Articole
Procesarea datelor personale ale pacienților oncologici în contractele de asigurare
DOI: 10.24193/SUBBiur.69(2024).1.1
Data publicării online: 25.10.2024
Juanita Goicovici*
Rezumat. Articolul abordează o suită dintre cele mai controversate probleme în prelucrarea informațiilor personale ale pacienților oncologici, în corelație cu cele mai recente modificări legislative, și anume transmiterea datelor cu caracter personal ale pacienților oncologici către asigurători în vederea stabilirii scorului de probabilitate a riscurilor (i) și dreptul pacientului oncologic de a formula opoziție ori a se opune procesării datelor sensibile de către furnizorii de asigurări, dacă sunt îndeplinite condițiile legale de limitare a accesului la datele sensibile (ii). Procesarea datelor personale ale pacienților oncologici în materia contractelor de asigurare pentru risc de invaliditate sau deces influențează maniera în care este adaptat cuantumul primelor de asigurare, implicând o „personalizare” a costurilor contractuale cu potențiale efecte discriminatorii pentru aceste categorii de pacienți.
Cuvinte-cheie: date personale, date sensibile, dosar medical, pacienți oncologici, drept de acces, drept de opoziție.
The processing of oncologic patients’ personal data in insurance contracts
Abstract. The article addresses a series of the most controversial issues in the processing of personal data of oncologic patients, in accordance with the most recent legislative changes, namely the transmission of personal data of oncologic patients to insurers in order to establish the risk probability score (i ) and the oncologic patient’s right to object or oppose the processing of sensitive data by insurance providers, if the legal conditions for limiting access to sensitive data are met (ii). The processing of personal data of oncologic patients in the perimeter of insurance contracts for the risk of disability or death influences the manner under which the amount of insurance premiums is adjusted, implying a „personalized adjustment” of the contractual costs with potential discriminatory effects towards these categories of patients.
Keywords: personal data, sensitive data, medical records, oncologic patients, right of access, right of opposition.
B. Limite ale reglementării și colmatarea posibilelor aspecte lacunare
II. Formalismul informativ asociat exercitării dreptului la opoziție al pacientului oncologic
A. Obligația asigurătorilor de a respecta exigențele formalismului informativ
B. Anulabilitatea contractului de asigurare format în absența mențiunilor informative
III. Opozabilitatea dreptului de restricționare a procesării informațiilor sensibile
A. Obligația corelativă incumbând operatorului de date medicale
Liminarii
Procesarea datelor personale ale pacienților oncologici reverberează frecvent, în practică, asupra manierei în care, în materia contractelor de asigurare pentru risc de invaliditate sau deces, sunt calibrate valoric primele de asigurare[1], implicând adesea o „personalizare” a costurilor contractuale cu efecte discriminatorii pentru aceste categorii de pacienți. Suplimentar, o natură controversată[2] a avut, posterior intrării în vigoare a Regulamentului (UE) 2016/679 (în continuare RGPD), și dreptul asigurătorilor[3] de a accesa conținutul dosarului medical al pacientului oncologic (din rațiuni ce țin de calibrarea ori adaptarea cuantumului primelor de asigurare prin raportare la scorul algoritmizat de probabilitate a riscurilor).
Paragrafele care urmează abordează unele dintre problematicile cele mai „spinoase” în materia procesării datelor personale sensibile ale pacienților oncologici, conform recentelor ajustări legislative, și anume cele vizând transmiterea datelor personale ale pacienților oncologici către asigurători în etapa precontractuală (i) și dreptul pacientului oncologic de a se pune procesării de către asigurători a datelor sale sensibile, dacă întrunește condițiile legale specifice privind restricționarea temporară a procesării anumitor categorii de date medicale (ii). Datele privind evoluția stării de sănătate a pacienților oncologici sunt înregimentate în categoriile datelor personale sensibile[4], ceea ce imprimă un grad de dificultate accentuat acestor problematici, dat fiind regimul restrictiv aplicat procesării datelor sensibile ori „categoriilor speciale de date” în textul RGPD.
Inclusă fiind de plano în sfera materială și personală de aplicare a normelor RGPD, procesarea datelor personale din dosarele medicale ridică dificultăți care se multiplică exponențial, îndeosebi în perimetrul colectării și stocării, respectiv în materia portării sau transmiterii (la solicitarea societăților de asigurări, de pildă) a datelor pacienților oncologici. Opțiunea titularului datelor de a refuza procesarea acestora stopează, în principiu, doar în măsura în care legiuitorul național stipulează aceste repere, prelucrarea de către asigurători, dobândind relevanță exercițiul prerogativelor specifice detaliate în textele RGPD, precum dreptul de acces la propriile date, dreptul de a solicita portarea acestora[5], dreptul de a formula opoziție la procesare, dreptul la ștergerea datelor ș.a. Însă, pentru informațiile personale din dosarul medical al pacientului oncologic, a revenit legiuitorului național misiunea de a fixa bornele între care transmiterea acestor date să se desfășoare, respectiv aceea de a stabili taxonomia elementelor care limitează dreptul terților (din categoria asigurătorilor[6]) de a accesa conținutul dosarului medical.
În contextul discuției privitoare la consacrarea legislativă a dreptului pacienților oncologici de a formula opoziție cu privire la procesarea anumitor date medicale care îi privesc, se impune o mențiune referitoare la limitele trasate prin dispozițiile Legii nr. 46/2003, cu modificările aduse prin Legea nr. 200/2022 „pentru completarea Legii drepturilor pacientului nr. 46/2003”[7], coroborate cu dispozițiile RGPD, care prevăd că, în cazul încheierii unor contracte de asigurare, un pacient supraviețuitor al unor afecțiuni oncologice are dreptul de a solicita instituției medicale să nu ofere informații către asigurator care să fie exploatate ulterior în sensul stabilirii scorului personal de probabilitate a riscurilor. Prevederile legale speciale dobândesc aplicabilitate pentru datele personale din dosarul medical la expirarea unui interval temporal de șapte ani de la momentul finalizării protocolului oncologic. Dispozițiile legale comentate stabilesc, pentru categoriile de pacienți oncologici diagnosticați înainte de atingerea vârstei majoratului, respectiv pentru supraviețuitorul afecțiunii oncologice care a fost diagnosticat anterior împlinirii vârstei de 18 ani[8], că va fi incident un termen de cinci ani din momentul încheierii protocolului de tratament oncologic, iar după expirarea intervalului de 5 ani, se activează pentru pacientul oncologic un drept de opoziție al cărui exercițiu îi va permite să se opună prelucrării datelor privind istoricul său medical de către companiile de asigurări. Legiuitorul național a prevăzut, de asemenea, faptul că, dând curs propunerilor instituțiilor oncologice, Ministerul Sănătății are competența de a introduce termene reduse față de termenul general de 7 ani, respectiv de 5 ani pentru exercițiul dreptului de opoziție aparținând anumitor categorii de pacienți, prin prisma criteriului vârstei acestora, în calitate de supraviețuitori ai unora dintre categoriile de afecțiunile oncologice din taxonomia stabilită pentru acestea la nivelul Ministerului Sănătății. În textul art. 25^2, teza finală din Legea nr. 43/2003, introdus prin Legea nr. 200/2022, se precizează că inițiativele Ministerului Sănătății de a reglementa intervale reduse pentru activarea acestui drept de opoziție prin raportare la prelucrarea datelor sensibile vor fi angajate pornind de la identificarea categoriilor de vârstă care prezintă vulnerabilități specifice (i) și, concomitent, prin identificarea de taxonomii care să includă tipurile maladiilor oncologice vizate (ii) de legiferarea unui drept de opoziție privind transferul datelor medicale sensibile, exploatând evidențele științifice care sintetizează progresele terapeutice înregistrate de acești pacienți.
Termenele la împlinirea cărora este activat dreptul de opoziție al pacienților oncologici relativ la procesarea datelor sensibile privind istoricul medical au fost fixate astfel: (a) pentru pacienții oncologici diagnosticați după împlinirea vârstei de 18 ani, este necesar să treacă un interval de 7 ani de la data la care s-a încheiat ultimul protocol terapeutic, interval în care nu au reapărut manifestări ale afecțiunii oncologice; (b) pentru pacienții nerecurenți diagnosticați cu afecțiuni oncologice înainte de împlinirea vârstei de 18 ani, pornind de la criteriul vârstei acestora, s-a apreciat că este oportună introducerea unui termen mai restrâns, astfel că, în cazul acestora, termenul a fost redus la 5 ani de la data finalizării protocoalelor terapeutice specifice.
Pe primul palier al discuției, prevederile legislației speciale reprezintă o derogare de la normele dreptului comun relative la obligația de transparență care incumbă persoanei asigurate în raporturile cu asigurătorul, cuprinse în textul art. 2203 alin. (1) C.civ., în concordanță cu care asiguratului (respectiv, potențialului contractant al unei polițe de asigurare) îi revine obligația de transparență, bifurcată în (i) obligația de a comunica asigurătorului, sub forma unui răspuns elaborat în scris, informațiile solicitate prin întrebările formulate de asigurător, precum și (ii) obligația de a declara, în etapa precontractuală și cel târziu la momentul încheierii contractului de asigurare, acele informații ori circumstanțe despre care viitorul asigurat are cunoștință și despre care se poate considera că ar exercita o influență considerabilă asupra perfectării contractului, fiind apreciate ca esențiale pentru derularea operațiunilor de evaluare a riscului.
Pe cel de-al doilea palier, apreciem că prevederile legislației speciale nu consacră un veritabil „drept la ștergerea datelor” din dosarul medical al pacientului oncologic (aceste date rămânând în continuare a fi conservate în dosarul medical), ci un drept la opoziție[9], având natura unui drept potestativ, ca prerogativă de control unilateral asupra situației juridice respective și al cărui exercițiu permite pacientului oncologic, după împlinirea unui interval de 7 ani (respectiv 5 ani pentru pacienții diagnosticați ca minori) de la finalizarea etapelor tratamentului oncologic fără recurență, să controleze ce tip de informații din istoricul său medical vor fi deconspirate asigurătorului pentru evaluarea probabilității riscului asigurat. Această natură juridică, de „drept la opoziție” considerăm că prezintă pertinență, prin raportare la formula evazivă și improprie (de „drept la uitare”) cu care legiuitorul național a calificat dreptul special de control asupra propriilor date, alocat pacientului oncologic prin dispozițiile art. 25^1 din Legea nr. 46/2003, introdus prin Legea nr. 200/2022.
Pe cel de-al treilea palier, apreciem că este nejustificată omiterea, din textul actualei reglementări a dreptului de opoziție față de procesarea datelor medicale de către asigurători, a altor categorii vulnerabile de pacienți ale căror date pot fi exploatate în profilarea discriminatorie direcționată către stabilirea unor prime de asigurare mai oneroase, și anume pacienții afectați de patologii ale sistemului respirator, tuberculoze și afecțiunea pulmonară obstructivă cronică (BPOC) asociate unei obstrucții bronhiale persistente (ireversibile), respectiv pacienții cu patologii BTS cu pronostic moderat de supraviețuire, dacă nici în cazul acestora nu s-au înregistrat, într-un interval temporal care ar trebui fixat de legiuitor, forme recidivante sau recrudescențe ale patologiei diagnosticate.
Formalismul informativ instituit prin prevederile art. 25^1 alin. (2) din Legea nr. 46/2003, prin Legea nr. 200/2022 implică, pentru profesioniștii din domeniul asigurărilor (facultative, îndeosebi) de a introduce, sub forma unor mențiuni înscrise în documentele prin care au solicitat potențialilor contractanți în calitate de viitoare părți la contractul de asigurare[10], precizări clare, concise, inteligibile, uzând un limbaj accesibil părții profane, cu privire la existența și modalitățile de exercițiu, respectiv cu privire la condițiile legale alocate exercitării dreptului pacientului oncologic de a formula opoziție relativ la procesarea datelor medicale în vederea stabilirii (algoritmizate) a scorului personal privind probabilitatea survenirii riscurilor, scor în funcție de care va fi calibrată valoarea primelor din contractul de asigurare. Dacă, sub aspectul fondului, formalismul informativ aplicabil în această materie atrage exigențe reglementate pe un ton imperativ, precum cea referitoare la claritatea și transparența enunțurilor care atestă posibilitatea exercitării dreptului la opoziție în materia prelucrării datelor personale privind istoricul afecțiunilor oncologice, respectiv la evitarea limbajului supra-tehnicizat, inaccesibil părții contractuale profane și la evitarea informațiilor supra-abundente, inadaptate prin volum nivelului de înțelegere al consumatorului acestor servicii (i), în schimb, sub aspect formal, textul de lege citat stabilește obligativitatea poziționării mențiunilor obligatorii privitoare la dreptul de opoziție la procesarea datelor sensibile în câmpul vizual în care sunt enunțate solicitările adresate pacientului, privind furnizarea de informații și detalii relative la circumstanțele care au potențialul de a influența scorul de probabilitate a riscului asigurat, cerință dublată de exigența utilizării unor caractere de dimensiuni similare celor utilizate pentru mențiunile principale din formularul adresat de asigurător potențialilor consumatori[11] de servicii (ii). Precizăm că, în perimetrul raporturilor dintre profesioniștii asigurători și consumatorii[12] acestor servicii, conformarea la exigențele formalismului informativ nu poate avea loc într-un cadru strict conversațional ori utilizând mijloace informale de comunicare cum ar fi schimbul de e-mailuri, ci este imperativă pentru asigurător obligația menționării exprese, în fișele de informații remise consumatorului, în etapa precontractuală, a aspectelor privitoare la existența și modalitatea de exercițiu a dreptului titularului de a decide asupra restricționării accesului asigurătorului la datele privind istoricul său medical (dacă întrunește condițiile enunțate de textele legale pentru activarea dreptului de opoziție la procesare datelor[13]).
Frapantă este opțiunea legiuitorului pentru o sancțiune drastică alocată omiterii exigențelor formalismului informativ aplicabil dreptului de opoziție la procesarea datelor medicale ale pacientului oncologic în etapa precontractuală a formării convențiilor de asigurări, specia de sancțiune selectată fiind cea a nulității relative a convenției de asigurare încheiate cu omiterea mențiunilor informative asupra exercitării dreptului la opoziție din documentele precontractuale prin care s-au solicitat potențialului asigurat date personale privind istoricul afecțiunilor medicale, după cum se specifică expres în textul art. 25^1, alin. (2), teza finală din Legea nr. 46/2003, introdus prin Legea nr. 200/2022. Selectarea acestui tip de sancțiune, care invalidează cu efecte retroactive însăși formarea contractului de asigurare este inedită în spațiul dreptului român al consumului, caracteristice sancționării situațiilor de nerespectare a formalismului informativ impus profesioniștilor în raport cu partea contractuală vulnerabilă fiind, de exemplu, în textele legislative care tratează aspectele formării contractelor digitale ori în cele formate la distanță, prelungirea termenului de exercitare a dreptului de retractare alocat părții vulnerabile[14], iar nu sancțiunea nulității contractului format. Apreciem că opțiunea legiuitorului pentru invalidarea, la cererea persoanei interesate a contractului de asigurare, în eventualitatea nerespectării cerințelor formalismului informativ de către asigurător privitor la dreptul pacientului oncologic de a se opune procesării datelor sale medicale reprezintă versiunea justă de sancționare, însă considerăm că instanțele de judecată ar trebui să poată invoca din oficiu această omisiune a mențiunilor obligatorii din formularele precontractuale emise de asigurător spre completare de către potențialii asigurați, invocare din oficiu care nu este specifică versiunii nulității relative, de protecție la care s-a oprit legislatorul în textul art. 25^1 alin. (2), teza finală din Legea nr. 46/2003, introdus prin Legea nr. 200/2022. De aceea, opinăm că mai pertinentă ar fi fost consacrarea expresă ori explicită a posibilității instanțelor de a invoca aceste motive de nulitate, atunci când constată omiterea mențiunilor obligatorii relative la dreptul de opoziție la prelucrarea informațiilor personale sensibile, perspectivă din care (i) fie ar fi fost pertinentă consacrarea, în textul legal, a sancțiunii nulității absolute, imprescriptibile și invocabile din oficiu de către instanța de judecată, (ii) fie menținerea versiunii nulității relative, însă cu inserarea unei prevederi derogatorii de la regimul de drept comun al acestei specii de sancțiune, prevedere care să consacre expres prerogativa instanțelor de a se pronunța din oficiu asupra omiterii exigențelor formalismului informativ, punând, desigur, în dezbaterea părților aceste aspecte, conform principiului contradictorialității și respectând dreptul consumatorului de a opta (în ipoteza invocării din oficiu a nulității pentru neconformarea asigurătorului la exigențele formalismului informativ) pentru menținerea efectelor contractului (în caz de renunțare explicită a asiguratului la aplicarea sancțiunii nulității relative a contractului de asigurare format prin nerespectarea formalismului informativ privitor la dreptul de opoziție).
Totodată, regimul nulității absolute ar fi mai pertinent inclusiv sub aspectul imprescriptibilității dreptului material la acțiune al pacientului asigurat, care s-ar prevala dincolo de intervalul de trei ani de la data la care a cunoscut motivul de nulitate (constând în nerespectarea formalismului informativ de către asigurător) de această cauză de ineficacitate a convenției. Desigur, termenul de prescripție de trei ani de la data la care a cunoscut motivul de nulitate este suficient de amplu pentru persoana asigurată, însă rămâne nerezolvată prolema invocării din oficiu de către instanțele de judecată a neconformării la cerințele formalismului informativ în astfel de cazuri, fără a fi incidentă posibilitatea asigurătorului (a cărui culpă este prezumată, acesta neputând invoca necunoașterea prevederilor legale care îi impuneau să insereze mențiunile scrise privitoare la dreptul de opoziție la procesarea datelor pacientului oncologic) de a ridica excepția prescrierii posibilității invocării motivului de nulitate reprezentat de nerespectarea formalismului informativ aferent formării contractului de asigurare. Pentru aceste argumente, apreciem că ar fi prezentat pertinență „hibridarea” regimului juridic al nulității relative aplicabile contractului de asigurare, încât să fie consacrată posibilitatea instanțelor de a invoca din oficiu acest tip de nulitate, sub rezerva renunțării asiguratului la a se prevala de motivul de nulitate reprezentat de omiterea mențiunilor obligatorii privind dreptul de opoziție din formularele informative precontractuale.
Obligativitatea respectării opțiunii pacientului oncologic de a refuza procesarea datelor care atestă istoricul său medical de către asigurători, în situațiile fără recurență (atunci când afecțiunea oncologică nu a reapărut/nu s-a remanifestat după un interval de 7 ani de la data finalizării ultimului protocol medical, respectiv 5 ani pentru pacienții oncologici diagnosticați înaintea împlinirii vârstei de 18 ani) revine personalului medical, conform precizărilor din art. 25^1 alin. (3) din Legea nr. 46/2003, introdus prin Legea nr. 200/2022. Textul de lege menționează că revine personalului medico-legal obligația de a refuza transmiterea către asigurători a informațiilor și a documentelor care atestă istoricul medical al pacientului oncologic. O suită de interogații se ridică, pornind de la exprimarea lacunară și deficitară a legiuitorului, în respectivul text legal. Mai întâi, remarcăm faptul că această obligație nu incumbă în mod direct personalului medical[15], întrucât nu salariații unității spitalicești/personalul de recepție, medicii sau asistenții medicali ori prestatorii de servicii în baza convențiilor încheiate cu clinicile medicale[16] dețin calitatea de operator de date, în accepțiunea imprimată de textele RGPD, ci această calitate de operator al informațiilor personale este deținută de către clinica medicală din sistemul public/privat al serviciilor de sănătate; prin urmare, apreciem că unităților medicale, în calitate de operatori de date sensibile, le incumbă obligația de a instrui în mod corespunzător (prin organizarea sesiunilor de instruire) personalul medical și de recepție, relativ la tratamentul juridic aplicabil datelor sensibile din dosarele pacienților oncologici prin prisma dreptului legal de opoziție al pacientului (i), respectiv le incumbă obligația de instituire a protocoalelor interne privind gestionarea solicitărilor de confidențializare a datelor sensibile privind istoricul medical al pacienților oncologici (ii); absența acestor protocoale adecvate putându-se concretiza într-o conduită culpabilă a operatorului de date care, dacă se soldează cu deconspirarea către asigurători a unor date sensibile ignorând solicitarea de opoziție la prelucrare adresată de pacientul oncologic, aceste fapte vor putea reprezenta o sursă de angajare a răspunderii civile a operatorului datelor, după cum este evidențiat prin prevederile art. 37 alin. (2) din Legea nr. 46/2003, introdus prin Legea nr. 200/2022, care se referă in terminis la angajarea răspunderii civile a asigurătorilor, însă aceasta se va aplica și operatorilor de date din sistemul medical care au comunicat informații sensibile[17] în pofida refuzului pacientului oncologic comunicat între premisele specificate în actul normativ.
Obligația operatorilor de date medicale de a da curs opțiunii pacientului oncologic privind restricționarea accesului terților (din categoria asigurătorilor) la istoricul său medical intervine inclusiv în perimetrul completării și partajării informațiilor medicale din „dosarul electronic de sănătate”[18] (DES), pe platforma digitală aferentă, astfel încât datele stocate în DES nu vor putea face obiectul transferului la asigurători, în eventualitatea unei opoziții formulate de titularul datelor. Exercitarea dreptului titularului de restricționare a accesului la informațiile medicale se concretizează, totodată, într-o formă de manifestare a principiului reducerii la minim a datelor supuse prelucrării (în versiunea colectării, stocării, transferării sau divulgării, structurării, profilării, pseudonimizării datelor medicale). Prin raportare la solicitarea asigurătorilor de a li se permite accesul la informații privind istoricul medical al pacientului oncologic diagnosticat ca adult, în cazul căruia manifestările maladiei oncologice nu au recidivat pe durata celor 7 ani de la finalizarea protocolului terapeutic, operatorilor de date medicale din sistemul sanitar le revine obligația negativă (de a nu face), respectiv de a nu transfera datele solicitate către asigurător, dacă pacientul titular al datelor se opune transferului, chiar dacă aceste date au fost stocate și actualizate în DES. Apreciem că, la solicitarea titularului, va fi restricționat accesul la datele din cele cinci module DES, îndeosebi datele din modulul secund, intitulat „Istoricul medical”, cuprinzând inter alia informații despre „boli cronice diagnosticate; intervenții și proceduri efectuate, servicii medicale, imunizări; tratament medicamentos acordat în cadrul unor studii clinice”, respectiv informațiile din cel de-al treilea modul, care grupează inter alia sub titulatura „Antecedente declarate de pacient” informații privind „antecedente medicale heredo-colaterale, antecedente fiziologice, patologice; informații despre mediul și modul de viață”, de asemenea, pacientul titular va putea restricționa accesul terților (distribuitori de asigurări) la informațiile din cel de-al patrulea modul, sub titulatura „Documente medicale”, înregimentând: „fișe de observație clinică generală pentru spitalizare continuă; fișe de observație clinică generală pentru spitalizare de zi; fișe de consultație medic specialist; fișe de consultație medicină de familie; trimiteri pentru investigații clinice; trimiteri pentru investigații paraclinice; recomandări pentru îngrijire la domiciliu; recomandări pentru dispozitive medicale; prescripții medicale”. Asemenea date, deși nu li se imprimă statutul unor veritabile date sensibile (statut pe care l-ar avea, de pildă, datele genetice stocate în DES), pot deveni date sensibile „indirecte” ori pot glisa către „categoriile de date speciale” la care se referă dispozițiile restrictive ale RGPD, atunci când urmează a fi exploatate în sensul profilării contractuale, vulnerabilizând titularul datelor în sensul supunerii acestuia unui tratament contractual discriminatoriu[19]. Sunt vizate cazurile în care titularilor datelor li s-ar refuza contractarea unei convenții de asigurări pornind de la istoricul medical al acestora ca pacienți oncologici ori li s-ar aplica prime de asigurare substanțial mai oneroase decât asiguraților din categorii similare de vârstă, în considerarea acestui istoric medical.
În doctrina alocată tematicii
colectării consimțământului pacientului la constituirea și completarea DES, s-a
evidențiat rolul redus, aproape mecanic și caracterizat prin pasivitate (de
„spectator”[20]) pe care prevederile legislației în vigoare îl imprimă pacientului,
rol care ar trebui „revitalizat”, în acord cu exigențele RGPD, într-o viitoare
reglementare a acestor problematici. Revizuirea textelor legale ar fi necesară
pentru a imprima substanță dreptului de opțiune al pacientului și de control
asupra propriilor informații medicale, cu excepția evidentă, a procesării
informațiilor întemeiată nu pe textul art. 6, alin. 1, lit. (a) din RGPD
privind consimțământul persoanei vizate, ci justificată prin art. 6, alin. 1,
lit. (c) RGPD pentru procesările decurgând din executarea obligațiilor legale
imperative, lit. (d) RGPD pentru procesările destinate protejării
intereselor vitale (precum în situații de urgențe medicale, când consimțământul
pacientului la procesarea datelor nu poate fi colectat) ori procesarea
întemeiată pe dispozițiile art. 6, alin. 1, lit. (e) RGPD, relative la
procesările de informații corelate unui interes public sau general. Pentru
stocarea datelor în DES, inițierea procesării datelor în dosarului electronic
se efectuează, în principiu, dislocat de consimțământul pacientului, fiind
activat temeiul „utilității publice de interes național” (art. 346^1, alin. 3 din Legea nr. 95/2006, în versiunea republicată),
iar platforma informatică dezvoltată pentru DES, este administrată „în interes
național și de utilitate publică”, ceea ce conferă acordului pacientului o
marjă extrem de redusă de deplasare a opțiunilor, aproape inexistentă, astfel
cum pertinent s-a evidențiat în doctrină[21];
prin urmare, apreciem că, din perspectiva exercitării dreptului pacientului
oncologic de a opta pentru restricționarea accesului la datele sale medicale,
ar trebui adaptați by default și by design parametrii funcționali
ai platformei de gestionare a DES, încât să fie introduse rubrici care să
evidențieze existența unei opoziții la procesare din partea titularului (ca
drept exercitat după 7 ani, respectiv 5 ani de la ultimul protocol oncologic
pentru afecțiuni nerecidivante în acest interval) și care să marcheze ca
restricționate (sub aspectul posibilității transferului/divulgării către terții
din domeniul serviciilor de asigurări) categoriile de date supuse dreptului de
opoziție la procesare.
Articulând natura juridică, de „drept la opoziție” a dreptului potestativ consacrat prin dispozițiile art. 25^1 din Legea nr. 46/2003, introdus prin Legea nr. 200/2022, considerăm că formula evazivă și improprie (de „drept la uitare”) cu care legiuitorul național a ales să califice dreptul special de control asupra propriilor date, recunoscut pacientului oncologic, este criticabilă, mai adecvată fiind titulatura de „drept de a formula opoziție” ori de a se opune procesării datelor sale medicale în anumite scopuri specifice, cum ar fi cele de profilare în vederea adaptării valorice a primelor de asigurare. Întrucât, în opinia noastră, nu putem vorbi despre un „drept la ștergerea datelor” din dosarul medical al pacientului oncologic (aceste date rămânând în continuare a fi conservate în dosarul medical), devine importantă calificarea ca fiind un drept la opoziție, având natura unei prerogative potestative, de control unilateral pe care pacientul îl exercită asupra situației juridice relative la procesarea datelor sensibile, în contextul perfectării contractelor de asigurări. Exercițiul acestui drept de opoziție permite pacientului oncologic, la expirarea unui interval de 7 ani (respectiv 5 ani pentru pacienții diagnosticați la vârste sub 18 ani) de la finalizarea etapelor tratamentului oncologic fără recurență, să controleze ce tip de informații din istoricul său medical vor fi transferate asigurătorului pentru evaluarea probabilității riscului asigurat și pentru calibrarea ori „personalizarea” cuantumului primelor de asigurare.
Sintetizând, din analiza prevederilor legale referitoare la tipurile sancțiunilor aplicabile în situațiile nerespectării dreptului de opoziție la procesarea datelor privind istoricul medical al pacienților oncologici, rezultă că este incidentă răspunderea civilă a distribuitorilor de asigurări (și, deși textul legal nu o reiterează expres, poate fi angajată răspunderea civilă a operatorilor de date din sistemul medical), pentru procesările care încalcă dispozițiile art. 25^1 din Legea nr. 43/2003, modificată și completată prin Legea nr. 200/2022, întrucât, rezultând din prevederile art. 37 alin. (2) din actul normativ, este consacrată incidența regimului răspunderii civile din dreptul comun pentru acest tip de derapaje de la îndeplinirea obligațiilor legale. Totodată, pentru nerespectarea obligațiilor care incumbă distribuitorilor de asigurări în etapa precontractuală, cu privire la exigențele formalismului informativ aplicabil redactării și completării fișei informative privind istoricul medical, va fi incidentă, la solicitarea titularului dreptului de opoziție, sancțiunea nulității relative a contractului de asigurare, instanțele de judecată având o marjă de apreciere cu privire la pertinența desființării retroactive a contractului pentru motivul omisiunii specificațiilor contractuale privitoare la dreptul asiguratului de a restricționa accesul la datele sale medicale. Apreciem că, de lege ferenda, ar fi utilă stipularea legislativă a prerogativei instanțelor de judecată de a invoca din oficiu inopozabilitatea ori nulitatea clauzelor contractului de asigurare (având natura contractelor de adeziune) în raporturile cu asiguratul, pentru ipotezele nerespectării de către asigurător a obligațiilor care îi incumbă potrivit formalismului informativ pentru transparentizarea existenței și a manierei de exercitare a dreptului de opoziție la prelucrarea datelor medicale, o atare consacrare legislativă fiind necesară pentru a clarifica misiunea instanțelor de judecată în asemenea ipoteze, în eventualitatea pasivității inițiale a asiguratului, care a omis să invoce acest motiv de nulitate. Opinăm că, întrucât desființarea retroactivă a contractului de asigurare pe acest temei nu ar fi pertinentă în absența voinței asiguratului de a se prevala de motivul de nulitate reprezentat de omiterea mențiunilor informative obligatorii privind dreptul titularului datelor personale de a restricționa accesul asigurătorului la o parte din aceste informații, instanța de judecată va trebui să solicite acordul asiguratului cu privire la prevalarea de acest motiv de ineficacitate a actului juridic.
Amankwah Jeffrey, Stroobants Nele, „GDPR and the Processing of Health Data in Insurance Contracts: Opening a Can of Worms?”, în Lima Rego M., Kuschke B. (coord.), Insurance and Human Rights, AIDA Europe Research Series on Insurance Law and Regulation, vol. 5, Springer, Cham, 2022, online: https://doi.org/10.1007/978-3-030-82704-5_7;
Arora Chirag, „Digital health fiduciaries: protecting user privacy when sharing health data”, Ethics and Information Technology, vol. 21, n. 3, 2019, pp. 181-196;
Avraham Ronen, „Discrimination and Insurance”, în LIPPERT-RASMUSSEN Kasper (coord.), The Routledge Handbook of the Ethics of Discrimination, Routledge, Londra, 2017, cap. 28, University of Texas, Law and Economics Research Paper No. E574, online: https://ssrn.com/abstract=3089946 și http://dx.doi.org/10.2139/ssrn.3089946;
Ballesteros Moffa Luis Ángel, Las fronteras de la privacidad. El conflicto entre seguridad pública y datos personales en una sociedad amenazada y tecnología, Editorial Comares, Granada, 2020;
Brunessen Bertrand, Protection des données personnelles et nouveaux modes de production du droit, Bruylant, Bruxelles, 2022;
Goicovici Juanita, „Granularity and specificity of consent and implications thereof for the data controller in the light of the principle of ‘purpose limitation’”, în InterEULawEast – Journal for the International and European Law, economics and market integrations, vol. 9, n. 2, 2022, pp. 43-68;
Goicovici Juanita, „The collecting of consent to the processing of children’s personal data, between volatility and disobedience”, SHS Web of Conferences, vol. 177, 2023, 04001, online: https://www.shs-conferences.org/articles/shsconf/pdf/2023/26/shsconf_copeji2023_04001.pdf;
Goicovici Juanita, „Consimțământul consumatorului la prelucrarea datelor personale în contractele business to consumer – condiția consimțământului granular”, Analele Universității de Vest din Timișoara, Seria Drept, n. 2, 2019, pp. 7-24;
Goicovici Juanita, „Portabilitatea datelor cu caracter personal, prin prisma dispozițiilor RGDP şi ale Directivei 2019/770: este gambitul reginei mutarea de deschidere adecvată?”, Analele Științifice ale Universității „Alexandru Ioan Cuza” din Iași, Seria Științe Juridice, vol. LXVII, Supliment 2, 2021, pp. 57-80;
Goicovici Juanita, Dreptul relațiilor dintre profesioniști și consumatori, Hamangiu, București, 2022;
Insurance Europe Position Paper, „Comments on the use of consent in insurance in view of the GDPR guidelines”, 01.06.2017, online: https://www.insuranceeurope.eu/publications/1872/comments-on-the-use-of-consent-in-insurance-in-view-of-the-gdpr-guidelines/Comments on consent.pdf;
Jugastru Călina, „Dosarul electronic de sănătate – repere actuale, vulnerabilităţi şi soluţii”, Dreptul n. 10, 2022;
Konrad Renata, ZHANG WENCHANG, BJARNDÓTTIR MARGRÉT, PROAÑO RUBEN, „Key considerations when using health insurance claims data in advanced data analyses: an experience report”, Health Syst (Basingstoke), vol. 9, n. 4, 2020, pp. 317-325, DOI: 10.1080/20476965.2019.1581433, online: https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7738306/;
Mittelstadt Brent, „Ethics of the health-related internet of things: a narrative review”, Ethics and Information Technology, vol. 19, n. 3, 2017, pp. 157-175;
Tapp Barroso Helena, „Processing personal health data for insurance purposes under GDPR” (15.10.2019), online: https://www.lexology.com/commentary/insurance/portugal/morais-leito-galvo-teles-soares-da-silva-associados/processing-personal-health-data-for-insurance-purposes-under-gdpr;
Vedder Anton, Spajić Daniela, „Moral autonomy of patients and legal barriers to a possible duty of health related data sharing”, Ethics and Information Technology, vol. 25, art. n. 23, 2023, pp. 2-11, online: https://link.springer.com/article/10.1007/s10676-023-09697-8;
World Health Organization (Who), „The protection of personal data in health information systems – principles and processes for public health”, WHO Regional Office for Europe, Copenhaga, 2020, online: https://apps.who.int/iris/bitstream/handle/10665/341374/WHO-EURO-2021-1994-41749-57154-eng.pdf.
* Conf. univ. dr., Facultatea de Drept, Universitatea Babeș-Bolyai Cluj-Napoca, e-mail: juanita.goicovici@law.ubbcluj.ro, https://orcid.org/0000-0002-0050-4511.
[1] INSURANCE EUROPE Position Paper, „Comments on the use of consent in insurance in view of the GDPR guidelines”, 01.06.2017, online: https://www.insuranceeurope.eu/publications/1872/comments-on-the-use-of-consent-in-insurance-in-view-of-the-gdpr-guidelines/Comments%20on%20consent.pdf.
[2] Chirag Arora, „Digital health fiduciaries: protecting user privacy when sharing health data”, Ethics and Information Technology, vol. 21, n. 3, 2019, pp. 181-196; Luis Ángel Ballesteros Moffa, Las fronteras de la privacidad. El conflicto entre seguridad pública y datos personales en una sociedad amenazada y tecnología, Editorial Comares, Granada, 2020, p. 67-83.
[3] Renata Konrad, Wenchang Zhang, Margrét Bjarndóttir, Ruben Proaño, „Key considerations when using health insurance claims data in advanced data analyses: an experience report”, Health Syst (Basingstoke), vol. 9, n. 4, 2020, pp. 317-325, DOI: https://doi.org/10.1080/20476965.2019.1581433, online: https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7738306/.
[4] Bertrand Brunessen, Protection des données personnelles et nouveaux modes de production du droit, Bruylant, Bruxelles, 2022, pp. 64-71.
[5] Juanita Goicovici, „Portabilitatea datelor cu caracter personal, prin prisma dispozițiilor RGDP şi ale Directivei 2019/770: este gambitul reginei mutarea de deschidere adecvată?”, Analele Științifice ale Universității „Alexandru Ioan Cuza” din Iași, Seria Științe Juridice, vol. LXVII, Supliment 2, 2021, pp. 57-80.
[6] Jeffrey Amankwah, Nele Stroobants, „GDPR and the Processing of Health Data in Insurance Contracts: Opening a Can of Worms?”, în Lima Rego M., Kuschke B. (coord.), Insurance and Human Rights, AIDA Europe Research Series on Insurance Law and Regulation, vol. 5, Springer, Cham, 2022, online: https://doi.org/10.1007/978-3-030-82704-5_7.
[7] M.Of. nr. 682 din 08.07.2022.
[8] Juanita GOICOVICI, „The collecting of consent to the processing of children’s personal data, between volatility and disobedience”, SHS Web of Conferences, vol. 177, 2023, 04001, online: https://www.shs-conferences.org/articles/shsconf/pdf/2023/26/shsconf_copeji2023_04001.pdf.
[9] Juanita Goicovici, „Granularity and specificity of consent and implications thereof for the data controller in the light of the principle of ‘purpose limitation’”, în InterEULawEast – Journal for the International and European Law, economics and market integrations, vol. 9, n. 2, 2022, pp. 43-68.
[10] Helena Tapp Barroso, „Processing personal health data for insurance purposes under GDPR” (15.10.2019), online: https://www.lexology.com/commentary/insurance/portugal/morais-leito-galvo-teles-soares-da-silva-associados/processing-personal-health-data-for-insurance-purposes-under-gdpr, accesat în 05.02.2024.
[11] Juanita Goicovici, „Consimțământul consumatorului la prelucrarea datelor personale în contractele business to consumer – condiția consimțământului granular”, Analele Universității de Vest din Timișoara, Seria Drept, n. 2, 2019, pp. 7-24.
[12] Juanita Goicovici, Dreptul relațiilor dintre profesioniști și consumatori, Hamangiu, București, 2022, pp. 85-88.
[13] Juanita Goicovici, „Granularity and specificity of consent (…)”, cit. supra, p. 46.
[14] Juanita Goicovici, Dreptul relațiilor dintre profesioniști și consumatori, cit. supra, p. 88-89.
[15] Brent Mittelstadt, „Ethics of the health-related internet of things: a narrative review”, Ethics and Information Technology, vol. 19, n. 3, 2017, pp. 157-175.
[16] World Health Organization (Who), „The protection of personal data in health information systems – principles and processes for public health”, Who Regional Office for Europe, Copenhaga, 2020, online: https://apps.who.int/iris/bitstream/handle/10665/341374/WHO-EURO-2021-1994-41749-57154-eng.pdf.
[17] Anton Vedder, Daniela Spajić, „Moral autonomy of patients and legal barriers to a possible duty of health-related data sharing”, Ethics and Information Technology, vol. 25, art. n. 23, 2023, pp. 2-11, online: https://link.springer.com/article/10.1007/s10676-023-09697-8.
[18] Călina Jugastru, „Dosarul electronic de sănătate – repere actuale, vulnerabilităţi și soluții”, Dreptul n. 10, 2022, accesat pe Sintact, în 05.02.2024.
[19] Ronen Avraham, „Discrimination and Insurance”, în Kasper LIPPERT-RASMUSSEN (coord.), The Routledge Handbook of the Ethics of Discrimination, Routledge, Londra, 2017, cap. 28, University of Texas, Law and Economics Research Paper No. E574, online: https://ssrn.com/abstract=3089946 și online: http://dx.doi.org/10.2139/ssrn.3089946.
[20] Ibidem.
[21] Ibidem.