LA NUEVA LOPD Y LOS DATOS DE SALUD. REGULACIÓN DEL TRATAMIENTO DE DATOS EN INVESTIGACIÓN.
Como continuación al artículo “El acceso a los datos de salud según el Reglamento general de protección de datos”, en el que se analizaban algunos aspectos relacionados con el tratamiento de datos personales de salud en el marco del Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante RGPD), procedemos ahora a presentar los puntos más relevantes introducidos en este ámbito por la recientemente aprobada Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante LOPDGDD), entre los que destaca sobremanera la inclusión de una disposición específica sobre la investigación con fines sanitarios.
Si bien el RGPD estableció un marco jurídico unificado para todos los países de la UE, de aplicación directa desde el 25 de mayo de 2018, el mismo preveía un desarrollo normativo por parte de los estados miembros, al objeto de aclarar y regular algunos aspectos. Es el caso de la protección de datos relativos a la salud, para la que el artículo 9.4.del RGPD señala que “Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud”.
“Obedeciendo” al legislador europeo, la LOPDGDD regula esta materia en los siguientes artículos:
- Artículo 9 Categorías especiales de datos
- Disposición adicional decimoséptima: Tratamientos de datos de salud (habilitación legal y tratamiento de datos con fines de investigación)
- Disposición transitoria sexta: Reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos con anterioridad a la entrada en vigor de esta ley orgánica
- Disposición final quinta: Modificación de la Ley 14/1986, de 25 de abril, general de sanidad
- Disposición final novena: Modificación de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
Prohibición general de tratamiento y habilitación legal
Como no podía ser de otra manera, la norma española sigue el principio básico establecido en el artículo 9.2 del RGPD por el cuál, en base a la especial protección conferida a este tipo de datos, se consagra una prohibición general de tratar los datos relativos a la salud, salvo en determinados supuestos. De entre éstos, la LOPDGDD en su artículo 9 establece que “los contemplados en las letras g), h) e i) (tratamiento de datos necesario para la prevención y diagnóstico médicos, o por razones de interés público o salud pública), deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad”, añadiendo que “dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte”.
Por tanto, en relación con el tratamiento de categorías especiales de datos, el artículo 9.2 dispone el principio de reserva de ley para su habilitación en los casos previstos, incluyendo las normas que pudieran adoptarse en el futuro, y admitiendo las habilitaciones legales actualmente existentes, tal y como se indica específicamente, respecto de la legislación sanitaria y aseguradora, en la disposición adicional decimoséptima de la LOPDGDD:
“a) La Ley 14/1986, de 25 de abril, General de Sanidad.
b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
d) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.
e) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.
f) La Ley 14/2007, de 3 de julio, de Investigación biomédica.
g) La Ley 33/2011, de 4 de octubre, General de Salud Pública.
i) El texto refundido de la Ley de garantías y uso racional de los 105 medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio.
Designación obligatoria de Delegado de Protección de Datos
El RGPD, en su artículo 37, señalaba de forma genérica los casos en los que resulta obligatoria la designación de un Delegado de Protección de Datos, indicando entre los mismos a aquellos en los que “las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9…”.
La nueva LOPDGDD, por su parte, explicita estos supuestos de obligatoriedad, entre los cuales menciona expresamente a los centros sanitarios, en tanto estén obligados al mantenimiento de historias clínicas, exceptuando “a los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual”.
Regulación del tratamiento de datos para investigación
Donde el legislador español ha utilizado su potestad reguladora de forma más evidente, desarrollando y aclarando la normativa existente, es en materia de investigación de salud y biomédica.
Se trata de la principal novedad en el ámbito de privacidad sanitaria, y está contemplada en el artículo 2 de la disposición adicional decimoséptima, que “introduce una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la investigación en materia de salud, y en particular la biomédica, ponderando los indudables beneficios que la misma aporta a la sociedad con las debidas garantías del derecho fundamental a la protección de datos”.
Esta regulación trae causa en la preocupación manifestada por distintos colectivos científicos y sanitarios, que se plasmó en distintos comunicados públicos, reuniones con la Agencia Española de Protección de Datos y presentación de enmiendas durante la tramitación de la Ley por parte de los grupos parlamentarios. El tratamiento de la información de pacientes es esencial para poder desarrollar proyectos de investigación, y existía la creencia de que la aplicación del RGPD podría suponer una amenaza para los mismos, debido a su carácter aparentemente más restrictivo en cuanto a la gestión de datos de salud y a la exigencia de un consentimiento más reforzado y específico.
Nada más lejos de la realidad, pues el propio RGPD, en su considerando (159), ya adelantaba que “el tratamiento de datos personales con fines de investigación científica debe interpretarse, a efectos del presente Reglamento, de manera amplia, que incluya, por ejemplo, el desarrollo tecnológico y la demostración, la investigación fundamental, la investigación aplicada y la investigación financiada por el sector privado. Además, debe tener en cuenta el objetivo de la Unión establecido en el artículo 179, apartado 1, del TFUE de realizar un espacio europeo de investigación. Entre los fines de investigación científica también se deben incluir los estudios realizados en interés público en el ámbito de la salud pública”.
Pues bien, la LOPDGDD introduce una serie de previsiones al objeto de garantizar el adecuado desarrollo de la investigación en materia de salud y biomedicina, preservando la protección del derecho fundamental a la protección de datos.
De forma muy resumida, indicar que la nueva LOPD mantiene prácticamente inalterado el régimen establecido por la Ley 14/2007 de investigación biomédica y el RD 1090/2015 sobre ensayos clínicos con medicamentos, que establecía el consentimiento previo y expreso del afectado como principio básico para el tratamiento de datos personales con fines de investigación, pero mantiene una interpretación más flexible del alcance que puede darse al consentimiento, señalando que no será necesario que la persona preste su consentimiento para una investigación o rama concreta, sino que, teniendo en cuenta la interpretación derivada directamente del RGPD, será suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación.
Esto hace que no se requiera la obligación de volver a recabar el consentimiento de un sujeto de ensayo clínico, cuando se trate de una investigación relacionada con la inicial, siempre y cuando se cumplan unas garantías mínimas, como atender al deber de información y transparencia y obtener informe favorable del comité de ética. Esto es aplicable también para aquellas investigaciones iniciadas con anterioridad a la entrada en vigor de la Ley (disposición transitoria sexta).
Tampoco se requiere el consentimiento cuando no sea posible la identificación de la persona (previa anonimización de sus datos), cuando recabarlo sea imposible o suponga esfuerzos desproporcionados -en los supuestos de investigación de carácter general bajo una serie de requisitos adicionales-, y en situaciones de excepcional gravedad para la salud pública.
En cuanto a las garantías a llevar a cabo por el responsable de la investigación, la Ley señala las siguientes, basadas en el principio de minimización de datos: evaluación de impacto previa, observancia de las normas de calidad y buenas prácticas, adopción de medidas para garantizar que los investigadores no acceden a datos de identificación de los afectados, seudonimización cuando no sea posible anonimización, o publicación de resultados de forma anónima salvo consentimiento previo.
Por último, indicar que la disposición adicional decimoséptima incluye excepciones al ejercicio de los derechos de acceso, rectificación, limitación y oposición, bajo determinadas condiciones, y “siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines”, y obliga a los comités de ética de investigación en salud al “nombramiento de un delegado de protección de datos o, en su defecto, un experto con conocimientos suficientes del RGPD”.
Javier Villegas Flores
IT Legal & Lead Advisor at Govertis Advisory Services
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.