Guía Práctica sobre Protección de datos: ámbito sanitario

Precio especial 25,00 € Precio habitual 26,31 €
Disponible (en stock)
ISBN
9788413097626
Nombre del producto:
Guía Práctica sobre Protección de datos: ámbito sanitario
Fecha de edición:
27 ago. 2019
Número de Edición:
1
Autor:
Dma Compliance San Sebastián
Idioma:
Español
Formato:
Libro+e-Book
Páginas:
244
Lugar de edición:
PAMPLONA
Colección:
GUIA PRACTICA ARANZADI
Encuadernación:
Rústica

El objetivo de la Guía es orientar a los operadores jurídicos, organizaciones y profesionales del ámbito sanitario, acerca de cómo deben afrontar las novedades introducidas por el RGPD y la LOPDGDD en lo que se refiere al tratamiento de datos de carácter personal desde un punto de vista práctico, bajo el formato de preguntas y respuestas. 

  • Preguntas y Respuestas generales y del área.
  • Formularios generales y del área.

Destinado a Abogados, organizaciones y profesionales del ámbito sanitario (Públicos y privados, mutuas, y hospitales.

FORMATO 

Esta obra tiene Formato eBook: contarás con las ventajas del formato electrónico.

  • Podrás interactuar con el contenido: copiar, pegar, subrayar e introducir anotaciones.
  • Tus obras estarán integradas con nuestras soluciones digitales: podrás realizar saltos directos entre ellas.
  • Tendrás actualizada la información cuando se trate de códigos.
  • Contarás con el acceso a la información desde cualquier lugar. 

    PRÓLOGO

    La presente guía práctica de Protección de Datos en la Sanidad tiene como objetivo orientar a los operadores jurídicos, organizaciones y profesionales del ámbito sanitario, acerca de cómo deben afrontar las novedades introducidas por el Reglamento 2016/679/UE, General de Protección de Datos (en adelante RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (en adelante LOPDGDD) en lo que se refiere al tratamiento de datos de carácter personal desde un punto de vista práctico, bajo el formato de preguntas y respuestas agrupadas en cuatro categorías:

    I) Concepto y Principios generales.

    II) Obligaciones del Responsable y del Encargado del Tratamiento.

    III) Derechos de los interesados.

    IV) Comunicación de datos a terceros.

    Un problema con el que se encuentran las organizaciones del sector sanitario a la hora de afrontar el cumplimiento de la nueva normativa de protección de datos es conocer y comprender el alcance de las concretas obligaciones que les impone tanto el RGPD como la LOPDGDD. El cumplimiento se basa ahora en la “acconuntability” anglosajona, o como se ha traducido en España en el principio de Responsabilidad Proactiva, que deja la pelota en el tejado de las organizaciones a la hora de cumplir con la normativa, y demostrar dicho cumplimiento.

    Esta técnica de “soft law”, a la que no estamos acostumbrados en nuestro Derecho Patrio, donde venimos de un Reglamento que desarrollaba la LOPD1) cuyo título VIII nos listaba las medidas de seguridad que debíamos implementar en función de unos niveles de seguridad (básico, medio y alto), provoca que las organizaciones estén perdidas a la hora de decidir qué concretas medidas de seguridad jurídicas, técnicas y organizativas deben implantar para garantizar que cumplen con la normativa, surgen preguntas tales como ¿debo designar un Delegado de Protección de Datos? ¿debo tener un registro de actividades de tratamiento? ¿debo hacer una Evaluación de Impacto relativa a la protección de datos? ¿y un análisis de riesgos? ¿qué hago con el documento de seguridad que venía manteniendo con la antigua LOPD? ¿cuándo debo notificar a la Agencia Española de Protección de Datos una brecha de seguridad?, éstas y otras preguntas trataremos de contestar en la presente Guía Práctica de Protección de Datos en la sanidad.

    David Muñiz Aguirreurreta 

  • Socio Director de DMA COMPLIANCE & DATA CONSULTING, S.L.

  • Prólogo
  • I. Parte General
    • 1. Preguntas y respuestas
      • 1.1 Derecho a la protección de datos y ámbito de aplicación. Derecho a la protección de datos y ámbito de aplicación
      • 1.2 Datos personales. Datos personales
      • 1.3 Principios relativos al tratamiento. Principios relativos al tratamiento
      • 1.4 Bases de legitimación. Bases de legitimación
      • 1.5 Derechos de los interesados. Derechos de los interesados
      • 1.6 Sujetos intervinientes en la normativa de protección de datos. Sujetos intervinientes en la normativa de protección de datos
      • 1.7 Responsable del tratamiento. Responsable del tratamiento
      • 1.8 Encargado del tratamiento. Encargado del tratamiento
      • 1.9 Delegado de Protección de Datos (DPD). Delegado de Protección de Datos (DPD)
      • 1.10 Registro de actividades de tratamiento. Registro de actividades de tratamiento
      • 1.11 Análisis de riesgo y medidas de seguridad. Análisis de riego y medidas de seguridad
      • 1.12 Evaluación de Impacto relativa a la Protección de datos (EIPD). Evaluación de Impacto relativa a la Protección de Datos (EIPD)
      • 1.13 Violación de la seguridad de los datos personales. Violación de la seguridad de los datos personales
        • 2. Formularios
          • Formulario 1. Descripción de tratamientos. Ciclo de vida de los datos
          • Formulario 2. Modelo de la Agencia de Protección de Datos de información por capas o niveles
          • Formulario 3. Procedimiento de gestión de ejercicios de derechos en protección de datos
          • Formulario 4. Modelo de contestación ante un ejercicio del derecho de acceso a datos personales
          • Formulario 5. Modelo de contestación ante un ejercicio de rectificación por parte del responsable del tratamiento.
          • Formulario 6. Modelo de contestación ante un ejercicio de supresión por parte del responsable del tratamiento.
          • Formulario 7. Modelo de contestación ante un ejercicio de oposición por parte del responsable del tratamiento.
          • Formulario 8. Contrato de tratamiento de datos personales
          • Formulario 9. Registro de actividades de tratamiento
          • Formulario 10. Protocolo de seguridad adaptado al Reglamento Europeo de Protección de Datos
          • Formulario 11. Análisis de verificación de la necesidad de la realización de una evaluación de impacto de protección de datos
            • II. La protección de datos en el ámbito sanitario
              • 1. La protección de datos en el ámbito sanitario (EQUIPO DE REDACCIÓN ARANZADI)
              • 2. Preguntas y respuestas
              • 3. Formularios
                • Formulario 1
                • Formulario 2
                • Formulario 3
                • Formulario 4. Modelo acuerdo de corresponsabilidad 

                  II. La protección de datos en el ámbito sanitario

                  1. La protección de datos en el ámbito sanitario

                  EQUIPO DE REDACCIÓN ARANZADI

                  El tratamiento de datos en el ámbito sanitario se ha visto afectado, como no podía ser de otro modo, por las novedades introducidas por el Reglamento 2016/679/UE, General de Protección de Datos (en adelante RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (en adelante LOPDGDD).

                  En el ámbito de la asistencia sanitaria, como mínimo, son dos los derechos fundamentales afectados, el derecho a la intimidad personal recogido en el art. 18.11) de la Constitución Española (en adelante CE), que protege frente a cualquier invasión que pueda realizarse en el ámbito de la vida personal y familiar (vg. que se pueda disponer de habitación individual o que no se haga pública el ingreso en un centro sanitario), y el derecho fundamental a la protección de datos derivado del art. 18.4 CE que persigue garantizar a los interesados un poder de control sobre sus datos personales, el denominado derecho a la autodeterminación informativa (vg. que no se informe a un tercero del número de habitación de un paciente ingresado, o no se permita el acceso a un familiar a su historia clínica).

                  La normativa de protección de datos es una normativa transversal que afecta a casi todos, por no decir todos, los sectores de la sociedad. Partiendo del concepto de dato de carácter personal como información que permite identificar o hacer identificable a una persona física 2), se hace difícil imaginar cómo una organización pública o privada del sector sanitario puede alcanzar sus fines sin tratar de alguna manera datos de personas físicas (clientes, pacientes, proveedores, empleados, candidatos a un puesto de trabajo, familiares de pacientes, etc..).

                  Un primer problema nos lo encontramos cuando nos aproximamos al concepto de datos relativos a la salud. No existiendo dudas sobre el carácter personal de estos datos, la legislación nacional no contenía una definición de dicho concepto (y no será porque la normativa de protección de datos no tenga definiciones en su articulado). Esta carencia se corrigió con el Reglamento que desarrollaba la LOPD3) que contenía una definición de los datos de carácter personal relacionados con la salud en su art. 5.1. g) 4), definición que también se ha recogido en el RGPD, en cuyos considerandos 34 y 35 se vienen a definir5) con ejemplos clarificadores.

                  Tener claro cuando estamos tratando un dato relativo a la salud de una persona física o un dato genético es muy importante, pues la normativa de protección de datos otorga una especial protección a este tipo de datos, lo que debe ser tenido en cuenta por las organizaciones que realicen un tratamiento de los mismos, tanto a efectos de obligaciones que deben asumir, como de eventuales sanciones derivadas de la comisión de infracciones por un tratamiento indebido de este tipo de datos que ahora pueden ser sancionadas con multas administrativas de hasta 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Además, junto con la posibilidad de multas administrativas, el art. 82 RGPD6) deja la puerta abierta a que los interesados puedan reclamar una indemnización derivada de los daños y perjuicios materiales o inmateriales como consecuencia de una infracción del Reglamento, lo que conlleva que una organización pueda enfrentarse no solo a una multa administrativa sino también a una reclamación judicial de daños y perjuicios.

                  Una vez tengamos claro si los datos que manejamos son datos relativos a la salud, un segundo concepto clave a tener en cuenta es de la historia clínica, definida en el art. 3 de la Ley Básica 41/2002, Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de información Clínica (en adelante LAP) como “el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial.”

                  En esta historia clínica es donde se van a recoger y tratar la mayoría de datos de salud de los interesados, y como documento maestro que es en este ámbito, deberemos prestarle especial atención en lo que se refiere a su acceso, confección, custodia, conservación y eventual cesión a terceros, obligando a que las organizaciones deban adoptar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para los derechos y libertados del interesado conforme exige el art. 32 RGPD.7)

                  Y aquí nos encontramos con un nuevo reto, la transversalidad de la normativa de protección de datos, provoca en ocasiones problemas interpretativos para el operador jurídico con la normativa especial de un determinado sector. Esta situación nos la encontramos en el sector de la sanidad, donde puede decirse que la norma de referencia en España, que completa las previsiones de la Ley 14/1986, General de Sanidad (en adelante LGS), es la LAP, sin perjuicio de que en cada Comunidad Autónoma con competencias en materia sanitaria se pueda completar dicho texto legal; la LAP, entre otras cosas, garantiza la confidencialidad de la información con los servicios sanitarios que se prestan, pero lo hace, como no puede ser de otro modo, desde la óptica de la normativa de protección de datos que estaba vigente en su momento de promulgación, esto es, la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (en adelante LOPD), Ley Orgánica que contiene unos principios inspirados en la Directiva 95/46, distintos y superados por el vigente RGPD, lo que va a provocar en el operador jurídico tener que hacer una labor interpretativa de aquella normativa anterior al RGPD, en tanto en cuanto, no debemos olvidarlo, estamos ante un Reglamento Europeo, dotado de eficacia directa y primacía frente a toda norma nacional que contradiga su contenido, conforme a la jurisprudencia emanada del Tribunal de Justicia de la Unión Europea8) (en adelante TJUE) que establece que en caso de contradicción entre la norma nacional y la comunitaria, la primera debe interpretarse de conformidad con la comunitaria, si ello fuera posible y, en caso contrario, dejar inaplicada la normativa nacional en favor de la aplicación de la comunitaria, todo ello siempre que la contradicción sea evidente, ya que si no lo es, la cuestión debe someterse, mediante cuestión prejudicial, al TJUE.

                  En el momento de promulgación de la LAP, la base jurídica estrella que legitimaba el tratamiento de datos de carácter personal era el consentimiento9), si se me permite la expresión, era el rey de la fiesta. Por ello, la LAP en su artículo 2.2 dedicado a los principios básicos señala:

                  2. Toda actuación en el ámbito de la sanidad requiere, con carácter general, el previo consentimiento de los pacientes o usuarios. El consentimiento, que debe obtenerse después de que el paciente reciba una información adecuada, se hará por escrito en los supuestos previstos en la Ley.

                  El RGPD establece en su art. 610) las condiciones para que un tratamiento de datos sea lícito, estableciendo seis bases jurídicas en igualdad de condiciones, sin que sea preferente una frente a las demás, como ya hemos visto que sí hacía el ahora derogado art. 6 LOPD.

                  Este nuevo marco normativo instaurado por el RGPD va a obligar a las organizaciones del sector sanitario a analizar la base jurídica que legitima su tratamiento, dado que ahora se ha abierto el abanico de posibilidades más allá del consentimiento del paciente-usuario.

                  En cualquier caso, debe tenerse presente que los datos relativos a la salud, así como el tratamiento de datos genéticos o datos biométricos son considerados como categorías especiales de datos personales al que el RGPD dispensa de una especial protección, hasta el punto de prohibir su tratamiento como regla general en su art. 9.111).

                  Para poder tratar este tipo de categorías especiales de datos debe concurrir alguna de las circunstancias previstas en el ordinal segundo el ciado art. 9 RGPD, siendo aplicables en el ámbito sanitario las siguientes:

                  a) El consentimiento explícito del interesado.

                  b) El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice una norma legal estatal o comunitaria, o un convenio colectivo.

                  c) El tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

                  d) El tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos.

                  e) El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.

                  f) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base de una norma legal estatal o comunitaria o en virtud de un contrato con un profesional sanitario, siempre y cuando dicho tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

                  g) El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base de una norma legal estatal o comunitaria, derechos y libertades del interesado, en particular el secreto profesional,

                  h) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

                  Por su parte la LOPDGDD, recogiendo la habilitación contenida en el art. 9.4 RGPD12), ha indicado que el tratamiento de datos amparados en razones de interés público, para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, datos que el interesado haya hecho manifiestamente públicos y que el tratamiento sea necesario por razones de interés público ene ámbito de la salud pública, deberán estar amparados en una norma con rango de ley (reserva de ley), excluyendo por tanto al resto de fuentes jerárquicamente inferiores de nuestro ordenamiento jurídico como Reglamentos y disposiciones de rango normativo inferior.13)

                  Es más, la LOPDGDD ha procedido a listar aquellas normas con rango legal que amparan el tratamiento de datos relacionados con la salud y de datos genéticos en su Disp. Adic. 17.ª14), si bien, llama la atención a este autor que en dicha Disp. Adic. 17.ª se ampare el tratamiento de datos de salud y genéticos “que estén regulados en las siguientes leyes y sus disposiciones de desarrollo” cuando como hemos visto el art. 9.2 LOPDGDD establecía una reserva de Ley, por lo que en principio una norma reglamentaria de desarrollo de esas leyes no podría amparar un tratamiento de este tipo de datos, existiendo una defectuosa técnica legislativa.

                  Del estudio de este nuevo marco normativo, lo que nos tiene que quedar claro es que no siempre que se traten datos relativos a la salud, se requerirá como regla general el consentimiento del interesado, como venía afirmando la LAP, en tanto en cuanto puedan existir normas de rango legal que legitimen dicho tratamiento, o puede concurrir una urgencia vital, existiendo, por tanto, otras bases jurídicas que legitiman el tratamiento de este tipo de datos. Como decía anteriormente, el consentimiento ha dejado de ser el rey de la fiesta.

                  Otro problema con el que se encuentran las organizaciones del sector sanitario es la seguridad jurídica a la hora de afrontar las concretas obligaciones que les impone el RGPD. Este Reglamento está basado en la “acconuntability” anglosajona, o como se ha traducido en España en el principio de Responsabilidad Proactiva, que deja la pelota en el tejado de las organizaciones a la hora de cumplir con la normativa, y demostrar dicho cumplimiento.

                  Esta técnica de “soft law”, a la que no estamos acostumbrados en nuestro Derecho Patrio, donde venimos de un Reglamento que desarrollaba la LOPD15) cuyo título VIII nos listaba las medidas de seguridad que debíamos implementar en función de unos niveles de seguridad (básico, medio y alto), provoca que las organizaciones estén perdidas a la hora de decidir qué concretas medidas de seguridad jurídicas, técnicas y organizativas deben implantar para garantizar que cumplen con la normativa, surgen preguntas tales como ¿debo designar un Delegado de Protección de Datos? ¿debo tener un registro de actividades de tratamiento? ¿debo hacer una Evaluación de Impacto relativa a la protección de datos? ¿y un análisis de riesgos? ¿qué hago con el documento de seguridad que venía manteniendo con la antigua LOPD? ¿cuándo debo notificar a la Agencia Española de Protección de Datos una brecha de seguridad?, preguntas que cada organización deberá ir respondiendo en función del concreto tratamiento de datos que realice, se acabó el “café para todos”, imponiéndose la evaluación personalizada e individualizada de cada organización atendiendo al estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riegos de probabilidad y gravedad variables para los derechos y libertades de los interesados.

                  David Muñiz Aguirreurreta

                  Socio Director de DMA COMPLIANCE & DATA CONSULTING, S.L.

                   


                  1

                  Artículo 18 CE : 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

                  2

                  Artículo 4 RGPD : 1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

                  3

                  Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RCL 2008, 150).

                  4

                  Artículo 5.1. g) RLOPD Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

                  5

                  Considerando 34 RGPD : Debe entenderse por datos genéticos los datos personales relacionados con características genéticas, heredadas o adquiridas, de una persona física, provenientes del análisis de una muestra biológica de la persona física en cuestión, en particular a través de un análisis cromosómico, un análisis del ácido desoxirribonucleico (ADN) o del ácido ribonucleico (ARN), o del análisis de cualquier otro elemento que permita obtener información equivalente.

                  Considerando 35 RGPD: Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo 9; todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.

                  6

                  Artículo 82 RGPD : Derecho a indemnización y responsabilidad 1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. 2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable. 3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios. 4. Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado. 5. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2. 6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.

                  7

                  Artículo 32 RGPD : Seguridad del tratamiento 1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

                  8

                  STJUE de 26-02-2013, C399/11 "en virtud del principio de primacía del Derecho de la Unión, que es una característica esencial del ordenamiento jurídico de la Unión, la invocación por un Estado miembro de las disposiciones del Derecho nacional, aun si son de rango constitucional, no puede afectar a la eficacia del Derecho de la Unión en el territorio de ese Estado".

                  9

                  Artículo 6 LOPD : Consentimiento del afectado: 1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las

                  funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

                  10

                  Artículo 6.1 RGPD : Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

                  11

                  Artículo 9.1 RGPD : Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

                  12

                  Artículo 9.4 RGPD : 4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

                  13

                  Artículo 9.2. LOPDGDD artículo 9.2 : Los tratamientos de datos contemplados en las letras g), h) e i) del del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad. En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.

                  14

                  Disposición adicional decimoséptima LOPDGDD : Tratamientos de datos de salud

                  1. Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genéticos que estén regulados en las siguientes leyes y sus disposiciones de desarrollo: a) La Ley 14/1986, de 25 de abril, General de Sanidad. b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales. c) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. d) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud. e) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias. f) La Ley 14/2007, de 3 de julio, de Investigación biomédica. g) La Ley 33/2011, de 4 de octubre, General de Salud Pública. h) La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras. i) El texto refundido de la Ley de garantías y uso racional de los 105 medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio. j) El texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, aprobado por Real Decreto Legislativo 1/2013 de 29 de noviembre.

                  15

                  Real Decreto 1720/2007, de 21 de diciembre [RCL 2008\150]que aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Escribir Su propia reseña
Estás revisando:Guía Práctica sobre Protección de datos: ámbito sanitario
Su valoración