Evaluare de impact asupra protectiei datelor (DPIA)

In conformitate cu Articolul 35 GDPR, operatorul de date este obligat sa efectueze o Evaluare a Impactului asupra Protectiei Datelor (DPIA — Data Protection Impact Assessment) atunci cand prelucrarea poate genera un risc ridicat pentru drepturile si libertatile persoanelor vizate. Prelucrarea de date medicale (categorii speciale, Art. 9 GDPR) la scara semnificativa constituie un astfel de caz.

Acest document este un sumar public al DPIA-ului complet. Versiunea integrala, inclusiv analiza tehnica detaliata si masurile de remediere implementate, este disponibila la cerere catre autoritatea de supraveghere (ANSPDCP) sau persoanelor vizate prin contact cu DPO.

1. Scopul si contextul prelucrarii

MedExplainer este o platforma online de informare medicala care prelucreaza:

• Date de cont: email, parola hash, log autentificari, IP hashed pentru anti-abuz.
• Date medicale (Art. 9 GDPR): imagini ale buletinelor de analize uploadate, text OCR extras, interpretari structurate generate de AI, istoric de evolutie biologica per pacient.
• Metadata operationala: consimtaminte (cookies, date medicale), audit log actiuni semnificative, statistici de utilizare anonimizate.

Temei legal: consimtamant explicit (Art. 9 alin. 2 lit. a GDPR) pentru datele medicale; executare contract si interes legitim pentru restul.

2. Necesitatea si proportionalitatea prelucrarii

• Necesitate: Datele medicale sunt INDISPENSABILE functionalitatii — fara textul OCR nu se poate genera interpretarea educationala (scopul primar al platformei).
• Proportionalitate: Colectam minim necesar (principiul minimizarii datelor, Art. 5 lit. c). Nu colectam CNP, adrese fizice, contacte de urgenta.
• Alternative considerate: Procesarea exclusiv client-side a fost evaluata si respinsa (calitatea AI Anthropic superioara local, nevoie de OCR Google Document AI nedisponibil on-device).

3. Riscuri identificate

Risc 1: Acces neautorizat la datele medicale

• Probabilitate: Moderata (atacuri tinta posibile dat fiind natura sensibila a datelor).
• Impact: Inalt (date Art. 9 — afecteaza intimitatea medicala, potential discriminare la angajare/asigurari).
• Masuri de mitigare:
  • Row Level Security (RLS) pe Supabase — fiecare utilizator vede doar datele proprii.
  • Autentificare cu Supabase Auth + suport MFA TOTP optional.
  • Encryption at-rest pe coloanele sensibile (in implementare — vezi rapoarte de progres).
  • HTTPS/TLS 1.3 obligatoriu (HSTS preload).
  • Audit log pentru toate accesarile la analize (cine, cand, ce actiune).
  • Rate limiting pentru a preveni scrapping (Upstash Redis).
  • Stergerea automata a datelor dupa expirarea perioadelor de retentie.

Risc 2: Transfer date catre tari terte (USA — Anthropic)

• Probabilitate: Inerent procesarii AI.
• Impact: Moderat (date pseudonimizate inainte de trimitere).
• Masuri de mitigare:
  • Standard Contractual Clauses (SCC) semnate cu Anthropic per EUR Comm. Dec. 2021/914.
  • Pseudonimizare inainte de trimitere — eliminam email, user_id, orice identificator direct din prompt.
  • Anthropic nu antreneaza modele pe date enterprise.
  • Vom evalua alternative europene (Mistral, Aleph Alpha) pe masura ce devin competitive.

Risc 3: Interpretare incorecta a AI (decizie medicala eronata)

• Probabilitate: Posibila (limitarile inerente ale LLM).
• Impact: Inalt daca utilizatorul actioneaza pe baza ei (risc pentru sanatate).
• Masuri de mitigare:
  • Disclaimer prominent pe FIECARE pagina — "NU oferim diagnostic; consulta medicul".
  • Consimtamant explicit la creare cont privind natura educationala.
  • Citarea surselor pentru fiecare afirmatie medicala.
  • Mecanism de raportare a interpretarilor gresite la contact@medexplainer.ro.
  • Revizuire medicala planificata pentru continutul critic.

Risc 4: Pierdere de date (disaster recovery)

• Probabilitate: Scazuta (infrastructura cloud enterprise).
• Impact: Inalt (pacient pierde istoricul medical).
• Masuri de mitigare:
  • Backup zilnic automat Supabase (in implementare).
  • Retentie back-up 30 zile (Point-in-Time Recovery).
  • Multi-region storage (Supabase EU Frankfurt).
  • Export date utilizator (drept la portabilitate Art. 20).

4. Drepturile persoanelor vizate

Utilizatorii isi pot exercita oricare dintre drepturile GDPR direct din contul lor sau prin contact cu DPO:

• Acces (Art. 15) — vizualizare in dashboard.
• Rectificare (Art. 16) — editare profil; re-interpretare analize.
• Stergere (Art. 17) — buton in dashboard cu confirmare; stergere imediata + propagare la procesori in 30 zile.
• Restrictie (Art. 18) — pauza prelucrare prin notificare DPO.
• Portabilitate (Art. 20) — export JSON la cerere DPO (in roadmap UI dedicat).
• Opozitie (Art. 21) — la prelucrarea bazata pe interes legitim.
• Retragere consimtamant (Art. 7 alin. 3) — buton in setari (in implementare).
• Plangere la ANSPDCP — contact direct in pagina Imprint.

5. Consultarea autoritatii de supraveghere

Conform Art. 36 GDPR, daca DPIA-ul indica un risc rezidual ridicat pentru drepturile si libertatile persoanelor vizate, operatorul consulta autoritatea de supraveghere inainte de prelucrare. MedExplainer va consulta ANSPDCP pentru orice evolutie majora (ex. integrarea forumului public, lansarea variantei comerciale, expandare internationala).

6. Revizuire periodica

DPIA-ul este un document viu, revizuit cel putin:

• Anual, cu actualizarea raportului public.
• La fiecare modificare semnificativa a procesarii (ex. integrare procesator nou, lansare functionalitate noua de tip risc).
• La detectarea unui incident de securitate.

7. Contact pentru DPIA

Versiunea integrala a DPIA-ului poate fi solicitata de la:

• DPO MedExplainer: dpo@medexplainer.ro
• ANSPDCP: www.dataprotection.ro