nutriție

Atât oferirea de servicii nutriționale personalizate, cât și cercetarea acestora ridică întrebări semnificative în temeiul legilor privind protecția datelor din UE. În mai 2018, a intrat în vigoare Regulamentul general privind protecția datelor (GDPR). În plus, diferite legi naționale ale țărilor UE au fost modificate pentru a completa GDPR. Împreună, creează un amestec de reguli greu de digerat pentru companii și cercetători. În această contribuție am stabilit câteva dintre principalele caracteristici ale legislației UE privind protecția datelor care afectează eforturile de nutriție personală.

GDPR se aplică colectării, utilizării și exportului de date cu caracter personal, care este un concept foarte larg care poate include date care nu dezvăluie direct identitatea unei persoane. În mod evident, ar include numele, adresa și datele asociate (cum ar fi preferințele dietetice și rezultatele testelor) ale unei persoane care utilizează un serviciu de nutriție personalizat. Dar conceptul este mult mai larg decât atât. De exemplu, datele codate cu cheie - care sunt utilizate în mod regulat în cercetarea științifică - sunt adesea considerate a fi date cu caracter personal (date pseudonimizate) care fac obiectul GDPR. Numai datele cu adevărat anonime - un standard ridicat de atins în UE - sunt considerate în afara sferei GDPR.

O mare parte din datele personale colectate în oferte de nutriție personalizate sau utilizate pentru cercetare se califică drept „date speciale” conform GDPR, deoarece se referă la sănătatea indivizilor sau constă în informații genetice. Conceptul de date privind sănătatea este interpretat pe scară largă și include nivelurile de glucoză, rezultatele testelor eșantionului și chiar indicele de masă corporală (IMC).

Ce înseamnă acest lucru pentru o nutriție personalizată

GDPR interzice în general colectarea și utilizarea unor astfel de date speciale, cu excepția cazului în care o justificare poate fi găsită în GDPR sau în legislația națională. Pentru ofertele nutriționale personalizate bazate pe date de sănătate, singura justificare disponibilă este prin consimțământul utilizatorului. Acest consimțământ trebuie să fie explicit, informat și precis. Nu poate fi legat de utilizări care nu au legătură cu (sau sunt incompatibile cu) oferta. În consecință, consimțământul de a utiliza datele unei persoane pentru acest tip de serviciu trebuie să fie completat de consimțământuri separate pentru orice utilizare nelegată - cum ar fi marketingul sau partajarea datelor cu partenerii de afaceri. Persoanele fizice trebuie să fie libere să își retragă consimțământul în orice moment.

În ceea ce privește cercetarea științifică, GDPR conține o serie de excepții largi și utile, printre altele în ceea ce privește consimțământul. În primul rând, GDPR acceptă faptul că consimțământul pentru cercetare poate fi declarat în general (deci nu deosebit de precis), deoarece obiectivele cercetării științifice pot fi dificil de prezis și se pot schimba în timp. GDPR conține, de asemenea, derogări și mai ample în favoarea cercetării științifice și a ridicării cerințelor de consimțământ. Din păcate, din moment ce GDPR permite statelor membre să își mențină sau să creeze propriile reguli în legătură cu datele genetice și de sănătate, aceste derogări nu se aplică întotdeauna atât de larg și rămân supuse condițiilor și restricțiilor care pot diferi de la un stat membru la altul.

Dincolo de UE

Pentru companiile din afara UE, este util să știm că frontierele nu opresc neapărat GDPR. Acest lucru poate avea loc în două moduri. În primul rând, companiile care nu sunt stabilite în UE, dar care își direcționează serviciile către rezidenții UE sunt în totalitate supuse GDPR pentru datele personale pe care le colectează (indiferent de naționalitatea rezidentului UE). Astfel de companii trebuie să numească un reprezentant într-unul dintre statele membre ale UE în care colectează date cu caracter personal. În al doilea rând, dacă datele personale relevante au fost colectate pentru prima dată în UE (de exemplu, de către un afiliat sau un partener de afaceri), aceste părți nu pot transfera datele în afara UE fără garanții suplimentare (cu excepția cazului în care țara de destinație a fost considerată în mod oficial că oferă protecție „adecvată” de către UE, ceea ce este valabil doar pentru aproximativ o duzină de țări până acum). Aceste garanții apar cel mai frecvent sub formă de contracte de transfer dedicate și instrumente similare sau, în unele cazuri (deși mai puțin favorizate de autoritățile de reglementare), acordul individului.

Este de la sine înțeles că într-un regim de reglementare complex, precum GDPR, schimbul de date cu caracter personal (special) este adesea complex. O serie de opțiuni sunt totuși disponibile. De exemplu, părțile ar putea partaja doar date anonime; dar, așa cum sa indicat mai sus, acesta este un standard ridicat de îndeplinit și adesea datele își vor pierde o mare parte din utilizare dacă sunt agregate excesiv. Alternativ, părțile s-ar putea baza pe consimțământ, dar atunci consimțământul trebuie să fie suficient de clar și/sau trebuie obținut un nou consimțământ în scopuri suplimentare, ceea ce este adesea dificil sau nedorit. În noile proiecte, părțile se pot prezenta și ca responsabili în comun (controlori comuni), ceea ce înseamnă că fiecare parte poate utiliza datele colectate chiar dacă aceste utilizări nu sunt în totalitate similare, sub rezerva cerinței de transparență.