Resumen de La gestión de datos personales y el delegado de protección de datos en la sanidad pública: Con atención especial a la Comunidad de Madrid
La Tesis parte de la hipótesis de la existencia de disfuncionalidades en la aplicación del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, RGPD) en el ámbito de la sanidad. Dichas disfuncionalidades se detectan tanto en lo que corresponde a la aplicación del Reglamento General de Protección de Datos en el ámbito procedimental, con la aplicación de los principios, derechos, y la propia base jurídica que legitima la gestión de los datos personales, entre otros, como la aplicación de dicho Reglamento (UE) 2016/679 en el ámbito organizativo, sobre todo en lo referido a la implantación de la figura del delegado de protección de datos, como garantía de aplicación del propio Reglamento General de Protección de Datos. Dichas disfuncionalidades se han puesto de relieve durante el proceso de gestión de la alarma sanitaria causada por la pandemia COVID-19 y su conjunción con el respeto al derecho fundamental a la protección de datos de carácter personal. Durante el trascurso de la Tesis se analizan especialmente dichas disfuncionalidades en el ámbito de la sanidad pública Comunidad de Madrid, siendo dicho análisis extensible al sector sanitario público español y se aportan soluciones jurídicas para que se haga efectiva la aplicación del RGPD.
La tesis se inicia con el estudio del dato en profundidad, lo cual obliga a entrar en la definición de concepto de dato personal o datos sobre las personas, en definitiva, el elemento fáctico del derecho fundamental que se protege. En este sentido, dato es aquella realidad o hecho captado por el ser humano que una vez se junta con otra realidad es capaz de aportar información o transmitir información sobre esta realidad. Dato e información no son sinónimos.
El dato personal o de una persona es el que puede aportar información relativa a un individuo identificado o identificable, el resto es dato anónimo. Desde la STS 6188/1996 se ha dejado de utilizar la expresión “datos de carácter personal” en su lugar se utiliza la expresión “dato personal”. El Reglamento (UE) 2016/679 define los datos personales como toda información sobre una persona física identificada o identificable («el interesado») y que, en opinión de la Tesis, cae en el error de confundir dato e información. No es inhabitual que se confunda dato con dato informático, por lo cual la Tesis ha profundizado en el tipo de dato sujeto al RGPD deduciendo que el Reglamento (UE) 2016/679 hace referencia a todo tipo de soporte que pueda contener un dato y a todo dipo de dato que permita la identificación de una persona.
El RGPD y la Ley Orgánica 3/2018 hacen mención a muchos tipos y subtipos de datos, como mínimo se han detectado en el anexo C un listado de treinta expresiones que califican al dato y en consecuencia lo diferencian. Sin embargo, el RDGP define básicamente dos grandes tipos de datos, los datos afectados por el RDPG y los datos que están fuera del ámbito del RGPD. Dentro del grupo de datos que están bajo el paraguas del RGPD están, por una parte, aquellos datos calificados como categorías especiales, cuyo tratamiento está prohibido salvo excepciones, y, por otra parte, el resto de datos personales no incluidos en estas categorías, cuyo tratamiento requiere cumplir con las bases jurídicas de licitud. Las categorías especiales de datos son diez, esto es, los de origen étnico o racial, opiniones políticas, convicciones religiosas, convicciones filosóficas y de afiliación sindical, así como, datos genéticos, datos biométricos, datos de la salud, datos relativos a la vida sexual o las orientaciones sexuales de una persona física. La Tesis se detiene en el dato de origen étnico o racial, pues si bien esta incluido como categoría especial el considerando cincuenta y uno manifiesta que la Unión Europea no acepta la existencia de raza humanas separadas.
La protección de los datos personales corresponde a un derecho fundamental, tanto en España como derecho fundamental autónomo independiente al derecho a la intimidad, en base al artículo 18 de la Constitución y a la STC 292/2000, como en el régimen jurídico de la Unión Europea en base al artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.
Al referirnos a un derecho fundamental y al constatar durante el proceso de investigación de la Tesis que algunos temas plantean situaciones en las cuales los derechos fundamentales entran en conflicto entre sí o con bienes jurídicos protegidos, ha conducido que la Tesis haya estudiado la doctrina constitucional y del Tribunal Constitucional en relación a esta materia. En el año 2020 la OMS declaró la alarma sanitaria de la pandemia COVID-19, esta situación provocó que el Gobierno activara el protocolo para la instauración del Estado de Alarma (Ley Orgánica 4/1981, de 1 de junio), mediante el Real Decreto 463/2020, de 14 de marzo. La gestión de la pandemia ha conllevado la puesta en marcha de determinadas medidas que implican tanto la limitación del contacto entre personas como en la utilización de sus datos personales y datos personales relativos a la salud para el control de los contagios y de la transmisión de la infección, entrando en conflicto varios derechos fundamentales, entre ellos el derecho de la protección de datos y el de libre movilidad y circulación con el bien jurídico de la protección de la salud, manifestando, a su vez, una clara carencia de base regulatoria en España.
Una vez abordado el concepto jurídico de dato y de derecho fundamental, se entra de lleno en las cuestiones esenciales de la regulación del derecho fundamental de la protección de datos personales que son sin duda los principios de la protección y del tratamiento de datos de la normativa y los derechos que hacen posible la efectividad de la aplicación del derecho a la protección de datos personales.
Toda la actividad de tratamiento de datos consiste en una sucesión de actuaciones regladas que deben desempeñar los responsables y/o los encargados del tratamiento de tales datos, es decir, en un procedimiento. Con ello, se intenta asegurar que la toma de decisiones sobre el tratamiento se ajustará a la Ley y, además, que se encaminará hacia una situación de equilibrio en los intereses del responsable y/o encargado del tratamiento y el titular de los datos, lo que, nuevamente, nos conduce a una idea de justicia material. De esta forma, bien podemos afirmar que la adhesión a esa sucesión de actuaciones determinará que el tratamiento sea legal y, también, que sea justo.
Si queremos trazar un esquema del iter procedimental del tratamiento de datos, sería el siguiente: en primer lugar, se deben determinar los medios del tratamiento y se debe realizar una evaluación previa de riesgos; en segundo lugar, hay que concretar el fundamento de licitud del tratamiento, es decir determinar si existe base jurídica para dicho tratamiento, bajo alguno de los supuestos de los artículos 6 o 9 del Reglamento (UE) 2016/679; seguidamente y en tercer lugar, hay que recoger los datos con unos fines determinados, explícitos y legítimos; en cuarto lugar, se deben registrar y almacenar los datos, para lo cual se crearán los correspondientes ficheros y se llevará a cabo un registro de actividad; después, en quinto lugar, se llevará a cabo el tratamiento en sí de los datos, entendiendo por tratamiento cualquier operación realizada sobre los datos o conjunto de datos, en aplicación de los de los principios y derechos, y, en última instancia, se deberá proceder a la destrucción de los datos, ya sea mediante borrado, ya mediante bloqueo.
Esta revisión de las cuestiones procedimentales esenciales se complementa necesariamente con un estudio de las instituciones de control, regulación, tratamiento, cooperación y autorregulación del reglamento general de protección de datos. En esta descripción incluyen todos los institutos jurídicos de control y autoridad, Autoridad de control, que regulan la aplicación del Reglamento, trayendo a colación dos herramientas importantes del órgano de control, estas son, el acto de ejecución y la decisión de adecuación. Paso seguido se aborda la descripción y funciones de los tres elementos sobre los que se sustenta el principio de proactividad y el principio de autorregulación, estos son el responsable del tratamiento, el encargado del tratamiento y el delegado de protección de datos. De entre esas funciones destaca el registro de actividades, la protección del diseño y la notificación de la violación de la seguridad de los datos, así como los proyectos de Evaluación del Impacto en la Protección de Datos personales de cualquier tratamiento y en especial el de las categorías especiales y, en base a la Tesis, la necesidad de incluir los, conocidos, Mapas de Riesgo.
En este orden de cosas, la Tesis centra la cuestión y describe los aspectos nucleares del Reglamento, estos son, el objeto (la protección del dato personal), la organización (la estructura institucional), el funcionamiento (garantías y control) y el régimen jurídico (derechos y reclamaciones), con apoyo de fundamentación jurídica y doctrinal sobre la naturaleza de la norma que la Tesis estudia. Seguidamente a este enfoque inicial, se entra específicamente sobre la consideración del dato relativo a la salud, especialmente protegido, tanto en su interpretación estricta como en la versión amplia y extensa a la que hace referencia el Reglamento.
El análisis del “dato” se realiza con base en dos pilares. El primero, los tratamientos a los que se puede someter al dato personal y los elementos que los componen, es decir, elementos básicos, complementarios y adicionales, tanto cuando se refiere al dato personal como al dato personal en el sector sanitario. El segundo, en lo referente a la salud se descrinen sus tres fuentes fundamentales, estas son, la historia clínica, la receta y la tarjeta sanitaria. La Tesis resalta la importancia del control de estos datos pues están sometidos a una cierta vulnerabilidad a través del dato denominado “código de identificación personal” que conecta la historia clínica con la tarjeta sanitaria y con la recta. Es decir, el tratamiento del dato relativo a la salud se realiza conjugando dos cuestiones tratadas en la Tesis, por una parte, la clasificación de los tres elementos del tratamiento de datos y, por otra parte, los tres soportes fundamentales de los datos personales en el sector sanitario, que en la Tesis también se entienden como sus fuentes datos.
El estudio del dato personal en el sector sanitario también se ha realizado en su vertiente organizativa, trasladando a la perspectiva sanitaria tanto la Autoridad de control como el responsable y encargado del tratamiento y finalmente el delegado de protección de datos utilizando como ejemplo, en este último caso, la aplicación del Reglamento General de Datos que ha llevado a cabo la Consejería de Sanidad de la Comunidad de Madrid y concretamente la opción de designación de un solo y único delegado de protección de datos para todos los centros sanitarios públicos. La figura del delegado de protección de datos y, más concretamente en el sector de la sanidad pública, se aborda integralmente y de forma completa, una vez vistos y analizados todos los aspectos que pueden influir en él. Se detalla la designación y los casos obligados de designación expuestos tanto en el Reglamento (UE) 2016/679 como en la Ley Orgánica 3/2018. La Ley Orgánica 3/2018 en su artículo 34.1.L), determina el deber de designación de delegado de protección de datos en “Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes”. Obligación que además queda reflejada el régimen de disciplinario del RGPD y en especial en el artículo 73 de la Ley Orgánica 3/2018 cuando califica de infracción grave “el incumplimiento de designación obligada del delegado de protección de datos”.
La figura del delegado de protección de datos, en primer lugar, debe abordarse desde su nexo o conexión con el Reglamento, es decir, desde la figura del responsable del tratamiento de datos, pues una vez identificado este o, en su caso, el encargado contratado por el responsable, y en base a la naturaleza de la organización y a la de los datos necesarios, se conoce en donde existe el deber de asignar y designar un delegado de protección de datos. En segundo lugar, debe abordarse desde su relación con el objeto del Reglamento General de Protección de Datos y de la Ley Orgánica 3/2018, es decir, la protección de los datos personales y en este caso, la protección de los datos personales en el sector sanitario que incluye la protección de los principios que proclama el RGPD y los derechos a los que puede acogerse la persona para hacer efectivo su derecho fundamental de protección de su intimidad y privacidad a través del control de sus datos.
El estudio de la figura del delegado de protección de datos ha llevado a la Tesis a analizar la aplicación del RGPD en lo que se refiere al Delegado de Protección de Datos (también, DPO) en la sanidad pública de la Comunidad de Madrid. La Consejería de Sanidad opto en el año 2018 por la creación de un Comité Delegado de Protección de Datos que sustituye al DPO que debe tener cada centro sanitario en base a la Ley Orgánica 3/2018. La Tesis se detiene en la resolución PS/00417/2019 de 9 de junio de 2020 de la AEPD mediante la cual sanciona a la empresa GLOVOAPP23, S.L. por infracción grave por no disponer de delegado de protección de datos a pesar de que la empresa alega disponer de un Comité de Protección de datos.
La Tesis no podría ni debería cerrarse sin una propuesta constructiva que tuviera en cuenta la complejidad de la aplicación del RGPD y la complejidad intrínseca del sector sanitario. Así pues, cabe decir que del conjunto del análisis de la Tesis se deduce un modelo pragmático al que puede acogerse cualquier administración nacional y/o regional para una correcta aplicación de la figura del delegado de protección sanitaria en el sector público de la sanidad. Este modelo de aplicación alude a los principios básicos de la organización, que son: análisis-detección, priorización, diseño, control y participación de las partes implicadas. Finalmente, se hace referencia a uno de los putos importantes del principio de proactividad y autocontrol, la creación de códigos de conducta. Se propone el diseño de un manual de aplicación del RGPD en el sector de aplicación como el método consensuado y base estratégica, como precursor de la creación del código de conducta del sector de la salud.
Finalmente, unos comentarios en relación a unos aspectos criticados por la Tesis. Durante la elaboración de la Tesis se realizan hallazgos y conclusiones parciales sobre cuestiones concretas que afectan a algunos de los temas tratados. En este orden de cosas, al estudiar el dato destaca una “nota crítica” (página 33) en relación a que RGPD confunde el concepto de dato e información, no siendo estos sinónimos.
Se discute en una “nota crítica” (página 239) que el RGPD mencione que la adhesión a un Código de Conducta es sinónimo de demostrar la existencia de garantías suficientes, cuando esta adhesión lo único que demuestra es la intención de quien se adhiere, pero no su cumplimiento.
En el momento de que a Tesis entra en la cuestión de la respuesta del sistema sanitario a la demanda asistencial creada por la pandemia, se ha puesto de manifiesto que no se dispone (a 30/04/2021) todavía de la Red de Vigilancia de Salud Pública que obliga el artículo 13 de la Ley 33/2011 y se sigue funcionando con la Red nacional de vigilancia epidemiológica creada en 1995 (página 167). Además, en la página 167 a través de una “nota crítica” se deduce que en España una vez pasados los primeros meses en la gestión de la pandemia, se tenía que haber aprobado una Ley Orgánica que regulará la adopción de las medidas necesarias referidas al tratamiento de datos personales que adoptará el Gobierno y la Administración, medidas que tendrán que respetar las garantías mínimas contenidas en el RGPD.
La Tesis en una “nota crítica” (página 318) pone de manifiesto su desacuerdo en que la AEPD entiende que el profesional de la salud no estará obligado el solicitar consentimiento a los pacientes para la recogida y utilización de datos personales y de salud.
En cuanto a innovaciones a destacar. La Tesis estudia el tratamiento de datos reflejados en la normativa referida entendiendo que incluyen muchas acciones, operación o acciones y que una vez ordenadas surge una nueva clasificación organizada en base a sus componentes, estos son, los elementos básicos del tratamiento, los complementarios y los adicionales. Esta clasificación se aplica al dato relativo a la salud en cada una de sus tres principales fuentes, estas son, la historia clínica, la receta y la tarjeta sanitaria. Por otra parte, se estudia la licitud del tratamiento de datos tanto en su vertiente general como en la sanitaria y que, arrancando de la teoría general sobre la legitimación, que engloba a la ordinaria y el extraordinario, se describen los tipos de legitimación que aparecen el RGPD, estas son, la legitimación subjetiva y la legitimación objetiva. Al tratar el secreto profesional como una de las bases jurídicas para licitud del tercero en el tratamiento de datos en el RGPD se deduce que actúa como una legitimación subjetiva a terceros y se presenta una nota crítica sobre esta cuestión (página 159).
