Când vorbim despre datele de sănătate, mulți se opresc la GDPR și la celebrul „articol 9 – date sensibile”.
Dar realitatea juridică europeană este mai nuanțată. Sănătatea nu este protejată doar prin GDPR, ci printr-un întreg cadru normativ care arată cât de delicat este acest tip de informație.
Iar faptul că există o directivă specială dedicată sănătății nu este întâmplător. Este un semnal clar: pentru Uniunea Europeană, datele de sănătate nu sunt „doar încă o categorie de date”.
De ce sănătatea a primit un tratament separat
GDPR protejează datele personale în general.
Dar, în zona sănătății, miza este mai mare: deciziile medicale, accesul la tratament, demnitatea persoanei, riscul de discriminare.
De aceea, pe lângă GDPR, Uniunea Europeană a adoptat și Directiva 2011/24/UE privind drepturile pacienților în cadrul asistenței medicale transfrontaliere, care completează această protecție dintr-o altă perspectivă:
dreptul persoanei de a controla informațiile despre propria stare de sănătate, inclusiv atunci când acestea circulă între state, instituții sau sisteme.
Mesajul este clar: datele de sănătate nu sunt doar administrative, ci profund personale.
Ce înseamnă asta, dincolo de spitale și clinici
Aici apare confuzia.
Multe organizații spun: „Dar noi nu suntem din domeniul medical”.
Și totuși, datele de sănătate apar:
- în dosarele de personal,
- în concedii medicale,
- în fișe de aptitudine,
- în beneficii extra-salariale,
- în situații de accident de muncă,
- în adaptări de program sau condiții speciale.
Chiar dacă firma nu oferă servicii medicale, intră în contact cu un ecosistem juridic construit pentru protecție maximă.
GDPR stabilește regulile generale.
Directiva specială arată sensibilitatea extremă a contextului.
De ce nu mai funcționează abordarea „minimalistă”
În multe organizații, datele de sănătate sunt tratate ca o anexă:
– „avem un certificat”;
– „știm că e sensibil, dar îl punem la dosar”;
– „îl vede HR-ul și managerul”.
Problema este că legislația europeană nu mai acceptă această normalizare.
Atât GDPR, cât și cadrul special din domeniul sănătății cer:
- limitare strictă a scopului,
- acces controlat,
- trasabilitate,
- protecție sporită.
Cu alte cuvinte, nu este suficient să nu faci abuz.
Trebuie să poți demonstra că ai construit un sistem care previne abuzul.
O filozofie comună: persoana, nu organizația, este în centru
Dacă există un fir roșu între GDPR și directiva specială privind sănătatea, acesta este unul singur:
controlul aparține persoanei.
Nu organizația decide ce este „confortabil”.
Nu eficiența administrativă primează.
Ci dreptul persoanei de a nu fi expusă, etichetată sau vulnerabilizată prin informații despre sănătatea sa.
De aceea:
- accesul trebuie restrâns,
- durata de păstrare trebuie justificată,
- comunicarea internă trebuie filtrată,
- documentarea trebuie să fie reală, nu formală.
De ce controalele sunt mai dure în această zonă
Autoritățile știu că datele de sănătate sunt ușor de banalizat în practică.
Tocmai de aceea, în controale, ele se uită atent la:
- ce date există,
- cine le vede,
- de ce le vede,
- cât timp rămân în sistem.
Nu contează că intenția a fost bună.
Contează dacă sistemul este construit pentru protecție, nu pentru comoditate.
Datele de sănătate cer o maturitate juridică diferită
A trata datele de sănătate „ca pe orice alte date” este una dintre cele mai riscante erori.
Faptul că există o directivă specială, pe lângă GDPR, arată că standardul de protecție este mai ridicat, chiar și pentru organizații non-medicale.
La A&T COMPLIANCE CONSULTING SRL, întâlnim frecvent firme care realizează că problema nu este lipsa de bună-credință, ci faptul că au aplicat reguli generale într-o zonă care cere o atenție juridică specială.
GDPR + directiva specială = un mesaj clar
Uniunea Europeană nu a creat un cadru dublu din întâmplare.
A făcut-o pentru a transmite un mesaj simplu și ferm:
Datele de sănătate nu sunt doar informații.
Sunt fragmente din viața oamenilor.
Iar cine le gestionează, chiar și incidental, are o responsabilitate care depășește rutina administrativă.