Η ραγδαία ψηφιοποίηση του τομέα της υγείας, ιδιαίτερα μετά την πανδημία, έχει μεταβάλει ριζικά τον τρόπο με τον οποίο τα νοσοκομεία, οι γιατροί και οι ασθενείς ανταλλάσσουν, επεξεργάζονται και αποθηκεύουν πληροφορίες. Η ευκολία πρόσβασης στα δεδομένα και η χρήση ηλεκτρονικών φακέλων υγείας ενισχύουν την αποτελεσματικότητα της περίθαλψης, ταυτόχρονα όμως αυξάνουν τον κίνδυνο παραβίασης της ιδιωτικότητας. Σε αυτό το πλαίσιο, ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), σε συνδυασμό με τον ελληνικό Ν. 4624/2019, συνιστά το βασικό νομικό πλαίσιο που καθορίζει τις προϋποθέσεις επεξεργασίας δεδομένων υγείας και τις υποχρεώσεις των φορέων του Εθνικού Συστήματος Υγείας.

            Τα δεδομένα υγείας θεωρούνται «ειδικής κατηγορίας προσωπικά δεδομένα» κατά το άρθρο 9 του GDPR, καθώς αφορούν πληροφορίες για τη σωματική ή ψυχική κατάσταση ενός προσώπου. Η ιατρική διάγνωση, τα αποτελέσματα εξετάσεων, τα στοιχεία νοσηλείας και κάθε πληροφορία που αποκαλύπτει την κατάσταση υγείας ενός ατόμου υπόκεινται σε αυστηρό καθεστώς προστασίας. Ο Κανονισμός επιτρέπει την επεξεργασία αυτών των δεδομένων μόνο εφόσον συντρέχουν εξαιρετικοί λόγοι δημοσίου συμφέροντος στον τομέα της υγείας, σκοποί ιατρικής διάγνωσης ή ρητή συγκατάθεση του υποκειμένου των δεδομένων.

            Η Ελλάδα ενσωμάτωσε σταδιακά το ευρωπαϊκό πλαίσιο προστασίας δεδομένων, ξεκινώντας με τον Ν. 2472/1997 και καταλήγοντας στον Ν. 4624/2019, που προσαρμόζει πλήρως το ελληνικό δίκαιο στις διατάξεις του GDPR. Ο Κανονισμός εισήγαγε νέα θεμελιώδη δικαιώματα για τους πολίτες, όπως τη δυνατότητα πρόσβασης, διόρθωσης, διαγραφής και φορητότητας των δεδομένων, καθώς και την υποχρέωση των οργανισμών να διασφαλίζουν τη νομιμότητα και ασφάλεια κάθε επεξεργασίας. Τα νοσοκομεία και οι ιδιωτικοί πάροχοι υγείας οφείλουν να διορίζουν Υπεύθυνο Προστασίας Δεδομένων (DPO), να ενημερώνουν την εποπτική αρχή για κάθε παραβίαση ασφάλειας και να λαμβάνουν τεχνικά και οργανωτικά μέτρα όπως κρυπτογράφηση, περιορισμό πρόσβασης και εκπαίδευση προσωπικού.

            Παρά τις νομοθετικές προβλέψεις, η εφαρμογή του GDPR στα ελληνικά νοσοκομεία παραμένει ανομοιογενής. Ενώ ορισμένα ιδρύματα έχουν προσαρμοστεί επαρκώς, άλλα υπολείπονται σημαντικά λόγω γραφειοκρατίας, έλλειψης εξειδικευμένων στελεχών και περιορισμένων πόρων. Συχνά ο Υπεύθυνος Προστασίας Δεδομένων είναι τυπικά διορισμένος χωρίς επαρκή εκπαίδευση, ενώ οι διαδικασίες διαχείρισης των αρχείων, των συστημάτων πρόσβασης και της αποθήκευσης δεδομένων ασθενών παραμένουν ανεπαρκείς. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει επανειλημμένα τονίσει ότι η προστασία των δεδομένων δεν είναι απλώς τεχνικό ζήτημα, αλλά θεσμική υποχρέωση που απαιτεί κουλτούρα συμμόρφωσης, διαφάνειας και σεβασμού του ασθενούς.

            Η συγκατάθεση του ασθενούς αποτελεί τον ακρογωνιαίο λίθο του κανονιστικού πλαισίου. Ο πολίτης έχει δικαίωμα να γνωρίζει ποια δεδομένα συλλέγονται, για ποιο σκοπό και για πόσο χρόνο θα διατηρηθούν. Πρέπει επίσης να έχει τη δυνατότητα να ανακαλεί τη συγκατάθεσή του χωρίς κυρώσεις. Στην πράξη, τα έντυπα συγκατάθεσης που χρησιμοποιούνται σε πολλά δημόσια νοσοκομεία παραμένουν ασαφή και ελλιπή, γεγονός που καθιστά δυσχερή τη συμμόρφωση με την αρχή της διαφάνειας του άρθρου 5 του Κανονισμού. Η ενημέρωση των ασθενών πρέπει να είναι γραπτή, σαφής και κατανοητή, χωρίς τεχνικούς όρους που αποπροσανατολίζουν.

            Η πανδημία COVID-19 ανέδειξε τα όρια της ιδιωτικότητας σε καταστάσεις έκτακτης ανάγκης. Η ανάγκη συλλογής και επεξεργασίας δεδομένων για λόγους δημόσιας υγείας, όπως το ψηφιακό πιστοποιητικό εμβολιασμού ή τα μητρώα νοσούντων, έθεσε στο προσκήνιο το δύσκολο ερώτημα: μέχρι ποιο σημείο μπορεί να περιοριστεί η ιδιωτικότητα χάριν του συλλογικού συμφέροντος; Ο GDPR παρέχει ευελιξία επιτρέποντας την επεξεργασία δεδομένων υγείας για λόγους δημοσίου συμφέροντος, εφόσον τηρείται η αρχή της αναλογικότητας και εξασφαλίζεται ότι τα δεδομένα δεν διατηρούνται πέραν του αναγκαίου χρόνου.

            Η εμπειρία αυτή απέδειξε ότι η προστασία δεδομένων και η δημόσια υγεία δεν είναι αντικρουόμενοι στόχοι. Η νομιμότητα της επεξεργασίας μπορεί να συνυπάρξει με την αποτελεσματικότητα της ιατρικής φροντίδας, εφόσον τα νοσοκομεία επενδύσουν στην κυβερνοασφάλεια, στην εκπαίδευση του προσωπικού και σε μηχανισμούς λογοδοσίας. Η συμμόρφωση με τον GDPR δεν είναι απλώς νομική υποχρέωση, αλλά δείκτης αξιοπιστίας και σεβασμού προς τον ασθενή.

            Στο μέλλον, η μετάβαση σε πλήρως ψηφιακές υποδομές υγείας, όπως ο ηλεκτρονικός φάκελος ασθενούς, η τηλεϊατρική και τα big data στην ιατρική έρευνα, θα εντείνει την ανάγκη για αποτελεσματικότερη εποπτεία. Οι αρχές πρέπει να διασφαλίσουν ότι η καινοτομία δεν οδηγεί σε απώλεια εμπιστοσύνης. Η πραγματική προστασία δεν έγκειται στην αποφυγή της τεχνολογίας, αλλά στη ρύθμισή της με κανόνες διαφάνειας, αναλογικότητας και σεβασμού της ανθρώπινης αξιοπρέπειας.

            Η ισορροπία μεταξύ του δικαιώματος στην υγεία και του δικαιώματος στην ιδιωτικότητα συνιστά τη νέα πρόκληση για το δίκαιο της υγείας. Στο επίκεντρο αυτής της ισορροπίας βρίσκεται ο άνθρωπος, ως ασθενής, πολίτης και φορέας δικαιωμάτων, του οποίου τα δεδομένα πρέπει να αντιμετωπίζονται όχι ως πληροφορίες, αλλά ως στοιχείο της προσωπικότητάς του.

Leave a Reply

Your email address will not be published. Required fields are marked *