CCR: Legea referitoare la dosarul electronic de sănătate nu are garanţii privind respectarea vieţii private (motivare)
Curtea Constituţională a României (CCR) susţine că prevederile din Legea 95/2006 prin care se instituie dosarul electronic de sănătate sunt neconstituţionale, deoarece nu prevăd garanţii pentru respectarea dreptului la viaţă privată, cu referire la protecţia datelor cu caracter personal.
Curtea Constituţională a publicat motivele pentru care a admis, pe 17 iulie, o excepţie ridicată de Avocatul Poporului şi a decis că sunt neconstituţionale dispoziţiile art.30 alin.(2) şi (3), precum şi sintagma "sistemul dosarului electronic de sănătate al pacientului" din cuprinsul art.280 alin.(2) din Legea nr.95/2006 privind reforma în domeniul sănătăţii.
Avocatul Poporului susţine că cele două articole nu cuprind garanţii cu privire la asigurarea protecţiei datelor cu caracter personal, de natură medicală, cuprinse în dosarul electronic de sănătate, reglementarea acestora fiind lăsată la nivelul legislaţiei secundare, respectiv HG 34/2015 pentru aprobarea Normelor metodologice privind modalitatea de utilizare şi completare a dosarului electronic de sănătate al pacientului şi ordinul ministrului Sănătăţii şi al preşedintelui CNAS pentru aprobarea datelor, informaţiilor şi procedurilor operaţionale necesare utilizării şi funcţionării dosarului electronic de sănătate (DES) al pacientului.
În motivarea deciziei, CCR arată că datele personale şi procesarea acestor informaţii ţin de viaţa privată a individului, iar orice informaţie de natură medicală intră în categoria datelor cu caracter personal.
CCR susţine că instituirea dosarului electronic de sănătate s-a realizat prin lege, fără ca aceasta să prevadă datele pe care dosarul urmează a le cuprinde.
"Desigur, din denumirea acestuia şi din referirea pe care textul art.30 alin.(2) o face la 'mobilitatea informaţiei medicale', poate fi dedus faptul că el cuprinde date medicale, însă abia prin art.1 din normele metodologice se stabileşte că dosarul electronic de sănătate 'reprezintă înregistrări electronice consolidate la nivel naţional, cuprinzând date şi informaţii medicale relevante pentru medici şi pacienţi' şi 'conţine date şi informaţii clinice, biologice, diagnostice şi terapeutice, personalizate, acumulate pe tot parcursul vieţii pacienţilor, aceştia fiind şi proprietarii de drept ai acestor informaţii/date'. În consecinţă, întrucât legea nu prevede obiectul dosarului electronic de sănătate, numai din coroborarea textului legal cu cel al normelor metodologice, în interpretarea normei, se poate ajunge la concluzia că dosarul electronic de sănătate cuprinde date personale de natură medicală", se arată în motivare.
În opinia CCR, opţiunea statului în sensul creării unui mecanism modern/suplu prin intermediul căruia unităţile medicale să consemneze istoricul medical al pacientului şi să i-l pună la dispoziţie acestuia, sub forma dosarului electronic de sănătate, nu pune în discuţie în sine o limitare a dreptului la viaţă intimă, familială sau privată.
În schimb, datele introduse în acest dosar electronic intră în sfera de protecţie a dispoziţiilor art.26 din Constituţie, întrucât sunt date medicale, care, la rândul lor, reprezintă date cu caracter personal, definite ca "orice informaţii privind o persoană fizică identificată sau identificabilă".
Conform CCR, obligaţia unităţilor medicale care asigură asistenţa medicală profilactică şi curativă de a consemna/actualiza/ consulta informaţiile medicale ale pacientului în cadrul dosarului medical al acestuia reprezintă o măsură care sprijină realizarea obligaţiei pozitive a statului de a asigura sănătatea publică, dar şi o prelucrare a datelor cu caracter medical, însă exercitarea obligaţiei statului de a crea condiţiile optime asigurării sănătăţii publice trebuie realizată cu respectarea garanţiilor asociate dreptului la viaţă intimă, familială şi privată a pacientului.
Judecătorii afirmă că, din examinarea art.30 alin.(2) şi (3) şi art.280 alin.(2) din Legea nr.95/2006 privind reforma în domeniul sănătăţii, rezultă că s-a considerat a fi suficient faptul că, prin lege, să fie reglementate următoarele aspecte: instituirea dosarului electronic de sănătate; stabilirea administratorului platformei informatice din asigurările de sănătate, respectiv Casa Naţională de Asigurări de Sănătate, din care face parte şi sistemul dosarului electronic de sănătate al pacientului; instituirea obligaţiei asigurării condiţiilor de mobilitate a informaţiei medicale în format electronic.
"Curtea constată că prevederile anterior menţionate sunt departe de a constitui, prin ele însele, garanţii ale respectării dreptului la viaţă intimă, familială şi privată. Ele, în realitate, reprezintă elementele de bază ale organizării şi asigurării funcţionării noului sistem electronic conceput de legiuitor. Or, organizarea unui astfel de sistem în considerarea obligaţiei pozitive a statului de a lua măsuri în sensul protejării dreptului la ocrotirea sănătăţii implică, în mod necesar, obligaţia pozitivă a acestuia, asociată protejării şi garantării dreptului înscris în art.26 din Constituţie. În legătură cu acest aspect se constată că legea tace, neprevăzând nicio măsură care să poată fi calificată drept garanţie a dreptului la viaţă intimă, familială sau privată. Prin urmare, prin prisma celor anterior expuse, statul nu a acordat nicio atenţie acestor garanţii, ele fiind aşadar ignorate în corpul legii. Faptul că legea indică titularii dreptului de a asigura condiţiile de mobilitate a informaţiei medicale în format electronic nu poate fi văzut decât ca o măsură strict organizatorică, textul legii neindicând cine, în ce moment şi ce date introduce în dosarul electronic de sănătate. Mai mult, nu se indică nici ce tip de acces este asociat unei astfel de operaţiuni", arată CCR.
CCR mai susţine că legea privind instituirea dosarului electronic de sănătate "poate produce efecte negative de o amploare deosebită în privinţa vieţii private a persoanei", iar reglementarea dosarului electronic de sănătate "apare astfel ca fiind o intruziune a statului în viaţa intimă, familială şi privată a persoanei".
"Chiar dacă reprezintă un mijloc prin intermediul căruia statul îşi îndeplineşte obligaţia constituţională de a ocroti sănătatea individului, intervenţia etatică apare ca fiind una ordonatoare, imperativă pentru persoană, în sensul stocării datelor medicale ale persoanei pe o anumită platformă electronică, fără ca aceasta să se poată împotrivi în vreun fel (...). Raportat la cauza de faţă, Curtea constată că, deşi ingerinţa legală în dreptul prevăzut la art.26 din Constituţie poate avea un scop legitim (ocrotirea sănătăţii persoanei prin ordonarea istoricului său medical şi ţinerea acestuia de către o autoritate de stat), este adecvată şi necesară scopului propus, ea nu păstrează un just echilibru între interesele concurente, anume: interesul statului în legătură cu sănătatea publică, interesul persoanei de a-i fi ocrotită sănătatea, dar şi interesul persoanei de a-i fi protejată viaţa intimă, familială şi privată", mai spune CCR.
CCR consideră că nu este îndeajuns ca protejarea datelor medicale să fie realizată printr-o legislaţie infralegală, Curtea avertizând în numeroase cazuri că actele de reglementare secundară, exempli gratia, hotărâri ale Guvernului, sunt oricum caracterizate printr-un grad sporit de instabilitate sau inaccesibilitate".
"Se observă că garanţii pentru asigurarea dreptului constituţional prevăzut de art.26 sunt cuprinse într-o hotărâre a Guvernului, însă o asemenea manieră de reglementare este total neadecvată, fragilizând, în mod nepermis, protecţia constituţională a vieţii intime, familiale şi private. Practic, autoritatea administrativă poate oricând modifica standardele de garanţii asociate acestui drept, prin emiterea unor acte administrative normative, cetăţeanul/pacientul fiind astfel la bunul plac al autorităţii administrative. Or, o protecţie adecvată a acestui drept este cea stabilită printr-o lege, ceea ce nu este cazul în speţa de faţă. În consecinţă, textele criticate încalcă art.26 din Constituţie", explică CCR.
Judecătorii constituţionali susţin că revine legiuitorului obligaţia de a reglementa garanţiile asociate dreptului la viaţă intimă, familială şi privată, iar această obligaţie trebuie să se materializeze prin lege şi în centrul acestor garanţii legale trebuie să se regăsească consimţământul pacientului.
"Legiuitorul are drept obligaţie constituţională, prin prisma art.26, să nu condiţioneze actul medical în sine de efectuarea înscrierilor în dosarul electronic de sănătate, neexistând un raport de corespondenţă directă între acestea. De asemenea, consimţământul trebuie să fie unul liber, ce nu poate fi stimulat prin oferirea unor posibile avantaje medicale sau de altă natură (economice), pentru că, în acest caz, s-ar ajunge la vicierea indirectă a acestuia. S-ar ajunge la situaţia în care omul ar fi tratat drept obiect, cu desconsiderarea principiilor subiective care caracterizează fiinţa umană, ceea ce este contrar demnităţii umane (...) Persoana, mai ales dacă este vorba despre sănătatea sa, vădeşte o vulnerabilitate aparte şi este tentată să accepte, total şi necondiţionat, măsurile legislative promovate de stat şi care îi sunt propuse spre acceptare, fără a mai analiza justul echilibru care trebuie să existe între dreptul la ocrotirea sănătăţii şi cel la viaţă intimă, familială şi privată. Mai mult, persoana este cu atât mai vulnerabilă cu cât se află într-o stare fizică/emoţională care nu îi mai permite să aprecieze în mod obiectiv cu privire la consimţământul său (...) Totodată, este de datoria statului să se asigure de faptul că cei care acţionează în numele său nu îşi compromit propria demnitate umană, chiar presupunând că aceştia, la nivel personal, nu consideră că, în îndeplinirea sarcinilor de serviciu, încalcă drepturile pacientului", mai spune CCR.
Judecătorii afirmă că prelucrarea datelor cu caracter medical trebuie astfel reglementată încât să asigure confidenţialitatea acestora.
De asemenea, legea trebuie să prevadă, în mod expres, atât natura răspunderii, cât şi sancţiunile - care în sine trebuie să fie corespondente ca intensitate standardului înalt de protecţie a datelor medicale - aplicabile persoanelor implicate în gestionarea dosarului electronic de sănătate, în cazul încălcării obligaţiilor şi garanţiilor ce urmează a fi reglementate prin lege.