Προστασία προσωπικών δεδομένων στην ιατρική έρευνα: οι νέες ρυθμίσεις του Κανονισμού 679/2016

/ / Legal x-rays

Στις 4 Μαΐου 2016, δημοσιεύτηκε στην επίσημη εφημερίδα της Ευρωπαϊκής Ένωσης το τελικό κείμενο του Κανονισμού 679/2016 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ». Ο Κανονισμός τίθεται σε ισχύ, σήμερα, 24 Μαΐου 2016, με εφαρμογή όμως από τις 25 Μαΐου 2018.

Η επεξεργασία προσωπικών δεδομένων, και μάλιστα δεδομένων που αφορούν την υγεία  των υποκειμένων είναι αυτονόητη κατά τη διεξαγωγή ιατρικής έρευνας. Υπάρχουν διάφοροι τρόποι διεξαγωγής ιατρικής έρευνας, καθένας από τους οποίους συνεπάγεται διαφορετικό ρίσκο, διαφορετική αλληλεπίδραση με τους συμμετέχοντες, διαφορετική επίδραση στην ιδιωτικότητα και στην προστασία των προσωπικών δεδομένων τους και γι’ αυτό απαιτούν διαφορετική προσέγγιση στη ρύθμισή τους.  Υπάρχουν επομένως, τύποι ιατρικής έρευνας, όπως οι κλινικές δοκιμές, στις οποίες αντικείμενο μελέτης είναι το ίδιο το ανθρώπινο σώμαΓια αυτόν τον τύπο της έρευνας, εφαρμόζεται όχι μόνο ο Γενικός Κανονισμός για τα προσωπικά δεδομένα αλλά και ο Κανονισμός 536/2014 για τις Κλινικές Δοκιμές.

Όμως υπάρχουν και τύποι ιατρικής έρευνας, όπως οι επιδημιολογικές μελέτες (αναδρομικές -που στηρίζονται σε δεδομένα συγκεντρωμένα σε υπάρχοντα αρχεία- ή προοπτικές), στους οποίους αντικείμενο μελέτης είναι δεδομένα τα οποία προέρχονται από τα υποκείμενα, δηλαδή δεδομένα από (ηλεκτρονικό) ιατρικό αρχείο, μητρώα συγκεκριμένων ασθενειών (όπως καρκίνου), δεδομένα φαρμακοεπαγρύπνησης, ή δεδομένα από βιοτράπεζες που προκύπτουν από τη μελέτη του ανθρώπινου γονιδιώματος («γενετικά δεδομένα»).

Όλοι οι τύποι ιατρικής έρευνας που αναφέρθηκαν εμπίπτουν στην έννοια της «επιστημονικής έρευνας» του νέου Κανονισμού και διέπονται από τις διατάξεις του. Κατά τη θέσπιση του νομικού πλαισίου επεξεργασίας προσωπικών δεδομένων κατά τη διενέργεια επιστημονικής έρευνας  ο Ευρωπαίος νομοθέτης έλαβε υπόψη του τον προβλεπόμενο στο άρθρο 179 της Συνθήκης για τη Λειτουργία της Ε.Ε. σκοπό της δημιουργίας «ευρωπαϊκού χώρου έρευνας στον οποίο οι ερευνητές, οι επιστημονικές γνώσεις και οι τεχνολογίες κυκλοφορούν ελεύθερα».

 

Ποιες είναι, λοιπόν, βάσει του νέου Κανονισμού, οι προϋποθέσεις για τη νόμιμη επεξεργασία δεδομένων υγείας κατά τη διενέργεια ιατρικής έρευνας;

Καταρχήν, η επεξεργασία των δεδομένων υγείας υπόκειται στις ακόλουθες  γενικές αρχές νόμιμης επεξεργασίας (άρθρο 5 του Κανονισμού):

  1. Αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας
  2. Αρχή του περιορισμού του σκοπού: που σημαίνει ότι τα προσωπικά δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υφίστανται περαιτέρω επεξεργασία με τρόπο ασύμβατο προς αυτούς τους σκοπούς. Ωστόσο, ο ίδιος ο Κανονισμός προβλέπει ότι περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς, εφόσον πληρούνται οι προϋποθέσεις του άρθρου 89. Περαιτέρω, το άρθρο 89 επιβάλει στις περιπτώσεις αυτές την υιοθέτηση τεχνικών και οργανωτικών μέτρων, που μπορεί να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία που δεν συνεπάγεται ταυτοποίηση των υποκειμένων των δεδομένων, τότε η επεξεργασία πρέπει να γίνεται χωρίς ταυτοποίηση. Ως αποτέλεσμα των ρυθμίσεων αυτών, οι ερευνητές, υπό τους ως άνω όρους, δεν θα υποχρεώνονται να αποκτούν τη συναίνεση για κάθε νέα χρήση των δεδομένων στην έρευνα (one time consent).
  3. Αρχή της ελαχιστοποίησης των δεδομένων: που σημαίνει ότι επεξεργασία υφίστανται μόνο τα δεδομένα που είναι αναγκαία σε σχέση με τους σκοπούς που έχουν προβλεφθεί.
  4. Αρχή της ακρίβειας: Αυτή η αρχή επιβάλλει την υιοθέτηση όλων των μέτρων που διασφαλίζουν ότι τα προσωπικά δεδομένα που είναι ανακριβή, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους αυτά υφίστανται επεξεργασία, διαγράφονται ή διορθώνονται χωρίς καθυστέρηση.
  5. Αρχή του περιορισμού της περιόδου αποθήκευσης: Βάσει της αρχής αυτής τα δεδομένα δεν πρέπει να διατηρούνται σε μορφή που επιτρέπει την ταυτοποίηση των υποκείμενων τους για διάστημα μεγαλύτερο από αυτό που απαιτείται για την πραγμάτωση των σκοπών επεξεργασίας. Ωστόσο, ο νόμος ρητά επιτρέπει απόκλιση από την αρχή αυτή και αποθήκευση των δεδομένων για μεγαλύτερα χρονικά διαστήματα στην περίπτωση που τα προσωπικά δεδομένα αποθηκεύονται μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89§1.
  6. Αρχή της ακεραιότητας και εμπιστευτικότητας: η οποία συνεπάγεται ότι τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων.
  7. Αρχή της λογοδοσίας: βάσει της οποίας ο υπεύθυνος επεξεργασίας, δηλαδή το πρόσωπο που καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων, φέρει την ευθύνη και πρέπει να αποδεικνύει την συμμόρφωση με όλες τις ως άνω αρχές.

Παράλληλα, ο Κανονισμός στο άρθρο 9 θεσπίζει ένα ειδικό πλαίσιο για ειδικές κατηγορίες δεδομένων συμπεριλαμβανομένων των γενετικών δεδομένων, των βιομετρικών δεδομένων, των δεδομένων που αφορούν την υγεία. Συγκεκριμένα,  προβλέπει ότι η επεξεργασία των δεδομένων που εντάσσονται σε αυτές τις κατηγορίες καταρχήν απαγορεύεται. Ωστόσο,  άρση της απαγόρευσης προβλέπεται στις εξής περιπτώσεις:

  • Όταν το υποκείμενο των δεδομένων συναινεί ρητά στην επεξεργασία των δεδομένων του για έναν ή περισσότερους συγκεκριμένους σκοπούς.
  • Όταν η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής,  ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών, βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας
  • Όταν η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου.
  • Όταν η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς εφόσον τηρούνται οι προϋποθέσεις του άρθρου 89§1, υπάρχει αντίστοιχη πρόβλεψη στο δίκαιο της Ένωσης ή κράτους μέλους και δε θίγεται η ουσία του δικαιώματος της προστασίας των προσωπικών δεδομένων.

Ωστόσο,  στην παράγραφο 9 §4 προβλέπεται η δυνατότητα των κρατών μελών να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία . Η διάταξη αυτή βέβαια αφήνει περιθώριο διαφοροποιήσεων μεταξύ των κρατών μελών και παρεκκλίσεων από την επιδιωκόμενη ομοιογένεια των κανόνων για την επεξεργασία των δεδομένων.

Σχόλιο του γραφείου μας

Η προστασία της ιδιωτικότητας του προσώπου αποτελεί στη διεθνή έννομη τάξη θεμελιώδες δικαίωμα και πιστεύουμε ότι πρέπει να προστατευθεί. Από την άλλη πλευρά, η ανταλλαγή πληροφοριών που αφορούν την υγεία συγκεκριμένων προσώπων αναμφισβήτητα συμβάλλει στην εξέλιξη της ιατρικής έρευνας, στη θεραπεία ασθενειών, στην επίλυση προβλημάτων της δημόσιας υγείας, όπως ο καρκίνος αλλά και στη βιωσιμότητα των συστημάτων υγείας. Ο Ευρωπαίος νομοθέτης κλήθηκε να προβεί στην κατάλληλη στάθμιση. Η καταλληλότητα των μέτρων που υιοθετήθηκαν κρίθηκε και με βάση  τις δυνατότητες και τους νέους τρόπους επεξεργασίας των δεδομένων που έχει επιτρέψει η εξέλιξη της τεχνολογίας και της πληροφορικής.

Κατά τη γνώμη μας, ένα ενιαίο πλαίσιο προστασίας των προσωπικών δεδομένων σε όλη την ευρωπαϊκή ήπειρο με τις αρμόζουσες εγγυήσεις προστασίας θα ενισχύσει την ανταγωνιστικότητα των ερευνών που διεξάγονται σε ευρωπαϊκές χώρες, θα αξιοποιήσει τις δυνατότητες των ψηφιακών εφαρμογών υγείας και θα οδηγήσει σε καλύτερα και πιο ασφαλή αποτελέσματα.