Guías, informes del Gabinete Jurídico y consultas de Delegados de Protección de Datos sobre salud

La AEPD pone a su disposición las siguientes Guías y documentos relevantes sobre los datos de salud:

1. Guía de la Protección de datos en las relaciones laborales (ver Capítulo 7, sobre Vigilancia de la salud)
2. Áreas de actuación: Protección de datos y coronavirus
3. FAQ sobre la COVID-19
4. Guía para pacientes y usuarios de la sanidad
5. Guía para profesionales del sector sanitario
6. Plan de inspección de oficio de la atención sociosanitaria
7. Plan de inspección sectorial de oficio a Hospitales Públicos (1995-2018)
8. Guía de ENISA ‘La adopción de técnicas de seudonimización. El caso del sector sanitario’. Traducción al español revisada por la AEPD

El Gabinete Jurídico de la AEPD ha emitido numerosos informes sobre los datos de salud y su tratamiento. Se incluye una relación de los más significativos, agrupados en los siguientes bloques temáticos e indicando su enlace correspondiente en la web, donde se puede consultar el texto completo:

COVID-19

• 2020-0017: Sobre los tratamientos de datos derivados de la pandemia por COVID-19. Es el primer informe que se hizo sobre el tema. 12/03/2020
• 2021-0025: Sobre la solicitud de información efectuada por un parlamentario de la Junta General del Principado de Asturias, calificada y admitida a trámite por la Mesa de la Cámara, sobre la relación de altos cargos y cargos directivos del Principado de Asturias, sus organismos autónomos, entes públicos y empresas públicas a los que se les ha suministrado alguna de las vacunas contra el COVID-19. 22/03/2021
• 2021-0032: Sobre si la comunicación de la Oficina de Prevención y Lucha contra la Corrupción los datos personales de todos los ciudadanos vacunados sin que éstos estuvieran anonimizados o si bien, y atendiendo a la normativa, sería coherente y suficiente proporcionar los datos anonimizados o limitarlos exclusivamente a los estrictamente necesarios para el objeto de la investigación iniciada por la citada Oficina. 4/05/2021

HISTORIA CLÍNICA

• 2021-0003: Sobre si el derecho de acceso a la HC comprende conocer quién ha accedido. 8/02/2021
• 2020-0098: Sobre la utilización de la HC al amparo del artículo 9.2 f) RGPD. 12/05/2021
• 2019-0101: Sobre el alcance de la disposición adicional decimoséptima de la LOPDGDD y el acceso a la HC de los servicios médicos de inspección. 8/09/2020
• 2020-0079: Sobre el uso de la HC cuando el médico ha cesado en su actividad. 9/12/2020

ENSAYOS CLÍNICOS

• 2022-0004: Sobre el Código de Conducta de Farmaindustria. 28/01/2022
• 2021-0038: Sobre la legitimación del monitor para el tratamiento de datos en ensayo clínico. 10/06/2021

SALUD LABORAL

• 2021-0026: Sobre el acceso a la información de datos de salud laboral a los Delegados de Prevención. 7/05/2021
• 2018-0114: Sobre el acceso del empresario a datos de salud laboral de sus empleados.10/09/2018

DATOS SOBRE DISCAPACIDAD

• 2019-0117: Sobre el tratamiento del dato de salud de discapacidad por organizaciones para ser receptoras de ayudas, subvenciones, contratos públicos, etc., 04/06/2020
• 2021-0080: Sobre el tratamiento del dictamen técnico facultativo emitido en procesos de declaración de grado de incapacidad, por parte de los Centros Especiales de Empleo. 21/01/2022

DATOS DE SALUD EN PROCESOS SELECTIVOS (OPOSICIONES Y CONCURSOS)

• 2020-0086: Sobre el conocimiento por parte del tribunal calificador del resultado completo del informe médico realizado en la prueba médica del proceso selectivo. 10/02/2021
• 2022-0002: Sobre la publicación de los datos personales de aspirantes que participan por el turno de discapacidad en procesos selectivos. 26/01/2022

Desde el CANAL DPD, disponible en la web de la AEPD para las consultas que formulan los DPDs, se responde a cuestiones sobre las que ya existe un criterio establecido por parte del Gabinete Jurídico.

Se incluye a continuación una selección de consultas relevantes que han sido planteadas por los DPD del sector sanitario desde 2020 a 2022:

• ¿Pueden acceder los padres a las historias clínicas de sus hijos mayores de 14 años?
• Los centros sanitarios y hospitales que prestan servicios a aseguradoras y Mutuas, ¿son encargados de tratamientos o responsables?
• Certificado de vacunación y pasaporte COVID en las relaciones laborales
• En una clínica que presta asistencia psicológica a trabajadores y alumnos de una Universidad, ¿los servicios de prevención pueden acceder a estos informes?
• En la realización de pruebas PCR en una clínica a empleados de la compañía dentro de su plan de prevención de riesgos laborales, ¿la clínica que realiza PCR es considerada encargada o responsable de tratamiento?
• Consentimiento de participantes en un estudio de investigación biomédica (adultos y menores afectados por diferentes patologías) para la grabación de imágenes y audios y su posterior difusión
• Comunicación de datos a aseguradoras para el abono de gastos médicos
• En Centros Sanitarios con personalidad jurídica diferenciada que prestan sus servicios en las mismas instalaciones, ¿quién es el responsable de la historia clínica?

Por su relevancia para el estudio del tema pueden mencionarse dos artículos del Vocal Asesor para Relaciones Institucionales de la AEPD, Jesús Rubí Navarrete, publicados en la revista “Comunicaciones de la Fundación CEFI”, sobre la protección de datos personales durante la pandemia de COVID-19 y las implicaciones de los ensayos clínicos realizados.

• Título: La protección de datos personales en la pandemia de COVID-19
• Título: La protección de datos personales en la pandemia de COVID-19 (segunda parte)

Resumen: La evolución de la pandemia de la COVID-19 ha dado lugar a la adopción de diversas iniciativas relacionadas con la monitorización de ensayos clínicos con medicamentos y con el control epidemiológico de la misma. Asimismo, las restricciones a la movilidad de los ciudadanos han exigido que las autoridades competentes adopten iniciativas dirigidas a garantizar la libre circulación transfronteriza con garantías adecuadas para la salud de las personas.  Medidas que implican el tratamiento de categorías especiales de datos, como son los de salud y cuyo diseño y aplicación deben contemplar las garantías exigidas por el Reglamento General de Protección de Datos y los criterios de las autoridades que controlan su aplicación. Los artículos describen las iniciativas adoptadas, tanto a nivel nacional como en el ámbito europeo, con una referencia específica a las garantías para la protección de datos personales.