O noua bazaconie ...

0
0
Publicat:
Ultima actualizare:
consimtamant

Dacă ar fi să folosesc un termen binecunoscut în rândul specialiştilor români în domeniul protecţie şi securităţii datelor cu caracter personal, aş spune că o noua "bazaconie" (termen folosit de fostul premier) a fost lansată de autorităţile care au modificat pe ultima sută de metri, înainte de redeschiderea şcolilor în 8 februarie, procedura privind testarea anti COVID-19 a elevilor.

Mai exact, Ministerul Sănătăţii a modificat formularul pentru părinţi, prin care aceştia pot exprima consimţământul din punct de vedere medical pentru testare a copilului lor cu teste antigen rapide în şcoală, potrivit documentului publicat duminică seara la ora 23:00, cu doar o oră înainte să înceapă prima zi de şcoală din Semestrul al II-lea. Noutatea acestui document este declaraţia pentru prelucrarea datelor cu caracter personal care a fost inclusă în acest formular şi nu se mai completează separat. Ca specialist, nu îmi pot da seama cu exactitate ce ar trebui să reprezinte acest document: consimţământ medical informat ( Art.660 - L 95/2006) şi/sau consimţământ GDPR (Art.4 pct. 11- RGPD 679/2016) pentru că nu respectă condiţiile de validitate pentru nici una din acestea şi nu respectă nici principiul fundamental al minimizării datelor.

Nu este prima, şi poate nici ultima, dată când autorităţile române pun părinţii specialişti în acest domeniu, în faţa unei dileme: refuz să semnez un document eronat având în vedere faptul că experienţa şi etica profesională mă împiedică să fac acest lucru sau semnez pentru a nu crea neplăceri copilului la şcoală? Anul trecut, Ministerul Educaţiei condiţiona accesul în sala de examen de existenţa unui astfel de formular de consimţământ din partea părinţilor.

„Declar prin prezenta că sunt de acord cu utilizarea şi prelucrarea datelor mele cu caracter personal de către cabinetul medical din cadrul unităţii de învăţământ preuniversitar X, inclusiv pentru transmiterea datelor la Direcţia de Sănătate Publică/Direcţia de Sănătate Publică a Municipiului Bucureşti, rezultate din prezentul consimţământ depus voluntar la unitatea de învăţământ.” Aşa sună "consimţământul" (şi ghilimelele nu sunt puse în mod accidental) privind prelucrarea datelor cu caracter personal care în această formă numai consimţământ nu este. Ar fi putut fi o simplă informare cu indicarea temeiului legal corect şi respectarea Art. 13 din GDPR. Altfel, această măsură nu conduce decât la creşterea birocraţiei, generând un munte de documente inutile şi fără valoare juridică, datorită faptului că nu respecta cerinţele minimale stabilite de lege.

Acest formular trebuie analizat şi din prisma condiţiilor de validitate a unui consimţământ medical informat. Art. 660 din Legea 95/2006 stabileşte că informaţiile relevante trebuie transmise pacientului la un nivel ştiinţific rezonabil pentru puterea de înţelegere a acestuia şi trebuie să conţină cel puţin diagnosticul, natura şi scopul tratamentului, riscurile şi consecinţele tratamentului propus, alternativele viabile de tratament, riscurile şi consecinţele lor şi pronosticul bolii fără aplicarea tratamentului. Lipsa informării corespunzătoare introduce riscuri juridice pentru cadrele medicale, mai ales în lipsa unui contact direct medic-pacient în momentul în care se obţine acest consimţământ medical informat.  

Nu cred că este normal ca după cei aproape trei ani de când se aplică Regulamentul (UE) 679/2016 (GDPR), în România consimţământul să fie în continuare prima opţiune a operatorilor de date cu caracter personal atunci când se doreşte identificarea unui temei legal. Se poate explica uşor prin “puterea obişnuinţei”, prin cunoştinţe superficiale asupra modificărilor introduse de noua legislaţie sau prin faptul că Responsabilul cu protecţia datelor (DPO) încă nu şi-a câştigat locul de drept şi nu a reuşit să provoace o schimbare fundamentală în cadrul organizaţiilor. Utilizarea eronată a temeiului de prelucrare nu conduce neapărat la încălcarea Regulamentului şi la aplicarea unei amenzi şi este de fapt o dovadă clară a cunoaşterii precare din partea operatorilor a prevederilor şi principiilor Regulamentului (UE) 679/2016 (GDPR). 

Ca specialist îmi doresc să învăţăm într-un final să folosim corect acest temei legal şi să apelăm la el atunci când am epuizat toate celelalte variante. Cu toţii ar trebui să ştim că Regulamentul (UE) 679/2016 (GDPR) a schimbat fundamental ierarhia din Directiva 95/46/EC (abrogată) şi din  Legea 677/2001 (abrogată) cu care eram obişnuiţi, înlocuind-o cu egalitatea între temeiurile de prelucrare. Astfel, legalitatea prelucrării datelor poate fi justificată conform articolul 6 alineatul 1 din Regulament prin: temei legal, interes vital, interes legitim, relaţie contractuală sau interes public şi este nevoie de consimţământul persoanei vizate de exemplu, în cazul activităţilor de marketing sau al studiilor medicale voluntare. 

Nu pot decât să recomand Autorităţilor din România să studieze prima dată celelalte temeiuri de prelucrare a datelor personale, deoarece, de cele mai multe ori, există deja obligaţii legale de prelucrare a datelor sau un contract care stă la baza prelucrărilor sau poate fi cu uşurinţă demonstrat un interes legitim, public sau vital. Abia după eliminarea oricărui alt posibil temei putem ajunge la ipoteza utilizării consimţământului, studiind cu atenţie ce se întâmplă în cazul retragerii acestuia, dacă sunt condiţii de retragere facilă a consimţământului şi dacă este liber exprimat. 

Consimţământul medical informat vs. Consimţământul GDPR

Nu trebuie să facem confuzie între “consimţământul pacientului folosit ca temei legal de prelucrare a datelor cu caracter personal” şi “consimţământul medical informat” care este, de fapt, un document prin care se traduc într-un limbaj comun termenii de specialitate care definesc un act medical, cu scopul de a obţine acceptul în cunoştinţă de cauză al pacientului si care vizează relaţia medic-pacient şi informaţiile legate de actul medical si repercusiunile acestuia. 

Articolul 4 alin. 11 din Regulamentul 679/2106 defineşte “consimţământul” persoanei vizate ca fiind “orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”. Trebuie analizat în această situaţie şi conţinutul considerentului 42, care precizează: “Consimţământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să îşi retragă consimţământul fără a fi prejudiciată.”. Condiţiile de utilizare a consimţământului ca temei legal de prelucrare a datelor cu caracter personal sunt descrise pe larg în cuprinsul art. 7 din Regulamentul 679/2016, astfel că, orice operator trebuie să demonstreze că persoana vizată şi-a dat consimţământul informat pentru prelucrarea datelor sale cu caracter personal, printr-o alegere liberă autentică şi cererea în vederea obţinerii consimţământului trebuie să fie într-o formă care o diferenţiază de celelalte aspecte, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu.

Pentru obţinerea unui consimţământ valid (ca temei de prelucrare GDPR) trebuie întrunite mai multe condiţii, precum faptul că: 

  • trebuie să fie liber exprimat şi obţinut distinct de orice alt acord, 
  • trebuie să fie acordat în cunoştinţă de cauză,
  • trebuie acordat pentru un scop specific,
  • toate motivele prelucrării trebuie precizate clar,
  • trebuie să fie explicit şi acordat printr-un act pozitiv (de exemplu, o căsuţă pe care persoana fizică trebuie să o bifeze explicit online sau o semnătură pe un formular),
  • trebuie să folosească un limbaj clar şi simplu şi să fie clar vizibil şi
  • nu în ultimul rând, consimţământul poate fi retras, iar acest lucru trebuie menţionat. 

În practică, obţinerea unui consimţământ la internarea într-o unitate medicală prin solicitarea ”vă rog semnaţi aici, aici şi aici” nu este o metodă de  conformare faţă de principiile GDPR, este o rezolvare de formă, pentru a scăpa de o “corvoadă”, prin care am reuşit doar să creştem birocraţia, am creat formulare noi ca să ne protejăm în cazul în care pacientul ne dă în judecată. Chiar şi aşa, avantajul va fi de partea pacientului pentru că el va putea spune oricând că ”nu am fost informat corect, nu am înţeles ce mi s-a spus / cerut să fac, consimţământul nu este conform GDPR, nu a fost obţinut în mod real sau nu am fost informat în prealabil”. Un consimţământ, pentru a fi valabil conform GDPR, trebuie să îndeplinească mult mai multe condiţii decât semnătura pacientului.

Pentru a fi acordat în mod liber consimţământul, pacientul trebuie să aibă libertatea de a alege şi trebuie să poată să refuze sau să îşi retragă consimţământul, fără a fi pus în dezavantaj sau fără a suporta prejudicii. Consimţământul nu este acordat în mod liber, de exemplu, dacă există un dezechilibru clar între persoana fizică şi unitatea medicală (de exemplu, relaţia pacient-medic sau angajator-angajat) sau atunci când o societate/organizaţie le solicită persoanelor fizice să aprobe prelucrarea unor date cu caracter personal care nu sunt necesare ca o condiţie pentru executarea unui serviciu.

Pentru ca o persoană să îşi dea consimţământul în cunoştinţă de cauză, acesteia trebuie să i se ofere în prealabil cel puţin următoarele informaţii (notă de informare): identitatea organizaţiei care prelucrează datele, informaţii privind scopurile în care sunt prelucrate datele, informaţii privind tipul de date care se va prelucra, posibilitatea de retragere a consimţământului dat, dacă este cazul, informaţii privind faptul că datele vor fi utilizate pentru luarea de decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri. În cazul în care consimţământul se referă la un transfer internaţional, persoana vizată va fi informată cu privind riscurile posibile ale transferurilor de date în ţări terţe care nu fac obiectul unei decizii a Comisiei privind caracterul adecvat şi nu există garanţii adecvate.

image
Opinii


Ultimele știri
Cele mai citite