El pasado mes de enero la AEPD ha publicado un Informe referente a la legitimación para el tratamiento de datos de salud pública.
El Informe vino motivado por una consulta realizada por el Instituto de Salud Carlos III. Este centro desarrolla funciones de vigilancia de enfermedades como sida, tuberculosis o cáncer.
Para identificar los factores de riesgos y para vigilar esas enfermedades indican que es necesario cruzar las bases de datos clínicas y administrativas.
Es decir, para la realización de sus funciones necesita utilizar bases de datos diversas. Generalmente con información sobre salud, gestionadas por otros organismos públicos.
Por ello se presenta la consulta sobre la justificación de ese tratamiento de los datos de salud y si los organismos públicos titulares de las bases de datos pueden ceder esos datos sin consentimiento de los afectados.
Cesión de datos de salud
El RGPD define los datos de salud como aquellos referidos a la salud mental o física de una persona. Es decir, que revelen información sobre su estado de salud.
Respecto a la cesión de estos datos considerados sensibles, el RGPD, en el artículo 9, prohíbe el tratamiento de los datos relativos al origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida o la orientación sexual de una persona.
Pero el RGPD también establece excepciones a la prohibición de ese tratamiento, como en caso de que exista:
- Un interés público especial
- Razones de salud del trabajador o asistencia sanitaria
- Interés público en el ámbito de la salud pública
Por su parte, la LOPDGDD, aprobada en diciembre en España, regula también los tratamientos de datos de salud amparados por una serie de normas. Como la Ley General de Sanidad, la ley de Investigación biomédica o la Ley General de Salud Pública.
Y considera que el tratamiento de dichos datos está justificado por razones de interés público.
Por tanto, el régimen de cesión de datos no ha variado esencialmente, respecto de la necesidad del consentimiento. La LOPDGDD simplemente ha reforzado el régimen existente en la legislación
vigente.
La ley General de salud pública no exige obtener el consentimiento de las personas afectadas para el tratamiento de datos personales relacionadas con la salud. Incluyendo la cesión
a otras administraciones públicas sanitarias, cuando ello fuere estrictamente necesario para la tutela de la salud de la población.
Tratamiento de datos en investigación de la salud
En el tratamiento de datos personales para la investigación de la salud, la LOPDGDD indica que las autoridades y organismos que realicen esas labores de investigación no necesitan el consentimiento de los afectados. Pero siempre que se trate de situaciones de excepcional relevancia y gravedad para la salud pública.
Por tanto, se permite el tratamiento de esos datos pero siempre sujeto a esa condición de especial gravedad, que determinarán las autoridades sanitarias.
Acceso a historias clínicas
La LOPDGDD modifica también lo referido a los accesos a las historias clínicas de pacientes. Establece que, en caso de acceder a historias clínicas con fines epidemiológicos, de salud pública o judiciales, se debe preservar la identificación del paciente. Es decir, los datos personales deben anonimizarse, salvo que el paciente haya dado su consentimiento.
En este caso también se exceptúan los casos de especial gravedad para la salud pública. O si existe grave riesgo para la salud de la población por motivos epidemiológicos.
Escribe aquí tu comentario