de Ioan Dumitrascu, Partner,
Diana Gavra, Senior Associate,
Christiana Bouleanu, Associate, Filip & Company
Dezvoltarea accelerată a proceselor tehnologice își spune cuvântul și în sectorul medical, unde accesul la datele privind sănătatea este esențial pentru cercetarea și inovația în domeniul medical, al sănătății și al stării de bine (wellness). Adoptat la începutul anului 2025, Regulamentul UE 2025/327 referitor la Spațiul European al Datelor privind Sănătatea („Regulamentul EHDS”) aduce un cadru juridic european inovator, uniform și cuprinzător, facilitând nu doar accesul de oriunde la datele din dosarul medical, ci și utilizarea secundară a datelor în scopuri de cercetare științifică.
Aplicarea Regulamentului EHDS
Regulamentul EHDS a fost deja publicat în Jurnalul Oficial al Uniunii Europene (UE) la data 5 martie 2025 și a intrat în vigoare la 26 martie 2025, însă nu va avea un efect imediat, ci se va aplica gradual, după o etapă de tranziție. Prima etapă de aplicare va fi 26 martie 2027, dată până la care este așteptată și adoptarea anumitor norme de implementare de către Comisia Europeană. Majoritatea dispozițiilor privind utilizarea secundară a datelor vor fi aplicabile din 2029, iar unele ulterior din 2031 sau chiar 2035.
O perioadă de tranziție atât de lungă este necesară pentru a permite entităților și autorităților din domeniu să adopte ajustările necesare, în special din perspectivă juridică, tehnică și operațională.
Scopul și utilitatea noului cadrul juridic
Scopul Regulamentului EHDS este de a institui spațiul european al datelor privind sănătatea („EHDS”), pentru a îmbunătăți accesul pacienților la dosarul medical și a crea un cadru juridic pentru dezvoltarea cercetării și a inovației, prin oferirea posibilității de a accesa cantități mari de date privind sănătatea într-un cadru reglementat. Acesta facilitează accesul pacienților la datele privind sănătatea și controlul asupra acestor date, stabilind și un echilibru între valorificarea potențialului științific al datelor și protejarea drepturilor fundamentale, în special a vieții private și a confidențialității datelor.
EHDS urmărește să satisfacă două utilități esențiale:
- De a permite pacienților să acceseze, să controleze și să partajeze transfrontalier datele lor electronice de sănătate pentru furnizarea de asistență medicală (utilizarea primară a datelor);
În cadrul EHDS, cetățenii UE vor avea control asupra datelor lor de sănătate. Pacienții vor avea acces imediat și gratuit la datele lor electronice privind sănătatea și vor putea partaja aceste informații cu furnizori de servicii medicale din alte țări.
EHDS le va permite pacienților să adauge informații în dosarele lor, să corecteze erori și să monitorizeze cine le accesează datele medicale, urmărind să garanteze totodată protecția vieții private prin măsuri stricte de securitate.
- De a permite reutilizarea sigură și de încredere a datelor privind sănătatea pentru cercetare, inovare, elaborarea de politici și activități de reglementare (utilizarea secundară a datelor).
Utilizarea secundară a datelor
Utilizarea secundară a datelor va fi un palier esențial pentru companiile care utilizează date cu caracter personal privind sănătatea. Utilizarea secundară se referă la utilizarea datelor electronice de sănătate în alte scopuri decât îngrijirea directă a pacientului, cum ar fi cercetarea științifică.
Printre scopurile de utilizare secundară permise de Regulamentul EHDS se numără:
Dezvoltarea și inovarea de produse sau servicii din domeniul sănătății;
Antrenarea, testarea și evaluarea algoritmilor, inclusiv cei utilizați în dispozitive medicale, în sisteme de inteligență artificială și în aplicații digitale din domeniul sănătății;
Îmbunătățirea îngrijirii medicale, optimizarea tratamentelor și a furnizării de asistență medicală, pe baza datelor electronice privind sănătatea ale altor persoane fizice.
Atunci când vorbim despre cercetare lato sensu, ne putem imagina o gamă vastă de industrii care pot avea un interes în accesarea unor astfel de informații, chiar dacă nu desfășoară în concret activități de asistență medicală, cum ar fi entitățile de cercetare, dezvoltarea de produse ITC, sau producția de dispozitive medicale.
Cu toate acestea, Regulamentul EHDS stabilește anumite limitări importante pentru protecția persoanelor, interzicând utilizarea secundară a datelor pentru scopuri precum:
- Luarea anumitor decizii în detrimentul unei persoane fizice/grup de persoane fizice;
- Luarea unor decizii cu privire la o persoană fizică/grup de persoane fizice în legătură cu ofertele de muncă, oferirea de condiții mai puțin favorabile la furnizarea de bunuri sau servicii, inclusiv excluderea anumitor persoane sau grupuri de la beneficiul unui contract de asigurare sau de credit, modificarea contribuțiilor și primelor de asigurare sau a condițiilor de împrumut;
- Activități de publicitate sau de marketing;
- Dezvoltarea de produse sau servicii care pot dăuna persoanelor, sănătății publice ori societății în general, precum drogurile ilicite și produsele sau serviciile concepute sau modificate astfel încât să creeze dependență.
Regulamentul EHDS stabilește un cadru juridic pentru utilizarea secundară a datelor în care vor fi implicați trei tipuri de actori: deținătorii de date privind sănătatea („Deținătorii de Date”), organismele de acces la datele privind sănătatea („HDAB”) și utilizatorii de date privind sănătatea („Utilizatorii de Date”).
Fiecare Stat Membru UE va trebuie să desemneze unul sau mai multe HDAB. De principiu, Regulamentul EHDS stabilește un mecanism prin care Deținătorii de Date vor avea obligația de a furniza anumite categorii minime de date către Utilizatorii de Date care le solicită pentru scopuri de utilizare secundară, prin intermedierea HDAB, pe baza unei autorizații de acces la date. HDAB va trebui să pună la dispoziție și un catalog de seturi de date disponibile.
Utilizatorii de Date vor putea fi, de exemplu, entitățile de cercetare medicală, dezvoltatorii de produse ITC în domeniul medical, al sănătății și al stării de bine, sau producătorii de dispozitive medicale.
Deținătorii de Date nu sunt, în sensul Regulamentului EHDS, limitați la sfera unităților medicale care dețin dosare de sănătate, ci acoperă și unitățile care dețin registre de mortalitate, date privind studiile clinice sau date privind sănătatea din aplicațiile de wellness.
HDAB vor putea percepe taxe pentru punerea la dispoziție a datelor electronice privind sănătatea în scopuri de utilizare secundară. Aceste taxe vor putea acoperi total sau parțial costurile asociate cu evaluarea unei cereri de acces la date, acordarea, respingerea sau modificarea unei autorizații privind datele, sau costurile legate de consolidarea, pregătirea, anonimizarea, pseudonimizarea și furnizarea datelor electronice privind sănătatea.
Implicațiile din perspectiva GDPR în cazul utilizării secundare a datelor
Din perspectiva legislației privind protecția datelor, una dintre noutățile aduse de Regulamentul EHDS este faptul că acesta nu impune cerința consimțământului pacienților pentru prelucrarea datelor privind sănătatea pentru utilizarea secundară, ci recunoaște aplicarea și a altor temeiuri, printre care obligația legală sau chiar și interesul legitim. Mai mult, pentru o aplicare unitară, Regulamentul EHDS nu va permite Statelor Membre să introducă cerințe specifice de consimțământ pentru utilizarea secundară a datelor privind sănătatea.
În schimb, Regulamentul EHDS va impune un mecanism de opt-out pentru persoanele fizice, prin care acestea să aibă dreptul de a se opune la folosirea datelor lor de sănătate pentru utilizarea secundară (dreptul de a refuza).
Din perspectiva rolului entităților implicate conform GDPR, Regulamentul EHDS stabilește următoarele:
- Rolul de operator pentru Deținătorii de Date, în ceea ce privește divulgarea datelor electronice de sănătate solicitate către HDAB;
- HDAB este considerat tot operator, în îndeplinirea atribuțiilor sale prevăzute de Regulamentul EHDS;
- Cu toate acestea, în situația în care HDAB furnizează date electronice privind sănătatea unui Utilizator de Date, în baza unei cereri de acces, HDAB va fi considerat persoană împuternicită de operator, acționând în numele Utilizatorului de Date.
Ca o măsură de protecție, datele vor putea fi făcute disponibile către Utilizatorii de Date, ca regulă, în format anonimizat. Doar în anumite situații de excepție, datele vor trebui transmise în format pseudonimizat.
Regulamentul EHDS aduce numeroase clarificări binevenite din perspectiva implicațiilor GDPR, însă în continuare sunt anumite puncte care nu sunt pe deplin clarificate și lasă loc pentru interpretări divergente, precum:
Care vor fi criteriile de evaluare în baza cărora se va stabili dacă scopul prelucrării nu poate fi atins cu date anonimizate, astfel încât să justifice solicitarea datelor în format pseudonimizat de către Utilizatorii de Date?
Cine va avea în concret obligația de a pseudonimiza sau anonimiza datele, HDAB sau Deținătorii de Date?
Cum va fi pusă la dispoziția persoanelor fizice opțiunea de opt-out și de către cine, Deținătorii de Date sau HDAB? Va fi o opțiune ce va fi inclusă într-un formular medical/la utilizarea unui serviciu, sau de exemplu o opțiune de tipul unui registru unitar la nivel național?
Modalitatea concretă de reglementare a acestui drept este lăsată la latitudinea Statelor Membre.
Unde se va trasa în concret linia de demarcație între atribuțiile HDAB exercitate în calitate de operator și cele în calitate de persoană împuternicită a Utilizatorilor de Date?
Plecând de la prevederea din Regulamentul EHDS care stabilește rolul HDAB de persoană împuternicită, suntem de părere că inclusiv calificarea Utilizatorilor de Date ca operatori este discutabilă, având în vedere faptul că Regulamentul EHDS prevede o interdicție expresă de a re-identifica persoanele fizice la care se referă datele. Astfel, în contextul în care Utilizatorii de Date nu ar putea ajunge să identifice persoanele fizice în nicio situație, ar trebui să fie considerați operatori de date în sensul GDPR?
În concluzie, Regulamentul EHDS instituie un cadru juridic cuprinzător și inovator pentru utilizarea secundară a datelor privind sănătatea, consolidând premisele pentru cercetarea științifică, dezvoltarea tehnologică și optimizarea serviciilor de sănătate publică.
Pentru aplicarea efectivă a acestor dispoziții ar fi utilă o abordare unitară din partea autorităților, de exemplu prin emiterea unor ghiduri și orientări, în special în ceea ce privește prelucrarea datelor cu caracter personal și corelarea atentă cu cerințele GDPR, mai ales cu privire la aspectele ce sunt lăsate la latitudinea Statelor Membre. În acest context, în perioada următoare, vor fi interesant de urmărit inițiativele legislative și orientările de la nivel european și național, care să ajute entitățile implicate în pregătirea pentru conformarea cu noile cerințe din timp, așa încât utilizarea secundară a datelor să contribuie efectiv la dezvoltarea cercetării și inovării, spre beneficiul final al pacienților europeni.
