Inminente aplicación del reglamento europeo de protección de datos
El Global
Estamos ya en fase de “cuenta atrás” para el inicio, este próximo 25 de mayo, de la aplicación del Reglamento General de Protección de Datos (RGPD). Por ello, creemos conveniente hacer algunas reflexiones en torno a cómo deberán actuar todos aquellos que traten datos de salud de las personas.
La primera reflexión hace referencia a la ampliación del ámbito de aplicación del RGPD. Sus previsiones se aplicarán no sólo a quienes estando establecidos en la Unión Europea traten datos personales —ya sea como responsables o encargados del tratamiento—, sino también a los que, aun cuando éstas no tengan sede alguna en territorio europeo, ofrezcan bienes o servicios a ciudadanos de la UE. Si, además, hay algún punto de conexión con España, también deberán cumplir con aquellos requerimientos adicionales que prevea la nueva ley de protección de datos que se apruebe en España.
Como segunda reflexión, podríamos indicar que el RGPD confirma la regla de la licitud del tratamiento cuando el interesado haya dado su consentimiento para el tratamiento de sus datos personales, siempre que dicho consentimiento reúna los requisitos de ser “libre, informado, específico e inequívoco”. No valdrá ya el consentimiento otorgado de forma tácita, sino que se exigirá una clara acción afirmativa del interesado. Además, cuando el objeto del tratamiento sean datos de salud (inclusive datos biométricos o genéticos), tal consentimiento deberá ser explícito a fin de poder acreditar así su obtención y alcance. En cuanto a la información que se debe facilitar al interesado cuyos datos se vayan a utilizar, deberá ser más completa y proporcionada de modo conciso y con lenguaje sencillo.
Al hilo de los requisitos que debe cumplir el consentimiento informado, conviene traer a colación el reciente Informe 73667/2018 de la Agencia Española de Protección de Datos (AEPD) sobre la incidencia que el nuevo marco normativo tendrá cuando se traten datos de salud en el ámbito de la investigación biomédica. La AEPD considera que a partir de la aplicación del RGPD no será necesario que la persona preste su consentimiento para cada investigación concreta, sino que será suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación o para ámbitos más extensos. Evidentemente seguirán habiendo supuestos en los que se puedan realizar investigaciones sin contar con el consentimiento de los pacientes, cuando una investigación sea de interés general y haya sido autorizada por un Comité de Ética de la Investigación, previa verificación del cumplimiento de las condiciones previstas en la Ley 14/2007 de Investigación Biomédica.
Como consecuencia de dicho informe, y como tercera reflexión, creemos que esta interpretación más flexible del alcance que puede darse al consentimiento prestado en estos supuestos favorecerá la investigación científica. Habrá que ver si la posición de la AEPD tiene su refrendo normativo en la nueva LOPD. Lo tenga o no, creemos que es lo suficientemente clara y fundamentada como para que los Comités Éticos la tomen en consideración cuando evalúen este aspecto en el marco de un estudio clínico. Delo anterior puede extraerse la siguiente conclusión: la importancia de disponer de un buen documento de consentimiento que cumpla con todos los indicados requisitos. Preparado con la adecuada previsión, un buen consentimiento sin duda ayudará a minimizar riesgos e incertidumbres.