El pasado 10 de noviembre fue aprobado por el Consejo de Ministros el Proyecto de la nueva Ley Orgánica de Protección de Datos, que adaptará nuestra legislación a las disposiciones del Reglamento UE 2016/679 o Reglamento General de Protección de Datos (RGPD), aplicable a partir de mayo de 2018, y que cambiará sustancialmente la forma en que las personas, empresas y organizaciones deben conducirse para cumplir con la protección de este derecho fundamental. El nuevo texto introduce novedades sobre uno de los principios básicos para el tratamiento de datos personales: el consentimiento.
A este respecto, de las novedades más significativas que introduce el RGPD es la desaparición del consentimiento tácito. Se exige que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco, por lo que requiere una declaración de los interesados o una acción positiva, no pudiendo deducirse en ningún caso del silencio o de la inacción.
En algunos casos, es necesario que el consentimiento sea explícito, como ocurre con los datos de naturaleza especial, entre los que el Reglamento incluye los datos de salud, dentro de cuya categoría se añaden como novedad los datos genéticos y biométricos.
¿Es necesario el consentimiento escrito?
Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, “será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión”, afirma la Agencia Española de Protección de Datos. Hay que aclarar en este punto que explícito no es sinónimo de escrito, ya que el consentimiento verbal sigue siendo válido si cumple las condiciones señaladas.
Además, el consentimiento debe ser verificable, y por tanto el Responsable deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.
Aclarado esto, y centrándonos en los datos sanitarios, el RGPD especifica la prohibición general del tratamiento de los mismos salvo cuando exista el consentimiento explícito ya mencionado de los interesados, o cuando, según el artículo 9.2.h), el tratamiento sea “necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario (…) sujeto a la obligación de secreto profesional”.
¿Les suena? Viene a ser más o menos lo mismo que decía la “vieja” Ley Orgánica 15/99 de Protección de Datos (LOPD), que establecía que los datos de salud solo podrían ser recabados cuando lo disponga una ley o el afectado consintiera expresamente, salvo “cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto”.
Principio de transparencia
En conclusión, y pese a lo mucho manifestado erróneamente en cuanto a este asunto, con el RGPD y el Proyecto de Nueva Ley de Protección de Datos, no es obligatorio con carácter general recabar por escrito o de forma explícita el consentimiento de los pacientes para el tratamiento de sus datos personales cuando vayan a ser atendidos en Hospitales, clínicas y consultas médicas, o se vaya a proceder a la dispensación de medicamentos en farmacias. La eliminación del consentimiento tácito no tiene relación con esta cuestión, ya que para recabar los datos de salud no era ni es, ni probablemente será, imprescindible el consentimiento explícito o por escrito del paciente.
Por último aclarar que lo que sí persiste, como ya ocurría con la LOPD y su reglamento de desarrollo, es el deber de información, ahora llamado principio de transparencia, por el cual se amplía la información que debe aportarse al paciente, y se requiere que se haga de forma concisa, inteligible y con un lenguaje claro y sencillo, siendo recomendable según la Agencia Española de Protección de Datos presentar la información por capas: “una primera que incluya un nivel básico de la información requerida, de forma estructurada y muy concentrada, para remitir posteriormente a otra capa que contenga esa información más detallada”.