El sector sanitario tiene importantes particularidades en lo que se refiere al tratamiento de datos personales. No solo por considerarse los datos de salud una categoría especial de datos, sino porque los derechos y obligaciones de los usuarios de la sanidad, pública o privada, se ven afectados también por su propia normativa sectorial. De hecho, en ocasiones, el derecho a la protección de datos no prevalece frente a otros derechos que responden a un interés general.
El apartado 1 del artículo 9 del RGPD prohíbe, con carácter general, “el tratamiento de datos (…) relativos a la salud (…) de una persona física”, entendiendo por dato de salud “todos los relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro” (artículo 35 RGPD).
Sin embargo, el artículo 9.2.h del mismo Reglamento establece la excepción y permite el tratamiento cuando este se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligación equivalente. Esta misma excepción podemos encontrarla en nuestra Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (Disposición adicional decimoséptima, apartado 1).
Cuáles son considerados datos de salud
Con el fin de concretar qué datos tienen la consideración de datos de salud, podemos apoyarnos en el Considerando 35 del RGPD, de manera que entre estos se encuentran:
- Los datos sobre el estado de salud física o mental pasados, presentes o futuros de una persona.
- La información sobre la persona recogida con motivo de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia.
- Los números, símbolos o datos asignados a una persona física que la identifique de manera unívoca a efectos sanitarias (por ejemplo, número de afiliación a la Seguridad Social).
- La información procedente de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal (por ejemplo, análisis clínicos).
- Cualquier información relativa, a título de ejemplo: a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado.
Otros datos de salud, considerados como sensibles, son los que se refieren a los test psicotécnicos, minusvalías, aptitud para el desempeño de un determinado puesto de trabajo o la causa que justifica una determinada baja laboral.
Legitimación para el tratamiento de datos de salud
El RGPD permite el tratamiento de datos médicos cuando se dan una serie de causas de legitimación. Esas causas son las siguientes:
El consentimiento y la relación contractual
Es posible tratar datos de salud siempre que el interesado haya dado su consentimiento explícito para unos fines determinados. Debe tratarse de una declaración de voluntad clara e inequívoca, que permita su constancia y prueba indubitada.
También la existencia de una relación contractual será suficiente para legitimar determinados tratamientos con datos de salud, como los que realizan las entidades aseguradoras de salud privadas.
Por aplicación del derecho laboral y de la seguridad y protección social
Así lo declara el artículo 9.2.b del RGPD al reconocer su legitimación cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (…)”.
Interés vital del afectado
El artículo 9.2.c RGPD legitima esta causa cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
Datos hechos públicos por el afectado y ejercicio de reclamaciones
El artículo 9.2.f RGPD se refiere a esta causa de legitimación cuando es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en el ejercicio de su función judicial.
Interés público esencial y en el ámbito de la salud pública
Se encuentra recogida en el artículo 9.2.g del RGPD. Pero deben darse las siguientes premisas:
- El interés debe ser proporcional al objetivo perseguido.
- Debe respetar en lo esencial el derecho a la protección de datos.
- Establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
Asistencia sanitaria general
Así, el artículo 9.2.h del RGPD recoge esta causa de legitimación de esta forma: “el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social”.
Tratamientos de videovigilancia en centros de salud y hospitales
Aquí estamos hablando de supuestos como la monitorización de los pacientes en las unidades de cuidados intensivos o la telemedicina.
Recomendaciones de la AEPD para el cumplimiento de la normativa de protección de datos en el ámbito de la salud
La AEPD realizó el pasado 2 de junio de 2020 una serie de recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, para la aplicación correcta de la normativa.
- Se debe ofrecer información al usuario preferiblemente en capas de forma concisa y con un lenguaje claro. La primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, junto con las leyendas informativas insertas en todos los formularios de recogida de datos personales.
- Para cada actividad de tratamiento que se realice hay que identificar su base jurídica.
- Se debe minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario, sin mermar la asistencia sociosanitaria. Se deben elaborar perfiles de acceso que tengan en cuenta las necesidades de información de cada profesional.
- Todos los empleados que traten datos personales de los usuarios deben suscribir un compromiso de confidencialidad. En todos los contratos de encargado de tratamiento, deberá establecerse como obligatorio la firma del compromiso por parte de los empleados del encargado, siendo deseable que el modelo de compromiso concreto conste como anexo al contrato de encargo.
- Se debe evitar que los documentos en papel se encuentren dispersos en diferentes ubicaciones del centro y su traslado debe realizarse con las suficientes medidas de seguridad. Se deben crear procedimientos seguros para el traslado de la documentación y su almacenamiento, con mecanismos que impidan el acceso de personas no autorizadas.
- No se deben utilizar usuarios genéricos, cuya utilización se comparte entre varios empleados, para el acceso a datos de carácter personal, ni de carácter básico ni de categorías especiales, ya que supondría una vulnerabilidad de seguridad.
- Debe recabarse el consentimiento del usuario para facilitar información a familiares sobre su estancia o ubicación en el centro, así como sobre su estado de salud.
- No se deberían utilizar medios de transmisión sin cifrar para el envío de documentación que contenga datos personales de salud, informes psicosociales o de evaluación.
- Los contratos de encargo de tratamiento deben especificar todas las obligaciones recogidas en el RGPD, así como las medidas de control o auditoría a establecer por el encargado del tratamiento.
- Las políticas de seguridad deben basarse en el análisis de riesgos.
Javier López
Mánager del Departamento de Datos y Nuevas Tecnologías en Valero Abogados
__________________________________________________________________________________________________________________________________
Si necesita asesoramiento jurídico puede ponerse en contacto con nuestros abogados pulsando aquí.