Fecha: 23 de noviembre de 2018 | Autor: Miriam Del Río
El pasado 21 de noviembre de 2018 se aprobaba por el Senado la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD), a la espera de su inminente publicación en el BOE y entrada en vigor. Aún habrá que esperar a que el futuro Reglamento que se apruebe en desarrollo de esta Ley aclare puntos que han quedado pendientes y detalle extremos que requieren de más concreción. De momento con la nueva norma se introducen muchas novedades en relación con el Reglamento General de Protección de Datos europeo que entró en aplicación el pasado 25 de mayo. A continuación destacamos algunas de ellas que afectan especialmente al sector sanitario:
Datos de las personas fallecidas (art. 3)
El artículo 3 de la nueva LOPD incluye novedades acerca del tratamiento de datos de las personas fallecidas: “las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión”, salvo que exista indicación legal o del propio fallecido estableciendo lo contrario.
Por su parte, “las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión”.
En el caso de menores serán los representantes legales quienes ejerzan dichos derechos. Si se tratase del fallecimiento de una persona con discapacidad, los derechos podrán ser ejercidos por sus representantes legales o por quienes hubieran sido designados para el ejercicio de funciones de apoyo, “si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado”.
Consentimiento de los menores de edad (arts. 7 y 12)
La nueva Ley incluye una modificación en la edad del consentimiento del menor para el tratamiento de datos personales, fijándola en 14 años. Así, se modifica la previsión de la anterior redacción del Proyecto, que la fijaba en 13 años.
Cuando el menor disponga de una edad inferior a 14 años habrá de mediar consentimiento de quien ostente la titularidad de la patria potestad o la tutela.
Sistemas de información de denuncias internas (art. 24)
El artículo 24 trata de conjugar la protección de datos con la existencia de un sistema de denuncias internas dentro de la empresa. Se parte de un principio general de licitud de estos sistemas que permitan reportar dentro de la organización conductas contrarias a la normativa general o sectorial que fuera aplicable.
No obstante, la norma trata de limitar el acceso a los datos contenidos en el canal, restringiéndolo a quien, estando o no dentro de la empresa, desarrolle “funciones de control interno y de cumplimiento o a encargados del tratamiento que eventualmente se designen a tal efecto”. No obstante, será lícito el acceso por terceras personas o las comunicaciones efectuadas a terceros cuando vengan derivadas de la adopción de medidas disciplinarias o la tramitación de procedimientos judiciales. En el caso del ejercicio de medidas disciplinarias contra un trabajador, se permitirá también el acceso al “personal con funciones de gestión y control de recursos humanos”.
Por otra parte, cuando pasen tres meses desde la introducción de los datos a través del sistema de denuncias, deberá procederse a su supresión de estos del sistema, excepto si la finalidad de la conservación es dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Una vez transcurridos los tres meses, los datos obtenidos por el canal de denuncias podrán ser tratados por la persona que corresponda según lo indicado anteriormente para la investigación de los hechos denunciados, teniendo que borrarse cualquier rastro del propio sistema de denuncias interno.
Las denuncias a las que no se haya dado curso, solo podrán constar de forma anonimizada, sin existir la obligación de bloqueo de datos que prevé el artículo 32 de la LOPD.
Designación y cualificación del Delegado de Protección de Datos (arts. 34 y 35)
Se fija la obligación de nombrar a un Delegado de Protección de Datos cuando se trate de “centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes”, excepto cuando se traten de profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas, ejerzan su actividad a título individual.
Tratamiento de datos de salud (DA 17ª)
La DA 17ª de la LOPD se encarga de aclarar cuáles son los criterios del tratamiento de datos en la investigación en salud. Se recuerda la pertenencia de los datos de la salud y los datos genéticos a las categorías especiales de datos personales del Reglamento UE, haciéndose una enumeración de las leyes con implicaciones en este grupo de datos (Ley 14/1986, de 25 de abril, General de Sanidad, Ley 33/2011, de 4 de octubre, General de Salud Pública, entre otras).
Se indica que “el interesado o, en su caso, su representante legal podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y, en particular, la biomédica.”. Tales finalidades pondrán abarcar categorías relacionadas con áreas generales vinculadas a una disciplina médica o investigadora, siendo lícita y compatible la reutilización de datos personales para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial.
Se excepciona la obtención del consentimiento del interesado cuando “las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública” lleven a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública.
Por otra parte, se considera lícito por la LOPD “el uso de datos personales seudonimizados con fines de investigación en salud y, en particular, biomédica” sin mediar consentimiento alguno por parte de su titular, requiriéndose para ello:
- Una separación técnica y funcional entre el seudonimizador y el equipo investigador.
- Que haya un compromiso de confidencialidad y seguridad por parte del equipo investigador a la hora de acceder a los datos.
“Podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.”.
Los derechos de los interesados frente al responsable quedan sin efecto en el tratamiento de datos personales con fines de investigación en salud y biomédica cuando:
- Se ejerzan ante investigadores o centros de investigación que utilicen los datos anonimizados o seudonimizados.
- El ejercicio de los derechos esté relacionado con los resultados de la investigación.
- La investigación tenga como objeto la defensa de un interés público general que se encuentre amparado por una norma con rango de Ley.
Se establecen una serie de conductas a realizar cuando se lleva a cabo un tratamiento con fines de investigación en salud pública y, en particular, biomédica:
- Realizar una evaluación de impacto que determine los riesgos derivados del tratamiento, específicamente los de reidentificación de los datos seudonimizados.
- Someter la investigación a las normas de calidad y a las directrices internacionales sobre buena práctica clínica.
- Establecer medidas para que los investigadores no puedan identificar a los interesados.
- Designar un representante legal establecido en la UE, si el promotor de un ensayo clínico no está establecido en la Unión.
El uso de datos personales seudonimizados con fines de investigación en salud pública y biomédica tendrá que contar con un informe previo del Comité de Ética de la Investigación previsto en la normativa sectorial. Si no existiera dicho Comité, se habrá de realizar un informe previo por parte del Delegado de Protección de Datos o, en su defecto, por un experto con los conocimientos exigidos por la normativa para ser designado DPD.
Los Comités de Ética habrán de contar entre sus miembros, en el plazo de 1 año desde la entrada en vigor de la nueva LOPD, con un Delegado de Protección de Datos o, en su defecto, con un experto con conocimientos en el Reglamento UE 2016/679, cuando se ocupen de la materia de tratamiento de datos personales seudonimizados o anonimizados en actividades de investigación.
