El Reglamento Europeo de Protección de Datos de Carácter Personal y la Protección de los Datos Personales relativos a la salud
09/06/2016
Ana Delgado Roy. Consultora de e-health y Profesora del Máster en Derecho de la Salud CESIF-Eupharlaw.
Como ya se ha comentado en anteriores números, en relación al Reglamento Europeo 2016/679 de protección de datos de carácter personal aprobado el 27 de Abril del 2016 (en adelante, RGPD), uno de sus principales objetivos radica en la intención armonizadora del marco normativo concerniente a la Protección de Datos de carácter personal. Hasta ahora, la transposición de la Directiva del 95 por parte de los Estados Miembros y su implementación a nivel nacional había generado diferentes enfoques en el tratamiento de datos personales. La creciente libre circulación de bienes, servicios y personas dentro de la Unión Europea, dejaba patente una necesidad de armonizar con el objeto de evitar que el tránsito transfronterizo se vea afectado por ordenamientos jurídicos con diferentes soluciones. Y es que, en la esfera de la salud, esto cobra si cabe un mayor sentido y relevancia…
Desde el punto de vista del tratamiento, el artículo 5.1,a) del Reglamento, establece un principio general: la legalidad del mismo. El artículo 4.15 establece que el intercambio de datos personales relativos a la salud, en el contexto del intercambio transfronterizo, tendrá carácter especial perteneciendo a una categoría especial de datos personales con mayores salvaguardas. Así se identifica estos datos como aquellos relativos a la salud física o mental de una persona física, incluyendo la prestación de servicios de atención médica, que revelen información sobre su estado de salud.
Al hilo de lo anterior, el artículo 9, establece para esta categoría especial de datos personales, una prohibición general de tratamiento, si bien introduce excepciones a esta prohibición en su segundo párrafo.
Las más reseñables serían las siguientes:
«Artículo 9.
- (…)
- El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
(…)
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
(…)
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional;
(…)
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. »
A la luz de este articulado, no parece que el texto definitivo que adopta el Parlamento vaya a generar una aplicación diferente o más armonizada que la que generaba la Directiva del 95, en tanto en cuanto el artículo 8 de ésta, y el artículo 9 del Reglamento, relativos al tratamiento de datos personales relacionados con la salud, ofrecen un contenido similar. De hecho, las excepciones que recoge este artículo en relación al tratamiento de datos personales de salud, están abiertos a la interpretación, en tanto en cuanto no se acota, por ejemplo, el sentido de “interés público”. Por otro lado, el hecho de estar ante una norma de aplicación directa en los ordenamientos jurídicos de los Estados Miembros, puede generar que los responsables del tratamiento adopten sus propias interpretaciones y que finalmente, en caso de discrepancias, sean las autoridades de protección de datos y los tribunales de los EEMM quienes diriman las controversias que suscite dicha norma.
Pero ¿Qué consecuencias tiene este aspecto a nivel europeo en lo que respecta el tratamiento de los datos?:
Implica que el RGPD no reducirá, tal como afirma la Comisión Europea, la variabilidad ya existente con la Directiva en materia de protección de datos de salud entre Estados Miembros ya que cada uno podrá adoptar sus propias normas de implementación en base al párrafo 4 del artículo 9, donde claramente se especifica que los EEMM pueden incorporar condiciones adicionales en el tratamiento de datos específicos (genéticos y de salud).
Por lo anterior, parecería que si las partes contratantes en un servicio específico del ámbito que sea, no acotan las disposiciones del reglamento en las actividades específicas que lleven a cabo, los pacientes podrían llegar a no conocer con claridad quién está efectuando el tratamiento de sus datos personales, para qué fines específicos se están tratando y ante quién o qué entidad pueden dirigirse para ejercer sus derechos de acceso, rectificación, cancelación y oposición, especialmente teniendo en cuenta que desaparece la obligación de inscripción de ficheros en las autoridades de protección de datos.
Por otra parte, está la cuestión del tratamiento de datos para usos secundarios o “further processing”, el cual se presenta como una ruptura del principio de la limitación de la finalidad del art. 6 párrafo 3 bis conjuntamente con el considerando 40.
Este artículo permite a los responsables del tratamiento a tratar datos personales para otro propósito que no sea aquel para el que se han recogido los datos. A pesar de que tiene que estar basada en el consentimiento del interesado o en un Derecho de la Unión o de un Estado miembro. Pero esta posibilidad de cambio de objeto también es crítica ya que está supeditada de nuevo a la Ley del Estado miembro de la Unión. Ocurre de nuevo, que esto podría generar diversidad en la aplicación.
En cualquier caso, el responsable del tratamiento deberá aplicar las medidas técnicas y organizativas adecuadas, tales como el uso de pseudonimización y anonimización. Los principios de la protección de datos, por lo tanto no deben aplicarse a información anónima, es decir, información que no corresponda a una persona física identificada o identificable, o a aquellos datos hechos anónimos de manera tal que el interesado ya no es identificable. El presente Reglamento, por tanto, no se refiere al procesamiento de dicha información anónima, incluso para fines estadísticos.
En conclusión, si uno de los objetivos para adoptar un Reglamento era la armonización de los diferentes ordenamientos jurídicos, dado lo comentado anteriormente, podría concluirse que este objetivo no se ha alcanzado, y así se han manifestado diferentes países en relación al resultado del Reglamento, de ahí que, dado el contenido similar del Reglamento y la Directiva en el tratamiento de datos personales de salud, hay quienes ya han indicado la idoneidad de aplicar la interpretación que ya se efectuó por parte del grupo de trabajo del artículo 29 sobre el artículo 8 de la Directiva 95/46/UE, de tal forma que las excepciones recogidas por el Reglamento y la Directiva en el tratamiento de datos personales relativos a la salud deben ser limitadas, exhaustivas y tienen que ser interpretadas de forma restrictiva. (Ver para más información el informe WP 131, p. 8)
Lo que deja patente este Reglamento de forma más taxativa que la anterior Directiva es que los datos personales serán tratados de una manera que asegure la protección adecuada de los mismos, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño, el uso de medidas técnicas o de organización adecuada (Art . 5 párrafo 1 apartado f) del Reglamento ). Y en este sentido jugará un papel importante la memoria que debe elaborar cualquier responsable del tratamiento en relación con la seguridad y el nivel de protección en sus actividades.
[:]