La nueva normativa europea de protección de datos considera la información sanitaria de las personas como especialmente protegida. De este modo, los usuarios tienen nuevos derechos cuando acuden a centros médicos u hospitales.
El nuevo Reglamento General de Protección de Datos (GDPR) ha llegado a las vidas de los europeos con el fin de ofrecer a los usuarios mayor seguridad y control sobre sus datos personales. Además, las autoridades han tenido en cuenta medidas adicionales para datos especialmente sensibles, como lo son los del sector sanitario, pues si se divulgasen de forma inadecuada esto podría perjudicar en la vida personal y profesional de los pacientes.
Por ello, los datos personales de salud tienen unos matices que se añaden a los ya definidos para los datos de carácter personal. Así, si un dato personal es cualquier información que identifique a una persona física directa o indirectamente (nombre, foto, correo electrónico, datos bancarios, redes sociales, direcciones IP…), un dato de salud es aquel que revela información sobre el estado de salud física y mental de un individuo, incluyendo la prestación de servicios de atención sanitaria.
Esto pone en manos de los pacientes una serie de derechos adicionales, como el de recibir más información sobre el tratamiento de sus datos cuando asisten a centros médicos u hospitales. Así, como usuarios de un servicio sanitario, deberemos poder conocer los datos de contacto del Delegado de Protección de Datos, la base jurídica o legitimación para el tratamiento de nuestra información, el plazo o criterios de conservación de la misma, la existencia de decisiones automatizadas o elaboración de perfiles, la previsión de transferencias de los datos a terceros países y el derecho a presentar una reclamación ante la Autoridad de Control, que en España es la Agencia Española de Protección de Datos (AEPD).
Por otra parte, los pacientes también tienen derecho a disponer de toda la información obtenida en cada proceso asistencial (derecho a la portabilidad), ya sea por escrito o mediante un soporte técnico adecuado. Con lo cual los servicios de salud deberán almacenar estos datos de forma adecuada y adaptar sus plataformas a los requerimientos de los usuarios.
Además del derecho a la portabilidad, los usuarios de sanidad también podrán ejercer su derecho a la supresión, lo que implica que pueden solicitar el borrado de su información siempre y cuando ya no sean necesarios conforme a su finalidad o se retire el consentimiento para tratarlos. Además de otros motivos como que los datos se estén tratando de forma ilícita.
Los pacientes contarán también con otros derechos relacionados con el consentimiento explícito, una de las claves de esta nueva normativa.
Detalles del consentimiento de datos de salud
Con GDPR la forma de dar el consentimiento al tratamiento de los datos ha cambiado. El silencio, la inacción y las casillas premarcadas ya no son fórmulas válidas, ya que solo se considerará consentimiento una clara acción afirmativa. Por otra parte, las frases a las que se suele recurrir en los formularios como la clásica “He leído y acepto las condiciones” tampoco serán válidas, pues desde la aplicación de GDPR los usuarios tienen derecho a consentir individualmente cada tipo de tratamiento. Es lo que se conoce como “consentimiento granular” y que también está presente en los derechos de los pacientes.
Además, el consentimiento es todavía más estricto cuando se trata de menores, pues GDPR recoge que “los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño”.
Por otra parte, los centros sanitarios deberán llevar registros del consentimiento de los pacientes, con el fin de que puedan probar ante las autoridades cómo se dio el consentimiento, cuándo y con qué palabras. Además, deberán facilitar la tarea de retirar el consentimiento, ya que éste también es un derecho de los interesados.
El caso especial de la investigación médica
A pesar de la importancia del consentimiento explícito en GDPR, la Agencia Española de Protección de Datos (AEPD) ha publicado un informe en que destaca la labor que se realiza en la investigación biomédica, asegurando que la interpretación del consentimiento será flexible para permitir la promoción y el desarrollo en este ámbito.
Así, en el sector sanitario puede omitirse el consentimiento al tratamiento de los datos con fines de investigación, siempre y cuando se lleven a cabo unas medidas de protección de cara a los pacientes, como el anonimato de los datos o el uso de pseudónimos. De esta forma, se seguirá garantizando la protección de los datos personales de los interesados sin obstaculizar la importante labor de investigación sanitaria.
