O evocare a ultimului deceniu ne reaminteşte că, numai în perioada 2009-2012, la nivel internaţional s-au manifestat frust o serie de provocări, în care actorii statali au fost supuşi, pe rând, la o serie de încercări legate de depăşirea stadiului de economii fragile, de rate disproporţionate ale şomajului determinate de migraţia forţei de muncă, sisteme sanitare deficitare, subfinanţate şi necoroborate cu provocările începutului de mileniu (pandemii, seisme, inundaţii, caniculă, erupţii vulcanice etc.) şi sisteme financiare disfuncţionale, incapabile să susţină eforturile parteneriatelor încheiate.
În acest context, costurile sistemelor publice de asistenţă medicală s-au aflat, permanent, pe un trend vizibil ascendent, obligând astfel guvernele să impună factorilor instituţionali implicaţi elaborarea unor noi strategii pentru soluţionarea acestei problematici. Una dintre variantele de ieşire dintr-un potenţial colaps financiar este implementarea dosarului electronic de sănătate (DES).
În sensul Grupului de lucru european pentru protecţia datelor şi confidenţialitatea datelor medicale, un dosar electronic de sănătate se defineşte ca “Un dosar medical complet sau o documentaţie similară a stării de sănătate din trecut şi prezent, fizice şi psihice a unei persoane fizice, în format electronic, care oferă accesul prompt la aceste date în scop de tratament medical sau în alte scopuri similare.”
Spre deosebire de modul tradiţional al documentaţiei medicale, conceptul de DES intenţionează să compileze documentaţia existentă privind tratamentele medicale ale unei persoane, din surse şi perioade diferite. După compilare, datele DES pot fi puse la dispoziţia cadrelor medicale şi a instituţiilor autorizate, în format electronic, fiind disponibile de câte ori este imperios necesară accesarea unor informaţii cu relevanţă. DES este considerat a fi mijlocul cel mai potrivit pentru:
– a oferi un tratament de calitate mai bună în urma primirii unor date corecte despre pacient;
– ameliorarea eficienţei din punct de vedere al costurilor tratamentelor medicale, prevenind astfel creşterea accentuată a deficitelor bugetare pentru sănătate;
– furnizarea datelor necesare pentru controlul calităţii, statistică şi planificare în sectorul de sănătate publică, cu rezultate benefice pentru bugetele de sănătate publică.
Nu mai este o raritate faptul că furnizarea serviciilor medicale de specialitate a depăşit barierele statale iar, în acest sens, Comisia Europeană a accentuat, în nenumărate rânduri, importanţa e-Health – asistenţa medicală utilizând capabilităţile oferite de infrastructura informatică – pe baza interoperabilităţii dosarelor electronice de sănătate, sens în care şi-a manifestat disponibilitatea prin finanţarea unor proiecte, cum ar fi Cardul european pentru asigurări de sănătate.
Odată cu intrarea în vigoare, la data de 25 octombrie 2013, a Directivei privind asistenţa medicală transfrontalieră, cetăţenii Uniunii Europene, indiferent de statul în care aceştia îşi au rezidenţa, au atât dreptul de a alege spitalul sau clinica unde doresc să beneficieze de suport medical de specialitate, în sistemul public de sănătate sau în cel privat, cât şi rambursarea costurilor aferente tipului de tratament efectuat.
Noua directivă mai introduce încă două schimbări majore în ceea ce priveşte respectarea şi aplicarea drepturilor pacienţilor:
I. flexibilizarea procesului de avizare a dosarului medical, în sensul că autorizaţiile prealabile pentru acordarea asistenţei medicale transfrontaliere nu vor mai reprezenta o regulă sine qua non în operaţionalizarea acestui demers.
În tratarea administrativă a unei cereri de asistenţă medicală transfrontalieră, statele membre trebuie să ia în considerare, în principal, starea de sănătate a pacientului, dar şi gradul de urgenţă şi circumstanţele particulare a patologiei acestuia. Statul comunitar în care se realizează tratamentul medical are obligaţia de a asigura atât respectarea normelor de calitate şi de siguranţă în acordarea asistenţei medicale de specialitate, prin instituirea unor mecanisme de control şi inspecţie, inclusiv pe palierul protecţiei datelor cu caracter personal, cât şi a principiului egalităţii în tratamentul pacienţilor care nu sunt resortisanţi de pe teritoriul său.
Pentru achitarea anumitor servicii de asistenţă medicală furnizate transfrontalier, statul de afiliere poate să prevadă un sistem de autorizare prealabilă pentru a preîntâmpina un risc de destabilizare a planificării sau a finanţării sistemului său de sănătate şi trebuie să ofere sistematic această autorizare dacă pacientul are dreptul la asistenţa medicală respectivă şi dacă această asistenţă nu poate fi oferită pe teritoriul propriu într-un termen acceptabil din punct de vedere medical. În schimb, poate refuza să acorde această autorizare pacientului în cazuri foarte clar specificate.
II. dreptul de a fi informat şi de a lua decizii în cunoştinţă de cauză cu privire la opţiunile de tratament, prin intermediul unei platforme de dialog conectată, atât la punctele naţionale de contact, înfiinţate în baza noii directive, cât şi la furnizorii de asistenţă medicală.
Fiecare stat membru trebuie să desemneze unul sau mai multe puncte de contact naţionale pentru asistenţa medicală transfrontalieră. Aceste puncte de contact sunt relaţionate cu asociaţiile de pacienţi, cu furnizorii de asistenţă medicală şi cu asiguratorii serviciilor de sănătate. Aceştia au obligaţia de a oferi pacienţilor informaţii cu privire la drepturile lor în momentul în care aceştia decid să beneficieze de asistenţă medicală transfrontalieră, precum şi coordonatele altor puncte de contact din celelalte state membre.
Totodată, pentru a asigura o mai bună transparenţă în ceea ce priveşte standardele de calitate şi de siguranţă în Uniunea Europeană, Directiva încurajează asistenţa reciprocă şi cooperarea între statele membre, în special pe segmentul privind interoperabilitatea instrumentelor de e-sănătate şi de utilizare a noilor tehnologii medicale.
Directiva 2011/24/UE a Parlamentului European şi a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere prevede instaurarea unui cadru general pentru implementarea, dezvoltarea şi consolidarea unor reţele europene de referinţă, pentru a încuraja transferul de expertiză în domeniul medical şi o utilizare cât mai eficientă a resurselor umane şi materiale implicate în asistenţa medicală ultraspecializată (ex. diagnosticarea şi tratarea bolilor rare).
CNAS: DES va fi accesibil începând cu 14 aprilie 2014
Casa Naţională de Asigurări de Sănătate a anunţat că dosarul electronic de sănătate va putea fi accesat de către pacienţi pe un portal web special creat în acest scop începând cu 14 aprilie 2014. Dosarul va cuprinde date privind istoricul medical al pacientului: boli de care suferă sau a suferit, imunizări, investigaţii la care a fost supus, tratamente prescrise. Acestor date, cu care dosarul va fi populat odată cu prima vizită a pacientului la medicul de familie, li se vor cumula treptat cele de la alţi furnizori de servicii medicale accesate de către pacient.
Proiectul va fi implementat de UTI Systems SA, având ca susţinător NESS A.T. Ltd. Şi subcontractanţi SC Kapsch SRL şi SC Sysco SRL, iar fondurile, în valoare de 18,5 milioane de euro, provin în proporţie de 80% din Fondul European de Dezvoltare Regională nerambursabile -, 20% reprezentând cofinanţarea proiectului asigurată de la bugetul de stat.
Statele membre cooperează pentru a facilita punerea în aplicare a directivei. Acestea susţin, în special, crearea unor reţele europene de referinţă ale furnizorilor de asistenţă medicală, al căror scop este de a contribui la favorizarea mobilităţii expertizei în Europa, adică accesul la o asistenţă puternic specializată graţie concentrării şi asocierii resurselor şi expertizei disponibile.
În acest angrenaj, sistemele DES au potenţialul de a oferi o calitate şi o securitate mai mare a datelor medicale decât formele tradiţionale de arhivare a documentaţiei medicale.
Mai trebuie remarcat că datele medicale electronice dintr-un sistem DES cu excepţia accesibilităţii pentru cadrele medicale pot fi de interes, în general, pentru terţe părţi precum societăţi de asigurări şi organisme de apărare a legii. Din punctul de vedere al protejării datelor cu caracter personal, în cursul compilării datelor medicale existente ale unei persoane din surse diferite, în scopul asigurării unui acces mai facil şi mai larg la aceste date confidenţiale, sistemele DES prezintă un nou risc, oferind noi posibilităţi pentru eventuala utilizare incorectă a datelor medicale personale. Deşi acest nou risc va fi cunoscut pe deplin în majoritatea proiectelor doar în cursul unei aplicări complete viitoare, este totuşi necesar să fim conştienţi de acest pericol acum, când majoritatea modelelor existente au doar o aplicare limitată sau parţială (de ex. doar pentru un set de bază de date medicale sau doar pentru spitale dintr-o anumită regiune), deoarece ele vor deveni general aplicabile într-o anumită perioadă de timp.
Sistemele sau serviciile de sănătate online permit, de asemenea, acordarea de asistenţă sanitară transfrontalieră.
Cea mai mare bază de date publică de pacienţi cu o boală rară, pe PatientsLikeMe
Reţeaua de socializare cu tematică medicală a creat, în numai câteva luni, o bază de date cu pacienţi suferinzi de fibroză pulmonară idopatică, comunitatea care aderă la ea oferind informaţii noi referitoare la această afecţiune incurabilă, ale cărei cauze nu sunt cunoscute. Peste nouă sute de pacienţi cu această afecţiune au permis acces la datele lor medicale în cadrul reţelei, făcând posibile noi studii referitoare la vârsta medie de apariţie a bolii, distribuţia ei pe sexe, problemele colaterale de sănătate care i se suprapun, istoricul de boală în familie şi noi simptome.
Prin intermediul reţelei de socializare destinate pacienţilor, peste 250 000 de persoane îşi împărtăşesc experienţele legate de diverse afecţiuni, monitorizând evoluţia acestora şi reacţia la tratament; concomitent, reţeaua de socializare generează date utile despre natura afecţiunilor, care ajută cercetătorii, companiile farmaceutice, autorităţile de reglementare precum şi alte părţi implicate în procesul de asistenţă medicală să ofere produse, servicii şi îngrijire mai eficiente.
Un studiu dat publicităţii de Institute of Medicine (o organizaţie independentă şi non-profit conexă Academiei Naţionale de Ştiinţe a SUA, preocupată de sistemul sanitar american) a relevat că 94% dintre membrii PatientsLikeMe sunt dispuşi să facă publice date legate de starea lor de sănătate pentru a ajuta alţi pacienţi, iar 92% o fac pentru a ajuta cercetătorii să afle mai multe despre afecţiunea lor. 78% dintre pacienţii intervievaţi şi-ar da acordul ca datele privind afecţiunile de care suferă să fie accesate de companiile farmaceutice, în vreme ce 76% dintre repondenţi sunt conştienţi că dosarul lor medical devenit public ar putea fi folosit fără acceptul şi chiar în detrimentul lor (pentru a li se respinge reasigurarea şi a nu li se acorda beneficii sau chiar pentru a fi discriminaţi la angajare).
Prezenta directivă prevede instituirea unei reţele a autorităţilor naţionale responsabile cu „sănătatea online”, în vederea consolidării continuităţii asistenţei medicale şi a garantării accesului la îngrijiri specializate, de înaltă calitate.
În sfârşit, crearea unei reţele a autorităţilor sau a organelor responsabile cu evaluarea tehnologiilor în materie de sănătate va facilita cooperarea între autorităţile naţionale competente în acest domeniu.
În procesul de punere în aplicare a unor asemenea programe, Comisia Europeană şi-a asumat obligaţia, împreună cu statele membre, să asigure compatibilitatea cu toate prevederile legale relevante privind protecţia datelor cu caracter personal şi, unde este cazul, să introducă mecanismele necesare pentru asigurarea confidenţialităţii şi protejării unor asemenea date.
Disponibilitatea în format electronic a datelor medicale din sistemele DES poate ameliora considerabil capacităţile de diagnostic şi tratament utilizând cunoştinţele aflate exclusiv în instituţii medicale externe. Consultarea suplimentară a experţilor străini în scopuri de diagnosticare nu implică, de obicei, dezvăluirea identităţii pacientului. Prin urmare, dacă este posibil, astfel de date trebuie transferate în afara Uniunii Europene sau Spaţiului Economic European exclusiv sub formă anonimă sau de pseudonim. Dacă nu există un consimţământ explicit al persoanei vizate privind transferul datelor cu caracter personal, aceasta va evita şi necesitatea obţinerii acordului pentru acest transfer de date, deoarece persoana vizată nu poate fi identificată de către destinatar.
Având în vedere riscul important la care sunt supuse datele cu caracter personal într-un sistem DES fără protecţie adecvată, orice prelucrare – în special stocarea de date DES trebuie să aibă loc în interiorul jurisdicţiilor care aplică Directiva Uniunii Europene privind Protecţia Datelor sau un alt cadru adecvat pentru protecţia datelor.
O problemă specifică este constituită de fluxurile de date transfrontaliere în cursul studiilor clinice: grupul de studiu aflat în contact direct cu pacienţii poate solicita câteodată acces la datele DES în forma lor originală şi personalizată. Pentru toate transferurile de date rezultate în urma studiilor clinice către sponsori sau alte instituţii implicate conform legii, pseudonimele securizate trebuie totuşi să constituie o condiţie prealabilă minimă, în special, dacă astfel de sponsori au sediul în ţări fără o protecţie adecvată a datelor. În acest context, o atenţie specială trebuie acordată, întotdeauna, aspectelor de protecţie a datelor, pentru a fi evitat riscul dezvăluirii, neautorizate, în medii nesigure din acest punct de vedere.
Trebuie menţionat că, prezenta directivă nu se aplică în cazul: serviciilor de asistenţă medicală de specialitate de lungă durată; a transplanturilor de organe, ţesuturi şi celule de origine umană, în scop terapeutic şi a programelor de imunizare a populaţiei.
Datorită cercetării-dezvoltării în domeniul medical, derulată pe parcursul ultimilor ani, activitatea de utilizare a organelor în scopuri terapeutice a devoalat, odată cu extinderea ariei de aplicare, o paletă de riscuri şi vulnerabilităţi care au trebuit limitate printr-un cadru juridic care să cuprindă toate etapele procesului, de la donare până la transplant, asigurându-se în acelaşi timp protecţia donatorilor şi a primitorilor de către autorităţile şi instituţiile cu atribuţii şi competenţe în acest domeniu, datele cu caracter personal fiind stipulate în cadrul Directivei 95/46/CE.
În acest context, s-a impus elaborarea Directivei 2010/45/UE a Parlamentului European şi a Consiliului din 7 iulie 2010 privind standardele de calitate şi siguranţă referitoare la organele umane destinate transplantului.
Această directivă delimitează un cadru comun în ceea ce priveşte stabilirea şi aplicarea unor standarde de calitate şi de siguranţă în realizarea transplantului de organe, celule şi ţesuturi de origine exclusiv umană, în scop terapeutic şi nu de cercetare în domeniul medical. Directiva îşi propune, de asemenea, să optimizeze schimburile între statele membre şi ţările terţe, şi se aplică în toate etapele procesului: donării, prelevării, testării, evaluării, transportului şi transplantului de organe.
Practica medicală în acest domeniu implică însă o serie de riscuri pe care această directivă încearcă să le reducă prin introducerea, la nivelul tuturor statelor comunitare, a obligativităţii instituirii şi respectării unui cadru normativ privind asigurarea calităţii şi a siguranţei, pe baza unor parametrii ai întregului proces, de la donare la transplant, care trebuie să asigure:
– modurile de trasabilitate de la donare până la operaţionalizarea transplantului sau distrugerea organului, ca urmare a neconformităţii sau a compromiterii fiziopatologiei acestuia;
– aplicarea unor proceduri operaţionale standardizate;
– definirea calificărilor profesionale a personalului implicat.
În contextul deschiderii pieţei de servicii medicale, nu poate fi neglijat cadrul de protejare a datelor pentru dosarele electronice de sănătate, bazat, în esenţă, pe articolul 8 din Convenţia europeană pentru apărarea drepturilor omului şi a libertăţilor fundamentale (CEDOLF) şi pe articolul 8 din Carta Europeană a Drepturilor Fundamentale. Reguli specifice sunt expuse în Directiva 95/46/CE privind protejarea datelor şi în Directiva 2002/58/CE privind confidenţialitatea comunicaţiilor electronice, şi în legile interne ale statelor membre care aplică aceste directive.
Orice prelucrare a datelor cu caracter personal în DES trebuie să respecte şi regulile prevăzute de Convenţia pentru protejarea indivizilor cu privire la prelucrarea automată a datelor cu caracter personal a Consiliului Europei (ETS nr. 108) şi protocolul adiţional la Convenţia 108 privind autorităţile de control şi fluxurile de date transfrontaliere (ETS nr. 181).
În contextul DES, intervin şi Recomandările Consiliului Europei nr. R(97) privind protecţia datelor medicale (13 februarie 1997), în care se face referire şi la concluziile Grupului de lucru pentru accesul online al dosarelor electronice de sănătate şi ale Grupului de lucru internaţional pentru protecţia datelor în telecomunicaţii.
Directiva 95/46/CE reprezintă textul de referinţă, la nivel european, în materie de protecţie a datelor cu caracter personal. Aceasta instituie un cadru de reglementare menit să stabilească un echilibru între un nivel ridicat de protecţie a vieţii private a persoanelor şi libera circulaţie a datelor cu caracter personal în cadrul Uniunii Europene (UE).
În acest sens, directiva stabileşte limite stricte în ceea ce priveşte colectarea şi utilizarea datelor cu caracter personal şi solicită ca fiecare stat membru să creeze un organism naţional independent responsabil cu protecţia unor astfel de date.
Directiva se aplică datelor prelucrate prin mijloace automatizate (de exemplu, baze informatice de date ale clienţilor), precum şi datelor conţinute sau care urmează să fie conţinute într-un sistem neautomatizat de evidenţă a datelor cu caracter personal (evidenţe tradiţionale pe hârtie).
Directiva este menită să protejeze drepturile şi libertăţile persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal, stabilind orientări pentru a determina caracterul licit al prelucrării datelor.
Principiile se referă la:
– calitatea datelor
Astfel, datele cu caracter personal trebuie prelucrate în mod corect şi legal şi trebuie colectate numai în scopuri bine determinate, explicite şi legitime. De asemenea, acestea trebuie să fie exacte şi, dacă este necesar, actualizate.
Tot în acest context, se impune respectarea principiul retenţiei care impune ca datele cu caracter personal să nu fie stocate pentru o perioadă mai lungă decât este necesar pentru scopul în care aceste date au fost colectate şi prelucrate.
– legitimitatea prelucrării datelor
Prelucrarea datelor cu caracter personal se poate face doar cu consimţământul neechivoc al persoanei vizate şi doar dacă prelucrarea este necesară în:
-executarea unui contract la care persoana vizată este parte; sau
-îndeplinirea unei obligaţii legale care îi revine operatorului; sau
-protejarea interesului vital al persoanei vizate; sau
-îndeplinirea unei sarcini de interes public; sau realizarea interesului legitim urmărit de operator;
Dreptul de protecţie al datelor cu caracter personal nu este absolut, şi poate fi restrâns dacă anumite interese publice o reclamă. Cu toate acestea, obiectivele de interes public pot justifica încălcarea protecţiei datelor cu caracter personal doar dacă aceasta se face conform legii, fiind necesară într-o societate democratică în scopul respectării intereselor de securitate naţională, a siguranţei publice sau bunăstării economice a ţării, pentru prevenirea dezordinii şi infracţiunilor, pentru protejarea sănătăţii publice şi moravurilor sau pentru protejarea drepturilor şi libertăţilor altora, şi dacă nu depăşeşte obiectivul urmărit.
– categoriile speciale de prelucrare
Este interzisă prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenenţa sindicală, precum şi prelucrarea datelor privind sănătatea sau viaţa sexuală. Această dispoziţie este însoţită de anumite rezerve referitoare, de exemplu, la cazurile în care prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau în scopuri legate de medicina preventivă sau de stabilirea diagnosticelor medicale.
– informaţiile comunicate persoanelor vizate de prelucrarea datelor
Operatorul trebuie să furnizeze persoanei de la care colectează date o serie de informaţii legate de acesta (identitatea operatorului, scopul prelucrării datelor, destinatarii datelor etc.).
– dreptul de acces la date al persoanelor vizate
Persoanele vizate au dreptul de a obţine de la operator:
– confirmarea că datele care le privesc sunt sau nu sunt prelucrate şi comunicarea datelor care fac obiectul prelucrării;
– rectificarea, ştergerea sau blocarea datelor a căror prelucrare nu respectă dispoziţiile directivei, în special datorită caracterului incomplet sau inexact al datelor, precum şi notificarea acestor modificări terţilor cărora le-au fost comunicate datele;
– excepţii şi restricţii.
Principiile vizând calitatea datelor, informaţiile comunicate persoanelor vizate, dreptul de acces la datele prelucrate şi publicitatea prelucrării pot fi restrânse pentru a proteja, printre altele, siguranţa statului, apărarea, securitatea publică, urmărirea infracţiunilor penale, un interes economic sau financiar important al unui stat membru sau al UE ori pentru a proteja persoana vizată.
– dreptul de opoziţie în ceea ce priveşte prelucrarea datelor
Persoana vizată trebuie să aibă dreptul de a se opune, din considerente legitime, prelucrării datelor respective . De asemenea, aceasta trebuie să se poată opune, la cerere şi gratuit, prelucrării datelor care o privesc în scopul prospectării. În sfârşit, persoana vizată trebuie să fie informată înainte ca datele sale să fie comunicate terţilor în scopul prospectării şi trebuie să i se ofere dreptul de a se opune acestei comunicări.
– confidenţialitatea şi securitatea prelucrării datelor
Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite de către operator, inclusiv persoana împuternicită, care are acces la datele cu caracter personal nu trebuie să le prelucreze decât la instrucţiunile operatorului. De asemenea, operatorul trebuie să instituie măsuri adecvate pentru protecţia datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat.
– notificarea autorităţii de supraveghere cu privire la prelucrarea datelor
În acest context, statele membre UE trebuie să fie autorizate să deroge de la interdicţia privind prelucrarea categoriilor de date sensibile atunci când aceasta se justifică din motive de interes public important în domenii cum ar fi sănătatea publică şi protecţia socială – în special în scopul asigurării calităţii şi rentabilităţii în ceea ce priveşte procedurile folosite pentru soluţionarea cererilor de prestaţii şi servicii în sistemul asigurărilor de sănătate cercetarea ştiinţifică şi statistică guvernamentală; întrucât este totuşi de datoria lor să prevadă garanţii specifice şi corespunzătoare în scopul protejării drepturilor fundamentale şi vieţii private a indivizilor.
Astfel, interesul public important trebuie bine prezentat şi delimitat de către fiecare stat membru, iar prelucrarea derogată să fie efectuată numai din această perspectivă. În plus, orice încălcare a dreptului la viaţă privată şi de familie, pentru a fi legitimă, trebuie să respecte articolul 8 din Convenţia europeană a drepturilor omului şi trebuie citită în lumina jurisprudenţei de la Strasbourg: trebuie să fie “conform legii” şi să fie “necesară într-o societate democratică” pentru un scop de interes public.
Jurisprudenţa de la Strasbourg a afirmat în mod repetat că legea care justifică încălcarea „trebuie să indice sfera puterilor discreţionare oferite autorităţilor competente şi modul de exercitare a acestora cu suficientă claritate, având în vedere scopul legitim al măsurii în chestiune, pentru a proteja corespunzător individul împotriva abuzurilor”.
Operatorul trebuie să notifice autoritatea naţională de supraveghere înainte de a efectua prelucrarea datelor. Astfel de verificări prealabile privind eventualele riscuri la adresa drepturilor şi libertăţilor persoanelor vizate se efectuează de către autoritatea de supraveghere după primirea notificării . Trebuie să se asigure publicitatea prelucrărilor, iar autorităţile de supraveghere trebuie să ţină un registru cu prelucrările notificate.
Orice persoană trebuie să dispună de o cale de atac în justiţie în caz de încălcare a drepturilor garantate prin dispoziţiile de drept intern aplicabile prelucrării în cauză.
De asemenea, orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale a datelor sale cu caracter personal are dreptul să obţină reparaţii de la operator pentru prejudiciul suferit.
Se admite transferul datelor cu caracter personal efectuat de un stat membru către o ţară terţă, dacă aceasta din urmă face dovada deţinerii capabilităţilor şi infrastructurii necesare pentru asigurarea unui nivel de protecţie adecvat.
Directiva urmăreşte să încurajeze elaborarea unor coduri de conduită naţionale şi comunitare destinate să contribuie la buna aplicare a dispoziţiilor de drept intern şi comunitar. Fiecare stat membru având obligativitatea de a-şi desemna una sau mai multe autorităţi publice independente responsabile cu supravegherea aplicării pe teritoriul său a dispoziţiilor adoptate de statele membre în temeiul directivei.
Raportul Comisiei din 15 mai 2003, intitulat „Primul raport referitor la punerea în aplicare a Directivei privind protecţia datelor (95/46/CE)” [COM(2003) 265 final -3 Nepublicat în Jurnalul Oficial] a prezentat rezultatele consultărilor derulate, pe parcursul procesului de implementare, cu guvernele, instituţiile, federaţiile patronale, asociaţiile consumatorilor şi cetăţenii. Rezultatele consultărilor arată că, în ciuda întârzierilor şi a lacunelor constatate în punerea în aplicare a directivei, aceasta şi-a atins obiectivul principal, şi anume de a înlătura obstacolele din calea liberei circulaţii a datelor cu caracter personal între statele membre.
De asemenea, la acea dată, Comisia a estimat că obiectivul care vizează garantarea unui înalt nivel de protecţie în cadrul Comunităţii a fost atins, deoarece directiva stabileşte unele dintre cele mai înalte norme de protecţie a datelor personale.
Totuşi, s-a remarcat că există, încă, disparităţi semnificative între legislaţiile statelor membre în acest domeniu, fapt ce împiedică organizaţiile multinaţionale să elaboreze politici pan-europene în domeniul protecţiei datelor, cu potenţial risc de declanşare a unor acţiuni formale.
În ceea ce priveşte nivelul general de respectare a legislaţiei în materie de protecţie a datelor în UE, au fost identificate trei probleme:
– insuficienţa resurselor alocate pentru punerea în aplicare;
– respectare inegală a dispoziţiilor de către operatori;
– un nivel aparent scăzut de cunoaştere a drepturilor de către persoanele vizate, care s-ar putea afla la originea fenomenului menţionat anterior.
Pentru a asigura o mai bună aplicare a Directivei privind protecţia datelor, Comisia a adoptat o serie de iniţiative, cum ar fi:
– intensificarea dialogului cu statele membre şi cu autorităţile responsabile cu protecţia datelor privind modificările care ar urma să fie aduse legislaţiilor naţionale, pentru ca acestea să se alinieze integral la cerinţele directivei;
– asocierea ţărilor candidate în încercarea de a se realiza o punere în aplicare mai bună şi mai uniformă a directivei;
– îmbunătăţirea notificării tuturor actelor juridice care transpun directiva;
– simplificarea condiţiilor privind transferurile internaţionale de date;
– promovarea tehnologiilor de consolidare a protecţiei vieţii private;
– promovarea autoreglementării şi a codurilor de conduită europene.
Pe parcursul implementării directivei privind protecţia datelor personale s-a dovedit imperios necesară elaborarea altor acte normative europene care să susţină şi să apere drepturile şi libertăţile societăţilor democratice. Astfel au fost elaborate:
– Directiva 2002/58/CE a PE şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva privind confidenţialitatea şi comunicaţiile electronice) [Jurnalul Oficial L 201 din 31.07.2002] conţine dispoziţii referitoare la o serie de chestiuni mai mult sau mai puţin sensibile, cum ar fi păstrarea datelor de conectare de către statele membre în scopul supravegherii poliţieneşti (păstrarea datelor), trimiterea de mesaje electronice nesolicitate, utilizarea modulelor „cookie” şi includerea datelor personale în anuarele publice.
– Decizia 2004/915/CE a Comisiei din 27.12.2004 de modificare a Deciziei 2001/497/CE privind introducerea unui set alternativ de clauze contractuale standard pentru transferul de date cu caracter personal către ţări terţe [Jurnalul Oficial L 385 din 29.12.2004] a aprobat noi clauze contractuale standard pe care întreprinderile le pot utiliza pentru a asigura garanţii adecvate cu ocazia transferului de date cu caracter personal din UE către ţările terţe.
– Decizia 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către ţările terţe în temeiul Directivei 95/46/CE [Jurnalul Oficial L 181 din 04.07.2001] defineşte clauzele contractuale standard menite să asigure un nivel adecvat de protecţie a datelor cu caracter personal transferate din UE către ţările terţe. Decizia impune statelor membre să recunoască că societăţile sau organismele care utilizează astfel de clauze standard în contractele care privesc transferurile de date cu caracter personal către ţările terţe asigură „un nivel adecvat de protecţie” al datelor.
– Regulamentul 45/2001/CE al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date [Jurnalul Oficial L 8 din 12.01.2001] a fost menit să asigure protecţia datelor cu caracter personal în cadrul instituţiilor şi organelor Uniunii Europene.
Textul regulamentului prevedea:
– dispoziţii menite să garanteze un nivel înalt de protecţie a datelor cu caracter personal prelucrate de instituţiile şi organele comunitare;
– instituirea unei autorităţi independente de supraveghere, pentru a monitoriza aplicarea acestor dispoziţii.
Sistemul de sănătate informatizat, soluţia pentru SUA?
Un articol apărut în ediţia online a prestigioasei reviste Forbes anticipează scăderea radicală a costurilor sistemului sanitar din Statele Unite odată cu informatizarea unei părţi tot mai semnificative a acestuia. Se anticipează că pacientul va avea acces la servicii mai ieftine, deoarece va putea compara preţurile diverşilor furnizori de servicii medicale, optând pentru cel considerat optim. Digitalizarea datelor pacienţilor (realizată deja în SUA), completată de creşterea gradului de interconectare a diverselor sisteme informatice care gestionează astfel de date, va facilita coordonarea îngrijirii pacientului. În plus, o parte tot mai semnificativă a rolului de prevenţie al sistemului de sănătate va fi preluată de diverse gadgeturi şi aplicaţii care sprijină pacienţii în ceea ce priveşte aşa-zisele afecţiuni cauzate de stilul de viaţă, cum sunt cele provocate de consumul de alcool, tutun sau alimentaţie nesănătoasă şi sedentarism. Aceste aplicaţii oferă feedback personalizat asupra unor parametri ai stării de sănătate, considerat surprinzător de eficient în modificarea comportamentului.
În Statele Unite ale Americii, cheltuielile anuale pentru un asigurat se ridică la 7 800 de dolari, în vreme ce alte state cu sisteme sanitare la fel de eficiente, precum Japonia sau Marea Britanie, cheltuie în jur de 3 300 de dolari per asigurat. Aproximativ 40% din decesele premature sunt cauzate, în SUA, de afecţiuni cauzate de stilul de viaţă, în vreme ce 5% din fondurile alocate sănătăţii sunt folosite pentru probleme cauzate de fumat, iar 7% – pentru diabet.
Dosarele medicale electronice depăşesc, prin urmare, frontierele tradiţionale ale relaţiei directe între pacientul individual şi cadrul medical sau instituţia: păstrarea datelor medicale într-un DES depăşeşte metodele tradiţionale de păstrare şi utilizare a documentaţiei privind pacienţii. Din punct de vedere tehnic, punctele de acces multiple dintr-o reţea deschisă precum internetul cresc riscul interceptării datelor pacientului. Menţinerea standardului legal de confidenţialitate adecvat într-un mediu tradiţional se poate dovedi insuficient pentru protejarea intereselor unui pacient după ce dosarul electronic de sănătate a devenit disponibil pe Internet. Sistemele DES dezvoltate complet tind astfel să ofere şi să faciliteze accesul la datele medicale şi datele confidenţiale cu caracter personal.
Sistemele DES întâmpină dificultăţi în a se asigura că doar cadrele medicale autorizate primesc acces la date, în scopuri legitime, privind tratamentul persoanei vizate. Acestea conferă prelucrării datelor o dimensiune mai complexă, cu implicaţii directe pentru drepturile indivizilor. În consecinţă, un sistem DES trebuie să fie considerat o nouă situaţie de risc pentru protecţia datelor confidenţiale cu caracter personal.
Acceptabilitatea unui sistem de prelucrare a datelor cu un potenţial de risc excepţional depinde de un nivel corespunzător înalt de securitate a datelor pentru funcţionarea completă a sistemului. Accesul persoanelor neautorizate trebuie să fie practic imposibil şi prevenit, dacă se doreşte ca sistemul să fie acceptabil din punctul de vedere al protecţiei datelor. Cu toate acestea, disponibilitatea sistemului pentru cadrele autorizate trebuie să fie practic nelimitată pentru cazurile când informaţia este absolut necesară, pentru ca sistemul să ofere avantajele promise în tratamentul medical al pacienţilor.
Cadrul legal pentru înfiinţarea unui sistem DES va trebui să prevadă necesitatea punerii în aplicare a unei serii de măsuri de natură tehnică şi organizatorică pentru prevenirea distrugerii sau modificărilor, prelucrării şi accesului neautorizat la datele din sistemul DES. Integritatea sistemului trebuie să fie garantată prin exploatarea cunoştinţelor şi instrumentelor reprezentând cele mai recente evoluţii din domeniile informaticii şi a tehnologiei informaţiei.
Tehnologiile de creştere a confidenţialităţii (PET) trebuie aplicate la maximă capacitate pentru a promova protecţia datelor cu caracter personal. Criptarea nu trebuie utilizată exclusiv pentru transferuri, ci şi pentru stocarea de date în sistemele DES. Toate măsurile de securitate trebuie să fie uşor de utilizat pentru a beneficia de o sferă de aplicare mai largă.
Costurile necesare trebuie să fie considerate o investiţie în compatibilitatea sistemelor DES cu drepturile fundamentale, aceasta constituind una dintre cele mai importante condiţii pentru succesul sistemelor DES.
Indiferent de faptul că multe dintre mijloacele de protecţie menţionate mai sus conţin deja elemente de securitate a datelor, cadrul legal privitor la măsurile de securitate trebuie să prevadă necesitatea de:
– a dezvolta un sistem durabil şi eficient pentru identificarea şi prelucrarea electronică, precum şi de a actualiza constant registrele de identificare pentru verificarea autorizării persoanelor care posedă sau solicită acces la sistemul DES;
– urmărire a activităţii şi documentare a tuturor etapelor prelucrării care au avut loc în sistem, în special a solicitărilor de citire şi introducere de date, împreună cu verificările interne periodice şi examinare a autorizărilor corecte;
– mecanisme eficiente de rezervă şi recuperare necesare pentru securizarea conţinutului sistemului;
– prevenirea accesului neautorizat sau distrugerea datelor DES în momentul transferului sau stocării de rezervă, de ex. prin utilizarea algoritmilor de criptare;
– instrucţiuni clare şi documentate pentru toţi utilizatorii autorizaţi privind utilizarea corectă a sistemelor DES şi evitarea riscurilor şi breşelor de securitate;
– o distincţie clară între funcţiile şi competenţele categoriilor de persoane însărcinate cu funcţionarea sistemului sau cel puţin implicate în funcţionarea acestuia, în vederea stabilirii responsabilităţilor pentru neajunsuri;
– audit intern şi extern periodic privind protecţia datelor.
Dincolo de cadrul instituţional, reglementat legislativ, pentru transferul informaţiilor medicale, o altă problemă este cea a site-urilor de socializare de tip Sermo si PatientsLikeMe (similare cu Facebook, Google+ şi MyYahoo) pe care pacienţii şi specialiştii se întâlnesc în spaţiul virtual, într-un mediu informal pentru a discuta probleme legate de sănătate şi medicină. Aparent, nu există nicio problemă că oamenii devoalează, în mod voluntar, informaţii despre ei şi, în acest sens, educaţia rămâne singura metodă eficientă de control a ceea ce share-uieşte fiecare, dat fiind faptul că este imposibil de a realiza şi implementa un sistem eficient care să limiteze acest fenomen.
În general, acest tip de informaţie nu reprezintă un pericol pentru individ, dar, într-un anumit context, ele pot fi corelate, manual sau chiar automat (serviciul oferit de Yatedo, “people search” sau cel de management al reputaţiei online) şi să se tranforme într-o vulnerabilitate pentru persoana în cauză.
Accesarea unor astfel de site-uri deschide o poartă către:
– vehicularea unor date personale, extrem de sensibile, într-un sistem care nu are niciun management din punct de vedere al protecţiei informaţiilor;
– transmiterea de viruşi informatici şi programe malware ce pot accesa informaţiile disponibile;
– accesarea neautorizată a bazei de date acumulate la nivelul comunităţii online;
– companiile care achiziţionează baze de date, pe baza cărora dezvoltă o întreagă industrie menită să realizeze, cât mai detaliat profilul pacientului.
Aceste date reprezintă o valoare inestimabilă pentru firmele active atât pe piaţa medicală (producerea/ distribuţia de medicamente, aparatură, dispozabile şi tehnică medicală), cât şi pe cea a serviciilor medicale (clinici, cabinete, laboratoare sau chiar firme de asigurări de sănătate) care, în acest mod, îşi pot targeta, eficient şi facil, publicul ţintă, oferind astfel, deţinătorului de informaţie, un profil complex al persoanei – elaborat din perspectiva nevoilor, nivelului său socio-profesional şi cultural -, care se va concretiza, în final, prin intermediul manipulării, într-o ofertă sau campanie publicitară personalizată, greu de refuzat.
În acest context, utilizatorii joacă un rol important în a ajuta la protejarea propriilor date. Cu toate acestea, utilizatorii de multe ori nu sunt conştienţi de riscuri şi nu au abilităţile şi capacitatea de a proteja intimitatea lor. Furnizorii sunt reticenţi în a oferi protecţie, deoarece acestea pot reduce beneficiile comunicării deschise şi a schimbului de date . Cu toate că mecanismele de confidenţialitate sunt implementate într-o platformă şi utilizatorii acesteia sunt conştienţi şi competenţi în optimizarea setărilor de confidenţialitate oferite, ei vor fi în continuare expuşi la încălcările vieţii private de către furnizori şi partenerii lor.
Abordarea acestor provocări presante necesită, în cele din urmă, un cadru de politici pentru accesul, utilizarea şi dezvăluirea datelor medicale pentru scopurinon – medicale. Studiere a comunicării în mediul online a identificat implicaţiile politice ale social networking, care ar trebui să informeze despre eforturile de a proteja confidenţialitatea datelor medicale. “Intimitate prin educaţie”, “Intimitate din design-ul platformelor online” şi “Intimitate prin regulament” sunt trei principii-cheie care stau la bazele cercetării viitoare a domeniului protecţiei datelor medicale vehiculate prin reţelele de comunicaţii. Factorii de decizie şi părţile interesate ar trebui să elaboreze principiile prin intermediul discuţiilor care vor produce în timp, conştientizarea de către utilizator şi înţelegerea unor politici publice adecvate, precum şi tehnologii de sprijin care să protejeze în mod adecvat confidenţialitatea comunităţii online.
Autor: Oana Ciobanu
