Si en un post anterior nos hacíamos eco de la histórica sanción a British Airways, en el artículo de hoy nos centraremos en el trasfondo de la sanción a la cadena hotelera Marriott International Inc y las repercusiones que ésta supone para las estrategias de expansión por adquisición. Para ello, en primer lugar, es esencial señalar que Marriott amplió su red hotelera con la compra de Starwood Hotels en 2016.

Brecha de seguridad en Marriott International Inc.

El día 30 de noviembre de 2018 Marriott emitió un comunicado de prensa en el que informaba que el día 8 de septiembre de 2018 se produjo una alerta de seguridad relacionada con un intento de acceder a la base de datos de la red de Starwood Hotels. Durante las investigaciones se descubrió que desde 2014 se habían producido accesos no autorizados a la base de datos de Starwood Hotels consistentes en el duplicado y cifrado de la base de datos de aproximadamente 500 millones de huéspedes. Entre los datos implicados encontramos: nombre, dirección postal, número de teléfono, dirección de correo electrónico, pasaporte, número, información de la cuenta de Starwood Preferred Guest («SPG»), fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva, preferencias de comunicación, números de tarjetas bancarias y fechas de vencimiento de las tarjetas. Según fuente consultadas, de los clientes afectados, aproximadamente 30 millones están relacionados con ciudadanos europeos.

Si la compra de Starwood Hotels por Marriott cerró en 2016 y la exposición de los datos se retrotrae a 2014,  ¿cómo es que nadie se dio cuenta?

Ahí encontramos, precisamente, el motivo de la sanción: la falta de la diligencia debida por Marriott. La comisionada de información Elizabeth Denham ha señalado: “el GDPR deja claro que las organizaciones deben ser responsables de los datos personales que poseen. Esto puede incluir llevar a cabo la debida diligencia adecuada al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo están protegidos. Los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas firmes cuando sea necesario para proteger los derechos del público«.

En consecuencia, no sólo basta con identificar los datos adquiridos con la compra, sino que se precisa la intervención de profesionales en protección de datos personales que analicen dónde se encuentran, cómo se utilizan y cómo se protege la información personal de los clientes; a fin de determinar si se ajusta a los estándares de protección de la integridad y confidencialidad de los datos según la normativa vigente. Un ejemplo más de cómo la protección de datos personas es un elemento fundamental en las estrategias de negocio. Esta sanción a Marriott nos debe de servir como advertencia para las estrategias de crecimiento por adquisición, ya que existe el riesgo de sufrir sanciones por infracciones históricas no reveladas.

¿Cuánto le ha costado a Marriott su falta de diligencia en la adquisición de Starwood?

La multa por omisión del deber diligencia asciende a 110 millones de euros, a esta cifra se deben sumar los 80 millones de euros (£ 72 mill ) gastados en atención a los clientes afectados, así como a expertos que pudieran reconducir la situación, además, sus acciones se han devaluado. Total: casi 200 millones de euros. Por su parte, Marriott ya ha anunciado que recurrirá la resolución, tendremos que esperar para conocer la cuantía definitiva, aunque todo indica que el «premio» por la colaboración en la investigación ya se ha aplicado y la cifra se mantendrán.

Sin embargo, más allá de las pérdidas económicas, el verdadero daño para Marriott ha sido el daño en la confianza de sus clientes y es que, los hackers habían estado dentro de sus sistemas durante varios años. Marriott no ha revelado la cuantía de los daños producidos a los clientes, pero se han movilizado 79 millones de euros (£71 mill) por las compañías aseguradoras, lo que puede ser indicativo del daño ocasionado. En este sentido, no se debe de olvidar que el derecho a la protección de los datos personales es un derecho fundamental y su lesión dolosa e imprudente, se paga.

Tanto la sanción a Marriott como la sanción a British Airways recuerdan que el incumplimiento de las reglas del Reglamento General de Protección de Datos se escrudiña cada vez con más rigurosidad. Parece que ya han pasado los años de benevolencia de las autoridades competentes para la adaptación de las empresas a la nueva normativa, estamos asistiendo al inicio de una nueva etapa en las autoridades actuarán con firmeza y, por ende, las organizaciones deberán demostrar sólidamente su cumplimiento de la normativa en protección de datos.

¿Te preocupa la seguridad del dato en tu empresa?

En Ciberlex Consulting aportamos soluciones legales integrales a nuestros clientes para el cumplimiento y adecuación de su actividad empresarial a la regulación en materia de protección de datos personales. Nuestros más de 20 años de experiencia nos avalan y nuestro equipo de expertos ofrece una atención personalizada. Estamos a tu disposición en: info@ciberlexconsulting.com y (+34) 91 169 12 98.

Hace una semana la autoridad competente en protección de datos personales de Reino Unido (Information Commissioner’s Office -en adelante ICO-), anunció las sanción más alta hasta la fecha en materia de protección de datos:  205 millones a British Airways, empresa perteneciente al grupo empresarial IAG (International Airlines Group), uno de los mayores grupos de aerolíneas a nivel mundial, entre las cuales se encuentra Iberia.

Antecedentes de la sanción

El 6 de septiembre de 2018 la aerolínea emitió un comunicado de prensa en el que informaba a sus clientes acerca del robo de datos personales a través de la plataforma de reservas de su página web y app. Tras conocerse este incidente de seguridad, la línea aérea tuvo una caída del 2,9% en la bolsa de Londres y de un 2,95% en el Ibex 35. Para paliar el daño reputacional, la compañía se vio obligada a pedir perdón a sus clientes y a responsabilizarse de los posibles daños económicos que éstos pudieran llegar a sufrir con motivo del robo de sus datos personales.

Siguiendo lo estipulado en el artículo 33 del RGPD sobre la obligatoriedad de notificar las violaciones de seguridad, British Airways notificó al ICO y, tras las oportunas investigaciones, se concluyó  que el inicio del incidente fue en junio de 2018 y estuvo ocasionado por el desvío del tráfico de usuarios del sitio web de British Airways hacia un sitio fraudulento a través del cual se recolectaron datos de, aproximadamente, 500.000 clientes. La información comprometida incluía claves de inicio de sesión, nombre y dirección, información tarjeta de pago y datos de reserva de viaje.

¿Por qué se multa a British Airways?

La investigación ha determinado que la brecha de seguridad se produjo por las deficientes medidas de seguridad adoptadas por British Airways, debido a que éstas no eran ni adecuadas ni suficientes para proteger los datos personales de sus clientes. La compañía aérea ya ha anunciado que recurrirá la resolución, por lo que tendremos que esperar la cifra definitiva.

Sin embargo, lo realmente interesante de la sanción a British Airways radica en su cuantía, puesto que ICO impuso una multa a Facebook de “sólo” 565.000 euros en relación con el escándalo de Cambridge Analytica (y que afectó a 2,7 millones de ciudadanos europeos). Si hacemos una comparación entre ambos casos, la sanción de ICO a Facebook se antoja pequeña, máxime teniendo en cuenta que esta semana la Comisión Federal del Comercio de EEUU ha aprobado la sanción de 5.000 millones de dólares a Facebook por dicho escándalo.

Hasta la fecha, el primer puesto del pódium de los sancionados lo ocupaba Google, que fue multado por la autoridad francesa con 50 millones de euros por no cumplir con los estándares de transparencia.

La colaboración se premia

Las autoridades de protección de datos ya lo han señalado y así lo confirma el informe anual del Comité Europeo de Protección de Datos: la colaboración se premia y, con seguridad, se seguirá premiando. Sin embargo, ya ha transcurrido el tiempo suficiente desde que las empresas conocían sus nuevas obligaciones en materia de protección de datos (recordemos que el RGPD entró en vigor en 2016 pero no fue aplicable hasta 2018), por lo que parece que se agota el argumento de la «novedad de la normativa» para excusar las deficiencias de la adecuación ante las autoridades. La colaboración se seguirá premiando, pero los deberes deberán están hechos.

La noticia de la sanción a British Airways se anunció la misma semana que la sanción por 110 millones de euros a la cadena hotelera Marriott International, Inc, un ejemplo más del cambio de tendencia.

En Leegal Tech aportamos soluciones legales integrales a nuestros clientes para el cumplimiento y adecuación de su actividad empresarial a la regulación en materia de protección de datos personales. Nuestros más de 20 años de experiencia nos avalan y nuestro equipo de expertos ofrece una atención personalizada. Estamos a tu disposición en: info@leegaltech.com y (+34) 91 169 12 98.

El pasado 21 de noviembre de 2018 se aprobaba por el Senado la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD), a la espera de su inminente publicación en el BOE y entrada en vigor. Aún habrá que esperar a que el futuro Reglamento que se apruebe en desarrollo de esta Ley aclare puntos que han quedado pendientes y detalle extremos que requieren de más concreción. De momento con la nueva norma se introducen muchas novedades en relación con el Reglamento General de Protección de Datos europeo que entró en aplicación el pasado 25 de mayo. A continuación destacamos algunas de ellas que afectan especialmente al sector sanitario:

Datos de las personas fallecidas (art. 3)

El artículo 3 de la nueva LOPD incluye novedades acerca del tratamiento de datos de las personas fallecidas: “las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión”, salvo que exista indicación legal o del propio fallecido estableciendo lo contrario.

Por su parte, “las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión”.

En el caso de menores serán los representantes legales quienes ejerzan dichos derechos. Si se tratase del fallecimiento de una persona con discapacidad, los derechos podrán ser ejercidos por sus representantes legales o por quienes hubieran sido designados para el ejercicio de funciones de apoyo, “si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado”.

Consentimiento de los menores de edad (arts. 7 y 12)

La nueva Ley incluye una modificación en la edad del consentimiento del menor para el tratamiento de datos personales, fijándola en 14 años. Así, se modifica la previsión de la anterior redacción del Proyecto, que la fijaba en 13 años.

Cuando el menor disponga de una edad inferior a 14 años habrá de mediar consentimiento de quien ostente la titularidad de la patria potestad o la tutela.

Sistemas de información de denuncias internas (art. 24)

El artículo 24 trata de conjugar la protección de datos con la existencia de un sistema de denuncias internas dentro de la empresa. Se parte de un principio general de licitud de estos sistemas que permitan reportar dentro de la organización conductas contrarias a la normativa general o sectorial que fuera aplicable.

No obstante, la norma trata de limitar el acceso a los datos contenidos en el canal, restringiéndolo a quien, estando o no dentro de la empresa, desarrolle “funciones de control interno y de cumplimiento o a encargados del tratamiento que eventualmente se designen a tal efecto”. No obstante, será lícito el acceso por terceras personas o las comunicaciones efectuadas a terceros cuando vengan derivadas de la adopción de medidas disciplinarias o la tramitación de procedimientos judiciales. En el caso del ejercicio de medidas disciplinarias contra un trabajador, se permitirá también el acceso al “personal con funciones de gestión y control de recursos humanos”.

Por otra parte, cuando pasen tres meses desde la introducción de los datos a través del sistema de denuncias, deberá procederse a su supresión de estos del sistema, excepto si la finalidad de la conservación es dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Una vez transcurridos los tres meses, los datos obtenidos por el canal de denuncias podrán ser tratados por la persona que corresponda según lo indicado anteriormente para la investigación de los hechos denunciados, teniendo que borrarse cualquier rastro del propio sistema de denuncias interno.

Las denuncias a las que no se haya dado curso, solo podrán constar de forma anonimizada, sin existir la obligación de bloqueo de datos que prevé el artículo 32 de la LOPD.

Designación y cualificación del Delegado de Protección de Datos (arts. 34 y 35)

Se fija la obligación de nombrar a un Delegado de Protección de Datos cuando se trate de “centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes”, excepto cuando se traten de profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas, ejerzan su actividad a título individual.

Tratamiento de datos de salud (DA 17ª)

La DA 17ª de la LOPD se encarga de aclarar cuáles son los criterios del tratamiento de datos en la investigación en salud. Se recuerda la pertenencia de los datos de la salud y los datos genéticos a las categorías especiales de datos personales del Reglamento UE, haciéndose una enumeración de las leyes con implicaciones en este grupo de datos (Ley 14/1986, de 25 de abril, General de Sanidad, Ley 33/2011, de 4 de octubre, General de Salud Pública, entre otras).

Se indica que “el interesado o, en su caso, su representante legal podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y, en particular, la biomédica.”. Tales finalidades pondrán abarcar categorías relacionadas con áreas generales vinculadas a una disciplina médica o investigadora, siendo lícita y compatible la reutilización de datos personales para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial.

Se excepciona la obtención del consentimiento del interesado cuando “las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública” lleven a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública.

Por otra parte, se considera lícito por la LOPD “el uso de datos personales seudonimizados con fines de investigación en salud y, en particular, biomédica” sin mediar consentimiento alguno por parte de su titular, requiriéndose para ello:

• Una separación técnica y funcional entre el seudonimizador y el equipo investigador.
• Que haya un compromiso de confidencialidad y seguridad por parte del equipo investigador a la hora de acceder a los datos.

“Podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.”.

Los derechos de los interesados frente al responsable quedan sin efecto en el tratamiento de datos personales con fines de investigación en salud y biomédica cuando:

• Se ejerzan ante investigadores o centros de investigación que utilicen los datos anonimizados o seudonimizados.
• El ejercicio de los derechos esté relacionado con los resultados de la investigación.
• La investigación tenga como objeto la defensa de un interés público general que se encuentre amparado por una norma con rango de Ley.

Se establecen una serie de conductas a realizar cuando se lleva a cabo un tratamiento con fines de investigación en salud pública y, en particular, biomédica:

• Realizar una evaluación de impacto que determine los riesgos derivados del tratamiento, específicamente los de reidentificación de los datos seudonimizados.
• Someter la investigación a las normas de calidad y a las directrices internacionales sobre buena práctica clínica.
• Establecer medidas para que los investigadores no puedan identificar a los interesados.
• Designar un representante legal establecido en la UE, si el promotor de un ensayo clínico no está establecido en la Unión.

El uso de datos personales seudonimizados con fines de investigación en salud pública y biomédica tendrá que contar con un informe previo del Comité de Ética de la Investigación previsto en la normativa sectorial. Si no existiera dicho Comité, se habrá de realizar un informe previo por parte del Delegado de Protección de Datos o, en su defecto, por un experto con los conocimientos exigidos por la normativa para ser designado DPD.

Los Comités de Ética habrán de contar entre sus miembros, en el plazo de 1 año desde la entrada en vigor de la nueva LOPD, con un Delegado de Protección de Datos o, en su defecto, con un experto con conocimientos en el Reglamento UE 2016/679, cuando se ocupen de la materia de tratamiento de datos personales seudonimizados o anonimizados en actividades de investigación.

El RGPD por sus siglas en español (Reglamento General de Protección de Datos) es el instrumento legal comunitario que regula la protección de los datos personales de los ciudadanos que viven en la Unión Europea.

Además del reglamento, existe normativa de desarrollo nacional (el RD 5/2018 de 27 de julio y el proyecto de Ley Orgánica de Protección de Datos) para regular algunos aspectos como el procedimiento de instrucción ante incumplimientos y los plazos de prescripción de sanciones, entre otras materias.

El RGPD afecta a todos los profesionales que operan en el sector sanitario y su correcta aplicación es incluso más compleja que en otros ámbitos ya que el tipo de datos que tratan son especialmente sensibles, los datos relativos a la salud.

¿Cuáles son los tratamientos de datos habituales en el sector sanitario?

1. Historia clínica, en la que se registran y tratan todos los datos relativos a la salud de los pacientes.
2. Fiscal y contable, relativo a los datos de facturación de los pacientes y de los proveedores.
3. Incidencias, fichero en el que se registren incidencias relativas a los derechos de los pacientes, de los trabajadores y colaboradores.
4. Nóminas, personal y recursos humanos.
5. De videovigilancia.
6. Organizativo, en el caso de que, para la prestación del servicio, la consulta esté organizada a través de una sociedad, comunidad de bienes o sociedad civil, donde se incluyan los datos de los socios, poderes de representación, etc.
7. Tratamientos relacionados con actividades comerciales relativas a productos sanitarios.
8. Cualquier otro que pudiera crear el establecimiento sanitario.

El RGPD define en su artículo 4.15 como datos personales relacionados con la salud aquellos “relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Teniendo en cuenta así mismo la Ley de Autonomía del Paciente 41/2002 de 14 de noviembre, especialmente su artículo 2, la información y documentación clínica necesaria para la prestación de servicios sanitarios adquiere el nivel más alto de protección legal del ordenamiento nacional y europeo.

¿Qué implicaciones tiene el RGPD en la prestación de servicios sanitarios?

Las principales exigencias legales que deben cumplir los responsables de los datos para el cumplimiento de este Reglamento en el ámbito sanitario serían:

1. El artículo 30 del RGPD establece la obligación de llevar, a nivel interno, un registro actualizado de los diferentes tratamientos de datos del centro sanitario.
2. En lo relativo a la base legal para el tratamiento de este tipo de datos, el artículo 9 del RGPD establece que el consentimiento del paciente deberá ser explícito, específico para cada tratamiento, libre e informado. En cuanto a la edad mínima para otorgar consentimiento, se reduce desde los 14 a los 13 años. Por debajo de esa edad, el consentimiento se debe recabar de los progenitores o tutores legales del menor.
3. El artículo 31.1 c) del RGPD recoge la preceptiva incorporación de un Delegado de Protección de Datos (en adelante DPO), con autonomía en el ejercicio de sus funciones y la formación adecuada para el desempeño de dichas funciones. La obligación emana del tratamiento masivo de datos de carácter sensible que se produce en los hospitales y centros de salud.
4. En virtud del artículo 35.2 del RGPD, se debe contar con Evaluaciones de Impacto en la Protección de Datos de cada tratamiento de alto riesgo, entre los que se incluyen aquellos datos relativos a la salud. La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).
5. Es habitual que los datos se comuniquen entre entidades para el mejor tratamiento del paciente. En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permite esta transmisión con su consentimiento explícito. Dicha comunicación de datos a terceros deberá regularse contractualmente, delimitando las obligaciones del tercero (encargado del tratamiento), que deberá cumplir las mismas medidas de seguridad que la entidad cesionaria (responsable del tratamiento).
6. En el caso particular de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse, en virtud de ser un tratamiento necesario para la ejecución de un contrato en el que el interesado es parte, y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario. Eso sí, solo los datos que resulten adecuados, pertinentes y no excesivos para determinar el importe de dicha asistencia sanitaria y atendiendo al artículo 24 del GDPR, habrá que suscribir un contrato de cesión de datos entre la Aseguradora y el Centro Sanitario o Profesional Privado.

Algunas de las principales recomendaciones para el sector sanitario que ha emitido la Agencia Española de Protección de Datos son:

1. El profesional debe acreditar que ha recabado el consentimiento explícito e informado del paciente para tratar sus datos personales. Dicho consentimiento explícito es necesario además para comunicar su presencia y ubicación en el hospital a las personas, familiares o no, que pregunten por ello.
2. Se considera conveniente elaborar y situar en lugar visible, al menos en las áreas de admisión y urgencias, carteles informativos sobre la identificación del responsable del fichero, el modo de ejercitar sus derechos y de la dirección o departamento al que deben dirigirse para ello.
3. Todos los hospitales deberían establecer normas internas que obliguen a la confidencialidad de los datos, tanto al personal del hospital como a todo aquel que pueda tener acceso a los datos de los pacientes como médicos residentes, estudiantes o personal externo.
4. Establecer un registro de incidencias donde se documente cualquier “violación” de seguridad de los datos personales y las respuestas a dichos incidentes.
5. Crear un control de acceso a historiales clínicos de pacientes, con perfiles con contraseña para cada facultativo. Se recomienda el establecimiento de alertas de confidencialidad que se muestren al usuario del sistema cuando acceda a los datos de un paciente que no tiene asignado. Además, es indicativo de una mayor cultura de cumplimiento el conservar registro documentado de acciones y accesos a historiales de pacientes y cualquier otro dato relativo a la salud del mismo.
6. Todas las comunicaciones de datos de salud que se realicen a través de redes públicas de telecomunicaciones se deben efectuar utilizando un medio robusto de cifrado o utilizando otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
7. Cada dos años se recomienda realizar auditorías de las medidas de seguridad sobre los ficheros de datos personales que permita detectar deficiencias en dichas medidas y corregirlas antes de que se produzca un incidente.
8. Deben implantarse medidas para el traslado de documentación médica en papel fuera del hospital que eviten que la historia clínica sea accedida o modificada durante el traslado, tales como sobres cerrados con procedimiento de notificación de recepción por parte de los centros de destino, o bien que fuese trasladada por personal específico que se encargue de su custodia ininterrumpida. Asimismo, se deben establecer mecanismos de comprobación de la integridad de la historia clínica en papel.

Adicionalmente, como se ha mencionado anteriormente, se está tramitando en el Congreso de los Diputados un Proyecto de Ley Orgánica de Protección de Datos (en adelante ALOPD) que adapta el marco regulatorio español al europeo. Entre las novedades que recoge, las que mayor impacto suponen para el sector sanitario son:

1. En relación con los datos de una persona fallecida, el ALOPD en su artículo 3 establece que los herederos de esta que acrediten tal condición mediante cualquier medio válido conforme a Derecho, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. Esta facultad solo puede ser limitada cuando la persona fallecida lo prohíba expresamente o por disposición legal. En caso de que el fallecido sea menor o incapacitado, será su representante legal o el Ministerio Fiscal a instancia de persona física o jurídica interesada quienes puedan ejercer los derechos de rectificación o supresión de sus datos.
2. En virtud del art. 23 del ALOPD, cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, éste deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la Agencia Española de Protección de Datos. Actualmente sólo existe el fichero denominado Lista Robinson como sistema de exclusión, que está gestionado por la Asociación Española de Economía Digital. Además, quienes pretendan realizar comunicaciones comerciales, deberán previamente consultar los citados sistemas de exclusión publicitaria.

Con esta nueva normativa las exigencias necesarias de adaptación en materia de protección de datos ofrecen una gran oportunidad a los centros sanitarios para actualizar sus sistemas de información, medidas de seguridad, así como la revisión de sus protocolos en beneficio de la confianza de sus pacientes quienes verán mejor protegida su intimidad y confidencialidad de sus datos. Y al final, la confianza de los clientes -pacientes-, tanto por la fidelidad como por su posición de prescriptores del servicio, es uno de los pilares de la competitividad actualmente por lo que adecuarse también supone una ventaja competitiva.

Autor: Jesús Cordero González.

Fuentes

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.

Agencia Española de Protección de Datos (AEPD). Plan sectorial de Sanidad. Memoria Anual de 2017 de la Agencia Española de Protección de Datos.

AEPD: Guía para la gestión y notificación de brechas de seguridad.

ICOMEM. Guía Práctica del Ilustre Colegio Oficial de Médicos de Madrid para el cumplimiento de la normativa sobre Protección de Datos.

INCIBE. Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario.

La normativa europea nos traslada la necesidad de que los datos han de ser tratados por el responsable y el encargado bajo una serie de principios (licitud, lealtad y transparencia; minimización; limitación del plazo de conservación; exactitud; integridad y confidencialidad). Dichos principios habrán de ser manejados bajo una actitud de responsabilidad proactiva, esto es, llevar a cabo una serie de medidas concretas en función de los riesgos que el tratamiento guarde para los derechos y libertades de los interesados.

A los derechos ARCO tradicionales ejercitables por el interesado ante el responsable del tratamiento (acceso, rectificación, cancelación y oposición), hemos de añadir dos nuevos derechos reconocidos por el Reglamento: el derecho al olvido y a la portabilidad de los datos (artículos 17 y 20 del Reglamento).

El derecho al olvido lo define el Reglamento como el derecho del interesado a “obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”. Por su parte el derecho a la portabilidad de los datos es definido como el derecho del interesado a “recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado”.

Por otra parte, el RGPD, en su artículo 9, engloba una serie de categorías de datos que son considerados especiales. Así, dentro del sector sanitario, los datos genéticos, biométricos y relativos a la salud, tendrían un tratamiento diferenciado al resto de datos personales. El RGPD, en su artículo 4, nos proporciona una definición legal para cada uno de estos tipos de datos:

• Datos genéticos: “datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenido en particular del análisis de una muestra biológica de tal persona”.
• Datos biométricos: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
• Datos relativos a la salud: “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Dentro del marco normativo nacional, hemos de tener en cuenta el Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, así como la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aplicable en todos los aspectos que no contradigan el Reglamento.

Según lo previsto en el artículo 9.4 RGPD, “los Estados Miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud”. El legislador español ha ejercido dicha competencia, añadiendo varias limitaciones en el tratamiento de datos de este tipo. Sería importante también tener en cuenta ciertas leyes, como la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, y la Ley 14/2007, de 3 de julio, de investigación biomédica.

Consentimiento del paciente

El RGPD da una definición del consentimiento del interesado en su artículo 4, interpretándolo como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. El Considerando 32 del RGPD clarifica como ha de mostrarse dicho consentimiento, teniendo que ser “un acto afirmativo claro”, no permitiéndose un consentimiento implícito otorgado mediante “el silencio, las casillas ya marcadas o la inacción”. Se trata, de acuerdo con el artículo 6 RGPD, de una de las condiciones que han de darse para que un tratamiento de datos tenga carácter lícito, habiéndose de dar consentimiento a cada una de las finalidades que persiga el tratamiento.

Respecto a la edad del consentimiento, el Reglamento da un margen hasta los 13 años para que los Estados miembros puedan fijar la edad en la que el consentimiento del menor es válido. En España, según lo estipulado por la aún vigente LOPD, a partir de los 14 años se puede otorgar consentimiento válido en materia de protección de datos. No obstante, en el Proyecto de Ley Orgánica de Protección de Datos se plantea rebajar dicho límite a los 13 años. Será por debajo de este límite cuando dicho consentimiento haya de ser otorgado por los titulares de la patria potestad o tutela del menor.

El consentimiento, según el articulado del Reglamento, adquiere una especial sensibilidad en el tratamiento de datos en el sector sanitario. Como hemos mencionado anteriormente, los datos genéticos, biométricos y relativos a la salud tienen la categoría de datos especiales. Así pues, la regla general, según lo estipulado en el artículo 9.1 RGPD, sería la prohibición del tratamiento.

Dicha regla general, de todas formas, quedaría exceptuada cuando se diera alguna de las situaciones que prevé el artículo 9.2 RGPD:

• “el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados

(…)

• el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

(…)

• el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.

(…)

• el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario.

Así, a tenor de las excepciones descritas del artículo 9 RGPD, sería necesario el consentimiento explícito, manifiesto e informado del paciente en aras de poder utilizar sus datos con los fines asistenciales específicos para los que hayan sido proporcionados.

A la luz del Reglamento, dicho consentimiento no sería necesario en el caso de entrar en juego intereses vitales del interesado. El Reglamento no proporciona una definición legal de lo que entiende por “interés vital del interesado”, teniendo que recurrir al Considerando 46 para averiguar el alcance del concepto. Así, el interés vital, de acuerdo con dicho Considerando, sólo sería una base jurídica para el tratamiento cuando no se pueda acudir a otra diferente en situaciones excepcionales, como tratamientos necesarios para fines humanitarios, control de epidemias o situaciones de emergencia humanitaria.

Acorde a lo previsto en el artículo 9.4 del Reglamento, el tratamiento de la información proporcionada por los pacientes se encuentra regulada en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (en adelante, Ley de Autonomía del Paciente – LAP). De acuerdo con el artículo 7 LAP, se habrá de respetar el derecho a la intimidad y “el carácter confidencial de los datos referentes a la salud”, teniéndose que adoptar por los centros sanitarios “normas y procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes”. Además, el artículo 5 LAP, en aras de disipar cualquier duda que pudiere existir, clarifica que “el titular del derecho a la información (asistencial) es el paciente.”, pudiendo también ser informadas “las personas vinculadas a él, por razones familiares o de hecho, en la medida que el paciente lo permita de manera expresa o tácita”.

Toda la información recabada de los pacientes a partir de su consentimiento quedará materializada en lo conocido como historia clínica, esto es, “el conjunto de documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro.” Dicha historia clínica habrá de ser empleada a los usos y finalidades a los que el paciente otorgó consentimiento, tal y como se desprende del artículo 14 y ss. LAP.

Además, tal y como estipula el artículo 2.7 LAP, “toda persona que elabore o tenga acceso a la información y documentación clínica está obligada a guardar la reserva debida”. Así, frente a un uso poco diligente de los datos personales contenidos en una historia clínica, el interesado podría perfectamente ejercitar sus derechos frente al responsable en cuestión.

Investigación biomédica

Volviendo de nuevo a las excepciones vemos como el Reglamento, en su artículo 9.2 j), señala una en el ámbito de la investigación biomédica:

“j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórico o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de los datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.”.

Así pues, y remitiéndonos al artículo 89 vemos como este regula las garantías y excepciones en el tratamiento de datos con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Así pues, se remarca el hecho de que, ante todo, se ha de proteger los derechos y libertades de los interesados, habiéndose de implementar “medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de datos personales.”

Se ha, pues, de buscar la no identificación de los interesados, aplicando medidas tales como la seudonimización en el tratamiento, de forma que no pueda asociarse el dato tratado a un sujeto en concreto y se minimice el tratamiento de datos personales a los fines investigativos correspondientes. En esta misma línea se pronuncian los artículos 16.3 LAP y 4 y 5 de la Ley de Investigación Biomédica cuando hablan del tratamiento de la información de la historia clínica con fines científicos, habiéndose de respetar y proteger los datos personales del sujeto fuente, guardándose el pertinente deber de secreto.

No obstante, a la luz de todo esto, ¿hasta qué punto se ha de tener en cuenta el consentimiento del interesado a la hora de usar sus datos con los fines señalados en los artículos 9 y 89 del Reglamento? ¿Hay que obtener en el ámbito sanitario el consentimiento al mismo nivel que cuando son proporcionados con una finalidad asistencial?

El consentimiento, en principio, no sería necesario, si reutilizáramos datos inicialmente recabados con finalidad asistencial ya que, en virtud de lo fijado por los artículos 9 y 89 del Reglamento, podrían ser reutilizados siempre que se aplicara una correcta disociación entre el dato y la identidad del paciente según el principio de minimización y garantías de protección en el tratamiento de los datos. No obstante, y pese a las conclusiones extraídas a raíz del texto de la norma, lo más diligente sería incluir una cláusula específica a la hora de recabar los datos con fines asistenciales que indicara que los datos del paciente pueden ser reutilizados con fines de investigación científica.

Distinta sería la situación en la que los datos se recabasen específicamente para fines de investigación. En este caso sí entendemos, según lo mencionado por la Agencia Española de Protección de Datos en su Informe 073667/2018, que habría que obtener un consentimiento expreso del interesado, informándole de que sus datos van a ser utilizados con fines de investigación biomédica.

Respecto al consentimiento, según lo extraído del Considerando 33 y las conclusiones a las que llega la Agencia Española de Protección de Datos, dado el carácter dinámico que presentan la mayoría de investigaciones, se da cierta flexibilidad a la hora del consentimiento exigido, siendo “suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación, por ejemplo, la investigación oncológica, o incluso para ámbitos más extensos” (Informe 073667/2018 de la Agencia Española de Protección de Datos).

En definitiva, vemos que el Reglamento se aplica de una forma más laxa en el tratamiento de datos personales con fines biomédicos. Esto es debido, tal y como nos indica el Considerando 159 del Reglamento, a que uno de los objetivos fundacionales de la Unión Europea es crear un ámbito europeo de investigación, dándose así más flexibilidad (que no menos seguridad) en el tratamiento de los datos que permitan crear ese espacio común científico entre Estados Miembros.

Régimen sancionador

El nuevo régimen sancionador en materia de protección de datos viene fijado en el Capítulo VII del Reglamento. Dicho régimen está dirigido a aplicar multas administrativas que, en cualquier caso, resulten “efectivas, proporcionadas y disuasorias”.

En el caso de las sanciones fijadas por el tratamiento inadecuado de datos relacionados con el sector sanitario y la obtención del consentimiento del interesado, el artículo 84.5 prevé las sanciones más severas para los responsables del tratamiento que infrinjan la normativa. Así, se prevén multas administrativas de 20 millones de euros o del 4 % del volumen de la cifra de negocio del ejercicio anterior de una empresa, optándose por la mayor de las dos cuantías resultantes.

En España, el régimen administrativo sancionador en este caso sería llevado a cabo por la Agencia Española de Protección de Datos, encontrándose regulado en los artículos 3 y siguientes del RD 183/2018. En el artículo 3 se fijan como sujetos al régimen sancionador a:

1. “Los responsables de los tratamientos.
2. Los encargados de los tratamientos.
3. Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión.
4. Las entidades de certificación.
5. Las entidades acreditadas de supervisión de los códigos de conducta.”

El artículo 8 RD 5/2018 nos indica la forma de iniciación del procedimiento:

• Por acuerdo de admisión a trámite de una reclamación de un interesado por falta de atención a los derechos que le reconoce el Reglamento en sus artículos 15 a 22 (acceso, rectificación, cancelación, oposición, olvido y portabilidad).

La admisión o no a trámite, según el artículo 5 RD 5/2018, habrá de ser comunicada al interesado en un plazo de 3 meses.

En este caso, “el plazo para resolver el procedimiento será de 6 meses” desde la notificación al interesado de la admisión a trámite. “Transcurrido el plazo, el interesado podrá considerar estimada su reclamación”.

• A iniciativa propia de la Agencia, o como consecuencia de reclamación por infracción de lo dispuesto en el Reglamento o la normativa española de protección de datos.

”El procedimiento tendrá una duración máxima de 9 meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.”. “Transcurrido ese plazo se producirá caducidad, y en consecuencia, el archivo de actuaciones”.

• Por comunicación por parte de otra Autoridad Europea a la Agencia Española de Protección de Datos de una posible infracción de la que esta es competente.

“El procedimiento tendrá una duración máxima de 9 meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio”. “Transcurrido ese plazo se producirá caducidad, y en consecuencia, el archivo de actuaciones”.

Por otro lado, el artículo 11 nos indica que “antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de las circunstancias que justifican la tramitación del procedimiento.”.

Conclusiones

La Unión Europea ha tratado de proteger el derecho a que los titulares de los datos personales puedan ser efectivamente dueños de estos, pudiendo controlar conscientemente los fines específicos para los que son utilizados.

Dicha protección ha sido jurídicamente otorgada mediante el requisito indispensable de que el interesado dé su consentimiento para que sus datos sean utilizados con un propósito en concreto, siendo previamente expresa y concretamente informado acerca del mismo. Se trata, en definitiva, de ese instrumento con el que el titular y el propietario de los datos puede cederlos a los responsables y encargados del tratamiento. Este consentimiento y esta voluntad inequívoca que ha de mostrar el titular adquiere incluso mayor importancia en datos con un componente de intimidad superior al resto, como los datos relacionados con la salud.

Se consigue, en definitiva, evitar un abuso de posición de dominio por parte de las grandes sociedades y empresas, protegiendo los derechos individuales de los usuarios en una situación de desequilibrio manifiesto, y creando una verdadera cultura de cumplimiento normativo. Así, las sanciones administrativas y multas aplicables se utilizarán como un medio disuasorio de cualquier actitud poco diligente en el tratamiento de datos por los responsables y encargados correspondientes.

Autor: Enrique García-Chamón Boronat.

Fuentes consultadas:

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.

Agencia Española de Protección de Datos (AEPD). Plan sectorial de Sanidad. Memoria Anual de 2017 de la Agencia Española de Protección de Datos.

AEPD: Guía del Reglamento General de Protección de Datos para responsables del tratamiento.

AEPD: Informe 073667/2018.

SEDISA: Adaptación General al Reglamento de Protección de Datos en el Sector Sanitario

Las noticias reveladas en los últimos tiempos dejan en entredicho la seguridad de introducir nuestros datos personales en la conocida red social.

Ya se han producido juicios en contra de la política de privacidad de Facebook, y Mark Zuckerberg, su creador, ya ha tenido que prestar declaración por los escándalos que rodean al portal de Internet y la poca seguridad de la privacidad de sus usuarios.

En esta ocasión, The New York Times ha revelado mediante una investigación que le empresa de Zuckenberg vendía los datos de sus usuarios a terceras compañías también del ámbito tecnológico, como Netflix o Amazon. El revuelo en Estados Unidos es de los grandes.

A la luz de estas revelaciones, desde Facebook no han tardado en asegurar que el intercambio de información era legal. Ya se ha iniciado una investigación oficial al respecto.

Ver Noticia