Estudios de Deusto
ISSN: 0423-4847 • ISSN-e: 2386-9062
DOI: http://dx.doi.org/10.18543/ed
Vol. 68/2 julio-diciembre 2020
EL MARCO JURÍDICO DE LOS DATOS RELATIVOS A LA SALUD EN EL ÁMBITO DE LA SALUD Y DE LA INVESTIGACIÓN EN SALUD TRAS LA ENTRADA EN VIGOR DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES
The legal framework for health-related data in the field of health and health research after the entry into force of general data protection regulation and the law on the protection of personal data and guarantee of digital rights
Mª Mercedes Serrano Pérez
Profesora Contratada Doctora de Derecho Constitucional
Universidad de Castilla - La Mancha
http://dx.doi.org/10.18543/ed-68(2)-2020pp257-292
Recibido: 22.09.2020
Aceptado: 21.12.2020
Resumen
El tratamiento de los datos relativos a la salud tiene relevancia no solo a nivel individual en el entorno de la asistencia sanitaria personal, sino también desde el punto de vista colectivo, valorando la salud como un bien social. En la vertiente de la salud como bien comunitario, el empleo de los datos en investigación ha de rodearse de las garantías adecuadas para proteger los derechos de los sujetos, pero con la flexibilidad y racionalidad necesarias para no obstaculizar la labor de investigación en salud pública, que incluye también la investigación epidemiológica.
Palabras clave
datos relativos a la salud, tratamiento de datos, investigación en salud.
Abstract
The treatment of health-related data is relevant not only at the individual level in the environment of individual health care, but also from the collective point of view, valuing health as a social good. In the health aspect as a community good, the use of data in research must be surrounded by adequate guarantees to protect the rights of subjects, but with the necessary flexibility and rationality so as not to hinder the work of public health research, which also includes epidemiological research.
Keywords
data related to health, data processing, health research.
Sumario: I. Introducción. II. Algunas cuestiones generales sobre el derecho a la protección de datos y el reglamento general de protección de datos. III. Los supuestos de tratamiento de datos relativos a la salud contemplados en el art. 9 RGPD. IV. La regulación de los tratamientos de datos relativos a la salud en la LOPDGDD. A) El tratamiento de los datos relativos a la salud en la LOPDGDD. B) El tratamiento de datos en investigación en salud en la LOPDGDD. 1. El tratamiento de datos en investigación en salud con consentimiento del interesado. a) El consentimiento del interesado para el tratamiento de sus datos en investigación en salud. b) La reutilización de los datos personales con fines de investigación en materia de salud y biomédica. 2. El tratamiento de datos en investigación en salud sin consentimiento del interesado. a) La investigación en casos de excepcional relevancia y gravedad para la salud pública. b) La investigación en salud con datos seudonimizados. 3. Las excepciones al ejercicio de los derechos en el ámbito de la investigación. 4. Los requisitos y garantías en el ámbito de la investigación científica. V. La modificación del art. 16 Ley 41/2002. VI. Bibliografía.
I. INTRODUCCIÓN
El tratamiento de datos de carácter personal en España se desenvuelve en un nuevo escenario regulatorio conformado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)[1] y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales[2]. Aunque el modelo no es absolutamente innovador, pues los principios y criterios de la protección de datos estaban ya suficientemente consolidados en la Directiva 95/46/CE y seguían (y siguen) gozando de validez y eficacia (Rallo Lombarte, 2017: 658), lo cierto es que la entrada en vigor de la norma europea ha incorporado cambios significativos que permiten hablar de un panorama de la protección de datos renovado y, debido a ello, de la necesidad de adicionar nuevos elementos a la cultura de la protección de datos, que se ha enriquecido y modelado con los enfoques aportados por el RGPD (Zabía de la Mata, 2008; Piñar Mañas, 2016; Rebollo Delgado y Serrano Pérez, 2019; Arenas Ramiro y Ortega Giménez, 2019; Rallo Lombarte, 2019). El nuevo paradigma que dibuja el Reglamento responde, además, a las incesantes necesidades surgidas en el campo de la información, de la tecnología y de los datos personales (Rallo Lombarte, 2017: 659). Quizá de modo especial la norma europea sobre protección de datos responde de forma directa a las exigencias derivadas de la implantación del mercado único de los datos y aporta las condiciones necesarias, desde el punto de vista legislativo, para alcanzar la consecución y consolidación de dicho mercado y la libre circulación de los datos. La elaboración de una nueva norma en materia de protección de datos en el espacio europeo, superadora de la norma precedente, era pues necesaria.
Una de las cuestiones que se han visto modificadas en relación con la regulación anterior es el modelo de consentimiento (Adsuara Valera, 2016: 151). Aunque la idea básica del consentimiento es similar a la contemplada en la Directiva 95/46/CE, la exigencia de una declaración o una clara acción afirmativa para consentir el tratamiento de datos personales constituye una novedad frente a dicha regulación[3]. El consentimiento sigue siendo uno de los fundamentos que legitiman el tratamiento de datos (Polo Roca, 2020: 182) y por tratarse de un principio general impregna todos los sectores donde se tratan datos personales, también el de la salud en su vertiente de tratamiento de datos en salud y en investigación. Además del consentimiento, la previsión del delegado de protección de datos tiene también su impacto en dicho sector. Por otro lado, las modificaciones han afectado a las facultades del derecho que hacen posible el control sobre los datos del sujeto, con el surgimiento de nuevos derechos/facultades como el derecho al olvido (Rallo Lombarte, 2014; Azurmendi, 2015: 273; López Portas, 2015: 143; Cobacho López, 2019: 197) o el derecho a la portabilidad, así como al sistema de garantías del derecho, que se ha convertido en un modelo vigilante y proactivo (Rallo Lombarte, 2019: 49). Junto a estos cambios de alcance global, el RGPD encarga a los ordenamientos nacionales la adopción de garantías adicionales para salvaguardar los derechos de los interesados en sectores específicos. Este nuevo modelo que se ha implantado desde el Derecho europeo tiene alcance general y es directamente aplicable en los Estados miembros, por la propia naturaleza de la norma europea. No obstante la aplicación directa del Reglamento, este requiere de un complemento legislativo interno para precisar y cerrar algunas materias que en dicha norma han quedado abiertas[4], lo que puede poner en peligro la unificación de criterios en los aspectos a modular por los Derechos nacionales.
Todas estas cuestiones tienen también su proyección en el tratamiento de los datos relativos a la salud, tanto en la asistencia sanitaria como en la investigación.
II. ALGUNAS CUESTIONES GENERALES SOBRE EL DERECHO A LA PROTECCIÓN DE DATOS Y EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
El RGPD es el último eslabón de un engranaje doctrinal, legislativo y jurisprudencial que ha acabado consolidando el derecho a la protección de datos que, siendo un derecho fundamental extramuros de las competencias de la Unión Europea, ha quedado arrebatado casi de forma definitiva al legislador nacional para quedar incorporado al ámbito europeo.
El derecho a la protección de datos goza de reconocimiento europeo expreso en el art. 8 de la Carta de Derechos Fundamentales de la UE (CDFUE), a cuyas disposiciones (derechos, libertades y principios) el art. 6 TUE reconoce el mismo valor jurídico que los Tratados, si bien, como también refiere el propio precepto, «las disposiciones de la Carta no ampliarán en modo alguno las competencias de la Unión tal como se definen en los Tratados». La Carta y su incorporación al Derecho primario viene a colmar la carencia, severamente imputada a la Unión, de la existencia de un catálogo de derechos fundamentales que comprometiera así la implicación en su defensa y protección, aunque más judicial que normativa (López Castillo, 2019: 32).
El art. 8 CDFUE recoge, con una absoluta claridad en su redacción, cuatro elementos propios del derecho a la protección de datos (Lucas Murillo, 1990; 2003; 2009: 131; Martínez Martínez, 2004) que los ordenamientos nacionales ya habían reconocido a nivel constitucional o legal, a saber, el derecho subjetivo (fundamental) de la persona a la protección de sus datos de carácter personal frente a su tratamiento, en primer lugar; principios esenciales del tratamiento de la información personal como la lealtad, la concreción de la finalidad del tratamiento y el consentimiento de la persona, en segundo lugar; en tercer lugar el derecho a acceder a los datos y a rectificarlos, como facultades concretas en las que se materializa el derecho subjetivo a la protección de datos, y por último la existencia de un órgano de control independiente.
Por su parte el art. 16 TFUE reitera[5], en su apartado primero, el derecho a la protección de datos de toda persona, mientras que en el apartado segundo atribuye la regulación de la protección de datos al legislador europeo de acuerdo con el procedimiento ordinario, lo que significa, en perspectiva material, que la protección de datos, que no aparece como una competencia atribuida a la UE desde sus orígenes, se convierte en un asunto europeo desde el punto de vista legislativo. En nuestro caso dicha atribución opera además como una sustracción de la materia al legislador orgánico (Rallo Lombarte, 2019: 53)[6], lo que tiene consecuencias importantes en la propia configuración del derecho (Rallo Lombarte, 2019: 60). En realidad, el art. 16.2 TFUE realiza un blindaje de la protección de datos hacia un modelo legislativo europeo fuerte. En efecto, el precepto da sostén a través de los tratados a la europeización del derecho a la protección de datos, aunque ahora con un cambio en la estrategia legislativa del legislador europeo que experimenta un viraje hacia la eficacia directa frente a la discrecionalidad anterior. El legislador comunitario ha observado cómo la regulación del derecho a la protección de datos por medio de la Directiva 95/46/CE y la necesidad de implantación por parte de los Estados miembros de una norma que la adapte, por tanto, con diferencias entre ellos, resultaba insuficiente para las pretensiones del mercado único (Piñar Mañas, 2016: 60). Porque la necesidad de implantar, favorecer y consolidar el mercado común y único de los datos constituía una aspiración presente desde las primeras regulaciones europeas de la materia.
Ya desde el Convenio 108[7] latía la necesidad de preservar un escenario de transferencia de datos con reglas comunes entre los países signatarios del acuerdo. Pero es la Directiva 95/46/CE, la que incorpora a su título la exigencia de la libre circulación de datos, que será compañera inseparable de la protección de las personas físicas en lo que respecta a los datos personales, primera preocupación del Convenio 108. Desde la labor desarrollada a nivel nacional con la inclusión de la protección de datos como derecho en las constituciones de los Estados miembros, o su incorporación vía ratificación del Convenio 108, resultaba obvio que este derecho fundamental no podía quedar ignorado por la Unión Europea, pues la Directiva 95/46/CE por ser previa a la CDFUE no contiene alusiones a la misma ni al derecho a la protección de datos en sí[8]. De hecho, la preocupación principal de la Directiva era asegurar la libre circulación de los datos (Rallo Lombarte, 2019: 52). Así pues, la CDFUE constituye el documento idóneo para introducir el derecho a la protección de datos en Europa y, aunque su proyección europea a través del reconocimiento en este texto es esencial (tiene una mayor relevancia de cara a su aplicación por parte del TJUE) (Polo Roca 2020: 169), es el libre flujo de datos, con las garantías necesarias para proteger los derechos de los sujetos, lo que reclama una nueva normativa. A nuestro modo de ver la protección de datos constituye una materia transversal que, dada la extensión de la tecnología a todos los sectores imaginables, requiere una norma que cree seguridad jurídica a través de una regulación uniforme que homogeneice (eliminando) las diferencias entre las legislaciones. La omnipresencia de la protección de datos y su afectación a prácticamente cualquier ámbito de actuación de la Unión requería la elaboración de una norma que regulara la libre circulación de los datos de modo obligatorio, tal y como hace el RGPD, cuyo objeto, según el art. 1.1 es la regulación del derecho a la protección de datos, ya reconocido previamente como derecho por la CDFUE, aunque no se haga alusiones a la misma a lo largo de su articulado y la regulación de la libre circulación de tales datos (Piñar Mañas, 2016: 57). Con la elaboración del RGPD y su entrada en vigor (alcance general y directamente aplicable) se ordena un ámbito jurídico que ya había sido abordado con anterioridad por los legisladores nacionales (no solo por la transposición de la Directiva 95/46/CE, sino previamente a ella, a iniciativa de los Estados miembros, como consecuencia en algunos casos de la ratificación del Convenio 108). A mi juicio no estaba tan en riesgo la protección de datos de carácter personal en el espacio europeo, ya asegurada a través de su reconocimiento en la CDFUE y la aplicación que de ella hiciera el TJUE (Martínez Alarcón, López Castillo (dir.) 2019: 219 y ss.) como la libre circulación de estos datos con reglas y criterios comunes, y sobre todo conjugar una y otra. La libre circulación de datos constituye la libertad que necesitaba reconocer la UE como consecuencia de la extensión generalizada de la tecnología (Sánchez Barrilao, 2017). Su falta de regulación homogénea ponía en riesgo tanto el mercado común como el crecimiento del espacio económico europeo. Es más, a las clásicas libertades de circulación de mercancías (arts. 28 y ss. TFUE), personas (art. 21 TFUE), capitales (arts. 63 y ss. TFUE) y servicios (arts. 56 y ss. TFUE), reconocidas por los tratados comunitarios, había de añadirse la libre circulación de datos personales, elementos estos últimos que, sin tener garantizada dicha movilidad en el espacio europeo, podían obstaculizar el ejercicio en libertad de las cuatro originarias y dificultar la consecución de las metas económicas comunes.
Ahora bien, la libre circulación de los datos es una libertad que ha de ser analizada desde la óptica de los derechos (fundamentales) de la persona, por su afectación a un ámbito de la libertad individual y de la personalidad cuyo carácter fundamental y autónomo ya nadie discute. Nuestra intimidad y nuestra personalidad se proyectan en la actualidad en forma de informaciones personales y proteger dichas informaciones no tiene otro objetivo que proteger a la persona misma, sin lugar a duda también frente a intereses económicos, no relegados a una posición inferior en relación con la protección de datos. El RGPD, aunque consagra la prevalencia del derecho a la protección de datos personales contempla, en el considerando 2 como objetivo de la noma europea, «…contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y a la convergencia de las económicas dentro del mercado interior, así como al bienestar de las personas físicas». Las referencias de los considerandos posteriores se reafirman en elementos económicos, sin ignorar de manera absoluta, obviamente, el derecho a la protección de datos personales (considerando 4, 5, 7). Así hasta recalar en el considerando 13, donde se contempla que «El buen funcionamiento del mercado interior exige que la libre circulación de los datos personales en la Unión no sea restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respeta al tratamiento de datos personales», afirmación que sin duda no puede tener un alcance absoluto. En caso de colisión corresponderá a los tribunales de justicia determinar en cada caso concreto el elemento a sacrificar y restringir: el derecho a la protección de datos o la libre circulación de datos del espacio común, en cuyo análisis judicial tendrá un valor singular la diferente posición de partida de uno y otro. Así pues, y en relación con intereses económicos particulares, el TJUE ha señalado que «la relación entre la protección del derecho a la protección de datos y los intereses económicos concretos no disfrutan del mismo valor, pues, como ha reconocido el TJUE, la protección de los derechos de los arts. 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea prevalecen sobre el interés económico[9].
III. LOS SUPUESTOS DE TRATAMIENTO DE DATOS RELATIVOS A LA SALUD CONTEMPLADOS EN EL ART. 9 RGPD
El RGPD regula el tratamiento de los datos sobre la salud[10] (Rebollo Delgado y Serrano Pérez, 2019: 233) en el art. 9, bajo la denominación de categorías especiales de datos[11].
El artículo 9.1 RGPD prohíbe su tratamiento como regla general, salvo que se dé alguna de las circunstancias contempladas en el apartado segundo del precepto. El listado de datos cobijados al amparo de la denominación de categorías especiales representa un conjunto de informaciones personales especialmente próximas al núcleo de la intimidad del individuo (art. 7 CDFUE y 18.1 CE) y de la libertad ideológica (art. 10 CDFUE y 16.2 CE), cuyo conocimiento fuera de los supuestos legales y sin las garantías adecuadas puede acarrear un daño severo en los derechos de los ciudadanos, e influir en la adopción de decisiones por parte de terceras personas, que pueden entrañar un perjuicio para aquellos.
Entre las circunstancias recogidas en el apartado segundo del precepto que excepcionan la regla general de no tratar estas categorías de datos se encuentran, además del consentimiento del interesado, las que enumeraremos en las páginas siguientes, algunas de las cuales se refieren específicamente al tratamiento de los datos sobre la salud. Las bases jurídicas que permiten el tratamiento de datos sin consentimiento en el ámbito de la investigación científica son tan generosas que parecen relegar a la excepción al mismo. Junto a la justificación del tratamiento de los datos sobre la salud y del resto de categorías especiales de datos sin consentimiento del sujeto en determinadas condiciones, el art. 9.4 RGPD prevé que los Estados miembros podrán «mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud», lo que podría afectar al mercado común de los datos en este sector al permitir la adopción de medidas, que podrán ser diferentes, por parte de los distintos ordenamientos jurídicos europeos. Ambas circunstancias quedaban reflejadas tanto en el considerando 54 como en el 53, aunque ello no puede implicar, termina diciendo este último, «un obstáculo para la libre circulación de datos personales dentro de la Unión, cuando tales condiciones se apliquen al tratamiento transfronterizo de estos datos».
– El art. 9.2 g) RGPD permite el tratamiento de las categorías especiales de datos, entre ellas los datos sobre la salud, «…por razones de interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado». El elemento fundamental a destacar en este apartado para justificar el tratamiento de datos relativos a la salud (pero también el resto de las categorías especiales de datos) es la existencia de un interés público esencial, con base jurídica legal en el Derecho europeo o interno y proporcional al objetivo perseguido, lo que implica que el ordenamiento interno dispone de un ámbito de apreciación propio. Aunque «el margen de maniobra» a la hora de especificar sus normas apreciación «se extiende tanto a la determinación de las causas habilitantes para el tratamiento de datos personales especialmente protegidos –es decir, a la identificación de los fines de interés público esencial y la apreciación de la proporcionalidad del tratamiento al fin perseguido, respetando en lo esencial el derecho a la protección de datos– como al establecimiento de «medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado» [art. 9.2 g) RGPD]»[12]. En términos internos la base legal que permita el tratamiento de datos debería ser una norma nacional que para alcanzar el objetivo de interés público esencial prevea el tratamiento de datos de salud, esto es, sacrifique de modo justificado y proporcional el principio del consentimiento para el tratamiento de dichos datos. De este modo el interés público esencial es el presupuesto racional habilitante que ha de contar con previsión legal, en nuestro caso orgánica[13], por lo que el responsable del tratamiento de datos actuará en cumplimento de una norma que además ha de respetar la proporcionalidad del tratamiento a la finalidad perseguida. Ahora bien, la mera alusión al interés público, de forma genérica, sin quedar especificado en la norma interna cuál es, no se sería suficiente para permitir el tratamiento de datos sobre la salud[14]. Junto a ello la previsión de medidas adecuadas y concretas dirigidas a proteger los derechos del interesado resultan fundamentales para no apreciar una lesión en el derecho a la protección de datos. Y dichas medidas habrán de ser precisadas por el legislador en la norma que elabore, sin poder renunciar a ello ni delegando la regulación en norma reglamentaria ni adoptando medidas indeterminadas[15]. Por tanto, el Reglamento habilita a los Estados a apreciar el interés público esencial, pero les exige prever y determinar igualmente las garantías necesarias para asegurar la protección de los derechos del sujeto con el rango normativo idóneo. La falta de determinación de las garantías es por sí sola suficiente para estimar vulnerado el derecho a la protección de datos[16].
Junto a este interés público esencial del art. 9.2 g), el art. 9.2 i) RGPD alude a la existencia de un interés público en el ámbito de la salud pública[17], expresión relacionada con la satisfacción de fines de salud pública (Beltrán Aguirre, 2017: 114). La norma enumera situaciones que de manera objetiva representan un interés público en dicho ámbito, como son «la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezcan medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional». El considerando 52 contempla supuestos que podrían responder a la presencia de un interés público en el ámbito de la salud pública (del art. 9.2 i) RGPD), tales como «… la legislación…con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluida la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica o históricos o estadísticos». La situación de pandemia mundial ocasionada por el COVID-19 y, como consecuencia de ello la necesidad de transmitir datos relativos a la salud entre las autoridades sanitarias europeas, quedaría amparada por esta previsión. Del tenor del art. 9.2 i) RGPD se desprende que el interés público abarca también el cumplimiento de funciones administrativas y de gestión en el ámbito de la salud pública.
Por consiguiente, de la regulación de los dos preceptos puede deducirse que el tratamiento de los datos relativos a la salud es legítimo al margen del consentimiento del sujeto en los casos en que existe un interés público en tratarlos, ya sea este interés general o centrado en el campo de la salud pública, incluyendo la asistencia sanitaria, donde además la norma europea resulta ejemplificativa, pero entendemos no taxativa. La normativa europea valora la salud como un bien colectivo que ha de ser objeto de protección, bien colectivo cuya tutela se sustenta en el interés social existente en mantener un elevado nivel de seguridad sanitaria. En ambas circunstancias, en las que sea recognoscible un interés público, la previsión del tratamiento ha de contemplarse en el Derecho de la Unión o de los Estados miembros. En este sentido, el art. 9.2 LOPDGDD alude a la existencia de una norma con rango de ley para los apartados g), h) e i) del art. 9.2 RGPD, además de prever requisitos adicionales relativos a la seguridad y confidencialidad, previsión que queda recogida por el art. 9.4 RGPD, que incluso admite limitaciones. Adviértase que ambos preceptos, tanto el art. 9.2 g) como el apartado i) RGPD no discriminan ninguna categoría especial de datos, por lo que todos los enumerados en el apartado 1 del precepto pueden ser objeto de tratamiento al amparo de las circunstancias descritas. Por ello el responsable del tratamiento deberá ser especialmente vigilante con el cumplimiento del principio de minimización de datos, esto es, habrá de tratar solamente los datos adecuados, pertinentes y no excesivos en relación con los fines perseguidos (art. 5.1 c) RGPD) (Troncoso Reigada, 2018: 238).
La alusión al tratamiento de datos relacionados con la salud en beneficio individual y colectivo refleja la doble perspectiva con que debe ser observada y regulada la salud, como apuntábamos más arriba. La salud constituye un bien individual intrínseco a cada individuo y que por tanto hay que proteger de manera personal, pero incorpora también un claro matiz colectivo en cuya protección y desarrollo resultan implicados los poderes públicos, como corresponde a un Estado social. El aspecto social de la salud no solo se refiere a la obligación de los poderes públicos de «organizar y tutelar la salud pública a través de medidas preventivas y de las prestaciones y servicios necesarios…», tal y como reza el art. 43 CE, sino también de otorgar un peso significativo a la consideración de la salud como bien social, como valor colectivo. En el campo del manejo de la información relativa a la salud esa consideración adquiere una relevancia primordial, pues en virtud de la misma los datos personales relativos a la salud de una persona pueden servir a otras finalidades más allá de la asistencia sanitaria individual. Ahora bien, el interés público en el ámbito de la salud pública del art. 9.2 i) RGPD que justifica el tratamiento de las categorías especiales de datos «no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales» (considerando 54), lo que aleja la intervención privada en el tratamiento de datos en el ámbito de la salud pública cuando medie la perspectiva del interés público (Troncoso Reigada, 2018: 242).
El tratamiento de datos relativos a la salud con base en un interés público esencial o en un interés público en el ámbito de la salud pública comparte como exigencia común la necesidad de contemplar medidas adecuadas para la protección de los derechos y libertades del sujeto, mencionando expresamente la confidencialidad en el caso del art. 9.2 i) RGPD, exigencia a la que se encuentra sometido el responsable del tratamiento de datos de salud que ha de tratar los datos con el fin de salvaguardar el interés público en dicho sector.
– El art. 9.2 h) RGPD permite el tratamiento de categorías especiales de datos (de nuevo sin distinción entre los datos del apartado 1) y entre ellos los datos sobre la salud, cuando dicho «tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3»[18]. Dichas garantías prevén que el tratamiento de los datos ha de realizarse por un profesional sanitario sujeto al secreto profesional, o bajo su responsabilidad, o por cualquier otra persona sujeta al secreto profesional, en ambos casos, de acuerdo con el Derecho europeo, el de los Estados miembros, o de acuerdo a las normas establecidas por los organismos nacionales competentes (art. 9.3 RGPD) (Beltrán Aguirre 2017: 111).
Este precepto nos sitúa en el entorno del tratamiento de los datos con fines relacionados con la salud del individuo, por tanto, concebida como bien individual, tanto en el ámbito de la sanidad (atención sanitaria) como en el laboral, el tratamiento social o sanitario y en el contexto de la gestión sanitaria y social, sin distinción entre el ámbito público y el privado. El tratamiento de datos permitido en este apartado se extiende al ámbito de los servicios sociales, que de manera habitual y rutinaria han de tratar con categorías especiales de datos y encuentran excepcionada de forma expresa, y de manera racional, la recogida del consentimiento del sujeto para realizar su trabajo. No solo el tratamiento de datos por parte de los servicios sociales encuentra amparo en este precepto, sino también el tratamiento de las categorías especiales de datos para llevar a cabo la gestión de dichos servicios, tarea en la que se habrá de observar especialmente el principio de minimización de datos.
Por último, el artículo 9.2 j) RGPD levanta la prohibición para el tratamiento de las categorías especiales de datos cuando sea necesario «con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado». Este precepto hace referencia al tratamiento de los datos en las circunstancias del art. 89 RGPD y a las garantías contempladas en el artículo añade la previsión de dicho tratamiento por el Derecho interno, la proporcionalidad, el respeto al derecho a la protección de datos y el establecimiento de medidas adecuadas. La norma interna ha de recoger un tratamiento proporcional con las indicaciones expresas. El art. 89.1 recoge las condiciones del tratamiento ulterior de datos con las finalidades descritas, que no resultan incompatibles con ninguna finalidad originaria que haya legitimado el tratamiento de datos (art. 5.1.b) RGPD), ni con la conservación de los mismos más allá del cumplimiento de dichos fines (art. 5.1 e) RGPD). Ambas excepciones, en lo que a principios generales se refiere y en concreto a la finalidad, la transparencia y la conservación de los datos, otorgan un valor singular a los fines señalados en el precepto que justifican las excepciones a los principios generales. Ello concede una importancia significativa y prevalente a la investigación científica, eliminando elementos que puedan obstaculizar la consecución de sus objetivos. Ya el considerando 33 RGPD advertía sobre la imposibilidad frecuente para «determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de su recogida» por lo que insistía en la necesidad de mantener por ello un consentimiento más flexible. No obstante esta flexibilidad el GT29 aconseja al responsable, ante la imposibilidad de determinar los fines de la investigación desde el inicio, buscar otros medios para garantizar que la esencia última del consentimiento permanece, por ejemplo permitiendo «que los interesados den su consentimiento a un fin de investigación en términos más generales y a fases concretas de un proyecto de investigación que ya se conozcan desde el inicio»[19]; este consentimiento, sigue diciendo el GT29, debe estar en consonancia con las normas éticas aplicables a la investigación científica, que se refiere, según el GT, «a un proyecto de investigación establecido con arreglo a las correspondientes normas metodológicas y éticas relacionadas con el sector, de conformidad con prácticas adecuadas[20]. Adicionalmente, la investigación científica justifica otra excepción más relativa a la información que ha de suministrarse al interesado cuando los datos no se hayan recabado directamente del sujeto, en caso de imposibilidad o esfuerzo desproporcionado (art. 14.5 b) RGPD. La excepción permite la falta de cumplimiento del art. 14 RGPD en lo que respecta a los elementos de los que hay que informar al interesado, de acuerdo con el art. 14.1, 2, 3 y 4 RGPD, todo ello para no obstaculizar la investigación científica. Igualmente se puede excepcionar el derecho de oposición (art. 21.6 RGPD) si el tratamiento con fines científicos es necesario para el cumplimiento de una misión realizada en interés público.
El art. 89 RGPD alcanza tanto a la investigación científica pública como la privada, lo que se desprende de una lectura del considerando 159, al que más adelante haremos referencia. Por otra parte, el concepto de investigación científica que recoge el RGPD es un concepto amplio y solidario, amplio en cuanto a las ramas científicas a incluir y solidario en lo que se refiere en la concepción del interés social[21].
El art. 89.1 RGPD sujeta el tratamiento de los datos con fines de investigación científica a la adopción de medidas técnicas y organizativas, en especial la minimización de los datos cuando sea necesario y no obstaculizador, además de las que recoge el art, 9.2 j) RGPD. Todas las medidas contempladas (previsión en el Derecho interno, proporcionalidad con el fin perseguido, respeto en lo fundamental al derecho a la protección de datos y adopción de las garantías adecuadas del Reglamento para la protección de los derechos y libertades del interesado) constituyen elementos de refuerzo que han de equilibrar la falta de consentimiento y la pérdida de control de los datos por parte de la persona (Recuero Linares, 2019: 36). En particular el precepto habla de medidas técnicas y organizativas, principalmente de la minimización de los datos y de la seudonimización y otras no mencionadas expresamente en este precepto, pero presentes en el Reglamento[22]. Esta última deberá ser la regla general para el tratamiento de los datos en este contexto, siempre que con dicha medida puedan alcanzarse los fines de la investigación, lo que deja abierta la puerta para el tratamiento de datos personales que permitan la identificación del sujeto. De la redacción del precepto se puede deducir por tanto que la utilización de datos personales es posible en el ámbito de la investigación científica, en cuyo caso las medidas técnicas y de seguridad deberán acentuarse, pues el riesgo para los derechos de los interesados será mayor. En cualquier caso, la elección de las medidas necesarias para la protección de los datos en el tratamiento con fines de investigación científica corresponde a los Estados miembros
Igualmente corresponde al derecho de los Estados miembros prever excepciones, pero no necesariamente (Mains 2017: 329) (art. 89.2 RGPD), a los derechos recogidos en los artículos 15, 16, 18 y 21, relativos al ejercicio del derecho de acceso, derecho de rectificación, derecho a la limitación del tratamiento y derecho de oposición, excepciones que habrán de ir acompañadas de las condiciones y garantías señaladas en el apartado 1 del precepto, y siempre que el ejercicio de los citados derechos pueda obstaculizar o limitar gravemente la consecución de los fines científicos. Las garantías adicionales a implementar por los Estados miembros deben valorar el riesgo que representa la investigación científica para los derechos y libertades de los sujetos participantes en ella, así como los beneficios que la investigación puede producir en la sociedad (Mains, 2017: 337). La omisión del art. 17 RGPD, que regula el derecho a la supresión (derecho al olvido), se comprende con la excepción expresa prevista en el art. 17.3 RGPD según la cual el derecho al olvido no se aplicará «por razones de interés público en el ámbito de la salud de conformidad con el artículo 9, apartado 2, letras h), e i), y apartado 3» así como «con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento». En lo que respecta al derecho de oposición y salvo la limitación general más arriba señalada, el art. 21.6 RGPD prevé expresamente, al igual que en el caso anterior, una excepción al el ejercicio del derecho de oposición por parte del sujeto por motivos relacionados con su situación particular en los casos de las finalidades del art. 89.1, salvo que el tratamiento de sus datos sea necesario para realizar una misión por razones de interés público, motivos que prevalecerán frente al ejercicio del derecho de oposición, limitación que no viene impuesta por el propio Reglamento. En cualquier caso, y de acuerdo con la doctrina del TJUE, la protección del derecho a la intimidad exige que «las excepciones y restricciones a la protección de datos previstas en los capítulos II, IV y VI de la Directiva 95/46, (…) se establezcan dentro de los límites de lo que resulte estrictamente necesario»[23], reforzando su carácter excepcional, a riesgo, en caso contrario, de dejar vacío de contenido el derecho fundamental a la protección de datos personales.
La regulación de la norma europea se cierra con la cláusula del art. 9.4, que permite incluir condiciones adicionales, incluso limitaciones, tal y como hemos visto, siempre y cuando añadimos nosotros, sean respetuosas con el contenido fundamental del derecho estudiado y dichas limitaciones no entorpezcan la libre circulación de dichos datos, cuestión que en el ámbito de la investigación en salud puede suponer una quiebra importante de la generalidad de los resultados de la misma.
IV. LA REGULACIÓN DE LOS TRATAMIENTOS DE DATOS RELATIVOS A LA SALUD EN LA LOPDGDD
El art. 9.2 LOPDGDD señala que los tratamientos de datos recogidos en las letras g) (interés público esencial), h) (para fines de salud, médicos o sociales, asistencia sanitaria y social), i) (interés público en el ámbito de la salud pública) y j) del art. 9.2 RGPD «fundados en Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistema y servicios de asistencia sanitaria y social, público y privada, o la ejecución de un contrato de seguro del que el afectado sea parte». La norma podrá prever el tratamiento de cualquier categoría especial de datos a los fines de salud en relación con la asistencia sanitaria y social, ya sea pública o privada o bien un contrato de seguro. La referencia que dichos apartados realizan al Derecho interno se resuelve en el caso español con la exigencia de una norma con rango de ley prevista a su vez en una ley orgánica, con lo que puede desdibujarse la especial protección de que gozan los derechos fundamentales según el art. 53.1 CE en relación con el 81.1 CE. Si a esto añadimos la redacción de la Disposición adicional decimoséptima, la situación legislativa resulta todavía más confusa.
En efecto, la reserva de ley a la que alude el art. 9.2 LOPDGDD sobre los tratamientos de datos en el ámbito de la salud se cumple con cualquiera de las normas actuales incluidas en el elenco enumerado en la propia ley orgánica de protección de datos, que resuelve la cuestión con una disposición adicional (decimoséptima, apartado primero), de la que además se proclama explícitamente su carácter orgánico (disposición final primera), en una opción legislativa poco afortunada (De Montalvo Jääskeläinen 2019: 69), que en estos momentos solamente apuntamos, pero que puede ocasionar inconvenientes jurídicos. Por tanto, los tratamientos de datos relativos a la salud que contemplan las normas citadas se encuentran legitimados en alguna de las bases jurídicas del art. 9.2 RGPD (Recuero Linares 2018: 35). Ahora bien, dicha norma contiene una limitación respecto a la totalidad de las categorías especiales de datos, pues habla solo del tratamiento de los datos relativos a la salud y de los datos genéticos, no del resto de datos a que alude el art. 9.1 RGPD.
La enumeración de normas no constituye una lista cerrada (Troncoso Reigada, 2018: 254) y, las normas citadas o bien realizan remisiones generales a la ley de protección de datos en vigor o bien contemplan alguna particularidad de la protección de datos en el sector de la salud. Dichas remisiones a la legislación en vigor hay que entenderlas ahora hechas tanto al RGPD como a la LOPDGDD, que conforman el acervo normativo de la protección de datos junto con la legislación específica[24].
Así pues, en el momento actual el corpus legislativo en materia del tratamiento de los datos de la salud está compuesto por el RGPD, la LOPDGDD y las leyes sobre la salud en lo que afecte a la protección de datos, esté esto último contemplado de forma específica y sin contradicción con lo establecido en las dos normas jerárquicamente superiores –europea y española, o bien regulado con remisiones a la normativa general. Esta situación jurídica dibuja un escenario de dispersión normativa y de complejidad mayor si cabe que el preexistente antes de la entrada en vigor del Reglamento europeo.
La pluralidad normativa en el ámbito de la salud y el inconveniente que ello suponía ya se puso de manifiesto durante el iter legislativo de la norma interna[25]. Frente a las demandas de coordinación legislativa del momento y de la elaboración de una ley específica para el tratamiento de datos de salud en salud y en investigación, al estilo de otros ordenamientos jurídicos[26], la situación sectorial en el ámbito de la salud se ha resuelto con una regulación de la materia detallada a través de una disposición adicional con rango orgánico que recupera, a su vez, el conjunto normativo vigente y anterior a la entrada en vigor de la LOPDGDD y que deja sin resolver favorablemente la petición de elaborar una norma explicativa y armonizadora que aportara, en esos márgenes, seguridad jurídica y claridad en el campo de la salud.
A) El tratamiento de los datos relativos a la salud en la LOPDGDD
La disposición adicional decimoséptima contiene dos apartados. El primero de ellos afirma que «Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genéticos que estén regulados en las siguientes leyes y en sus disposiciones de desarrollo»[27], apreciación según la cual no se permitiría el empleo del resto de categorías especiales de datos en el ámbito de la salud, aunque esta limitación podría modularse en virtud de la necesidad de tratar alguna de las categorías mencionadas con una finalidad basada en el interés público general o en el ámbito de la salud pública.
La alusión del apartado primero de la disposición adicional decimoséptima a la normativa de desarrollo de las normas expresamente mencionadas en el apartado no introduce ninguna alteración en el esquema señalado, pues aquella estará siempre sometida jerárquicamente a la norma de la que traigan causa.
B) El tratamiento de datos en investigación en salud en la LOPDGDD
El apartado 2 de la disposición adicional decimoséptima recoge los criterios para el tratamiento de los datos en investigación en salud. El texto describe diferentes escenarios en materia de investigación que quedan diferenciados en base a los requisitos que se han de observar con el fin de adecuarlos a lo establecido en el RGPD. Para seguir una exposición más ordenada de este apartado hemos optado por diferenciar los supuestos en los que se recaba el consentimiento del sujeto para el tratamiento de datos en investigación[28] de aquellos en los que no es preciso recoger el consentimiento del interesado, estando justificado dicho tratamiento al margen de aquel.
La norma contempla un consentimiento para investigación de contornos más amplios que en la normativa anterior, tanto europea como interna[29], pues el consentimiento reconocido ahora en las normas vigentes puede extenderse a otras finalidades distintas de la finalidad inicial, lo que modula también el aspecto general del consentimiento reconocido en el art. 4.11 RGOD referido a su carácter inequívoco. En efecto, la extensión de los límites del consentimiento hasta otras finalidades no previstas en el momento de la recogida de datos desdibuja la limitación que contemplaba un consentimiento en investigación restringido a la finalidad inicial para la que el interesado consintió explícitamente el tratamiento de datos. Esta ampliación del consentimiento supone un importante avance en el campo de la investigación, que ha visto reforzada así su vertiente social y su carácter de interés público para la sociedad. La extensión del consentimiento facilitará la labor de los investigadores, pues se verán liberados de la obligación de recabar un consentimiento explícito en las ocasiones en que la norma permite validar el consentimiento para finalidades no autorizadas al inicio.
1. El tratamiento de datos en investigación en salud con consentimiento del interesado
a) El consentimiento del interesado para el tratamiento de sus datos en investigación en salud
La disposición adicional decimoséptima, 2 a) LOPDGDD señala que «el interesado o su representante legal podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y en particular la biomédica». Las finalidades de la investigación pueden extenderse, dice el precepto expresamente, a «categorías relacionadas con áreas generales vinculadas a una especialidad médica o investigadora». En este apartado en el que se contempla la investigación en salud consentida por el interesado, la norma recoge un consentimiento amplio (broad consent) compatible con la protección de los derechos del interesado, protección que se lograría con el respeto al resto de elementos de la protección de datos, que no pueden quedar eliminados o reducidos por la presencia de un consentimiento amplio, además de poder implementar otras medidas acordes con los adelantos constantes de la tecnología. Por ejemplo, un sujeto consiente el tratamiento de sus datos para una investigación relacionada con un determinado tipo de cáncer, pudiendo luego quedar justificado, bajo este apartado, la investigación con una finalidad oncológica.
Así pues, el consentimiento puede extenderse a «categorías relacionadas con áreas generales vinculadas a una especialidad médica o investigadora», expresión que validaría el consentimiento para una investigación más general (Beltrán Aguirre, 2017: 15). Por lo demás, el consentimiento ha de cumplir el resto de los requisitos que lo definen en el art. 4.11 RGPD, esto es, ha de ser una manifestación de voluntad libre, informada, específica, característica que admite una modulación en el sentido indicado e inequívoca (consentimiento explicito).
La utilización del consentimiento para categorías relacionadas con áreas generales vinculadas a una especialidad médica o investigadora deberá ser determinada por el responsable del tratamiento, tras una valoración de la vinculación entre finalidades realizada por el profesional investigador. Por tanto, el responsable del tratamiento tendrá en cuenta el criterio del experto para señalar si existe conexión material o funcional para poder determinar la validez del consentimiento del interesado.
Por tanto, la novedad que aporta este apartado es la posibilidad de realizar investigaciones en salud a partir de un consentimiento «cuasi genérico» otorgado para investigar en relación con especialidades médicas o investigadoras generales.
Ahora bien, como decíamos más arriba, la posibilidad de utilización de los datos del sujeto para investigaciones vinculadas o conexas no exime de la obligación de cumplir con el resto de los elementos de la protección de datos, esto es, el sujeto debe ser informado en el momento de recabar el consentimiento para investigar de la aceptación de futuras investigaciones, con el fin de que el sujeto pueda conocer la eventual y legítima extensión de su consentimiento. Igualmente, en el caso de utilización real de los datos para investigaciones posteriores a la recogida del consentimiento creemos que deberá ser objeto de información, por aplicación del art. 13.3 RGPD[30], que prevé esta obligación con carácter general.
Por lo demás, el interesado podría ejercitar los derechos de acceso, rectificación, limitación del tratamiento, la portabilidad de los datos y el derecho de oposición al tratamiento de sus datos relativos a la salud. La posibilidad del ejercicio de estos derechos resguarda el derecho a la protección de datos personales y asegura que con el ejercicio de las facultades propias de su contenido esencial se permite al sujeto seguir manteniendo el control sobre sus informaciones personales.
b) La reutilización de los datos personales con fines de investigación en materia de salud y biomédica
La reutilización de datos personales es lícita y compatible con fines de investigación en salud y biomédica cuando, según la disposición adicional decimoséptima, 2 c) LOPDGDD, el consentimiento del interesado se obtuvo para una finalidad investigadora concreta y los datos se reutilizan «para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial», aunque en este caso es obligatorio la observancia de los requisitos que señala la norma.
El precepto valida la reutilización de la información ya recogida previamente para una finalidad investigadora concreta y consentida por el interesado con las investigaciones posteriores, siempre que puedan establecerse relaciones entre ambas. El apartado apuesta, de nuevo por el consentimiento amplio como principio para no obstaculizar la investigación, pues, el precepto permite que el sujeto pueda autorizar el tratamiento de sus datos para investigaciones no previstas inicialmente, pero vinculadas con la investigación consentida[31]. Aunque este consentimiento amplio solamente autoriza el uso secundario de los datos de la investigación que han sido entregados, pero no los asistenciales (De Montalvo Jääskeläinen, 2019: 70), situación que viene a paliar el apartado d) de la norma. En el caso del apartado c), se trata de especificar el fin, pero realizando una descripción más general del mismo, aunque «buscando otras formas de garantizar los derechos de los interesados» (Recuero Linares, 2019: 29), con el objeto de no lesionar el derecho a la protección de datos dañando su contenido esencial. Aunque no toda la doctrina se muestra a favor de este consentimiento amplio por el riesgo que puede entrañar para los derechos del sujeto (De Montalvo Jääskeläinen 2019: 66), riesgos que aspiran a quedar reducidos con las garantías de refuerzo que contempla el propio apartado. La reutilización está contemplada en el RGPD como un aprovechamiento de los datos sobre la salud ya tratados con fines de investigación con consentimiento del interesado. La utilización de los datos para finalidades de investigación conexas con una inicial ha de rodearse de las garantías adecuadas.
La reutilización de los datos para varias finalidades o áreas de investigación, que guardan relación con la finalidad primera consentida por el interesado, permite extraer de la información relativa a la salud los beneficios que puedan revertir en el campo de la investigación, fomentando por tanto la revalorización de los datos sin necesidad de recabar de nuevo el consentimiento del sujeto, aunque con la condición de mantener la conexión entre finalidades. La reutilización plantea una cadena de tratamientos de datos con finalidades investigadoras, uso secundario de los datos consentidos, cuya relación con la primera investigación autorizada se puede establecer en base a varios factores, además del estrictamente médico y que habrán de ser valorados previamente por el comité de ética de la investigación.
La reutilización de la información en el área de la investigación en salud está en consonancia con la potenciación de la misma desde las instituciones europeas[32] y con la apuesta por la investigación y la innovación, así como con la vertiente social de los datos y de la investigación.
En el caso del apartado segundo, letra c, de la disposición adicional decimoséptima, los responsables del estudio científico deberán cumplir además las siguientes condiciones:
1. Los responsables del estudio científico han de publicar la información del art. 13 RGPD[33] en un lugar fácilmente accesible de la página web corporativa del centro que realice la investigación o el estudio clínico, precisión esta última que contiene la norma, y si fuera necesario (en su caso) en la del promotor. Esta obligación responde a la transparencia que ha de reflejar todo tratamiento de datos (art. 5.1 a) RGPD) y que en este supuesto de reutilización de la información debe ser reforzado para seguir garantizando el derecho a la protección de datos personales y poder efectuar el control y el seguimiento de los datos relativos a la salud. La transparencia, requisito ineludible en la reutilización de los datos, facilita, además, la comprobación de la compatibilidad de las finalidades[34]. La publicidad en los elementos que permiten dar transparencia al tratamiento constituye también una forma de demostrar el cumplimiento de las obligaciones de la normativa de protección de datos por parte del responsable del tratamiento y del investigador o responsable del estudio clínico, en un caso en que el tratamiento goza de un consentimiento indirecto por parte del sujeto pero válido.
2. Los responsables deben notificar la existencia de esta información por procedimientos electrónicos a los afectados, o si carecen de medios electrónicos deberán ser comunicados de otro modo, a solicitud de aquellos.
En la investigación que proceda a la reutilización de los datos se requerirá un informe previo favorable del comité de ética de investigación[35], labor que otorga a estos órganos un papel fundamental (Beltrán Aguirre, 2017: 34). El comité de ética de investigación deberá comprobar que el tratamiento de datos cumple todos los requisitos establecidos por el RGPD para el tratamiento de la información personal y ajustará su actuación a lo establecido en el art. 12 de la Ley 14/2007 de investigación biomédica, donde se describen las funciones que dichos comités han de cumplir, en dicho ámbito (De Lecuona 2011). No obstante esta regulación, sería deseable establecer pautas de actuación consensuadas para orientar las decisiones de los comités de ética de la investigación en lo que a protección de datos se refiere.
Al comité de ética de la investigación, aunque nada diga de manera explícita la norma de protección de datos y de acuerdo con la Ley 14/2007, se debe comunicar la información que ha publicarse, demostrar que se garantizará la exigencia de la transparencia a través de la página web y que se cumplen el resto de los requisitos que contempla el precepto señalado. Lo más acorde para cumplir con el principio de transparencia (art. 5.1 a) RGPD) ante el comité de ética de la investigación sería mostrar un borrador de la página web lo más explícito posible, así como la forma alternativa de comunicar la información a los interesados en caso de no disponer de medios electrónicos para conocerla. Se deberá justificar que la finalidad de la utilización de los datos es efectuar una investigación en materia de salud y biomédica relacionada con la originariamente consentida, lo que demostraría el interés científico y social del estudio. Desde el punto de vista subjetivo, el responsable del estudio deberá acreditar su habilitación para realizar la actividad investigadora, aspecto que deberá concretarse de manera clara pues, a diferencia del apartado d) que habla de equipo investigador, en este supuesto se habla de responsables, web corporativa del centro donde se realice la investigación o estudio y promotor, términos que habrá que concretar para aclarar qué instituciones o centros se pueden incluir o descartar dentro de este apartado[36]. Con esta transmisión de información al comité de ética de la investigación se facilita el cumplimiento de las funciones que le atribuye el art. 12.2 de la Ley 14/2007, de investigación biomédica, de «evaluación de la cualificación del investigador principal y la del equipo investigador, así como la factibilidad del proyecto[37].
Por otro lado, el comité de ética de investigación podría realizar una labor fiscalizadora con el fin de verificar la observancia de las exigencias legales de la investigación a través de controles periódicos que le permitan comprobar igualmente la eficacia de las medidas de seguridad implementadas.
La norma analizada habla de la utilización de datos personales, aunque ello no impide que el comité de ética de la investigación pueda emitir el informe favorable para la investigación utilizando datos seudonimizados (Beltrán Aguirre, 2017: 123). La utilización de datos seudonimizados debería ser la regla general y sobre todo si se apreciara la existencia de una previsible amenaza para los derechos de los afectados en caso de utilizar datos identificativos. Por otra parte, el precepto no distingue entre investigación privada y la desarrollada por las autoridades públicas, con lo que a priori, el precepto no descarta la entrada de la investigación privada en este tipo de tratamiento de datos. La alusión al promotor para referirse a la investigación refuerza la posibilidad de acceso de la investigación privada.
En cuanto al consentimiento, ha de preverse la posibilidad de que el sujeto se oponga a la reutilización de sus datos para sucesivas finalidades de investigación. Por tanto, en la información que ha de hacerse visible en la página web del centro o que se envía por correo ha de quedar especialmente clara la forma de ejercitar los derechos por parte de los interesados y dentro de ellos el derecho de oposición al tratamiento. La falta de información acerca del ejercicio de los derechos o la falta de claridad pueden ser interpretadas como una lesión en el núcleo fundamental del derecho a la protección de datos y por tanto una vulneración del derecho mismo[38].
En relación con la reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos antes de la entrada en vigor de la LOPDGDD, la disposición transitoria sexta señala que «se considera lícita y compatible la reutilización con fines de investigación en salud y biomédica de datos personales recogidos lícitamente con anterioridad a la entrada en vigor de esta ley orgánica cuando concurran alguna de las circunstancias siguientes:
a) Que dichos datos personales se utilicen para la finalidad concreta para la que se hubiera prestado el consentimiento.
b) Que, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen tales datos para finalidades o áreas de investigación relacionadas con la especialidad médica o investigadora en la que se integrase científicamente el estudio inicial», condición que continua con la política de la legislación en vigor de contemplar un consentimiento amplio que permita hacerlo extensible a otras investigaciones conexas con la inicial.
2. El tratamiento de datos en investigación en salud sin consentimiento del interesado
El resto de los supuestos que contempla el precepto prevén el tratamiento de los datos en investigación en salud al margen del consentimiento del interesado, por lo que establecen garantías adicionales para que el tratamiento de los datos se realice con arreglo a la legislación en vigor.
a) La investigación en casos de excepcional relevancia y gravedad para la salud pública
El primer supuesto de tratamiento de datos en investigación en salud sin consentimiento del interesado se recoge en la disposición adicional decimoséptima, apartado 2 b) LOPDGDD, según el cual «Las autoridades sanitarias e instituciones públicas con competencia en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública». El precepto contempla dos presupuestos habilitadores fundamentales y al tiempo limitativos. El primero de ellos hace alusión al contexto material en el que cabe aplicar dicha excepción, esto es, cabe un tratamiento de datos relativos a la salud sin consentimiento para realizar un estudio científico en situaciones de excepcional relevancia y gravedad para la salud pública. En segundo lugar, la norma señala al sujeto legitimado para actuar legítimamente en dichas circunstancias. Los sujetos autorizados para desarrollar dicha investigación han de ser las instituciones públicas y autoridades sanitarias con competencia en vigilancia en salud pública, con lo que queda descartada la intervención privada.
En cuanto al contexto material, la norma contempla que el tratamiento de datos al margen del consentimiento para realizar un estudio científico es legítimo en circunstancias de excepcional relevancia y gravedad, siempre y cuando sea realizado por los sujetos que señala la norma (un interés público en el ámbito de la salud pública del art. 9.2 i) RGPD, cabría dentro de este supuesto, al amparo de la excepcional relevancia, como una alerta sanitaria, enfermedades transmisibles, pero también un estudio realizado en interés público en el ámbito de la salud pública. Ejemplo de la situación que ampararía el precepto es el tratamiento de datos relativos a la salud como consecuencia de la alerta sanitaria provocada por la pandemia del COVID-19)[39]. En este caso, en el que no es requisito necesario para legitimar el tratamiento la recogida previa del consentimiento tampoco existe limitación en cuanto al tratamiento de datos identificativos, justificada esta circunstancia en atención a la excepcionalidad del caso.
Las circunstancias de excepcional relevancia y gravedad para la salud pública parecen ajenas a la actuación rutinaria de la actividad de vigilancia en salud pública que no pueda calificarse bajo dichas condiciones. Sin embargo, como ha señalado la AEPD[40] arrojando quizá algo de incertidumbre a la precisión del precepto, corresponde a las instituciones con competencia en vigilancia epidemiológica determinar cuándo concurren las circunstancias de excepcional relevancia y gravedad para la salud pública, presupuestos materiales que han de darse para poder realizar un estudio científico sin el consentimiento del interesado. El informe de la AEPD no parece concluyente en lo que atañe a la precisión de esas circunstancias, que equipara con las alusiones contenidas en la Ley 33/2001, de 4 de octubre, General de Salud Pública, en relación con el tratamiento de datos relacionados con la salud sin consentimiento, así como su cesión a otras Administraciones sanitarias cuando sea estrictamente necesario para la tutela de la salud de la población o para tomas decisiones en salud pública. Desde luego el empleo de los calificativos referidos no parece situarnos en un escenario que contemple la utilización de los datos para efectuar estudios científicos en todo tipo de situaciones, sino solo en aquellas que puedan ser clasificadas de excepcional relevancia y gravedad, aunque la alusión al papel de las autoridades sanitarias competentes para la apreciación de dichas circunstancias podría sortear en algunos casos la más que aparente restricción que contempla el precepto. La interpretación en el sentido literal y por tanto más estricta del artículo obligaría a recabar el consentimiento del sujeto en las circunstancias normales de trabajo de las instituciones con competencias en la vigilancia epidemiológica, lo que dificultaría su labor.
Junto a ello, y a nuestro modo de ver, el precepto incorpora el término «estudio científico», a diferencia del resto de supuestos en la norma en los que se habla de «investigación en salud», lo que sin duda resulta intencionado por parte del legislador y con ánimo de introducir alguna diferencia con el resto de las investigaciones reguladas. Ya aludimos en su momento a la similitud entre los términos estudios e investigación para hacer referencia a la investigación en el campo de la epidemiología y concluir que la similitud entre los términos hacía referencia tanto a la actividad rutinaria de la vigilancia en salud pública como a la actividad más propiamente científica (Serrano Pérez, 2017: 24). A nuestro modo de ver, la utilización del término «estudios científicos» solamente podría entenderse en el sentido señalado. Esto es, la actividad de vigilancia en salud pública, tanto si realiza actividad epidemiológica rutinaria como investigación de carácter científico no requiere recabar el consentimiento del interesado en los casos de excepcional relevancia y gravedad para la salud pública, circunstancias que habrán de ser valoradas por las autoridades correspondientes con la racionalidad suficiente como para reconocer en dichos supuestos la labor habitual de la epidemiología, que quedaría englobada bajo el concepto de estudios científicos. Aunque de la utilización del término estudios científicos parezca deducirse otra intención en el precepto señalado.
Junto a la limitación objetiva relativa a las circunstancias contextuales, el precepto recoge una limitación subjetiva al restringir la realización de los estudios científicos a las autoridades sanitarias e instituciones públicas con competencia en vigilancia de la salud pública. Las autoridades con competencia en vigilancia en salud pública, según la LGSP, incluye a la Administración General del Estado, las comunidades autónomas y la administración local en el ámbito de sus respectivas competencias (art. 13.1 LGSP). La cohesión y calidad de los diferentes sistemas de vigilancia en salud pública corresponde al Consejo Interterritorial del Sistema Nacional de Salud (art. 13.2 LGSP), mientras que la coordinación de los sistemas de vigilancia se deja en manos de la Red de Vigilancia en Salud Pública (art. 13.2 LGSP).
b) La investigación en salud con datos seudonimizados
La disposición adicional decimoséptima, apartado 2 letra d) LOPDGDD, considera lícito «el uso de los datos personales seudonimizados con fines de investigación en salud y en particular biomédica» al margen del consentimiento, cabe entender, siempre que exista una separación técnica y funcional entre el equipo de investigadores y los sujetos que realicen la seudonimización y custodien la información que permita la reidentificación[41]. Esta condición presupone que el equipo investigador habrá de solicitar los datos al sujeto o a los sujetos que conservan la información. La seudonimización de los datos tiene como finalidad salvaguardar la intimidad y los derechos del sujeto, pero preservando la posibilidad de volver a conectar la información con el sujeto al que se refiere, circunstancia racional en el campo de la salud.
En este supuesto nos encontramos ante la utilización de datos seudonimizados[42] para realizar una investigación en salud sin que el paciente hubiera consentido previamente ninguna otra investigación, situación que extiende el uso secundario de los datos del sujeto hasta alcanzar también a los asistenciales, protegidos bajo la fórmula de la seudonimización (De Montalvo Jääskeläinen 2019: 70). Resulta oportuno recordar en este punto que los datos seudonimizados siguen siendo objeto de protección de las normas sobre protección de datos, pues dada su capacidad potencial para reidentificar al sujeto no han perdido su facultad de lesionar los derechos de los individuos, por lo cual, el tratamiento de dichos datos ha de ajustarse a la normativa de protección de datos en vigor. Puede ser el caso de datos recabados para otros fines relacionados con la salud, por ejemplo, tratamiento sanitario y asistencial, y sobre los que recae una petición de utilización con fines de investigación por parte de un equipo de investigadores cuya investigación puede alcanzar su finalidad con datos seudonimizados. Al conjunto de investigadores se facilitaría solamente la serie de datos ya separados de la información que permite ligarla a un sujeto identificado o identificable, mientras que los responsables de la administración sanitaria quedan en posesión de los datos que identifican al sujeto con su estado de salud.
Cabe una segunda posibilidad dentro de esta utilización lícita de los datos seudonimizados con fines en investigación en salud pública y consiste en la facultad de acceder a los datos seudonimizados por parte de los investigadores cuando: a) existe un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación; b) se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados. Habría que entender que se ha de evitar la reidentificación utilizando cualquier fuente de información, no solo la puramente sanitaria (Miralles López, 2017: 8).
La previsión que contempla la norma de permitir el acceso a la información complementaria de los datos por parte de los investigadores nos hace pensar solamente en la imposibilidad de alcanzar los objetivos de la investigación o bien finalizarla de modo sesgado con los datos seudonimizados (tal y como prevé el art. 89.1 RGPD). Dentro de las medidas específicas que han de adoptarse para evitar la reidentificación y el acceso de terceros no autorizados, el art. 32 RGPD recoge, además de la seudonimización que en este caso quedaría asegurada, medidas tendentes a garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente, procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas incorporadas.
Como complemento a este apartado, la disposición adicional decimoséptima, apartado 2 g) prevé que la utilización de datos seudonimizados con fines de investigación en salud pública deberá someterse al informe previo del comité de ética de la investigación que esté previsto en la normativa sectorial. El sometimiento al comité es obligatorio, y aunque la norma no lo diga, el informe deberá ser vinculante, pues en caso contrario carecería de sentido solicitar su parecer. Sin ninguna previsión expresa es de suponer que el comité de ética de investigación podrá ser el órgano encargado de valorar la solicitud de reidentificación que prevé el apartado en casos excepcionales. También resulta lógico pensar que tras el informe favorable del comité ético de investigación en relación con la utilización de datos seudonimizados sin consentimiento del interesado, se procederá a la solicitud de los datos a la institución que conserva los datos y que los entregará al equipo investigador.
La norma prevé una excepción a la reidentificación cuando realizando la investigación con datos seudonimizados se advierta que existe un peligro real y concreto para la seguridad o salud de una persona o conjunto de personas, o una amenaza grave para sus derechos, o bien si la reidentificación resulta necesaria para garantizar una adecuada asistencia sanitaria. La apreciación de las circunstancias que recoge el precepto corresponde al equipo investigador, que será quien deberá solicitar la reidentificación de los datos y, aunque no lo diga el texto, justificar dicha petición al amparo de la disposición adicional decimoséptima, apartado 2 d) LOPDGDD. La petición de reidentificación entendemos que debería ser valorada por el comité de ética de la investigación.
3. Las excepciones al ejercicio de los derechos en el ámbito de la investigación en salud
La disposición adicional decimoséptima, apartado 2 e) LOPDGDD regula, junto con la letra f), el tratamiento de los datos en investigación en salud en el contexto del art. 89 RGPD (previsto en el art. 9.2 j) RGPD). A estos efectos es preciso recordar que los fines contemplados en el art. 89.1 RGPD no constituyen fines incompatibles (art. 5.1 b) RGPD) con ninguna otra finalidad informada y por tanto consentida por el sujeto, lo que concilia la utilización ulterior de los datos personales para investigación científica con independencia de la finalidad que motivó su recogida, aunque con las garantías que señalen las normas en vigor. Del mismo modo, la prolongación de la vida de los datos de forma que puedan identificar al sujeto, sometida también al principio de cumplimento de la finalidad, queda excepcionada al amparo de los fines del art. 89.2 RGPD (art. 5.1 e) RGPD).
El art. 89.1 RGPD contempla la utilización ulterior y necesaria de los datos personales con fines de investigación científica. Dicha utilización ulterior debe estar sujeta a garantías adecuadas con el fin de preservar los derechos y libertades de los interesados (art. 89.1 RGPD)[43]. Aunque ya hemos hablado de este artículo en un apartado anterior, insistimos ahora que las garantías a que se refiere pueden consistir en medidas técnicas y organizativas que aseguren la observancia del principio de minimización y pueden incluir la seudonimización, siempre que con dicha técnica el responsable del tratamiento haya valorado que se pueden alcanzar los fines de la investigación científica, por lo que la seudonimización no es exigible de modo absoluto y queda sometida al cumplimiento de los fines perseguidos (Álvarez Rigaudia, 2019: 751).
El apartado 2 de la disposición adicional decimoséptima, letra e), LOPDGDD regula las circunstancias en las que podrán ser objeto de excepción los derechos de los interesados previstos en los artículos 15, 16, 18 y 21 del RGPD. Las limitaciones encuentran su justificación cuando el ejercicio de los citados derechos pueda imposibilitar u obstaculizar «gravemente el logro de los fines científicos y cuando esas excepciones sean necesarias para alcanzar esos fines». Los derechos a que hace referencia el precepto del Reglamento son el derecho de acceso, el derecho de rectificación, el derecho a la limitación del tratamiento y el derecho de oposición respectivamente[44]. Las circunstancias que contempla la norma orgánica son: 1) si los derechos se ejercen directamente ante los investigadores o centros de investigación que utilicen datos anonimizados o seudonimizados. En el primer caso, esto es, con datos anonimizados no tiene sentido el ejercicio de los derechos (Troncoso Reigada, 2018: 260), pues no existe derecho a la protección de datos que tutelar, por tanto, más que limitar el ejercicio de los derechos que menciona el precepto podríamos hablar de su denegación. En el caso del ejercicio de los derechos si se utilizan datos seudonimizados cabría la posibilidad de reidentificar al interesado que ejerce el derecho ante los investigadores, en el caso de que estos dispusieran de la información personal. Pero si la seudonimización se ha realizado con las garantías adecuadas, la reidentificación ha de resultar muy dificultosa. Recuérdese que la posibilidad de limitar el ejercicio de los derechos ha de estar justificada en la probabilidad de que el ejercicio de los citados derechos pueda impedir o dificultar gravemente la consecución de los fines de la investigación y las excepciones sean necesarias para alcanzar esos fines; 2) cuando el ejercicio de los derechos se refiera a los resultados de la investigación, resultado, por tanto, que no podrá ser materia de acceso, rectificación, limitación u oposición al tratamiento; 3) si la investigación tiene «por objeto un interés público esencial relacionado con la seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes de interés público general, siempre que en este último caso la excepción esté expresamente recogida por una norma con rango de Ley». Será por tanto una norma la que prevea la imposibilidad de ejercitar los derechos en las circunstancias previstas, cuya protección goza de prevalencia frente al derecho a la protección de datos.
4. Los requisitos y garantías en el ámbito de la investigación científica
Por último, el apartado 2 f), disposición adicional decimoséptima LOPDGDD, establece las garantías que ha de reunir un tratamiento de datos, de acuerdo a lo previsto en el art. 89 RGPD con fines de investigación en salud pública, (estudios realizados en este ámbito) y en especial la biomédica. El precepto especifica las medidas adecuadas a las que alude el Reglamento y que han de quedar recogidas de forma explícita en el Derecho Interno, correspondiendo al legislador establecer «las garantías adecuadas de tipo técnico, organizativo y procedimental que prevengan los riesgos de distinta probabilidad y mitiguen sus efectos, pues solo así se puede procurar el respeto al contenido esencial del propio derecho», (la protección de datos)[45]. En concreto la ley señala como medidas de garantía adecuadas: a: 1) realizar una evaluación de impacto[46] que establezca los riesgos derivados del tratamiento de datos en los supuestos previstos en el art. 35 RGPD o en los establecidos por la autoridad de control. Particularmente esta evaluación ha de contemplar los riesgos de reidentificación existentes que deriven de la seudonimización o anonimización de los datos; 2) supeditar la investigación científica a las normas de calidad, y si las hay, a las directrices internacionales sobre la buena práctica clínica; 3) adoptar medidas dirigidas a garantizar que los investigadores no tienen acceso a datos de identificación de los interesados. Hay que interpretar que se trata de medidas técnicas que impidan accesos no autorizados; 4) nombrar un representante legal establecido en la UE, de acuerdo con el art. 74 Reglamento (UE) 536/2014, si el promotor del ensayo clínico no está establecido en la UE. Este representante podrá coincidir con el que recoge el art. 27.1 RGPD.
La evaluación de impacto resulta obligatoria en este tipo de tratamiento de datos, según el art. 35.3 b) RGPD, por utilizar en la investigación categorías especiales de datos de los contemplados en el art. 9.1 RGPD, que incluye los datos relativos a la salud y datos genéticos. La evaluación de impacto tiene un contenido mínimo ineludible, según el art. 35.7 RGPD, al que hay que sumar, a criterio de la norma española, los riesgos de reidentificación vinculados a la anonimización o seudonimización. No parece aquí muy atinado el precepto pues la anonimización es definitiva en cuanto a la imposibilidad de reidentificar al sujeto cuyos datos se han anonimizado (de hecho, los datos anonimizados son irrelevantes a efectos de la aplicación de las leyes de protección de datos), por lo que solo cabe entender que la alusión a los riesgos de reidentificacion se refieren de forma exclusiva a los procesos de seudonimización. El contenido mínimo a que alude el art. 35.7 RGPD contempla los siguientes elementos: a) una descripción sistemática de las operaciones de tratamientos previstas y de los fines del tratamiento, incluyendo, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento; b) una evaluación de la necesidad y de la proporcionalidad de las operaciones del tratamiento que se han previsto en relación con la finalidad del mismo, con el fin de establecer la proporcionalidad entre ambas; c) una evaluación de los riesgos que el tratamiento entraña para los derechos y libertades de los interesados; d) las medidas previstas para hacer frente a los riesgos detectados, lo que incluye garantías, medida de seguridad y mecanismos que protejan los datos personales, demostrando su conformidad con el RGPD.
Con carácter previo a la elaboración de la evaluación de impacto habrá que realizar un análisis de riesgo[47], con el fin de detectar las eventuales amenazas que puedan existir para los derechos y libertades del interesado, e intentar reducir el riesgo a fin de proteger el núcleo esencial del derecho a la protección de datos personales.
En lo que se refiere a las normas de calidad internacionales y a las directrices internacionales sobre buena práctica clínica, el documento Pautas éticas internacionales para la investigación relacionada con la salud con seres humanos[48] contiene un apartado específico sobre cómo actuar en la «recolección, almacenamiento y uso de datos en una investigación relacionada con la salud». Troncoso señala que con dicha previsión legal «el sometimiento de la investigación científica a las normas de calidad y a las directrices de buena práctica clínica pasa de ser una buena práctica de calidad a una exigencia adicional contenida en una norma», que además es una Ley orgánica (Troncoso Reigada, 2018: 261). Lo cierto es que la referencia a criterios éticos internacionales aporta una visión global de la investigación, enmarcándose en un contexto de información compartida y resultados sometidos a estándares comunes, aunque esta globalización de condiciones para la investigación en el espacio europeo ya queda garantizada por el Reglamento en virtud de su aplicación directa y alcance general.
V. LA MODIFICACIÓN DEL ART. 16 LEY 41/2002
Por último, la Disposición final novena modifica el apartado 3 del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y añade la posibilidad de ante una situación de excepcional relevancia y gravedad para la salud pública se podrán llevar a cabo estudios científicos por parte de las autoridades sanitarias con competencia en vigilancia de la salud pública, accediendo a los datos identificativos de los pacientes de las historias clínicas sin su consentimiento, lo que resulta absolutamente razonable y necesario en virtud de la excepcionalidad de la situación.
VI. BIBLIOGRAFÍA
Adsuara Valera, B., El consentimiento, Reglamento General de Protección de Datos, Reus, Barcelona 2016.
Álvarez Rigaudia, C., Tratamiento de datos con fines de investigación científica y/o médica, Tratado de Protección de datos. Actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, Rallo Lombarte, A., (dir.) Tirant lo blanch, Valencia 2019.
Polo Roca, A., «El derecho a la protección de datos personales y su reflejo en el consentimiento del interesado», Revista de Derecho Político, núm. 108, mayo agosto 2020, págs. 165-193.
Arenas Ramiro, M., y Ortega Giménez, A., (dirs.), Protección de Datos. Comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, Sepin, Madrid 2019.
Azurmendi, A., «Por un «derecho al olvido» para los europeos: aportaciones jurisprudenciales de la Sentencia del TJUE del caso Google Spain y su recepción por la Sentencia de la Audiencia Nacional de 29.12.2014», Revista de Derecho Político, núm. 92, enero-abril 2015, pp. 273-310.
Beltrán Aguirre, J. L., Tratamiento de datos personales de salud: incidencia del Reglamento General de Protección de Datos, Pérez Gálvez, J. F. (dir.), Salud electrónica. Perspectiva y realidad, Tirant lo Blanch, Valencia 2017
Cobacho López, Á., «Reflexiones en torno a la última actualización del derecho al olvido digital», Revista de Derecho Político, núm. 104, enero abril 2019, pp. 197-227.
De Lecuona, I., Los Comités de Ética como mecanismos de protección en investigación biomédica: análisis del Régimen Jurídico Español, Cívitas, Navarra 2011.
De Montalvo Jääskeläinen, F., «Una reflexión desde la teoría de los derechos fundamentales sobre el uso secundario de los datos de salud en el marco de Big Data», Revista de Derecho Político, núm. 106, septiembre-diciembre 2019, págs. 43-75.
González Murúa, A. R., Artículo 8: protección de los datos de carácter personal en J. I. Ugartemendia Eceizabarrena, S. García Vázquez y J. Goizueta Vértiz (dirs.), La Carta de los Derechos Fundamentales de la Unión Europea, Thomson Reuters Aranzadi, Cizur Menor, 2012.
López Castillo, A., La Carta de Derechos Fundamentales de la Unión Europea. Diez años de jurisprudencia, López Castillo, A. (dir.), tirant lo blanch, Valencia, 2019.
López Portas, M. B., «La Configuración Jurídica del Derecho al Olvido en el Derecho Español a tenor de la doctrina del TJUE», Revista de Derecho Político, núm. 93, mayo-agosto, 2015, pp. 143-175.
Lucas Murillo, P., El derecho a la autodeterminación informativa, Tecnos, Madrid 1990.
«La protección de los datos de carácter personal en el horizonte de 2010», Anuario de la Facultad de Derecho, Universidad de Alcalá II, 2009, pp. 131-142.
«La Constitución y el derecho a la autodeterminación informativa», Cuadernos de Derecho Público, núm. 19-20, mayo diciembre 2003, pp. 27-44.
Mains, M. L., «The processing of personal data in the context of scientific research: the new regime under the EU-GDPR. BioLaw Journal, Trento: University of Trento, nº 3, 2017, p. 329, disponible enhttp://rivista.biodiritto.org/ojs/index.php?journal=biolaw&page=article&op=view&path%5B%5D=259&path%5B%5D=202.
Martínez Alarcón, M. L., «Artículo 8. Protección de datos de carácter personal», La Carta de Derechos Fundamentales de la Unión europea. Diez años de jurisprudencia, López Castillo, A. (dir.), tirant lo blanch, Valencia 2019, pp. 219-260
Martínez Martínez, R., Una aproximación crítica a la autodeterminación informativa, Cívitas, Madrid 2004.
Miralles López, R., «Desvinculando datos personales: seudonimización, desidentificación y anonimización», Informática y Salud, 122 (abril 2017), pp. 7-9.
Piñar Mañas, J.L., Reglamento General de Protección de Datos, Reus, Barcelona 2016.
Rallo Lombarte, A, Tratado de Protección de Datos, Tirant lo Blanch, Valencia 2019.
«De la <<libertad informática>> a la constitucionalización de nuevos derechos digitales (1978-2018)», Revista de Derecho Político, núm. 100, septiembre, diciembre 2017, UNED, pp. 639-699.
El derecho al olvido en Internet, Centro de Estudios Políticos y Constitucionales, Madrid 2014.
«El nuevo derecho a la protección de datos personales», Revista Española de Derecho Constitucional, año 39, núm. 116, mayo-agosto, 2019, pp. 45-74.
Rebollo Delgado, L., y Serrano Perez, Mª M., Manual de Protección de datos, 3ª ed. Dykinson, Madrid 2019.
Recuero Linares, M., La investigación científica con datos personales genéticos y datos relativos a la salud: perspectiva europea ante el desafío globalizado, Madrid 2019, disponible en https://www.aepd.es/sites/default/files/2020-02/premio-2019-emilio-aced-accesit-mikel-recuero.pdf
Sánchez Barrilao, J. F., «Los fundamentos del <<progreso informático>> en la Unión Europea», Revista de Derecho Político, núm. 98, enero-abril 2017, pp. 335-368.
Serrano Pérez, M. M., «La STEDH de 13-02-2020. Los límites del tratamiento de datos biométricos de personas condenadas en relación con la protección del art. 8 CEDH», LA LEY. Privacidad Número 4, abril-junio 2020, Wolters Kluwer, págs. 1-7.
Serrano Pérez, M. M., Sánchez Navarro, C., y Zurriaga Llorens, O., «A modo de reflexión y crítica en torno a la propuesta de reglamento europeo de protección de datos y algunas de las enmiendas presentadas en relación con la epidemiología y la salud», en Derecho y Salud, vol. 23, extraordinario, 2013, pp. 292-293
Troncoso Reigada, A., «Investigación, salud pública y asistencia sanitaria en el Reglamento General de Protección de Datos de la Unión europea y en la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales», Revista de Derecho y Genoma Humano, núm. 49, 2018, pp. 187-266.
Zabía De la Mata, J., (coord.), Protección de datos. Comentarios al Reglamento, 1ª ed., Lex Nova, Valladolid, 2008.
[1] El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DOUE L119). No obstante existen regulaciones especiales, por ejemplo en el ámbito penal donde la Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, deberá ser implantada en nuestro ordenamiento jurídico. Hasta dicho momento legislativo tanto el RGPD como la LOPDGDD actúan como normas supletorias, tal y como se desprende del art. 2.3 LOPDGDD.
[2] BOE núm. 294, de 6 de diciembre de 2018.
[3] Vid., las Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, del Grupo de trabajo del artículo 29, adoptadas el 28 de noviembre de 2017 y revisadas por última vez y adoptadas el 10 de abril de 2018, (refrendadas por el CEPD), disponible en https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
[4] Vid. considerando 10 RGPD.
[5] Vid. antiguo artículo 286 TUE y del Tratado Constitutivo de la Comunidad Europea (2002).
[6] De abducción del derecho constitucional habla este autor tras el proceso de europeización del derecho.
[7] El Convenio 108 está en vigor en 53 países. En la actualidad está en vías de ratificación el Protocolo 108+ y junto con el RGPD regulan de forma armónica la protección de datos en el espacio europeo uno y el otro a nivel internacional, con una proyección mucho más extensa.
[8] Llama la atención la redacción del art. 1 de la Directiva 95/46/CE (objeto de la Directiva) por la alusión a la protección de la intimidad en lo que respecta a los datos personales en comparación con la redacción del art. 1 del RGPD, donde se habla ya de derecho a la protección de datos personales. En ambos casos estaba presente la libre circulación de los datos. libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»
[9] STJUE (Gran Sala), de 13 de mayo 2014, Google Spain S. L. y Goolge Incl. C. Agencia española de Protección de datos (AEPD) y Mario Costeja González (Asunto C-131/12), ECLI:EU:C:2014:317, disponible https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:62012CJ0131&from=IT
[10] Art. 4.15 RGPD. Sobre el concepto de dato relativo a la salud, en sentido amplio TJUE 6-11-2002, C-101/01 (Lindqvist), apartado 50.
[11] Vid. art. 9.1 RGPD.
[12] STC 76/2019, de 22 de mayo, FJ 4.
[13] Vid. considerando 41 RGPD. En relación con el ordenamiento español, la medida legislativa que limite el derecho fundamental, debería ser una ley orgánica que contemple el interés público que justifique prescindir del consentimiento y valore la proporcionalidad de la medida en relación con la finalidad perseguida, así como el respeto a los derechos limitados con medidas específicas de protección.
[14] STC 292/2000, de 30 de noviembre, FJ 17, «…la expresión interés público como fundamento de la imposición de límites a los derechos fundamentales del art. 18.1 y 4 CE, pues encierra un grado de incertidumbre aún mayor. Basta reparar en que toda actividad administrativa, en último término, persigue la salvaguardia de intereses generales, cuya consecución constituye la finalidad a la que debe servir con objetividad la Administración con arreglo al art. 103.1 CE»; STC 76/2019, de 22 de mayo, FJ 7.
[15] STC 76/2019, de 22 de mayo, FJ 6. Explícitamente en el FJ 8 señala que «La previsión de las garantías adecuadas no puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate. Las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado. Solo ese entendimiento es compatible con la doble exigencia que dimana del art. 53.1 CE para el legislador de los derechos fundamentales: la reserva de ley para la regulación del ejercicio de los derechos fundamentales reconocidos en el capítulo segundo del título primero de la Constitución y el respeto del contenido esencial de dichos derechos fundamentales».
[16] Sobre las garantías, STJUE (Gran Sala), de 8 de abril de 2014, Asuntos C-293/12 y C-594/12, ECLI:EU:C:2014:238; STEDH Gaughran v. the United Kingdom, núm. 45245/15, 13-02-2020.
[17] Vid. considerando 54 RGPD.
[18] Este precepto, más la referencia explícita que incluye al art. 9.3 RGPD, guarda una gran semejanza con el art. 8.3 Directiva 95/46/CE.
[19] Grupo de trabajo del artículo 29, Directrices sobre el consentimiento…, ob. cit., pág. 32.
[20] Grupo de trabajo del artículo 29, Directrices sobre el consentimiento…, ob. cit., pág. 31.
[21] Vid. considerandos 54, 157 y 159 RGPD.
[22] Por ejemplo, «entregar la información al interesado en un plazo razonable antes de la ejecución del nuevo proyecto de investigación. Así, el interesado podrá tener conocimiento del proyecto de investigación y ejercer sus derechos previamente» (34), Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COIVD-19, adoptadas el 21 de abril de 2020, por el Comité Europeo de Protección de Datos, disponible en https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_es.pdf. pág. 9.
[23] STJUE (Sala Segunda), de 14 de febrero, C-345/17 (Buivids), (64), ECLI:EU:C:2019:122.
[24] STC 76/2019, de 22 de mayo (FJ 4), aludiendo al régimen jurídico del tratamiento de datos personales relativos a las opiniones políticas señala que «Ello implica aludir al contenido tanto del RGPD como de la LOPDGDD, pues en la actualidad ambas fuentes configura conjuntamente, de forma directa o supletoria, el desarrollo del derecho fundamental a la protección de datos de carácter personal que exigen los arts. 18.4 y 81.1 CE, dado que el art. 2.3 LOPDGDD declara la supletoriedad del RGPD y de la LOPDGDD, a falta de legislación específica, también para los tratamiento a los que el RGPD no resulte directamente aplicable por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea».
[25] Vid. el documento de SESPAS, Beltrán Aguirre, J. L. López García, F. J., y Navarro Sánchez, C., Protección de datos personales y secreto profesional en el ámbito de la salud: una propuesta normativa, Barcelona 2017.
[26] Por ejemplo, Irlanda con la aprobación, además de la ley general de protección de datos la Health Research Regulations 2018 (Irlanda, S.I. núm. 314/2018).
[27] Vid. las leyes enumeradas en el precepto.
[28] Informe AEPD 0073/2010, pág. 2, disponible en https://www.aepd.es/es/documento/2010-0073.pdf
[29] Por ejemplo, el art. 5.3 LIB prohibía expresamente la utilización de los datos relativos a la salud de la persona con fines distintos a aquellos para los que se prestó el consentimiento.
[30] Vid. art. 13.3 RGPD.
[31] El consentimiento amplio se contemplaba en el Informe de la AEPD 073367/2018 sobre la interpretación de la LIB en consonancia con el RGPD. La AEPD interpretaba la existencia del consentimiento amplio en la propia ley de investigación biomédica, aunque solo para las muestras biológicas, disponible en https://www.aepd.es/sites/default/files/2019-09/2018-0046-investigacion-biomedica.pdf
[32] European Commission eHealth Task Force Report- redesigning health in Europe for 2020
[33] Vid. art. 13 RGPD.
[34] Para el Grupo de trabajo del art. 29, «La transparencia constituye una garantía adicional cuando las circunstancias de la investigación no permiten obtener un consentimiento específico», igualmente contar con un plan integral de investigación, Directrices sobre el consentimiento…, ob. cit., pág. 33
[35] Ley 14/2007, de 3 de julio, de Investigación biomédica, en relación con los comités éticos de investigación.
[36] Vid. art. 12.2 Ley 14/2007.
[37] Vid. Recomendaciones del Comité de Bioética de España con relación al impulso e implantación de buenas prácticas científicas en España, (2010), disponible en http://assets.comitedebioetica.es/files/documentacion/buenas_practicas_cientificas_cbe_2011. Al hilo de las mismas, y de forma más reciente el Instituto de Salud Carlos III ha elaborado el Código de Buenas Prácticas Científicas. Instituto de Salud Carlos III, disponible https://www.isciii.es/QueHacemos/Servicios/ComitesEtica/CEI/Documents/2019-CODIGO%20DE%20BUENAS%20PRACTICAS%20CIENTIFICAS_%20SGITCMR-04,%20Ed%2004.pdf.
[38] STJUE (Sala Segunda) de 20 de diciembre 2017, Peter Nowak v. Data Protection Commissioner, Asunto C-434/16, ECLI:EU:C:2017:994.
[39] Vid. las Directrices 03/2020 sobre el tratamiento de datos sobre la salud con fines de investigación científica…, ob. cit., disponible en https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_es.pdf
[40] Informe AEPD https://www.aepd.es/es/documento/2018-0121.pdf, pág. 7.
[41] Orientaciones y garantía en los procedimiento de anonimización de datos personales, AEPD, 2016, disponible en https://www.aepd.es/sites/default/files/2019-09/guia-orientaciones-procedimientos-anonimizacion.pdf
[42] Art. 4.5 RGPD.
[43] Se deben aplicar también medidas de protección desde el diseño y por defecto. En este sentido vid. Directrices 4/2019 del Comité Europeo de Protección de Datos, sobre la protección de los datos desde el diseño y por defecto, de 13 de noviembre de 2019, disponible en https://edpb.europa.eu/our-worktools/public-consultations-art-704/2019/guidelines-42019-article-25-data-protection-design_es, así como la de la AEPD Guía de Protección de datos por defecto, octubre 2020 disponible en https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf
[44] Vid. considerando 156 RGPD.
[45] En este sentido y en general para todas las garantías hay que señalar que «El nivel y la naturaleza de las garantías adecuadas no se pueden determinar de una vez para todas, pues, por un lado, deben revisarse y actualizarse cuando sea necesario y, por otro lado, el principio de proporcionalidad obliga a verificar si, con el desarrollo de la tecnología, aparecen posibilidades de tratamiento que resultan menos intrusivas o potencialmente menos peligrosas para los derechos fundamentales, STC 76/2019, de 22 de mayo, FJ 6.
[46] Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, AEPD, disponible en https://www.aepd.es/sites/default/files/2019-09/guia-evaluaciones-de-impacto-rgpd.pdf
[47] Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD, disponible en https://www.aepd.es/sites/default/files/2019-09/guia-analisis-de-riesgos-rgpd.pdf
[48] Consejo de Organizaciones Internacionales de las Ciencias Médicas (CIOMS) en colaboración con la Organización Mundial de la Salud (OMS). Disponible en https://cioms.ch/wp-content/uploads/2017/12/CIOMS-EthicalGuideline_SP_INTERIOR-FINAL.pdf, págs. 51 y ss.
Copyright
Estudios de Deusto es una revista de acceso abierto, lo que significa que es de libre acceso en su integridad. Se permite su lectura, la búsqueda, descarga, distribución y reutilización legal en cualquier tipo de soporte sólo para fines no comerciales, sin la previa autorización del editor o el autor, siempre que la obra original sea debidamente citada y cualquier cambio en el original esté claramente indicado.
Estudios de Deusto is an Open Access journal which means that it is free for full access, reading, search, download, distribution, and lawful reuse in any medium only for non-commercial purposes, without prior permission from the Publisher or the author; provided the original work is properly cited and any changes to the original are clearly indicated.