Scrisoare deschisă către Parlamentul României, cu privire la proiectul de lege privind măsurile de punere în aplicare a Regulamentului (UE) 2016/679…

Stimați Senatori și Deputați,
Ne adresăm Domniilor Voastre pe această cale, în spiritul dialogului și din dorința ca acest Regulament să se aplice armonios și în România. Atât inițiativa, cât și conținutul acestui document au fost dezbătute în comunitatea antreprenorială eHealth.

Este important de precizat că această comunitate este formată doar pe baza interesului în inovația în sănătate și nu are nicio altă afiliere și nu reprezintă alte interese; are o componență mixtă, cu profesioniști din domenii variate: IT, sănătate, juridic, academic sau cercetare, cu experiență în țară sau străinătate.

advertorial

Prin această scrisoare, dorim să atragem atenția asupra câtorva aspecte legate de Proiectul de lege privind măsurile de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/EC (Regulamentul general privind protecția datelor).

Înainte de a detalia aspecte, dorim să subliniem faptul că nu criticăm necesitatea unei legi care să vină în susținerea aplicării Regulamentului, dar și în spiritul acestuia.

De asemenea, dorim să punctăm faptul că acest Regulament a fost conceput atât ca urmare a avansului tehnologic și al necesității protejării datelor personale, cât și pentru a realiza o piață digitală unică în Europa, a stimulării economice prin inovație tehnologică.

Anul trecut, cu ocazia Președinției UE a Estoniei a fost lansată Declarația pentru o Societate de Sănătate Digitală (octombrie 2017, sursă) — o piață unică digitală în sănătate, dacă doriți. Efectele au venit aproape imediat. Treisprezece țări au semnat un acord de schimb de date în sănătate.

Tot în spiritul colaborării și creșterii competitivității UE, cunoașteți cu siguranță faptul că pe 10 aprilie s-a semnat și un acord de cooperare privind Inteligența Artificială în UE. Din păcate, România, Grecia și Cipru nu au semnat. Încă. Inteligența artificială explodează în sănătate, iar România chiar a livrat una dintre printre primele soluții de succes internațional.

Mai mult, România s-a angajat politic și strategic să susțină dezvoltarea domeniului eHealth.

România împărtășește angajamentul politic al Uniunii Europene și obiectivele stabilite cu privire la digitalizarea sectorului sănătății. (Melania Gabriela Ciot, Secretar de Stat, Ministerul Afacerilor Externe, Aprilie 20, Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate — video partea 3, de la min. 50).
Mai adăugăm faptul că Regulamentul marchează o schimbare de paradigmă, în care persoana fizică, cetățeanul, deține libertatea de a decide ce face cu datele sale personale. Și acest fapt trebuie înțeles foarte bine de societate, în ansamblul său.
Nu trebuie pierdut din vedere că Regulamentul oferă prin textul său toate pârghiile necesare statelor membre pentru protecția persoanei vizate și a datelor sale. Tocmai din acest motiv, pornind de la cel mai important principiu din dreptul european, principiul proporționalității măsurilor luate, considerăm ca se impun următoarele remarci cu privire la proiectul legislativ, în forma sa actuală.

Articolul 3
În integralitatea sa, acest Articol introduce interdicții nejustificate atât împotriva spiritului, cât și conținutului Regulamentului. Trebuie sa ținem cont de faptul că dacă acesta ar fi fost creat pentru a cenzura anumite prelucrări de date medicale ar fi făcut-o explicit, însă acesta doar stabilește cadrul adecvat pentru prelucrările cu risc ridicat.

La fel de relevant, sugrumă inovația din zone variate; pune România într-o poziție și mai vulnerabilă competitiv (în cădere 6 locuri — acum 68 din 137 de țări; doar pe locul 107 la indicatorul Inovație și sofisticare în afaceri, Indexul Global de Competitivitate, World Economic Forum 2017–2018).

Considerăm că România, dimpotrivă, are nevoie imediată de pârghii de stimulare și absorbție a inovației în toate domeniile. Minim, să nu fie pusă în dezavantaj suplimentar.

Adoptarea acestui Articol în forma actuală va avea consecințe dramatice pentru economie, cu efecte negative pe termenul lung asupra startup-urilor în general, al celor în sănătate, și va stimula exodul talentelor din România.

S-a pus cruce startup-urilor pe health in Romania (Liviu Chirilă, eCuore, 8 mai)
Cumva asta limitează toată inovația în ce crede Casa Națională că e inovație și unde trebuie să se ducă și, pe partea cealaltă, creează un mediu în care toate companiile care vor să facă ceva se vor duce în alte țări, vor ridica investiții în alte țări unde pot să facă chestia asta. [n. b. “chestia asta” — acces la date pentru cercetare în mediul privat; “Casa Națională” poate fi înlocuită cu orice altă instituție publică] (Mircea Popa, fondator SkinVision, 20 aprilie, Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate — video partea 3, de la min. 41:30)
Suplimentar, companii precum Apple, Fitbit, Samsung, și multe altele care au platforme dedicate aplicațiilor și dispozitivelor în sănătate, vor putea oferi servicii limitate sau unele servicii nu vor mai fi disponibile deloc. Iar cele care desfășoară activități de cercetare și dezvoltare (i.e Fitbit) în această zonă vor reacționa adecvat în fața unor limitări nejustificate. Doar câteva exemple de posibile consecințe.

Susținem acest argument chiar prin Ghidul privind deciziile automate individuale și profilare (disponibil în prezent doar în limba engleză).

Din acesta, traducem doar următoarele două secțiuni:

„Profilarea și luarea de decizii în mod automat pot fi realizate în beneficiul persoanei și organizațiilor, având beneficii precum:

  • creșterea eficienței; și
  • economii de resurse.

Acestea au mai multe aplicații comerciale, de exemplu, pot fi utilizate pentru o mai bună segmentare a piețelor și pentru a oferi servicii și produse adaptate nevoilor individuale. Medicina, educația, sănătatea și transportul pot beneficia de astfel de procese. [n.b. îngroșarea caracterelor ne aparține]

Dar, profilarea și luarea de decizii în mod automat pot prezenta riscuri pentru drepturile și libertățile persoanei care necesită măsuri corespunzătoare.” (pg. 5)

ȘI

D. Categorii speciale de date personale — Articolul 22(4)

Luarea de decizii automată (descrisă în Articolul 22(1)) care face referire la categorii speciale de date personale este permisă doar în condițiile următoare, cumulative (Articolul 22(4)):

  • există o scutire aplicabilă Articolului 22 (2); și
  • este aplicabil punctul (a) sau (g) al Articolului 9(2)

9(2) (a) — consimțământul explicit al subiectului; sau

9(2) (g) — procesarea este necesară din motive de interes public, pe baza legilor UE sau Statului Membru, care va fi proporționată cu scopul, respectă esența dreptului la protecția datelor personale și furnizează măsuri adecvate și specific de asigurare a drepturilor și intereselor fundamentale ale subiectului datelor.

În ambele situații de mai sus, controlorul trebuie sa ia măsurile corespunzătoare pentru a asigura drepturile și libertățile și interesele legitime ale subiectului datelor.” [n.b. îngroșarea caracterelor ne aparține]” (pg. 24)

La crearea textului Regulamentului, Comisia Europeană a avut în vedere evoluția tehnologică din sănătate, importanța acesteia. Uniunea Europeană și-a propus să fie un pol de inovație în sănătate, nu a restricționat ca atare prelucrarea datelor medicale și genetice, ci a creat un cadrul sănătos pentru astfel de prelucrări. Acest cadrul are ca temelie asigurarea drepturilor, libertăților și intereselor legitime ale persoanei vizate. Dacă această condiție e respectată, regulamentul permite prelucrarea datelor medicale și genetice. (Cristiana Deca, Decalex)
Mai important, prin Articolul 3 al Proiectului se restrâng drepturile, libertățile și interesele legitime ale persoanei, contrar spiritului GDPR, pe lângă sugrumarea inovației (atât ca generare, cât și ca asimilare a acesteia).

…dvs. dețineți niște date care, de fapt, sunt ale mele. Și eu ar trebui să decid dacă sunt de acord ca datele mele să fie folosite în cercetare sau nu. Dvs. doar ar trebui să faceți managementul acestor date. Atât.” (Rozalina Lapadatu, ISDE și APAA, 20 aprilie, Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate — video partea 3, de la min. 45:30)
În domeniul sănătății se face cercetare și există o legislație de protecție a datelor foarte bună, prin faptul că orice cercetare se face cu avizul unei comisii de etică ce garantează mai mult decât Regulamentul. (Dr. Mihai Negrea)
Termenii prevăzuți în Articolul 3 nu sunt definiți în niciun fel în proiectul propus, astfel încât pot da naștere unor interpretări aberante. Astfel, o analiză complexă de genetică moleculară pentru identificarea prezenței unor mutații asociate cu anumite tipuri de cancere, de exemplu, nu se mai poate realiza deoarece implică analiză automată a întregului profil genetic al pacientului. Astfel de analize genetice complexe sunt posibile la momentul actual în entitățile medicale private, deoarece în unitățile medicale publice, în universități sau institute de cercetare, aceste analize costisitoare se fac în general în scop de cercetare. Pentru că în România nu există spitale sau alte unități publice în care să se facă uzual astfel de analize, pacienții români se pot afla în imposibilitatea efectuării acestor analize de care uneori depind șansele lor de supraviețuire. În funcție de tipul de modificare genetică identificată se confirmă diagnosticul, se stabilește stadializează tipul de cancer, se direcționează tratamentul și se face monitorizarea evoluției bolii. Florina Raicu, PhD, genetician și cercetător.
Ghidul privind deciziile automate individuale și profilare este foarte bine structurat și conține precizări mult mai nuanțate decât cele două alineate din Articolul 3 al acestui Proiect legislativ, care, practic, aduc o interdicție exhaustivă și fără fundament în Regulament.

Avem încredere că ghidul va fi parcurs cu diligență de Domniile Voastre și acest Articol 3 din Proiect va fi înlăturat, cel puțin nu va fi păstrat în forma actuală, pentru că aduce o supra-reglementare care afectează drepturile, libertățile și interesele legitime ale persoanei, dar și mediul economic prin limitarea inovației și cercetării.

În schimb, acest ghid, valabil în întreaga UE oferă autorităților și actorilor privați și publici indicații fără echivoc privind aplicarea Regulamentului.

Articolul 8, alineatul 2
Introduce ambiguități.

Nu doar organizațiile publice pot face asta, conform Regulamentului — „Un grup de întreprinderi poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere.” (Art. 37, alineatul 2). Acest fapt este deosebit de important pentru companii mici.
De asemenea, introduce ambiguități legate de practicile individuale a unor corpuri profesionale — doctori și avocați. Recitalul 91 din Regulament: “Prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la pacienți sau clienți de către un anumit medic, un alt profesionist în domeniul sănătății sau un avocat. În aceste cazuri, o evaluare a impactului asupra protecției datelor nu ar trebui să fie obligatorie”.
Ne dorim să dăm încă odată un mesaj foarte… intens decidenților de a face spațiu pentru inovație în România. Țari precum Olanda, Estonia, Marea Britanie, Statele Unite, Canada fac eforturi deosebite pentru a asimila și a stimula inovația în sănătate, iar elementul digital este esențial.

GDPR încearcă să concilieze cele două valori concurente: caracterul privat al datelor personale pe de o parte și inovarea științifică și tehnologică de cealaltă parte. În epoca ”big data”, în care activitățile de analiză a datelor ale multor organizații se pot califică drept cercetare. Un lucru este însă clar: GDPR își propune să încurajeze inovarea, atâta timp cât organizațiile implementează garanțiile corespunzătoare. Astfel, prin Articolul 179 alineatul (1) din ”Tratatul privind funcționarea Uniunii Europene”, se promovează “obiectivul consolidării bazelor sale științifice și tehnologice prin realizarea unui spațiu european de cercetare în care cercetătorii, cunoștințele științifice și tehnologia circulă liber”. Florina Raicu, PhD
Sistemele digitale generează foarte multe date, iar datele din sănătate sunt extraordinar de importante de la aspecte administrative, la cele de management al pacientului. Dar mai important, ele trebuie să reprezinte o sursă pentru politici în sănătate, pentru cercetare și inovație.

Pentru dezbateri mai ample ale actorilor participanți la sănătate, inclusiv cu perspective din alte state europene (Estonia, Olanda, Germania), vă invităm să urmăriți înregistrările foarte relevante de la conferința din 20 Aprilie — Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate.

Partea 1 — Impactul GDPR în politicile de sănătate

Partea 2 — Masterclass : Aplicarea GDPR în Sănătate

Partea 3 — Protejarea datelor cu caracter personal, o provocare pentru IT și Datele din sănătate — bun public și bun personal

Vă mulțumim.

Data: 9 mai 2018

Documentul este redactat de Lorena Macnaughtan

Lorena Macnaughtan, MBA, iCEE.health & IDSE, e: lorena@iceefest.com

Contributori principali

Cristiana Deca, Decalex, cristiana.deca@decalex.ro

Asist. Univ. Dr. Florina Raicu, Universitatea de Medicina si Farmacie Carol Davila, Catedra de Genetica Medicala, e: florina_raicu@yahoo.com

Semnatari:

  • Rozalina Lapadatu, IDSE
  • Bogdan Cioc, LiveHelix
  • Liviu Chirila, eCUORE
  • Alexandra Latcu
  • Lorand Minyo, Neveli

PS. Am luat la cunoștință de modificările asupra textului legii din data de 9 mai, din Camera Deputaților, multe dintre ele salutare și în concordanță cu cele susținute în această scrisoare. Cu toate acestea, am luat decizia de a face în continuare publică această scrisoare, deoarece mai sunt încă etape de parcurs pe traseul legislativ și considerăm că este o lege cu impact foarte mare social și economic. (Mai 10)

Referințe

Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei — http://www.cdep.ro/proiecte/2018/100/60/7/pl219.pdf

The Digital Health Society Declaration (Declarația pentru o Societate de Sănătate Digitală), 14 iulie 2017 — https://ec.europa.eu/digital-single-market/en/news/digital-health-society-declaration

EU Member States sign up to cooperate on artificial intelligence (State Membre din UE semnează să coopereze în domeniul inteligenței artificale), 10 aprilie 2018 — https://ec.europa.eu/digital-single-market/en/news/eu-member-states-sign-cooperate-artificial-intelligence

Global Competitiveness Index 2017–2018 (Indexul Global de Competitivitate), România — http://reports.weforum.org/global-competitiveness-index-2017-2018/countryeconomy-profiles/#economy=ROU

Ghidul privind deciziile automate individuale și profilare — http://www.dataprotection.ro/servlet/ViewDocument?id=1463

REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) — http://www.dataprotection.ro/servlet/ViewDocument?id=1262

Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate, 20 aprilie — http://www.idse.ro/evenimente/aplicarea-regulamentului-european-privind-datele-cu-caracter-personal-in-sanatate/

Video, partea 1 — Impactul GDPR în politicile de sănătate — https://www.facebook.com/ICEEFest/videos/2472178672807889/

Video, partea 2 — Masterclass: Aplicarea GDPR în Sănătate — https://www.facebook.com/ICEEFest/videos/2472302889462134/

Video, partea 3 — Protejarea datelor cu caracter personal, o provocare pentru IT și Datele din sănătate — bun public și bun personal https://www.facebook.com/ICEEFest/videos/2472389232786833/

comentarii

Tags from the story
Alte articole de Pinmagazine.ro

#PIN2017 Awards Gala Winners

Premiile Regionale ale Industriei de IT&Outsourcing, PIN 2017 (www.pinawards.ro) se adresează companiilor...
Citește

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *