DECIZIA nr. 498 din 17 iulie 2018referitoare la excepția de neconstituționalitate a dispozițiilor art. 30 alin. (2) și (3), precum și a sintagmei "sistemul dosarului electronic de sănătate al pacientului" din cuprinsul art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătății
EMITENT
  • CURTEA CONSTITUȚIONALĂ
  • Publicat în  MONITORUL OFICIAL nr. 650 din 26 iulie 2018

    Valer Dorneanu

    - președinte

    Marian Enache

    - judecător

    Petre Lăzăroiu

    - judecător

    Mircea Ștefan Minea

    - judecător

    Daniel Marius Morar

    - judecător

    Mona-Maria Pivniceru

    - judecător

    Livia Doina Stanciu

    - judecător

    Simona-Maya Teodoroiu

    - judecător

    Varga Attila

    - judecător

    Benke Károly

    - magistrat-asistent-șef

    Cu participarea reprezentantului Ministerului Public, procuror Luminița Nicolescu.1. Pe rol se află soluționarea excepției de neconstituționalitate a dispozițiilor art. 30 alin. (2) și (3) și art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătății, excepție ridicată direct de Avocatul Poporului, și care formează obiectul Dosarului Curții Constituționale nr. 3.062D/2016.2. La apelul nominal se prezintă, pentru autorul excepției de neconstituționalitate, doamna Emma Turtoi, șef Birou contencios constituțional și recurs în interesul legii, din cadrul instituției Avocatul Poporului, cu împuternicire depusă la dosar. Procedura de citare este legal îndeplinită.3. Cauza fiind în stare de judecată, președintele Curții acordă cuvântul reprezentantului Avocatului Poporului, care reiterează motivele de neconstituționalitate cuprinse în excepția de neconstituționalitate formulată.4. Reprezentantul Ministerului Public pune concluzii de respingere a excepției de neconstituționalitate ca neîntemeiată, apreciind, în esență, că stocarea datelor cu caracter medical ale pacienților este necesară pentru a evalua starea de sănătate a pacientului și, în condițiile în care accesul la acestea este limitat numai la personalul medical, o asemenea măsură nu încalcă art. 26 din Constituție. Se mai indică faptul că prelucrarea datelor medicale se face doar cu acordul pacientului. În final se subliniază că există suficiente garanții cu privire la asigurarea confidențialității datelor astfel stocate, chiar în Legea nr. 677/2001, prin urmare, acestea nu trebuie să fie prevăzute în mod distinct în Legea nr. 95/2006.
    CURTEA,

    având în vedere actele și lucrările dosarului, constată următoarele:5. Prin Adresa nr. 20.849 din 28 noiembrie 2016, înregistrată la Curtea Constituțională cu nr. 11.773 din 28 noiembrie 2016, în temeiul art. 146 lit. d) teza a doua din Constituție și al art. 32 din Legea nr. 47/1992, Avocatul Poporului a sesizat Curtea Constituțională cu excepția de neconstituționalitate a dispozițiilor art. 30 alin. (2) și (3) și art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătății.6. În motivarea excepției de neconstituționalitate se susține că, în materia asigurării asistenței medicale, cadrul legal trebuie reglementat într-o manieră care să nu vină în coliziune cu drepturile fundamentale prevăzute de art. 26 din Constituție, care stabilesc obligația autorităților publice de a respecta și ocroti viața intimă, familială și privată. În materia drepturilor personale, regula unanim recunoscută este aceea a garantării și respectării acestora, respectiv a confidențialității, statul având în acest sens obligații majoritar negative, de abținere, prin care să fie evitată, pe cât posibil, ingerința sa în exercițiului dreptului sau al libertății.7. În acest context se observă că dispozițiile legale criticate prezintă un grad mare de generalitate, deși privesc un domeniu sensibil, respectiv datele personale de natură medicală, cuprinse în dosarul electronic de sănătate. Legiuitorul s-a limitat la a enunța în mod generic obligativitatea utilizării dosarului electronic de sănătate al pacientului, fără a stabili în concret garanții adecvate, menite să asigure protecția datelor cu caracter personal, cuprinse în cadrul acestuia. De asemenea, s-a rezumat la a reglementa că modalitatea de utilizare și completare a dosarului antereferit va fi stabilită prin norme metodologice de aplicare a prevederilor referitoare la acesta, care se aprobă prin hotărâre a Guvernului. Astfel, textele analizate fac trimitere la acte normative cu forță juridică inferioară legii, așa încât modalitatea de utilizare și completare a dosarului antereferit se va realiza în baza unei proceduri neprevăzute de lege și deci „susceptibilă de a fi calificată ca arbitrară“. Simpla trimitere, în cazul dat, la o legislație infralegală, respectiv la hotărâri ale Guvernului, care trimit, la rândul lor, la ordine - acte normative caracterizate printr-un grad sporit de instabilitate - încalcă principiul legalității prevăzut de art. 1 alin. (5) din Constituție; în acest sens se face referire la Decizia Curții Constituționale nr. 17 din 21 ianuarie 2015, paragraful 60. Astfel, cerințele art. 26 din Constituție nu mai sunt realizate prin lege, ci prin acte administrative, respectiv Hotărârea Guvernului nr. 34/2015 și Ordinul ministrului sănătății și al președintelui Casei Naționale de Asigurări de Sănătate nr. 1.123/849/2016.8. Sub acest aspect se reține caracterul lacunar al normelor care reglementează dosarul electronic de sănătate, de vreme ce regulile substanțiale, esențiale în materia protecției vieții intime, familiale și private, precum și a protecției datelor cu caracter personal nu sunt reglementate prin lege. Chiar dacă ipoteza dată poate fi considerată, aparent, o omisiune legislativă, nu poate fi ignorat viciul de neconstituționalitate existent, deoarece tocmai această omisiune este cea care generează încălcarea Constituției. Lăsarea la latitudinea unor autorități administrative a accesului la datele reținute, relativizează cadrul normativ al dosarului antereferit.9. Se arată că asociațiile medicilor și cele ale pacienților au expus în spațiul public o serie de temeri cu privire la implicațiile pe care aplicarea dosarului electronic de sănătate le-ar putea avea asupra vieții intime, familiale și private ale persoanelor fizice, precum și asupra vieții profesionale a acestora, în condițiile în care legiuitorul primar nu prevede o serie de garanții menite să preîntâmpine diseminarea datelor personale cu caracter medical.10. În acest sens se arată că în dosarul electronic de sănătate există o secțiune numită „sumar pentru situații de urgență“, care conține date vitale pentru pacient, esențiale medicilor în situații de urgență, în care „pacientul e inconștient sau nu poate spune medicilor bolile, alergiile cu care a fost diagnosticat și nici dacă se află sub tratament medicamentos. În această secțiune sunt cuprinse printre altele bolile cronice ale pacientului; bolile hematologice relevante pentru urgențe medicale; boli transmisibile relevante pentru urgențe medicale; tratamentele curente; internări recente“. De asemenea, se arată că, potrivit asociațiilor medicilor și ale pacienților, „aceste informații sunt accesibile oricând oricărui medic din sistemul medical public și privat, care e autentificat în sistemul dosarului electronic de sănătate, precum și faptul că farmaciile, laboratoarele medicale, stomatologii și orice alt furnizor de servicii medicale din România, autentificat obligatoriu în sistemul dosarului electronic de sănătate, pot avea acces oricând la aceste informații din dosarul oricărui pacient din țară. Această situație poate apărea motivată de faptul că sistemul dosarului electronic de sănătate este parte integrantă a platformei informatice din asigurările de sănătate, care este utilizată în mod obligatoriu, la nivelul furnizorilor de servicii medicale, autorizați în conformitate cu prevederile legale, de către medicii care își desfășoară activitatea într-o formă legală la acești furnizori, pentru toate serviciile medicale acordate pacienților, aferente întregii activități medicale. Or, potrivit art. 3 din Normele metodologice, prin furnizori de servicii medicale se înțeleg persoanele fizice sau juridice autorizate de Ministerul Sănătății pentru a furniza servicii medicale, medicamente și dispozitive medicale, în conformitate cu prevederile legale“.11. Se apreciază că accesul la datele personale medicale ale pacienților este permis unei categorii definite mult prea larg. Astfel, cadrul normativ actual, configurat de două acte administrative normative, nu stabilește criterii obiective, care să limiteze la strictul necesar numărul de persoane care au acces și pot utiliza ulterior datele păstrate, astfel încât pacienții ale căror date au fost păstrate în dosarul electronic de sănătate nu pot beneficia de garanții suficiente, care să le asigure protecția împotriva abuzurilor și a oricărui acces sau utilizări ilicite. Garanțiile legale privind utilizarea în concret a datelor reținute nu sunt suficiente și adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, așa încât manifestarea acestora să aibă loc într-o manieră acceptabilă. Se arată că jurisprudența Curții Constituționale a subliniat necesitatea existenței unor prevederi legale care să dispună limitarea la strictul necesar a numărului persoanelor care să aibă acces la datele personale cu caracter medical, indicându-se în acest sens Decizia nr. 17 din 21 ianuarie 2015 și Decizia nr. 440 din 8 iulie 2014. Se mai invocă jurisprudența Curții Europene a Drepturilor Omului, referitoare la protecția datelor personale, inclusiv a datelor medicale. În acest sens se arată că respectarea confidențialității datelor medicale este un principiu esențial în sistemele legale ale statelor-părți la Convenție. Dezvăluirea acestor date poate afecta în mod dramatic viața privată și de familie a persoanei, precum și situația sa socială și profesională, prin expunerea persoanei respective la oprobiul și riscul de excludere din viața publică; sunt indicate în acest sens hotărârile din 17 ianuarie 2012 și 25 februarie 1997, pronunțate în cauzele Varapnickaitė-Mažylienė împotriva Lituaniei și Z. împotriva Finlandei. De aceea se arată că este necesar ca legislația primară internă să cuprindă reglementări clare și previzibile, care să nu permită încălcarea art. 26 din Constituție.12. Cu privire la cadrul european incident în materia asistenței medicale transfrontaliere este invocată Directiva 2011/24/UE din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere, care stabilește, în cuprinsul considerentului nr. 25, faptul că dreptul la protecția datelor cu caracter personal reprezintă un drept fundamental, recunoscut prin art. 8 din Carta drepturilor fundamentale ale Uniunii Europene, în condițiile în care asigurarea continuității asistenței medicale transfrontaliere depinde de transferul de date cu caracter personal, privind starea de sănătate a pacienților; prin urmare, aceste date cu caracter personal ar trebui să poată circula între statele membre, dar, în același timp, ar trebui respectate drepturile fundamentale ale persoanelor. Directiva 95/46/CE din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date stabilește dreptul persoanelor fizice de a avea acces la propriile date cu caracter personal privind starea lor de sănătate, de exemplu, datele din dosarele lor medicale, care conțin informații precum: diagnostice, rezultate ale examinărilor, evaluări realizate de medicii curanți și orice alt tratament sau alte intervenții realizate. Se susține că, potrivit art. 4 alin. (2) lit. e) și f) din Directiva 2011/24/UE din 9 martie 2011, este în responsabilitatea statului membru să respecte dreptul fundamental la protecția vieții private, în ceea ce privește prelucrarea datelor cu caracter personal, precum și respectarea dreptului pacienților care au beneficiat de tratament într-un alt stat membru, de a avea un dosar medical al tratamentului respectiv, în format pe hârtie sau electronic, și acces la cel puțin o copie a acestui dosar, în conformitate cu și sub rezerva măsurilor naționale de punere în aplicare a dispozițiilor Uniunii privind protecția datelor cu caracter personal, în special directivele 95/46/CE și 2002/58/CE.13. Prin urmare, se arată că aceste acte stabilesc, ca principiu, necesitatea existenței unui echilibru între asigurarea continuității asistenței medicale, posibilă prin intermediul dosarului electronic de sănătate, și protecția drepturilor acestora, în special al dreptului la viață intimă, familială și privată. Astfel, se impune reglementarea la nivelul legislației primare a unor garanții adecvate pentru utilizarea datelor medicale existente în dosarul electronic de sănătate, care să preîntâmpine orice abuz în utilizarea acestora și orice accesare sau utilizare ilicită.14. Cu privire la limitările care pot fi aduse art. 8 din Convenție, privind dreptul la respectarea vieții private și de familie, se arată că acestea pot fi realizate „în conformitate cu legea“, sintagmă care presupune, pe de o parte, ca măsurile intruzive să aibă o bază legală în dreptul intern, iar, pe de altă parte, acestea trebuie să fie compatibile cu principiul supremației legii. De aceea, legea trebuie să fie accesibilă și previzibilă, ceea ce înseamnă ca aceasta să fie suficient de precisă, încât să permită părților să-și conformeze conduita potrivit regulii de drept. Pentru ca dreptul intern să întrunească aceste condiții este necesară și stabilirea unei protecții juridice adecvate împotriva arbitrariului și, ca urmare, să se indice cu suficientă claritate scopul puterii conferite autorităților competente și maniera de exercițiu al acestei puteri; în acest sens se indică hotărârile Curții Europene a Drepturilor Omului din 4 decembrie 2008 și 29 aprilie 2014, pronunțate în cauzele S. și Marper împotriva Regatului Unit și L.H. împotriva Letoniei.15. Chiar dacă prevederile Convenției sau ale Constituției nu interzic consacrarea legislativă a ingerinței autorităților statului în exercitarea drepturilor menționate, intervenția statală trebuie să respecte reguli stricte, expres menționate în art. 8 din Convenție, cât și în art. 53 din Constituție, care prevăd, printre alte condiții, ca restrângerea exercițiului dreptului să fie realizată prin lege. Or, în cazul de față, ingerința în dreptul la viață intimă, familială și privată, generată de utilizarea și completarea dosarului electronic de sănătate, nu este reglementată prin lege, contrar art. 53 din Constituție. Restrângerea prin lege a exercitării unui drept reprezintă una dintre cele mai importante garanții constituționale ale legalității restrângerii. Ea permite controlul de constituționalitate a legii sau ordonanței prin care s-ar depăși cazurile limitativ prevăzute în art. 53 alin. (1) din Constituție. Expresia „numai prin lege“ semnifică interdicția stabilirii unor restrângeri privind exercițiul unor drepturi sau libertăți fundamentale, prin acte juridice inferioare, ca forță juridică, legii. În acest sens este invocată și Decizia Curții Constituționale nr. 134 din 1 februarie 2011.16. Se apreciază că, în procesul de legiferare, legiuitorul ar trebui să aibă în vedere anumite aspecte menite să garanteze apărarea dreptului la viață intimă, familială și privată și a dreptului de proprietate asupra datelor personale, respectiv: modalitatea de utilizare a datelor având caracter medical; precizarea limitativă a categoriilor de persoane fizice și juridice care au acces la informațiile înscrise în dosarul electronic de sănătate; garanții adecvate pentru protecția acestor date față de orice accesare și utilizare ilicită; necesitatea consimțământului pacienților, atât pentru constituirea dosarului electronic de sănătate, cât și pentru utilizarea acestuia (caz în care urmează a fi avuți în vedere, eventual, și reprezentanții legali sau aparținătorii pacientului); posibilitatea pacienților de a refuza includerea în dosar a anumitor informații despre starea lor de sănătate, ce îi pot prejudicia, precum și dreptul acestora de a decide asupra retragerii unor informații din propriul dosar electronic de sănătate, în aplicarea prevederilor care, în prezent, se regăsesc în art. 1 alin. (2) din normele metodologice, care proclamă dreptul exclusiv de proprietate al pacientului față de informațiile din propriul dosar. Cu privire la acest ultim aspect se subliniază că, în condițiile admiterii excepției de neconstituționalitate, actele normate secundare, emise în executarea prevederilor art. 30 alin. (2) și (3) și art. 280 alin. (2) din Legea nr. 95/2006, vor înceta, la rândul lor, să producă efecte juridice.17. În contextul celor prezentate se consideră că textele legale criticate, prin trimiterea pe care o fac la legislația infralegală, nu sunt în concordanță cu garanțiile care însoțesc art. 26 din Constituție. În vederea asigurării, pe de o parte, a unui climat de ordine, guvernat de principiile unui stat de drept și democratic, iar, pe de altă parte, a protecției persoanei față de riscurile la adresa vieții private, se apreciază că accesul și utilizarea datelor cuprinse în dosarul electronic de sănătate al pacientului trebuie să se facă în condiții de maximă securitate, pentru a se înlătura diseminarea, chiar și accidentală, a oricăror date personale care ar putea aduce prejudicii de orice fel persoanei în cauză.18. Potrivit prevederilor art. 30 alin. (1) și art. 33 din Legea nr. 47/1992, actul de sesizare a fost comunicat președinților celor două Camere ale Parlamentului și Guvernului pentru a-și exprima punctele de vedere asupra excepției de neconstituționalitate ridicate.19. Guvernul apreciază că excepția de neconstituționalitate este neîntemeiată. Se arată că argumentele prezentate reprezintă considerente subiective, care țin de modalitatea în care autoritățile competente înțeleg să interpreteze și să aplice dispozițiile legale respective. Simplul fapt al trimiterii la acte normative infralegale nu constituie ab initio motiv de neconstituționalitate, cu atât mai mult cu cât acestea trimit la actele respective pentru aspecte procedurale, privind modalitatea de utilizare și completare a dosarului electronic de sănătate al pacientului, respectiv organizarea și administrarea Platformei informatice din asigurările de sănătate.20. Se arată că situația din dosarul de față nu este comparabilă cu cea reținută în Decizia nr. 17 din 21 ianuarie 2015, astfel încât nu se poate desprinde aceeași concluzie, respectiv neconstituționalitatea textelor legale criticate. În cauza de față se arată că este vorba de un dosar electronic medical, în care se au în vedere doar datele cu caracter medical relevante pentru starea de sănătate a unei persoane. În acest sens este invocat art. 1 din Normele metodologice privind modalitatea de utilizare și completare a dosarului electronic de sănătate al pacientului, aprobate prin Hotărârea Guvernului nr. 34/2015. Utilizarea informațiilor respective se face cu respectarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, cadrul general în materie, ale cărei reguli generale și specifice sunt deja cunoscute și respectate de utilizatorii unor astfel de date, în speță, de către cei care folosesc, potrivit competențelor legale, sistemul medical. Prin urmare, se apreciază că nu poate fi reținută încălcarea art. 1 alin. (5) din Constituție.21. Stocarea, cu respectarea legislației în vigoare cu privire la protecția datelor cu caracter personal, a unor informații medicale, la care au acces doar persoane specializate din acest domeniu, nu face decât să creeze posibilitatea ca instituțiile competente să dispună de informații corecte și complete, cu privire la starea de sănătate a unei persoane, astfel încât aceasta să poată beneficia de cea mai bună soluție medicală individuală. Prin urmare, se apreciază că dispozițiile legale criticate nu produc în sine o restrângere a dreptului fundamental la viață intimă, familială și privată.22. Președinții celor două Camere ale Parlamentului nu au comunicat punctele lor de vedere asupra excepției de neconstituționalitate.
    CURTEA,

    examinând actul de sesizare, punctul de vedere al Guvernului, raportul întocmit de judecătorul-raportor, concluziile reprezentantului autorului excepției de neconstituționalitate, concluziile procurorului, dispozițiile legale criticate, raportate la prevederile Constituției, precum și Legea nr. 47/1992, reține următoarele:23. Curtea Constituțională a fost legal sesizată, potrivit dispozițiilor art. 146 lit. d) teza a doua din Constituție, precum și ale art. 1 alin. (2), ale art. 2,3,10,29,32 și 33 din Legea nr. 47/1992, să soluționeze excepția de neconstituționalitate.24. Obiectul excepției de neconstituționalitate, astfel cum a fost formulat, îl constituie dispozițiile art. 30 alin. (2) și (3) și art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătății, republicată în Monitorul Oficial al României, Partea I, nr. 652 din 28 august 2015. În realitate, criticile de neconstituționalitate vizează dispozițiile art. 30 alin. (2) și (3), precum și sintagma „sistemul dosarului electronic de sănătate al pacientului“ din cuprinsul art. 280 alin. (2) din Legea nr. 95/2006, texte asupra cărora Curtea urmează să se pronunțe prin prezenta decizie. Acestea fac parte din dreptul pozitiv la data pronunțării prezentei decizii [a se vedea Decizia nr. 64 din 9 februarie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 145 din data de 27 februarie 2017, paragraful 45] și au următorul cuprins:– Art. 30 alin. (2) și (3):(2) Unitățile prevăzute la alin. (1) au obligația asigurării condițiilor de mobilitate a informației medicale în format electronic, prin utilizarea sistemului dosarului electronic de sănătate al pacientului. În situația în care se utilizează un alt sistem informatic, acesta trebuie să fie compatibil cu acest sistem din platforma informatică din asigurările de sănătate, caz în care furnizorii sunt obligați să asigure condițiile de securitate și confidențialitate în procesul de transmitere a datelor.(3) Modalitatea de utilizare și completare a dosarului electronic de sănătate al pacientului va fi stabilită prin norme metodologice de aplicare a prevederilor referitoare la dosarul electronic de sănătate al pacientului, care se aprobă prin hotărâre a Guvernului.;– Art. 280 alin. (2): „(2) CNAS [Casa Națională de Asigurări de Sănătate - sn.] organizează și administrează Platforma informatică din asigurările de sănătate, care cuprinde: sistemul informatic unic integrat, sistemul național al cardului de asigurări sociale de sănătate, sistemul național de prescriere electronică și sistemul dosarului electronic de sănătate al pacientului, asigurând interoperabilitatea acestuia cu soluțiile de e-Sănătate la nivel național, pentru utilizarea eficientă a informațiilor în elaborarea politicilor de sănătate și pentru managementul sistemului de sănătate“.25. Art. 30 alin. (1) din Legea nr. 95/2006, la care trimite alin. (2) al aceluiași articol, reglementează unitățile prin care se asigură asistența medicală profilactică și curativă, respectiv cabinetele medicale ambulatorii ale medicilor de familie și de alte specialități, centrele de diagnostic și tratament, centrele medicale, centrele de sănătate, laboratoarele, alte unități sanitare publice și private, precum și unitățile sanitare publice și private cu paturi.26. Textele constituționale invocate în susținerea excepției de neconstituționalitate sunt cele ale art. 1 alin. (5) privind calitatea legii, art. 26 privind viața intimă, familială și privată, și art. 53 privind restrângerea exercițiului unor drepturi sau libertăți fundamentale. De asemenea, se mai invocă și prevederile art. 8 din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale, privind dreptul la respectarea vieții private și de familie.27. Examinând excepția de neconstituționalitate, Curtea reține că, în precedent, s-a pronunțat asupra constituționalității dispozițiilor art. 330-338 din Legea nr. 95/2006, referitoare la cardul național de asigurări sociale de sănătate, reținând, prin Decizia nr. 204 din 31 martie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 430 din 16 iunie 2015, paragraful 47, că acesta nu cuprinde date medicale, ci doar următoarele informații: a) numele, prenumele, precum și codul numeric personal ale asiguratului; b) codul unic de identificare în sistemul de asigurări sociale de sănătate; c) numărul de identificare al cardului național de asigurări sociale de sănătate. Desigur, și aceste date au caracter personal, dar nu medical. În aceste condiții, Curtea nu a analizat criticile de neconstituționalitate referitoare la pretinsa înscriere pe card/cipul cardului a datelor medicale, ci a stabilit că există garanții adecvate și suficiente pentru protecția datelor cu caracter personal înscrise - așadar, altele decât cele medicale - și, în consecință, a constatat constituționalitatea prevederilor legale criticate. Prin urmare, situația de față, supusă atenției Curții Constituționale, este diferită de cea analizată în precedent, întrucât dosarul electronic de sănătate cuprinde „informații medicale“, potrivit art. 30 alin. (2) din Legea nr. 95/2006.28. Curtea constată că autorul excepției de neconstituționalitate își axează, în principal, critica formulată pe faptul că textele legale criticate nu cuprind garanții cu privire la asigurarea protecției datelor cu caracter personal, de natură medicală, cuprinse în dosarul electronic de sănătate, reglementarea acestora fiind lăsată la nivelul legislației secundare, respectiv Hotărârea Guvernului nr. 34/2015 pentru aprobarea Normelor metodologice privind modalitatea de utilizare și completare a dosarului electronic de sănătate al pacientului, publicată în Monitorul Oficial al României, Partea I, nr. 65 din 26 ianuarie 2015, și Ordinul ministrului sănătății și al președintelui Casei Naționale de Asigurări de Sănătate nr. 1.123/849/2016 pentru aprobarea datelor, informațiilor și procedurilor operaționale necesare utilizării și funcționării dosarului electronic de sănătate (DES) al pacientului, publicat în Monitorul Oficial al României, Partea I, nr. 806 din 13 octombrie 2016.29. Într-adevăr, întreaga materie a dosarului electronic de sănătate este reglementată în actele de reglementare secundară, legea nefăcând altceva decât să introducă sistemul dosarului electronic de sănătate al pacientului în sistemul normativ de reglementare primară. Referirile la acesta, în corpul Legii nr. 95/2006, așadar, într-un act normativ de reglementare primară, sunt sumare și fără consistență. Prin urmare, revine Curții Constituționale sarcina de a analiza dacă datele cuprinse în dosarul electronic de sănătate, respectiv informațiile medicale, sunt date care privesc viața intimă, familială și privată a persoanei, iar, în cazul în care Curtea ajunge la o concluzie afirmativă, urmează să stabilească dacă protecția acestora ține de nivelul actelor de reglementare primară sau secundară.30. Cu privire la prima problemă ridicată, Curtea reține că datele personale și procesarea acestor informații țin de viața privată a individului [a se vedea Hotărârea din 4 mai 2000, pronunțată în Cauza Rotaru împotriva României, paragraful 43, sau Hotărârea din 17 iulie 2008, pronunțată în Cauza I. împotriva Finlandei, paragraful 35]. Orice informație de natură medicală intră în categoria datelor cu caracter personal [Hotărârea din 10 octombrie 2006, pronunțată în Cauza L.L. împotriva Franței, paragraful 32]. Obiectul art. 8 din Convenție este acela de a proteja individul de ingerința arbitrară a autorităților publice; el nu obligă statul doar să se abțină de la astfel de ingerințe, ci, suplimentar acestei obligații negative, pot exista obligații pozitive inerente, în vederea respectării efective a vieții private sau de familie. Aceste obligații pot implica adoptarea de măsuri concepute pentru a apăra respectarea vieții private, chiar și în sfera relațiilor dintre indivizi [Hotărârea din 17 iulie 2008, pronunțată în Cauza I. împotriva Finlandei, paragraful 36]. Prin urmare, sfera de cuprindere a dispozițiilor art. 8 din Convenție privește informațiile personale referitoare la pacienți [Hotărârea din 17 ianuarie 2012, pronunțată în Cauza Varapnickaitė-Mažylienė împotriva Lituaniei, paragraful 41].31. Garantarea securității datelor medicale împotriva accesului neautorizat reprezintă, în termenii Convenției, obligația pozitivă a statului de a apăra respectarea vieții private a pacientului, prin intermediul unui sistem de reguli și garanții de protecție a datelor [Hotărârea din 17 iulie 2008, pronunțată în Cauza I. împotriva Finlandei, paragraful 37].32. Protecția datelor personale, în special a celor medicale, are o importanță fundamentală pentru ca persoana să se bucure de dreptul său la respectarea vieții de familie și private, garantat de art. 8 din Convenție. Respectarea confidențialității datelor privind sănătatea este un principiu vital în sistemul juridic al statelor-părți la Convenție. Este crucială nu numai respectarea vieții private a pacientului, ci și menținerea încrederii în corpul medical și în serviciile medicale în general [Hotărârea din 17 iulie 2008, pronunțată în Cauza I. împotriva Finlandei, paragraful 38]. Legislația internă trebuie, prin urmare, să prevadă garanții adecvate pentru a preveni orice comunicare sau divulgare de date cu caracter personal referitoare la sănătate, care nu sunt în conformitate cu garanțiile prevăzute de articolul 8 din Convenție [Hotărârea din 17 iulie 2008, pronunțată în Cauza I. împotriva Finlandei, paragraful 38, Hotărârea din 25 februarie 1997, pronunțată în Cauza Z. împotriva Finlandei, paragraful 95, sau Hotărârea din 10 octombrie 2006, pronunțată în Cauza L.L. împotriva Franței, paragraful 44]. Fără o astfel de protecție, cei ce au nevoie de asistență medicală pot fi împiedicați în a-și găsi tratamentul corespunzător, punându-și în pericol propria sănătate [Hotărârea din 6 iunie 2013, pronunțată în Cauza Avilkina și alții împotriva Rusiei, paragraful 45], precum și pe cea a comunității, în cazul bolilor transmisibile [Hotărârea din 25 februarie 1997, pronunțată în Cauza Z. împotriva Finlandei, paragraful 95].33. Dezvăluirea datelor medicale poate afecta în mod serios viața familială și privată a persoanei, precum și situația socială și de muncă a acesteia, prin expunerea ei la oprobriul public și la riscul ostracizării [Hotărârea din 17 ianuarie 2012, pronunțată în Cauza Varapnickaitė-Mažylienė împotriva Lituaniei, paragraful 44, sau Hotărârea din 6 iunie 2013, pronunțată în Cauza Avilkina și alții împotriva Rusiei, paragraful 45].34. Curtea Europeană a Drepturilor Omului recunoaște, în același timp, că protecția confidențialității datelor medicale, care este în interesul pacientului, precum și a întregii comunități poate uneori să treacă în plan secund în raport cu necesitatea de a investiga infracțiunile, de a-i urmări pe autori și pentru a proteja publicitatea procedurilor judiciare, atunci când se dovedește că interesele din urmă sunt de o importanță și mai mare. În ceea ce privește problemele legate de accesul publicului la date cu caracter personal, Curtea de la Strasbourg a statuat că autorităților naționale competente ar trebui să li se acorde o anumită marjă de apreciere, pentru a găsi un echilibru echitabil între protecția publicității procedurilor judiciare, pe de o parte, și interesele unei părți sau ale unei terțe părți de a păstra aceste date confidențiale, pe de altă parte. Dimensiunea marjei de apreciere în acest sens depinde de factori precum natura și importanța intereselor în cauză și gravitatea intervenției [Hotărârea din 25 februarie 1997, pronunțată în cauza Z. împotriva Finlandei, paragrafele 97 și 99].35. Dezvăluirea unor date medicale în favoarea unei agenții publice de asigurări sociale de către o clinică privată nu este contrară art. 8 din Convenție, atât timp cât: (1) persoana a depus o cerere de acordare a unei indemnizații pentru handicap la acea entitate publică, bazată tocmai pe problema medicală ale cărei date se aflau în posesia clinicii private; (2) datele cerute erau strict necesare pentru soluționarea respectivei cereri; (3) datele solicitate erau relevante; (4) atât personalul clinicii private, cât și cel al autorității publice erau ținuți de obligația de confidențialitate, în caz contrar putându-se angaja răspunderea civilă sau penală a acestora [Hotărârea din 27 august 1997, pronunțată în Cauza M.S. împotriva Suediei, paragrafele 39-44]. Pe de altă parte, dezvăluirea unor date medicale în favoarea unui ziar, a unui procuror sau angajatorului pacientului, precum și colectarea datelor medicale ale pacientului, de către o instituție responsabilă în monitorizarea calității actului medical, constituie ingerințe în dreptul la viață privată, urmând a fi analizate, de la caz la caz, prin intermediul testului de proporționalitate [Hotărârea din 17 mai 2016, pronunțată în Cauza Fürst-Pfeifer împotriva Austriei, paragraful 44, Hotărârea din 29 aprilie 2014, pronunțată în Cauza L.H. împotriva Letoniei, paragraful 33, Hotărârea din 15 aprilie 2014, pronunțată în Cauza Radu împotriva Republicii Moldova, paragraful 27, Hotărârea din 6 iunie 2013, pronunțată în Cauza Avilkina și alții împotriva Rusiei, paragraful 54, și Hotărârea din 25 noiembrie 2008, pronunțată în Cauza Armonienė împotriva Lituaniei, paragraful 43].36. Curtea Europeană a Drepturilor Omului a constatat, de asemenea, că stocarea și colectarea datelor de sănătate ale unei persoane pentru o perioadă lungă de timp, împreună cu dezvăluirea și utilizarea acestor date, fără a avea o legătură cu scopul inițial al colectării acestora, constituie o ingerință disproporționată în dreptul la respectarea vieții private [Hotărârea din 26 ianuarie 2017, pronunțată în Cauza Surikov împotriva Ucrainei, paragrafele 70 și 89, privind divulgarea motivelor medicale în temeiul cărora un angajat a fost scutit de efectuarea serviciului militar].37. În cauza de față, Curtea constată că instituirea dosarului electronic de sănătate s-a realizat prin lege, fără ca aceasta să prevadă datele pe care dosarul urmează a le cuprinde. Desigur, din denumirea acestuia și din referirea pe care textul art. 30 alin. (2) o face la „mobilitatea informației medicale“, poate fi dedus faptul că el cuprinde date medicale, însă abia prin art. 1 din normele metodologice se stabilește că dosarul electronic de sănătate „reprezintă înregistrări electronice consolidate la nivel național, cuprinzând date și informații medicale relevante pentru medici și pacienți“ și „conține date și informații clinice, biologice, diagnostice și terapeutice, personalizate, acumulate pe tot parcursul vieții pacienților, aceștia fiind și proprietarii de drept ai acestor informații/date“. În consecință, întrucât legea nu prevede obiectul dosarului electronic de sănătate, numai din coroborarea textului legal cu cel al normelor metodologice, în interpretarea normei, se poate ajunge la concluzia că dosarul electronic de sănătate cuprinde date personale de natură medicală.38. În continuare, Curtea reține că instituirea dosarului electronic medical reprezintă o măsură luată de stat, în considerarea asigurării sănătății publice. În acest sens, art. 34 alin. (2) din Constituție prevede că „(2) Statul este obligat să ia măsuri pentru asigurarea igienei și a sănătății publice“.39. Dreptul la ocrotirea sănătății persoanei presupune, din partea statului, două obligații principale, și anume: de abținere, respectiv de a nu aduce atingere sănătății persoanei prin recurgerea la acțiuni violente/nonviolente (obligația negativă), și de asigurarea cadrului necesar protejării dreptului (obligație pozitivă).40. Opțiunea statului în sensul creării unui mecanism modern/suplu prin intermediul căruia unitățile medicale să consemneze istoricul medical al pacientului și să i-l pună la dispoziție acestuia, sub forma dosarului electronic de sănătate, nu pune în discuție în sine o limitare a dreptului la viață intimă, familială sau privată; din contră, acesta poate fi o măsură adecvată, dată în aplicarea dreptului la ocrotirea sănătății. În schimb, datele introduse în acest dosar electronic intră în sfera de protecție a dispozițiilor art. 26 din Constituție, întrucât sunt date medicale, care, la rândul lor, reprezintă date cu caracter personal, definite ca „orice informații privind o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale“ [art. 4 pct. 1 din Regulamentul 2016/679al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016]. Indiferent că evidența acestor date este realizată pe suport hârtie sau electronic, introducerea/consultarea acestora reprezintă o formă de prelucrare a acestora. Conform art. 4 pct. 2 din Regulamentul 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016, noțiunea de prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.41. Astfel, obligația unităților medicale care asigură asistența medicală profilactică și curativă de a consemna/actualiza/ consulta informațiile medicale ale pacientului în cadrul dosarului medical al acestuia reprezintă o măsură care sprijină realizarea obligației pozitive a statului de a asigura sănătatea publică, dar și o prelucrare a datelor cu caracter medical. Însă exercitarea obligației pozitive a statului de a crea condițiile optime asigurării sănătății publice trebuie realizată cu respectarea garanțiilor asociate dreptului la viață intimă, familială și privată a pacientului. Astfel, dacă statul se manifestă activ, în sensul că își exercită marja sa de apreciere în cadrul obligației sale pozitive de a apăra dreptul la ocrotirea sănătății, acesta trebuie să se manifeste, de asemenea, activ în cadrul obligațiilor pozitive care îi incumbă prin raportare la dreptul la viața intimă, familială și privată.42. Cu alte cuvinte, dacă statul a instituit, prin lege, o măsură în aplicarea dreptului la ocrotirea sănătății persoanei, tot acestuia îi revine obligația de a proteja și garanta caracterul confidențial al informațiilor medicale prelucrate, printr-un act normativ de același nivel, respectiv prin lege. Astfel, din acest punct de vedere, obligațiile pozitive asociate celor două drepturi sunt corelative și interdependente, trebuind să existe un just echilibru între acestea. Statului nu îi este permis ca, protejând un drept constituțional, să o facă în detrimentului celuilalt drept deopotrivă ocrotit, pentru că s-ar putea ajunge la situația în care afectarea acestuia din urmă să fie atât de puternică, încât avantajul inițial obținut să apară ca fiind nesemnificativ în această ecuație. Prin urmare, la nivel normativ, complementaritatea și proporționalitatea trebuie să caracterizeze relația dintre cele două drepturi constituționale antereferite.43. Raportat la situația de față, din examinarea art. 30 alin. (2) și (3) și art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătății rezultă că de lege lata s-a considerat a fi suficient faptul ca, prin lege, să fie reglementate următoarele aspecte: instituirea dosarului electronic de sănătate; stabilirea administratorului platformei informatice din asigurările de sănătate, respectiv Casa Națională de Asigurări de Sănătate, din care face parte și sistemul dosarului electronic de sănătate al pacientului; instituirea obligației asigurării condițiilor de mobilitate a informației medicale în format electronic; stabilirea titularilor obligației antereferite; ipoteza în care se utilizează un alt sistem informatic, acesta trebuind să fie compatibil cu sistemul din platforma informatică din asigurările de sănătate, caz în care furnizorii sunt obligați să asigure condițiile de securitate și confidențialitate în procesul de transmitere a datelor.44. Curtea constată că prevederile anterior menționate sunt departe de a constitui, prin ele însele, garanții ale respectării dreptului la viață intimă, familială și privată. Ele, în realitate, reprezintă elementele de bază ale organizării și asigurării funcționării noului sistem electronic conceput de legiuitor. Or, astfel cum s-a arătat anterior, organizarea unui astfel de sistem în considerarea obligației pozitive a statului de a lua măsuri în sensul protejării dreptului la ocrotirea sănătății implică, în mod necesar, obligația pozitivă a acestuia, asociată protejării și garantării dreptului înscris în art. 26 din Constituție.45. În legătură cu acest aspect se constată că legea tace, neprevăzând nicio măsură care să poată fi calificată drept garanție a dreptului la viață intimă, familială sau privată. Prin urmare, prin prisma celor anterior expuse, statul nu a acordat nicio atenție acestor garanții, ele fiind așadar ignorate în corpul legii.46. Faptul că legea indică titularii dreptului de a asigura condițiile de mobilitate a informației medicale în format electronic nu poate fi văzut decât ca o măsură strict organizatorică, textul legii neindicând cine, în ce moment și ce date introduce în dosarul electronic de sănătate; mai mult, nu se indică nici ce tip de acces este asociat unei astfel de operațiuni. Astfel că sfera largă pe care o presupune sintagma „unități medicale“, care asigură „mobilitatea informației medicale“, conduce la concluzia că un număr nedeterminat de persoane, într-un număr nedeterminat de situații, pot introduce date medicale nedeterminate în acel dosar. De altfel, nici noțiunea de „mobilitate a informației medicale“ nu este definită, ceea ce indică faptul că nu se cunoaște ce fel de informație medicală este introdusă, care dintre aceste informații sunt supuse mobilității și cine are acces la informația devenită „mobilă“. Mai mult, nu reiese scopul pentru care este introdusă și eventual folosită informația medicală. Astfel, Curtea constată că o măsură pozitivă a statului, chiar bine intenționată, poate produce efecte negative de o amploare deosebită în privința vieții private a persoanei.47. Reglementarea dosarului electronic de sănătate apare astfel ca fiind o intruziune a statului în viața intimă, familială și privată a persoanei. Chiar dacă reprezintă un mijloc prin intermediul căruia statul își îndeplinește obligația constituțională de a ocroti sănătatea individului, intervenția etatică apare ca fiind una ordonatoare, imperativă pentru persoană, în sensul stocării datelor medicale ale persoanei pe o anumită platformă electronică, fără ca aceasta să se poată împotrivi în vreun fel.48. De principiu, instituirea și gestionarea de către stat a unui dosar electronic de sănătate nu încalcă art. 26 sau art. 34 din Constituție, cele două texte constituționale antereferite aflânduse într-un just echilibru, în condițiile în care dreptul la viață intimă, familială și privată, consacrat de art. 26 din Constituție, nu poate fi conceput ca fiind un drept absolut, el cunoscând limitări, implicit admise în favoarea altor texte constituționale, astfel cum este situația de față. Însă Avocatul Poporului nu contestă faptul că dreptul prevăzut la art. 26 din Constituție nu poate fi limitat, în raport cu art. 34, ci modul în care s-a realizat limitarea, care duce la o nesocotire a garanțiilor asociate art. 26 din Constituție, dezechilibrând relația dintre aceste două texte constituționale. Așadar, ar rezulta că, deși ținerea unui dosar electronic de sănătate nu încalcă nici art. 26 și nici art. 34 din Constituție, printr-o redactare legală defectuoasă se poate ajunge în situația în care legiuitorul să neglijeze fie dreptul la viață intimă, familială și privată și să îl treacă în plan secund, fie dreptul la ocrotirea sănătății, ceea ce nu este de dorit. Astfel, deși Constituția normativizează o relație de echilibru între aceste două texte, expresia lor legală acordă o prevalență unuia sau altuia, cu desconsiderarea esenței celuilalt, ceea ce nu poate conduce decât la constatarea neconstituționalității textului legal în raport cu textul constituțional încălcat.49. Raportat la cauza de față, Curtea constată că, deși ingerința legală în dreptul prevăzut la art. 26 din Constituție poate avea un scop legitim (ocrotirea sănătății persoanei prin ordonarea istoricului său medical și ținerea acestuia de către o autoritate de stat), este adecvată și necesară scopului propus, ea nu păstrează un just echilibru între interesele concurente, anume: interesul statului în legătură cu sănătatea publică, interesul persoanei de a-i fi ocrotită sănătatea, dar și interesul persoanei de a-i fi protejată viața intimă, familială și privată.50. Nu este îndeajuns ca protejarea datelor medicale să fie realizată printr-o legislație infralegală, Curtea, în numeroase cazuri, avertizând că actele de reglementare secundară, exempli gratia, hotărâri ale Guvernului, sunt oricum caracterizate printr-un grad sporit de instabilitate sau inaccesibilitate [a se vedea în acest sens Decizia nr. 17 din 21 ianuarie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 79 din 30 ianuarie 2015, paragrafele 67 și 94, Decizia nr. 51 din 16 februarie 2016, publicată în Monitorul Oficial al României, Partea I, nr. 190 din 14 martie 2016, paragraful 47, sau Decizia nr. 61 din 7 februarie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 219 din 30 martie 2017, paragraful 42]. Se observă că garanții pentru asigurarea dreptului constituțional prevăzut de art. 26 sunt cuprinse într-o hotărâre a Guvernului, însă o asemenea manieră de reglementare este total neadecvată, fragilizând, în mod nepermis, protecția constituțională a vieții intime, familiale și private. Practic, autoritatea administrativă poate oricând modifica standardele de garanții asociate acestui drept, prin emiterea unor acte administrative normative, cetățeanul/pacientul fiind astfel la bunul plac al autorității administrative. Or, o protecție adecvată a acestui drept este cea stabilită printr-o lege, ceea ce nu este cazul în speța de față. În consecință, textele criticate încalcă art. 26 din Constituție.51. De asemenea, principial, o reglementare cu caracter primar este cea care se bucură de forța juridică a legii și de o stabilitate în consecință, astfel că pare chiar impropriu ca o măsură de natura legii, dată în aplicarea art. 34 din Constituție, să cunoască limitări printr-o hotărâre a Guvernului, considerată a fi suficientă pentru respectarea art. 26 din Constituție. Într-o atare modalitate de reglementare se ajunge la o restructurare/reconfigurare a legii, prin intermediul actului administrativ, ceea ce este de neconceput. Ar rezulta că limitele unei ingerințe etatice prevăzute de lege sunt fixate printr-un act administrativ, emis chiar în baza acelei legi, ceea ce încalcă art. 1 alin. (5) din Constituție.52. Prin urmare, revine legiuitorului obligația de a reglementa garanțiile asociate dreptului la viață intimă, familială și privată. Această obligație trebuie să se materializeze prin lege, în sens de instrumentum. În centrul acestor garanții legale trebuie să se regăsească consimțământul pacientului. Legiuitorul are drept obligație constituțională, prin prisma art. 26, să nu condiționeze actul medical în sine de efectuarea înscrierilor în dosarul electronic de sănătate, neexistând un raport de corespondență directă între acestea. De asemenea, consimțământul trebuie să fie unul liber, ce nu poate fi stimulat prin oferirea unor posibile avantaje medicale sau de altă natură (economice), pentru că, în acest caz, s-ar ajunge la vicierea indirectă a acestuia. S-ar ajunge la situația în care omul ar fi tratat drept obiect, cu desconsiderarea principiilor subiective care caracterizează ființa umană, ceea ce este contrar demnității umane [a se vedea mutatis mutandis și Decizia Tribunalului Constituțional Federal german 2 BVerfGE 45, 187, în care Curtea a impus formula obiect-subiect în analiza încălcării demnității umane]. Persoana, mai ales dacă este vorba despre sănătatea sa, vădește o vulnerabilitate aparte și este tentată să accepte, total și necondiționat, măsurile legislative promovate de stat și care îi sunt propuse spre acceptare, fără a mai analiza justul echilibru care trebuie să existe între dreptul la ocrotirea sănătății și cel la viață intimă, familială și privată. Mai mult, persoana este cu atât mai vulnerabilă cu cât se află într-o stare fizică/emoțională care nu îi mai permite să aprecieze în mod obiectiv cu privire la consimțământul său. De aceea, cadrul normativ nu trebuie să o desconsidere și să o plaseze într-un plan secund în raport cu dorința statului de a ține un dosar electronic de sănătate și/sau de a centraliza diverse date medicale (ca măsură obiectivă de ocrotire a sănătății publice). Aceleași considerații se impun și în privința modului în care este tratată persoana care nu își dă consimțământul pentru prelucrarea datelor sale medicale în cadrului dosarului electronic de sănătate.53. Totodată, este de datoria statului să se asigure de faptul că cei care acționează în numele său nu își compromit propria demnitate umană, chiar presupunând că aceștia, la nivel personal, nu consideră că, în îndeplinirea sarcinilor de serviciu, încalcă drepturile pacientului. Practic, obligația pozitivă a statului de a reglementa un cadru normativ care să respecte demnitatea umană nu trebuie să îl pună nici pe angajatul statului și nici pe pacient în situația de a obliga, respectiv de a-și da consimțământul, chiar dacă aceștia, la nivel subiectiv, nu realizează faptul că își încalcă propria demnitate. Astfel, cadrul legislativ în sine trebuie să preîntâmpine posibilitatea ca, prin modul lor de acțiune, cele două categorii de persoane să își încalce propria lor demnitate umană.54. Prelucrarea datelor cu caracter medical trebuie astfel reglementată încât să asigure confidențialitatea acestora. La acest moment, Curtea nu este în măsură să analizeze dacă garanțiile cuprinse în actele de reglementare secundară sunt suficiente sau nu, ori dacă ar trebui completate cu alte garanții, o asemenea sarcină și competență putând fi exercitate numai după ce ele vor fi transpuse în lege. Trebuie reamintit faptul că garanțiile asociate protecției acestor date, chiar reglementate la nivel legal, trebuie să aibă un standard înalt de apărare a confidențialității datelor medicale ale pacientului. De asemenea, legea trebuie să prevadă, în mod expres, atât natura răspunderii, cât și sancțiunile - care în sine trebuie să fie corespondente ca intensitate standardului înalt de protecție a datelor medicale - aplicabile persoanelor implicate în gestionarea dosarului electronic de sănătate, în cazul încălcării obligațiilor și garanțiilor ce urmează a fi reglementate prin lege.55. Curtea constată că Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 790 din 12 decembrie 2001, în contextul intrării în vigoare a Regulamentului 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016, a fost abrogată prin art. V alin. (1) din Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 503 din 19 iunie 2018. Având în vedere această situație normativă și caracterul direct aplicabil al regulamentului antereferit, legiuitorul trebuie să asigure o protecție specifică datelor medicale, prin stabilirea unor garanții puternice, care să ateste nivelul înalt de protecție a datelor cu caracter medical.56. Se mai reține că, prin Decizia nr. 298 din 29 martie 2006, publicată în Monitorul Oficial al României, Partea I, nr. 372 din 28 aprilie 2006, Curtea, în cadrul controlului a priori de constituționalitate exercitat cu privire la Legea privind reforma în domeniul sănătății, a observat că „textele de lege criticate prevăd adoptarea ulterioară a numeroase hotărâri ale Guvernului, ordine, instrucțiuni și alte asemenea acte ale conducătorilor ministerelor și ale unor organe ale administrației publice centrale de specialitate, pentru aprobarea unor regulamente, statute, metodologii sau norme cu caracter predominant tehnic. Curtea, însă, are în vedere că, potrivit art. 108 alin. (2) din Constituție și art. 75 [devenit, în urma unei noi republicări a legii, art. 77 - s.n.] din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată în Monitorul Oficial al României, Partea I, nr. 777 din 25 august 2004, se impune ca aceste reglementări să fie emise numai pe baza și în executarea legii. Aceste reglementări, fiind norme secundare, emise în aplicarea și executarea legii, trebuie să aibă caracter tehnic. În plus, Curtea reține că autoritățile publice au obligația constituțională de a-și exercita atribuțiile cu bună-credință, în limitele competenței, neputându-se, așadar, prezuma elaborarea acestor acte juridice cu încălcarea Constituției“.57. Relațiile sociale sunt reglementate primar prin legi/ordonanțe de urgență/ordonanțe, în timp ce actele administrative cu caracter normativ pot organiza punerea în executare sau executarea acestora, după caz, fără ca ele însele să fie izvor primar de drept. Reglementarea unor norme primare în corpul unui act de reglementare secundară reprezintă o contradicție în termeni. Astfel, acest din urmă act trebuie să se limiteze strict la organizarea punerii în executare sau la executarea dispozițiilor primare, și nu să reglementeze el însuși astfel de dispoziții. De aceea, actele administrative cu caracter normativ, fie ele hotărâri ale Guvernului sau ordine ale miniștrilor, nu pot, prin conținutul lor normativ, să excedeze domeniului organizării executării actelor de reglementare primară [art. 108 alin. (2) din Constituție], respectiv a executării acestora sau a hotărârilor Guvernului [art. 77 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată în Monitorul Oficial al României, Partea I, nr. 260 din 21 aprilie 2010], după caz, pentru că, printrun atare procedeu, s-ar ajunge la modificarea/completarea însăși a legii. În consecință, dat fiind faptul că textele legale criticate nu numai că permit o asemenea abordare, dar o și normativizează într-un mod univoc - prin trimiterea extensivă pe care o realizează la actele de reglementare secundară -, Curtea urmează să constate încălcarea art. 1 alin. (5) din Constituție.58. Având în vedere neconstituționalitatea reținută prin raportare la art. 1 alin. (5) și art. 26 din Constituție, Curtea constată că - în lipsa consacrării legale a garanțiilor aferente dreptului la viață intimă, familială și privată, în raport cu conținutul dosarului electronic de sănătate -, dispozițiile legale existente în privința dosarului electronic de sănătate nu mai pot face parte din dreptul pozitiv.59. În fine, Curtea constată că, în funcție de sistemul constituțional al fiecărui stat, astfel de garanții sunt reglementate în diverse acte normative de nivel legal sau infralegal. Cu titlu exemplificativ Curtea reține că printre statele care au reglementat materia dosarului electronic de sănătate prin lege se numără Austria, Cipru, Finlanda, Franța, Germania, Italia, Olanda și Suedia.60. Pentru considerentele expuse mai sus, în temeiul art. 146 lit. d) și al art. 147 alin. (4) din Constituție, al art. 1-3, al art. 11 alin. (1) lit. A.d), al art. 29 și al art. 32-33 din Legea nr. 47/1992, cu unanimitate de voturi,
    CURTEA CONSTITUȚIONALĂ
    În numele legii
    DECIDE:

    Admite excepția de neconstituționalitate ridicată direct de Avocatul Poporului și constată că dispozițiile art. 30 alin. (2) și (3), precum și sintagma „sistemul dosarului electronic de sănătate al pacientului“ din cuprinsul art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătății sunt neconstituționale.
    Definitivă și general obligatorie.
    Decizia se comunică celor două Camere ale Parlamentului, Guvernului și Avocatului Poporului și se publică în Monitorul Oficial al României, Partea I.
    Pronunțată în ședința din data de 17 iulie 2018.
    PREȘEDINTELE CURȚII CONSTITUȚIONALE
    prof. univ. dr. VALER DORNEANU
    Magistrat-asistent-șef,
    Benke Károly

    -----