Los datos de salud como datos especialmente protegidos

1.- Definición legal de datos de salud

Los datos de salud son aquellas informaciones sobre la salud física o mental de una persona física, incluida la información sobre la prestación de servicios de atención sanitaria que recibe (artículo 4.15 del Reglamento General de Protección de Datos).

Si bien la Real Academia Española define la salud como el “conjunto de las condiciones físicas en que se encuentra un organismo en un momento determinado”, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el Reglamento General de Protección de Datos (en adelante, el RGPD) incluye en el concepto también a la salud mental.

2.- Ejemplos de tratamiento de datos de salud

Son ejemplos de situaciones en que hay tratamiento de datos de salud las siguientes:

La consulta o acceso al historial médico contenido en la historia clínica de un paciente.
El número de identificación de una persona física dentro de un sistema de sanidad pública.
En la contratación de un seguro de salud o defunción, la solicitud de información a una persona física sobre el padecimiento de enfermedades.

3.- La regulación del tratamiento de los datos de salud en la legislación española

Los datos de salud entran dentro de las llamadas categorías especiales de datos protegidos (artículo 9 del RGPD) o datos especialmente protegidos (artículo 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; en adelante, la LOPDGDD). Por ese hecho, el tratamiento de los datos de salud por regla general está prohibido, salvo en los siguientes casos:

Cuando el interesado manifieste de modo «explícito» su consentimiento para dicho tratamiento.
En el caso de que la persona esté incapacitada para prestar su consentimiento y sea necesario para proteger sus intereses vitales.
Cuando el tratamiento sea necesario:
- Para el cumplimiento de obligaciones y el ejercicio de derechos en el ámbito del derecho laboral y de la seguridad y protección social.
- Para la formulación, ejercicio o defensa de reclamaciones.
- Para la protección del interés público esencial o el interés público en el ámbito de la salud pública. En este caso el tratamiento deberá estar amparado por una norma con rango de ley.
- Para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. En este caso el tratamiento deberá también estar amparado por una norma con rango de ley.
- Por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios. En este caso el tratamiento debe igualmente estar amparado por una norma con rango de ley.
Cuando el tratamiento se lleve a cabo por los tribunales en el ejercicio de sus funciones.
Cuando el tratamiento tenga fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
Que sea una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical quien realice el tratamiento.
Cuando los datos de la persona sean manifiestamente públicos.

El Considerando 54 del RGPD, en relación con el tratamiento de datos por razones de interés público en el ámbito de la salud pública, deja claro lo que debe entenderse por salud pública: “todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad”.

Por su parte, el artículo 9.4 y el Considerando 53 del RGPD establecen que los Estados Miembros de la Unión Europea pueden, en relación con los datos de salud, introducir limitaciones y nuevas condiciones para su tratamiento. En España, precisamente, es la disposición adicional decimoséptima de la LOPDGDD la norma que introduce ciertas condiciones para su tratamiento.

Esta disposición adicional enumera las leyes españolas que, adicionalmente a la normativa de protección de datos, son aplicables cuando haya un tratamiento de datos de salud como es el caso de la Ley General de Sanidad, la Ley de Prevención de Riesgos Laborales y la Ley General de Salud Pública.

Por otro lado, la disposición adicional decimoséptima establece cuáles son los criterios que rigen el tratamiento de los datos de salud en el ámbito de la investigación, a decir:

El tratamiento debe hacerse en base al consentimiento del interesado o su representante legal.
Se reconoce la competencia de las autoridades sanitarias e instituciones públicas para la realización y vigilancia de estudios científicos sin el consentimiento de los afectados en situaciones excepcionales.
Se prevé la posibilidad de reutilizar datos de la salud en nuevas investigaciones relacionadas con una investigación inicial.
Es lícito el uso de datos personales “seudonimizados” (aquellos datos que no puede usarse para identificar a una persona física sin la concurrencia de otras informaciones adicionales, de las que se encuentran separados), con el cumplimiento de ciertos requisitos técnicos.
Se prevé la posibilidad de exceptuar el ejercicio de los derechos de acceso, rectificación, limitación y de oposición de los afectados, en determinados casos.
Es obligatoria la realización de evaluación de impacto, el sometimiento de la investigación a las directrices internacionales de buena práctica clínica y la adopción de medidas de garantía en el acceso a los datos por parte de los investigadores.

Pero si quieres profundizar más, continua leyendo

4.- La Agencia Española de Protección de Datos (AEPD) sobre el tratamiento de datos de salud

–Guía de la AEPD para pacientes y usuarios de la Sanidad (publicada en noviembre de 2019):

En esta guía se analizan cuestiones básicas en relación con los derechos de los pacientes y usuarios de la sanidad en el ámbito del tratamiento de sus datos de salud.

Se estudia la legitimación para el tratamiento de los datos de salud, el derecho de informar a los interesados de dicho tratamiento, los principios aplicables en el tratamiento de los datos y las cuestiones comunes en el ejercicio de los derechos de protección de datos, haciéndose especial hincapié en la historia clínica, el derecho al acceso a la misma, a su rectificación y supresión.

–Informe de la AEPD sobre los tratamientos de datos resultantes de la situación derivada de la propagación del virus COVID-19:

Se trata de un Informe de la AEPD en el que se reconoce que, en casos excepcionales, se puede realizar el tratamiento de datos de salud en base al interés público (artículo 6.1.e RGPD), así como para proteger los intereses vitales de los interesados u otras personas físicas (artículo 6.1.d RGPD). En este caso, el control de la pandemia causada por el virus COVID-19 y de su propagación quedan dentro de estas situaciones excepcionales.

Lo anterior se produce sin perjuicio de que pueda tratarse los datos de salud en amparo de las siguientes normas:

La Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública que señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.
La normativa sobre prevención de riesgos laborales, según la que el empresario o empleador podrá tratar los datos de salud para garantizar dicha salud de su personal, evitando contagios en el seno de su organización o centros de trabajo.

En todo caso, no debe olvidarse que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa y los principios de protección de datos personales.

Para proteger debidamente tus datos personales o asegurarte de que tu empresa cumple con la exigente normativa europea sobre protección de datos personales, es imprescindible estar asesorado por abogados expertos en protección de datos.

¿Buscas abogado especialista en Protección de datos personales?

Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Protección de datos personales y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):

¿Cual es tu nombre?*
¿Cuál es tu correo electrónico?*
¿En qué ciudad te ubicas?*
¿Cuál es tu teléfono? (Con prefijo del país)
Escribe tu mensaje o formula tu consulta*
Política de Privacidad*
He leído y acepto la Política de Privacidad y Cookies de esta web.
Los datos que nos facilita el usuario a través este formulario se incorporarán a tratamientos cuyo responsable es ALGORITMO LEGAL con domicilio profesional en la calle Sicilia nº 210, 5º, 3ª, 08013 de Barcelona. Puedes contactarnos llamando al teléfono (+34) 931 404 381 o a través del correo electrónico info@algoritmolegal.com. La finalidad de recogida de datos en este formulario es poder contestar las consultas planteadas y enviar al usuario la información solicitada a través del correo electrónico o teléfono indicados en el formulario, así como proveer información comercial. Más detalles en nuestra Política de Privacidad y Cookies.
(*) Campo obligatorio
Introduce los caracteres que ves a continuación: