Valer Dorneanu |
- preşedinte |
Marian Enache |
- judecător |
Petre Lăzăroiu |
- judecător |
Mircea Ştefan Minea |
- judecător |
Daniel Marius Morar |
- judecător |
Mona-Maria Pivniceru |
- judecător |
Livia Doina Stanciu |
- judecător |
Simona-Maya Teodoroiu |
- judecător |
Varga Attila |
- judecător |
Benke Károly |
- magistrat-asistent-şef |
Cu participarea reprezentantului Ministerului Public, procuror Luminiţa Nicolescu.1. Pe rol se află soluţionarea excepţiei de neconstituţionalitate a dispoziţiilor art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii, excepţie ridicată direct de Avocatul Poporului, şi care formează obiectul Dosarului Curţii Constituţionale nr. 3.062D/2016.2. La apelul nominal se prezintă, pentru autorul excepţiei de neconstituţionalitate, doamna Emma Turtoi, şef Birou contencios constituţional şi recurs în interesul legii, din cadrul instituţiei Avocatul Poporului, cu împuternicire depusă la dosar. Procedura de citare este legal îndeplinită.3. Cauza fiind în stare de judecată, preşedintele Curţii acordă cuvântul reprezentantului Avocatului Poporului, care reiterează motivele de neconstituţionalitate cuprinse în excepţia de neconstituţionalitate formulată.4. Reprezentantul Ministerului Public pune concluzii de respingere a excepţiei de neconstituţionalitate ca neîntemeiată, apreciind, în esenţă, că stocarea datelor cu caracter medical ale pacienţilor este necesară pentru a evalua starea de sănătate a pacientului şi, în condiţiile în care accesul la acestea este limitat numai la personalul medical, o asemenea măsură nu încalcă art. 26 din Constituţie. Se mai indică faptul că prelucrarea datelor medicale se face doar cu acordul pacientului. În final se subliniază că există suficiente garanţii cu privire la asigurarea confidenţialităţii datelor astfel stocate, chiar în Legea nr. 677/2001, prin urmare, acestea nu trebuie să fie prevăzute în mod distinct în Legea nr. 95/2006.CURTEA,având în vedere actele şi lucrările dosarului, constată următoarele:5. Prin Adresa nr. 20.849 din 28 noiembrie 2016, înregistrată la Curtea Constituţională cu nr. 11.773 din 28 noiembrie 2016, în temeiul art. 146 lit. d) teza a doua din Constituţie şi al art. 32 din Legea nr. 47/1992, Avocatul Poporului a sesizat Curtea Constituţională cu excepţia de neconstituţionalitate a dispoziţiilor art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii.6. În motivarea excepţiei de neconstituţionalitate se susţine că, în materia asigurării asistenţei medicale, cadrul legal trebuie reglementat într-o manieră care să nu vină în coliziune cu drepturile fundamentale prevăzute de art. 26 din Constituţie, care stabilesc obligaţia autorităţilor publice de a respecta şi ocroti viaţa intimă, familială şi privată. În materia drepturilor personale, regula unanim recunoscută este aceea a garantării şi respectării acestora, respectiv a confidenţialităţii, statul având în acest sens obligaţii majoritar negative, de abţinere, prin care să fie evitată, pe cât posibil, ingerinţa sa în exerciţiului dreptului sau al libertăţii.7. În acest context se observă că dispoziţiile legale criticate prezintă un grad mare de generalitate, deşi privesc un domeniu sensibil, respectiv datele personale de natură medicală, cuprinse în dosarul electronic de sănătate. Legiuitorul s-a limitat la a enunţa în mod generic obligativitatea utilizării dosarului electronic de sănătate al pacientului, fără a stabili în concret garanţii adecvate, menite să asigure protecţia datelor cu caracter personal, cuprinse în cadrul acestuia. De asemenea, s-a rezumat la a reglementa că modalitatea de utilizare şi completare a dosarului antereferit va fi stabilită prin norme metodologice de aplicare a prevederilor referitoare la acesta, care se aprobă prin hotărâre a Guvernului. Astfel, textele analizate fac trimitere la acte normative cu forţă juridică inferioară legii, aşa încât modalitatea de utilizare şi completare a dosarului antereferit se va realiza în baza unei proceduri neprevăzute de lege şi deci „susceptibilă de a fi calificată ca arbitrară". Simpla trimitere, în cazul dat, la o legislaţie infralegală, respectiv la hotărâri ale Guvernului, care trimit, la rândul lor, la ordine - acte normative caracterizate printr-un grad sporit de instabilitate - încalcă principiul legalităţii prevăzut de art. 1 alin. (5) din Constituţie; în acest sens se face referire la Decizia Curţii Constituţionale nr. 17 din 21 ianuarie 2015, paragraful 60. Astfel, cerinţele art. 26 din Constituţie nu mai sunt realizate prin lege, ci prin acte administrative, respectiv Hotărârea Guvernului nr. 34/2015 şi Ordinul ministrului sănătăţii şi al preşedintelui Casei Naţionale de Asigurări de Sănătate nr. 1.123/849/2016.8. Sub acest aspect se reţine caracterul lacunar al normelor care reglementează dosarul electronic de sănătate, de vreme ce regulile substanţiale, esenţiale în materia protecţiei vieţii intime, familiale şi private, precum şi a protecţiei datelor cu caracter personal nu sunt reglementate prin lege. Chiar dacă ipoteza dată poate fi considerată, aparent, o omisiune legislativă, nu poate fi ignorat viciul de neconstituţionalitate existent, deoarece tocmai această omisiune este cea care generează încălcarea Constituţiei. Lăsarea la latitudinea unor autorităţi administrative a accesului la datele reţinute, relativizează cadrul normativ al dosarului antereferit.9. Se arată că asociaţiile medicilor şi cele ale pacienţilor au expus în spaţiul public o serie de temeri cu privire la implicaţiile pe care aplicarea dosarului electronic de sănătate le-ar putea avea asupra vieţii intime, familiale şi private ale persoanelor fizice, precum şi asupra vieţii profesionale a acestora, în condiţiile în care legiuitorul primar nu prevede o serie de garanţii menite să preîntâmpine diseminarea datelor personale cu caracter medical.10. În acest sens se arată că în dosarul electronic de sănătate există o secţiune numită „sumar pentru situaţii de urgenţă", care conţine date vitale pentru pacient, esenţiale medicilor în situaţii de urgenţă, în care „pacientul e inconştient sau nu poate spune medicilor bolile, alergiile cu care a fost diagnosticat şi nici dacă se află sub tratament medicamentos. În această secţiune sunt cuprinse printre altele bolile cronice ale pacientului; bolile hematologice relevante pentru urgenţe medicale; boli transmisibile relevante pentru urgenţe medicale; tratamentele curente; internări recente". De asemenea, se arată că, potrivit asociaţiilor medicilor şi ale pacienţilor, „aceste informaţii sunt accesibile oricând oricărui medic din sistemul medical public şi privat, care e autentificat în sistemul dosarului electronic de sănătate, precum şi faptul că farmaciile, laboratoarele medicale, stomatologii şi orice alt furnizor de servicii medicale din România, autentificat obligatoriu în sistemul dosarului electronic de sănătate, pot avea acces oricând la aceste informaţii din dosarul oricărui pacient din ţară. Această situaţie poate apărea motivată de faptul că sistemul dosarului electronic de sănătate este parte integrantă a platformei informatice din asigurările de sănătate, care este utilizată în mod obligatoriu, la nivelul furnizorilor de servicii medicale, autorizaţi în conformitate cu prevederile legale, de către medicii care îşi desfăşoară activitatea într-o formă legală la aceşti furnizori, pentru toate serviciile medicale acordate pacienţilor, aferente întregii activităţi medicale. Or, potrivit art. 3 din Normele metodologice, prin furnizori de servicii medicale se înţeleg persoanele fizice sau juridice autorizate de Ministerul Sănătăţii pentru a furniza servicii medicale, medicamente şi dispozitive medicale, în conformitate cu prevederile legale".11. Se apreciază că accesul la datele personale medicale ale pacienţilor este permis unei categorii definite mult prea larg. Astfel, cadrul normativ actual, configurat de două acte administrative normative, nu stabileşte criterii obiective, care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate, astfel încât pacienţii ale căror date au fost păstrate în dosarul electronic de sănătate nu pot beneficia de garanţii suficiente, care să le asigure protecţia împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Garanţiile legale privind utilizarea în concret a datelor reţinute nu sunt suficiente şi adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă. Se arată că jurisprudenţa Curţii Constituţionale a subliniat necesitatea existenţei unor prevederi legale care să dispună limitarea la strictul necesar a numărului persoanelor care să aibă acces la datele personale cu caracter medical, indicându-se în acest sens Decizia nr. 17 din 21 ianuarie 2015 şi Decizia nr. 440 din 8 iulie 2014. Se mai invocă jurisprudenţa Curţii Europene a Drepturilor Omului, referitoare la protecţia datelor personale, inclusiv a datelor medicale. În acest sens se arată că respectarea confidenţialităţii datelor medicale este un principiu esenţial în sistemele legale ale statelor-părţi la Convenţie. Dezvăluirea acestor date poate afecta în mod dramatic viaţa privată şi de familie a persoanei, precum şi situaţia sa socială şi profesională, prin expunerea persoanei respective la oprobiul şi riscul de excludere din viaţa publică; sunt indicate în acest sens hotărârile din 17 ianuarie 2012 şi 25 februarie 1997, pronunţate în cauzele Varapnickaitė-Mažylienė împotriva Lituaniei şi Z. împotriva Finlandei. De aceea se arată că este necesar ca legislaţia primară internă să cuprindă reglementări clare şi previzibile, care să nu permită încălcarea art. 26 din Constituţie.12. Cu privire la cadrul european incident în materia asistenţei medicale transfrontaliere este invocată Directiva 2011/24/UE din 9 martie 2011 privind aplicarea drepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere, care stabileşte, în cuprinsul considerentului nr. 25, faptul că dreptul la protecţia datelor cu caracter personal reprezintă un drept fundamental, recunoscut prin art. 8 din Carta drepturilor fundamentale ale Uniunii Europene, în condiţiile în care asigurarea continuităţii asistenţei medicale transfrontaliere depinde de transferul de date cu caracter personal, privind starea de sănătate a pacienţilor; prin urmare, aceste date cu caracter personal ar trebui să poată circula între statele membre, dar, în acelaşi timp, ar trebui respectate drepturile fundamentale ale persoanelor. Directiva 95/46/CE din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date stabileşte dreptul persoanelor fizice de a avea acces la propriile date cu caracter personal privind starea lor de sănătate, de exemplu, datele din dosarele lor medicale, care conţin informaţii precum: diagnostice, rezultate ale examinărilor, evaluări realizate de medicii curanţi şi orice alt tratament sau alte intervenţii realizate. Se susţine că, potrivit art. 4 alin. (2) lit. e) şi f) din Directiva 2011/24/UE din 9 martie 2011, este în responsabilitatea statului membru să respecte dreptul fundamental la protecţia vieţii private, în ceea ce priveşte prelucrarea datelor cu caracter personal, precum şi respectarea dreptului pacienţilor care au beneficiat de tratament într-un alt stat membru, de a avea un dosar medical al tratamentului respectiv, în format pe hârtie sau electronic, şi acces la cel puţin o copie a acestui dosar, în conformitate cu şi sub rezerva măsurilor naţionale de punere în aplicare a dispoziţiilor Uniunii privind protecţia datelor cu caracter personal, în special directivele 95/46/CE şi 2002/58/CE.13. Prin urmare, se arată că aceste acte stabilesc, ca principiu, necesitatea existenţei unui echilibru între asigurarea continuităţii asistenţei medicale, posibilă prin intermediul dosarului electronic de sănătate, şi protecţia drepturilor acestora, în special al dreptului la viaţă intimă, familială şi privată. Astfel, se impune reglementarea la nivelul legislaţiei primare a unor garanţii adecvate pentru utilizarea datelor medicale existente în dosarul electronic de sănătate, care să preîntâmpine orice abuz în utilizarea acestora şi orice accesare sau utilizare ilicită.14. Cu privire la limitările care pot fi aduse art. 8 din Convenţie, privind dreptul la respectarea vieţii private şi de familie, se arată că acestea pot fi realizate „în conformitate cu legea", sintagmă care presupune, pe de o parte, ca măsurile intruzive să aibă o bază legală în dreptul intern, iar, pe de altă parte, acestea trebuie să fie compatibile cu principiul supremaţiei legii. De aceea, legea trebuie să fie accesibilă şi previzibilă, ceea ce înseamnă ca aceasta să fie suficient de precisă, încât să permită părţilor să-şi conformeze conduita potrivit regulii de drept. Pentru ca dreptul intern să întrunească aceste condiţii este necesară şi stabilirea unei protecţii juridice adecvate împotriva arbitrariului şi, ca urmare, să se indice cu suficientă claritate scopul puterii conferite autorităţilor competente şi maniera de exerciţiu al acestei puteri; în acest sens se indică hotărârile Curţii Europene a Drepturilor Omului din 4 decembrie 2008 şi 29 aprilie 2014, pronunţate în cauzele S. şi Marper împotriva Regatului Unit şi L.H. împotriva Letoniei.15. Chiar dacă prevederile Convenţiei sau ale Constituţiei nu interzic consacrarea legislativă a ingerinţei autorităţilor statului în exercitarea drepturilor menţionate, intervenţia statală trebuie să respecte reguli stricte, expres menţionate în art. 8 din Convenţie, cât şi în art. 53 din Constituţie, care prevăd, printre alte condiţii, ca restrângerea exerciţiului dreptului să fie realizată prin lege. Or, în cazul de faţă, ingerinţa în dreptul la viaţă intimă, familială şi privată, generată de utilizarea şi completarea dosarului electronic de sănătate, nu este reglementată prin lege, contrar art. 53 din Constituţie. Restrângerea prin lege a exercitării unui drept reprezintă una dintre cele mai importante garanţii constituţionale ale legalităţii restrângerii. Ea permite controlul de constituţionalitate a legii sau ordonanţei prin care s-ar depăşi cazurile limitativ prevăzute în art. 53 alin. (1) din Constituţie. Expresia „numai prin lege" semnifică interdicţia stabilirii unor restrângeri privind exerciţiul unor drepturi sau libertăţi fundamentale, prin acte juridice inferioare, ca forţă juridică, legii. În acest sens este invocată şi Decizia Curţii Constituţionale nr. 134 din 1 februarie 2011.16. Se apreciază că, în procesul de legiferare, legiuitorul ar trebui să aibă în vedere anumite aspecte menite să garanteze apărarea dreptului la viaţă intimă, familială şi privată şi a dreptului de proprietate asupra datelor personale, respectiv: modalitatea de utilizare a datelor având caracter medical; precizarea limitativă a categoriilor de persoane fizice şi juridice care au acces la informaţiile înscrise în dosarul electronic de sănătate; garanţii adecvate pentru protecţia acestor date faţă de orice accesare şi utilizare ilicită; necesitatea consimţământului pacienţilor, atât pentru constituirea dosarului electronic de sănătate, cât şi pentru utilizarea acestuia (caz în care urmează a fi avuţi în vedere, eventual, şi reprezentanţii legali sau aparţinătorii pacientului); posibilitatea pacienţilor de a refuza includerea în dosar a anumitor informaţii despre starea lor de sănătate, ce îi pot prejudicia, precum şi dreptul acestora de a decide asupra retragerii unor informaţii din propriul dosar electronic de sănătate, în aplicarea prevederilor care, în prezent, se regăsesc în art. 1 alin. (2) din normele metodologice, care proclamă dreptul exclusiv de proprietate al pacientului faţă de informaţiile din propriul dosar. Cu privire la acest ultim aspect se subliniază că, în condiţiile admiterii excepţiei de neconstituţionalitate, actele normate secundare, emise în executarea prevederilor art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006, vor înceta, la rândul lor, să producă efecte juridice.17. În contextul celor prezentate se consideră că textele legale criticate, prin trimiterea pe care o fac la legislaţia infralegală, nu sunt în concordanţă cu garanţiile care însoţesc art. 26 din Constituţie. În vederea asigurării, pe de o parte, a unui climat de ordine, guvernat de principiile unui stat de drept şi democratic, iar, pe de altă parte, a protecţiei persoanei faţă de riscurile la adresa vieţii private, se apreciază că accesul şi utilizarea datelor cuprinse în dosarul electronic de sănătate al pacientului trebuie să se facă în condiţii de maximă securitate, pentru a se înlătura diseminarea, chiar şi accidentală, a oricăror date personale care ar putea aduce prejudicii de orice fel persoanei în cauză.18. Potrivit prevederilor art. 30 alin. (1) şi art. 33 din Legea nr. 47/1992, actul de sesizare a fost comunicat preşedinţilor celor două Camere ale Parlamentului şi Guvernului pentru a-şi exprima punctele de vedere asupra excepţiei de neconstituţionalitate ridicate.19. Guvernul apreciază că excepţia de neconstituţionalitate este neîntemeiată. Se arată că argumentele prezentate reprezintă considerente subiective, care ţin de modalitatea în care autorităţile competente înţeleg să interpreteze şi să aplice dispoziţiile legale respective. Simplul fapt al trimiterii la acte normative infralegale nu constituie ab initio motiv de neconstituţionalitate, cu atât mai mult cu cât acestea trimit la actele respective pentru aspecte procedurale, privind modalitatea de utilizare şi completare a dosarului electronic de sănătate al pacientului, respectiv organizarea şi administrarea Platformei informatice din asigurările de sănătate.20. Se arată că situaţia din dosarul de faţă nu este comparabilă cu cea reţinută în Decizia nr. 17 din 21 ianuarie 2015, astfel încât nu se poate desprinde aceeaşi concluzie, respectiv neconstituţionalitatea textelor legale criticate. În cauza de faţă se arată că este vorba de un dosar electronic medical, în care se au în vedere doar datele cu caracter medical relevante pentru starea de sănătate a unei persoane. În acest sens este invocat art. 1 din Normele metodologice privind modalitatea de utilizare şi completare a dosarului electronic de sănătate al pacientului, aprobate prin Hotărârea Guvernului nr. 34/2015. Utilizarea informaţiilor respective se face cu respectarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cadrul general în materie, ale cărei reguli generale şi specifice sunt deja cunoscute şi respectate de utilizatorii unor astfel de date, în speţă, de către cei care folosesc, potrivit competenţelor legale, sistemul medical. Prin urmare, se apreciază că nu poate fi reţinută încălcarea art. 1 alin. (5) din Constituţie.21. Stocarea, cu respectarea legislaţiei în vigoare cu privire la protecţia datelor cu caracter personal, a unor informaţii medicale, la care au acces doar persoane specializate din acest domeniu, nu face decât să creeze posibilitatea ca instituţiile competente să dispună de informaţii corecte şi complete, cu privire la starea de sănătate a unei persoane, astfel încât aceasta să poată beneficia de cea mai bună soluţie medicală individuală. Prin urmare, se apreciază că dispoziţiile legale criticate nu produc în sine o restrângere a dreptului fundamental la viaţă intimă, familială şi privată.22. Preşedinţii celor două Camere ale Parlamentului nu au comunicat punctele lor de vedere asupra excepţiei de neconstituţionalitate.CURTEA,examinând actul de sesizare, punctul de vedere al Guvernului, raportul întocmit de judecătorul-raportor, concluziile reprezentantului autorului excepţiei de neconstituţionalitate, concluziile procurorului, dispoziţiile legale criticate, raportate la prevederile Constituţiei, precum şi Legea nr. 47/1992, reţine următoarele:23. Curtea Constituţională a fost legal sesizată, potrivit dispoziţiilor art. 146 lit. d) teza a doua din Constituţie, precum şi ale art. 1 alin. (2), ale art. 2, 3, 10, 29, 32 şi 33 din Legea nr. 47/1992, să soluţioneze excepţia de neconstituţionalitate.24. Obiectul excepţiei de neconstituţionalitate, astfel cum a fost formulat, îl constituie dispoziţiile art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii, republicată în Monitorul Oficial al României, Partea I, nr. 652 din 28 august 2015. În realitate, criticile de neconstituţionalitate vizează dispoziţiile art. 30 alin. (2) şi (3), precum şi sintagma „sistemul dosarului electronic de sănătate al pacientului" din cuprinsul art. 280 alin. (2) din Legea nr. 95/2006, texte asupra cărora Curtea urmează să se pronunţe prin prezenta decizie. Acestea fac parte din dreptul pozitiv la data pronunţării prezentei decizii [a se vedea Decizia nr. 64 din 9 februarie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 145 din data de 27 februarie 2017, paragraful 45] şi au următorul cuprins:– Art. 30 alin. (2) şi (3): „(2) Unităţile prevăzute la alin. (1) au obligaţia asigurării condiţiilor de mobilitate a informaţiei medicale în format electronic, prin utilizarea sistemului dosarului electronic de sănătate al pacientului. În situaţia în care se utilizează un alt sistem informatic, acesta trebuie să fie compatibil cu acest sistem din platforma informatică din asigurările de sănătate, caz în care furnizorii sunt obligaţi să asigure condiţiile de securitate şi confidenţialitate în procesul de transmitere a datelor.
(3) Modalitatea de utilizare şi completare a dosarului electronic de sănătate al pacientului va fi stabilită prin norme metodologice de aplicare a prevederilor referitoare la dosarul electronic de sănătate al pacientului, care se aprobă prin hotărâre a Guvernului.";– Art. 280 alin. (2): „(2) CNAS [Casa Naţională de Asigurări de Sănătate - sn.] organizează şi administrează Platforma informatică din asigurările de sănătate, care cuprinde: sistemul informatic unic integrat, sistemul naţional al cardului de asigurări sociale de sănătate, sistemul naţional de prescriere electronică şi sistemul dosarului electronic de sănătate al pacientului, asigurând interoperabilitatea acestuia cu soluţiile de e-Sănătate la nivel naţional, pentru utilizarea eficientă a informaţiilor în elaborarea politicilor de sănătate şi pentru managementul sistemului de sănătate".25. Art. 30 alin. (1) din Legea nr. 95/2006, la care trimite alin. (2) al aceluiaşi articol, reglementează unităţile prin care se asigură asistenţa medicală profilactică şi curativă, respectiv cabinetele medicale ambulatorii ale medicilor de familie şi de alte specialităţi, centrele de diagnostic şi tratament, centrele medicale, centrele de sănătate, laboratoarele, alte unităţi sanitare publice şi private, precum şi unităţile sanitare publice şi private cu paturi. 26. Textele constituţionale invocate în susţinerea excepţiei de neconstituţionalitate sunt cele ale art. 1 alin. (5) privind calitatea legii, art. 26 privind viaţa intimă, familială şi privată, şi art. 53 privind restrângerea exerciţiului unor drepturi sau libertăţi fundamentale. De asemenea, se mai invocă şi prevederile art. 8 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale, privind dreptul la respectarea vieţii private şi de familie. 27. Examinând excepţia de neconstituţionalitate, Curtea reţine că, în precedent, s-a pronunţat asupra constituţionalităţii dispoziţiilor art. 330-338 din Legea nr. 95/2006, referitoare la cardul naţional de asigurări sociale de sănătate, reţinând, prin Decizia nr. 204 din 31 martie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 430 din 16 iunie 2015, paragraful 47, că acesta nu cuprinde date medicale, ci doar următoarele informaţii: a) numele, prenumele, precum şi codul numeric personal ale asiguratului; b) codul unic de identificare în sistemul de asigurări sociale de sănătate; c) numărul de identificare al cardului naţional de asigurări sociale de sănătate. Desigur, şi aceste date au caracter personal, dar nu medical. În aceste condiţii, Curtea nu a analizat criticile de neconstituţionalitate referitoare la pretinsa înscriere pe card/cipul cardului a datelor medicale, ci a stabilit că există garanţii adecvate şi suficiente pentru protecţia datelor cu caracter personal înscrise - aşadar, altele decât cele medicale - şi, în consecinţă, a constatat constituţionalitatea prevederilor legale criticate. Prin urmare, situaţia de faţă, supusă atenţiei Curţii Constituţionale, este diferită de cea analizată în precedent, întrucât dosarul electronic de sănătate cuprinde „informaţii medicale", potrivit art. 30 alin. (2) din Legea nr. 95/2006. 28. Curtea constată că autorul excepţiei de neconstituţionalitate îşi axează, în principal, critica formulată pe faptul că textele legale criticate nu cuprind garanţii cu privire la asigurarea protecţiei datelor cu caracter personal, de natură medicală, cuprinse în dosarul electronic de sănătate, reglementarea acestora fiind lăsată la nivelul legislaţiei secundare, respectiv Hotărârea Guvernului nr. 34/2015 pentru aprobarea Normelor metodologice privind modalitatea de utilizare şi completare a dosarului electronic de sănătate al pacientului, publicată în Monitorul Oficial al României, Partea I, nr. 65 din 26 ianuarie 2015, şi Ordinul ministrului sănătăţii şi al preşedintelui Casei Naţionale de Asigurări de Sănătate nr. 1.123/849/2016 pentru aprobarea datelor, informaţiilor şi procedurilor operaţionale necesare utilizării şi funcţionării dosarului electronic de sănătate (DES) al pacientului, publicat în Monitorul Oficial al României, Partea I, nr. 806 din 13 octombrie 2016. 29. Într-adevăr, întreaga materie a dosarului electronic de sănătate este reglementată în actele de reglementare secundară, legea nefăcând altceva decât să introducă sistemul dosarului electronic de sănătate al pacientului în sistemul normativ de reglementare primară. Referirile la acesta, în corpul Legii nr. 95/2006, aşadar, într-un act normativ de reglementare primară, sunt sumare şi fără consistenţă. Prin urmare, revine Curţii Constituţionale sarcina de a analiza dacă datele cuprinse în dosarul electronic de sănătate, respectiv informaţiile medicale, sunt date care privesc viaţa intimă, familială şi privată a persoanei, iar, în cazul în care Curtea ajunge la o concluzie afirmativă, urmează să stabilească dacă protecţia acestora ţine de nivelul actelor de reglementare primară sau secundară. 30. Cu privire la prima problemă ridicată, Curtea reţine că datele personale şi procesarea acestor informaţii ţin de viaţa privată a individului [a se vedea Hotărârea din 4 mai 2000, pronunţată în Cauza Rotaru împotriva României, paragraful 43, sau Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragraful 35]. Orice informaţie de natură medicală intră în categoria datelor cu caracter personal [Hotărârea din 10 octombrie 2006, pronunţată în Cauza L.L. împotriva Franţei, paragraful 32]. Obiectul art. 8 din Convenţie este acela de a proteja individul de ingerinţa arbitrară a autorităţilor publice; el nu obligă statul doar să se abţină de la astfel de ingerinţe, ci, suplimentar acestei obligaţii negative, pot exista obligaţii pozitive inerente, în vederea respectării efective a vieţii private sau de familie. Aceste obligaţii pot implica adoptarea de măsuri concepute pentru a apăra respectarea vieţii private, chiar şi în sfera relaţiilor dintre indivizi [Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragraful 36]. Prin urmare, sfera de cuprindere a dispoziţiilor art. 8 din Convenţie priveşte informaţiile personale referitoare la pacienţi [Hotărârea din 17 ianuarie 2012, pronunţată în Cauza Varapnickaitė-Mažylienė împotriva Lituaniei, paragraful 41]. 31. Garantarea securităţii datelor medicale împotriva accesului neautorizat reprezintă, în termenii Convenţiei, obligaţia pozitivă a statului de a apăra respectarea vieţii private a pacientului, prin intermediul unui sistem de reguli şi garanţii de protecţie a datelor [Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragraful 37]. 32. Protecţia datelor personale, în special a celor medicale, are o importanţă fundamentală pentru ca persoana să se bucure de dreptul său la respectarea vieţii de familie şi private, garantat de art. 8 din Convenţie. Respectarea confidenţialităţii datelor privind sănătatea este un principiu vital în sistemul juridic al statelor-părţi la Convenţie. Este crucială nu numai respectarea vieţii private a pacientului, ci şi menţinerea încrederii în corpul medical şi în serviciile medicale în general [Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragraful 38]. Legislaţia internă trebuie, prin urmare, să prevadă garanţii adecvate pentru a preveni orice comunicare sau divulgare de date cu caracter personal referitoare la sănătate, care nu sunt în conformitate cu garanţiile prevăzute de articolul 8 din Convenţie [Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragraful 38, Hotărârea din 25 februarie 1997, pronunţată în Cauza Z. împotriva Finlandei, paragraful 95, sau Hotărârea din 10 octombrie 2006, pronunţată în Cauza L.L. împotriva Franţei, paragraful 44]. Fără o astfel de protecţie, cei ce au nevoie de asistenţă medicală pot fi împiedicaţi în a-şi găsi tratamentul corespunzător, punându-şi în pericol propria sănătate [Hotărârea din 6 iunie 2013, pronunţată în Cauza Avilkina şi alţii împotriva Rusiei, paragraful 45], precum şi pe cea a comunităţii, în cazul bolilor transmisibile [Hotărârea din 25 februarie 1997, pronunţată în Cauza Z. împotriva Finlandei, paragraful 95]. 33. Dezvăluirea datelor medicale poate afecta în mod serios viaţa familială şi privată a persoanei, precum şi situaţia socială şi de muncă a acesteia, prin expunerea ei la oprobriul public şi la riscul ostracizării [Hotărârea din 17 ianuarie 2012, pronunţată în Cauza Varapnickaitė-Mažylienė împotriva Lituaniei, paragraful 44, sau Hotărârea din 6 iunie 2013, pronunţată în Cauza Avilkina şi alţii împotriva Rusiei, paragraful 45]. 34. Curtea Europeană a Drepturilor Omului recunoaşte, în acelaşi timp, că protecţia confidenţialităţii datelor medicale, care este în interesul pacientului, precum şi a întregii comunităţi poate uneori să treacă în plan secund în raport cu necesitatea de a investiga infracţiunile, de a-i urmări pe autori şi pentru a proteja publicitatea procedurilor judiciare, atunci când se dovedeşte că interesele din urmă sunt de o importanţă şi mai mare. În ceea ce priveşte problemele legate de accesul publicului la date cu caracter personal, Curtea de la Strasbourg a statuat că autorităţilor naţionale competente ar trebui să li se acorde o anumită marjă de apreciere, pentru a găsi un echilibru echitabil între protecţia publicităţii procedurilor judiciare, pe de o parte, şi interesele unei părţi sau ale unei terţe părţi de a păstra aceste date confidenţiale, pe de altă parte. Dimensiunea marjei de apreciere în acest sens depinde de factori precum natura şi importanţa intereselor în cauză şi gravitatea intervenţiei [Hotărârea din 25 februarie 1997, pronunţată în cauza Z. împotriva Finlandei, paragrafele 97 şi 99]. 35. Dezvăluirea unor date medicale în favoarea unei agenţii publice de asigurări sociale de către o clinică privată nu este contrară art. 8 din Convenţie, atât timp cât: (1) persoana a depus o cerere de acordare a unei indemnizaţii pentru handicap la acea entitate publică, bazată tocmai pe problema medicală ale cărei date se aflau în posesia clinicii private; (2) datele cerute erau strict necesare pentru soluţionarea respectivei cereri; (3) datele solicitate erau relevante; (4) atât personalul clinicii private, cât şi cel al autorităţii publice erau ţinuţi de obligaţia de confidenţialitate, în caz contrar putându-se angaja răspunderea civilă sau penală a acestora [Hotărârea din 27 august 1997, pronunţată în Cauza M.S. împotriva Suediei, paragrafele 39-44]. Pe de altă parte, dezvăluirea unor date medicale în favoarea unui ziar, a unui procuror sau angajatorului pacientului, precum şi colectarea datelor medicale ale pacientului, de către o instituţie responsabilă în monitorizarea calităţii actului medical, constituie ingerinţe în dreptul la viaţă privată, urmând a fi analizate, de la caz la caz, prin intermediul testului de proporţionalitate [Hotărârea din 17 mai 2016, pronunţată în Cauza Fürst-Pfeifer împotriva Austriei, paragraful 44, Hotărârea din 29 aprilie 2014, pronunţată în Cauza L.H. împotriva Letoniei, paragraful 33, Hotărârea din 15 aprilie 2014, pronunţată în Cauza Radu împotriva Republicii Moldova, paragraful 27, Hotărârea din 6 iunie 2013, pronunţată în Cauza Avilkina şi alţii împotriva Rusiei, paragraful 54, şi Hotărârea din 25 noiembrie 2008, pronunţată în Cauza Armonienė împotriva Lituaniei, paragraful 43]. 36. Curtea Europeană a Drepturilor Omului a constatat, de asemenea, că stocarea şi colectarea datelor de sănătate ale unei persoane pentru o perioadă lungă de timp, împreună cu dezvăluirea şi utilizarea acestor date, fără a avea o legătură cu scopul iniţial al colectării acestora, constituie o ingerinţă disproporţionată în dreptul la respectarea vieţii private [Hotărârea din 26 ianuarie 2017, pronunţată în Cauza Surikov împotriva Ucrainei, paragrafele 70 şi 89, privind divulgarea motivelor medicale în temeiul cărora un angajat a fost scutit de efectuarea serviciului militar]. 37. În cauza de faţă, Curtea constată că instituirea dosarului electronic de sănătate s-a realizat prin lege, fără ca aceasta să prevadă datele pe care dosarul urmează a le cuprinde. Desigur, din denumirea acestuia şi din referirea pe care textul art. 30 alin. (2) o face la „mobilitatea informaţiei medicale", poate fi dedus faptul că el cuprinde date medicale, însă abia prin art. 1 din normele metodologice se stabileşte că dosarul electronic de sănătate „reprezintă înregistrări electronice consolidate la nivel naţional, cuprinzând date şi informaţii medicale relevante pentru medici şi pacienţi" şi „conţine date şi informaţii clinice, biologice, diagnostice şi terapeutice, personalizate, acumulate pe tot parcursul vieţii pacienţilor, aceştia fiind şi proprietarii de drept ai acestor informaţii/date". În consecinţă, întrucât legea nu prevede obiectul dosarului electronic de sănătate, numai din coroborarea textului legal cu cel al normelor metodologice, în interpretarea normei, se poate ajunge la concluzia că dosarul electronic de sănătate cuprinde date personale de natură medicală. 38. În continuare, Curtea reţine că instituirea dosarului electronic medical reprezintă o măsură luată de stat, în considerarea asigurării sănătăţii publice. În acest sens, art. 34 alin. (2) din Constituţie prevede că „(2) Statul este obligat să ia măsuri pentru asigurarea igienei şi a sănătăţii publice". 39. Dreptul la ocrotirea sănătăţii persoanei presupune, din partea statului, două obligaţii principale, şi anume: de abţinere, respectiv de a nu aduce atingere sănătăţii persoanei prin recurgerea la acţiuni violente/nonviolente (obligaţia negativă), şi de asigurarea cadrului necesar protejării dreptului (obligaţie pozitivă). 40. Opţiunea statului în sensul creării unui mecanism modern/suplu prin intermediul căruia unităţile medicale să consemneze istoricul medical al pacientului şi să i-l pună la dispoziţie acestuia, sub forma dosarului electronic de sănătate, nu pune în discuţie în sine o limitare a dreptului la viaţă intimă, familială sau privată; din contră, acesta poate fi o măsură adecvată, dată în aplicarea dreptului la ocrotirea sănătăţii. În schimb, datele introduse în acest dosar electronic intră în sfera de protecţie a dispoziţiilor art. 26 din Constituţie, întrucât sunt date medicale, care, la rândul lor, reprezintă date cu caracter personal, definite ca „orice informaţii privind o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale" [art. 4 pct. 1 din Regulamentul 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicat în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016]. Indiferent că evidenţa acestor date este realizată pe suport hârtie sau electronic, introducerea/consultarea acestora reprezintă o formă de prelucrare a acestora. Conform art. 4 pct. 2 din Regulamentul 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016, noţiunea de prelucrare înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea. 41. Astfel, obligaţia unităţilor medicale care asigură asistenţa medicală profilactică şi curativă de a consemna/actualiza/ consulta informaţiile medicale ale pacientului în cadrul dosarului medical al acestuia reprezintă o măsură care sprijină realizarea obligaţiei pozitive a statului de a asigura sănătatea publică, dar şi o prelucrare a datelor cu caracter medical. Însă exercitarea obligaţiei pozitive a statului de a crea condiţiile optime asigurării sănătăţii publice trebuie realizată cu respectarea garanţiilor asociate dreptului la viaţă intimă, familială şi privată a pacientului. Astfel, dacă statul se manifestă activ, în sensul că îşi exercită marja sa de apreciere în cadrul obligaţiei sale pozitive de a apăra dreptul la ocrotirea sănătăţii, acesta trebuie să se manifeste, de asemenea, activ în cadrul obligaţiilor pozitive care îi incumbă prin raportare la dreptul la viaţa intimă, familială şi privată. 42. Cu alte cuvinte, dacă statul a instituit, prin lege, o măsură în aplicarea dreptului la ocrotirea sănătăţii persoanei, tot acestuia îi revine obligaţia de a proteja şi garanta caracterul confidenţial al informaţiilor medicale prelucrate, printr-un act normativ de acelaşi nivel, respectiv prin lege. Astfel, din acest punct de vedere, obligaţiile pozitive asociate celor două drepturi sunt corelative şi interdependente, trebuind să existe un just echilibru între acestea. Statului nu îi este permis ca, protejând un drept constituţional, să o facă în detrimentului celuilalt drept deopotrivă ocrotit, pentru că s-ar putea ajunge la situaţia în care afectarea acestuia din urmă să fie atât de puternică, încât avantajul iniţial obţinut să apară ca fiind nesemnificativ în această ecuaţie. Prin urmare, la nivel normativ, complementaritatea şi proporţionalitatea trebuie să caracterizeze relaţia dintre cele două drepturi constituţionale antereferite. 43. Raportat la situaţia de faţă, din examinarea art. 30 alin. (2) şi (3) şi art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii rezultă că de lege lata s-a considerat a fi suficient faptul ca, prin lege, să fie reglementate următoarele aspecte: instituirea dosarului electronic de sănătate; stabilirea administratorului platformei informatice din asigurările de sănătate, respectiv Casa Naţională de Asigurări de Sănătate, din care face parte şi sistemul dosarului electronic de sănătate al pacientului; instituirea obligaţiei asigurării condiţiilor de mobilitate a informaţiei medicale în format electronic; stabilirea titularilor obligaţiei antereferite; ipoteza în care se utilizează un alt sistem informatic, acesta trebuind să fie compatibil cu sistemul din platforma informatică din asigurările de sănătate, caz în care furnizorii sunt obligaţi să asigure condiţiile de securitate şi confidenţialitate în procesul de transmitere a datelor. 44. Curtea constată că prevederile anterior menţionate sunt departe de a constitui, prin ele însele, garanţii ale respectării dreptului la viaţă intimă, familială şi privată. Ele, în realitate, reprezintă elementele de bază ale organizării şi asigurării funcţionării noului sistem electronic conceput de legiuitor. Or, astfel cum s-a arătat anterior, organizarea unui astfel de sistem în considerarea obligaţiei pozitive a statului de a lua măsuri în sensul protejării dreptului la ocrotirea sănătăţii implică, în mod necesar, obligaţia pozitivă a acestuia, asociată protejării şi garantării dreptului înscris în art. 26 din Constituţie. 45. În legătură cu acest aspect se constată că legea tace, neprevăzând nicio măsură care să poată fi calificată drept garanţie a dreptului la viaţă intimă, familială sau privată. Prin urmare, prin prisma celor anterior expuse, statul nu a acordat nicio atenţie acestor garanţii, ele fiind aşadar ignorate în corpul legii. 46. Faptul că legea indică titularii dreptului de a asigura condiţiile de mobilitate a informaţiei medicale în format electronic nu poate fi văzut decât ca o măsură strict organizatorică, textul legii neindicând cine, în ce moment şi ce date introduce în dosarul electronic de sănătate; mai mult, nu se indică nici ce tip de acces este asociat unei astfel de operaţiuni. Astfel că sfera largă pe care o presupune sintagma „unităţi medicale", care asigură „mobilitatea informaţiei medicale", conduce la concluzia că un număr nedeterminat de persoane, într-un număr nedeterminat de situaţii, pot introduce date medicale nedeterminate în acel dosar. De altfel, nici noţiunea de „mobilitate a informaţiei medicale" nu este definită, ceea ce indică faptul că nu se cunoaşte ce fel de informaţie medicală este introdusă, care dintre aceste informaţii sunt supuse mobilităţii şi cine are acces la informaţia devenită „mobilă". Mai mult, nu reiese scopul pentru care este introdusă şi eventual folosită informaţia medicală. Astfel, Curtea constată că o măsură pozitivă a statului, chiar bine intenţionată, poate produce efecte negative de o amploare deosebită în privinţa vieţii private a persoanei. 47. Reglementarea dosarului electronic de sănătate apare astfel ca fiind o intruziune a statului în viaţa intimă, familială şi privată a persoanei. Chiar dacă reprezintă un mijloc prin intermediul căruia statul îşi îndeplineşte obligaţia constituţională de a ocroti sănătatea individului, intervenţia etatică apare ca fiind una ordonatoare, imperativă pentru persoană, în sensul stocării datelor medicale ale persoanei pe o anumită platformă electronică, fără ca aceasta să se poată împotrivi în vreun fel. 48. De principiu, instituirea şi gestionarea de către stat a unui dosar electronic de sănătate nu încalcă art. 26 sau art. 34 din Constituţie, cele două texte constituţionale antereferite aflânduse într-un just echilibru, în condiţiile în care dreptul la viaţă intimă, familială şi privată, consacrat de art. 26 din Constituţie, nu poate fi conceput ca fiind un drept absolut, el cunoscând limitări, implicit admise în favoarea altor texte constituţionale, astfel cum este situaţia de faţă. Însă Avocatul Poporului nu contestă faptul că dreptul prevăzut la art. 26 din Constituţie nu poate fi limitat, în raport cu art. 34, ci modul în care s-a realizat limitarea, care duce la o nesocotire a garanţiilor asociate art. 26 din Constituţie, dezechilibrând relaţia dintre aceste două texte constituţionale. Aşadar, ar rezulta că, deşi ţinerea unui dosar electronic de sănătate nu încalcă nici art. 26 şi nici art. 34 din Constituţie, printr-o redactare legală defectuoasă se poate ajunge în situaţia în care legiuitorul să neglijeze fie dreptul la viaţă intimă, familială şi privată şi să îl treacă în plan secund, fie dreptul la ocrotirea sănătăţii, ceea ce nu este de dorit. Astfel, deşi Constituţia normativizează o relaţie de echilibru între aceste două texte, expresia lor legală acordă o prevalenţă unuia sau altuia, cu desconsiderarea esenţei celuilalt, ceea ce nu poate conduce decât la constatarea neconstituţionalităţii textului legal în raport cu textul constituţional încălcat. 49. Raportat la cauza de faţă, Curtea constată că, deşi ingerinţa legală în dreptul prevăzut la art. 26 din Constituţie poate avea un scop legitim (ocrotirea sănătăţii persoanei prin ordonarea istoricului său medical şi ţinerea acestuia de către o autoritate de stat), este adecvată şi necesară scopului propus, ea nu păstrează un just echilibru între interesele concurente, anume: interesul statului în legătură cu sănătatea publică, interesul persoanei de a-i fi ocrotită sănătatea, dar şi interesul persoanei de a-i fi protejată viaţa intimă, familială şi privată. 50. Nu este îndeajuns ca protejarea datelor medicale să fie realizată printr-o legislaţie infralegală, Curtea, în numeroase cazuri, avertizând că actele de reglementare secundară, exempli gratia, hotărâri ale Guvernului, sunt oricum caracterizate printr-un grad sporit de instabilitate sau inaccesibilitate [a se vedea în acest sens Decizia nr. 17 din 21 ianuarie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 79 din 30 ianuarie 2015, paragrafele 67 şi 94, Decizia nr. 51 din 16 februarie 2016, publicată în Monitorul Oficial al României, Partea I, nr. 190 din 14 martie 2016, paragraful 47, sau Decizia nr. 61 din 7 februarie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 219 din 30 martie 2017, paragraful 42]. Se observă că garanţii pentru asigurarea dreptului constituţional prevăzut de art. 26 sunt cuprinse într-o hotărâre a Guvernului, însă o asemenea manieră de reglementare este total neadecvată, fragilizând, în mod nepermis, protecţia constituţională a vieţii intime, familiale şi private. Practic, autoritatea administrativă poate oricând modifica standardele de garanţii asociate acestui drept, prin emiterea unor acte administrative normative, cetăţeanul/pacientul fiind astfel la bunul plac al autorităţii administrative. Or, o protecţie adecvată a acestui drept este cea stabilită printr-o lege, ceea ce nu este cazul în speţa de faţă. În consecinţă, textele criticate încalcă art. 26 din Constituţie. 51. De asemenea, principial, o reglementare cu caracter primar este cea care se bucură de forţa juridică a legii şi de o stabilitate în consecinţă, astfel că pare chiar impropriu ca o măsură de natura legii, dată în aplicarea art. 34 din Constituţie, să cunoască limitări printr-o hotărâre a Guvernului, considerată a fi suficientă pentru respectarea art. 26 din Constituţie. Într-o atare modalitate de reglementare se ajunge la o restructurare/reconfigurare a legii, prin intermediul actului administrativ, ceea ce este de neconceput. Ar rezulta că limitele unei ingerinţe etatice prevăzute de lege sunt fixate printr-un act administrativ, emis chiar în baza acelei legi, ceea ce încalcă art. 1 alin. (5) din Constituţie. 52. Prin urmare, revine legiuitorului obligaţia de a reglementa garanţiile asociate dreptului la viaţă intimă, familială şi privată. Această obligaţie trebuie să se materializeze prin lege, în sens de instrumentum. În centrul acestor garanţii legale trebuie să se regăsească consimţământul pacientului. Legiuitorul are drept obligaţie constituţională, prin prisma art. 26, să nu condiţioneze actul medical în sine de efectuarea înscrierilor în dosarul electronic de sănătate, neexistând un raport de corespondenţă directă între acestea. De asemenea, consimţământul trebuie să fie unul liber, ce nu poate fi stimulat prin oferirea unor posibile avantaje medicale sau de altă natură (economice), pentru că, în acest caz, s-ar ajunge la vicierea indirectă a acestuia. S-ar ajunge la situaţia în care omul ar fi tratat drept obiect, cu desconsiderarea principiilor subiective care caracterizează fiinţa umană, ceea ce este contrar demnităţii umane [a se vedea mutatis mutandis şi Decizia Tribunalului Constituţional Federal german 2 BVerfGE 45, 187, în care Curtea a impus formula obiect-subiect în analiza încălcării demnităţii umane]. Persoana, mai ales dacă este vorba despre sănătatea sa, vădeşte o vulnerabilitate aparte şi este tentată să accepte, total şi necondiţionat, măsurile legislative promovate de stat şi care îi sunt propuse spre acceptare, fără a mai analiza justul echilibru care trebuie să existe între dreptul la ocrotirea sănătăţii şi cel la viaţă intimă, familială şi privată. Mai mult, persoana este cu atât mai vulnerabilă cu cât se află într-o stare fizică/emoţională care nu îi mai permite să aprecieze în mod obiectiv cu privire la consimţământul său. De aceea, cadrul normativ nu trebuie să o desconsidere şi să o plaseze într-un plan secund în raport cu dorinţa statului de a ţine un dosar electronic de sănătate şi/sau de a centraliza diverse date medicale (ca măsură obiectivă de ocrotire a sănătăţii publice). Aceleaşi consideraţii se impun şi în privinţa modului în care este tratată persoana care nu îşi dă consimţământul pentru prelucrarea datelor sale medicale în cadrului dosarului electronic de sănătate. 53. Totodată, este de datoria statului să se asigure de faptul că cei care acţionează în numele său nu îşi compromit propria demnitate umană, chiar presupunând că aceştia, la nivel personal, nu consideră că, în îndeplinirea sarcinilor de serviciu, încalcă drepturile pacientului. Practic, obligaţia pozitivă a statului de a reglementa un cadru normativ care să respecte demnitatea umană nu trebuie să îl pună nici pe angajatul statului şi nici pe pacient în situaţia de a obliga, respectiv de a-şi da consimţământul, chiar dacă aceştia, la nivel subiectiv, nu realizează faptul că îşi încalcă propria demnitate. Astfel, cadrul legislativ în sine trebuie să preîntâmpine posibilitatea ca, prin modul lor de acţiune, cele două categorii de persoane să îşi încalce propria lor demnitate umană. 54. Prelucrarea datelor cu caracter medical trebuie astfel reglementată încât să asigure confidenţialitatea acestora. La acest moment, Curtea nu este în măsură să analizeze dacă garanţiile cuprinse în actele de reglementare secundară sunt suficiente sau nu, ori dacă ar trebui completate cu alte garanţii, o asemenea sarcină şi competenţă putând fi exercitate numai după ce ele vor fi transpuse în lege. Trebuie reamintit faptul că garanţiile asociate protecţiei acestor date, chiar reglementate la nivel legal, trebuie să aibă un standard înalt de apărare a confidenţialităţii datelor medicale ale pacientului. De asemenea, legea trebuie să prevadă, în mod expres, atât natura răspunderii, cât şi sancţiunile - care în sine trebuie să fie corespondente ca intensitate standardului înalt de protecţie a datelor medicale - aplicabile persoanelor implicate în gestionarea dosarului electronic de sănătate, în cazul încălcării obligaţiilor şi garanţiilor ce urmează a fi reglementate prin lege. 55. Curtea constată că Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 790 din 12 decembrie 2001, în contextul intrării în vigoare a Regulamentului 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016, a fost abrogată prin art. V alin. (1) din Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 503 din 19 iunie 2018. Având în vedere această situaţie normativă şi caracterul direct aplicabil al regulamentului antereferit, legiuitorul trebuie să asigure o protecţie specifică datelor medicale, prin stabilirea unor garanţii puternice, care să ateste nivelul înalt de protecţie a datelor cu caracter medical. 56. Se mai reţine că, prin Decizia nr. 298 din 29 martie 2006, publicată în Monitorul Oficial al României, Partea I, nr. 372 din 28 aprilie 2006, Curtea, în cadrul controlului a priori de constituţionalitate exercitat cu privire la Legea privind reforma în domeniul sănătăţii, a observat că „textele de lege criticate prevăd adoptarea ulterioară a numeroase hotărâri ale Guvernului, ordine, instrucţiuni şi alte asemenea acte ale conducătorilor ministerelor şi ale unor organe ale administraţiei publice centrale de specialitate, pentru aprobarea unor regulamente, statute, metodologii sau norme cu caracter predominant tehnic. Curtea, însă, are în vedere că, potrivit art. 108 alin. (2) din Constituţie şi art. 75 [devenit, în urma unei noi republicări a legii, art. 77 - s.n.] din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată în Monitorul Oficial al României, Partea I, nr. 777 din 25 august 2004, se impune ca aceste reglementări să fie emise numai pe baza şi în executarea legii. Aceste reglementări, fiind norme secundare, emise în aplicarea şi executarea legii, trebuie să aibă caracter tehnic. În plus, Curtea reţine că autorităţile publice au obligaţia constituţională de a-şi exercita atribuţiile cu bună-credinţă, în limitele competenţei, neputându-se, aşadar, prezuma elaborarea acestor acte juridice cu încălcarea Constituţiei". 57. Relaţiile sociale sunt reglementate primar prin legi/ordonanţe de urgenţă/ordonanţe, în timp ce actele administrative cu caracter normativ pot organiza punerea în executare sau executarea acestora, după caz, fără ca ele însele să fie izvor primar de drept. Reglementarea unor norme primare în corpul unui act de reglementare secundară reprezintă o contradicţie în termeni. Astfel, acest din urmă act trebuie să se limiteze strict la organizarea punerii în executare sau la executarea dispoziţiilor primare, şi nu să reglementeze el însuşi astfel de dispoziţii. De aceea, actele administrative cu caracter normativ, fie ele hotărâri ale Guvernului sau ordine ale miniştrilor, nu pot, prin conţinutul lor normativ, să excedeze domeniului organizării executării actelor de reglementare primară [art. 108 alin. (2) din Constituţie], respectiv a executării acestora sau a hotărârilor Guvernului [art. 77 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată în Monitorul Oficial al României, Partea I, nr. 260 din 21 aprilie 2010], după caz, pentru că, printrun atare procedeu, s-ar ajunge la modificarea/completarea însăşi a legii. În consecinţă, dat fiind faptul că textele legale criticate nu numai că permit o asemenea abordare, dar o şi normativizează într-un mod univoc - prin trimiterea extensivă pe care o realizează la actele de reglementare secundară -, Curtea urmează să constate încălcarea art. 1 alin. (5) din Constituţie. 58. Având în vedere neconstituţionalitatea reţinută prin raportare la art. 1 alin. (5) şi art. 26 din Constituţie, Curtea constată că - în lipsa consacrării legale a garanţiilor aferente dreptului la viaţă intimă, familială şi privată, în raport cu conţinutul dosarului electronic de sănătate -, dispoziţiile legale existente în privinţa dosarului electronic de sănătate nu mai pot face parte din dreptul pozitiv. 59. În fine, Curtea constată că, în funcţie de sistemul constituţional al fiecărui stat, astfel de garanţii sunt reglementate în diverse acte normative de nivel legal sau infralegal. Cu titlu exemplificativ Curtea reţine că printre statele care au reglementat materia dosarului electronic de sănătate prin lege se numără Austria, Cipru, Finlanda, Franţa, Germania, Italia, Olanda şi Suedia. 60. Pentru considerentele expuse mai sus, în temeiul art. 146 lit. d) şi al art. 147 alin. (4) din Constituţie, al art. 1-3, al art. 11 alin. (1) lit. A.d), al art. 29 şi al art. 32-33 din Legea nr. 47/1992, cu unanimitate de voturi, CURTEA CONSTITUŢIONALĂ În numele legii DECIDE: Admite excepţia de neconstituţionalitate ridicată direct de Avocatul Poporului şi constată că dispoziţiile art. 30 alin. (2) şi (3), precum şi sintagma „sistemul dosarului electronic de sănătate al pacientului" din cuprinsul art. 280 alin. (2) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii sunt neconstituţionale. Definitivă şi general obligatorie. Decizia se comunică celor două Camere ale Parlamentului, Guvernului şi Avocatului Poporului şi se publică în Monitorul Oficial al României, Partea I. Pronunţată în şedinţa din data de 17 iulie 2018. PREŞEDINTELE CURŢII CONSTITUŢIONALE prof. univ. dr. VALER DORNEANU Magistrat-asistent-şef, Benke Károly