tratamiento de datos de salud

A raíz de la pandemia del COVID-19, el Comité Europeo de Protección de Datos (“CEPD”) publicó el pasado 21 de abril, dos guías diferentes: (i) la Guía 03/2020 sobre el tratamiento de datos de salud con fines de investigación científica (“Guía”) y (ii) la Guía 04/2020 sobre el uso de datos de localización y herramientas de seguimiento, del que os hablamos en esta otra entrada de blog.

En esta primera Guía, el CEPD ya adelanta su interés en desarrollar orientaciones adicionales más detalladas sobre el tratamiento de datos sanitarios con fines de investigación científica como parte de su plan de trabajo anual.

Por el momento, en su Guía, el CEPD parte de la definición de los conceptos en el Reglamento General de Protección de Datos 2016/679 (“RGPD”) y de la distinción entre “uso secundario” y “uso primario” de los datos sanitarios, para concluir que:

  • La base jurídica que legitime y excepcione, a la vez, el tratamiento de datos personales relativos a la salud puede ser (i) el consentimiento, explícito, libre, específico, informado e inequívoco o (ii) el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos o el interés legítimo (artículo 6.1 letras e) o f) del RGPD) en conjunto con el interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, y los fines de investigación científica, siempre que se sustente en el Derecho de la Unión o, en nuestro caso, de España (artículo 9.2 letras i) y j) del RGPD).
  • Se debe atender a los principios de protección de datos y, en particular, a los principios de (i) transparencia e información a los interesados, en el momento de obtención de los datos o, si han sido obtenidos de terceros, dentro del plazo máximo de un mes o en un plazo razonable antes de que se ejecute el nuevo proyecto de investigación; (ii) limitación de la finalidad, aunque exista la “presunción de compatibilidad” en el ámbito de la investigación científica bajo ciertos requisitos; (iii) minimización de los datos en función de la finalidad de la investigación y limitación del plazo de conservación, estableciendo plazos de conservación proporcionados en función de la duración de la investigación y su finalidad; e (iv) integridad y confidencialidad de los datos, implementando las medidas técnicas y organizativas adecuadas (por ejemplo, como mínimo, la pseudonimización y cifrado), considerando la sensibilidad de los datos sanitarios.
  • Aunque en principio, situaciones como el actual brote de COVID-19 no suspenden ni restringen la posibilidad de que los interesados ejerzan sus derechos en materia de protección de datos, el RGPD permite a los legisladores nacionales limitar algunos de los derechos del interesado.
  • Dado el contexto global de la pandemia, el CEDP considera que es probable la necesidad de cooperación internacional y, con ella, la transferencia internacional de datos personales relativos a la salud con fines de investigación científica. En este caso, entiende que las excepciones previstas en el artículo 49 del RGDP relativas a la posibilidad de realizar una transferencia de datos sin las garantías adecuadas por razones importantes de interés público o bajo el consentimiento explícito, pueden tener cabida, en función de la urgencia y solo de forma temporal, siendo aplicable tanto a las autoridades públicas como a las entidades privadas que intervengan para garantizar ese interés público.

Autores: Alejandro Negro y Adaya Esteban

Autores:

Consejero

45 artículos

Alejandro Negro

alejandro.negro@cuatrecasas.com

Asociada

51 artículos



adaya.esteban@cuatrecasas.com