El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) ha supuesto un fortalecimiento de la protección de los datos personales especialmente sensibles y protegidos, entre los que ya se encontraban los de salud.
Pero junto a esos datos añade los genéticos y biométricos, en contraste con la normativa española que consideraba los genéticos incluidos en los de salud; e introduce en su definición de datos relativos a la salud, como nuevo elemento que los conforman, la prestación de servicios de atención sanitaria.
Otra de las cuestiones destacables del Reglamento es el principio del consentimiento. Parte en su artículo 9.2 letra a) de un consentimiento igual de reforzado al requerido por la derogada Ley 15/1999, al exigir el explícito para el tratamiento de esta categoría especial de datos personales. No obstante en su artículo 7.1, añade que el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales, lo que en la práctica nos llevaría a obtenerlo siempre por escrito para evitar problemas de prueba.
Es necesario también hacer mención a que el Reglamento en su artículo 9.2 letra h), parte de esa prohibición de tratamiento de datos relativos a la salud sin consentimiento del interesado excepto si concurre algunas circunstancias, como que sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario. Y ello frente a la perspectiva recogida en la Directiva 95/46/CE que deroga de permitir el tratamiento de los datos de salud sólo en el ámbito de la prestación de una asistencia sanitaria clásica al paciente.
Sin embargo, para añadir más confusión, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, lejos de permitir el tratamiento de datos en el ámbito de la salud a la luz del Reglamento, remite en su artículo 9.1 a que así lo ampare otra ley cuando lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública o privada, o la ejecución de un contrato de seguro de que el afectado sea parte.
Aunque la legislación sanitaria estatal no incide en este punto (se refiere únicamente al consentimiento para toda actuación en el ámbito de la salud y no para el tratamiento de datos personales), a nuestro juicio lo lógico es que el consentimiento no sea necesario, al entenderse implícito en la presencia del interesado en un centro sanitario para recibir la prestación asistencial.
Pero, por otro lado, el Reglamento trae consigo para el usuario o paciente el derecho a obtener más información, imponiendo como novedad al responsable de tratamiento de datos -en lo que se refiere al ámbito sanitario- la obligación de informar sobre los datos de contacto del delegado de protección de datos, la base jurídica del tratamiento, el plazo de conservación de datos o los criterios para determinarlo, o el derecho a presentar reclamación ante una autoridad de control (artículos 13 y 14, en función de si la información se ha obtenido o no del interesado).
En efecto, como adelantábamos, el Reglamento ha introducido una nueva figura llamada a desempeñar un papel fundamental: el delegado de protección de datos (también conocido por sus siglas en inglés Data Protection Officer, DPO.) La obligación de su designación en las instituciones sanitarias lo es bien porque el tratamiento lo lleve a cabo una autoridad u organismo público, o bien porque en todo caso la actividad principal de esos responsables consiste en tratar a gran escala datos relativos a la salud como categoría especial. Sin embargo, la Ley Orgánica de Protección de Datos ha optado por una solución extrema, su obligatoriedad en todos los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, con excepción de los profesionales de salud que ejerzan su actividad a título individual.
También exige el Reglamento como novedad las evaluaciones de impacto relativas a la protección de datos. Deben llevarse a cabo, antes del tratamiento con el fin de valorar la particular gravedad y probabilidad del alto riesgo para los derechos y libertades de las personas físicas. Si bien debe aplicarse a las operaciones de tratamiento a gran escala, el Reglamento excluye expresamente de esa categoría el tratamiento de datos personales de pacientes realizado por un solo médico, u otro profesional de la salud. En esos casos, la evaluación de impacto no será obligatoria (considerandos 84, 90 y 91).
Por otro lado, a diferencia del artículo 81.3 del Real Decreto 1720/2007, que establece que a aquellos ficheros o tratamientos de datos de carácter personal que se refieran a datos de salud les sería de aplicación las medidas de seguridad de nivel alto, el Reglamento no establece listado estructurado de medidas dejando a libertad de los responsables y encargados aplicar las apropiadas para garantizar un nivel de seguridad adecuado, teniendo en cuenta: estado de la técnica y costes aplicación; naturaleza, alcance, contexto y fines del tratamiento, y riesgos para los derechos y libertades de las personas. Igualmente se debe notificar a la autoridad de control cualquier quiebra de seguridad (artículos 32 y 33). Pero debe tenerse en cuenta que atendiendo a factores objetivos como el coste y el tiempo necesario para su implementación, es de todo punto lógico que los centros sanitarios mantengan las medidas ya adoptadas antes de la aplicación del Reglamento. Sin perjuicio, claro está, de mantener el registro de actividades de tratamiento, llevar a cabo evaluaciones de impacto, etc.
Por último, se impone la llevanza de un registro de actividades de tratamiento, en todo caso porque en el ámbito sanitario se tratan categorías especiales de datos. El Reglamento establece en su artículo 30 una lista tasada de la información que debe contener, tal como el nombre y datos de contacto del responsable, corresponsable, representante del responsable y delegado de protección de datos, fines de tratamiento, etc.
– Socio en 451Legal – Abogado especializado en Derecho de Internet, propiedad intelectual y tecnología. Consultado frecuentemente por medios de comunicación.
