Confidențialitatea actului medical – între obligație etică și obligație legală

Sanitar / E-Health

Vizualizari: 3407

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Confidențialitatea constituie una dintre cele mai importante valori ale actului medical care stă la baza relației profesionist-pacient, reprezentând, totodată, și o obligație, stipulată încă din cele mai vechi timpuri. Cu toate acestea, în 2020, în România este dificil de realizat o analiză la nivel practic a felului în care este respectată obligația de asigurare a confidențialității actului medical de către personalul din spitalele și farmaciile din România.

Odată cu aplicarea Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, a crescut posibilitatea aplicării de sancțiuni de ordin disciplinar și administrativ, mult amplificate, a personalului medical pentru divulgarea către terțe persoane a informațiilor despre sănătatea unor pacienți. Acest lucru a dat de gândit mai multor cadre medicale și chiar a creat panică în prima zi de aplicare a Regulamentului (UE) 2016/679, respectiv 25 mai 2018, când s-a materializat un adevărat “bombardament de consimțăminte” aplicat pacienților din dorința de a obține garanția legalității prelucrării datelor, chiar dacă aceștia o aveau deja prin temeiul legal al profesiei. 

Aceast articol își propune să traseze limitele asigurării confidențialității actului medical, raportate la legislația existentă în România și să analizeze garanția oferită pacientului, privind confidențialitatea informațiilor, prin testarea politicilor de confidențialitate și evidențierea incidentelor de securitate.

Din punct de vedere legislativ, asigurarea confidențialității actului medical și a informațiilor legate de pacient, în România, este un domeniu reglementat prin mai multe acte juridice naționale și internaționale, lucrarea de față evidențiind contribuția fiecărui document la imaginea de ansamblu asupra nivelului de conformare teoretică și practică în relație cu această obligație. Metodologia utilizată este dată de procesul de colectare și sintetizare a informațiilor relevante și elaborarea unor concluzii bazându-se pe deducții logice, având ca referință principiile și obligațiile introduse de Regulamentul (UE) 2016/679 începând cu data de 25 mai 2018.

Conform Dicționarului Explicativ al Limbii Române „confidențial” înseamnă „secret”, astfel încât confidențialitatea asupra datelor personale – diagnostic, situație socială, practici sexuale – înseamnă că medicii, asistenții medicali, farmaciștii, funcționarii publici, toți cei care, practicând o meserie, intră în posesia unor date cu caracter personal, trebuie să păstreze secrete informațiile despre beneficiari. 

În Regulamentul (UE) 2016/679 conceptul de “confidențialitate” este prezentat sub forma unui principiu în Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal - în care se menționează expres că datele cu caracter personal sunt prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).  Mai mult, în Articolul 90 - Obligații privind păstrarea confidențialității - este introdusă mențiunea că “statele membre pot adopta norme specifice pentru a stabili competențele autorităților de supraveghere […], în legătură cu operatori sau cu persoanele împuternicite de operatori care [...] au obligația de a păstra secretul profesional sau alte obligații echivalente de confidențialitate, în cazul în care acest lucru este necesar și proporțional pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și obligația păstrării confidențialității. Respectivele norme se aplică doar în ceea ce privește datele cu caracter personal pe care operatorul sau persoana împuternicită de operator le-a primit în urma sau în contextul unei activități care intră sub incidența acestei obligații de păstrare a confidențialității. Fiecare stat membru notifică Comisiei normele adoptate în temeiul alineatului (1) până la 25 mai 2018, precum și, fără întârziere, orice modificare ulterioară a acestora.”

Conform Regulamentului (UE) 2016/679, datele privind sănătatea sunt definite ca “date legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia” și fac parte din categoria de date speciale (sensibile) cu caracter personal. Acest tip de date sunt interzise a fi prelucrate cu excepția situației când “prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical” cu mențiunea că prelucrarea se poate face doar de către “un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia”

Principiul confidențialității actului medical este, în același timp, un principiu garantat pacientului prin intermediul mai multor documente de natură legislativă de nivel național și, în același timp, o obligație pentru operatorul de date de a implementa și respecta acest principiu. Am putea spune că este un drept legal pentru pacienți și o obligație pentru personalul din sistemul sanitar – obligație etică și, în același timp, legală. Chiar dacă dispunem de numeroase reglementări care instituie obligația aplicării principiului confidențialității asupra actului medical, aceasta este, deseori, ignorată de personalul din sistemul sanitar românesc, iar pacienții nu își cunosc și nu își revendică dreptul lor la confidențialitate.

Confidențialitatea constituie una dintre cele mai importante valori ale actului medical, care stă la baza relației de încredere între medic și pacient. Jurământul lui Hipocrate subliniază importanța secretului medical: “Voi păstra secretele încredinţate de pacienţi chiar şi după decesul acestora”. Prin urmare, secretul pe care pacientul îl păstrează, chiar și față de rudele sale cele mai apropiate, în legătură cu starea sa de sănătate, este împărtășit cu medicul său. Medicul sau farmacistul devine un mentor căruia îi încredințăm informații personale, iar confidențialitatea actului medical va căpăta subtilități similare actului religios al spovedaniei. Această analogie nu vine decât să accentueze dimensiunea încrederii ce ar trebui să existe în raportul dintre pacient și medicul sau farmacistul curant.

Legea cu privire la drepturile pacienților prevede în mod expres că toate informațiile privind starea pacientului, rezultatele investigațiilor, diagnosticul, prognosticul, tratamentul, datele personale sunt confidențiale chiar și după decesul acestuia. Mai mult, informațiile cu caracter confidențial pot fi furnizate numai în cazul în care pacientul își dă consimțământul explicit sau dacă legea o cere în mod expres. În cazul în care informațiile sunt necesare altor furnizori de servicii medicale acreditați, implicați în tratamentul pacientului, acordarea consimțământului nu mai este obligatorie. Pacientului îi este asigurat și garantat accesul la datele medicale personale.

Orice amestec în viața privată, familială a pacientului este interzis, cu excepția cazurilor în care aceasta imixțiune influențează pozitiv diagnosticul, tratamentul ori îngrijirile acordate și numai cu consimțământul pacientului. Sunt considerate excepții cazurile în care pacientul reprezintă pericol pentru sine sau pentru sănătatea publică.

Această obligație a medicului este una corelativă dreptului pacientului la securitatea vieții personale, integritatea fizică, psihică și morală, cu asigurarea discreției în timpul acordării serviciilor de sănătate și asigurarea confidențialității informațiilor ce țin de secretul medical.

În România, Codul Penal Actualizat în Art. 227 se specifică faptul că “divulgarea, fără drept, a unor date sau informații privind viața privată a unei persoane, de natură să aducă un prejudiciu unei persoane, de către acela care a luat cunoștință despre acestea în virtutea profesiei ori funcției și care are obligația păstrării confidențialității cu privire la aceste date, se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.”

Mai mult, art. 79 din Codul de Procedură Penală menționează faptul că “persoana obligată a păstra secretul profesional (cadrul medical) nu poate fi ascultată ca martor cu privire la faptele și împrejurările de care a luat cunoștință în exercițiul profesiei, fără încuviințarea persoanei față de care este obligată a păstra secretul (încuviințarea se dă în scris.).”

Codul de deontologie medicală prevede că medicul răspunde disciplinar pentru destăinuirea secretului având în vedere că secretul medical există și față de aparținători, de colegi și cadre sanitare neinteresate în tratament. În comunicările științifice, cazurile vor fi în așa fel prezentate, încât identitatea bolnavului să nu poată fi recunoscută. În ceea ce privește mass-media, aceasta are voie să intre în unitățile sanitare doar cu acceptul cumulativ al șefului de secție, al medicului curant și al pacientului, cu respectarea confidențialității.

Legat de certificatele medicale și medico-legale, acestea vor fi eliberate numai la cererea persoanei examinate, reprezentanților săi legali sau la cererea unei instanțe de judecată. Evidențele medicului (registru, fișe, foi, condici de operație, procese verbale de necropsie) trebuie păstrate ca materiale secrete.

În legea privind exercitarea profesiei de medic se fac referiri atât directe (secțiunea 4), cât și indirecte la confidențialitate (secțiunea 1, secțiunea 4): “Deciziile și hotărârile cu caracter medical vor fi luate avându-se în vedere interesul și drepturile pacientului, principiile medicale general acceptate, nediscriminarea între pacienți, respectarea demnității umane, principiile eticii și deontologiei medicale (s.n.), grija față de sănătatea pacientului și sănătatea publică. În legătură cu exercitarea profesiei și în limita competențelor profesionale, medicului nu-i pot fi impuse îngrădiri privind prescripția și recomandările cu caracter medical, având în vedere caracterul umanitar al profesiei de medic, obligația medicului de deosebit respect față de ființa umană și de loialitate față de pacientul său (s.n.), precum și dreptul medicului de a prescrie și recomanda tot ceea ce este necesar din punct de vedere medical pacientului.”

Cadrele medicale sunt obligate să păstreze secretul profesional, să respecte și să aplice, în orice împrejurare, normele de deontologie medicală și să respecte drepturile pacienților. Medicul răspunde disciplinar pentru nerespectarea legilor și regulamentelor profesiei medicale, a Codului de deontologie medicală și a regulilor de bună practică profesională, a Statutului Colegiului Medicilor din România, pentru nerespectarea deciziilor obligatorii adoptate de organele de conducere ale Colegiului Medicilor din România, precum și pentru orice fapte săvârșite în legătură cu profesia, care sunt de natură să prejudicieze onoarea și prestigiul profesiei sau ale Colegiului Medicilor din România. Răspunderea disciplinară a membrilor Colegiului Medicilor din România, potrivit acestei legi, nu exclude răspunderea penală, contravențională, civilă sau materială, conform prevederilor legale.

În Codul Internațional de Etică Medicală al Asociației Mondiale a Sănătății sunt precizate Obligațiile medicului față de pacient: Un doctor datorează pacientului său loialitate totală precum și toate cunoștințele sale profesionale. Un medic trebuie să păstreze secretul absolut al informațiilor despre pacientul său având în vedere încrederea totală pe care o primește de la acesta".

În ceea ce privește publicitatea și activitatea jurnalistică, Consiliul Național al Audiovizualului a emis două decizii prin care sunt impuse reguli în cadrul emisiunilor cu caracter informativ: “În cazul informării asupra unor accidente, dezastre sau tragedii colective se va evita accentuarea gratuită a stării de îngrijorare și se vor cita sursele de informare. Se vor evita speculațiile asupra evenimentelor tragice, a cauzelor și consecintelor lor ori prezentarea repetată a unor imagini șocante, pentru a nu provoca temeri inutile sau panică în rândul publicului. Nu se va preciza numele victimelor, până la comunicarea sau confirmarea oficială a acestora.”

Radiodifuzorii au obligația să respecte dreptul sacru la demnitate umană și la propria imagine și să nu profite de ignoranța sau buna credință a persoanelor. În sensul deciziilor menționate anterior “sunt considerate a fi de interes public justificat orice probleme, fapte sau evenimente locale sau naționale, cu semnificație pentru viața comunității și care nu încalcă drepturile și libertățile fundamentale ale omului. Este interzisă difuzarea de imagini ale persoanei aflate în situația de victimă, fără acordul acesteia. Este interzisă difuzarea de imagini ale persoanei fără discernământ sau decedate, fără acordul familiei. Este interzisă difuzarea de imagini care exploatează sau scot în evidență traumele sau traumatismele unei persoane.”

Aceste decizii ale Consiliul Național al Audiovizualului mai prevăd faptul că orice persoană are dreptul la respectul intimității în momente dificile, precum o pierdere ireparabilă sau o nenorocire. În cazul situațiilor de suferință umană, a dezastrelor naturale, accidentelor sau a actelor de violență, radiodifuzorii au obligația de a nu se amesteca nejustificat în viața privată.

Difuzarea materialelor audiovizuale conținând imagini ale persoanelor aflate la tratament în unitățile de asistență medicală, precum și a datelor cu caracter personal privind starea de sănătate, problemele de diagnostic, prognostic, tratament, circumstanțe în legătură cu boala și alte diverse fapte, inclusiv rezultatul autopsiei, sunt permise numai cu acordul persoanei sau, în cazul în care persoana este fără discernământ sau decedată, cu acordul familiei ori a aparținătorilor.

Radiodifuzorii au obligația de a respecta demnitatea și anonimatul persoanelor cu tulburări psihice și fac excepție situațiile de interes public justificat, în care difuzarea materialului audiovizual are drept scop prevenirea săvârșirii unor fapte penale ori înlăturarea urmărilor prejudiciabile ale unor asemenea fapte, probarea comiterii unei infracțiuni sau protejarea sănătății sau moralei publice.

Nu în ultimul rând, drepturile pacienților în vigoare prevăd în mod concret dreptul pacientului de a fi respectat ca persoană umană, fără nicio discriminare și faptul că acesta are dreptul de a cere în mod expres să nu fie informat și de a alege o altă persoană care să fie informată în locul său. Rudele și prietenii pacientului pot fi informați despre evoluția investigațiilor, diagnostic și tratament, cu acordul pacientului.

Consimțământul pacientului este obligatoriu pentru recoltarea, păstrarea, folosirea tuturor produselor biologice prelevate din corpul său, în vederea stabilirii diagnosticului sau a tratamentului cu care acesta este de acord. Consimțământul pacientului este obligatoriu și în cazul participării sale în învățământul medical clinic și la cercetarea științifică. Nu pot fi folosite pentru cercetare științifică persoanele care nu sunt capabile să își exprime voința, cu excepția obținerii consimțământului de la reprezentantul legal și dacă cercetarea este făcută și în interesul pacientului.

Pacientul nu poate fi fotografiat sau filmat într-o unitate medicală fără consimțământul său, cu excepția cazurilor în care imaginile sunt necesare diagnosticului sau tratamentului și evitării suspectării unei culpe medicale.

Toate informațiile privind starea pacientului, rezultatele investigațiilor, diagnosticul, prognosticul, tratamentul, datele personale sunt confidențiale chiar și după decesul acestuia, astfel că informațiile cu caracter confidențial pot fi furnizate numai în cazul în care pacientul își dă consimțământul explicit sau dacă legea o cere în mod expres.

 

Limitele asigurării confidențialității actului medical

Confidențialitatea actului medical nu este un drept absolut și trebuie să înțelegem că sunt situații când divulgarea datelor medicale este necesară  în scopul îndeplinirii unui interes public sau în cazul pacienților care pot constitui un pericol chiar pentru ei înșiși sau pentru cei din jur.

Astfel, există situații în care divulgarea informațiilor care constituie secret profesional se poate realiza fără consimțământul pacientului sau al reprezentanților săi legali, cum ar fi:

  • în scopul examinării și tratamentului pacientului care nu este în stare, din cauza sănătății să-și exprime dorința;
  • în cazul posibilității extinderii unor maladii contagioase, intoxicații și altor maladii care prezintă pericol în masă;
  • la cererea organelor de urmărire penală, a procuraturii și instanței judecătorești în legătură cu efectuarea urmăririi penale sau cercetării judecătorești;
  • la cererea Avocatului Poporului în scopul asigurării protecției persoanelor împotriva torturii și a altor pedepse sau tratamente cu cruzime, inumane sau degradante;
  • în caz de acordare a ajutorului medical unei persoane ce nu dispune de capacitate de exercițiu deplină, incapabilă să-și informeze părinții sau reprezentanții legali.

Codul deontologic al medicilor prevede expres faptul că secretul medical este obligatoriu, dar că interesul societății (prevenirea și combaterea epidemiilor, bolilor venerice, bolilor cu extindere în masă) primează față de interesul personal

Tot acest cod deontologic definește obiectul secretului profesional ca fiind ”tot ceea ce medicul, în calitatea lui de profesionist, a aflat direct sau indirect în legătură cu viața intimă a bolnavului, a familiei, a aparținătorilor, precum și probleme de diagnostic, prognostic, tratament, circumstanțe în legătură cu boala și cele mai diverse fapte și chiar și rezultatul autopsiei.”

În situația în care legea sau o curte judecătorească obligă medicul să dezvăluie aspecte cuprinse în secretul medical, aceasta nu constituie o abatere. În cazul în care informațiile sunt necesare altor furnizori de servicii medicale acreditați, implicați în tratamentul pacientului, acordarea consimțământului nu mai este obligatorie.

Există legislație națională specifică care tratează excepțiile privind prelucrarea datelor persoanelor infectate cu HIV, în sensul că numele acestora se raportează către Direcţiile de sănătate publică, pe fişele de confirmare a cazului de infecţie cu HIV. Persoanele infectate cu HIV au obligaţia de a anunţa medicul care le îngrijeşte care este statusul lor HIV, iar medicii care îngrijesc persoane infectate se pot anunţa între ei şi fără acordul pacientului. Medicul de familie şi medicul de medicina muncii trebuie să se informeze reciproc cu privire la modificarea stării de sănătate a pacientului/angajatului

Am putea concluziona că dreptul pacientului de a fi protejat de personalul din sistemul sanitar românesc, prin păstrarea secretului profesional, se sfârșește acolo unde începe pericolul public.

 

Provocările sistemului sanitar românesc

Având în vedere statistica aferentă anului 2017, publicată de Institutul Național de Statistică, pacientul (“persoana vizată”) din România are acces la tehnologie, ținând cont de faptul că 68,6% din gospodăriile din România au acces la rețeaua de internet, 65,6% din gospodării având cel puțin un computer. Potrivit unui studiu realizat de compania americană Google, România este ţara care face cele mai multe cumpărături de pe mobil din Uniunea Europeană, românii achiziţionând produse IT şi articole de modă direct de pe telefon, în condiţiile în care rata de penetrare a smartphone-ului în rândul populaţiei de peste 16 ani a trecut de 70%. 

Legat de activitatea online, 84% din utilizatori accesează internetul zilnic, mai exact 8 milioane de români, petrecând în medie aproape 280 de minute zilnic, principalele lor teme de interes fiind ştirile, muzica, informaţiile din domeniul medicinei şi cele din zona culturală.

Conform unui barometru realizat de Uniunea Europeană, România este țara unde se înregistrează cea mai mare rată a utilizatorilor de rețele sociale și aplicații de mesagerie online au încredere în știrile și informațiile accesate prin intermediul acestora 59% comparativ cu 36% media UE. La polul opus se afla respondenții din Italia, Germania și Austria, unde numai 26%, 23, respectiv 21% au încredere în informațiile și știrile disponibile pe rețelele sociale.

Într-un alt raport al Uniunii Europene, intitulat “Atitudinea asupra protecției datelor și identitatea electronică”, România se situează pe ultimul loc cu un procent de 47% în ceea ce privește conștientizarea importanței datelor cu caracter personal ca o “condiție a vieții moderne”.

Doar 20% dintre români aveau cunoștință, în 2010, că în România există o autoritate care se ocupă cu protecția datelor cu caracter personal, înregistrându-se o mică creștere, la 22%, în 2015.

Un element surprinzător în această analiză este procentul ridicat de români care au răspuns afirmativ la întrebarea “Ați dori să fiți informați dacă datele Dumneavoastră sunt pierdute sau furate?”, observând astfel o creștere semnificativă de la 79% (2010) la 92% (2015) de unde rezultă faptul că românii nu pun accent pe datele cu caracter personal, fiind pe ultimul loc în barometrul European, dar în cazul pierderii sau furtului acestora sentimentul de apartenență crește considerabil, intervenind dorința de control, conștientizând pierderea și totodată valoarea acestora. 

Un ultim raport prezentat în Barometrul European prezintă o situație sintetică a gradului de conștientizare a mai multor categorii de date cu caracter personal la nivelul fiecărui stat din UE, rezultatele fiind centralizate în urma aplicării întrebării “Care dintre următoarele categorii de informații referitoare la Dumneavoastră le considerați ca fiind personale?”, prezentând variantele de răspuns pentru fiecare eșantion reprezentativ. România se remarcă și de data aceasta înregistrând mai multe procente minime la nivel European, după cum urmează: datele financiare precum salariul, detalii bancare (46%), informații medicale (50%), datele de pe cartea de identitate (81%), amprentele digitale (53%), adresa de domiciliu (35%), numărul de telefon mobil (28%), fotografii personale (19%), numele (32%), istoricul locurilor de muncă (11%), lista de prieteni (9%), gusturile și opiniile personale (9%), naționalitatea (11%), hobby-uri (9%) și lista website-urilor accesate (5%).

Constatăm faptul că la nivel European, România înregistrează 4 rezultate minime, pentru populația românească cea mai importantă informație cu caracter personal, care este conștientizată, fiind datele de pe cartea de identitate. 

În încercarea de a creiona profilul pacientului român, reținem faptul că acesta are un acces mărit la tehnologie, o încredere surprinzător de mare în informațiile de pe internet (informații medicale denumite generic “Dr.Google”) și de pe rețelele de socializare, fiind un utilizator frecvent al internetului, cu un grad redus de conștientizare asupra riscurilor și importanței datelor cu caracter personal, dar cu un puternic simț de proprietate asupra lor. Consider că ultima analiză prezentată subliniază superficialitatea cu care românii au tratat în trecut acest subiect al datelor cu caracter personal, lucru explicat și de lipsa unor campanii de educare a populației, în acest sens. 

Analizând din aceasta perspectivă, pacientul în sine devine o provocare pentru întreg sistemul sanitar românesc și, în contextul intrării în vigoare a Regulamentului (UE) 2016/679 prin care se redefinesc drepturile pacientului (“Dreptul la acces”, “Dreptul la ștergere”, “Dreptul la rectificare”) întreg corpul profesional sanitar se va confrunta cu solicitări nejustificate și insuficient documentate privind ștergeri selective sau rectificări neîntemeiate asupra informațiilor medicale înregistrate în documentele medicale. Cu siguranță aceste solicitări nu vor fi soluționate în favoarea pacientului, existând mai multe reglementări specifice domeniului medical în ceea ce privește termenul de retenție și posibilitățile de acces restricționat și condiționat. 

 

Protecția informațiilor, a documentelor și imaginii pacientuluI

Regulamentul (UE) 2016/679 impune “confidențialitatea” ca principiu, transformând-o totodată într-o obligație pentru operatori și persoanele împuternicite în sensul că prelucrarea datelor cu caracter personal trebuie să se facă într-un mod care să asigure securitatea adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).

Măsurile tehnice și organizatorice specifice sistemului sanitar sunt unele speciale, având în vedere și caracterul sensibil al tuturor datelor procesate în cadrul acestui sistem. 

 

Pentru fiecare tip de date vom recomanda succint măsuri de ordin tehnic și de ordin organizatoric de protecție a datelor personale:

  • Informațiile despre pacient (date de contact, date privind localizarea, date privind istoricul medical și de tratament, date privind diagnosticele, etc). 

Sistemul sanitar românesc este deja un sistem birocratic și informatizat, utilizând mai multe măsuri organizatorice de tipul procedurilor, formularelor, registrelor și protocoalelor, care oferă o protecție mărită implicită, existând și măsuri tehnice avansate, de tipul certificatelor digitale, coduri de bare 2D, semnături electronice, carduri de sănătate cu stocare pe cip, transferuri securizate de date, dosar electronic de date cu acces restricționat și recunoașterea dreptului de proprietate a pacientului prin actul decizional privind acest acces.

Din punct de vedere tehnic, sistemele informatice prin intermediul cărora se prelucrează, se transferă și se stochează date cu caracter personal, trebuie protejate prin utilizarea protecțiilor antivirus/antimalware, accesul fiind obligatoriu prin autentificarea cu user și parolă a persoanei vizate și datele stocate sub formă protejată de criptare, asigurându-se un backup regulat.

Din punct de vedere organizatoric, unitățile medicale aplică politici și proceduri de asigurare a protecției tuturor informațiilor confidențiale, prin instruirea personalului, prin semnarea unui angajament de confidențialitate, prin asigurarea accesului controlat, circulația codificată a informațiilor private, eliberarea de informații doar la cerere și sub semnătură către persoanele autorizate. 

  • Documentele pacientului 

Documentele utilizate în prezent în sistemul sanitar românesc sunt standard și impuse prin publicarea unui model în Monitorul Oficial (rețeta electronică, rețeta clasică, bilet de trimitere analize, bilet de trimitere consultații de specialitate, concediu medical, fișa de externare, scrisoare medicală). De cele mai multe ori, volumul de informații prezente pe aceste documente este nejustificat, existând informații fără utilitate demonstrată (de exemplu, adresa de domiciliu a pacientului alături de codul numeric personal sau categoria de indemnizație 14 – Neoplazii / SIDA pe concediul medical în condițiile în care trebuie să protejăm cât se poate de mult această informație). Cel mai probabil, în urma aplicării principiului reducerii la minimum a datelor aceste formulare se vor adapta pentru a proteja confidențialitatea, aceasta în sine fiind deja o măsură organizatorică. 

Măsurile de ordin organizatoric trebuie să prevadă accesul restricționat strict al personalului de specialitate, aflat sub jurământ, care oferă garanții de tipul angajament de confidențialitate în calitate de angajați. 

  • Imaginea pacientului 

Acest tip de date cu caracter personal probabil nici nu este implicit conștientizat având în vedere numărul mare de publicări “accidentale” de pe rețelele de socializare sau din mass-media.

Pacientul nu poate fi fotografiat sau filmat într-o unitate medicală fără consimțământul său, cu excepția cazurilor în care imaginile sunt necesare diagnosticului sau tratamentului și evitării suspectării unei culpe medicale.

Din punct de vedere organizatoric, unitatea sanitară poate impune o procedură fermă privind dreptul de preluare a imaginilor din cadrul instituției de către jurnaliști sau de către ceilalți pacienți. Există scenarii prin care se poate interzice total captarea de imagini sub formă de fotografii sau video sau se poate acorda implicit acceptul condiționat ca în imagini să apară doar persoane care și-au manifestat consimțământul, orice încălcare a acestei proceduri atrăgând sancțiuni pentru persoana în cauză. 

Din punct de vedere tehnic, trebuie introdusă o procedură privind prelucrarea imaginilor obținute prin intermediul camerelor video instalate în scop legitim de asigurare a securității, care să conțină în mod obligatoriu informarea persoanelor vizate referitoare la scop, perioada de retenție, acțiunea de ștergere automată după această perioadă, posibile transferuri și acces restricționat doar către personalul de specialitate. 

 

Politica de confidențialitate a actului medical. Scenarii de securitate

În continuare vom prezenta câteva studii de caz, frecvente în sistemul sanitar românesc și vom analiza soluții care să respecte principiile Regulamentului (UE) 2016/679 fără a îngrădi libera circulație a datelor. 

  • Scenariu 1 – Solicitarea telefonică a datelor privind starea de sănătate 

Această situație are o incidență mare în practica de zi cu zi, unitățile medicale abordând mai multe variante de lucru, dintre care cea mai des întâlnită fiind interzicerea printr-un regulament intern sau procedura de lucru. Acest mod de rezolvare restrictiv acoperă doar aspectul teoretic, fiind foarte greu de monitorizat datorită numărului mare de angajați din sistem și datorită multiplelor canale de comunicare, utilizând internetul sau telefonia.

Există, totuși și proceduri de lucru care permit condiționat acordarea telefonică a acestor informații, având la bază informațiile pe care pacientul le completează într-un formular în momentul internării, referitoare la rudele sau persoanele împuternicite pentru a primi telefonic sau direct informații sumare sau chiar informații detaliate despre starea de sănătate, diagnostic și tratament.

Pacientul poate decide tipul de informație și oferă date de identificare clare ale aparținătorilor (nume, data nașterii, locul nașterii, etc). Aceste informații pot fi utilizate în prima etapă pentru “autentificarea” aparținătorilor în sensul identificării cu certitudine, eventual putând fi verificate sumar și cunoștințele despre pacientul în cauză.

După această etapă de identificare, doar medicii și asistenții medicali pot oferi informații precise despre evoluție, diagnostic, tratament, informații despre momentul externării, informații despre posibile transferuri în alte secții, informații despre degradarea stării de sănătate a pacientului sau informații despre deces (conform procedurii). Trebuie menționat faptul că prima categorie de informații (evoluție, diagnostic, tratament) sunt doar de competența medicilor de a fi transmise atât direct, cât și telefonic. Infiermierii, brancardierii, îngrijitorii de curațenie și personalul administrativ sunt excluși din această procedură, având interdicția totală de a comunica date cu caracter personal. 

  • Scenariu 2 – Comunicarea automată a informațiilor medicale către alte cadre medicale  

Acest scenariu este cel mai des întâlnit în cadrul laboratoarelor de analize, care permit implicit accesul la rezultatele analizelor medicilor de familie și medicilor specialiști din aceeași instituție sau care folosesc aceeași soluție software, eliberând documentele sensibile atât către pacient, cât și către orice persoană care se prezintă în numele acestuia.

Această comunicare de informații, aplicată în mod implicit, provine dintr-o interpretare parțial eronată a unui articol din Legea Drepturilor Pacienților (Legea nr. 46 din 21.01.2003, MO Partea I nr. 51 din 29/01/2003) care menționează faptul că “în cazul în care informațiile sunt necesare altor furnizori de servicii medicale acreditați, implicați în tratamentul pacientului, acordarea consimțământului nu mai este obligatorie.”  Nu putem nega în acest caz calitatea de furnizor acreditat de servicii medicale a medicului de familie, dar trebuie să recunoaștem în primul rând dreptul de proprietate al pacientului asupra acestor date sensibile cu caracter personal. Pentru a evita orice breșă de securitate, se recomandă introducerea și utilizarea obligatorie a unui formular prin intermediul căruia i se dă pacientului ocazia să nominalizeze atât persoanele împuternicite, cât și calea de comunicare (email, fax, poștă, ridicare personală). 

  • Scenariu 3 – Sala de așteptare este un spațiu public și drept urmare putem să filmăm 

Imaginile cu pacienții din săli de așteptare sau chiar în saloane sunt foarte des întâlnite pe internet, în mass-media scrisă și mass-media audiovizuală. Dreptul la propria imagine și la confidențialitatea datelor este asigurat de întreg pachetul legislativ deja prezentat și probabil această breșă de securitate încă mai este posibilă datorită nerespectării din partea mass-mediei a unuia dintre criteriile următoare, care trebuie respectate cumulativ: accesul și filmarea în unitățile sanitare se face doar cu acceptul șefului de secție, al medicului curant și al pacientului, cu respectarea confidențialității.

Soluția în această cauză este simplă, prin implementarea formularului de consimțământ publicat în Anexa 1 din Ordinul 1410/2016 pentru absolut toți pacienții care urmează să fie filmați, aceasta fiind o modalitate de a prelucra datele cu caracter personal în regim de legalitate.

Difuzarea materialelor audiovizuale conținând imagini ale persoanelor aflate la tratament în unitățile de asistență medicală, precum și a datelor cu caracter personal privind starea de sănătate, problemele de diagnostic, prognostic, tratament, circumstanțe în legătură cu boala și alte diverse fapte, inclusiv rezultatul autopsiei, este permisă numai cu acordul persoanei sau, în cazul în care persoana este fără discernământ sau decedată, cu acordul familiei ori a aparținătorilor.

 

Incidente de securitate în domeniul confidențialității actului medical

În continuare vom exemplifica modalități de încălcare a obligației de a asigura confidențialitatea informațiilor, documentelor și imaginii pacienților și a tipurilor de breșe de securitate, în funcție de motivul publicării:

  • Publicarea intenționată

Incidența mărită pe rețelele de socializare este o realitate, de multe ori motivația fiind una în interesul pacientului (de exemplu farmacistul nu poate interpreta scrisul de pe o rețetă și apelează la colegii din grupul de pe rețeaua de socializare ca să identifice rapid tratamentul prescris). Astfel sunt publicate documente medicale fără a fi anonimizate, care oferă informații complete despre pacientul respectiv, fără a fi nevoie de aceste informații. 

Înalta Curte de Casaţie şi Justiţie a hotărât, în premieră pentru România, că profilul personal de Facebook este spaţiu public şi nu privat. Decizia, care este irevocabilă, a fost dată într-un dosar privind nişte afirmaţii naziste făcute de un fost director din Prefectura Mureş pe profilul său de Facebook

  • Transmiterea nesecurizată a documentelor ca atașament la email 

Această metodă de comunicare rapidă este des utilizată și atunci când sunt transmise date sensibile, deseori fiind folosite adrese de email cu serverul de stocare localizat în afara Uniunii Europene. Măsurile tehnice de securitate adecvate sunt singura soluție pentru a nu încadra un astfel de transfer în categoria breșelor de securitate:

  1. Utilizarea exclusivă a adreselor de email din domeniul profesional, cu server de stocare aflat sub controlul și responsabilitatea operatorului 
  2. Neutilizarea e-mailului ca spațiu de stocare, prin ștergerea automată din “inbox” și “sent items” a emailurilor care au atașate date cu caracter personal
  3. Politica dinamică de schimbare a parolelor 
  4. Utilizarea unor arhive parolate sau criptate când sunt trimise atașamente care conțin date cu caracter personal și comunicarea parolelor prin alt mediu de comunicare
  5. Verificarea introducerii corecte a adresei de email a destinatarului, precum și utilizarea cu responsabilitate a formulelor ”reply to all” sau “cc”.
  • Publicarea accidentală

Publicarea accidentală este posibilă în cazurile în care sunt surprinse în imagini două nivele, primul plan reprezentând și obiectivul imaginii, iar în plan secundar sunt surprinse documente sau persoane care nu și-au dat consimțământul. 

Modul de evitare a unei astfel de breșe de securitate este dat în primul rând de implementarea unei proceduri clare privind dreptul de preluare a imaginilor din cadrul instituției de către jurnaliști sau de către ceilalți pacienți sau angajați. Se poate interzice total captarea de imagini sub formă de fotografii sau video sau se poate acorda implicit acceptul condiționat ca în imaginile sustrase să apară doar persoane care și-au manifestat consimțământul sau documente care nu conțin date cu caracter personal, orice încălcare a acestei proceduri atrăgând sancțiuni pentru persoana în cauză. 

  • Captarea de imagini fără consimțământ și fără autorizație, cu publicarea lor în mediul public

Această categorie prezintă cea mai mare pondere, din cauza lipsei metodelor de monitorizare în timp real a angajaților și a pacienților, a lipsei de educație și de responsabilizare a tuturor persoanelor pentru a respecta drepturile în materie de imagine și confidențialitate a celor din jur. Un alt motiv pentru incidența mărită a acestui tip de breșă de securitate îl reprezintă și accesul persoanelor fizice la dispozitive de tip smartphone și lipsa unor sancțiuni adecvate pentru personalul medical sau pentru pacienții care încalcă aceste norme.

Prin publicarea pe internet a acestor fotografii este practic imposibil să mai fie șterse, acestea putând fi preluate în timp foarte scurt și indexate astfel încât sursele sunt multiplicate. 

Pe lângă implementarea și respectarea procedurilor specifice deja menționate considerăm că trebuie insistat pe aspectul educațional atât al persoanelor fizice, cât și al personalului medical pentru a identifica datele cu caracter personal și pentru a obține un efect de “protejare instinctivă” respectând astfel dreptul la confidențialitate a celor din jur. 

 

CONCLUZII

Sondajele publicate de instituțiile media din România au pus în evidență faptul că cea mai mare parte din consumatorii români își doresc să citească sau să urmărească la televizor emisiuni despre persoane aflate în situații tragice, astfel că există o tendință tot mai evidentă a instituțiilor de media de a promova articole cu subiecte medicale considerate senzaționale, cu referiri la accidente cu victime, cazuri de malpraxis, tentative de sinucidere, agresivitate și consum de alcool.

Acest lucru pune presiune pe specialiștii din domeniul sanitar și chiar pe pacienții care au fost internați în același salon cu persoana vizată de presă, care ignoră de multe ori faptul că confidențialitatea reprezintă mai mult decât un principiu, este un instrument de protecție a vieții private și secretul medical este o condiție de bază a relației dintre profesionistul din domeniul sanitar și pacient, care garantează acest echilibru între conștiința profesională și încrederea acordată de pacient.

În România confidențialitatea este documentată printr-un pachet complex de reglementări legale și coduri deontologice și de etică.

Cu toate acestea, constatăm că există probleme serioase privind respectarea drepturilor pacienților atât din partea personalului din mediul sanitar, cât și din partea jurnaliștilor. Sub pretextul interesului public este încălcat principiul confidențialității, fiind publicate date care duc la identificarea persoanei, care reprezintă o intruziune în viața acestora și nu poate fi justificată.

În acest context, intrarea în vigoare la data de 25 Mai 2018 a Regulamentului (UE) 2016/679 pare că este o soluție pentru reechilibrarea acestei situații printr-o “conformare forțată” a operatorilor de date, datorită introducerii unor amenzi record la nivel internațional.  

Termenul de grație oferit de Uniunea Europeană pentru obținerea conformității față de principiile enunțate și obligațiile explicite nu a fost folosit decât de un procent mic din operatorii din domeniul sanitar românesc, multe dintre instituții încercând să găsească o soluție formală, motivând totodată lipsa unui buget pentru a justifica alegerile rapide privind instruirea și desemnarea obligatorie a Responsabililor privind protecția datelor. 

Prin analiza breșelor de securitate din domeniul sanitar, anterior datei de 25 Mai 2018, și prin dezvoltarea unor analize de risc cu proceduri concrete și planuri de evitare a reapariției acestor situații putem obține o apropiere de principiile și cerințele Regulamentului (UE) 2016/679, concluzionând totodată că o conformitate totală este o utopie. 

DESPRE AUTOR

Marius Dumitrescu este licențiat în științe politice, având un master în domeniul marketingului și o experiență de peste 16 ani în implementarea și gestionarea soluțiilor software medical și farmaceutic. Este președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) și a absolvit în iulie 2018 studiile postuniversitare de lungă durată privind protecția datelor în cadrul Facultății de Științe Economice, Juridice și Administrative – Centrul pentru Protecția Datelor (CPD) din Tîrgu-Mureș. Este directorul editorial a două publicații, una destinată profesioniștilor în protecția și securitatea datelor cu caracter personal și una adresată comunității medicale și farmaceutice din România. Este formator și lector, susținând mai multe sesiuni educaționale pe teme precum securitatea datelor, Regulamentul General privind Protectia Datelor și managementul organizațional. Este implicat activ în organizarea unor evenimente cu tradiție în domeniul sanitar românesc, în special în sfera medicală, a farmacoeconomiei și a managemetului sanitar. Este inregistrat ca PECB Certified DPO din ianuarie 2021 si Trainer PECB.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Fiecare practician GDPR trebuie să aibă această carte

Sanitar / E-Health

Vizualizari: 259451

Facebooktwittergoogle_plusredditpinterestlinkedinmail

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții "GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016" ( Editia 1, Editura Wolters Kluwer). Cartea este disponibilă în webshop-ul dpo-net.ro si poate fi comandată la prețul promoțional de 110 lei. 

Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș a avut amabilitatea sa semneze prefața acestei ediții:

"Apariția volumului GDPR Aplicat, ediția a I-a, elaborat de autorii Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Pantilimon și Marius-Florian Dan, reprezintă valorificarea de către aceștia, într-o editură de prestigiu precum Wolters Kluwer, a unui „succes editorial”. Prima ediție a apărut în editura Lumen și, cred eu, că datorită confirmării valorii practice a volumului, autorii au trecut de faza „timidității” începutului editorial și se adresează în prezent prin elaborarea acestei a doua ediții către dimensiunea reală a publicului interesat de domeniul protecției datelor cu caracter personal și, mai ales, către nevoile pieței de a implementa exhaustiv Regulamentul General privind Protecția Datelor, la nivelul operatorilor de date din România.

Volumul GDPR Aplicat este o idee strălucită a unui colectiv de persoane cu experiență practică și însuflețite să își pună amprenta proprie într-un domeniu în emergență, anume domeniul protecției datelor cu caracter personal. Legislația specifică pe care o abordează într-o manieră utilă și formativă este aceea care privește mai ales „GDPR”. Autorii doresc atât să se implice cât și să ofere un instrument antrenant și imediat pentru probleme practice serioase și multiplicate în activitățile curente ale operatorilor de date cu caracter personal. Toate entitățile publice și private sunt interesate să se pună de acord cu ceea ce la momentul de față este „sperietoarea” activității lor. Această intenție are sinuozități și îndoieli dar, în final, se impune practic asemănător unui standard de calitate și, în același timp, complet diferit: este diferența dintre un tablou pictat, privit ca o operă și, pe de altă parte, evoluția și inițierea unui proces juridic; oare cine are dreptate? Răspunsul este oferit cu precauție în paginile volumului acestor pionieri….În final, practica și viitorul vor fi circumstanțele în baza cărora vom argumenta liniile decisive ale acestei îndrăznețe acțiuni: protecția datelor din perspectiva unei societăți mai sigure și a unei vieți private intime fiecărei persoane fizice.

Este necesară această lucrare și îi felicit pe autori și pe cei care au contribuit pe această linie, într-un fel sau altul, la formarea acestora, iar aici mă gândesc în special la cei care au avut inițiativa de a întreprinde la Universitatea suceveană un curs postuniversitar de protecție a datelor, pe care toți autorii acestui volum l-au urmat!

Volumul este consistent: are 752 de pagini și, în esență, 14 capitole tematice, la care se adaugă anexe, bibliografie, figuri și tabele. Volumul se remarcă prin utilitate, nu prin argumentare științifică. Principala metodă de investigație utilizată în realizarea volumului este metoda experimentală.  În cele 14 capitole se tratează atât ideile de esență și directoare ale protecției datelor, precum și măsurile, acțiunile care trebuie întreprinse pentru a asigura implementarea GDPR la nivelul entităților, oferindu-se în mod constant exemple. În partea finală, referitoare la proceduri, modele și tabele ni se prezintă o varietate de exemple. Legat de structura volumul în acest context de evaluare pot fi extrem de încrezător în a afirma că este complet antamat pe necesitățile practice. Demersul autorilor va fi îmbogățit în edițiile viitoare, prin practica viitoare și abordarea unor tematici de nișă, cum este aceea a transferului internațional de date.

Pentru elaborarea volumului GDPR aplicat este cert că autorii au alocat un timp prețios și o disponibilitate aparte, poate chiar încercată și deloc ușoară. La momentul de față, astfel  cum se numește în partea secundă a sa, „Instrument de lucru pentru implementarea Regulamentului UE 679/2016” este instrumentul cel mai valoros de pe piața din România, pentru toți cei implicați în acest fenomen. Nu este un volum științific ci este exact ceea ce se numește: „Instrument de lucru…”. Dar este cel mai bun în domeniul GDPR. Îndrăznesc să afirm, pentru întreaga masă de profesioniști și interesați în domeniu, că utilizând acest volum pot să aibă siguranța conformității pentru o medie a entităților, într-un procent de aproximativ 90%. Oricum, până la apariția vreunui volum mai exhaustiv sau sintetic, acesta este, în opinia mea, sub aspect practic numărul 1 în România.

În mod interesant, lucrarea este utilă atât pentru practicieni cât și pentru directorii executivi ai companiilor. În prima parte, se oferă lecții nenumărate pentru management cum ar trebui să regândească sistemul propriu în care activează și, sigur că da, în același timp practicienii vor avea nenumărate soluții și documente la dispoziție pentru a sprijini companiile sau autoritățile în implementarea GDPR. Spre exemplu, la nivel de management este expusă povestea așteptării unui standard cumpărat și implementat imediat, cu deziluzia că așa ceva nu s-a putut întâmpla…Se caută vina la consultant și nu se poate direcționa juridic. Ce facem de aici încolo? Cât mai trebuie să stăm împiedicați de protecția datelor?

La nivel de executiv, lucrurile se complică deoarece pe lângă aceste instruiri, adevăratul specialist în protecția datelor trebuie să devină un real confident al companiei și să contribuie la rebreduirea acesteia. Va fi acceptat? Va fi înghițit? Volumul răspunde acestor întrebări într-o manieră sinceră și corectă!

Autorii au investit pasiune și interes suprapuse pe ideea importanței formării continue și a observației și cercetării cu demonstrații. Spuneam că autorii sunt într-o mare măsură pionieri: au simțit flexibilitatea și dinamica domeniului și au considerat că pot să afirme reguli, aspect care s-a confirmat în mod evident. De aici, apare una din primele trăsături ale lucrării, anume că la fiecare domeniu și secțiune se începe cu o „poveste” legată de ce se întâmplă în practică atunci când se urmărește implementarea GDPR: totul prinde contur și devine extrem de narativ și util în același timp. Spre exemplu, cuvântul introductiv debutează exact cu cea mai importantă parte a implementării GDPR, anume aceea a conștientizării și educației: „Etica reprezintă o invitație la conștientizarea consecințelor a ceea ce se face”

În al doilea rând, se face o descriere juridică a fiecărui concept principal utilizat în GDPR, inclusiv descrierea faptică alăturată. Dacă deschid la întâmplare volumul, ajung, spre exemplu la pagina 59, unde se vorbește de pseudonimizare, despre care se afirmă în mod corect că „are o componentă obligatorie și anume reversibilitatea acesteia. Reversibilitatea este tehnica inversă pseudonimizării, adică, folosind informații suplimentare, pe care doar operatorul le are, datele pot deveni, din nou, „clare”(…)” Aceasta este o obligație specifică în anumite condiții a operatorului de date.

În al treilea rând se oferă de către autori la fiecare argumentare sistematic prezentată, un exemplu, de regulă referit de ghidurile de implementare și orientare realizate de fostul Grup de lucru articolul 29, în prezent înlocuit de Comitetul european pentru protecția datelor stabilit prin GDPR. Această modalitate de expunere conferă instruire și înțelegere cititorului și practicianului, deoarece exemplele sunt extrem de relevante și fin relevate.

Nu în ultimul rând, trebuie remarcată referirea la practica instanțelor din România și a instanțelor europene în domeniul protecției datelor cu caracter personal, chestiune utilă deoarece contribuie la statuarea definitivă a unor linii de interpretare a domeniului analizat.

Consider că fiecare practician trebuie să aibă această lucrare pentru că îl va ajuta în implementarea GDPR. Lucrarea conține atât conținut cu documentare științifică cât și conținut aplicativ corect dar orientativ și specific ghidurilor.

În ceea ce mă privește, sunt încântat că autorii  Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Lungu și Marius-Florian Dan, mi-au fost pentru o scurtă perioadă „studenți”, deoarece orice dascăl este împlinit când este depășit de proprii studenți. I-am întâlnit cu ocazia unei competiții în domeniul protecției datelor, desfășurată la Târgu Mureș, și am simțit că este vorba de un grup cu potențial reformator. Au demonstrat în interesul comunității din România acest lucru. Le doresc mult succes și felicitări pentru demersurile continue pe care le întreprind în domeniul protecției datelor cu caracter personal."

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Medicover amendat de ANSPDCP pentru incalcarea GDPR

Sanitar / E-Health

Vizualizari: 10070

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a comunicat anul acesta aplicarea a nu mai putin de 7 amenzi totalizand 122503.70 lei, atat pentru incalcarea Regulamentului 679/2016 (GDPR) cat si a Legii 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Una din aceste amenzi a vizat Medicover S.R.L, un binecunoscut operator din domeniul sanitar romanesc, care nu a adoptat masuri tehnice si organizatorice suficiente pentru a proteja intr-un mod adecvat datele cu caracter personal.

In cazul Medicover S.R.L., Autoritatea de Supraveghere a demarat o investigatie ca urmare a transmiterii de către operator a unor notificări succesive de încălcare a securității datelor cu caracter personal, prin care s-a semnalat divulgarea neautorizată și accesul neautorizat la datele cu caracter personal precum: nume și prenume, CNP, serie și nr. CI, adresă CI, adresa de corespondență, telefonul de contact și e-mail, respectiv nume și date privind starea de sănătate, transmise altor persoane fizice decât destinatarii, la adresa de e-mal sau adresa poștală.

În urma acestei investigații, Autoritatea de Supraveghere a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, fapt ce a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decât destinatarii, la adresa de e-mail sau adresa poștală.

ANSPDCP a constatat încălcarea de catre Medicover S.R.L. a dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul General privind Protecția Datelor si ca urmare operatorul a fost sancționat contravențional cu amendă în cuantum de 9.749,6 lei (echivalentul a 2000 EURO).

De asemenea, operatorului i-au fost aplicate și următoarele măsuri corective care prevad revizuirea și actualizarea măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal și instruirea personalului propriu. Suplimentar, operatorului i s-a cerut sa identifice și sa implementeze măsuri  pentru a se asigura că datele cu caracter personal prelucrate sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, iar cele inexacte să fie şterse sau rectificate fără întârziere (spre exemplu, un mecanism de verificare a validității adresei de e-mail la momentul colectării).

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Comisia Europeană a lansat studiul normelor legale privind prelucrarea datelor de sănătate (GDPR)

Comisia Europeană a publicat un studiu privind „ Evaluarea normelor statelor membre ale UE privind datele de sănătate în lumina GDPR ”. Studiul constată că, deși Regulamentul General privind Protecția […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Belgia: Ghid privind verificările temperaturii la intrarea în incinte

În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Datele a zeci de mii de consumatori de canabis medicinal din SUA a fost expuse accidental

Conform vpnMentor, datele a zeci de mii de consumatori de canabis din SUA au fost expuse accidental, datorita unor erori de configurație a mediilor de stocare(cloud). Peste 85.000 […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

EDPB a realizat cea mai mare arhivă digitală dedicată specialiștilor în PDP

Deși a trecut abia un an și jumătate de la intrarea în vigoare a Regulamentului (UE) 2016/679, mulți dintre cei implicați implicați în procesul de aliniere la acest […]

Un nou spital este amendat pentru nerespectarea GDPR

Comisarul pentru protecția datelor și libertatea informațiilor din Germania, a aplicat o amendă de 105.000 de euro unui spital din regiunea Renania-Palatinat. Amenda finală se bazează pe mai […]

A început Războiul de independență al operatorilor de date din România

Nu știu alții cum sunt dar eu când mă gândesc la operatorii de date cu caracter personal care își proclamă independența peste noapte mă apucă panica. Numai în […]

15 recomandări GDPR pentru managerul de spital

“Mie nu mie se poate intampla, am băieți tineri și destepti la IT”  este argumentul unui manager de spital pentru a justifica lipsa de interes, resurse și timp […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Soluții pentru managementul și securitatea dispozitivelor mobile

Telefoanele mobile și tabletele nu mai sunt doar simple gadget-uri pe care le folosim ocazional ci au devenit extensii ale noastre, fără de care nu mai putem lipsi. […]

Cum păstrăm evidența activităților de prelucrare? Bonus: FORMULAR GRATUIT

Evidența activităților de prelucrare este pilonul central al proiectului implementării GDPR. Atunci când pornim pe lungul traseu al conformității GDPR important este primul pas pe care îl facem. […]

De ce românilor nu le pasă de viața lor privată ?

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

gazduire website gazduire web