Con la entrada en vigor de la nueva normativa europea de protección de datos, nos preguntamos cómo afectará a nuestras vidas y nuestro día a día. El mayor cambio afectará a las empresas y las administraciones públicas. Es preciso autorizar a estas empresas y a las administraciones para que puedan tratar nuestros datos. El objetivo del nuevo Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés) es proteger a todos los ciudadanos de la UE de la privacidad y las infracciones de datos en un mundo cada vez más basado en ellos, y que es muy diferente al del momento en que se estableció la anterior Directiva de 1995. Pero, de qué manera afecta esta nueva ley en el ámbito sanitario y en nuestro historial clínico. Aunque ya anteriormente los datos de salud tenían un nivel de protección muy elevado basado en su categoría de Datos de Nivel Alto, los cuales se encontraban sujetos a consentimiento expreso del ciudadano, con el nuevo RGPD se establece dos nuevas categorías de “datos de carácter personal relacionados con la salud”, (i) los Datos genéticos y (ii) Datos biométricos.

Señalamos a continuación algunas de las novedades más importantes:

I. Es necesario el consentimiento inequívoco del paciente para que se traten sus datos. Dicho consentimiento tendrá que obtenerse con anterioridad al tratamiento que el paciente vaya a recibir. II. Aparte de los ya conocidos derechos ARCO (acceso, rectificación, cancelación y oposición) de la LOPD, el nuevo RGPD establece el “Derecho de portabilidad”, esto es, el ciudadano tendrá derecho a recibir sus datos personales almacenados en un formato adecuado para que pueda entregárselos a otro responsable del tratamiento. Y el “Derecho de Supresión” o “Derecho al Olvido”: con el nuevo RGPD aparece un nuevo derecho de los interesados. Puede ejercitarse cuando los datos no sean necesarios para las finalidades para las que fueron recogidos. Así mismo se regula el nuevo derecho a presentar una reclamación ante una autoridad de control III. Aquellas personas responsables del tratamiento tendrán que llevar un registro de las actividades de tratamiento interno. IV. Dos nuevos conceptos que aparecen en el RGPD son la anonimización y la seudonimización como mecanismos de disociación. La anonimización es aquel procedimiento que, aplicado a los datos de carácter personal, los convierte en datos que, de forma absoluta e irreversible, no permiten inferir la persona de la que proceden. Como en la LOPD, estos datos disociados quedan fuera del alcance del RGPD. Por el contrario, la seudonimización es “el tratamiento de datos personales de tal manera que ya no puedan atribuirse a un interesado sin utilizar información adicional, y dicha información adicional debe figurar por separado y estar sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.” El RGPD fomenta, junto con la encriptación, este tratamiento de los datos personales. V. Respecto a las obligaciones del responsable y del encargado del tratamiento, pasa a ser un elemento clave el principio de “accountability” (responsabilidad proactiva) basada en la existencia de procedimientos auditados, el establecimiento de políticas de protección de datos y la adhesión a códigos de conducta y certificaciones en materia de protección de datos. Un concepto importante en el RGPD es el de “obligatoriedad de resultado”. No es suficiente con haber cumplido la norma de protección de datos (o, en el futuro, estar certificado), sino que los datos deben efectivamente estar protegidos y no deben producirse brechas de seguridad de esta información si no queremos ser sancionados. Deberá regularse nuevamente las relaciones entre Responsable y Encargado del tratamiento, mediante contratos de encargo del tratamiento, que cumplan con lo establecido en el RGPD.

Estas son las principales novedades con respecto a los datos que se obtienen en los historiales clínicos, además de los principales que afectan en un ámbito más global. Así mismo, habrá que estar a la espera de la promulgación de la normativa nacional propia en materia de protección de datos, así como, la modificación que traiga para las legislación sectorial, en normas como la Ley de Autonomía del Paciente, el Real Decreto sobre Ensayos Clínicos, etc. A pesar de estas novedades, todavía queda un largo trabajo de estudio y adaptación normativa en las clínicas y hospitales. Con ello se pretende reforzar la seguridad jurídica y garantizar los derechos de los pacientes, que de esta manera, disponer de un control más seguro y efectivo de sus propios datos personales.

Ignacio Peral Ramos
Graduado en Derecho