GDPR: Τι αλλάζει για τη φαρμακοβιομηχανία

Της Δήμητρας Λεμπέση, νομικής συμβούλου του Συνδέσμου Φαρμακευτικών Επιχειρήσεων Ελλάδος (ΣΦΕΕ)

Ο ευρωπαϊκός κανονισμός, που θα ισχύσει ομοιόμορφα σε όλα τα κράτη-μέλη της ΕΕ, με τις όποιες εθνικές αποκλίσεις νομοθετηθούν, και η σημασία του για τις φαρμακευτικές επιχειρήσεις

Στις 25 Μαΐου 2018 τίθεται σε εφαρμογή ο νέος Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων. Ως ευρωπαϊκός κανονισμός, θα ισχύσει ομοιόμορφα σε όλα τα κράτη-μέλη της Ευρωπαϊκής Ένωσης, ενώ παρουσιάζει ενδιαφέρον και για τις χώρες-μέλη του ΕΟΧ[1]. Ωστόσο, θα υπάρξουν και εθνικές αποκλίσεις, οι οποίες αναμένονται σε σχέδιο νόμου που τελεί υπό ψήφιση[2] και θα καταργήσει τον ισχύοντα ώς σήμερα ελληνικό νόμο (Ν. 2472/1997).

Από πλευράς διάταξης της ύλης, αποτελείται από 99 άρθρα συγκεντρωμένα σε 11 κεφάλαια και ρυθμίζει ζητήματα διακυβέρνησης, επεξεργασίας και προστασίας των προσωπικών δεδομένων, αλλά και ελεύθερης κυκλοφορίας αυτών εντός των χωρών της ΕΕ, στο πλαίσιο εξέλιξης και ωρίμανσης της εσωτερικής αγοράς. Ενδιαφέρουν παρουσιάζουν και οι 173 αιτιολογικές του σκέψεις, οι οποίες δίνουν απαντήσεις σε πολλά ερμηνευτικά προβλήματα.

Το εγχείρημα της υιοθέτησης του Κανονισμού ήταν εξαιρετικά δύσκολο, καθόσον χρειάστηκαν τέσσερα χρόνια διαβουλεύσεων με τους φορείς σε ευρωπαϊκό επίπεδο, τρεις χιλιάδες τροπολογίες και δύο χρόνια προπαρασκευής, κι ενώ ψηφίστηκε τελικά στις 25.5.2016 θα ισχύσει από τις 25.5.2018[3]. Η πρώτη απόπειρα της τότε Ευρωπαϊκής Οικονομικής Κοινότητας να ρυθμίσει το δίκαιο των προσωπικών δεδομένων έγινε με την Οδηγία 95/46, η οποία λειτούργησε καλά για περισσότερο από 20 χρόνια και θεωρείται γενικά επιτυχημένο νομοθέτημα. Ο Έλληνας νομοθέτης μετέφερε στην ελληνική έννομη τάξη την Οδηγία 95/46 με τον Ν. 2472/1997. Ο λόγος που υπογραμμίζεται η δυσκολία του εγχειρήματος είναι για να αντιληφθεί ο αναγνώστης τη μεγάλη δυσχέρεια ομοιόμορφης προστασίας ατομικών δικαιωμάτων εντός της Ένωσης, δεδομένου του ότι συνδέονται στενά με τις συνταγματικές αντιλήψεις, τα έθιμα και τα όρια εξουσίας κάθε κράτους-μέλους.

Η νομοθετική αλλαγή όμως ήταν επιβεβλημένη, κυρίως λόγω της τεράστιας αξίας των δεδομένων στη σύγχρονη ζωή,[4] που αποκτήθηκε με τα χρόνια που μεσολάβησαν από τη θέσπιση της Οδηγίας 95/46. Η τεχνολογική εξέλιξη έχει επιφέρει γενικευμένη χρήση ηλεκτρονικών συσκευών, μεγάλη έκθεση των υποκειμένων σε δεδομένα και κινδύνους διάχυσης αυτών και δυσκολία προστασίας με τα υπάρχοντα εργαλεία. Φαινόταν από καιρό ότι το δίκαιο έπρεπε να επικαιροποιηθεί και να παρακολουθήσει τις τεχνολογικές εξελίξεις που άφηναν το άτομο απροστάτευτο. Από την άλλη πλευρά, το παγκοσμιοποιημένο οικονομικό μοντέλο συνεπάγεται διασυνοριακές ροές δεδομένων χωρίς κανέναν έλεγχο. Έπρεπε, επομένως, να επιλεγεί νομοθετικό εργαλείο υπεράνω συνόρων. Εξ ου και η επιλογή του Κανονισμού.

Άλλωστε, η ελεύθερη κυκλοφορία των δεδομένων εντός της Ένωσης είναι συνυφασμένη με τη χωρίς περιορισμούς λειτουργία της εσωτερικής αγοράς ως καταστατικού σκοπού της Ένωσης. Τέλος, οι εθνικές αρχές προστασίας των προσωπικών δεδομένων δεν διέθεταν τις ανθρώπινες δυνάμεις να διαχειριστούν τον όγκο των αδειών και των γνωστοποιήσεων διαχείρισης προσωπικών δεδομένων. Αρκεί να αναλογιστεί κανείς τα προσωπικά δεδομένα, και μάλιστα τα «ευαίσθητα», που διαχειρίζεται μια ασφαλιστική εταιρεία για να αντιληφθεί το μέγεθος των πόρων που απαιτούνται. Κατά συνέπεια, έπρεπε να αλλάξει το μοντέλο διακυβέρνησης των δεδομένων και να μεταφερθεί μέσα στο εταιρικό περιβάλλον, στη λογική της πρόληψης και λογοδοσίας.

Με νομοθετικό έρεισμα, το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων του Ανθρώπου, η βάση σύννομης επεξεργασίας των προσωπικών δεδομένων είναι η συγκατάθεση του υποκειμένου, η σύμβαση και ο νόμος. Αυτό είναι γνωστό και με το ισχύον καθεστώς. Τι αλλάζει όμως με τον νέο Κανονισμό;

Καταρχάς, ο σκοπός του Κανονισμού είναι ευρύτερος, καθόσον προβλέπεται ρητά και η διευκόλυνση της ελεύθερης κυκλοφορίας των δεδομένων εντός της Ένωσης. Επεκτείνεται ο ορισμός των προσωπικών δεδομένων με τα δεδομένα θέσης και τα επιγραμματικά αναγνωριστικά ταυτότητας[5] προκειμένου να καλυφθούν οι νέες τεχνολογίες personal-online identifiers, device identifiers, cookie IDS & IP addresses, καθώς και με τα γενετικά (DNA) και τα βιομετρικά δεδομένα (δακτυλικά αποτυπώματα).

Από τις μεγαλύτερες αλλαγές που θεσμοθετεί ο Κανονισμός είναι η αρχή της λογοδοσίας ως γενική αρχή επεξεργασίας. Θα πρέπει τόσο ο υπεύθυνος επεξεργασίας όσο και ο εκτελών την επεξεργασία να είναι σε θέση κάθε στιγμή να αποδείξουν τη συμμόρφωσή τους. Έτσι η αρχή της λογοδοσίας ανάγεται σε αρχή-«ομπρέλα», που διέπει όλα τα στάδια επεξεργασίας των δεδομένων. Η αρχή δεν θα ελέγχει πλέον προληπτικά, αλλά κατασταλτικά, δειγματοληπτικά και επ’ απειλή βαρύτερων προστίμων, που μπορεί να φθάσουν μέχρι 10.000.000 ευρώ ή σε περίπτωση επιχειρήσεων έως 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών και 20.000.000 ευρώ ή σε περίπτωση επιχειρήσεων έως 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών. Θα πρέπει να τηρείται αρχείο καταγραφής των δραστηριοτήτων.

Θεσμοθετείται ειδική υποχρέωση ενημέρωσης της αρχής εντός 72 ωρών από τη διαπίστωση της παραβίασης. Θεσμοθετείται η υποχρέωση πρόσληψης υπευθύνου προστασίας δεδομένων (DPO) σε κατηγορίες επιχειρήσεων που προβαίνουν σε μεγάλης κλίμακας επεξεργασία δεδομένων, παράλληλα με κατάλληλα οργανωτικά μέτρια ασφαλείας από τον σχεδιασμό και εξ ορισμού (by design και by default), όπως τεχνικές ψευδωνυμοποίησης, κρυπτογράφησης και ανωνυμοποίησης.

Οι προϋποθέσεις συγκατάθεσης των υποκειμένων των δεδομένων αυστηροποιούνται, ενώ προβλέπονται και ειδικές προστατευτικές διατάξεις για τους ανηλίκους. Η επεξεργασία «ειδικών κατηγοριών δεδομένων» –άλλοτε ευαίσθητων– κατ’ αρχήν απαγορεύεται και επιτρέπεται μόνο κατ’ εξαίρεση και υπό συγκεκριμένες προϋποθέσεις, φαίνεται όμως, ειδικά για τα δεδομένα υγείας, ο Κανονισμός να θέλει να άρει ενδοενωσιακά εμπόδια επεξεργασίας και διαβίβασης. Ενδυναμώνονται τα δικαιώματα πρόσβασης του υποκειμένου στα δεδομένα του, διατυπώνεται ρητά το δικαίωμα στη λήθη και στη φορητότητα, το άτομο είναι πλέον πιο δυνατό έναντι της κατάρτισης προφίλ, ιδίως στην περίπτωση της εμπορικής προώθησης καθώς και έναντι της αυτοματοποιημένης λήψης απόφασης.

Η κατάργηση των γνωστοποιήσεων επεξεργασίας στην ΑΧΠΔΠΧ σε συνδυασμό με τον περιορισμό της υποχρέωσης αδειοδότησης περιορίζουν τον διοικητικό φόρτο στις αρχές, ανάγουν όμως τις έννοιες του κινδύνου και της πρόληψης, με λήψη κατάλληλων μέτρων ασφαλείας, σε κυρίαρχες αρχές. Οι ως άνω υποχρεώσεις γνωστοποίησης και άδειας αντικαθίστανται εν μέρει από την υποχρέωση εκτίμησης αντικτύπου (Privacy Impact Assesment) και διαβούλευσης με την αρχή. Καθοριστικό ρόλο διαδραματίζουν πλέον και οι κώδικες δεοντολογίας και οι μηχανισμοί πιστοποίησης που θεσμοθετεί ο Κανονισμός.

Ειδικά, η φαρμακοβιομηχανία, πέραν των δεδομένων πελατών, προμηθευτών και εργαζομένων που διαχειρίζεται, όπως όλες οι επιχειρήσεις, διαχειρίζεται και ειδικές κατηγορίες δεδομένων, που έχουν να κάνουν με κλινικές μελέτες, ηλεκτρονικά ιατρικά ιστορικά, μητρώα, συνταγογραφικά δεδομένα, δεδομένα φαρμακοεπαγρύπνησης, ενώ προχωρώντας ολοταχώς και σε νέες τεχνολογίες, όπως health apps, smart pills & devices, biomarkers, home monitoring κ.ο.κ., μπορεί να βρεθεί εκτεθειμένη σε σοβαρούς κινδύνους εάν δεν λάβει έγκαιρα τα κατάλληλα μέτρα ασφαλείας από τον σχεδιασμό και εξ ορισμού.

Με δεδομένο το ότι η προστασία της ιδιωτικότητας αποτελεί καθοριστικό τμήμα της κλινικής έρευνας, απαιτείται εξοικείωση με τις διατάξεις του νέου Κανονισμού (εκπαίδευση προσωπικού και στελεχών), καταγραφή κάθε δραστηριότητας επεξεργασίας (data mapping), διορισμός υπευθύνου επεξεργασίας (DPO), προσεκτική διατύπωση των κειμένων συγκατάθεσης. Επιπλέον, τα δικαιώματα των υποκειμένων επιβάλλουν προσεκτική επανεξέταση των πολιτικών της εταιρείας για τη διαχείριση των δεδομένων και ενδεχομένως τροποποίησή τους. Απαιτείται επανέλεγχος των συμβάσεων με εκτελούντες την επεξεργασία που δεν είναι υπάλληλοι της εταιρείας (π.χ. CROs), ανάπτυξη μηχανισμών άμεσης γνωστοποίησης των παραβιάσεων, αναβάθμιση των τεχνολογικών τους υποδομών για πρόληψη από κίνδυνο υποκλοπών και διαρροών, εντοπισμό των δραστηριοτήτων υψηλού κινδύνου και διεξαγωγή εκτίμησης αντικτύπου, ένταξη των δαπανών συμμόρφωσης στον ετήσιο προϋπολογισμό και συνεργασία με την αρχή, συμβουλευτικά και προληπτικά.

Συμπερασματικά, ο γενικός κανονισμός θεσμοθετεί πανευρωπαϊκά μια νέα λογική στη διακυβέρνηση των προσωπικών δεδομένων. Δίνεται έμφαση στην πρόληψη, τη λογοδοσία και την αρχή της αναλογικότητας, ενώ ενισχύεται ο αμιγής εποπτικός ρόλος των αρχών, καθόσον μεγάλο μέρος της εφαρμογής και συμμόρφωσης με τον Κανονισμό ανατίθεται πλέον στους υπεύθυνους και εκτελούντες την επεξεργασία.

Who is Who

Η Δήμητρα Λεμπέση είναι νομική σύμβουλος του ΣΦΕΕ και μέλος ομάδων εργασίας της Efpia. Έχει διατελέσει νομική σύμβουλος εισηγμένης στο ΧΑ εταιρείας τροφίμων και ομίλου συμμετοχών και ακινήτων. Υπήρξε δικηγόρος-συνεργάτης της δικηγορικής εταιρείας «Κ.Φ. Καλαβρός και Συνεργάτες», ενώ έχει εργαστεί και στην Ευρωπαϊκή Επιτροπή.

Είναι απόφοιτη της Νομικής Σχολής του ΕΚΠΑ και διετέλεσε μέρος των σπουδών της στο πανεπιστήμιο Paris X, Nanterre της Γαλλίας. Είναι επίσης κάτοχος ΜΔΕ στο «Ευρωπαϊκό Δίκαιο & Ανθρώπινα Δικαιώματα» από το πανεπιστήμιο Έσσεξ της Αγγλίας και στο Αστικό Δίκαιο από τη Νομική Αθηνών, ενώ είναι και υποψήφια διδάκτωρ αστικού δικαίου (ΕΚΠΑ).

Ως μέλος του ΔΣΑ, η κυρία Λεμπέση έχει ασχοληθεί ιδιαίτερα με τα φάρμακα και τα τρόφιμα και εν γένει με τις εποπτευμένες οικονομικές δραστηριότητες.

[1] Ευρωπαϊκού Οικονομικού Χώρου, Ελβετία, Λιχτενστάϊν, Νορβηγία, Ισλανδία.

[2] Ολοκληρώθηκε η διαβούλευση 10 Μαρτίου 2018.

[3] Βλ. infographic www.dpa.gr

[4] Το 2016 η Microsoft  απέκτησε το διαδικτυακό επαγγελματικό δίκτυο Linkedin προς 26,2 δις δολάρια.

[5] Σε συνέχεια της απόφασης του ΔΕΕ Patrick Breyer vs. Germany (C‑582/14 Breyer v Bundesrepublik Deutschland).

Πηγή: Ph.B