¿Qué se exige para tratar datos de salud?

El Reglamento (UE) 2016/679 (“RGPD”) establece el principio general de que el tratamiento de los datos personales relativos a la salud de una persona física está prohibido, salvo cuando concurra alguna de las circunstancias indicadas en el artículo 9.2 RGPD, entre ellas el consentimiento “explícito”, una obligación legal, una finalidad de interés público o que el tratamiento sea necesario para el cumplimiento de obligaciones de medicina preventiva o laboral, en los términos que recoge dicho precepto.

Los datos de salud se enmarcan dentro de las denominadas categorías especiales de datos, respecto de las cuales, dadas sus particularidades, el RGPD invita a los Estados miembros a introducir condiciones adicionales, incluso limitaciones, para su tratamiento. Siguiendo esta recomendación, el texto del artículo 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“nueva LOPD”), establece que el consentimiento del interesado no resulta suficiente para levantar la prohibición del tratamiento cuya finalidad principal sea identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Por tanto, en estos casos, deberá concurrir otra base jurídica que legitime este tratamiento, además del consentimiento.

El precepto mencionado no incluye los datos de salud en este listado, lo que parece indicar que el consentimiento explícito del interesado bastará para legitimar su tratamiento en determinados supuestos. En cualquier caso, la nueva LOPD aclara que los tratamientos de datos de salud por razones de interés público o para fines de medicina o laboral, deberán amparase en una norma con rango de ley.

Junto a lo anterior, la nueva LOPD tiene en cuenta que estas restricciones podrían afectar a ciertos ámbitos de investigación en los que es necesario emplear datos de salud, por ejemplo, la investigación biomédica, cuyos beneficios deben ponderarse con el derecho a la protección de datos. Por ello, la Disposición Adicional 17ª contempla una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la investigación biomédica, en concreto, se ocupa de regular el alcance del consentimiento del interesado o el uso de sus datos sin consentimiento en este ámbito.

Autor: Sergi Gálvez

Autores:

Asociado

35 artículos

Asociado del Área de Propiedad Intelectual y Protección de Datos. Especialista en protección de datos y tecnologías disruptivas. Participa en el asesoramiento recurrente en materia de protección de datos y contratación tecnológica de compañías nacionales e internacionales, especialmente en la configuración jurídica de evaluaciones de impacto, transferencias internacionales de datos personales, contratos de encargo de tratamiento y en el asesoramiento durante violaciones de seguridad. Además de prestar asesoramiento continuado a clientes en los ámbitos mencionados, tiene experiencia en asesorar a empresas de diferentes sectores en la configuración legal de proyectos que implementan tecnologías disruptivas, tales como el Big Data, Internet of Things, artificial intelligence y smart robots.

sergi.galvez@cuatrecasas.com