Ανάλυση τώρα – Κορονοϊός: Τι συμβαίνει με τα προσωπικά δεδομένα των ασθενών

Εδώ και μέρες, είμαστε θεατές μίας διαδικασίας προστασίας της δημόσιας υγείας, μέσω προληπτικών μέτρων, σε σχέση με τον νέο κορονοϊό, γνωστό και ως COVID-19.

Στα πλαίσια της ενημέρωσης και πληροφόρησης του κοινού για τα ευρήματα και τα κρούσματα, βρισκόμαστε αντιμέτωποι με πληροφορίες που «φωτογραφίζουν» τους φορείς των κρουσμάτων. Η διάχυση των πληροφοριών γίνεται μέσω του έντυπου και ηλεκτρονικού τύπου, μέσω των μέσων κοινωνικής δικτύωσης και των ανακοινώσεων των επίσημων φορέων.

Ενώ μέχρι στιγμής δε γίνεται ευθέως αναφορά σε ονόματα, παρ’ όλα αυτά, η ταυτοποίηση του φυσικού προσώπου που παρακολουθείται είναι σχετικά εύκολη, ιδίως εάν γνωρίζει ένα κοινωνικός κύκλος ανθρώπων, το ίδιο το φυσικό πρόσωπο (το «υποκείμενο δεδομένων», σύμφωνα με τον GDPR).

Έτσι, γνωρίζουμε τον τόπο εργασίας και την επαγγελματική ιδιότητα του προσώπου που παρακολουθείται ιατρικά, την ηλικία, την ιδιότητα και το επάγγελμα του/της συζύγου, το σχολείο όπου φοιτούν τα παιδιά τους, το ταξιδιωτικό ιστορικό τους, την ακριβή τοποθεσία όλης της οικογένειας ανά πάσα στιγμή, τον τρόπο και το ιστορικό της νοσηλείας, ενώ, ενδεχομένως στο μέλλον πληροφορηθούμε και για το ιατρικό ιστορικό, τις περαιτέρω κοινωνικές επαφές και δραστηριότητες όλης της οικογένειας, την αποθεραπεία τους. Φυσικά, από τις πληροφορίες που ήδη δίδονται, μπορούμε να αντλήσουμε και άλλες πληροφορίες, όπως η διεύθυνση της οικογένειας, τα τηλέφωνα τους, η πινακίδα των αυτοκίνητων τους, τα πρόσωπα τους σε φωτογραφίες κλπ.

Να σημειώσω επίσης, ότι ακόμη και μεγαλύτερες πληθυσμιακές ομάδες, όπως «το γκρουπ 100 μαθητών από το σχολείο τάδε που ταξίδεψε στο τάδε μέρος από τότε μέχρι τότε», είναι ταυτοποιήσιμες, μιας και τα πρόσωπα είναι απολύτως συγκεκριμένα και ορισμένα μέσα σε ένα γνωστό σύνολο, και ως πρόσωπα ξεχωριστά, αλλά και ως «γκρουπ».

Στην ουσία, λοιπόν, δεν υπάρχει καμία προστασία των προσωπικών δεδομένων, σε αυτές τις περιπτώσεις, καθώς είναι σαφές ότι μπορεί να ταυτοποιηθεί το πρόσωπο με πολλαπλούς τρόπους, ακόμα και εάν δε γνωρίζουμε το ονοματεπώνυμό του.

Είναι θεμιτός αυτός ο τρόπος επεξεργασίας των προσωπικών δεδομένων των παραπάνω φυσικών προσώπων;

Με την πρώτη ματιά, θα μπορούσε κανείς να πει «όχι». Εκτίθεται το πρόσωπο που νοσεί και οι οικείοι του σε μία άνευ προηγουμένου δημοσιότητα και, μάλιστα, χωρίς να έχει δώσει τη συναίνεση του, ενδεχομένως ούτε και να το γνωρίζει.

Επίσης, έχουμε να κάνουμε, πρωτίστως, με δεδομένα υγείας, τα οποία ανήκουν στις ειδικές κατηγορίες, αλλά και απλά, όπως ηλικία, οικογενειακή κατάσταση, εκπαίδευση, επάγγελμα. Το άρθρο 9 παρ. 1 του GDPR, αναφέρει ξεκάθαρα ότι

«Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν….. δεδομένων που αφορούν την υγεία…»

Ως δεδομένα υγείας, θεωρούνται, σύμφωνα με την αιτιολογική σκέψη 35 του GDPR, όλα τα δεδομένα που αφορούν:

-την κατάσταση της υγείας του υποκειμένου των δεδομένων και τα οποία αποκαλύπτουν πληροφορίες για την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της σωματικής ή ψυχικής υγείας του υποκειμένου των δεδομένων.

-έναν αριθμό, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας που αποδίδεται σε φυσικό πρόσωπο με σκοπό την πλήρη ταυτοποίηση του φυσικού προσώπου για σκοπούς υγείας·

-πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, μεταξύ άλλων από γενετικά δεδομένα και βιολογικά δείγματα και κάθε πληροφορία, παραδείγματος χάριν, σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή τη φυσιολογική ή βιοϊατρική κατάσταση του υποκειμένου των δεδομένων, ανεξαρτήτως πηγής, παραδείγματος χάριν, από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.

Πώς όμως θα προστατευθεί η δημόσια υγεία από ανθρώπους που νοσούν και έχουν έρθει σε επαφή με ανθρώπους και κτίρια, που είναι δυνατό να προκαλέσουν ντόμινο μετάδοσης ενός ιού;

Εδώ ο GDPR εισάγει μία, μεταξύ άλλων εξαίρεση στην απαγόρευση δεδομένων υγείας. Συγκεκριμένα, στην παρ. 2 του άρθρου 9 αναφέρει ότι η απαγόρευση δε εφαρμόζεται, μεταξύ άλλων και όταν «θ) η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου».

Με λίγα λόγια, εάν έχω έρθει ή τηρώ συχνή κοινωνική επαφή με άτομο που έχει νοσήσει, δικαιούμαι να το γνωρίζω και η πολιτεία έχει υποχρέωση να διαφυλάξει, όχι μόνο εμένα, αλλά το σύνολο της δημόσιας υγείας και των πολιτών, εφόσον βέβαια υπάρχει απειλή συγκεκριμένη και διαπιστωμένη για τη δημόσια υγεία και το σύνολο του πληθυσμού και εφόσον δεν υπάρχει ή έχουν εξαντληθεί όλα τα άλλα μέσα προστασίας μας.

Φυσικά, όπως σε κάθε επεξεργασία προσωπικών δεδομένων, έτσι και εδώ, πρέπει να τηρείται η «αρχή της ελαχιστοποίησης».

Δηλαδή, πρέπει να δίδονται στη δημοσιότητα μόνο οι απολύτως απαραίτητες και αναγκαίες πληροφορίες που απαιτούνται για να προστατευθεί μέρος ή ολόκληρος ο πληθυσμός και όχι άσκοπες πληροφορίες ιδιωτικού χαρακτήρα, όπως πχ., εάν πάσχει από άλλη νόσο ο ασθενής, εάν έχει καλές σχέσεις με τον/τη σύζυγο, εάν είχε παραθερίσει σε συγκεκριμένο θέρετρο το καλοκαίρι και όλες οι άλλες πληροφορίες που δεν εξυπηρετούν το σκοπό της προφύλαξης και της προστασίας των πολιτών από τη συγκεκριμένη νόσο.

Σε κάθε περίπτωση, για κάθε επεξεργασία, για κάθε πληροφορία που δίδεται προς δημοσίευση, ακόμη και εάν είναι απαραίτητη για την προστασία της δημόσιας υγείας, πρέπει να γίνεται ξεχωριστή στάθμιση κάθε φορά, μεταξύ των δικαιωμάτων και των ελευθεριών του φυσικού προσώπου που νοσεί, δηλαδή στο δικαίωμα προστασίας των προσωπικών δεδομένων του και της ανάγκης για προστασία της δημόσιας υγείας και/ή συγκεκριμένης μερίδας πολιτών.

Κάθε πληροφορία λοιπόν, που δίδεται στη δημοσιότητα πρέπει να σταθμίζεται, από πλευράς εξυπηρέτησης ενός και μόνο συγκεκριμένου σκοπού: της προστασίας της δημόσιας υγείας από κίνδυνο ή απειλή.

Όπως αναφέρεται, δε, και στην αιτιολογική σκέψη 50 του GDPR, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά.