Este obligatoriu a desemna un DPO în unități farmaceutice? – punct de vedere juridic

GDPR

Vizualizari: 25541

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Articol publicat sub egida Colegiului Farmaciștilor din România –Filiala Cluj

Autor: Av. Oana Murariu

 

Începând cu data de 25 mai 2018 Regulamentul (UE) 2016/679[i] privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor sau RGPD) va intra în vigoare și va fi direct aplicabil. Semnificația acestei aplicabilități directe este că prevederile sale nu mai trebuie transpuse în legislația națională (nu e necesar a se emite o lege care să preia normele juridice), precum în cazul unei directive, ci va acționa întocmai precum o lege emisă de Parlamentul României. Nu înseamnă că nu se poate emite o lege care să detalieze/particularizeze anumite proceduri sau cerințe, menționate generic în RGPD, însă această lege doar completează prevederile regulamentului și nu poate să contravină normelor acestuia, conform art. 148 alin. (2) din Constituția României, cu excepția situației în care legea internă conține dispoziții mai favorabile în ceea ce privește drepturile create, conform prevederilor art. 20 alin. (2) din Constituție.

Una dintre noutățile aduse de acest regulament este desemnarea responsabilului cu protecția datelor (data protection officer sau DPO) de către operatorul de date cu caracter personal. Desemnarea acestui DPO nu este obligatorie în toate cazurile, însă și atunci când desemnarea unui DPO nu este obligatorie, aceasta poate fi oportună. Prin acest articol ne-am propus să analizăm dacă desemnarea unui DPO este obligatorie în unități farmaceutice și, indiferent de răspuns, dacă există anumite particularități în ceea ce privește DPO-ul desemnat obligatoriu sau facultativ în farmacii.

Conform dispozițiilor art. 4 pct. 7 din RGPD operatorul (cel care are obligația/poate desemna un DPO) este persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal (teza I). Atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern (teza a II-a). Unitățile farmaceutice au calitatea de operator de date cu caracter personal deoarece, chiar dacă nu stabilesc ele însele, în calitate de persoane juridice, scopul pentru care se prelucrează datele (pentru a ne încadra în situația descrisă de teza I a art. 4 pct. 7 din RGPD), prin Legea nr. 266/2008 a farmaciei[ii] și multiple acte normative secundare sau terțiare emise de Guvern, de Ministrul Sănătății, de președintele CNAS etc. s-a stabilit imperativ că prelucrarea datelor cu caracter personal[iii] este o operațiune sine qua non a activității unei unități farmaceutice de eliberare a medicamentelor, a prestării serviciului farmaceutic de consiliere etc. (încadrându-ne în situația descrisă de teza a II-a a art. 4 pct. 7 din RGPD).

O particularitate a unităților farmaceutice în calitate de operatori de date cu caracter personal este că prin esența lor, acestea prelucrează date medicale, date privind sănătatea – care sunt considerate date sensibile (date cu un nivel mult mai sporit de protecție din pricina faptului că dezvăluirea lor poate afecta semnificativ dreptul la viața privată, conform pct. 52 și 53 din preambulul RGPD). Datele cu caracter personal sunt definite generic de prevederile art. 4 pct. 1 din RGPD drept „orice informaţii privind o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”. Primul aspect relevant care se desprinde din această definiție este că datele cu caracter personal vizează esențialmente persoanele fizice. Prelucrarea datelor unor societăți partenere/ PFA-uri, entități cu sau fără personalitate juridică organizate sub diverse forme, nu importă din perspectiva RGPD.

În al 2-lea rând, se poate observa că datele cu caracter personal relevante din perspectiva farmaciștilor care activează în farmacii de circuit deschis sau înschis în relația cu pacienții: datele fizice ale pacienților, datele fiziologice, datele genetice sau psihice, sunt expres enumerate în cadrul definiției. Dacă această normă juridică consacră un cadru general al datelor cu caracter personal, în ceea ce privește datele privind sănătatea s-a reglementat și un cadru special - art. 4 pct. 15 din RGPD definindu-le expres, distinct, drept „date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia[iv]”. De ajutor pentru a înțelege mai bine conceptul de date privind sănătatea este analiza argumentelor legiuitorului unional pentru adoptarea RGPD, regăsite la pct. 35 din preambulul actului legislativ în privința componentei date sensibile privind sănătatea[v], punct de vedere conturat în timp, înglobând inclusiv concluziile Curții de Justiție a Comunităților Europene pronunțate în cauza C-101/2001 Bodil Lindqvist[vi].

Având în vedere că am argumentat anterior că unitățile farmaceutice dețin calitatea de operator de date cu caracter personal, următoarea întrebare importantă este dacă în această calitate sunt obligate să desemneze un responsabil cu protecția datelor cu caracter personal, adică un DPO? Conceptul de persoană responsabilă cu protecția datelor cu caracter personal este trasat de dispozițiile art. 37, art. 38 și art. 39 din RGPD. Responsabilul cu protecția datelor cu caracter personal este un membru al personalului operatorului, al persoanei împuternicite de operator[vii] sau o persoană care îndeplinește această sarcină în baza unui contract de prestări servicii (încheiat cu operatorul sau persoana împuternicită de operator), care are rolul general de a întreprinde toate măsurile necesare în se asigura că operatorul sau persoana împuternicită de operator respectă rigorile RGPD. Atribuțiile sale exacte sunt trasate de dispozițiile art. 39 din RGPD[viii].

Cât timp prevederile art. 4 pct. 7 și 8 din RGPD definesc expres operatorul și persoana împuternicită de operator drept „persoana fizică sau juridică […]”, niciunul dintre articolele 37, 38 sau 39 din RGPD, care conturează conceptul de DPO, nu fac absolut nicio referire expresă dacă acesta poate fi și o persoană juridică sau exclsiv o persoană fizică. Așadar, ne rămâne la îndemână interpretarea gramaticală a acestor texte de lege. Art. 38 alin. (6) conferă un prim indiciu în acest sens, menționând că DPO-ul poate fi un membru al personalului operatorului sau al persoanei împuternicite de operator, adică o persoană fizică. De asemenea, alin. (5) al aceluiași articol de lege afirmă că DPO-ul este desemnat ,,pe baza calităților profesionale”, atribut dificil de asociat cu persoanele juridice. Se desprinde, în opinia noastră, concluzia că DPO-ul poate fi exclusiv o persoană fizică.

Prevederile art. 37 alin. (1) din RGPD trasează 3 situații în care numirea unui DPO este obligatorie:

a)atunci când prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale.

b)atunci când activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă,

c)atunci când activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menţionată la articolul 9, sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la articolul 10.

Dacă în mod evident unitățile farmaceutice nu se încadrează în situația descrisă la lit. a), este nevoie de o analiză amănunțită pentru a concluziona dacă acestea se încadrează în situațiile descrise la lit. b) și c) deoarece, așa cum menționam anterior, activitatea farmaciei nu se poate desfășura în absența prelucrării datelor pacienților (lit. b), iar pe de altă parte, în farmacii se prelucrează date medicale ale pacienților – date sensibile, conform art. 9 din RGPD (lit. c). Pentru a analiza ipotezele conturate de lit. b) și c) ne-am îndreptat atenția înspre preambulul RGPD și înspre Ghidul privind responsabilul cu protecția datelor (DPO), conceput de Grupul de lucru Articolul 29 de pe lângă Comisia Europeană[ix].

În ceea ce privește ipoteza creionată de lit. b) ab initio trebuie analizat ce înseamnă ca activitatea principală a operatorului să conste în operațiuni de prelucrare. Activitatea principală a unităților farmaceutice constă în eliberarea de medicamente, în prestarea de servicii farmaceutice etc., însă toate acestea nu pot avea loc în absența prelucrării datelor pacienților. Din acest punct de vedere se poate interpreta că activitatea principală a farmaciei constă și în prelucrarea de date. Pct. 2.1.1 din Ghidul privind responsabilul cu protecția datelor (DPO), conceput de Grupul de Lucru Articolul 29, furnizează explicații detaliate în acest sens. Conform acestor experți ,,activitatea principală” trebuie înțeleasă drept operațiunile cheie, necesare pentru ca operatorul să își poată atinge obiectivele, în opoziție cu activități auxiliare ale operatorului. Procesarea de date cu caracter personal ar putea fi considerată activitatea principală a unui operator atunci când nu își poate desfășura activitatea în îndeplinirea obiectivelor fără procesarea datelor cu caracter personal. Exemplul pe care îl conferă Grupul de Lucru Art. 29 este  extrem de relevant în prezenta analiză, fiind similar situației particulare pe care o avem în vedere. Se explică faptul că activitatea principală a unui spital este de acordare de servicii medicale, însă furnizorul de servicii medicale nu ar putea să presteze aceste servicii în siguranță și eficient fără a procesa date cu caracter personal ale pacienților – chiar date sensibile medicale. În consecință, prelucrarea de date cu caracter personal este considerată în această situație drept activitate principală a spitalului[x]. Situația este aplicabilă mutatis mutandis și unităților farmaceutice, drept urmare prelucrarea de date cu caracter personal este considerată o activitate principală a acestora.

În al doilea rând, pentru ca situația de la lit. b) să fie aplicabilă este necesar a analiza dacă activitățile de prelucrare a datelor în farmacii necesită o monitorizare periodică și sistematică a persoanelor vizate (conform art. 4 pct. 1 – persoana a cărei date sunt prelucrate), adică pacienții. Conform pct. 2.1.4. din Ghidul privind responsabilul cu protecția datelor (DPO), conceput de Grupul de lucru Articolul 29, monitorizarea periodică semnifică la anumite intervale de timp, care are loc în mod repetat, cât timp prelucrare sistematică semnifică urmărirea unei strategii, aplicarea unui plan general de colectare a datelor[xi]. Având în vedere că unitățile farmaceutice trebuie să facă raportări periodice de date la CNAS, raportări care includ automat și  prelucrări de date cu caracter personal ale pacienților,  această condiție de la art. 37 alin. (1) lit. b) din RGPD ar putea fi considerată a fi îndeplinită.

Cea de-a treia condiție a incidenței ipotezei de la lit. b) este prelucrarea datelor „pe scară largă”. Pct. 91 din preambulul RGPD este extrem de relevant pentru a înțelege aceasă noțiune, dar mai ales pentru a o putea transpune în situația concretă pe care o analizăm –  prelucrarea datelor de operatori - unități farmaceutice. Pct. 91 din preambul menționează că operațiunile de prelucrare pe scară largă „au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, naţional sau supranaţional, care ar putea afecta un număr mare de persoane vizate şi care sunt susceptibile de a genera un risc ridicat […] Prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la pacienţi sau clienţi de către un anumit medic, un alt profesionist în domeniul sănătăţii sau un avocat.”

Un prim indiciu al faptului că NU este îndeplinită ipoteza de la lit. b) în cazul unităților farmaceutice e dat de faptul că acestea nu operează la nivel regional, național sau supranațional, ci la nivel local, în plină concurență cu alte unități farmaceutice (în acest sens trebuie să se țină cont de criteriul demografic și de criteriul geografic). Întrebarea subzistă în situația în care am discuta de lanțuri farmaceutice care acționează la nivel regional sau național, chiar dacă partea finală a pct. 91 din preambul pare a lămuri că prelucrarea datelor pacienților de farmaciști („alt profesionist în domeniul sănătății”) nu trebuie considerată prelucrare a datelor cu caracter personal la scară largă, întrucât acest exemplu a fost furnizat în preambul ca o expresie a unei extreme, adică din perspectiva cabinetului medical individual/farmaciei locale, în opoziție cu spitalul regional sau lanțul farmaceutic. Aceasta este interpretarea Grupului de Lucru Articolul 29, care încearcă să ofere mai multă claritate conceptului, conferind la pct. 2.1.3 din Ghidul privind responsabilul cu protecția datelor (DPO) câteva exemple concrete de situații în care s-ar putea discuta de prelucrare a datelor pe scară largă sau nu. Este considerată prelucrare de date pe scară largă prelucrarea datelor pacienților în activitatea curentă a unui spital, cât timp nu e considerată prelucrare de date pe scară largă prelucrarea de date ale pacienților de un medic – privit individual, adică în cadrul unui cabinet medical individual. Similar, prelucrarea de date de către lanțuri farmaceutice organizate la nivel național sau regional ar putea fi considerată prelucrare pe scară largă și să fie obligatorie numirea unui DPO, cât timp prelucrarea de date de către o farmacie individuală care acționează  într-un cartier al unei localități nu poate fi considerată prelucrare pe scară largă și nu va fi obligatorie numirea unui DPO[xii].

Analiza se păstrează cu anumite particularități și în cazul trasat de art. 37 alin. (1) lit. c) din RGPD pentru că și acesta presupune tot prelucrarea de date cu caracter personal ,,pe scară largă”, însă de această dată a datelor cu caracter special – datele sensibile menționate la art. 9 din RGPD, printre care sunt enumerate și datele privind sănătatea. Cât timp este indiscutabil că în unitățile farmaceutice se prelucrează date privind sănătatea, prelucrarea ,,pe scară largă” este o condiție care trebuie analizată in concreto, conform analizei de mai sus, astfel încât fiecare unitate farmaceutică să deceleze dacă este imperativ să desemneze un DPO sau nu.

 

Chiar dacă nu ar exista obligativitatea desemnării unui DPO conform art. 37 alin. (1) din RGPD, unitățile farmaceutice, în calitate de operator de date, ar putea fi obligate să desemneze un DPO printr-o cerință specifică de acest fel introdusă prin legislația națională sau ar putea ele însele desemna un DPO dacă ar considera oportun (desemnare facultativă), conform prevederilor art. 37 alin. (4) din RGPD. În cazul unei desemnări facultative a unui DPO, acesta ar trebui să îndeplinească toate cerințele trasate de art. 37, 38 și 39 din RGPD, precum în cazul DPO-ului desemnat în mod obligatoriu, însă Grupul de Lucru Articolul 29 punctează că operatorul poate să angajeze consultanți sau personal extern pentru a asigura respectarea rigorilor RGPD,  fără ca aceștia să fie desemnați drept DPO și, a fortiori, activitatea acestora nefiind încătușată în rigorile art. 37, 38 și 39 din RGPD. În această situație, este important ca operatorul să efectueze toate demersurile pentru a se asigura că aceste persoane nu sunt confundate de către terți cu DPO-ul[xiii].

Nu în ultimul rând, se impune a se analiza particularitățile persoanei care îndeplinește funcția de DPO în cazul unui operator unitate farmaceutică având în vedere că în farmacii se prelucrează date sensibile privind sănătatea, date medicale, așa cum au fost definite în partea incipientă a acestui articol. Conform dispozițiilor art. 9 alin. (1) din RGPD este interzisă prelucrarea datelor cu caracter personal privind sănătatea unei persoane! Pct. 51 din preambulul RGPD dezvăluie rațiunea care a stat la baza interdicției de principiu a prelucrării datelor privind sănătatea: „contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor şi libertăţilor fundamentale”. Derogările de la această interdicție de principiu sunt strict și limitativ enumerate la alin. (2) al art. 9 din RGPD, iar în ceea ce privește prelucrarea datelor privind sănătatea în unități farmaceutice relevante sunt cazurile de la lit. a), h) – în mod direct, lit. i) și j) – în mod indirect, prin obligația de raportare a datelor colectate la CNAS, care prelucrează și arhivează datele:

 

a)persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicţia prevăzută la alineatul (1) să nu poată fi ridicată prin consimţământul persoanei vizate,

  1. h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva respectării condiţiilor şi garanţiilor prevăzute la alineatul (3),
  2. i) prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului profesional;
  3. j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în baza dreptului Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmărit, respectă esenţa dreptului la protecţia datelor şi prevede măsuri corespunzătoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate.

 

Situația trasată la art. 9 alin. (2) lit. a) este clară – cu acordul, cu consimțământul pacientului se pot opera date cu caracter personal. Cu toate acestea, cea mai relevantă derogare din perspectiva unităților farmaceutice este cea de la lit. h), care, prin interpretare per a contrario, este aplicabilă și în lipsa consimțământului pacientului – persoana vizată. Este indiscutabil că unitățile farmaceutice nu își pot desfășura activitatea, adică să furnizeze tratament medical pacienților, fără prelucrarea datelor privind sănătatea ale acestora. Art. 9 alin. (2) lit. h) permite prelucrarea datelor privind sănătatea DOAR DACĂ sunt îndeplinite cerințele alin. (3) ale aceluiași articol de lege – „datele respective sunt prelucrate de către un profesionist supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naţionale competente sau de o altă persoană supusă, de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naţionale competente.”

Atât farmaciștii îndeplinesc aceste rigori, având obligația de a păstra secretul profesional, conform prevederilor art. 595 lit. g) din Legea nr. 95/2006 privind reforma în domeniul sănătății[xiv], cât și asistenții de farmacie, conform dispozițiilor art. 13 alin. (1) din OUG nr. 144/2008 privind exercitarea profesiei de asistent medical generalist, a profesiei de moașă și a profesiei de asistent medical, precum și organizarea și funcționarea Ordinului Asistenților Medicali Generaliști, Moașelor și a Asistenților Medicali din România[xv]. În alți termeni, pot prelucra date privind sănătatea pacienților în unități farmaceutice farmaciștii, asistenții de farmacie sau „persoanele aflate sub responsabilitatea acestora”, adică în cazul farmaciilor orice alt angajat/colaborator întrucât, în concordanță cu dispozițiile art. 16 alin. (5) din Legea nr. 266/2008 a farmaciei, orice alt personal necesar funcționării farmaciei funcționează sub controlul farmacistului-șef. Nu poate fi angajat în mod legal personal în farmacie care să nu ne afle sub autoritatea și controlul farmacistului-șef[xvi].

Se observă tendința legiuitorului unional de a institui o regulă de permitere a prelucrării datelor medicale ÎN PRINCIPAL de personalul care are obligații de păstrare a secretului profesional impuse legal (farmaciștii și asistenții de farmacie în cazul unităților farmaceutice) și numai cu titlu excepțional și personalului care nu are o asemenea obligație legală, dar acționează sub autoritatea primei categorii de personal (sub autoritatea farmacistului-șef în cazul unităților farmaceutice). Din punct de vedere al evoluției istorice a rigorilor prelucrării datelor medicale, se observă la pct. 4.4. din Recomandarea nr. R(97)5 a Comitetului de Miniștri din cadrul Consiliului Europei asupra protecției datelor medicale din 13 februarie 1997 că  în anul 1997 se recomanda ca dacă datele medicale erau colectate pentru motive de diagnostic, tratament, acestea să fie procesate doar de persoanele obligate prin lege la păstrarea secretului profesional și doar cu titlu excepțional să poată fi transmise/comunicate și altor persoane, care, însă, trebuiau să beneficieze de același standard ridicat de păstrare a confidențialității (pct. 7.2). Discutăm de soft-law, adică norme fără caracter obligatoriu.

Ulterior a intrat în vigoare Directiva 95/46/CE a Parlamentului European și a Consiliului privind protecția persoanelor fizice în ceea ce privete prelucrarea datelor cu caracter personal și libera circulație a acestor date[xvii], care deși menționează la pct. 42 din preambul că „accesul la datele cu caracter medical poate fi obținut numai printr-un specialist din domeniul sănătății”, totuși prevede la art. 8 pct. 3 că atunci când prelucrarea datelor este necesară în scopuri legate de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijirii sau tratamente ori de gestionare a serviciilor de sănătate, poate fi efectuată fie de un cadru medical supus, în conformitate cu dreptul intern ori cu normele stabilite de autoritile naționale competente, secretului profesional, fie de alt personal supus, de asemenea, unei obligații echivalente în ceea ce privește secretul. Directiva reprezintă un act legislativ UE cu caracter obligatoriu (în opoziție cu Recomandarea Comitetului de Miniștri a Consiliului Europei anterior individualizată, soft-law), însă care nu are aplicabilitate directă, ci a fost necesar ca fiecare stat membru UE să o transpună în legislația sa națională printr-un act normativ. În România a fost adoptată Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date[xviii], prin care s-au preluat și ușor adaptat prevederile directivei[xix].

RGPD a preluat optica, păstrându-se totuși, cel puțin la nivel de percepție, recomandarea ca prelucrarea datelor sensibile privind sănătatea de către personalul supus secretului profesional prin norme imperative să constituie regula. Această opinie este întărită de argumentele legiuitorului UE expuse în pct. 53 din preambulul RGPD, conform cărora: „prezentul regulament ar trebui să prevadă condiţii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sănătatea, în ceea ce priveşte nevoile specifice, în special atunci când prelucrarea acestor date este efectuată în anumite scopuri legate de sănătate de către persoane care fac obiectul unei obligaţii legale de a păstra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui să prevadă măsuri specifice şi adecvate pentru a proteja drepturile fundamentale şi datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui să aibă posibilitatea de a menţine sau de a introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea.”

Având în vedere toate acestea, opinăm că DPO-ul desemnat de către operatorul de date unitate farmaceutică, fie că este obligatorie sau facultativă desemnarea lui (în acest din urmă caz dacă a fost efectiv desemnat un responsabil cu protecția datelor), poate fi selectat doar din cadrul personalului care activează în farmacia în cauză: fie un farmacist, fie un asistent de farmacie și nici o altă persoană care ar acționa în afara farmaciei nu ar putea îndeplini funcția de DPO, chiar dacă s-ar încheia un contract de prestări servicii în acest sens cu clauze de confidențialitate temeinic concepute.

[i] Publicat în Jurnalul Oficial al Uniunii Europene L 119 din 04 mai 2016

 

[ii] Republicată în Monitorul Oficial al României, partea I, nr. 85 din 02 februarie 2015

 

[iii] Conform art. 4 pct. 2 din RGPD prelucrarea de date cu carater personal semnifică „orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.”

 

[iv] Din punctul nostru de vedere trebuie acordată o atenție sporită părții finale a definiției datelor privind sănătatea. Dacă inclusiv prestarea de servicii de asistență medicală care dezvăluie informații despre starea de sănătate a persoanei vizate, adică persoana a cărei date cu caracter personal sunt utilizate, semnifică per se „date privind sănătatea”, atunci se impune a se acorda garanții sporite de protecție a datelor inclusiv în aceste situații. De exemplu, prestarea serviciului de consultanță farmaceutică a pacientului în farmaciile cu circuit deschis atunci când e întrebat pacientul ce alte medicamente mai utilizează sau dacă are anumite alergii la substanțe se încadrează în noțiunea de „prestare de servicii de asistență medicală care dezvăluie informații despre starea de sănătate” și, a fortiori, se încadrează în noțiunea de „date privind sănătatea”. Într-o asemenea situație ar trebui asigurat un grad suficient de ridicat de confidențialitate a conversației farmacist-pacient astfel încât alți pacienți, care își așteaptă rândul, să nu poată auzi detalii despre starea de sănătate a pacientului consiliat. Aceasta ar fi o primă măsură care ar trebui adoptată de unitățile farmaceutice pentru a demonstra că respectă prevederile RGPD.

 

[v]„Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informaţii despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informaţii despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menţionate în Directiva 2011/24/UE a Parlamentului European şi a Consiliului (1 ); un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informaţii rezultate din testarea sau examinarea unei părţi a corpului sau a unei substanţe corporale, inclusiv din date genetice şi eşantioane de material biologic; precum şi orice informaţii privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro”.

[vi] Conform Curții de la Luxemburg expresia ,,date privind sănătatea” trebuie interpretată în sens larg, astfel încât să includă informații privind toate aspectele privind sănătatea unei persoane, atât fizice, cât și mentale (pct. 50 al hotărârii).

 

[vii] Nota bene! Este de evitat confuzia între persoana împuternicită de operator, definită de art. 4 pct. 8 din RGPD și persoana responsabilă cu protecția datelor cu caracter personal, reglementată de art. 37, 38 și 39 din același act legislativ unional.  Persoana împuternicită de operator este persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului, ceea ce semnifică faptul că operatorul în sine NU mai prelucrează date cu caracter personal(sau și-a limitat sfera în care le prelucrează), ci a delegat această atribuție persoanei împuternicite. DPO-ul sau persoana responsabilă cu protecția datelor este cea care are rolul de a se asigura că entitatea care prelucrează efectiv datele, fie direct operatorul, fie persoana împuternicită de operator cu prelucrarea datelor (caz în care operatorul nu mai efectuează el însuși prelucrarea de date) respectă rigorile și conferă garanțiile cerute imperativ de RGPD. Cu alte cuvinte, persoana împuternicită EFECTIV prelucrează date, cât timp DPO-ul are rolul de a VERIFICĂ permanent dacă prelucrarea datelor se face în acord cu RGPD. Unitățile farmaceutice în principiu NU pot desemna o persoană împuternicită pentru protecția datelor și să se degreveze de această responsabilitate pentru că nu își pot desfășura obiectul de activitate în lipsa cel puțin a colectării datelor de la pacienți. Totuși, ar putea exista anumite situații particulare în care ar putea desemna o persoană împuternicită – de exemplu gestionarea programului informatic privind cardurile de fidelitate ale pacienților în farmacii, când cardul se citește automat, iar farmacistul nu observă datele cu caracter personal, ci persoana care operează programul informatic. Totuși, pentru argumentele pe care le vom detalia în continuare în acest articol, aceste carduri emise și utilizate de unitățile farmaceutice nu pot viza date medicale, date privind sănătatea pacienților, inclusiv din perspectiva interdicției accentuată în mod aparte a creării de profiluri pornind de la datele privind sănătatea (pentru definiția conceptului de creare de profiluri a se vedea art. 4 pct. 3 din RGPD).

 

[viii] Sarcinile responsabilului cu protecția datelor:

a)informarea şi consilierea operatorului, sau a persoanei împuternicite de operator, precum şi a angajaţilor care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul prezentului regulament şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor;

b)monitorizarea respectării prezentului regulament, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor şi a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;

c)furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35;

d)cooperarea cu autoritatea de supraveghere;

e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.

 

[ix]Guidelines on data protection officers (DPO’s) adopted on 13 December 2016 în  http://www.dataprotection.ro/servlet/ViewDocument?id=1384

 

[x] Idem, pag. 6-7

 

[xi] Idem, pag. 8-9

 

[xii] Idem, pag. 7. Conform Grupului de Lucru Articolul 29 pentru o analiză in concreto a prelucrării datelor pe scară largă ar trebui luate în considerare următoarele criterii:

-numărul persoanelor vizate, fie un număr specific sau un procent din populația relevantă,

-volumul de date sau variația datelor prelucrate,

-durata, permanența activității de prelucrare a datelor,

-extinderea geografică a activității de prelucrare a datelor.

De exemplu, unica farmacie dintr-o comună care ar cuprinde mai multe sate, nu e obligată la desemnarea unui DPO pentru că chiar dacă se adresează tuturor locuitorilor din comună, procentul din populația locală avut în vedere fiind de 100%, prelucrează date sensibile în mod permanent, extinderea geografică a activității sale este mult prea redusă pentru a putea discuta de ,,prelucrare pe scară largă”. Un lanț de farmacii organizat la nivel național prelucrează permanent date sensibile, extinderea sa fiind la nivelul întregii țări, însă este posibil din pricina concurenței (multe alte farmacii în aceeași zonă, în aceeași localitate, în aceeași regiune, în toată țara), numărul persoanelor vizate, adică numărul pacienților să fie mult prea redus raportat la nivelul populației țării (din moment ce discutăm de extindere la nivel național) pentru a putea discuta de ,,prelucrare pe scară largă”. În același timp, un lanț de farmacii organizat la nivelul unui municipiu (conceptul de prelucrare „la nivel regional, național sau supranațional” nu exclude automat ca o prelucrare de date care are loc în mod masiv la nivel local, situație plasată în ,,zona gri”, marja rămasă neacoperită în urma explicațiilor generale din preambulul RGPD, să poată fi considerată ,,prelucrare pe scară largă” a datelor), care să acopere toate cartierele și să se adreseze, astfel, întregii populații a municipiului, e posibil să fie obligat să desemneze un DPO deoarece acoperirea sa geografică este similară cu cea a unui spital municipal, conform exemplului dat de Grupul de Lucru Articolul 29, prelucrează permanent date cu caracter personal, iar numărul pacienților raportat la toate unitățile farmaceutice din întregul lanț să fie relevant ca procent raportat la întreaga populație a municipiului în cauză. Precum afirmam ab initio, fiecare unitate farmaceutică este datoare să își efectueze in concreto analiza situației sale. Legislația internă va putea aduce, în viitor, clarificări suplimentare.

 

[xiii] Idem, pag. 5

 

[xiv] Republicată în Monitorul Oficial al României, partea I, nr. 652 din 28 august 2015

 

[xv] Publicată în Monitorul Oficial al României, partea I, nr. 785 din 24 noiembrie 2008

 

[xvi] Desigur, în cazul persoanelor care lucrează în unitățile farmaceutice, sub autoritatea și controlul farmacistului-șef și care nu au obligații legale de păstrare a secretului profesional, este necesar a se insera în mod specific în fișa postului obligativitatea păstrării confidențialității asupra datelor cu caracter personal pe care le prelucrează în farmacie

 

[xvii] Publicată în Ediția Specială a Jurnalului Oficial al Uniunii Europene din 01 ianuarie 2007

 

[xviii] Publicată în Monitorul Oficial al României, partea I, nr. 790 din 12 decembrie 2001

 

[xix] Art. 7 din Legea nr. 677/2001 prevede că atunci când prelucrarea este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată ori de gestionare a serviciilor de sănătate care acţionează în interesul persoanei vizate, cu condiţia ca prelucrarea datelor respective să fie efectuate de către ori sub supravegherea unui cadru medical supus secretului profesional sau de către ori sub supravegherea unei alte persoane supuse unei obligaţii echivalente în ceea ce priveşte secretul;

Art. 9 alin. (2) din Legea nr. 677/2001 prevede că „Prelucrarea datelor privind starea de sănătate poate fi efectuată numai de către ori sub supravegherea unui cadru medical, cu condiţia respectării secretului profesional, cu excepţia situaţiei în care persoana vizată şi-a dat în scris şi în mod neechivoc consimţământul atâta timp cât acest consimţământ nu a fost retras, precum şi cu excepţia situaţiei în care prelucrarea este necesară pentru prevenirea unui pericol iminent, pentru prevenirea săvârşirii unei fapte penale, pentru împiedicarea producerii rezultatului unei asemenea fapte sau pentru înlăturarea urmărilor sale prejudiciabile”, iar alin. (3) al aceluiași articol: „Cadrele medicale, instituţiile de sănătate şi personalul medical al acestora pot prelucra date cu caracter personal referitoare la starea de sănătate, fără autorizaţia autorităţii de supraveghere, numai dacă prelucrarea este necesară pentru protejarea vieţii, integrităţii fizice sau sănătăţii persoanei vizate. Când scopurile menţionate se referă la alte persoane sau la public în general şi persoana vizată nu şi-a dat consimţământul în scris şi în mod neechivoc, trebuie cerută şi obţinută în prealabil autorizaţia autorităţii de supraveghere. Prelucrarea datelor cu caracter personal în afara limitelor prevăzute în autorizaţie este interzisă.”

 

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.

 

 

 

 

 

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

GDPR – o provocare pentru sistemul sanitar romanesc

GDPR

Vizualizari: 23982

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Confidențialitatea constituie una dintre cele mai importante valori ale actului medical care stau la baza relației profesionist-pacient, reprezentând, totodată, și o obligație, stipulată încă din cele mai vechi timpuri. Cu toate acestea, în 2018 în România este dificil de realizat o analiză la nivel practic a felului în care este respectată obligația de asigurare a confidențialității actului medical de către personalul din spitalele și farmaciile din România.

Odată cu aplicarea Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, a crescut posibilitatea aplicării de sancțiuni de ordin disciplinar și administrativ, mult amplificate, a personalului medical pentru divulgarea către terțe persoane a informațiilor despre sănătatea unor pacienți.

Acest lucru a dat de gândit mai multor cadre medicale și chiar a creat panică, în prima zi de aplicare a Regulamentului (UE) 2016/679, respectiv 25 mai 2018, fiind observat un adevărat “bombardament de consimțăminte” aplicat pacienților din dorința de a obține garanția legalității prelucrării datelor, chiar dacă aceștia o aveau deja prin temeiul legal al profesiei.

Sondajele publicate de instituțiile media din România au pus in evidență faptul că cea mai mare parte din consumatorii români își doresc să citească sau să urmărească la televizor emisiuni despre persoane aflate în situații tragice, astfel că există o tendință tot mai evidentă a instituțiilor de media de a promova articole cu subiecte medicale considerate senzaționale, cu referiri la accidente cu victime, cazuri de malpraxis, tentative de sinucidere, agresivitate și consum de alcool.

Acest lucru pune presiune pe specialiștii din domeniul sanitar și chiar pe pacienții care au fost internați în același salon cu persoana vizată de presă, care ignoră de multe ori faptul că confidențialitatea reprezintă mai mult decât un principiu, este un instrument de protecție a vieții private și secretul medical este o condiție de bază a relației dintre profesionistul din domeniul sanitar și pacient, care garantează acest echilibru între conștiința profesională și încrederea acordată de pacient.

În România confidențialitatea este reglementată printr-un pachet complex de reglementări legale și coduri deontologice și de etică. Cu toate acestea, constat că există probleme serioase privind respectarea drepturilor pacienților atât din partea personalului din mediul sanitar, cât și din partea jurnaliștilor. Sub pretextul interesului public este încălcat principiul confidențialității, fiind publicate date care duc la indentificarea persoanei, care reprezintă o intruziune în viața acestora și nu poate fi justificată.

În acest context, intrarea în vigoare la data de 25 Mai 2018 a Regulamentului (UE) 2016/679 pare că este o soluție pentru reechilibrarea acestei situații printr-o “conformare forțată” a operatorilor de date, datorită introducerii unor amenzi record la nivel internațional.

Termenul de grație oferit de Uniunea Europeană pentru obținerea conformitații față de principiile enunțate și obligațiile explicite nu a fost folosit decât de un procent mic din operatorii din domeniul sanitar românesc, multe dintre instituții încercând să gasească o soluție formală, motivând totodată lipsa unui buget pentru a justifica alegerile rapide privind instruirea și desemnarea Responsabililor privind protecția datelor.

O alta problemă cu care se confruntă sistemul sanitar românesc este lipsa educației populației și a personalului de specialitate, în egală măsură, în ceea ce privește conștientizarea importaței datelor cu caracter personal care poate fi explicată și prin lipsa unei campanii de informare care să își propună să crească gradul de cunoștințe a tuturor persoanelor față de modul de indentificare a datelor cu caracter personal și protejarea lor implicită și instinctivă.

În demersul de a identifica profilul pacientului român, reținem faptul că acesta are un acces mărit la tehnologie, o încredere surprinzător de mare în informațiile de pe internet (informații medicale denumite generic “Dr.Google”) și de pe rețelele de socializare, fiind un utilizator frecvent al internetului, cu un grad redus de conștientizare asupra riscurilor și importanței datelor cu caracter personal, dar cu un puternic simț de proprietate asupra lor.

Analizând din această perspectivă, pacientul în sine devine o provocare pentru întreg sistemul sanitar românesc, mai ales în contextul intrării în vigoare a Regulamentului (UE) 2016/679, prin care se redefinesc drepturile pacientului ( “Dreptul la acces”, “Dreptul la ștergere”, “ Dreptul la rectificare”) întreg corpul profesional sanitar se va confrunta cu solicitări nejustificate, insuficient documentate sau pur și simplu emise din curiozitate, privind ștergeri selective sau rectificări neîntemeiate asupra informațiilor medicale înregistrate în documentele medicale care sunt consumatoare de timp și pot duce astfel la scăderea calității actului medical prin redirecționarea resurselor pentru a răspunde acestor solicitări și noi obligații legale.

Prin analiza breșelor de securitate din domeniul sanitar, anterior datei de 25 Mai 2018, și prin dezvoltarea unor analize de risc cu proceduri concrete și planuri de evitare a reapariției acestor situații putem obține o apropiere de principiile și cerințele Regulamentului (UE) 2016/679, concluzionând totodată că o conformitate totală este o utopie.

Gardianul modului în care se respectă confidențialitatea actului medical în sistemul sanitar românesc rămâne Responsabilul privind protecția datelor, o meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și în lipsa unor repere unitare privind implementarea GDPR.

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Garantarea vieții private a murit ! Poate GDPR-ul să o reanimeze ?

GDPR

Vizualizari: 27930

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Începând cu data de 25 mai 2018 a intrat în vigoare Regulamentul 679/2016 cunoscut sub numele de GDPR. Această nouă lege nu aduce o revoluție în domenul protecției datelor, fiind mai degrabă o evoluție naturală în contextul procesului de digitalizare. Am putea spune chiar că “legislația aleargă după tehnologie” și era nevoie de o legislație unitară la nivel European, care să apere interesul cetățenilor în ceea ce privește informarea, transparența și asigurarea conștientizării și consimțământului asupra prelucrării datelor cu caracter personal.

România este ţara unde internetul este mai accesibil decât apa curentă. 38% dintre gospodăriile din ţară au WC în curte, în timp ce media europeană este de 2.7%. Numai 6 din 10 agricultori au o maşină de spălat. 62% dintre ţăranii români nu au o baie în casă, cu o chiuvetă sau un duş, iar 72% dintre ei au toaletă în fundul grădinii. Aşa se face că pentru aproximativ jumătate dintre români, toaleta în condiţii civilizate rămâne un lux de neatins.

Cu toate acestea, două din trei gospodării au un computer acasă, iar circa 68% au internet, în creștere cu 3,6% puncte procentuale în 2017 față de 2016, conform unui studiu publicat de Institutul Național de Statistică (INS). Mai mult, românii achziţionează produse IT şi articole de modă direct de pe telefonul mobil la fel de mult ca britanicii, în condiţiile în care rata de penetrare a smartphone-ului în rândul populaţiei de peste 16 ani a trecut de 70%.

Utilizatorii de internet din România petrec aproape 280 de minute zilnic online, 84% din utilizatori accesează internetul zilnic, mai exact 8 milioane de români, principalele lor teme de interes fiind ştirile, muzica, informaţiile din domeniul medical şi cele din zona culturală, potrivit Biroului Român de Audit Transmedia (BRAT).

Îngrijorător este faptul că, din ce în ce mai mulți români apelează la Dr. Google ( informații postate de pacienți și neprofesioniști pe forumuri, rețele de socializare, bloguri)  pentru a doua opinie,  crescând și mai mult lipsa de încredere în sistemul sanitar românesc și analizând “corectitudinea” fiecărui diagnostic sau schemei de tratament din prisma experienței altor pacienți.

 

Conștientizarea și educația, soluții pentru progres

Dacă ar fi fost să conștientizăm cu adevărat valoarea acestor date cu caracter personal ne-am fi dat deja seama că ele sunt și în prezent o monedă, plătim astăzi accesul “gratuit” la pagini cu informații de pe internet, cu acordul implicit de a ni se stoca și prelucra datele personale. Doar că această plată nu este întotdeauna transparentă, nu avem un extras bancar unde să contabilizăm aceste plăți, și valorile nu sunt rambursabile dacă nu suntem mulțumiți cu ceea ce “am cumpărat”.

Lipsa conștientizării importanței datelor cu caracter personal pentru cetățenii României este confirmată și de un studiu al UE care poziționează România pe ultimul loc, cu un procent de 47% răspunsuri afirmative date la ipoteza “Dezvăluirea de informații personale reprezintă o condiție a vieții moderne“. Interesant este totuși că în ciuda faptului că nu punem preț pe aceste date, 92% dintre români ar dori să fie informați dacă aceste date sunt pierdute sau furate, într-un mod absurd, având un simț pronunțat al posesiei unor date “fără importanță”. Altfel spus, românii nu pun un preț prea mare pe datele personale decât atunci când sunt furate sau pierdute.

Această lipsă a conștientizării duce la publicarea accidentală, pe rețelele de socializare, a foarte multe date cu caracter personal, de cele mai multe ori fără a ne pune problema obținerii consimțământului proprietarului. GDPR-ul nu poate stopa această practică, efectuată de către persoane fizice, având în vedere că el este obligatoriu de respectat de către operatorii de date cu interes economic, indiferent de forma de organizare.

În ianuarie 2017, în România erau înregistrate 9.600.000 de conturi de Facebook, cu o estimare oficială de conturi false sau duplicate între 1% și 2%. Dacă ar fi să ne raportăm la populația efectivă, în România aproape 45% dintre cetățenii cu vârsta între 0 și 100 de ani au cont de Facebook, adică 86% dintre internauții români.

Într-un alt studiul European, România este țara unde se înregistrează cea mai mare rată a utilizatorilor de rețele sociale și aplicații de mesagerie online, care au încredere în știrile și informațiile accesate prin intermediul acestora, 59% comparativ cu 36% media UE. La polul opus se află respondenții din Italia, Germania și Austria, unde numai 26%, 23%, respectiv 21% au încredere în informațiile și știrile disponibile pe rețelele sociale.

Poziția fruntașă în acest top nu face decât să confirme lipsa de conștientizare și educație a populației.

România, pe ultimul loc în topul țărilor digitalizate din Europa

Dacă vorbim despre tehnologizare, 1G, 2G, 3G, 4G și mai puțin cunoscut-ul 5G pot fi considerați indicatori ai digitalizarii. Primii patru indicatori ne duc cu gândul la tehnologia utilizată în comunicare, dar  5G-ul este mai mult decât atât: mașinile autonome, realitatea virtuală, orașele inteligente și dispozitivele IoT(Internet of things) sunt doar câteva dintre tehnologiile care vor beneficia masiv de apariția standardului 5G. Pe scurt, în viitor vom beneficia de proceduri chirurgicale mai simple, de mijloace de transport mai sigure și de posibilitatea de comunicații instant.

Comisia Europeană a publicat ultimul raport DESI, în care România figurează pe ultimul loc.

Indicele DESI (Digital Economy and Society Index) reprezintă gradul de digitalizare al economiei și al societății fiecăreia din cele 28 de țări ale Uniunii Europene. Cea mai avansată țară din acest punct de vedere este Danemarca, cu un scor agregat de 70,68%. Media UE este de 52,25%, iar România are un scor agregat de 33,21%, aflându-se pe ultimul loc.

Sunt 5 mari criterii după care Comisia Europeană se ghidează: Conectivitate, Capital Uman, Utilizare a internetului, Integrarea tehnologiilor digitale, Servicii publice digitale

Cum stăm la fiecare dintre aceste criterii DESI?

Conectivitate. Aici stăm cel mai bine, adică pe locul 22 din 28. Deşi acoperirea cu linii fixe  (89%) şi mobile (63%) este mult sub media UE, compensăm prin viteza internetului (70% conexiuni rapide) şi prin costuri scăzute (1,1% din venit).

Capital Uman. Suntem pe ultimul loc la scorul agregat (28 din 28). Avem cel mai mic procent de utilizatori de internet (56%), suntem penultimii în ceea ce priveşte competenţele de bază (28% din populaţie) şi numărul de angajaţi din IT (1,9% din angajaţi sunt în IT) şi pe locul 17 la numărul de absolvenţi de facultăţi cu profil IT (16/mia de locuitori).

Modul de utilizare al internetului. Suntem pe ultimul loc din UE la scorul agregat. 63% dintre utilizatori citesc ştiri online, 67% ascultă muzică, 6% urmăresc video on demand şi 8% folosesc servicii bancare. Doar 18% fac cumpărături online, dar 74% utilizează reţele sociale.

Integrarea tehnologiei digitale. Suntem pe ultimul loc din UE la scorul agregat. Prea puţine firme fac schimb electronic de informaţii (doar 22%), folosesc platforme de socializare pentru a se promova (8%), emit facturi electronice (8%), folosesc servicii de cloud (5%) sau îşi vând produsele online (7% ca număr de firme, 4,3% ca cifră de afaceri).

Servicii publice digitale. Doar 6% dintre utilizatorii de internet accesează soluţii de e-guvernare, iar acestea nu folosesc formulare precompletate decât în proporţie de 12% şi nu rezolvă complet problema decât în 55% din cazuri. Stăm în schimb bine la publicarea datelor de către guvern, cu 63% din scorul maxim.

O altă observație este că Indicele DESI al României nu stagnează (e mai mare decât cel din 2017), dar viteza lui de creştere este mai mică decât a celorlalte state UE. Cu alte cuvinte, toate celelalte ţări UE se digitalizează mai repede decât România.

Proiecte ambițioase în domeniul digitalizarii în România

România are în plan introducerea unui sistem de identificare electronică (eID), un proiect ambițios pentru emiterea de cărți de identitate cu cip. Guvernul României intenționează să folosească eID ca instrument juridic pentru interacțiunea cetățenilor și a întreprinderilor cu guvernul. Sistemul vizat ar include, în mod voluntar, o semnătură electronică certificată, precum și o interconexiune cu cardul național de sănătate. Ca termen, prima introducere pe scară largă a noilor cărți de identitate este programată pentru 2019 (la 18 luni de la adoptarea actului legislativ).

Sistemul va fi finanțat din bugetul național, fiindu-i alocată o sumă de aproximativ 2 milioane de lei (aproximativ 450 000 de euro) pe an. Instituirea și utilizarea unui sistem de identificare electronică ușor de folosit și cu un grad ridicat de securitate ar facilita semnificativ interacțiunea electronică a cetățenilor și a IMM-urilor cu guvernul României. În plus, un astfel de sistem ar reduce semnificativ sarcinile administrative, cum ar fi costurile suplimentare suportate în prezent pentru utilizarea diferitelor scheme de certificare a semnăturii electronice.

În concluzie, poate GDPR-ul să reanimeze garantarea vieții private ?

GDPR-ul, în sine, ca și cadru legal, nu poate în mod direct să reanimeze garantarea vieții private, dar acest lucru va fi posibil prin ridicarea gradului de conștientizare al importanței acestor date cu caracter personal. Evident, a fost nevoie și încă este nevoie de o campanie intensivă de educare a populației, lucru care necesită timp și care va fi făcut cel mai probabil prin intermediul operatorilor și procesatorilor de date cu caracter personal, care au obligația asigurării transparenței și obligația informării angajaților și clienților persoanelor fizice.

Este nevoie de educație a personalului mai mult decât investiții mari în soluții tehnice de securitate.

Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc garantarea vieții private, dar trebuie să ținem cont în primul rând de ritmul lent de digitalizare și faptul că România ocupă în prezent ultimul loc în topul European al țărilor digitalizate.

În România, potențialul de crestere al garantării vieții private este unul mare dar dependența de internet și de informațiile online, dovedită prin numărul mare de accesări zilnice, și timpul petrecut online coroborat cu lipsa educației, dovedită prin gradul mare de încredere în știrile publicate pe rețelele de socializare, îngreunează semnificativ acest proces.

Rămâne să vedem rezultatele pe care le vor aduce toți acești factori, ținând cont de faptul că alinierea la principiile GDPR reprezintă de fapt schimbarea întregii opticii asupra datelor cu caracter personal și asupra protecției acestora. În primul rând trebuie să învățăm să recunoaștem o dată cu caracter personal dintr-un conglomerat de date și să ajungem să o protejăm în mod instinctiv și automat.

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Responsabilul cu protecţia datelor cu caracter personal

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei […]

A fost publicata o RECTIFICARE la Regulamentul (UE) 2016/679

In data de 19 Aprilie 2018 a fost publicata o RECTIFICARE la Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în […]

Profesiune libera sau persoana vizata?

Noul Regulament European privind Protectia Datelor defineste „datele cu caracter personal” ca fiind orice informații privind o persoană fizică identificabilă, care poate fi identificată, direct sau indirect, în special […]

Prioritate privind conștientizarea importanței GDPR

Articol publicat in Revista Health Anul 6 – Nr. 54 – editia tiparita – Aprilie 2018  

Lorena Macnaughtan: GDPR – „25 mai este doar începutul”

Lorena Macnaughtan, MBA, este directorul iCEE.health, eveniment în inovația digitală în sănătate, destinat tuturor participanților în sistem: pacienți, doctori, asistenți, studenți, entreprenori, manageri, autorități.  Acesta are loc în acest an pe 14 iunie, […]

Cursuri GDPR pentru angajatii din sistemul sanitar

Ce trebuie sa stim despre GDPR ? Incepand cu 25 mai 2018 intra in vigoare Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul General privind Protectia Datelor Personale (GDPR), care spune in […]

Legea GDPR in Romania creeaza tensiuni

  Aparitia unei Legi „GDPR” in Romania este o initiativa asteptata de intreaga comunitate a organizatiilor din domeniul sanitar, existand mai multe proiecte in acest moment. Chiar daca […]

Piața serviciilor medicale și primele confuzii alarmante în implementarea GDPR

La nivelul unei companii cu peste 1.400 de angajați , implementarea greșită a regulilor de protecție a datelor personale a fost relevată de transmiterea unui e-mail către destinatarul necorespunzător. Importanța nu […]

Noi reglementări privind protecția datelor cu caracter personal în domeniul medical

Articol publicat in Revista Health Anul 6 – Nr. 53 – editia tiparita – Martie 2018

GDPR: „Îmi pare rău nu este de ajuns”

Grupul de Lucru Art. 29 (WP 29) privind protecţia datelor este un organism european independent, cu caracter consultativ, format din reprezentanţii autorităţilor naţionale pentru protecţia datelor din statele […]

Contextul aparitiei GDPR in Romania

Noul Regulament privind protectia datelor cu caracter personal va intra in vigoare in toate statele membre ale Uniunii Europene incepand cu data de 25 Mai 2018. In ultimele […]

Dezbatere publica pe proiectul Legii pentru aplicarea GDPR in Romania

A fost publicata propunerea legislativa privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal […]

A aparut standardul ocupational pentru DPO

Autoritatea Nationala pentru Calificari a aprobat conform deciziei 74/19.03.2018 standardul ocupational pentru educatia si formare profesionala a Responsabililor cu protectia datelor cu caracter personal – cod COR 242231. […]

Conferință despre protecția datelor cu caracter personal în domeniul medical, la UMF Tîrgu Mureș

Universitatea de Medicină și Farmacie (UMF) din Tîrgu Mureș și Universitatea „Petru Maior” (UPM) din Tîrgu Mureș, în parteneriat cu alte instituții, organizează mâine, 22 martie 2018, în intervalul […]

GDPR Medical – revoluția relațiilor interumane în era informatică

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI. Articol publicat in Revista Health Anul 6 – […]

Ce trebuie sa stim despre GDPR ?

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI. Parlamentul European și Consiliul au adoptat, în data […]

Conferință despre protecția datelor cu caracter personal în domeniul medical

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI. Universitatea de Medicină și Farmacie (UMF) din Tîrgu […]

Colegiul Pacientilor invoca normele GDPR

Colegiul Pacientilor cere primariei orasului Giurgiu stergerea imediata a  afectiunilor medicale ale asistatilor sociali. Primaria din Giurgiu incalca legea prin acest demers. Situatia de fapt:  Primarul orasului Giurgiu […]