Regulación el sector salud en España con respecto al tratamiento de datos personales
Actualmente, el mundo online está llegando a todos los ámbitos, incluido el sector salud. El número de aplicaciones móviles relacionadas con la salud empieza a alcanzar unas cifras considerables.
No obstante, muy pocas tienen la calidad necesaria que se le debería exigir a estas herramientas, especialmente en cuanto a información sensible se refiere, aportando un valor añadido a todas aquellas que sí puedan marcar la diferencia en cuanto a la salud de los ciudadanos.
La protección de los datos de carácter personal es un aspecto fundamental en las aplicaciones de salud. Los datos de salud están clasificados dentro del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), como especialmente protegidos y requieren de una serie de medidas de seguridad de alto nivel. Este es un tema que además preocupa tanto a profesionales como usuarios, los cuáles no conocen cómo se almacena y gestiona su información de salud.
¿Cómo lo regula la normativa de protección de datos?
El RGPD define en su artículo 4.15) los datos relativos a la salud como:
“Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.
Sin embargo, el RGPD va más allá, incluyendo como definición de datos de salud a la (i) información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia; (ii) todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; (iii) la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente.
En este sentido, existe una prohibición general de tratamiento de datos personales relativos a la salud de una persona física.
No obstante, existen excepciones a esta prohibición, entre las que se encuentran el otorgamiento del consentimiento explícito por parte del interesado, el interés público, la protección de los intereses vitales del interesado, para fines de medicina preventiva o laboral, etc.
¿En qué consiste el consentimiento explícito?
Como hemos mencionado en el apartado anterior, el consentimiento explícito de los Usuarios consiste en una excepción a la prohibición del tratamiento de datos de salud.
En este sentido, se requiere un consentimiento explícito en ciertas situaciones donde surja un riesgo grave en el tratamiento de los datos, es decir, cuando se considera apropiado un alto nivel de control individual sobre los datos personales. En este caso, la forma de recabar el consentimiento explícito debe responder a esfuerzos adicionales a realizar por el responsable.
De acuerdo con la Guía del Consentimiento emitida por el Comité Europeo de Protección de Datos, una forma obvia de asegurarse de que el consentimiento sea explícito sería confirmar expresamente el consentimiento en una declaración por escrito y que esté firmada por el usuario.
A pesar de que el Comité Europeo de Protección de Datos prevé el consentimiento por escrito como la forma más segura de constituir prueba para el consentimiento explícito, también prevé fórmulas alternativas como son, entre otros: (i) la emisión de la declaración requerida rellenando un formulario electrónico, (ii) enviando el usuario un correo electrónico, (iii) cargando un documento escaneado con la firma del interesado o utilizando una firma electrónica, etc.
Letslaw
En Letslaw contamos con un equipo de expertos en protección de datos y nuevas tecnologías involucrados en grandes proyectos del campo sanitario. Para más información, ponte en contacto con nosotros a través de la dirección de correo: admin@letslaw.es