El Reglamento Europeo de Protección de Datos de Carácter Personal y la Protección de los Datos Personales relativos a la salud

junio 9, 2016

09/06/2016

Ana Delgado Roy. Consultora de e-health y Profesora del Máster en Derecho de la Salud CESIF-Eupharlaw.

Como ya se ha comentado en anteriores números, en relación al Reglamento Europeo 2016/679 de protección de datos de carácter personal aprobado el 27 de Abril del 2016 (en adelante, RGPD), uno de sus principales objetivos radica en la intención armonizadora del marco normativo concerniente a la Protección de Datos de carácter personal. Hasta ahora, la transposición de la Directiva del 95 por parte de los Estados Miembros y su implementación a nivel nacional había generado diferentes enfoques en el tratamiento de datos personales. La creciente libre circulación de bienes, servicios y personas dentro de la Unión Europea, dejaba patente una necesidad de armonizar con el objeto de evitar que el tránsito transfronterizo se vea afectado por ordenamientos jurídicos con diferentes soluciones. Y es que, en la esfera de la salud, esto cobra si cabe un mayor sentido y relevancia…

Desde el punto de vista del tratamiento, el artículo 5.1,a) del Reglamento, establece un principio general: la legalidad del mismo. El artículo 4.15 establece que el intercambio de datos personales relativos a la salud, en el contexto del intercambio transfronterizo, tendrá carácter especial perteneciendo a una categoría especial de datos personales con mayores salvaguardas. Así se identifica estos datos como aquellos relativos a la salud física o mental de una persona física, incluyendo la prestación de servicios de atención médica, que revelen información sobre su estado de salud.

Al hilo de lo anterior, el artículo 9, establece para esta categoría especial de datos personales, una prohibición general de tratamiento, si bien introduce excepciones a esta prohibición en su segundo párrafo.

Las más reseñables serían las siguientes:

«Artículo 9.

(…)
El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

(…)

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

(…)

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional;

(…)

3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. »

A la luz de este articulado, no parece que el texto definitivo que adopta el Parlamento vaya a generar una aplicación diferente o más armonizada que la que generaba la Directiva del 95, en tanto en cuanto el artículo 8 de ésta, y el artículo 9 del Reglamento, relativos al tratamiento de datos personales relacionados con la salud, ofrecen un contenido similar. De hecho, las excepciones que recoge este artículo en relación al tratamiento de datos personales de salud, están abiertos a la interpretación, en tanto en cuanto no se acota, por ejemplo, el sentido de “interés público”. Por otro lado, el hecho de estar ante una norma de aplicación directa en los ordenamientos jurídicos de los Estados Miembros, puede generar que los responsables del tratamiento adopten sus propias interpretaciones y que finalmente, en caso de discrepancias, sean las autoridades de protección de datos y los tribunales de los EEMM quienes diriman las controversias que suscite dicha norma.

Pero ¿Qué consecuencias tiene este aspecto a nivel europeo en lo que respecta el tratamiento de los datos?:

Implica que el RGPD no reducirá, tal como afirma la Comisión Europea, la variabilidad ya existente con la Directiva en materia de protección de datos de salud entre Estados Miembros ya que cada uno podrá adoptar sus propias normas de implementación en base al párrafo 4 del artículo 9, donde claramente se especifica que los EEMM pueden incorporar condiciones adicionales en el tratamiento de datos específicos (genéticos y de salud).

Por lo anterior, parecería que si las partes contratantes en un servicio específico del ámbito que sea, no acotan las disposiciones del reglamento en las actividades específicas que lleven a cabo, los pacientes podrían llegar a no conocer con claridad quién está efectuando el tratamiento de sus datos personales, para qué fines específicos se están tratando y ante quién o qué entidad pueden dirigirse para ejercer sus derechos de acceso, rectificación, cancelación y oposición, especialmente teniendo en cuenta que desaparece la obligación de inscripción de ficheros en las autoridades de protección de datos.

Por otra parte, está la cuestión del tratamiento de datos para usos secundarios o “further processing”, el cual se presenta como una ruptura del principio de la limitación de la finalidad del art. 6 párrafo 3 bis conjuntamente con el considerando 40.

Este artículo permite a los responsables del tratamiento a tratar datos personales para otro propósito que no sea aquel para el que se han recogido los datos. A pesar de que tiene que estar basada en el consentimiento del interesado o en un Derecho de la Unión o de un Estado miembro. Pero esta posibilidad de cambio de objeto también es crítica ya que está supeditada de nuevo a la Ley del Estado miembro de la Unión. Ocurre de nuevo, que esto podría generar diversidad en la aplicación.

En cualquier caso, el responsable del tratamiento deberá aplicar las medidas técnicas y organizativas adecuadas, tales como el uso de pseudonimización y anonimización. Los principios de la protección de datos, por lo tanto no deben aplicarse a información anónima, es decir, información que no corresponda a una persona física identificada o identificable, o a aquellos datos hechos anónimos de manera tal que el interesado ya no es identificable. El presente Reglamento, por tanto, no se refiere al procesamiento de dicha información anónima, incluso para fines estadísticos.

En conclusión, si uno de los objetivos para adoptar un Reglamento era la armonización de los diferentes ordenamientos jurídicos, dado lo comentado anteriormente, podría concluirse que este objetivo no se ha alcanzado, y así se han manifestado diferentes países en relación al resultado del Reglamento, de ahí que, dado el contenido similar del Reglamento y la Directiva en el tratamiento de datos personales de salud, hay quienes ya han indicado la idoneidad de aplicar la interpretación que ya se efectuó por parte del grupo de trabajo del artículo 29 sobre el artículo 8 de la Directiva 95/46/UE, de tal forma que las excepciones recogidas por el Reglamento y la Directiva en el tratamiento de datos personales relativos a la salud deben ser limitadas, exhaustivas y tienen que ser interpretadas de forma restrictiva. (Ver para más información el informe WP 131, p. 8)

Lo que deja patente este Reglamento de forma más taxativa que la anterior Directiva es que los datos personales serán tratados de una manera que asegure la protección adecuada de los mismos, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño, el uso de medidas técnicas o de organización adecuada (Art . 5 párrafo 1 apartado f) del Reglamento ). Y en este sentido jugará un papel importante la memoria que debe elaborar cualquier responsable del tratamiento en relación con la seguridad y el nivel de protección en sus actividades.

[:]

Cookie	Duración	Descripción
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-non-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesarias".
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
IDE	1	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	1	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	1	5 months	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
GPS	30 minutos	Youtube establece esta cookie y registra una identificación única para rastrear a los usuarios según su ubicación geográfica.
_ga	2 años	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatorio para identificar visitantes únicos.
_gid	1 día	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.

Cookie	Tipo	Duración	Descripción
YSC	1	Cookie de sesión	Estas cookies son establecidas por Youtube y se utilizan para rastrear las vistas de videos incrustados.
_gat	0	1 minuto	Google Universal Analytics instala estas cookies para acelerar la tasa de solicitud y limitar la recopilación de datos en sitios de alto tráfico.
_gat_UA-78467836-1	0	1 minuto	Esta es una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la cookie _gat que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.

Cookie	Tipo	Duración	Descripción
test_cookie	0	11 meses	Utilizada para comprobar si el navegador del usuario admite cookies.
vchideactivationmsg_vc11	0	9 meses	Permite enviar mensajes desde el formulario de contacto