Societățile care activează în domeniul farmaceutic, fie că vorbim de farmacii, producători sau distribuitori de medicamente, se confruntă cu o serie de provocări specifice pentru a respecta cerințele legale în materia protecției datelor cu caracter personal din cauza caracterului special al datelor prelucrate (i.e. date privind starea de sănătate).

Andreea BiraFoto: Deloitte si Reff&Asociatii

Deși datele cu caracter personal privind starea de sănătate au avut întotdeauna o reglementare specială, impactul intrării în vigoare a GDPR este totuși semnificativ.

Mai mult, activitățile de prelucrare a acestui tip de date cu caracter personal este de asemenea reglementat (și restricționat) de legislația națională adoptată în considerarea GDPR (Legea nr. 190/2018). Totodată, nu trebuie omis că legislația specială aplicabilă în domeniul farmaceutic nu este întotdeauna corelată sau suficientă în raport cu reglementările din materia protecției datelor.

În acest context, datele cu caracter personal prelucrate de societățile cu activitate în sectorul farmaceutic includ atât date cu caracter personal clasice (de exemplu numele și prenumele clienților, date de contact și date de identificare ale clienților, numele și parafa medicului curant etc.), cât și categorii speciale de date privind starea de sănătate, cum ar fi date privind diagnosticul, date privind tratamentul urmat de un anumit pacient, seria și numărul rețetei etc.

Principala provocare - identificarea temeiului legal

Societățile din domeniul farmaceutic sunt puse în fața unei adevărate provocări în ceea ce privește identificarea temeiul legal pentru prelucrarea datelor, având în vedere numeroasele scopuri în care prelucrează datele, precum:

  • activitatea de bază a acestora, cum ar fi: comercializarea de medicamente, decontarea rețetelor compensate sau comercializarea de medicamente în cadrul sistemelor de coplată;
  • îndeplinirea obligațiilor legale impuse în acest domeniu (e.g., obligațiile de farmacovigilență)
  • promovarea bunurilor și serviciilor oferite de societățile cu activitate în acest domeniu (i.e., marketing și publicitate)

Această provocare este cu atât mai mare cu cât, în ceea ce privește datele cu caracter special, GDPR menține un cadru restrictiv al temeiurilor legale ce pot fi avute în vedere.

Astfel, societățile cu activitate în domeniul farmaceutic nu se pot întotdeauna baza pe temeiuri legale clasice, cum ar fi executarea contractului, obligația legală sau interesul legitim pentru a justifica prelucrarea datelor cu caracter personal sensibile cum este cazul datelor privind starea de sănătate.

În funcție de scopurile prelucrării, principalele temeiuri legale ce pot fi invocate sunt:

  • Prelucrarea este necesară în scopuri legate, printre altele, de stabilire a unui diagnostic medical, de furnizare de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială

Acest temei este aplicabil în cazul activităților de prelucrare a datelor cu caracter special desfășurate în scopuri precum: comercializarea de medicamente eliberate fără prescripție medicală (OTC), eliberarea de medicamente pe baza de prescripție medicală (Rx); prelucrarea datelor în relația cu casele de asigurări de sănătate și cu Casa Națională de Asigurări de Sănătate potrivit obligațiilor legale aplicabile în legătură cu prescripțiile medicale compensate etc.

  • Prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi, printre altele, asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale

Acest temei este aplicabil prelucrării categoriilor speciale de date cu caracter personal în scopul îndeplinirii obligațiilor ce le revin profesioniștilor din domeniul farmaceutic de raportare a efectelor adverse și a incidentelor cu dispozitive medicale către Agenția Națională a Medicamentului și Dispozitivelor Medicale.

Ce se întâmplă cu prelucrarea datelor în scopul promovării bunurilor și serviciilor (marketing)?

Ca orice operator economic care oferă bunuri și servicii către consumatori, și societățile din sectorul farmaceutic doresc să își promoveze bunurile și serviciile către public și să atragă și păstreze clienții cu programe atractive de fidelitate (de exemplu deja celebrele carduri de fidelitate emise de farmacii).

În anumite situații însă, utilizarea datelor existente pentru un alt scop decât furnizarea de medicamente, cum este și scopul de promovare (comercial), poate avea o linie foarte fină de demarcație a regimului aplicabil, de exemplu contactarea unei persoane (pacient) cu o oferta pentru un dispozitiv medical adiacent medicamentului furnizat.

Având, însă, în vedere că în acest domeniu elaborarea unei strategii de publicitate ar putea implica și prelucrarea datelor cu caracter personal privind starea de sănătate (de exemplu istoricul de achiziții al fiecărui client, care de cele mai multe ori va include și date privind starea de sănătate cu ar fi diagnostic, medicație etc), trebuie acordată o atenție deosebită acestui tip de activitate de prelucrare.

În cazul în care datele cu caracter special sunt prelucrate în scopuri ce țin de promovarea bunurilor și serviciilor proprii (marketing), temeiul legal al prelucrării poate fi doar consimțământul explicit al clienților. Acest consimțământ trebuie să respecte toate condițiile de valabilitate prevăzute de GDPR (respectiv, să fie liber exprimat, informat, specific și exprimat printr-o acțiune pozitivă) și mai mult decât atât, să fie acordat în mod explicit.

Caracterul explicit al consimțământului are în vedere modul în care acesta este exprimat și înseamnă că persoana vizată (pacientul, clientul etc) trebuie să dea o declarație expresă de consimțământ. Nu în ultimul rând, societatea trebuie sa fie întotdeauna în măsură să dovedească obținerea consimțământului.

Din acest motiv, cei mai mulți actori din sectorul farmaceutic care prelucrează datele pacienților în scopul promovării propriilor bunuri și servicii au demarat campanii de reobținere a consimțământului pentru a se asigura că acesta este obținut la standardele impuse de GDPR.

Am observat că obținerea consimțământului în domeniul farmaceutic se realizează de cele mai multe ori în scris. Trebuie subliniat însă că GDPR nu exclude posibilitatea obținerii consimțământului explicit și prin mijloace electronice.

Suplimentar față de regulile referitoare la consimțământ prezentate mai sus, statutul special de care se bucură datele cu caracter personal privind starea de sănătate impune și alte restricții cu privire la tipurile de activități de prelucrare care pot viza aceste date.

Astfel, potrivit Legii 190/2018, prelucrarea datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă doar cu consimțământul explicit al persoanei vizate.

Orice societate cu activitate în sectorul farmaceutic care dorește să prelucreze datele cu caracter personal privind starea de sănătate trebuie să se asigure în toate cazurile că această activitate nu este excesivă în raport cu caracterul sensibil al datelor prelucrate. Cu alte cuvinte, trebuie să fie pregătită să poată argumenta în orice moment necesitatea prelucrării datelor cu caracter sensibil pentru atingerea scopurilor finale ale activității de prelucrare.

Concluzie

Orice societate care dorește să prelucreze date cu caracter personal privind starea de sănătate trebuie să acorde o atenție deosebită temeiului legal pe care alege să își bazeze activitatea de prelucrare și să aibă în vedere constant ca datele prelucrate să nu fie excesive în raport cu scopul urmărit.

De asemenea, procesul necesar pregătirii unui răspuns la cererile formulate, în special la cele privind dreptul de acces sau dreptul de a fi uitat, nu este deloc neglijabil, având în vedere volumul vast de date prelucrate, istoricul tranzacțiilor anterioare și, mai ales, în unele situații, lipsa anterioară a unei culturi sau educări a angajaților în spiritul respectării reglementărilor aplicabile în materia protecției datelor.

Activitățile de prelucrare a datelor cu caracter special atrag o serie de obligații noi, cum ar fi obligația de a numi un responsabil cu protecția datelor și de a ține o evidență a activităților de prelucrare desfășurate.

Un articol semnat de Andreea Bîră, Avocat Reff și Asociații