28 de enero: Día Internacional de la Protección de Datos

Ana Delgado, colaboradora de Eupharlaw
27/01/2017 Este sábado 28 de enero, como todos los años desde el 2006, se celebra el Día Internacional de la Protección de Datos, Data Privacy Day en inglés. El objetivo de celebrar este día es promover entre los ciudadanos información sobre sus derechos y responsabilidades en materia de protección de datos.
El Comité de Ministros del Consejo de Europa marcó esta fecha para festejar el Día Europeo de la Protección de Datos, European Data Protection Day. Más adelante, otros países se han unido a esta celebración, como Canadá y Estados Unidos, convirtiéndolo en un día internacional que permite sensibilizar, promocionar e informar de las mejores prácticas de privacidad y protección de datos a los ciudadanos.
Ana Delgado Roy, consultora de e-health, vocal del Foro Iberoamericano Ciudadanos y Salud, y profesora del Máster en Derecho de la Salud CESIF-Eupharlaw, ya publicó en este blog el artículo “El Reglamento Europeo de Protección de Datos de Carácter Personal y la Protección de los Datos Personales relativos a la salud”. Una de las cuestiones que planteaba era qué motivo subyacía por parte de la Unión Europea para adoptar una norma con rango de Reglamento comunitario. La autora indicaba que se pretendía armonizar el ámbito de la protección de datos ya que la Directiva sobre protección de datos personales se había implementado de forma desigual entre los Estados Miembros. No obstante, también señalaba que, a pesar de su pretensión armonizadora, el Reglamento contiene un buen número de artículos que remiten o posibilitaban la adopción de medidas específicas por parte de cada uno de los Estados Miembros. Un ejemplo de ello, y en relación con los datos de salud, es el artículo 9.4 del Reglamento 2016/679, de 27 de abril de 2016.
Delgado concluía en su artículo, que “si uno de los objetivos para adoptar un Reglamento era la armonización de los diferentes ordenamientos jurídicos, al incorporarse la posibilidad de regular de forma específica en cada Estado Miembro, podría concluirse que este objetivo, de momento, no se ha alcanzado. De hecho así se han manifestado diferentes países en relación al resultado del Reglamento, de ahí que, dado el contenido similar del Reglamento y la Directiva en el tratamiento de datos personales de salud, hay quienes ya han indicado la idoneidad de aplicar la interpretación que ya se efectuó por parte del grupo de trabajo del artículo 29 sobre el artículo 8 de la Directiva 95/46/UE, de tal forma que las excepciones recogidas por el Reglamento y la Directiva en el tratamiento de datos personales relativos a la salud deben ser limitadas, exhaustivas y tienen que ser interpretadas de forma restrictiva.”
Aún así, el Reglamento supone la reafirmación de que el consentimiento no constituye la única base legal para el tratamiento de datos, recogiendo en el artículo 9.2 aquellas situaciones o bases legales que legitiman el tratamiento de categorías sensibles, como los datos de salud (la asistencia sanitaria constituye una de estas bases)
A pesar de lo anteriormente expuesto, Ana Delgado señalaba también, que “no se puede negar que el Reglamento (UE) 2016/679 supone un cambio de modelo para las organizaciones y entidades, ya que ciertamente añade una serie de aspectos que implicarán la adopción de nuevas medidas por parte de aquellas para cumplir con el Reglamento Europeo. Entre otras, el concepto de privacidad por diseño, el concepto de evaluación de impacto en la privacidad, el principio de ventanilla única, la incorporación de un sistema de sanciones, la inclusión de nuevos derechos para los interesados, además de los ya existentes (se añade por ejemplo el derecho de portabilidad de los datos por parte de sus titulares), etc.
Cabe indicar igualmente que la información al ciudadano afianza su importancia, especialmente en el ámbito sanitario. Los pacientes tendrán que ser plenamente conscientes y para ello tendrán que ser adecuadamente informados de los usos secundarios que las entidades y organizaciones hagan de su información clínica, especialmente porque en el tratamiento se da cabida a que las entidades y organizaciones aludan a criterios de interés legítimo e interés público”.
La autora concluye que a pesar de haberse aprobado una norma de aplicación directa (sin necesidad de ulterior trasposición, como ocurre en el caso de las Directivas comunitarias), como es el Reglamento europeo, existe todavía trabajo de desarrollo de las disposiciones y conceptos jurídicos indeterminados que contiende, con el objeto de que este desarrollo pueda orientar a las organizaciones y entidades sobre cómo implementar las medidas que prevé dicho Reglamento. En este sentido, la Agencia Española de Protección de Datos ha publicado ya varias guías que pueden ayudar, si bien, como decimos, queda trabajo por hacer de aquí a marzo de 2018. Entonces el Reglamento tendrá total aplicación y será exigible a cada uno de los Estados Miembros, y a aquellas entidades que traten datos personales de ciudadanos de la Unión Europea.