EL CEPD publica sus directrices para el tratamiento de datos de salud con fines de investigación durante el COVID-19.

EDPB on Health Data

En medio del brote del COVID-19, el CEPD ha adoptado unas directrices para el tratamiento de datos de salud con fines de investigación con el propósito de aclarar algunas dudas al respecto. 

En previsión de que no volveremos a la normalidad hasta que se disponga de una vacuna contra el COVID-19, investigadores de todo el mundo están concentrando sus esfuerzos en hallar resultados lo más rápido posible. En este contexto, son inevitables las preguntas en torno al papel que juega el RGPD en todo esto, de manera que el CEPD ha lanzado unas directrices para el tratamiento de datos de salud con fines de investigación, con el objetivo de proporcionar una guía básica al respecto. 

¿Qué se entiende por “datos de salud”?

El artículo 4 (15) del RGPD define “datos relativos a la salud” como “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. Esta definición también abarca:

  • Información que se convierte en datos de salud por referencias cruzadas con otros datos de modo que se revela el estado de salud o los riesgos asociados a la salud, como por ejemplo la presunción de que una persona tiene más alto riesgo de sufrir una enfermedad grave por contagio de COVID-19 debido a contar con patologías previas. 
  • Información que se convierte en datos de salud por su uso en un contexto específico, como aquella relativa a un viaje reciente a alguna región afectada por el COVID-19. 

El CEPD señala que el concepto “tratamiento con fines de investigación científica” deberá ser interpretado de manera amplia, conforme al considerando 159 RGPD. 

¿Cuál es la base legítima para el tratamiento?

Conforme al RGPD, el tratamiento de categorías especiales de datos se permite sólo en algunos escenarios. Aquellos que pueden tomar especial relevancia en lo que se refiere al tratamiento de datos de salud para fines de investigación durante el COVID-19 son los siguientes: 

  • El sujeto ha dado consentimiento explícito.
  • El tratamiento se refiere a datos personales que han sido hechos manifiestamente públicos por el sujeto. 
  • El tratamiento es necesario para fines de medicina preventiva u ocupacional. 
  • El tratamiento es necesario por razones de interés público en el área de salud pública. 
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sobre la base del Derecho de la Unión o de los Estados miembros.

Es importante señalar que “el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales”, sujeto a las medidas apropiadas.

¿Se debería informar a los interesados?

Conforme a los artículos 13 y 14 RGPD, los interesados deberían ser informados en el momento de obtención de los datos o dentro de un período razonable y como máximo un mes cuando estos no se hayan recogido del interesado como tal. 

Sin embargo, dado que muchas veces no es posible identificar completamente la finalidad del tratamiento para fines de investigación científica en el momento de la recogida, el CEPD recomienda proporcionar tal información dentro de un período de tiempo razonable antes de que se implemente el proyecto. 

Existen cuatro excepciones:

  • El interesado ya está en posesión de la información.
  • Proporcionar la información resulta imposible, implicaría un esfuerzo desproporcionado o es susceptible de perjudicar los resultados.  En este caso, el responsable debería demostrar todos los factores que limitarían este derecho, y realizar un ejercicio de evaluación sobre el impacto potencial y los efectos de no ofrecer la información.
  • La obtención o divulgación está expresamente establecida por la legislación de la Unión o de los Estados miembros, sujeto a que se establezcan “medidas adecuadas para proteger los intereses legítimos de los sujetos”. 
  • Los datos personales son confidenciales por la obligación de secreto profesional. 

¿Qué otras medidas se deberían aplicar?

A la luz del principio de minimización de datos, el CEPD considera esencial especificar y detallar las preguntas de investigación y así evaluar el tipo y cantidad de datos necesarios para poder responder a las mismas. Además, los datos deberán ser anónimos siempre y cuando sea posible. 

Asimismo se tendrán que acordar períodos de almacenamiento de los datos, en valoración de criterios como la duración y la finalidad de la investigación. 

En relación a las medidas de seguridad, cabe apuntar que, junto a la pseudonimización, encriptado, acuerdo de no-divulgación y controles de acceso estrictos, el CEPD enfatiza la necesidad de realizar evaluaciones de impacto cuando el tratamiento “puede resultar en un alto riesgo para los derechos y libertades de las personas” y enfatiza la importancia de los delegados de protección de datos como una parte fundamental que debería estar involucrada en el proceso. 

¿Qué ocurre con el ejercicio de los derechos de os sujetos?

Junto a las exenciones a la obligación de información comentadas anteriormente, el artículo 17 (3) (d) establece que el derecho de supresión no se aplicará cuando el tratamiento sea necesario “con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento”.

Según jurisprudencia del TJUE, todas las restricciones de los derechos de los sujetos operarán siempre y cuando sea estrictamente necesario, con lo que estas deben entenderse de manera restringida.

 

¿Están permitidas las transferencias internacionales de datos?

En ausencia de una decision de adecuación conforme al artículo 45 (3) RGPD o garantías adecuadas según el artículo 46 RGPD, el artículo 49 RGPD recoge algunas situaciones específicas bajo las que las transferencias de datos pueden llevarse a cabo de manera excepcional: 

  • El sujeto ha consentido de manera explícita a la realización de la transferencia. 
  • La transferencia es necesaria por razones importantes de interés público. 

Cabe señalar, sin embargo, que transferencias repetidas de datos a terceros países como parte de proyectos de investigación de larga duración tendrán que encuadrarse dentro del marco de garantías adecuadas previsto en el artículo 46 RGPD.

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

Y si quieres estar actualizado de las últimas novedades sobre el COVID-19 e IA, no te olvides de suscribirte a nuestro Canal de YouTube

Leave a Comment

(0 Comentarios)

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *