Datos sanitarios en el nuevo RGPD

El nuevo Reglamento General de Protección de Datos de la Unión Europea está ya en vigor y será de obligada aplicación a partir del 25 de mayo de 2018. Por lo tanto quedan poco menos de dos años para que todas las organizaciones hagan sus preparativos para adaptarse a él. En este artículo recogemos las principales novedades que plantea para el tratamiento de datos relativos a la salud.

El nuevo Reglamento General de Protección de Datos en su artículo 9 incluye a los datos relativos en la salud entre las categorías especiales de datos. Estos datos tienen una especial protección y su tratamiento queda limitado a casos concretos.

En el caso de datos sanitarios el reglamento dice que el tratamiento de datos relativos a la salud está permitido cuando “el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales” y también cuando es necesario:

• por razones médicas.
• por razones de salud pública.
• por investigación científica o estadística.

El nuevo reglamento europeo considera que el tratamiento de las categorías especiales de datos personales como los sanitarios debe ser realizado por un “profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad”.

Fines médicos

El nuevo reglamento considera que se podrá realizar el tratamiento de datos sanitarios cuando los fines sean de “medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social,”.

Interés público

Otro fundamento legal para el tratamiento de datos sanitarios será el interés público en casos como la «la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud». Aunque el reglamento destaca que «ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas» y que «no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines».

Investigación científica

También se autoriza el tratamiento de datos personales de salud para actividades de investigación científica siempre que se adopten medidas efectivas de anonimización de datos («que se disponga de medidas técnicas y organizativas, en particular para
garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo».

Derecho de Acceso

El nuevo reglamento explicita el derecho de los pacientes al acceso a sus propios datos sanitarios.

«Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas».

¿Qué son los datos sanitarios?

La nueva regulación europea de protección de datos proporciona una definición del concepto de datos sanitarios, algo que no incluía la anterior. Esta definición es la siguiente:

«Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo (1); todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro».

Fortalecimiento del consentimiento

Una de las novedades del nuevo Reglamento General de Protección de Datos para todos los datos personales es la importancia del concepto de consentimiento que el nuevo reglamento define como: «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;»

La ley dice:

«El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.»

COOKIES	FINALIDAD	PERÍODO DE CONSERVACIÓN	TITULARIDAD
PHPSESSID	Mantener una sesión de usuario anónimo en el servidor.	SESIÓN	PROPIA
wordpress_test_cookie	Cookie necesaria para el funcionamiento de la Web	SESIÓN	PROPIA
moove_gdpr_popup	Cookie para el tratamiento de las cookies	1 año	PROPIA