El Reglamento de la Unión Europea 2017/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, por el cual se deroga la Directiva 95/46/CE (en adelante, RGPD) empezó a resultar de aplicación el 25 de mayo de 2018. Se trata de la normativa europea de referencia en lo relativo a la protección de las personas físicas en el tratamiento y libre circulación de datos personales. La norma resulta, de esta forma, aplicable para los interesados personas físicas que residan en la Unión y para aquellos establecimientos que, fruto de su actividad, realicen tratamientos de datos personales, independientemente de que dichos tratamientos tengan lugar en la Unión Europea.
La normativa europea nos traslada la necesidad de que los datos han de ser tratados por el responsable y el encargado bajo una serie de principios (licitud, lealtad y transparencia; minimización; limitación del plazo de conservación; exactitud; integridad y confidencialidad). Dichos principios habrán de ser manejados bajo una actitud de responsabilidad proactiva, esto es, llevar a cabo una serie de medidas concretas en función de los riesgos que el tratamiento guarde para los derechos y libertades de los interesados.
A los derechos ARCO tradicionales ejercitables por el interesado ante el responsable del tratamiento (acceso, rectificación, cancelación y oposición), hemos de añadir dos nuevos derechos reconocidos por el Reglamento: el derecho al olvido y a la portabilidad de los datos (artículos 17 y 20 del Reglamento).
El derecho al olvido lo define el Reglamento como el derecho del interesado a “obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”. Por su parte el derecho a la portabilidad de los datos es definido como el derecho del interesado a “recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado”.
Por otra parte, el RGPD, en su artículo 9, engloba una serie de categorías de datos que son considerados especiales. Así, dentro del sector sanitario, los datos genéticos, biométricos y relativos a la salud, tendrían un tratamiento diferenciado al resto de datos personales. El RGPD, en su artículo 4, nos proporciona una definición legal para cada uno de estos tipos de datos:
- Datos genéticos: “datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenido en particular del análisis de una muestra biológica de tal persona”.
- Datos biométricos: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
- Datos relativos a la salud: “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.
Dentro del marco normativo nacional, hemos de tener en cuenta el Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, así como la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aplicable en todos los aspectos que no contradigan el Reglamento.
Según lo previsto en el artículo 9.4 RGPD, “los Estados Miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud”. El legislador español ha ejercido dicha competencia, añadiendo varias limitaciones en el tratamiento de datos de este tipo. Sería importante también tener en cuenta ciertas leyes, como la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, y la Ley 14/2007, de 3 de julio, de investigación biomédica.
Consentimiento del paciente
El RGPD da una definición del consentimiento del interesado en su artículo 4, interpretándolo como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. El Considerando 32 del RGPD clarifica como ha de mostrarse dicho consentimiento, teniendo que ser “un acto afirmativo claro”, no permitiéndose un consentimiento implícito otorgado mediante “el silencio, las casillas ya marcadas o la inacción”. Se trata, de acuerdo con el artículo 6 RGPD, de una de las condiciones que han de darse para que un tratamiento de datos tenga carácter lícito, habiéndose de dar consentimiento a cada una de las finalidades que persiga el tratamiento.
Respecto a la edad del consentimiento, el Reglamento da un margen hasta los 13 años para que los Estados miembros puedan fijar la edad en la que el consentimiento del menor es válido. En España, según lo estipulado por la aún vigente LOPD, a partir de los 14 años se puede otorgar consentimiento válido en materia de protección de datos. No obstante, en el Proyecto de Ley Orgánica de Protección de Datos se plantea rebajar dicho límite a los 13 años. Será por debajo de este límite cuando dicho consentimiento haya de ser otorgado por los titulares de la patria potestad o tutela del menor.
El consentimiento, según el articulado del Reglamento, adquiere una especial sensibilidad en el tratamiento de datos en el sector sanitario. Como hemos mencionado anteriormente, los datos genéticos, biométricos y relativos a la salud tienen la categoría de datos especiales. Así pues, la regla general, según lo estipulado en el artículo 9.1 RGPD, sería la prohibición del tratamiento.
Dicha regla general, de todas formas, quedaría exceptuada cuando se diera alguna de las situaciones que prevé el artículo 9.2 RGPD:
- “el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados
(…)
- el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
(…)
- el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
(…)
- el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario.
Así, a tenor de las excepciones descritas del artículo 9 RGPD, sería necesario el consentimiento explícito, manifiesto e informado del paciente en aras de poder utilizar sus datos con los fines asistenciales específicos para los que hayan sido proporcionados.
A la luz del Reglamento, dicho consentimiento no sería necesario en el caso de entrar en juego intereses vitales del interesado. El Reglamento no proporciona una definición legal de lo que entiende por “interés vital del interesado”, teniendo que recurrir al Considerando 46 para averiguar el alcance del concepto. Así, el interés vital, de acuerdo con dicho Considerando, sólo sería una base jurídica para el tratamiento cuando no se pueda acudir a otra diferente en situaciones excepcionales, como tratamientos necesarios para fines humanitarios, control de epidemias o situaciones de emergencia humanitaria.
Acorde a lo previsto en el artículo 9.4 del Reglamento, el tratamiento de la información proporcionada por los pacientes se encuentra regulada en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (en adelante, Ley de Autonomía del Paciente – LAP). De acuerdo con el artículo 7 LAP, se habrá de respetar el derecho a la intimidad y “el carácter confidencial de los datos referentes a la salud”, teniéndose que adoptar por los centros sanitarios “normas y procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes”. Además, el artículo 5 LAP, en aras de disipar cualquier duda que pudiere existir, clarifica que “el titular del derecho a la información (asistencial) es el paciente.”, pudiendo también ser informadas “las personas vinculadas a él, por razones familiares o de hecho, en la medida que el paciente lo permita de manera expresa o tácita”.
Toda la información recabada de los pacientes a partir de su consentimiento quedará materializada en lo conocido como historia clínica, esto es, “el conjunto de documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro.” Dicha historia clínica habrá de ser empleada a los usos y finalidades a los que el paciente otorgó consentimiento, tal y como se desprende del artículo 14 y ss. LAP.
Además, tal y como estipula el artículo 2.7 LAP, “toda persona que elabore o tenga acceso a la información y documentación clínica está obligada a guardar la reserva debida”. Así, frente a un uso poco diligente de los datos personales contenidos en una historia clínica, el interesado podría perfectamente ejercitar sus derechos frente al responsable en cuestión.
Investigación biomédica
Volviendo de nuevo a las excepciones vemos como el Reglamento, en su artículo 9.2 j), señala una en el ámbito de la investigación biomédica:
“j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórico o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de los datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.”.
Así pues, y remitiéndonos al artículo 89 vemos como este regula las garantías y excepciones en el tratamiento de datos con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Así pues, se remarca el hecho de que, ante todo, se ha de proteger los derechos y libertades de los interesados, habiéndose de implementar “medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de datos personales.”
Se ha, pues, de buscar la no identificación de los interesados, aplicando medidas tales como la seudonimización en el tratamiento, de forma que no pueda asociarse el dato tratado a un sujeto en concreto y se minimice el tratamiento de datos personales a los fines investigativos correspondientes. En esta misma línea se pronuncian los artículos 16.3 LAP y 4 y 5 de la Ley de Investigación Biomédica cuando hablan del tratamiento de la información de la historia clínica con fines científicos, habiéndose de respetar y proteger los datos personales del sujeto fuente, guardándose el pertinente deber de secreto.
No obstante, a la luz de todo esto, ¿hasta qué punto se ha de tener en cuenta el consentimiento del interesado a la hora de usar sus datos con los fines señalados en los artículos 9 y 89 del Reglamento? ¿Hay que obtener en el ámbito sanitario el consentimiento al mismo nivel que cuando son proporcionados con una finalidad asistencial?
El consentimiento, en principio, no sería necesario, si reutilizáramos datos inicialmente recabados con finalidad asistencial ya que, en virtud de lo fijado por los artículos 9 y 89 del Reglamento, podrían ser reutilizados siempre que se aplicara una correcta disociación entre el dato y la identidad del paciente según el principio de minimización y garantías de protección en el tratamiento de los datos. No obstante, y pese a las conclusiones extraídas a raíz del texto de la norma, lo más diligente sería incluir una cláusula específica a la hora de recabar los datos con fines asistenciales que indicara que los datos del paciente pueden ser reutilizados con fines de investigación científica.
Distinta sería la situación en la que los datos se recabasen específicamente para fines de investigación. En este caso sí entendemos, según lo mencionado por la Agencia Española de Protección de Datos en su Informe 073667/2018, que habría que obtener un consentimiento expreso del interesado, informándole de que sus datos van a ser utilizados con fines de investigación biomédica.
Respecto al consentimiento, según lo extraído del Considerando 33 y las conclusiones a las que llega la Agencia Española de Protección de Datos, dado el carácter dinámico que presentan la mayoría de investigaciones, se da cierta flexibilidad a la hora del consentimiento exigido, siendo “suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación, por ejemplo, la investigación oncológica, o incluso para ámbitos más extensos” (Informe 073667/2018 de la Agencia Española de Protección de Datos).
En definitiva, vemos que el Reglamento se aplica de una forma más laxa en el tratamiento de datos personales con fines biomédicos. Esto es debido, tal y como nos indica el Considerando 159 del Reglamento, a que uno de los objetivos fundacionales de la Unión Europea es crear un ámbito europeo de investigación, dándose así más flexibilidad (que no menos seguridad) en el tratamiento de los datos que permitan crear ese espacio común científico entre Estados Miembros.
Régimen sancionador
El nuevo régimen sancionador en materia de protección de datos viene fijado en el Capítulo VII del Reglamento. Dicho régimen está dirigido a aplicar multas administrativas que, en cualquier caso, resulten “efectivas, proporcionadas y disuasorias”.
En el caso de las sanciones fijadas por el tratamiento inadecuado de datos relacionados con el sector sanitario y la obtención del consentimiento del interesado, el artículo 84.5 prevé las sanciones más severas para los responsables del tratamiento que infrinjan la normativa. Así, se prevén multas administrativas de 20 millones de euros o del 4 % del volumen de la cifra de negocio del ejercicio anterior de una empresa, optándose por la mayor de las dos cuantías resultantes.
En España, el régimen administrativo sancionador en este caso sería llevado a cabo por la Agencia Española de Protección de Datos, encontrándose regulado en los artículos 3 y siguientes del RD 183/2018. En el artículo 3 se fijan como sujetos al régimen sancionador a:
- “Los responsables de los tratamientos.
- Los encargados de los tratamientos.
- Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión.
- Las entidades de certificación.
- Las entidades acreditadas de supervisión de los códigos de conducta.”
El artículo 8 RD 5/2018 nos indica la forma de iniciación del procedimiento:
- Por acuerdo de admisión a trámite de una reclamación de un interesado por falta de atención a los derechos que le reconoce el Reglamento en sus artículos 15 a 22 (acceso, rectificación, cancelación, oposición, olvido y portabilidad).
La admisión o no a trámite, según el artículo 5 RD 5/2018, habrá de ser comunicada al interesado en un plazo de 3 meses.
En este caso, “el plazo para resolver el procedimiento será de 6 meses” desde la notificación al interesado de la admisión a trámite. “Transcurrido el plazo, el interesado podrá considerar estimada su reclamación”.
- A iniciativa propia de la Agencia, o como consecuencia de reclamación por infracción de lo dispuesto en el Reglamento o la normativa española de protección de datos.
”El procedimiento tendrá una duración máxima de 9 meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.”. “Transcurrido ese plazo se producirá caducidad, y en consecuencia, el archivo de actuaciones”.
- Por comunicación por parte de otra Autoridad Europea a la Agencia Española de Protección de Datos de una posible infracción de la que esta es competente.
“El procedimiento tendrá una duración máxima de 9 meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio”. “Transcurrido ese plazo se producirá caducidad, y en consecuencia, el archivo de actuaciones”.
Por otro lado, el artículo 11 nos indica que “antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de las circunstancias que justifican la tramitación del procedimiento.”.
Conclusiones
La Unión Europea ha tratado de proteger el derecho a que los titulares de los datos personales puedan ser efectivamente dueños de estos, pudiendo controlar conscientemente los fines específicos para los que son utilizados.
Dicha protección ha sido jurídicamente otorgada mediante el requisito indispensable de que el interesado dé su consentimiento para que sus datos sean utilizados con un propósito en concreto, siendo previamente expresa y concretamente informado acerca del mismo. Se trata, en definitiva, de ese instrumento con el que el titular y el propietario de los datos puede cederlos a los responsables y encargados del tratamiento. Este consentimiento y esta voluntad inequívoca que ha de mostrar el titular adquiere incluso mayor importancia en datos con un componente de intimidad superior al resto, como los datos relacionados con la salud.
Se consigue, en definitiva, evitar un abuso de posición de dominio por parte de las grandes sociedades y empresas, protegiendo los derechos individuales de los usuarios en una situación de desequilibrio manifiesto, y creando una verdadera cultura de cumplimiento normativo. Así, las sanciones administrativas y multas aplicables se utilizarán como un medio disuasorio de cualquier actitud poco diligente en el tratamiento de datos por los responsables y encargados correspondientes.
Autor: Enrique García-Chamón Boronat.
Fuentes consultadas:
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.
Agencia Española de Protección de Datos (AEPD). Plan sectorial de Sanidad. Memoria Anual de 2017 de la Agencia Española de Protección de Datos.
AEPD: Guía del Reglamento General de Protección de Datos para responsables del tratamiento.
AEPD: Informe 073667/2018.
SEDISA: Adaptación General al Reglamento de Protección de Datos en el Sector Sanitario
