6.6.2009 |
RO |
Jurnalul Oficial al Uniunii Europene |
C 128/20 |
Proiect de aviz al Autorității Europene pentru Protecția Datelor privind propunerea de directivă a Parlamentului European și a Consiliului privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere
2009/C 128/03
AUTORITATEA EUROPEANĂ PENTRU PROTECȚIA DATELOR,
având în vedere Tratatul de instituire a Comunității Europene, în special articolul 286,
având în vedere Carta Drepturilor Fundamentale a Uniunii Europene, în special articolul 8,
având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date,
având în vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date, în special articolul 41,
având în vedere solicitarea de aviz conform articolului 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 trimisă către AEPD la 2 iulie 2008,
ADOPTĂ URMĂTORUL AVIZ:
I. INTRODUCERE
Propunerea de directivă privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere
1. |
La 2 iulie 2008, Comisia a adoptat o propunere de directivă a Parlamentului European și a Consiliului privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere (denumită în continuare: „propunerea”) (1). Propunerea a fost transmisă AEPD de către Comisie spre consultare, în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001. |
2. |
Propunerea are scopul de a stabili un cadru comunitar pentru furnizarea asistenței medicale transfrontaliere în cadrul UE, în cazurile în care asistența de care au nevoie pacienții este acordată într-un alt stat membru decât în țara lor de reședință. Aceasta este structurată în jurul a trei domenii principale:
|
3. |
Obiectivele acestui cadru sunt: să ofere suficientă claritate cu privire la drepturile de rambursare pentru asistența medicală acordată în alte state membre și să garanteze că cerințele necesare pentru o asistență medicală sigură, eficientă și de înaltă calitate sunt asigurate pentru asistența transfrontalieră. |
4. |
Punerea în aplicare a unei scheme de asistență medicală transfrontalieră necesită schimbul de date cu caracter personal relevante privind sănătatea (denumite în continuare: „date privind sănătatea”) ale pacienților între organizațiile autorizate și cadrele medicale din diferitele state membre. Aceste date sunt considerate sensibile și fac obiectul unor norme mai stricte de protecție a datelor, astfel cum este prevăzut la articolul 8 din Directiva 95/46/CE privind categoriile speciale de date. |
Consultarea AEPD
5. |
AEPD salută faptul că este consultată cu privire la această chestiune și că se face trimitere la această consultare în preambulul propunerii, în conformitate cu articolul 28 din Regulamentul (CE) nr. 45/2001. |
6. |
Este prima dată când AEPD este consultată în mod oficial cu privire la o propunere de directivă în domeniul asistenței medicale. În cadrul acestui aviz, prin urmare, unele din observațiile formulate țin de un domeniu de aplicare mai larg, abordând chestiuni generale de protecție a datelor cu caracter personal în sectorul asistenței medicale, care ar putea, de asemenea, să fie aplicabile în cazul altor instrumente juridice relevante (cu forță juridică obligatorie sau nu). |
7. |
De la bun început, AEPD ar dori să își exprime sprijinul față de inițiativele de îmbunătățire a condițiilor de asistență medicală transfrontalieră. Propunerea în discuție ar trebui de fapt examinată în contextul programului global al CE de îmbunătățire a sănătății cetățenilor în societatea informațională. Alte inițiative în acest sens sunt Directiva și Comunicarea preconizate ale Comisiei privind donarea și transplantul de organe umane (2), Recomandarea privind interoperabilitatea sistemelor de evidență electronică a datelor medicale (3), precum și Comunicarea preconizată privind telemedicina (4). Cu toate acestea, AEPD este preocupată de faptul că toate aceste inițiative conexe nu sunt strâns legate și/sau interconectate în domeniul vieții private și al securității datelor, constituind astfel un impediment în adoptarea unei abordări uniforme privind protecția datelor în asistența medicală, în special cu privire la utilizarea noilor tehnologii TIC. Drept exemplu, în propunerea actuală, deși telemedicina este menționată în mod explicit în considerentul 10 al propunerii de directivă, nu se face nicio trimitere la dimensiunea de protecție a datelor din comunicarea relevantă a CE. De asemenea, deși sistemele de evidență electronică a datelor medicale reprezintă o posibilă modalitate de comunicare transfrontalieră a datelor privind sănătatea, nu se face nicio legătură cu chestiunile privind viața privată abordate în recomandarea relevantă a Comisiei (5). Aceasta conduce la impresia că o perspectivă globală privind viața privată în domeniul asistenței medicale nu este încă definită în mod clar și, în anumite cazuri, lipsește cu desăvârșire. |
8. |
Acest lucru este, de asemenea, evident în propunerea actuală, în care AEPD observă cu regret faptul că implicațiile privind protecția datelor nu sunt abordate în mod concret. Se regăsesc desigur trimiteri la protecția datelor, însă acestea au în principal un caracter general și nu reflectă în mod corespunzător nevoile și cerințele specifice ale asistenței medicale transfrontaliere legate de viața privată. |
9. |
AEPD dorește să sublinieze faptul că o abordare uniformă și solidă privind protecția datelor în cadrul instrumentelor propuse de asistență medicală nu numai că va asigura dreptul fundamental al cetățenilor la protecția datelor lor, ci va contribui și la dezvoltarea ulterioară a asistenței medicale transfrontaliere în UE. |
II. PROTECȚIA DATELOR ÎN ASISTENȚA MEDICALĂ TRANSFRONTALIERĂ
Contextul general
10. |
Obiectivul principal al Comunității Europene a fost de a stabili o piață internă, un spațiu fără frontiere interne în interiorul căruia este asigurată libera circulație a mărfurilor, a persoanelor, a serviciilor și a capitalurilor. Faptul de a oferi cetățenilor posibilitatea de a se deplasa și de a-și stabili mai ușor reședința în alte state membre decât cele de origine a condus în mod evident la chestiuni legate de sănătate. Din acest motiv, în anii ’90, Curtea de Justiție s-a confruntat în contextul pieței interne cu chestiuni privind posibila rambursare a cheltuielilor medicale din alt stat membru. Curtea de Justiție a recunoscut faptul că libertatea de a presta servicii, astfel cum este prevăzut la articolul 49 din Tratatul CE, include libertatea persoanelor de a se deplasa în alt stat membru pentru a beneficia de asistență medicală (6). Prin urmare, pacienții care doreau să beneficieze de asistență medicală transfrontalieră nu au mai putut fi tratați diferit față de resortisanții din țara lor de origine care primeau același tratament medical fără a trece frontiera. |
11. |
Aceste hotărâri ale Curții se află în centrul propunerii actuale. Întrucât jurisprudența Curții se bazează pe cazuri individuale, propunerea actuală are scopul de îmbunătăți claritatea pentru a asigura o aplicare mai generală și eficientă a libertății de a beneficia și, respectiv, de a furniza servicii de asistență medicală. Cu toate acestea, astfel cum a fost deja menționat, propunerea face parte, de asemenea, dintr-un program mai ambițios cu scopul de a îmbunătăți sănătatea cetățenilor în societatea informațională, în care UE întrevede posibilități majore de intensificare a asistenței medicale transfrontaliere prin utilizarea tehnologiei informațiilor. |
12. |
Din motive evidente, stabilirea unor norme pentru asistența medicală transfrontalieră reprezintă o chestiune delicată. Aceasta atinge un domeniu sensibil în care statele membre au instituit sisteme naționale divergente, de exemplu cu privire la asigurare și rambursarea costurilor sau organizarea infrastructurii asistenței medicale, inclusiv aplicații și rețele de informații în domeniul asistenței medicale. Cu toate că legislatorul comunitar, în propunerea actuală, se axează numai pe asistența medicală transfrontalieră, normele vor influența cel puțin modul în care sistemele naționale de asistență medicală sunt organizate. |
13. |
Îmbunătățirea condițiilor de asistență medicală transfrontalieră va fi în beneficiul cetățenilor. Totuși, aceasta va implica în același timp și anumite riscuri pentru cetățeni. Trebuie rezolvate multe probleme de ordin practic, inerente cooperării transfrontaliere între persoane din țări diferite și care vorbesc limbi diferite. Întrucât o bună sănătate este de o importanță vitală pentru fiecare cetățean, ar trebui exclus orice risc privind o comunicare necorespunzătoare și inexactitățile care rezultă. Este de la sine înțeles că intensificarea cooperării transfrontaliere coroborată cu utilizarea progreselor în tehnologia informației are implicații deosebite pentru protecția datelor cu caracter personal. Un schimb mai eficient și, prin urmare, sporit de date privind sănătatea, distanța din ce în ce mai mare dintre persoane și instanțele în cauză, diferitele legislații naționale de punere în aplicare a normelor de protecție a datelor conduc la chestiuni privind securitatea datelor și certitudinea juridică. |
Protecția datelor privind sănătatea
14. |
Trebuie subliniat faptul că datele privind sănătatea sunt considerate o categorie specială de date care merită o mai mare protecție. Astfel cum a precizat recent Curtea Europeană a Drepturilor Omului în contextul articolului 8 din Convenția Europeană a Drepturilor Omului: „Protecția datelor cu caracter personal, în special a datelor medicale, este de o deosebită importanță pentru ca o persoană să beneficieze de dreptul său de respectare a vieții private și a vieții de familie, astfel cum este garantat la articolul 8 din convenție” (7). Înainte de a explica normele mai stricte pentru prelucrarea datelor privind sănătatea care sunt prevăzute de Directiva 95/46/CE, câteva cuvinte vor fi consacrate noțiunii de „date privind sănătatea”. |
15. |
Directiva 95/46/CE nu include o definiție explicită a datelor privind sănătatea. În mod obișnuit, se aplică o interpretare largă, care definește adesea datele privind sănătatea drept „date cu caracter personal care au o legătură clară și strânsă cu descrierea statutului unei persoane privind sănătatea” (8). În acest sens, datele privind sănătatea includ în mod normal date medicale (de exemplu, trimiteri și prescripții medicale, rapoarte de examinare medicală, teste de laborator, radiografii etc.), precum și date administrative și financiare legate de sănătate (de exemplu, documente privind spitalizările, numărul de asigurare socială, programarea vizitelor medicale, facturi pentru serviciile medicale acordate etc.). Ar trebui notat faptul că sintagma „date medicale” (9) este, de asemenea, utilizată câteodată pentru a face trimitere la date legate de sănătate, precum și sintagma „date privind asistența medicală” (10). În cadrul prezentului aviz, se va utiliza noțiunea „date privind sănătatea”. |
16. |
O definiție utilă a „datelor privind sănătatea” este prevăzută de ISO 27799: „orice informații legate de sănătatea fizică sau mentală a unei persoane sau legate de acordarea de servicii medicale persoanei și care pot include: (a) informații privind înscrierea persoanei pentru acordarea de servicii medicale; (b) informații privind plățile sau eligibilitatea pentru asistența medicală cu privire la persoana în cauză; (c) un număr, simbol sau semn distinctiv atribuit unei persoane pentru a identifica persoana în cauză în scopuri medicale; (d) orice informații privind persoana culese în cursul acordării de servicii medicale persoanei în cauză; (e) informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe din corp; și (f) identificarea unei persoane (cadru medical) drept furnizor de asistență medicală al persoanei în cauză.” |
17. |
AEPD se exprimă în favoarea adoptării unei definiții specifice a sintagmei „date privind sănătatea” în contextul propunerii actuale, care ar putea fi, de asemenea, utilizată în viitor în cadrul altor texte juridice relevante ale CE (a se vedea secțiunea III de mai jos). |
18. |
Articolul 8 din Directiva 95/46/CE stabilește normele privind prelucrarea categoriilor speciale de date. Aceste norme sunt mai stricte decât cele pentru prelucrarea altor date, astfel cum este prevăzut la articolul 7 din Directiva 95/46/CE. Aceasta indică deja cazurile în care articolul 8 alineatul (1) precizează în mod explicit că statul membru interzice prelucrarea, inter alia, a datelor privind sănătatea. La următoarele alineate ale articolului, sunt formulate câteva excepții de la această interdicție, însă acestea sunt mai restrânse decât motivele pentru prelucrarea datelor obișnuite, astfel cum este prevăzut la articolul 7. De exemplu, interdicția nu se aplică în cazul în care persoana vizată și-a dat consimțământul explicit [articolul 8 alineatul (2) litera (a)], contrar consimțământului neechivoc necesar prevăzut la articolul 7 litera (a) din Directiva 95/46/CE. De asemenea, legislația statului membru poate hotărî că, în anumite cazuri, chiar consimțământul persoanei vizate nu poate ridica interdicția. Articolul 8 alineatul (3) este consacrat exclusiv prelucrării datelor privind sănătatea. În conformitate cu acest alineat, interdicția prevăzută la alineatul (1) nu se aplică în cazul în care prelucrarea este necesară în scopul medicinii preventive, stabilirii diagnosticelor medicale, acordării de servicii medicale, administrării unui tratament sau gestionării serviciilor de asistență medicală și în cazul în care datele respective sunt prelucrate de către un cadru medical supus, în temeiul dreptului intern sau al normelor instituite de organisme naționale competente, obligației de păstrare a secretului profesional sau de către altă persoană supusă, de asemenea, unei obligații echivalente de păstrare a secretului. |
19. |
Articolul 8 din Directiva 95/46/CE pune accentul pe faptul că statele membre ar trebui să prevadă garanții corespunzătoare. De exemplu, articolul 8 alineatul (4) permite statelor membre să prevadă derogări suplimentare de la interdicția de a prelucra date sensibile din motive de interes public semnificativ, sub rezerva furnizării unor garanții corespunzătoare. În termeni generali, aceasta subliniază responsabilitatea statelor membre de a acorda o atenție deosebită prelucrării datelor sensibile, precum datele privind sănătatea. |
Protecția datelor privind sănătatea în cazuri transfrontaliere
20. |
Statele membre ar trebui să fie în special conștiente de responsabilitatea sus-menționată atunci când este vorba de chestiunea schimbului transfrontalier de date privind sănătatea. Astfel cum a fost evidențiat anterior, schimbul transfrontalier de date privind sănătatea sporește riscul prelucrării unor date inexacte sau ilegitime. În mod evident, aceasta poate avea consecințe negative semnificative pentru persoana vizată. Atât statul membru de afiliere (în care pacientul este asigurat), cât și statul membru de tratament (în care este realmente acordată asistența medicală transfrontalieră) sunt implicate în acest proces și, prin urmare, împart această responsabilitate. |
21. |
Securitatea datelor privind sănătatea reprezintă, în acest context, o chestiune importantă. În cauza recentă citată mai sus, Curtea Europeană a Drepturilor Omului a acordat o importanță deosebită confidențialității datelor privind sănătatea: „Respectarea confidențialității datelor privind sănătatea constituie un principiu vital în sistemele juridice ale tuturor părților contractante la convenție. Este esențială nu numai respectarea vieții private a unui pacient, ci și menținerea încrederii sale în profesia medicală și în serviciile medicale în general.” (11) |
22. |
Normele de protecție a datelor, astfel cum sunt prevăzute de Directiva 95/46/CE, prevăd, de asemenea, că statul membru de afiliere ar trebui să furnizeze pacientului informații adecvate, corecte și actualizate privind transferul datelor sale cu caracter personal către un alt stat membru, precum și să asigure transferul securizat al datelor către statul membru respectiv. Statul membru de tratament ar trebui, de asemenea, să asigure recepția securizată a acestor date și să ofere un nivel corespunzător de protecție atunci când datele sunt realmente prelucrate, conform dreptului său intern în materie de protecție a datelor. |
23. |
AEPD ar dori să clarifice responsabilitățile comune ale statelor membre în cadrul propunerii, ținând seama, de asemenea, de comunicarea sub formă electronică a datelor, în special în contextul noilor aplicații TIC, astfel cum este menționat mai jos. |
24. |
Îmbunătățirea schimbului transfrontalier de date privind sănătatea se realizează în principal prin utilizarea tehnologiei informației. Cu toate că schimbul de date în cadrul unei scheme de asistență medicală transfrontalieră poate fi în continuare realizat pe suport de hârtie (de exemplu, pacientul se deplasează în alt stat membru cu toate datele sale relevante privind sănătatea, precum examene de laborator, trimiteri medicale etc.), acesta este în mod clar conceput să utilizeze în schimb mijloace electronice. Comunicarea sub formă electronică a datelor privind sănătatea va fi susținută de sistemele de informații privind asistența medicală instituite (sau care urmează a fi instituite) în statele membre (în spitale, clinici etc.), de utilizarea noilor tehnologii, cum ar fi aplicațiile electronice de evidență a datelor medicale (care să funcționeze posibil pe internet), precum și de alte instrumente cum ar fi cardurile de sănătate ale pacienților și ale doctorilor. Desigur, este de asemenea posibil să se utilizeze forme combinate de schimb, electronice și pe suport de hârtie, în funcție de sistemele de asistență medicală ale statelor membre. |
25. |
Aplicațiile e-sănătate și de telemedicină, care intră în domeniul de aplicare al propunerii de directivă, vor depinde exclusiv de schimbul sub formă electronică de date privind sănătatea (de exemplu, semne vitale, imagini etc.), de obicei coroborate cu alte sisteme electronice existente de informații privind asistența medicală care au sediul în statul membru de tratament și, respectiv, de afiliere. Aceasta include sisteme care se bazează atât pe relația pacient-doctor (de exemplu, monitorizarea și diagnosticul la distanță), cât și pe relația doctor-doctor (de exemplu, teleconsultare între cadrele medicale pentru avize specializate privind cazuri medicale specifice). Alte aplicații de asistență medicală specifice care vin în sprijinul asistenței medicale transfrontaliere acordate ar putea depinde, de asemenea, de schimbul sub formă electronică de date, de exemplu prescripția electronică (e-prescripție) sau trimiterea electronică (e-trimitere), care este deja aplicat la nivel național în câteva state membre (12). |
Domenii de interes în schimbul transfrontalier de date privind sănătatea
26. |
Ținând seama de considerațiile sus-menționate, împreună cu diversitatea existentă a sistemelor de sănătate ale statelor membre, precum și de evoluția continuă a aplicațiilor e-sănătate, rezultă următoarele două domenii de interes cu privire la protecția datelor cu caracter personal în cadrul asistenței medicale transfrontaliere: (a) diferite niveluri de securitate care pot fi aplicate de statele membre pentru protecția datelor cu caracter personal (în ceea ce privește măsurile tehnice și organizaționale) și (b) integrarea vieții private în aplicațiile e-sănătate, în special în noile evoluții. În plus, alte aspecte precum utilizarea secundară a datelor privind sănătatea, în special în domeniul elaborării de statistici, ar putea de asemenea să necesite o atenție specială. Aceste chestiuni sunt examinate mai detaliat în continuarea prezentei secțiuni. |
27. |
Deși Directivele 95/46/CE și 2002/58/CE sunt aplicate în mod uniform în Europa, interpretarea și punerea în aplicare a anumitor elemente pot fi diferite de la o țară la alta, în special în domenii în care dispozițiile juridice sunt generale și lăsate la latitudinea statelor membre. În acest sens, principalul domeniu care trebuie examinat este securitatea prelucrării, și anume măsurile (tehnice și organizaționale) pe care statele membre le adoptă pentru a asigura securitatea datelor privind sănătatea. |
28. |
Deși protecția strictă a datelor privind sănătatea reprezintă o responsabilitate a tuturor statelor membre, în prezent nu există nicio definiție general acceptată a unui nivel de securitate „corespunzător” pentru asistența medicală în cadrul UE care ar putea fi aplicat în cazul asistenței medicale transfrontaliere. Prin urmare, de exemplu, un spital dintr-un stat membru poate fi obligat prin regulamente de protecție a datelor impuse la nivel național să adopte măsuri specifice de securitate (de exemplu, definirea politicii de securitate și a codurilor de conduită, norme specifice de externalizare și prin care se recurge la contractanți externi, cerințe de audit etc.), în timp ce în alte state membre situația ar putea fi diferită. Această inconsecvență poate avea impact asupra schimbului transfrontalier de date, în special atunci când se realizează sub formă electronică, întrucât nu se poate garanta că datele sunt securizate (din punct de vedere tehnic și organizațional) la același nivel între diferitele state membre. |
29. |
Prin urmare, este necesară o mai bună armonizare în acest domeniu, în ceea ce privește definirea unui set comun de cerințe de securitate pentru asistența medicală care ar trebui să fie adoptat în comun de furnizorii de servicii de asistență medicală din statele membre. Această necesitate este cu siguranță în conformitate cu necesitatea globală a definirii unor principii comune în sistemele de sănătate din UE, astfel cum este evidențiat în cadrul propunerii. |
30. |
Acest lucru ar trebui făcut într-un mod generic, fără a impune soluții tehnice specifice statelor membre, stabilind însă o bază pentru recunoașterea și acceptarea reciprocă, de exemplu în domeniile definirii politicii de securitate, identificării și autentificării pacienților și cadrelor medicale etc. Standardele europene și internaționale existente (de exemplu, ISO și CEN) privind asistența medicală și securitatea, precum și conceptele tehnice larg acceptate și cu temei juridic (de exemplu, semnăturile electronice (13) ar putea fi utilizate ca foaie de parcurs într-o astfel de încercare. |
31. |
AEPD susține ideea armonizării privind securitatea în domeniul asistenței medicale la nivel european și este de opinie că Comisia ar trebui să demareze inițiative relevante, deja în cadrul propunerii actuale (a se vedea secțiunea III de mai jos). |
32. |
Respectarea vieții private și securitatea ar trebui să facă parte din concepția și punerea în aplicare a oricărui sistem de sănătate, în special în aplicațiile e-sănătate, astfel cum este menționat în cadrul propunerii („respectarea vieții private prin concepție”). Această cerință fermă a fost deja susținută în alte documente strategice relevante (14), atât generale, cât și specifice asistenței medicale (15). |
33. |
În contextul interoperabilității e-sănătate discutate în cadrul propunerii, noțiunea de „respectarea vieții private prin concepție” ar trebui subliniată încă o dată drept bază pentru toate evoluțiile preconizate. Această noțiune se aplică la câteva niveluri diferite: organizațional, semantic, tehnic.
|
34. |
AEPD consideră că domeniul prescripțiilor electronice ar putea servi drept bază pentru integrarea vieții private și a cerințelor de securitate chiar în stadiul inițial al evoluției (a se vedea secțiunea III de mai jos). |
35. |
Un aspect suplimentar care ar putea fi examinat în cadrul schimbului transfrontalier de date privind sănătatea este utilizarea secundară a datelor privind sănătatea și în special utilizarea datelor în scopuri statistice, astfel cum a fost deja stabilit în propunerea actuală. |
36. |
Astfel cum s-a menționat anterior la punctul 18, articolul 8 alineatul (4) din Directiva 95/46/CE prevede posibilitatea utilizării secundare a datelor privind sănătatea. Cu toate acestea, această prelucrare ulterioară ar trebui realizată numai din motive de „interes public semnificativ” și sub rezerva unor „garanții corespunzătoare” prevăzute de dreptul intern sau ca urmare a deciziei autorității de supraveghere (16). De asemenea, în cazul prelucrării datelor statistice, astfel cum este menționat de asemenea în avizul AEPD asupra propunerii de regulament privind statisticile comunitare referitoare la sănătatea publică și la sănătatea și securitatea în muncă (17), un risc suplimentar rezultă din înțelesul diferit pe care noțiunile de „confidențialitate” și „protecția datelor” l-ar putea avea în aplicarea legislației privind protecția datelor, pe de o parte, și a legislației privind statisticile, pe de altă parte. |
37. |
AEPD dorește să sublinieze elementele de mai sus în contextul propunerii actuale. Ar trebui incluse trimiteri mai explicite la cerințele de protecție a datelor privind utilizarea ulterioară a datelor privind sănătatea (a se vedea secțiunea III de mai jos). |
III. ANALIZA DETALIATĂ A PROPUNERII
Dispozițiile propunerii privind protecția datelor
38. |
Propunerea include o serie de trimiteri la protecția datelor și viața privată în diferite părți ale documentului, și anume:
|
39. |
AEPD salută faptul că protecția datelor a fost luată în considerare la elaborarea propunerii și că se încearcă să se demonstreze necesitatea globală a respectării vieții private în contextul asistenței medicale transfrontaliere. Cu toate acestea, dispozițiile existente ale propunerii privind protecția datelor fie sunt prea generale, fie se referă la responsabilitățile statelor membre în mod selectiv și dispersat:
De asemenea, astfel cum a fost deja menționat în introducerea prezentului aviz, nu există nicio legătură și/sau trimitere la aspecte privind viața privată abordate în alte instrumente juridice ale CE (cu forță juridică obligatorie sau nu) în domeniul asistenței medicale, în special cu privire la utilizarea noilor aplicații TIC (precum telemedicina sau sistemele de evidență electronică a datelor medicale). |
40. |
Astfel, deși respectarea vieții private este în general precizată drept cerință a asistenței medicale transfrontaliere, lipsește încă o imagine globală, atât în ceea ce privește obligațiile statelor membre, cât și în ceea ce privește particularitățile introduse prin caracterul transfrontalier al furnizării serviciilor de asistență medicală (în contrast cu furnizarea serviciilor naționale de asistență medicală). Mai explicit:
|
41. |
În plus, articolul 18, care se referă la culegerea datelor în scopuri statistice și de supraveghere, ridică anumite probleme. Alineatul (1) se referă la „date statistice și alte date suplimentare”; de asemenea, acesta se referă, folosind pluralul, la „scopuri de supraveghere” și, prin urmare, enumără domeniile care fac obiectul acestor scopuri de supraveghere, și anume furnizarea de asistență medicală transfrontalieră, serviciile acordate, furnizorii acestora și pacienții, costurile și rezultatele. În acest context, deja destul de neclar, se face o trimitere generală la legislația de protecție a datelor, însă nu se stabilesc cerințe specifice legate de utilizarea ulterioară a datelor privind sănătatea, astfel cum este prevăzut la articolul 8 alineatul (4) din Directiva 95/46/CE. De asemenea, alineatul (2) cuprinde obligația necondiționată de a transfera Comisiei cantitatea semnificativă de date cel puțin o dată pe an. Întrucât nu se face nicio trimitere explicită la o evaluare a necesității acestui transfer, se pare că legislatorul comunitar însuși a stabilit deja necesitatea acestor transferuri către Comisie. |
Recomandările AEPD
42. |
Pentru a aborda în mod corespunzător elementele menționate anterior, AEPD oferă o serie de recomandări, sub forma a cinci etape principale pentru modificări, astfel cum este descris mai jos. |
43. |
Articolul 4 definește termenii principali utilizați în cadrul propunerii. AEPD recomandă ferm introducerea în acest articol a unei definiții a datelor privind sănătatea. Ar trebui aplicată o interpretare mai largă a datelor privind sănătatea, precum cea descrisă în secțiunea II a prezentului aviz (punctele 14 și 15). |
44. |
AEPD recomandă, de asemenea, cu fermitate introducerea unui articol explicit privind protecția datelor în cadrul propunerii, care ar putea stabili dimensiunea globală a vieții private în mod clar și ușor de înțeles. Acest articol ar trebui (a) să descrie responsabilitățile statului membru de afiliere și, respectiv, de tratament, inclusiv – printre altele – necesitatea securității prelucrării, și (b) să identifice principalele domenii pentru viitoare evoluții, și anume armonizarea securității și integrarea vieții private în e-sănătate. Pentru aceste aspecte, pot fi formulate dispoziții specifice (în cadrul articolului propus), astfel cum este prezentat în etapele 3 și 4 de mai jos. |
45. |
În urma modificării etapei 2, AEPD recomandă Comisiei să adopte un mecanism pentru definirea unui nivel de securitate general acceptabil al datelor privind sănătatea la nivel național, ținând seama de standardele tehnice existente în acest domeniu. Aceasta ar trebui să se reflecte în cadrul propunerii. O posibilă punere în aplicare ar putea fi realizată prin utilizarea procedurii comitetului, astfel cum este deja descris la articolul 19 și se aplică pentru alte părți ale propunerii. De asemenea, ar putea fi utilizate instrumente suplimentare pentru elaborarea unor orientări relevante, care să includă toate părțile interesate, precum Grupul de lucru al articolului 29 și AEPD. |
46. |
Articolul 14 privind recunoașterea prescripțiilor eliberate în alt stat membru prevede elaborarea unui model comunitar de prescripție, care să sprijine interoperabilitatea e-prescripțiilor. Această măsură va fi adoptată prin procedura comitetului, astfel cum este definit la articolul 19 alineatul (2) din propunere. |
47. |
AEPD recomandă ca modelul propus de e-prescripție să incorporeze viața privată și securitatea, chiar în definiția semantică de bază a acestui model. Aceasta ar trebui menționată în mod explicit la articolul 14 alineatul (2) litera (a). Din nou, implicarea tuturor părților interesate relevante este de o importanță deosebită. În acest sens, AEPD dorește să fie informată cu privire la și implicată în viitoare măsuri adoptate privind această chestiune prin procedura propusă a comitetului. |
48. |
Pentru a preveni orice neînțelegere, AEPD încurajează clarificarea noțiunii de „alte date suplimentare” de la articolul 18 alineatul (1). De asemenea, articolul ar trebui modificat astfel încât să facă trimitere în mod mai explicit la cerințele de utilizare ulterioară a datelor privind sănătatea, astfel cum este prevăzut la articolul 8 alineatul (4) din Directiva 95/46/CE. În plus, obligația de a transmite Comisiei toate datele, cuprinsă la alineatul (2), ar trebui să facă obiectul unei evaluări a necesității unor astfel de transferuri în scopuri legitime care sunt precizate în mod corespunzător în prealabil. |
IV. CONCLUZII
49. |
AEPD ar dori să își exprime sprijinul față de inițiativele de îmbunătățire a condițiilor de asistență medicală transfrontalieră. Totuși, aceasta își exprimă preocuparea privind faptul că inițiativele CE legate de asistența medicală nu sunt totdeauna bine coordonate în privința utilizării TIC, a vieții private și a securității, constituind astfel un impediment în adoptarea unei abordări universale privind protecția datelor pentru asistența medicală. |
50. |
AEPD salută faptul că se face trimitere la viața privată în cadrul propunerii actuale. Cu toate acestea, sunt necesare o serie de modificări, astfel cum este explicat în secțiunea III a prezentului aviz, pentru a oferi cerințe clare, atât pentru staul membru de tratament și, respectiv, de afiliere, cât și pentru a aborda în mod corespunzător dimensiunea de protecție a datelor din cadrul asistenței medicale transfrontaliere:
|
Adoptat la Bruxelles, 2 decembrie 2008.
Peter HUSTINX
Autoritatea Europeană pentru Protecția Datelor
(1) COM(2008) 414 final. A se nota faptul că o comunicare complementară privind un cadru comunitar privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere [COM (2008) 415 final] a fost, de asemenea, adoptată la aceeași dată. Cu toate acestea, întrucât comunicarea are numai un caracter mai degrabă general, AEPD a ales să își concentreze atenția asupra directivei propuse.
(2) Anunțate în programul de lucru al Comisiei.
(3) Recomandarea Comisiei din 2 iulie 2008 privind interoperabilitatea transfrontalieră a sistemelor de evidență electronică a datelor medicale [notificată cu numărul de document C(2008) 3282], JO L 190, 18.7.2008, p. 37.
(4) Anunțată în programul de lucru al Comisiei.
(5) În acest sens, este ilustrativ faptul că nu este inclusă nicio trimitere la viața privată sau la protecția datelor în comunicarea menționată în nota de subsol 1, care are scopul de a stabili un cadru comunitar privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere.
(6) A se vedea cauza 158/96, Kohll, [1998] Repertoriu I-1931, punctul 34. A se vedea, printre altele, de asemenea, cauza C-157/99, Smits and Peerbooms [2001] Repertoriu I-5473 și cauza C-385/99, Müller-Fauré and Van Riet [2003] Repertoriu I-12403.
(7) A se vedea CEDO, 17 iulie 2008, I v. Finlanda (nr. cererii 20511/03), punctul 38.
(8) A se vedea Grupul de lucru al articolului 29, documentul de lucru privind prelucrarea datelor cu caracter personal legate de sănătate în sistemele de evidență electronică a datelor medicale (EHR), februarie 2007, WP131, punctul II.2. A se vedea, de asemenea, cu privire la înțelesul larg al „datelor cu caracter personal”: Grupul de lucru al articolului 29, Avizul 4/2007 privind conceptul de date cu caracter personal, WP 136.
(9) Consiliul Europei, Recomandarea nr. R(97)5 privind protecția datelor medicale.
(10) ISO 27799:2008 „Informatica în domeniul sănătății – Gestionarea securității informațiilor în domeniul sănătății utilizând ISO/IEC 27002”.
(11) CEDO, 17 iulie 2008, I v. Finlanda (nr. cererii 20511/03), punctul 38.
(12) Raportul e-sănătate al SEC, Către instituirea unui spațiu european de cercetare al e-sănătății, Comisia Europeană, Societatea informațională și mass-media, martie 2007, http://ec.europa.eu/information_society/activities/health/docs/policy/ehealth-era-full-report.pdf
(13) Directiva 1999/93/CE a Parlamentului European și a Consiliului din 13 decembrie 1999 privind un cadru comunitar pentru semnăturile electronice, JO L 13, 19.1.2000, p. 12-20.
(14) AEPD și cercetarea și dezvoltarea tehnologică în cadrul UE, document strategic, AEPD, aprilie 2008, http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/PolicyP/08-04-28_PP_RTD_EN.pdf
(15) Recomandarea Comisiei din 2 iulie 2008 privind interoperabilitatea transfrontalieră a sistemelor de evidență electronică a datelor medicale [notificată cu numărul de document C(2008) 3282], JO L 190, 18.7.2008, p. 37.
(16) A se vedea, de asemenea, considerentul 34 din Directiva 95/46/CE. Cu privire la acest punct, a se vedea, de asemenea, Avizul WP 29 privind EHR, menționat mai sus în nota de subsol 8 de la pagina 16.
(17) JO C 295, 7.12.2007, p. 1.