoi şi-a exprimat speranţa ca la sfârşitul dezbaterilor să plecăm mai bine informaţi şi să conştientizăm că avem răspunderi care nu trebuie neglijate.

Rectorul Universităţii “Petru Maior”, prof. dr. Călin Enăchescu, ne-a adresat câteva propoziţii de introducere în tematica protecţiei datelor cu caracter personal în domeniul medical şi i-a invitat pe cei interesaţi să urmeze un curs postuniversitar de protecţie a datelor, acreditat în cadrul Universităţii “Petru Maior”: “Reuniunea forţelor într-o sinergie are în vedere mai multe domenii, iar acesta, legat de protecţia datelor cu caracter personal, deşi pare că nu s-ar încadra în linia Universităţii de Medicină şi Farmacie, dar dacă are caracter medical, categoric că această trăsătură trebuie luată în considerare, mai ales după luna mai. Universitatea “Petru Maior” a acordat o atenţie deosebită acestui subiect, asigurând crearea unui centru de cercetare în acest domeniu, Centrul pentru Protecţia Datelor Personale, în cadrul Departamentului de Drept şi Administraţie Publică a Facultăţii de Ştiinţe Economice, Juridice şi Administrative, lucru care s-a materializat într-o serie de conferinţe şi publicaţii. Acreditarea unui curs postuniversitar care are acest subiect al protecţiei datelor personale va începe la începutul lunii aprilie, astfel că cei interesaţi pot obţine competenţele necesare”.

Noul RGPD va avea un puternic impact asupra întregului mediu medical din România, ne-a anunţat şi conf. dr. Daniela Ştefănescu, decanul Facultăţii de Ştiinţe Economice, Juridice şi Administrative din cadrul UPM Târgu Mureş: “Centrul de cercetare pentru Protecţia Datelor Personale, cel care a iniţiat aceste manifestări, are o echipă diamică ce identifică necesităţile de a organiza astfel de manifestări, avem o agendă amplă în acest an. Această conferinţă răspunde nevoii de formare şi de informare a celor care manipulează date cu caracter personal, având în vedere că numărătoarea inversă până la data intrării în vigoare a reglementărilor UE, 25 mai 2018, se apropie de final. Dezbaterile ce vor avea loc astăzi vor fi benefice societăţii, în special clasei medicale a ţării”.

Doctorul Andrei Marius Ştefan, din partea Autorităţii Naţionale pentru Managemental Calităţii în Sănătate, ne-a înştiinţat despre cât de sensibil e subiectul prelucrării datelor din evaluarea spitalelor şi în viitor, a ambulatoriilor.

Pentru Andra Bucur, consilierul preşedintelui Comisiei Tehnologiei Informaţiei şi Comunicaţiilor din cadrul Camerei Deputaţilor, Parlamentul României, tema abordată este de mare interes. Aceasta precizează că dreptul la protecţia datelor nu este unul absolut, de exemplu, informaţiile referitoare la pacienţi nu pot fi şterse întotdeauna la cererea acestora.

“Ce sunt datele personale în domeniul medical?

Acele categorii speciale de date, având legătură cu starea de sănătate a persoanei vizate care dezvăluie informaţii despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate, informaţii despre persoana fizică adunate în cadrul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale, informaţii rezultate din date genetice şi eşantioane de material biologic; precum şi orice informaţii privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

Când se pot prelucra acestea, în temeiul legal?

Prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială. De asemenea, este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi proctecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale”, explică Andra Bucur.

Dr. Irina Alexe, cercetător științific asociat la Institutul de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române şi moderatoarea conferinţei, a prezentat primul panel, legat de punerea în aplicare a RGPD 2016/679: “Acest regulament se referă la protejarea tuturor cetăţenilor Uniunii Europene, indiferent de locul în care este situat operatorul însărcinat cu protecţia datelor personale. Fiind persoane fizice, trebuie să ne cunoaştem drepturile, iar operatorii au obligaţii pentru respectarea acestor drepturi. RGPD protejează totodată, şi libera circulaţie a datelor despre persoanele fizice, dar se referă şi la prevenirea şi combaterea terorismului”.

Datele personale în domeniul medical au o valoare ridicată, există foarte multe atacuri cibernetice care vizează aceste informaţii. În perioada 2007-2011, au existat peste 3 milioane de persoane afectate în SUA de preluarea datelor şi utilizarea lor în scopuri de furt de identitate. Între 2014-2016, 43% dintre incidentele privind încălcarea securităţii datelor din UK au privit organizaţii în domeniul sănătăţii. În mai 2016 a mai fost un incident de acest fel, şi anume comunicarea electronică a datelor între Agenţia Naţională de Sănătate din UK şi medicii curanţi, a fost interceptată şi s-a realizat o pierdere a pachetelor de date semnificantă. Măsurile de securitate tehnice sunt foarte importante, de aceea e nevoie de personal instruit în acest domeniu.

Sistemul medical reprezintă un sector cu risc ridicat, e nevoie garanţii tehnice suplimentare pentru protecţia datelor.

Ce trebuie să ştie pacienţii despre GDPR?

Ana Dulău, consilierul juridic al Colegiului Medicilor din judeţul Alba, vorbeşte despre ceea ce este mai vânat decât cărţile de credit, dosarul electronic de sănătate: “Dacă aţi fost la medic din anul 2014 încoace, aveţi acest dosar electronic de sănătate activ. E un fel de fişă medicală virtuală, doar că acolo se găsesc informaţii de la toţi medicii la care a fost pacientul, în teorie. Se trec toate datele medicale care există din anul 2010, apoi acest dosar e alimentat pe măsura transmiterii documentelor medicale. Pacientul are acces la datele personale în orice moment, dar medicul poate vedea doar o parte din conţinut, mai exact ceea ce a introdus el. Dacă pacientul îşi dă acordul, se pot vizualiza toate informaţiile. Beneficiile ar fi imense pentru pacienţi dacă dosarul electronic de sănătate ar fi folosit întocmai pentru scopul creat. Medicii pot avea o viziune de ansamblu asupra patologiei pacientului şi pot pune cu uşurinţă un diagnostic corect şi mai rapid decât în alte condiţii. Pe baza acestuia, pot fi îmbunătăţite politicile de sănătate”, precizează consilierul juridic.

La finele simpozionului, conf. univ. dr. Nicolae Ploeşteanu a punctat esenţa conferinţei, conştientizându-ne că trebuie să fim precauţi şi să nu ne oferim datele personale oricând şi oricui: “Cred că e o chestiune de viziune şi de parametri la care trebuie să ne gândim, dincolo de foarte multe lucruri tehnice pe care le vom găsi pe soft-uri, este foarte important să pricepem viziunea: Acel telefon pe care i l-am cerut în mod expres domnului doctor doar pentru a-i vedea reacţia, îi aparţine. Identitatea nu este CNP-ul pe care ni-l atribuie statul, ci proprietatea noastră, găsită uneori într-o fiolă de sânge. Nu vorbim despre cifre şi înscrisuri pe care le găsim pe o foaie de observaţie. Prima mea lucrare de acum 22 de ani era despre dreptul la viaţă privată şi forţele de poliţie, mă întreb de ce ne găsim azi la fel? Avem viaţă privată şi identitate de atât de multă vreme, dar maniera prin care datele cu caracter personal au fost tratate de-a lungul timpului, a fost cel puţin discutabilă. A fost complet neconştientizată de către noi. Vedeţi, şi domnul doctor a vrut iniţial să-mi dea mobilul personal, după care a înţeles despre ce e vorba. Ce să mai spun despre atunci când mergem peste tot şi ne dăm datele, nu ştim pe unde circulă aceste bucăţele din corpul nostru, la cine au ajuns şi cum se foloseşte de ele. Foarte mulţi oameni afirmă: din nou birocraţie, ne-au mai dat încă ceva de făcut. Nu e aşa. Lucrurile pot fi simplificate, nu amplificate. Ne putem îndrepta spre birocraţie sau, dimpotrivă, spre simplificare. Acest fapt depinde de fiecare dintre noi”.

Dezvoltarea tehnologiei informaţiei permite libera circulaţie a tipurilor de date, atât a celor publice, cât şi a celor de ordin privat, astfel că statul a devenit responsabil de asigurarea securităţii, ordinii şi sănătăţii publice, dar şi a protejării vieţii private. Datele personale sunt cele mai “vânate” de hackerii din toată lumea, tocmai de aceea e imperios necesar a fi reglementată o protecţie cât mai detaliată a acestora.

E foarte important să ştim că actele necesare pentru internare sunt, de exemplu, cardul de sănătate, biletul de adeverinţă de salariat, numărul de telefon, dar nu şi codul PIN al cardului de sănătate trecut pe biletul de trimitere! Acela e personal şi nu trebuie dat “din mână în mână” prin spital sau alte instituţii publice. Astfel de practici incorecte, ilegale, neconforme cu scopul prelucrării datelor respective, ar trebui să nu le mai întâlnim.

A consemnat Denisa MORAR