1810 - Procedimiento para poder tratar los datos personales de los pacientes

Tratamiento de datos basado en el consentimiento del afectado

a) Consentimiento del afectado

El consentimiento del afectado consiste en toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. 

Ahora bien, para el caso de consentimiento del afectado para una pluralidad de finalidades será necesario que conste de manera específica e inequívoca que el mismo se otorga para todas ellas.

Por el contrario, no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual (artículo 6 de la LOPDGDD).

b) Condiciones para el consentimiento 

El responsable del tratamiento tendrá que ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales cuando este se base en el consentimiento del mismo.

No obstante, si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo; y no será vinculante ninguna parte de la declaración que constituya infracción del RGPD.

A TENER EN CUENTA. Al evaluar si el consentimiento se ha dado libremente, se estimará en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución del referido contrato (artículo 7.4 del RGPD).

CUESTIONES

1. ¿Podrá el interesado retirar su consentimiento?

Sí, según el apartado tercero del artículo 7 del RGPD:

- El interesado tendrá derecho a retirar su consentimiento en cualquier momento.

- La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.

- Antes de dar su consentimiento, el interesado será informado de ello.

- Será tan fácil retirar el consentimiento como darlo.

2. ¿Qué preceptos de la LOPDGDD y del RGPD previenen el consentimiento de los menores de edad?

El consentimiento del menor de edad para el tratamiento de sus datos se regula en los siguientes preceptos:

- Consentimiento de los menores de edad (artículo 7 de la LOPDGDD).

- Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información (artículo 8 del RGPD).

c) El consentimiento informado en el ámbito sanitario

Según el apartado primero del artículo 8 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP), toda actuación en el ámbito de la salud de un paciente necesita el consentimiento libre y voluntario del afectado, una vez que, recibida la información establecida en el artículo 4 de la misma, haya valorado las opciones propias del caso.

A TENER EN CUENTA. Todo paciente o usuario tiene derecho a ser advertido sobre la posibilidad de utilizar los procedimientos de pronóstico, diagnóstico y terapéuticos que se le apliquen en un proyecto docente o de investigación, que en ningún caso podrá comportar riesgo adicional para su salud (artículo 8.4 de la LAP).

CUESTIONES

1. ¿Cómo deberá prestarse el consentimiento?

Por regla general el consentimiento será verbal, no obstante, atendiendo a lo dispuesto en el art. 8.2 de LAP, el consentimiento se prestará por escrito en los siguientes supuestos:

- Intervención quirúrgica.

- Procedimientos diagnósticos y terapéuticos invasores.

- Aplicación de procedimientos que suponen riesgos o inconvenientes de notoria y previsible repercusión negativa sobre la salud del paciente. 

Ahora bien, antes de recabar el consentimiento por escrito, el facultativo proporcionará al paciente la siguiente información básica (artículo 10 de la LAP):

- Las consecuencias relevantes o de importancia que la intervención origina con seguridad.

- Los riesgos relacionados con las circunstancias personales o profesionales del paciente.

- Los riesgos probables en condiciones normales, conforme a la experiencia y al estado de la ciencia o directamente relacionados con el tipo de intervención.

- Las contraindicaciones.

No obstante, el médico responsable deberá ponderar en cada caso que cuanto más dudoso sea el resultado de una intervención más necesario resulta el previo consentimiento por escrito del paciente. 

2. ¿El paciente podrá revocar su consentimiento?

Sí, el paciente puede revocar libremente por escrito su consentimiento en cualquier momento (artículo 8.5 de la LAP).

Tratamiento de categorías especiales de datos personales 

a) Categorías especiales de datos personales en el RGPD

Según el artículo 9 del RGPD, el principio general es la prohibición del tratamiento de datos personales que descubran los siguientes aspectos pertenecientes a la esfera íntima del individuo:

• Origen étnico o racial.
• Opiniones políticas.
• Convicciones religiosas o filosóficas.
• Afiliación sindical.
• Datos genéticos.
• Datos biométricos.
• Datos de salud.
• Datos de la vida sexual.
• Datos de la orientación sexual.

Ahora bien, como excepción al principio general de prohibición dispuesto con anterioridad, podrán ser objeto de tratamiento los referidos datos personales cuando concurran las siguientes circunstancias:

• Consentimiento explícito del interesado excepto cuando el derecho de la UE o los EEMM dispongan que la prohibición no se pueda levantar.
• El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el derecho de la Unión o de los EEMM o un convenio colectivo.
• El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
• El tratamiento es efectuado por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
• El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
• El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
• El tratamiento es necesario por razones de un interés público esencial, sobre la base del derecho de la Unión o de los EEMM, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
• El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del derecho de la Unión o de los EEMM o en virtud de un contrato con un profesional sanitario.
• El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del derecho de la Unión o de los EEMM que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular, el secreto profesional.
• El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetando en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

A mayor abundamiento, la disposición adicional 17.ª de la LOPDGDD establece que, se encuentran amparados en las letras g), h), i) y j) del apartado segundo del artículo 9 del RGPD, los tratamientos de datos relacionados con la salud y de datos genéticos que estén regulados en las siguientes leyes y sus disposiciones de desarrollo:

• La Ley 14/1986, de 25 de abril, General de Sanidad.
• La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
• La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
• La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.
• La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.
• La Ley 14/2007, de 3 de julio, de Investigación biomédica.
• La Ley 33/2011, de 4 de octubre, General de Salud Pública.
• La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
• El texto refundido de la Ley de garantías y uso racional de los medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio.
• El texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, aprobado por Real Decreto Legislativo 1/2013 de 29 de noviembre.

Además, atendiendo al segundo apartado de la mencionada disposición adicional, el tratamiento de datos en la investigación en salud se guiará por los criterios siguientes:

a. El interesado o su representante legal, en su caso, podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y, en particular, la biomédica. 

b. Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán realizar estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública.

c. Se considerará lícita y compatible la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial.

d. Se considera lícito el uso de datos personales seudonimizados con fines de investigación en salud y, en particular, biomédica, que necesitará:

- Una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conserven la información que posibilite la reidentificación.

- Que los datos seudonimizados únicamente sean accesibles al equipo de investigación cuando:

i. Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación.

ii. Se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.

e. Cuando se traten datos personales con fines de investigación en salud, y en particular, la biomédica, a los efectos del apartado segundo del artículo 89 del RGPD, no obstante, podrán excepcionarse los derechos de los afectados establecidos en los artículos 15, 16, 18 y 21 del mismo texto legal cuando:

- Los referidos derechos se ejerzan directamente ante los investigadores o centros de investigación que utilicen datos anonimizados o seudonimizados.

- El ejercicio de dichos derechos se refiera a los resultados de la investigación.

- La investigación tenga por objeto un interés público esencial relacionado con la seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes de interés público general, siempre que en este último caso la excepción esté expresamente recogida por una norma con rango de ley.

f. Cuando de acuerdo con lo establecido por el artículo 89 del RGPD, se lleve a cabo un tratamiento con fines de investigación en salud pública y, en particular, biomédica se procederá a:

- Realizar una evaluación de impacto que determine los riesgos derivados del tratamiento en los casos establecidos en el artículo 35 del RGPD o en los establecidos por la autoridad de control, dicha evaluación incluirá de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.

- Someter la investigación científica a las normas de calidad y, en su caso, a las directrices internacionales sobre buena práctica clínica.

- Adoptar, en su caso, medidas dirigidas a garantizar que los investigadores no acceden a datos de identificación de los interesados.

- Designar un representante legal establecido en la UE, de acuerdo con el artículo 74 del RGPD, si el promotor de un ensayo clínico no está establecido en la UE, dicho representante legal podrá coincidir con el establecido en el apartado primero del artículo 27 del RGPD.

g. El uso de datos personales seudonimizados con fines de investigación en salud pública y, en particular, biomédica deberá ser sometido al informe previo del comité de ética de la investigación previsto en la normativa sectorial.

h. En el plazo máximo de un año desde la entrada en vigor de la LOPDGDD, los comités de ética de la investigación, en el ámbito de la salud, biomédico o del medicamento, deberán integrar entre sus miembros un DPD o, en su defecto, un experto con conocimientos suficientes del RGPD cuando se ocupen de actividades de investigación que comporten el tratamiento de datos personales o de datos seudonimizados o anonimizados. 

A TENER EN CUENTA. El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al RGPD, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo (artículo 89.1 del RGPD).

b) Categorías especiales de datos en la LOPDGDD

En el preámbulo de la LOPDGDD se mencionan las categorías especiales de datos y el tratamiento de datos de naturaleza penal, haciendo referencia específicamente al consentimiento:

«(...) que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como "consentimiento tácito", se indica que el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que se otorga para todas ellas, y se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento».

Así, teniendo en cuenta lo establecido en el artículo 9.2.a) del RGPD, ya analizado en el punto anterior, con el fin de eludir casos de discriminación, el solo consentimiento del interesado no será suficiente para suprimir la prohibición del tratamiento de datos cuyo objetivo sea determinar su:

• Ideología.
• Afiliación sindical.
• Religión.
• Orientación sexual.
• Creencias.
• Origen racional o étnico.

Además, en el mismo preámbulo de la LOPDGDD se dispone que el apartado segundo del artículo 9 consagra «el principio de reserva de ley para su habilitación en los supuestos previstos en el Reglamento (UE) 2016/679. Dicha previsión no sólo alcanza a las disposiciones que pudieran adoptarse en el futuro, sino que permite dejar a salvo las distintas habilitaciones legales actualmente existentes, tal y como se indica específicamente, respecto de la legislación sanitaria y aseguradora, en la disposición adicional decimoséptima».

CUESTIÓN

¿Qué obligaciones tendrán los responsables y los encargados del tratamiento respecto a las categorías especiales de datos?

Los responsables y encargados del tratamiento, considerando los elementos enumerados en los artículos 24 y 25 del RGPD, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con la referida norma, con la LOPDGDD, sus normas de desarrollo y la legislación sectorial aplicable; en particular, valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa indicada en la sección 3 del capítulo IV del RGPD.

Ahora bien, para la adopción de las antedichas medidas los responsables y encargados del tratamiento estimarán, en concreto, los mayores riesgos que podrían producirse, entre otros supuestos, cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos referidas en los artículos 9 y 10 del RGPD y 9 y 10 de la LOPDGDD o de los datos relacionados con la comisión de infracciones administrativas [artículo 28.2.c) de la LOPDGDD].