GDPR και γενετικά δεδομένα

Άρθρο της Α.Μ.Ασημακοπούλου

 -  23:06

2622

Στις 6 Σεπτεμβρίου 2018 η Ελλάδα, δια του Υπουργείου Υγείας, προσυπέγραψε την Ευρωπαϊκή Διακήρυξη για τη διασυνοριακή πρόσβαση στη γονιδιωματική βάση δεδομένων, η οποία έχει ως στόχο να «οικοδομηθεί μια ερευνητική βάση με τουλάχιστον 1 εκατομμύριο γονιδιωματικές αλληλουχίες μέχρι το 2022». Λόγω της συμμετοχής της, η χώρα μας έχει δεσμευθεί να επιτρέπει την πρόσβαση στα γονιδιωματικά δεδομένα που βρίσκονται στις ελληνικές τράπεζες γενετικών δεδομένων και να μοιράζεται τα σχετικά ερευνητικά αποτελέσματα με τα άλλα συμμετέχοντα κράτη μέλη.

Αυτή η Ευρωπαϊκή πρωτοβουλία, που φιλοδοξεί να μεγιστοποιήσει τα οφέλη της γονιδιακής έρευνας και των εφαρμογών αυτής στην ιατρική, συνοδεύτηκε από τη διαβεβαίωση, ότι δε θα παρεμποδίσει τα δικαιώματα και τις υποχρεώσεις που προβλέπει ο Γενικός Κανονισμός για την Προστασία Δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ).

Πράγματι, η αποθήκευση και επεξεργασία των γενετικών δεδομένων συνεπάγεται σοβαρούς κινδύνους για την προστασία της ιδιωτικής ζωής. Τα δεδομένα αυτά περιέχουν πληροφορίες σχετικά με την υγεία των προσώπων στα οποία αναφέρονται και των συγγενών τους. Ταυτοποιούν, σχεδόν πάντα τον φορέα τους, ιδίως όταν συνδέονται με πληροφορίες από διαφορετικά σύνολα δεδομένων. Από την άλλη πλευρά, η διάδοση των γενετικών δεδομένων για ερευνητικούς σκοπούς μπορεί να ενισχύσει την εξατομικευμένη ιατρική, να παράγει καινοτόμες ιατρικές θεραπείες και να εξυπηρετήσει έτσι το δημόσιο συμφέρον. Επομένως, δυο ξεχωριστά έννομα αγαθά συγκρούονται εν προκειμένω, αφενός τα ατομικά δικαιώματα των υποκειμένων των γενετικών δεδομένων και αφετέρου το δικαίωμα της κοινωνίας να απολαμβάνει τα οφέλη από την έρευνα των δεδομένων αυτών. Ο ΓΚΠΔ αποσκοπεί ακριβώς να επιτύχει μια καλή ισορροπία μεταξύ αυτών των δύο αντικρουόμενων έννομων συμφερόντων.

Όμως, η προστασία που προσφέρει ο ΓΚΠΔ στο υποκείμενο των δεδομένων που τυγχάνουν επεξεργασίας για ερευνητικούς σκοπούς έχει πολλάκις σχολιαστεί ως μη ικανοποιητική, καθόσον ο ΓΚΠΔ, στην περίπτωση αυτή, προβλέπει αποκλίσεις από τις Γενικές Αρχές του αλλά και περιορισμούς στα δικαιώματα των υποκειμένων που ο ίδιος προβλέπει. Επιπλέον, συνεπεία της έλλειψης αρμοδιότητας σε ευρωπαϊκό επίπεδο για την εναρμόνιση των νομοθεσιών που αφορούν την επιστημονική έρευνα, εναποθέτει στα κράτη μέλη τη δυνατότητα να προβλέψουν στην εσωτερική τους νομοθεσία επιπλέον περιορισμούς σε κάποια δικαιώματα. Ως αντιστάθμισμα όμως στις παραπάνω παρεκκλίσεις που συνδέονται με την επεξεργασία προσωπικών δεδομένων, και μάλιστα «ευαίσθητων», για ερευνητικούς σκοπούς, ο ΓΚΠΔ παρέχει στα κράτη μέλη τη δυνατότητα να προβλέψουν τις προσήκουσες εγγυήσεις, που θα διασφαλίζουν την προστασία των υποκειμένων των δεδομένων (άρθρο 89 παραγραφος 1). Δίνει δηλαδή στο κάθε κράτος μέλος τη δυνατότητα να προβλέψει την κατάλληλη ισορροπία για την προστασία των δεδομένων των πολιτών του.

Τι γίνεται όμως στην περίπτωση που τα κράτη μέλη δεν έχουν θεσπίσει τέτοιες εγγυήσεις όπως άλλωστε συμβαίνει και στη χώρα μας; Δεδομένου ότι ο ΓΚΠΔ, ως Ευρωπαϊκός Κανονισμός, είναι άμεσα εφαρμοστέος, όλες οι παρεκκλίσεις που προκύπτουν απευθείας από το κείμενο του ΓΚΠΔ και τις οποίες θα δούμε παρακάτω, ισχύουν ακόμη και εάν το κράτος μέλος δεν έχει λάβει τις κατάλληλες διασφαλίσεις της παράγραφου 1 του άρθρου 89. Το πρόβλημα επιτείνεται, όταν κατάλληλες εγγυήσεις δεν προκύπτουν ούτε από άλλα ευρωπαϊκά νομοθετήματα. Η Κυβέρνηση ΣΥΡΙΖΑ συνεχίζει να καθυστερεί την υιοθέτηση του Εφαρμοστικού Νόμου του ΓΚΠΔ, ενώ ουδόλως έχει μεριμνήσει για την υιοθέτηση κατάλληλων εγγυήσεων με οποιονδήποτε τρόπο. Αρα οι Έλληνες πολίτες που έχουν συλλέξει και αποθηκεύσει τα γενετικά τους δεδομένα για οποιοδήποτε ιατρικό ή άλλο λόγο έχουν αφενός τους περιορισμούς στα δικαιώματα τους που προκύπτουν από τον ΓΚΠΔ, στερούνται όμως αφετέρου της «άμυνας» των κατάλληλων εγγήσεων, διότι το κράτος τους δεν τις υιοθέτησε! Κι αυτό, μολονότι η χώρα μας προχώρησε από τον Σεπτέμβριο του 2018 στην Ευρωπαϊκή Διακήρυξη για τη διασυνοριακή βάση δεδομένων αναλαμβάνοντας πρόσθετες υποχρεώσεις σχετικά με τη διάδοση των γονιδιωματικών δεδομένων των πολιτών.
Ας δούμε λίγο πιο αναλυτικά ορισμένες διατάξεις του ΓΚΠΔ που παρουσιάζουν ιδιαίτερο ενδιαφέρον καθόσον από τις ρυθμίσεις τους μπορεί να προκύψουν κίνδυνοι για τα υποκείμενα των δεδομένων:
Κατ’ αρχήν, πρέπει να διευκρινιστεί ότι ο ΓΚΠΔ θεωρεί (σωστά) τα γενετικά δεδομένα, τα δεδομένα υγείας κτλ «ευαίσθητα» δεδομένα, δηλαδή χρήζοντα ιδιαίτερης προστασίας, και προβλέπει ειδικη νομική βάση για την επεξεργασία των δεδομένων αυτών για ερευνητικούς σκοπούς, τη λεγόμενη «εξαίρεση» για την έρευνα [άρθρο 9(2)(ι)]. Μια τέτοια νομική βάση είναι απαραίτητη διότι σε αντίθετη περίπτωση τα ευαίσθητα δεδομένα δε θα μπορούσαν να τύχουν καμίας επεξεργασίας σύμφωνα με την πρώτη παράγραφο του άρθρου 9 ΓΚΠΔ, παρά μόνο με ρητή συγκατάθεση του υποκειμένου των δεδομένων και υπό προϋποθέσεις που καθιστούν τη συγκεκριμένη συγκατάθεση εξαιρετικά δυσχερή.

Προβλέπει όμως επίσης [άρθρο 5(1)(β)] ότι η περαιτέρω επεξεργασία, δηλαδή η δευτερογενής επεξεργασία των προσωπικών δεδομένων, για λόγους ερευνητικούς θεωρείται συμβατή με τους αρχικούς σκοπούς της επεξεργασίας. Επομένως, τα γενετικά δεδομένα που συλλέχθηκαν για οποιοδήποτε αρχικό σκοπό, πχ ιατρικό, μπορούν να τύχουν επεξεργασίας για λόγους ερευνητικούς χωρίς νέα συγκατάθεση του υποκειμένου δεδομένων. Αυτή η πρόβλεψη παρεκκλίνει σαφώς από τη Γενική Αρχή του ΓΚΠΔ σχετικά με τον «περιορισμό του σκοπού».

Επιπλέον προβλέπει [άρθρο 5(1)(ε)] ότι τα προσωπικά δεδομένα που χρησιμοποιούνται για ερευνητικούς σκοπούς μπορούν να αποθηκεύονται για «μεγαλύτερες περιόδους» από αυτές που απαιτεί ο σκοπός για τον οποίο συλλέχθηκαν παρεκκλίνοντας έτσι στην περίπτωση αυτή απο τη Γενική Αρχή σχετικά με τον «περιορισμό της περιόδου αποθήκευσης».
Το δικαίωμα εναντίωσης του υποκειμένου των δεδομένων, περιορίζεται όταν η επεξεργασία είναι απαραίτητη για λόγους δημοσίου συμφέροντος [άρθρο 21(6) ΓΚΠΔ]. Εξίσου περιορίζεται και το πολύ σημαντικό, νεοεισαχθέν με τον ΓΚΠΔ, δικαίωμα του υποκειμένου στη διαγραφή των προσωπικών του δεδομένων, εάν η άσκηση του δικαιώματος αυτού θα μπορούσε να καταστήσει αδύνατη την επεξεργασία που γίνεται για ερευνητικούς σκοπούς ή να βλάψει σοβαρά την επίτευξη των στόχων της (άρθρο 17, παράγραφος 3, στοιχείο δ ΓΚΠΔ). Τέλος, είναι πιθανό τα υποκείμενα των δεδομένων να μην έχουν καν επίγνωση του γεγονότος ότι τα δεδομένα τους υπόκεινται σε επεξεργασία, διότι ο υπεύθυνος επεξεργασίας δεν έχει υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων, εάν η ενημέρωση αυτή προϋποθέτει εκ μέρους του «δυσανάλογη προσπάθεια» σύμφωνα με το άρθρο 14 παράγραφος 5 στοιχείο β ΓΚΠΔ.

Επομένως, στην περίπτωση που ένας Ελληνας πολίτης έχει υποβληθεί σε γονιδιακή ανάλυση ως μέρος της περίθαλψης του και τα δεδομένα του αυτά αποθηκεύτηκαν σε αντίστοιχη βάση δεδομένων, θα μπορούσε να αντιμετωπίσει την πιθανότητα τα δεδομένα του να χρησιμοποιούνται χωρίς τη συγκατάθεση του, αλλά και χωρίς καν να το γνωρίζει, για απεριόριστο χρονικό διάστημα, χωρίς ο ίδιος να έχει δικαίωμα, αν το μάθει, να ζητήσει τη διαγραφή τους. Το ζήτημα καθίσταται ακόμα πιο σοβαρό, εάν λάβουμε υπόψη, ότι τα γενετικά δεδομένα, ακόμα και αν έχουν υποστεί τεχνικές ανωνυμοποίησης ή κρυπτογράφησης, μπορούν να επαναταυτοποιηθούν όλο και πιο εύκολα καθώς η τεχνολογία προχωρά, ενώ οι πληροφορίες που ενυπάρχουν στα δεδομένα αυτά δεν αφορούν μόνο τον δότη, αλλά, λόγω της κληρονομικότητας, και τα μέλη της οικογένειάς του. Επιπλέον, με δεδομένη την ευρεία ερμηνεία του όρου «έρευνα» στον ΓΚΠΔ, θα μπορουσε αυτή η αποθήκευση και επεξεργασία να γίνεται και για εμπορικούς σκοπούς, μέσω ερευνητικών φορέων που θα χρηματοδοτούνται πχ από μια φαρμακευτική εταιρία. Η βασική προστασία που έχει στις παραπάνω περπιτώσεις το υποκείμενο των δεδομένων, τουλάχιστον έως ότου μια φιλόδοξη ευρωπαϊκή νομοθετική πρωτοβουλία για τα γενετικά/γονιδιωματικά δεδομένα λάβει σάρκα και οστά, είναι οι εγγυήσεις που προβλέπονται πρωτίστως από την εσωτερική νομοθεσία, τις οποίες δυστυχώς η Ελλάδα δεν έχει υιοθετήσει.

Η Κυβέρνηση ΣΥΡΙΖΑ που έχει αποδειχθεί ανεπαρκής σε τόσα ζητήματα, αποδεικνυει την ανικανότητά της και όσον αφορά στην προστασία της υγείας και της ιδιωτικότητας των πολιτών αφήνοντας, εν προκειμένω, τα υποκείμενα δεδομένων ιδιαιτέρως ευαίσθητων, ευάλωτα και απροστάτευτα.