fbpx

La Organización mundial de la salud propone que esta excepción a la transacción internacional de datos médicos sin autorización del interesado se haga extensiva a todo dato biomédico y en el horizonte sugiere que esta excepcionalidad respecto a los datos relacionados con la salud se convierta en permanente.

¿Hacia un libre tránsito internacional de los datos biomédicos de los ciudadanos de la UE?

Tribuna Vigo (Pontevedra)
RGPD

Este 21 de Abril de 2020, el comité europeo de protección de datos publicó las "Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote del Covid-19".   En estas directrices destaca el punto 69.7 donde se indica que en ausencia de garantías del cumplimiento del art 45 .3 del reglamento europeo o de garantías adecuadas según estipula el artículo 46, las autoridades públicas y entidades privadas podrán basarse en las excepciones previstas en el artículo 49 del Reglamento.

Esta directriz finaliza con esta frase “sin embargo estas excepciones tienes carácter excepcional, únicamente”. Esto es literal.

Principios del RGPD

El reglamento europeo de protección de datos, en adelante RGPD, tiene como pilares fundamentales seis principios fundamentales, los cuales serían:

  1. “licitud transparencia y lealtad”, que consiste en que los datos deben ser tratados de una manera lícita ,leal y transparente para el interesado.
  2. “ limitación de la finalidad que implica, por una parte, la obligación de que los datos sean tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otra, que se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.
  3. “minimización de datos”, es decir, que los datos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  4. “principio de exactitud”, deben ser exactos y, si fuera preciso, actualizados, debiendo adoptarse todas las medidas razonables para que se rectifiquen o supriman los datos inexactos en relación a los fines que se persiguen.
  5. “limitación del plazo de conservación está relacionado con el de minimización. Igual que solo pueden tratarse los datos adecuados, pertinentes y necesarios para una finalidad, la conservación de esos datos debe limitarse en el tiempo al logro de los fines que el tratamiento persigue. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados o, al menos, desprovistos de todo elemento que permita identificar a los interesados.
  6. “integridad y confidencialidad”. Básicamente, impone a quienes tratan datos la obligación de actuar proactivamente con el objetivo de proteger los datos que manejan frente a cualquier riesgo que amenace su seguridad.

A estos principios tendríamos que añadir un elemento esencial para entender lo ambicioso del RGPD que es su universalidad, por tanto todo dato de carácter personal de un ciudadano de la UE tan solo puede ser cedido a un país fuera de la misma, siempre y cuando  se cumplan los artículo 45 o 46 del RGPD.

Por tanto cuando un tercer país o bien,  organización internacional cuente con la aprobación del Comité Europeo de protección de datos  este destino se considera que garantiza los mismos principios que el RGPD y por tanto es seguro (art 45)

En el caso de que no sea así, se podrán realizar transferencias de datos cuando existan instrumentos jurídicos, códigos de conducta acuerdos administrativos u otro instrumento de los que enumera el artículo 46, este es el caso de las transacciones de datos a EEUU ahora que el escudo de privacidad ha sido anulado por el Tribunal superior de Justicia de la UE este

Pasado agosto de 2020

En el caso de que no se den ninguno de los dos supuestos anteriores tendríamos que buscar el artículo 49 del RGPD que se titula “excepciones para situaciones especificas”

Estas excepciones están claramente delimitadas a los siguientes supuestos.

  1. El interesado haya dado de forma explícita su consentimiento a la transferencia propuesta tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación de garantías adecuadas.
  2. La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  3. La transferencia sea necesaria para la celebración o ejecución de un contrato en interés del interesado entre el responsable del tratamiento y otra persona física o jurídica.
  4. La transferencia sea necesaria por razones importantes de interés público
  5. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
  6. La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
  7. La transferencia se realice desde un registro público que con arreglo al derecho de la unión o de los estados miembros tenga por objeto facilitar información al público y este abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legitimo, pero solo en la medida en que se cumplan ,en cada caso particular, las condiciones que establece el derecho de la unión o de los estados miembros para consulta.

Estas siete excepciones estaban pensadas para supuestos individuales y de esta forma poder ser aplicadas de forma individual a supuestos específicos con un alto grado de limitación en sus interpretaciones como es el caso de que el “interés público” del punto cuarto tiene que estar reconocido por el derecho de la Unión Europea.

Sin embargo, debido a la pandemia del COVID-19 , y a los grandes esfuerzos que se están realizando a nivel internacional para atajar los efectos del SARS-CoV-2, no dejan de surgir cuestiones jurídicas en tanto el empleo de los datos sanitarios con arreglo al artículo 4 , del apartado 15 del RGPD, donde se indica que los datos sanitarios son datos protegidos por el RGPD de forma expresa y por tanto, es necesaria la aceptación expresa para su cesión y uso.

Es por ello que este 21 de Abril de 2020 , el Comité Europeo de Protección de datos publicó las "Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote del Covid-19".  En estas directrices destaca el punto 69.7 donde se indica que en ausencia de garantías del cumplimiento del art 45 .3 del reglamento europeo o de garantías adecuadas según estipula el artículo 46, las autoridades públicas y entidades privadas podrán basarse en las excepciones previstas en el artículo 49 del Reglamento.

Esta directriz finaliza con esta frase: “sin embargo estas excepciones tienen carácter excepcional, únicamente”. Esto es literal.

Sin embargo la Organización mundial de la salud propone que esta excepción a la transacción internacional de datos médicos sin autorización del interesado se haga extensiva a todo dato biomédico y en el horizonte sugiere que esta excepcionalidad respecto a los datos relacionados con la salud se convierta en permanente.

En otros países de nuestro entorno como los EEUU, el concepto de interés en la defensa nacional, frente a cualquier tipo de amenaza y el principio proactivo de actuación, permiten que las libertades y derechos de los ciudadanos puedan ser anulados en aras del bien común.

Requerida la autoridad española de protección de datos sobre esta cuestión, contesta ciñéndose a la frase final de la directriz “estas excepciones tienen carácter de excepcional, únicamente”.