El vigente Reglamento Europeo de Protección de Datos1 fue aprobado el pasado 27 de abril de 2016. No obstante, a pesar de su aprobación y consecuente entrada en vigor, su contenido no será de aplicación hasta el próximo 25 de mayo de 20182. Un periodo transitorio en el que los Estados miembros de la Unión Europea (UE), sus instituciones, empresas y resto de personas que traten datos de carácter personal con ocasión de una actividad profesional, no doméstica3, deberán adecuar y preparar sus estructuras y procedimientos de trabajo interno para dar cumplimiento al elenco de obligaciones que el nuevo escenario jurídico aprobado por este Reglamento Europeo exige.
Como es obvio, las instituciones sanitarias deberán asumir igualmente las obligaciones que el presente Reglamento Europeo impone, debiéndose analizar en su momento si, a nivel estructural y organizativo, este nuevo escenario debe conllevar la aprobación en España de alguna norma específica que aclare o ayude a interpretar la correcta aplicación del Reglamento Europeo dentro del ámbito asistencial e investigador.
Como se describe en el propio título del nuevo Reglamento Europeo, el mismo deroga la Directiva Europea de Protección de datos (núm. 95/46/CE) aprobada en el año 1995. Lo mismo obedece a una finalidad de actualizar y armonizar el cumplimiento de la protección de datos en la UE, toda vez que como expresamente así reconoce por el propio Reglamento, existían diferencias en el nivel de protección que se confería al tratamiento de los datos de carácter personal entre las diferentes normativas nacionales de los diferentes Estados miembros. Esta circunstancia dificultaba sobremanera la libre circulación de información personal dentro de la UE. Ante este escenario de inseguridad jurídica sobrevenida, el Reglamento Europeo ha venido a tratar de garantizar que el nivel de protección de los derechos y libertades de las personas, en lo concerniente a su información personal, sea equivalente en todos los países de la UE.
Esta pretensión de garantizar un nivel uniforme de protección a nivel comunitario, ha podido justificar la decisión de la UE de acoger la fórmula del 'Reglamento' y no de 'Directiva', para promulgar un nuevo texto legal. Concretamente, la decisión de acoger la fórmula del Reglamento implica que su cumplimiento literal será obligatorio de forma directa en todos los países de la UE desde el próximo 25 de mayo de 2018. En consecuencia, no será obligatorio que, previamente a su aplicación, cada uno de los países miembros de la UE aprueben un acto de trasposición previo, interno, como es la aprobación de una ley nacional que incorpore los mandamientos de una norma comunitaria4, como sería el caso si hubiéramos estado ante el supuesto de una Directiva Europea. Todo lo contrario, el contenido aprobado por el Reglamento Europeo no exige dicho acto de trasposición previo, sino que su aplicación es directa en todos los países de la UE. Sin embargo, ello no impide que, como el propio Reglamento prevé en sus considerandos previos5, los diferentes países se encuentren facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las obligaciones del presente Reglamento.
En este sentido, el ámbito sanitario, atendiendo a su especial y específico tipo de funcionamiento, así como a la sensibilidad del tipo de información que trata, podría ser uno de los sectores candidatos a verse afectados por alguna norma de ámbito nacional que ayude especificar o interpretar la implementación y cumplimiento de dicho Reglamento, en un sector tan particular y complejo como es el sanitario, más aún en lo concerniente al tratamiento de información personal de pacientes. Sin embargo, lo mismo debe esperar a comprobar si, una vez este Reglamento sea plenamente aplicable, se generan dudas razonables para su efectivo cumplimiento dentro del ámbito de las instituciones sanitarias.
No obstante, debe procederse al análisis breve y resumido de aquel contenido (artículos) introducido por el Reglamento Europeo que tiene una incidencia directa en el sector sanitario, tanto en su faceta asistencial e investigadora.
En primer lugar, deben destacarse dos definiciones recogidas dentro de su articulado, como son las definiciones de 'datos relativos a la salud'6 y 'datos genéticos'7. En relación al primero de ellos, el Reglamento incorpora un matiz novedoso al concepto tradicional de datos relativo a la salud, como es el hecho de acoger también bajo esta definición la información o datos relativos a la prestación de servicios de atención sanitaria que revelen información sobre el estado de salud de una persona. Asimismo, con la inclusión de la definición de datos genéticos, el presente Reglamento revela la importancia que en la actualidad asistencial e investigadora ostenta la genética. piedra angular de la Medicina personalizada y preventiva, que progresivamente de forma muy notable va formando parte de las investigaciones biomédicas y clínicas que se desarrollan tanto por los centros de investigación como por la propia industria farmacéutica.
En segundo lugar, en lo concerniente a la legitimidad para el tratamiento de lo que el Reglamento define como datos sensibles, este restringe su licitud, entre otros supuestos, a que el ciudadano haya otorgado su consentimiento explícito8 o que su tratamiento sea necesario para fines de Medicina preventiva, para el diagnóstico médico, para la prestación de asistencia o tratamiento de tipo sanitario o social, así como para la gestión de los sistemas y servicios de asistencia sanitaria9. no obstante, dicho tratamiento queda supeditado a que el mismo sea realizado por un profesional sujeto a la obligación de sujeto profesional10.
En tercer lugar, en comparación con lo dispuesto por nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (Artículo 5), el presente Reglamento aumenta los requisitos informativos que todo responsable en el tratamiento de datos personales debe trasladar a los interesados al momento de la obtención de sus datos personales. Dicho aumento de información viene identificado por los siguientes requisitos: i) necesidad de informar sobre la identidad del Delegado de Protección de datos (figura creada ex novo por el presente Reglamento), ii) el derecho a presentar una reclamación ante la autoridad de control, y iii), el plazo durante el cual se conservarán los datos personales, o cuando no sea posible, los criterios utilizados para determinar este plazo. Esta novedad informativa cobra especial relevancia en el ámbito sanitario. Si tenemos en cuenta que para el tratamiento de los datos personales de los pacientes por parte de un centro médico, su consentimiento explícito viene determinado por la necesidad terapéutica de ser atendidos medicamente, lo mismo no excluye la obligación del centro de informar a los propios pacientes sobre lo articulado en este sentido por el propio Reglamento al momento de la recogida de sus datos (a través de las vías o medios que en cada caso las instituciones consideren pertinentes). sin embargo, deben ser conscientes que ante cualquier incidencia en este sentido serán las instituciones sanitarias las encargadas de probar este deber informativo. En este sentido, a efectos de la normativa en materia de protección de datos de carácter personal, información y consentimiento ostentan diferente naturaleza jurídica.
Por otra parte, como ya se citara en el párrafo anterior, debe destacarse la creación ex novo de la figura del Delegado de Protección de Datos. Una figura cuyo nombramiento corresponde al propio responsable (o encargado) del tratamiento de datos personales (la institución sanitaria en nuestro caso), y cuyas funciones vendrían definidas por las labores de asesoramiento y supervisión de la propia institución para el efectivo cumplimiento de lo dispuesto por el Reglamento Europeo de protección de datos, así como por la cooperación con la autoridad de control correspondiente. Sin embargo, en el ámbito sanitario, su nombramiento es obligatorio. Así nos lo recuerda el propio Reglamento Europeo en su artículo 37, al especificar que su designación por parte de los responsables (o encargados) del tratamiento de los datos personales será obligatoria cuando 'las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 (')'. Dentro de esta categoría especial de datos personales, se encuentran por definición los datos relativos a las salud de las personas11.
Por último, debe destacarse la referencia que el Reglamento Europeo hace en repetidas ocasiones al tratamiento de datos personales con fines de investigación científica y sus requisitos. De la lectura de sus diferentes artículos nos encontramos ante un tipo de tratamiento que puede arrojar ciertas dudas interpretativas para su correcta aplicación. Así, si bien los datos personales deberán ser recogidos con una finalidad determinada y explícita, los mismos no podrán ser utilizados posteriormente de manera incompatible con dicha finalidad. Sin embargo, el presente Reglamento dispone que su tratamiento posterior con fines científicos no será incompatible, matizando no obstante que, tratándose de datos sensibles (datos de salud), su tratamiento debe ser autorizado de forma explícita por el interesado, o como en el caso que nos ocupa, que su tratamiento sea necesario para desarrollar fines de investigación científica entre otros. Sin embargo, al acudir a los considerandos previos del propio Reglamento, puede apreciarse cómo sí se articulan una serie de obligaciones al objeto de garantizar el poder de control que sobre el uso y destino posterior de sus datos personales, por parte de todos los ciudadanos de la UE. Concretamente, el considerando número 33 del Reglamento Europeo es claro a este respecto, al disponer una realidad que se aleja de una permisibilidad absoluta en el uso posterior de los datos personales con fines científicos: 'Con frecuencia, no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas áreas de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida'. Por tanto, parece limitarse el ejercicio del consentimiento de los ciudadanos cuyos datos vayan a ser utilizados ulteriormente con fines de investigación científica, restringiendo el mismo, únicamente, a determinadas áreas de investigación o partes de un proyecto. Sin embargo, no se concretan estas posibilidades, dejando a nuestro entender, en manos de los Estados miembros, su definición e interpretación.
Es este último ejemplo, puede constituir una clara muestra de la importancia que en el sector sanitario e investigador cobra la previsión dispuesta en el considerando número 10 del presente Reglamento Europeo. conforme a dicho considerando, el presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus nomas, inclusive para el tratamiento de categorías especiales de datos personales ('datos sensibles'). En este sentido, añade el citado considerando número 10, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.
En efecto, la finalidad armonizadora con la que nace el presente Reglamento Europeo pretende dotar de una mayor seguridad jurídica al tratamiento y tráfico de datos personales a nivel internacional, acogiendo una serie de normas y obligaciones que además atender a la evolución tecnológica experimentada desde la aprobación de la Directiva europea 95/46/CE, ahora derogada, favorezca una interpretación uniforme de sus postulados por parte de los diferentes países de la UE, en su potestad de articular nomas nacionales aún más específicas para aquellos ámbitos como el sanitario, que por su especial y trascendente funcionamiento pudieran llegar a requerir, para dar oportuno cumplimiento al contenido íntegro del presente Reglamento Europeo
Referencias bibliográficas
1. REGLAMENTO (UE) 2016/679 DELPARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. (REPD).
2. Artículo 99.2 del REPD: 'Será aplicable a partir del 25 de mayo de 2018'.
3. Artículo 2.1.c) del REPD: 'El presente Reglamento no se aplica al tratamiento de datos personales: (') c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domesticas'.
4. Considerando 41 del REPD: 'Cuando el presente Reglamento hace referencia a una base jurídica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia») y del Tribunal Europeo de Derechos Humanos'.
5. Considerando 10º del REPD: '(') El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.
6. Artículo 4.15 del REPD: 'datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud'.
7. Artículo 4.13 del REPD: 'datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona'.
8. Artículo 9.2.a) del REPD.
9. Artículo 9.2.h) del REPD.
10. Artículo 9.3 del REPD.
11. Artículo 9 del REPD: 'Tratamiento de categorías especiales de datos personales:
1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguiente:
(')
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3.