Toate instituţiile şi companiile care procesează date cu caracter personal trebuie să se alinieze noului regulament al Uniunii Europene (GDPR - General Data Protection Regulation) până la 25 mai, altfel riscă amenzi de până la 20 de milioane de euro. Spitalele şi companiile care activează în domeniul medical şi prelucrează date personale se supun aceloraşi reguli, excepţie fac cabinetele individuale de medicina familiei.

„70% din antreprenori şi compani s-au trezit în ultimele 6 luni, deşi regulamentul european este aprobat şi în vigoare din 2016, doar că nu se aplică. (...) Militez de vreo 2 luni pentru crearea unui cod de conduită în medicină. În industria spitalelor, în primul rând, care sunt complet depăşite în momentul acesta de regulament”, a explicat Cristiana Deca, consilier juridic Decalex, în cadrul conferinţei „Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate”, organizată în 20 aprilie la Palatul Cotroceni.

„Regulamentul nu vine cu nişte noutăţi absolute în domeniul protecţiei datelor personale. Cel puţin în România, dar şi în orice alt stat membru din UE există şi în prezent cadrul legal care asigură garantarea deplină la protecţia datelor personale”, a declarat Simona Şandru, şeful biroului plângeri al Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Simona Şandru, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Simona Şandru, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

Angajarea unui responsabil cu protecţia datelor

Printre noile obligaţii care revin operatorilor de date cu caracter personal sunt: 

  • Menţinerea unui registru intern cu datele procesate
  • Angajarea unui responsabil cu protecţia datelor, obligatoriu pentru instituţiile publice şi companiile care procesează date sensibile sau fac monitorizări pe scară largă
  • Notificarea obligatorie a breşelor de securitate către ANSPDCP în maxim 72 de ore şi notificarea persoanelor afectate, dacă riscurile sunt ridicate
  • Realizarea obligatorie a unui studiu de impact al procesării datelor, în cazul unui risc ridicat
  • Asigurarea securităţii şi integrităţii datelor
  • Transferarea datelor personale în afara UE doar în condiţii speciale de siguranţă

Astfel, modelul de business se schimbă din unul centrat pe comerciant şi nevoia de a cumula date personale către un model axat pe individ şi drepturile acestuia.

Printre noile drepturi ale individului stipulate în GDPR se numeră:

  • Consimţământul obţinut în mod demonstrabil
  • Dreptul de portabilitate a datelor
  • Dreptul la corectarea datelor
  • Dreptul de a fi uitat sau şters
  • Dreptul de a se opune luării deciziilor doar pe baza procesării automate
  • Accesul transparent la informaţii privind modul de colectare şi scopul procesării datelor

„Apar trei noi drepturi: dreptul la portabilitate a datelor personale - acest drept presupune posibilitatea persoanelor fizice să obţină date într-un format editabil, structural, în măsura în care persoana a furnizat date personale, în baza consimţământului expres sau în baza unei obligaţii contractuale, acest drept presupune şi posibilitatea de a solicita transferarea datelor personale de la un operator la alt operator, în măsura în care este tehnic fezabilă o astfel de operaţiune; restricţionarea datelor personale - care presupune o marcare a datelor în scopul limitării a prelucrării datelor personale pentru anumite motive legitime ale persoanei vizate; dreptul de a fi şters sau de a fi uitat (...) - care presupune posibilitatea persoanelor vizate de a solicita să le fie şterse informaţiile din bazele de date ale operatorilor pentru anumite condiţii expres prevăzute în regulament şi cu aplicarea anumitor excepţii prevăzute, dar aceste drepturi nu sunt unele absolute”, a explicat Simona Şandru, şef birou plângeri al Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Cenzurarea zonei de cercetare medicală

Specialiştii juridici avertizează că domeniul cercetării medicale şi al profilării genetice va fi mult afectat dacă regulamentul GDPR intră în vigoare, în România, în forma actuală. Astfel, doar autorităţile de stat vor putea prelucra date medicale personale.

„Dacă proiectul de lege rămâne în forma actuală, aplicaţii, precum cele care îţi pot indica dacă eşti suspectat de cancer de piele în urma uploadării unei fotografii, nu vor mai putea fi dezvoltate în România decât de o autoritate de stat. Proiectul legislativ spune că astfel de aplicaţii care prelucrează şi profilează datele genetice sunt interzise, dacă prelucrarea nu se face sub autoritatea de stat”, a explicat Cristiana Deca, consilier juridic Decalex.

Consilierul Decalex a atras atenţia că sectorul privat va fi mult mai sever sancţionat, maximul amenzilor fiind de 20 de milioane euro în comparaţie cu 43 de mii euro, suma maximă cu care poate fi amendată o instituţie de stat pentru nerespectarea regulamentului GDPR, care intră în vigoare de la 25 mai.