EL ACCESO A LOS DATOS DE SALUD SEGÚN EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
Pendientes de la puesta en marcha definitiva de la nueva Ley Orgánica de Protección de Datos (LOPD), por medio de la cual se adaptarán las disposiciones del Reglamento UE 2016/679 (Reglamento Europeo de Protección de Datos –RGPD), aplicable desde el pasado 25 de mayo de 2018, y que ha cambiado sustancialmente la forma en que las personas, empresas y organizaciones deben conducirse para cumplir con la protección de este derecho fundamental, creemos interesante abordar como afecta este cambio normativo al tratamiento de los datos relativos a la salud, al haberse generado cierta confusión al respecto.
En primer lugar, hay que destacar como novedad que el RGPD integra dentro de la categoría de datos de salud los genéticos y biométricos, y que a todos los califica como datos de naturaleza especial, y por tanto sujetos a unas condiciones más restrictivas en cuanto a su uso.
La nueva normativa europea refuerza uno de los principios básicos para el tratamiento de datos personales, como es el consentimiento, eliminando el consentimiento tácito. Desde el pasado 25 de mayo, con carácter general, el consentimiento deberá ser libre, informado, específico e inequívoco, por lo que se requerirá una declaración de los interesados o una acción positiva, no pudiendo deducirse en ningún caso del silencio o de la inacción. Además, el consentimiento debe ser verificable, y por tanto el Responsable o Encargado deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.
En el caso de los datos de salud hay una importante novedad, y es que se prohíbe de forma genérica su tratamiento, salvo cuando exista el consentimiento (además de libre, informado, específico, inequívoco) explícito, por lo que no podrá entenderse concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.
Pero el Reglamento, siguiendo el camino trazado por la Directiva precedente, introduce otra salvedad a esta prohibición, que se producirá cuando el tratamiento sea “necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario (…) sujeto a la obligación de secreto profesional” (artículo 9.2.h)).
A este respecto, el proyecto de la nueva LOPD añade que estos tratamientos de datos de salud “deberán estar amparados en una ley, que podrá́ establecer requisitos adicionales relativos a su seguridad y confidencialidad”, y que “podrá́ amparar el tratamiento de datos en el ámbito de la salud cuando así́ lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte”. La ley que ampara este tratamiento es la Ley 41/2002, de autonomía del paciente, que regula la historia clínica y las condiciones para el acceso a la información que contiene.
Por tanto, y pese a lo afirmado en no pocos foros, no es obligatorio con carácter general recabar por escrito el consentimiento de los pacientes para el tratamiento de sus datos personales cuando vayan a ser atendidos en centros sanitarios o se vaya a proceder a la dispensación de medicamentos en farmacias, supuestos todos encuadrados dentro del reseñado “diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario”. La eliminación del consentimiento tácito no tiene relación con esta cuestión, ya que para recabar los datos de salud no ha sido ni será imprescindible el consentimiento explícito del paciente, puesto que no es la única base legitimadora del tratamiento.
Lo mismo ocurre con el acceso a los datos de pacientes por órganos de la inspección sanitaria (“gestión de los sistemas y servicios de asistencia sanitaria y social”), autorizado por la ley siempre que su finalidad sea la comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios. Esto no es extensivo a los casos de inspección de la administración tributaria, que requerirá el consentimiento explícito de los pacientes para que los centros sanitarios puedan dar acceso a sus datos incorporados a la historia clínica, salvo requerimiento judicial.
Por último aclarar que lo que sí persiste es el deber de información, ahora principio de transparencia, por el cual se amplía la información que debe aportarse al paciente, que debe ser concisa, inteligible y con lenguaje claro y sencillo, siendo recomendable, según la Agencia Española de Protección de Datos, presentar la información por capas: “una primera que incluya un nivel básico de la información requerida, de forma estructurada y muy concentrada, para remitir posteriormente a otra capa que contenga esa información más detallada”.
Javier Villegas Flores @JavierVillegasF
Associate Legal Advisor Compliance Advisor.
IT Lawyer at Govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
