Curtea Constituţională a României a publicat motivarea Deciziei nr. 498 din 17 iulie 2018, prin care a admis că dispoziţiile art. 30 alin. (2) şi (3), precum şi sintagma "sistemul dosarului electronic de sănătate al pacientului" din cuprinsul art. 280 alin. (2) din legea nr.95/2006 privind reforma în domeniul sănătăţii, sunt neconstituţionale.
În document, magistraţii constituţionali arată că, deoarece dosarul electronic de sănătate cuprinde informaţii medicale despre pacient, este necesar ca statul să asigure protecţia datelor cu caracter personal, de natură medicală, cuprinse în acesta.
Cu alte cuvinte, Curtea reţine că, atât timp cât informaţiile medicale anterioare nu sunt confidenţiale şi nu se rezumă strict la relaţia dintre pacient şi medicul care l-a consultat anterior, ci pot fi accesate liber, fără consimţământul pacientului, de alţi doctori, prevederile din legea 95/2006 sunt neconstituţionale.
CCR a motivat că informaţiile medicale din dosarul electronic de sănătate reprezintă date personale şi procesarea acestora ţine de viaţa privată a individului. În susţinerea acestei motivări, magistraţii constituţionali citează jurisprudenţa Curţii Europene a Drepturilor Omului în care se menţionează că orice informaţie de natură medicală intră în categoria datelor cu caracter personal şi prin care se arată că obiectul art. 8 din Convenţia Europeană a Drepturilor Omului este acela de a proteja individul de ingerinţa arbitrară a autorităţilor publice.
Garantarea securităţii datelor medicale împotriva accesului neautorizat reprezintă, în termenii Convenţiei, obligaţia pozitivă a statului de a apăra respectarea vieţii private a pacientului, prin intermediul unui sistem de reguli şi garanţii de protecţie a datelor.
Protecţia datelor personale, în special a celor medicale, are o importanţă fundamentală pentru ca persoana să se bucure de dreptul său la respectarea vieţii de familie şi private, garantat de art. 8 din Convenţie.
• Datele din dosar sunt informaţii personale
Conform CCR, legislaţia internă trebuie să prevadă garanţii adecvate pentru a preveni orice comunicare sau divulgare de date cu caracter personal referitoare la sănătate, care nu sunt în conformitate cu garanţiile prevăzute de articolul 8 din Convenţia Europeană a Drepturilor Omului.
Magistraţii constituţionali consideră că "dezvăluirea datelor medicale poate afecta în mod serios viaţa familială şi privată a persoanei, precum şi situaţia socială şi de muncă a acesteia, prin expunerea ei la oprobriul public şi la riscul ostracizării".
În privinţa actului normativ contestat, Curtea constată că instituirea dosarului electronic de sănătate s-a realizat prin lege, fără ca aceasta să prevadă datele pe care dosarul urmează să le cuprindă. Dar în art. 1 al normelor metodologice adoptate prin HG 34/2015 se arată că dosarul electronic de sănătate conţine şi date şi informaţii clinice, biologice, diagnostice şi terapeutice, personalizate, acumulate pe tot parcursul vieţii pacienţilor, aceştia fiind şi proprietarii de drept ale acestor informaţii/date.
CCR susţine: "În consecinţă, întrucât legea nu prevede obiectul dosarului electronic de sănătate, numai din coroborarea textului legal cu cel al normelor metodologice, în interpretarea normei, se poate ajunge la concluzia că dosarul electronic de sănătate cuprinde date personale de natură medicală".
Magistraţii arată că datele introduse în acest dosar electronic intră în sfera de protecţie a dispoziţiilor art. 26 din Constituţie, întrucât sunt date medicale, care, la rândul lor, reprezintă date cu caracter personal, definite ca "orice informaţii privind o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale".
În legătură cu acest aspect, CCR constată că legea tace, neprevăzând nicio măsură care să poată fi calificată drept garanţie a dreptului la viaţă intimă, familială sau privată. Prin urmare, statul nu a acordat nicio atenţie acestor garanţii, ele fiind, aşadar, ignorate în corpul legii.
• Consimţământul pacientului, mai presus de orice
Reglementarea dosarului electronic de sănătate apare, astfel, ca fiind o intruziune a statului în viaţa intimă, familială şi privată a persoanei. Chiar dacă reprezintă un mijloc prin intermediul căruia statul îşi îndeplineşte obligaţia constituţională de a ocroti sănătatea individului, intervenţia etatică apare ca fiind una ordonatoare, imperativă pentru persoană, în sensul stocării datelor medicale ale persoanei pe o anumită platformă electronică, fără ca aceasta să se poată împotrivi în vreun fel.
În concluzie, Curtea arată că revine Parlamentului obligaţia de a reglementa garanţiile asociate dreptului la viaţă intimă, familială şi privată. În centrul acestor garanţii legale trebuie să se regăsească consimţământul pacientului. Legiuitorul are drept obligaţie constituţională, prin prisma art. 26, să nu condiţioneze actul medical în sine, de efectuarea înscrierilor în dosarul electronic de sănătate, neexistând un raport de corespondenţă directă între acestea. De asemenea, consimţământul trebuie să fie unul liber, ce nu poate fi stimulat prin oferirea unor posibile avantaje medicale sau de altă natură (economice), pentru că, în acest caz, s-ar ajunge la vicierea indirectă a acestuia. Garanţiile asociate protecţiei acestor date trebuie să aibă un standard înalt de apărare a confidenţialităţii datelor medicale ale pacientului. De asemenea, legea trebuie să prevadă, în mod expres, atât natura răspunderii, cât şi sancţiunile - care în sine trebuie să fie corespondente ca intensitate standardului înalt de protecţie a datelor medicale - aplicabile persoanelor implicate în gestionarea dosarului electronic de sănătate, în cazul încălcării obligaţiilor şi garanţiilor ce urmează a fi reglementate prin actul normativ.