Studiu de caz-este obligatoriu DPO in farmacii/cabinet ?

Pe scurt:

Ce trebuie sa stim despre GDPR ?

Incepand cu 25 mai 2018 intra in vigoare Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul
General privind Protectia Datelor Personale (GDPR), care spune in principiu ca informatiile pe care le
detineti despre pacienti (nume, adresa, CNP, diagnostice, antecendente, tratamente medicamentoase,
internari, analize etc) sunt informatii CONFIDENTIALE si nu pot circula liber! Aceste date trebuie
protejate, iar responsabilitatea protejarii lor revine in intregime operatorilor ( medici si farmacisti)
Regulamentul este foarte strict in acest sens si prevede sanctiuni aspre pentru abateri. Specialistii spun ca
el introduce o adevarata revolutie in domeniu, prin prisma impactului pe care il va avea asupra bunului mers
al tuturor afacerilor, mici sau mari, din Europa si nu numai.
Regulamentul se aplica practic oricarei firme, indiferent de domeniul de activitate, conceptul de “date
personale” devenind atat de larg incat orice firma care lucreaza cu astfel de date – fie ca e vorba despre
datele angajatilor sau ale clientilor/pacientilor – devine instantaneu subiect al Regulamentului.
E adevarat, in Romania exista deja Legea nr. 677/2001 cu privire la prelucrarea datelor cu caracter personal
si libera circulatie a acestor date, doar ca Regulamentul nr. 679/2016 este superior acestei legi. La 25 mai
2018 el va intra in vigoare direct, fara nicio formalitate, in toate statele Uniunii Europene. Si important este ca
noile sanctiuni nici nu se compara cu cele vechi.  Legea nr. 677/2001 prevede o amenda maxima de 50.000 de lei,
Regulamentul UE prevede o amenda de 20 de milioane de euro sau de 4% din cifra de afaceri anuala, luandu-se in
consideratie cea mai mare valoare.

Hai sa dezvoltam subiectul:

Începând cu data de 25 mai 2018 Regulamentul (UE) 2016/679[i] privind protecția persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei
95/46/CE (Regulamentul General privind Protecția Datelor sau RGPD) va intra în vigoare și va fi direct aplicabil.
Semnificația acestei aplicabilități directe este că prevederile sale nu mai trebuie transpuse în legislația națională (nu e
necesar a se emite o lege care să preia normele juridice), precum în cazul unei directive, ci va acționa întocmai precum
o lege emisă de Parlamentul României. Nu înseamnă că nu se poate emite o lege care să detalieze/particularizeze
anumite proceduri sau cerințe, menționate generic în RGPD, însă această lege doar completează prevederile
regulamentului și nu poate să contravină normelor acestuia, conform art. 148 alin. (2) din Constituția României, cu
excepția situației în care legea internă conține dispoziții mai favorabile în ceea ce privește drepturile create, conform
prevederilor art. 20 alin. (2) din Constituție.

Una dintre noutățile aduse de acest regulament este desemnarea responsabilului cu protecția datelor (data protection
officer sau DPO) de către operatorul de date cu caracter personal. Desemnarea acestui DPO nu este obligatorie în toate
cazurile, însă și atunci când desemnarea unui DPO nu este obligatorie, aceasta poate fi oportună. Prin acest articol ne-
am propus să analizăm dacă desemnarea unui DPO este obligatorie în unități farmaceutice/medicale și, indiferent de
răspuns, dacă există anumite particularități în ceea ce privește DPO-ul desemnat obligatoriu sau facultativ în farmacii.
Conform dispozițiilor art. 4 pct. 7 din RGPD operatorul (cel care are obligația/poate desemna un DPO) este persoana
fizică sau juridică, autoritatea publică, agenţia sau alt organism care stabileşte scopurile şi mijloacele de prelucrare a
datelor cu caracter personal (teza I). Atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii
sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau
în dreptul intern (teza a II-a). Unitățile farmaceuticemedicale au calitatea de operator de date cu caracter
personal deoarece, chiar dacă nu stabilesc ele însele, în calitate de persoane juridice, scopul pentru care se prelucrează
datele (pentru a ne încadra în situația descrisă de teza I a art. 4 pct. 7 din RGPD), prin Legea nr. 266/2008 a
farmaciei[ii] și multiple acte normative secundare sau terțiare emise de Guvern, de Ministrul Sănătății, de președintele
CNAS etc. s-a stabilit imperativ că prelucrarea datelor cu caracter personal[iii] este o operațiune sine qua non a
activității unei unități farmaceutice de eliberare a medicamentelor, a prestării serviciului farmaceutic de consiliere etc.
(încadrându-ne în situația descrisă de teza a II-a a art. 4 pct. 7 din RGPD).
O particularitate a unităților farmaceutice/medicale în calitate de operatori de date cu caracter personal este că prin
esența lor, acestea prelucrează date medicale, date privind sănătatea – care sunt considerate date sensibile (date cu un
nivel mult mai sporit de protecție din pricina faptului că dezvăluirea lor poate afecta semnificativ dreptul la viața
privată, conform pct. 52 și 53 din preambulul RGPD). Datele cu caracter personal sunt definite generic de prevederile
art. 4 pct. 1 din RGPD drept „orice informaţii privind o  persoană fizică identificată sau identificabilă ("persoana
vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin
referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator
online, sau la unul sau mai multe elemente specifice,  proprii identităţii sale fizice, fiziologice, genetice,
psihice, economice, culturale sau sociale”. Primul aspect relevant care se desprinde din această definiție este că datele
cu caracter personal vizează esențialmente persoanele fizice. Prelucrarea datelor unor societăți partenere/ PFA-uri,
entități cu sau fără personalitate juridică organizate sub diverse forme, nu importă din perspectiva RGPD.
În al 2-lea rând, se poate observa că datele cu caracter personal relevante din perspectiva farmaciștilor care activează în
farmacii de circuit deschis sau înschis în relația cu pacienții: datele fizice ale pacienților, datele fiziologice, datele
genetice sau psihice, sunt expres enumerate în cadrul definiției. Dacă această normă juridică consacră un cadru general
al datelor cu caracter personal, în ceea ce privește datele privind sănătatea s-a reglementat și un cadru special - art. 4
pct. 15 din RGPD definindu-le expres, distinct, drept „date cu caracter personal legate de sănătatea fizică sau mentală
a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de
sănătate a acesteia[iv]”.  De ajutor pentru a înțelege mai bine conceptul de date privind sănătatea este analiza
argumentelor legiuitorului unional pentru adoptarea RGPD, regăsite la pct. 35 din preambulul actului legislativ în
privința componentei date sensibile privind sănătatea[v], punct de vedere conturat în timp, înglobând inclusiv
concluziile Curții de Justiție a Comunităților Europene pronunțate în cauza C-101/2001 Bodil Lindqvist[vi].
Având în vedere că am argumentat anterior că unitățile farmaceutice dețin calitatea de operator de date cu caracter
personal, următoarea întrebare importantă este dacă în această calitate sunt obligate să desemneze un responsabil cu
protecția datelor cu caracter personal, adică un DPO? Conceptul de persoană responsabilă cu protecția datelor cu
caracter personal este trasat de dispozițiile art. 37, art. 38 și art. 39 din RGPD. Responsabilul cu protecția datelor cu
caracter personal este un membru al personalului operatorului, al persoanei împuternicite de operator[vii] sau o
persoană care îndeplinește această sarcină în baza unui contract de prestări servicii (încheiat cu operatorul sau persoana
împuternicită de operator), care are rolul general de a întreprinde toate măsurile necesare în se asigura că operatorul sau
persoana împuternicită de operator respectă rigorile RGPD. Atribuțiile sale exacte sunt trasate de dispozițiile art. 39 din
RGPD[viii].
Cât timp prevederile art. 4 pct. 7 și 8 din RGPD definesc expres operatorul și persoana împuternicită de operator
drept „persoana fizică sau juridică  […]”,  niciunul dintre articolele 37, 38 sau 39 din RGPD, care conturează conceptul
de DPO, nu fac absolut nicio referire expresă dacă acesta poate fi și o persoană juridică sau exclsiv o persoană fizică.
Așadar, ne rămâne la îndemână interpretarea gramaticală a acestor texte de lege. Art. 38 alin. (6) conferă un prim
indiciu în acest sens, menționând că DPO-ul poate fi un membru al personalului operatorului sau al persoanei
împuternicite de operator, adică o persoană fizică. De asemenea, alin. (5) al aceluiași articol de lege afirmă că DPO-ul
este desemnat ,,pe baza calităților profesionale”, atribut dificil de asociat cu persoanele juridice. Se desprinde, în opinia
noastră, concluzia că DPO-ul poate fi exclusiv o persoană fizică.

Prevederile art. 37 alin. (1) din RGPD trasează 3 situații în care numirea unui DPO este obligatorie:

a)atunci când prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor care acţionează
în exerciţiul funcţiei lor jurisdicţionale.

b)atunci când activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în operaţiuni de
prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică a
persoanelor vizate pe scară largă,
c)atunci când activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea
pe scară largă a unor categorii speciale de date, menţionată la articolul 9, sau a unor date cu caracter personal privind
condamnări penale şi infracţiuni, menţionată la articolul 10.
Dacă în mod evident unitățile farmaceutice nu se încadrează în situația descrisă la lit. a), este nevoie de o analiză
amănunțită pentru a concluziona dacă acestea se încadrează în situațiile descrise la lit. b) și c) deoarece, așa cum
menționam anterior, activitatea farmaciei nu se poate desfășura în absența prelucrării datelor pacienților (lit. b), iar pe
de altă parte, în farmacii se prelucrează date medicale ale pacienților – date sensibile, conform art. 9 din RGPD (lit. c).
Pentru a analiza ipotezele conturate de lit. b) și c) ne-am îndreptat atenția înspre preambulul RGPD și înspre Ghidul
privind responsabilul cu protecția datelor (DPO), conceput de Grupul de lucru Articolul 29 de pe lângă Comisia
Europeană[ix].
În ceea ce privește ipoteza creionată de lit. b) ab initio trebuie analizat ce înseamnă ca activitatea principală a
operatorului să conste în operațiuni de prelucrare. Activitatea principală a unităților farmaceutice constă în eliberarea de
medicamente, în prestarea de servicii farmaceutice etc., însă toate acestea nu pot avea loc în absența prelucrării datelor
pacienților. Din acest punct de vedere se poate interpreta că activitatea principală a farmaciei constă și în prelucrarea de
date. Pct. 2.1.1 din Ghidul privind responsabilul cu protecția datelor (DPO), conceput de Grupul de Lucru Articolul 29,
furnizează explicații detaliate în acest sens. Conform acestor experți ,,activitatea principală” trebuie înțeleasă drept
operațiunile cheie, necesare pentru ca operatorul să își poată atinge obiectivele, în opoziție cu activități auxiliare ale
operatorului. Procesarea de date cu caracter personal ar putea fi considerată activitatea principală a unui operator atunci
când nu își poate desfășura activitatea în îndeplinirea obiectivelor fără procesarea datelor cu caracter personal.
Exemplul pe care îl conferă Grupul de Lucru Art. 29 este  extrem de relevant în prezenta analiză, fiind similar situației
particulare pe care o avem în vedere. Se explică faptul că activitatea principală a unui spital este de acordare de servicii
medicale, însă furnizorul de servicii medicale nu ar putea să presteze aceste servicii în siguranță și eficient fără a
procesa date cu caracter personal ale pacienților – chiar date sensibile medicale. În consecință, prelucrarea de date cu
caracter personal este considerată în această situație drept activitate principală a spitalului[x]. Situația este
aplicabilă mutatis mutandis și unităților farmaceutice, drept urmare prelucrarea de date cu caracter personal este
considerată o activitate principală a acestora.
În al doilea rând, pentru ca situația de la lit. b) să fie aplicabilă este necesar a analiza dacă activitățile de prelucrare a
datelor în farmacii necesită o monitorizare periodică și sistematică a persoanelor vizate (conform art. 4 pct. 1 –
persoana a cărei date sunt prelucrate), adică pacienții. Conform pct. 2.1.4. din Ghidul privind responsabilul cu protecția
datelor (DPO), conceput de Grupul de lucru Articolul 29, monitorizarea periodică semnifică la anumite intervale de
timp, care are loc în mod repetat, cât timp prelucrare sistematică semnifică urmărirea unei strategii, aplicarea unui plan
general de colectare a datelor[xi]. Având în vedere că unitățile farmaceutice trebuie să facă raportări periodice de date
la CNAS, raportări care includ automat și  prelucrări de date cu caracter personal ale pacienților,  această condiție de la
art. 37 alin. (1) lit. b) din RGPD ar putea fi considerată a fi îndeplinită.
Analiza se păstrează cu anumite particularități și în cazul trasat de art. 37 alin. (1) lit. c) din RGPD pentru că și acesta
presupune tot prelucrarea de date cu caracter personal ,,pe scară largă”, însă de această dată a datelor cu caracter special
– datele sensibile menționate la art. 9 din RGPD, printre care sunt enumerate și datele privind sănătatea. Cât timp este
indiscutabil că în unitățile farmaceutice/medicale se prelucrează date privind sănătatea, prelucrarea ,,pe scară largă”
este o condiție care trebuie analizată in concreto, conform analizei de mai sus, astfel încât fiecare unitate farmaceutică
să deceleze dacă este imperativ să desemneze un DPO sau nu.

 
Chiar dacă nu ar exista obligativitatea desemnării unui DPO conform art. 37 alin. (1) din RGPD, unitățile farmaceutice,
în calitate de operator de date, ar putea fi obligate să desemneze un DPO printr-o cerință specifică de acest fel introdusă
prin legislația națională sau ar putea ele însele desemna un DPO dacă ar considera oportun (desemnare facultativă),
conform prevederilor art. 37 alin. (4) din RGPD. În cazul unei desemnări facultative a unui DPO, acesta ar trebui să
îndeplinească toate cerințele trasate de art. 37, 38 și 39 din RGPD, precum în cazul DPO-ului desemnat în mod
obligatoriu, însă Grupul de Lucru Articolul 29 punctează că operatorul poate să angajeze consultanți sau personal
extern pentru a asigura respectarea rigorilor RGPD,  fără ca aceștia să fie desemnați drept DPO și, a fortiori, activitatea
acestora nefiind încătușată în rigorile art. 37, 38 și 39 din RGPD. În această situație, este important ca operatorul să
efectueze toate demersurile pentru a se asigura că aceste persoane nu sunt confundate de către terți cu DPO-ul[xiii].

 
Situația trasată la art. 9 alin. (2) lit. a) este clară – cu acordul, cu consimțământul pacientului se pot opera date cu
caracter personal. Cu toate acestea, cea mai relevantă derogare din perspectiva unităților farmaceutice este cea de la lit.
h), care, prin interpretare per a contrario, este aplicabilă și în lipsa consimțământului pacientului – persoana vizată.
Este indiscutabil că unitățile farmaceutice nu își pot desfășura activitatea, adică să furnizeze tratament medical
pacienților, fără prelucrarea datelor privind sănătatea ale acestora. Art. 9 alin. (2) lit. h) permite prelucrarea datelor
privind sănătatea daca sunt îndeplinite cerințele alin. (3) ale aceluiași articol de lege – „datele respective sunt
prelucrate de către un profesionist supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea
acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naţionale
competente sau de o altă persoană supusă, de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului Uniunii
sau al dreptului intern ori al normelor stabilite de organisme naţionale competente.”

Se observă tendința legiuitorului unional de a institui o regulă de permitere a prelucrării datelor medicale ÎN
PRINCIPAL de personalul care are obligații de păstrare a secretului profesional impuse legal (farmaciștii și asistenții
de farmacie în cazul unităților farmaceutice) și numai cu titlu excepțional și personalului care nu are o asemenea
obligație legală, dar acționează sub autoritatea primei categorii de personal (sub autoritatea farmacistului-șef în cazul
unităților farmaceutice). Din punct de vedere al evoluției istorice a rigorilor prelucrării datelor medicale, se observă la
pct. 4.4. din Recomandarea nr. R(97)5 a Comitetului de Miniștri din cadrul Consiliului Europei asupra protecției
datelor medicale din 13 februarie 1997 că  în anul 1997 se recomanda ca dacă datele medicale erau colectate pentru
motive de diagnostic, tratament, acestea să fie procesate doar de persoanele obligate prin lege la păstrarea secretului
profesional și doar cu titlu excepțional să poată fi transmise/comunicate și altor persoane, care, însă, trebuiau să
beneficieze de același standard ridicat de păstrare a confidențialității (pct. 7.2). Discutăm de soft-law, adică norme fără
caracter obligatoriu.
Ulterior a intrat în vigoare Directiva 95/46/CE a Parlamentului European și a Consiliului privind protecția persoanelor
fizice în ceea ce privete prelucrarea datelor cu caracter personal și libera circulație a acestor date[xvii], care deși
menționează la pct. 42 din preambul că „accesul la datele cu caracter medical poate fi obținut numai printr-un
specialist din domeniul sănătății”, totuși prevede la art. 8 pct. 3 că atunci când prelucrarea datelor este necesară în
scopuri legate de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijirii sau
tratamente ori de gestionare a serviciilor de sănătate, poate fi efectuată fie de un cadru medical supus, în conformitate
cu dreptul intern ori cu normele stabilite de autoritile naționale competente, secretului profesional, fie de alt personal
supus, de asemenea, unei obligații echivalente în ceea ce privește secretul. Directiva reprezintă un act legislativ UE cu
caracter obligatoriu (în opoziție cu Recomandarea Comitetului de Miniștri a Consiliului Europei anterior
individualizată, soft-law), însă care nu are aplicabilitate directă, ci a fost necesar ca fiecare stat membru UE să o
transpună în legislația sa națională printr-un act normativ. În România a fost adoptată Legea nr. 677/2001 pentru
protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date[xviii], prin
care s-au preluat și ușor adaptat prevederile directivei[xix].
RGPD a preluat optica, păstrându-se totuși, cel puțin la nivel de percepție, recomandarea ca prelucrarea datelor
sensibile privind sănătatea de către personalul supus secretului profesional prin norme imperative să constituie regula.
Această opinie este întărită de argumentele legiuitorului UE expuse în pct. 53 din preambulul RGPD, conform
cărora: „prezentul regulament ar trebui să prevadă condiţii armonizate pentru prelucrarea categoriilor speciale de
date cu caracter personal privind sănătatea, în ceea ce priveşte nevoile specifice,  în special atunci când prelucrarea
acestor date este efectuată în anumite scopuri legate de sănătate de către persoane care fac obiectul unei obligaţii
legale de a păstra secretul profesional.  Dreptul Uniunii sau dreptul intern ar trebui să prevadă măsuri specifice şi
adecvate pentru a proteja drepturile fundamentale şi datele cu caracter personal ale persoanelor fizice. Statele
membre ar trebui să aibă posibilitatea de a menţine sau de a introduce condiţii suplimentare, inclusiv restricţii, în ceea
ce priveşte prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea.”

Având în vedere toate acestea, opinăm că DPO-ul desemnat de către operatorul de date unitate farmaceutică, fie că este
obligatorie sau facultativă desemnarea lui (în acest din urmă caz dacă a fost efectiv desemnat un responsabil cu
protecția datelor), poate fi selectat doar din cadrul personalului care activează în farmacia în cauză: fie un farmacist, fie
un asistent de farmacie, fie cu un contract de confidentialitate ferm.

[viii] Sarcinile responsabilului cu protecția datelor:

a)informarea şi consilierea operatorului, sau a persoanei împuternicite de operator, precum şi a angajaţilor care se
ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul prezentului regulament şi al altor dispoziţii de drept
al Uniunii sau drept intern referitoare la protecţia datelor;

b)monitorizarea respectării prezentului regulament, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare
la protecţia datelor şi a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia
datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a
personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;

c)furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea
funcţionării acesteia, în conformitate cu articolul 35;

d)cooperarea cu autoritatea de supraveghere;

e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare,
inclusiv consultarea prealabilă menţionată la articolul 36, precum şi, dacă este cazul, consultarea cu privire la orice altă
chestiune.