Empresas que tratan datos de salud: Aspectos legales a tener en cuenta

Empresas que tratan datos de salud: Aspectos legales a tener en cuenta

En este artículo exponemos los aspectos más importantes a tener en cuenta si tu empresa trata datos de salud.

Actualmente, debido al a situación creada por la COVID-19, muchas empresas llevan a cabo el tratamiento de datos de salud de sus propios empleados para así evitar en la medida de lo posible los contagios y rebrotes en las mismas empresas.

¿Qué se consideran datos de salud?

Los datos de salud se recogen dentro de los datos especialmente protegidos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. En concreto el artículo 9.1 del RGPD a los datos de salud dentro de esta categoría.

Se consideran como datos de salud, según lo dispuesto en el Considerando 35 del RGPD, aquellos datos relativos al estado de salud del interesado que ofrecen información sobre:

• Su estado de salud física o mental en cualquier momento pasado, presente o futuro.
• Datos recogidos de la persona física recogida durante su inscripción a efectos de asistencia sanitaria.
• Todo número, símbolo o dato que identifique a la persona física de forma unívoca a efectos sanitarios.
• Información obtenida en pruebas o exámenes de una parte del cuerpo o sustancia corporal. Incluida la procedente de datos genéticos y muestras biológicas,
• Cualquier información relativa a cualquier enfermedad, una discapacidad o el riesgo de padecer enfermedades.
• Historial médico
• Ttratamiento clínico o el estado fisiológico o biomédico del interesado.

Obligaciones legales para las empresas que tratan datos de salud

Las empresas que traten datos de salud deberán cumplir una serie de requisitos según recogidos en el RGPD como:

• Existencia de un Registro de Actividades del Tratamiento según exige el artículo 30.5 del RGPD.
• Designación de un Delegado de Protección de Datos (DPO) que se exige tanto en el RGPD en su artículo 37, como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) en su artículo 34.
• Necesidad de realizar una Evaluación de Impacto cuando se traten datos de salud a gran escala según el artículo 35.3 b) del RGPD.

¿Cómo cumplir con la legislación?

Conforme al artículo 9 RGPD, al tratarse de datos especialmente protegidos, se prohíbe su tratamiento salvo que concurran las circunstancias contenidas en su apartado 2, que se refiere situaciones como:

• Consentimiento explícito otorgado por el interesado.
• Cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado.
• Los casos en que el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
• El tratamiento es necesario por razones de interés público en el ámbito de la salud pública.

Es necesario por tanto informar previamente al interesado sobre el tratamiento de los datos que se va a realizar como la identidad del responsable, los datos de contacto del DPO, los fines del tratamiento, o los destinatarios o categorías de destinatarios de los datos personales, conforme a los artículos 13 y 14 del RGPD.

También es necesario obtener el consentimiento expreso del interesado salvo que el tratamiento se haga conforme al cumplimiento de una obligación legal, algo que puede ocurrir por ejemplo actualmente en los casos en los que las empresas decidan tomar la temperatura de los trabajadores a la entrada del centro de trabajo y llevara así un control de posibles contagios de Coronavirus y garantizar la salud de todos sus empleados.

Letslaw es un despacho de abogados especializado en Internet y derecho de las nuevas tecnologías.