Archivo de la etiqueta: Protección de datos

2 junio, 2022

El derecho a no presentar datos que obran en poder de la Administración, la potestad de verificación de datos e interoperabilidad

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, establece en su artículo 28, que la entrega de documentación en el marco de la tramitación de un procedimiento administrativo es un derecho y un deber.

Artículo 28. Documentos aportados por los interesados al procedimiento administrativo.

1. Los interesados deberán aportar al procedimiento administrativo los datos y documentos exigidos por las Administraciones Públicas de acuerdo con lo dispuesto en la normativa aplicable. Asimismo, los interesados podrán aportar cualquier otro documento que estimen conveniente.

2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.

Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.

Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.

3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.

Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.

4. Cuando con carácter excepcional, y de acuerdo con lo previsto en esta Ley, la Administración solicitara al interesado la presentación de un documento original y éste estuviera en formato papel, el interesado deberá obtener una copia auténtica, según los requisitos establecidos en el artículo 27, con carácter previo a su presentación electrónica. La copia electrónica resultante reflejará expresamente esta circunstancia.

5. Excepcionalmente, cuando la relevancia del documento en el procedimiento lo exija o existan dudas derivadas de la calidad de la copia, las Administraciones podrán solicitar de manera motivada el cotejo de las copias aportadas por el interesado, para lo que podrán requerir la exhibición del documento o de la información original.

6. Las copias que aporten los interesados al procedimiento administrativo tendrán eficacia, exclusivamente en el ámbito de la actividad de las Administraciones Públicas.

7. Los interesados se responsabilizarán de la veracidad de los documentos que presenten.

Por un lado, de acuerdo con el apartado 1 del citado artículo, los interesados tienen el deber de aportar los datos y documentos exigidos por las Administraciones Públicas de acuerdo con lo dispuesto en la normativa aplicable. Por otro lado, tal y como recoge el apartado 2, el interesado tiene el derecho a no aportar aquella información que, bien porque ha sido generada por las Administraciones Públicas o bien porque ha sido presentada anteriormente, ya está en poder de estas. De esta forma, se aplica el principio de una sola vez, clave en el desarrollo de la administración electrónica y que tiene por objeto eliminar la carga administrativa innecesaria que se produce cuando los usuarios deben suministrar la misma información más de una vez a distintos organismos del sector público.

Como respuesta a esta necesidad de interoperabilidad y comunicación entre Administraciones Públicas, los servicios de verificación y consulta de datos de las plataformas de intermediación, o de otros sistemas electrónicos habilitados al efecto, permiten que cualquier organismo pueda consultar o verificar los datos que un ciudadano necesita acreditar en el trámite de un procedimiento, sin necesidad de solicitar la aportación de los correspondientes certificados o documentos acreditativos, haciendo así efectivo el derecho del ciudadano reconocido en el artículo 28.2 de la Ley 39/2015.

Actualmente el artículo 28 de la Ley 39/2015, modificado por la LOPDGDD, mantiene el principio de una sola vez al garantizar el derecho de los interesados a “no aportar documentos que ya se encuentren en poder de la administración actuante o hayan sido elaborados por cualquier otra administración”, el cual no establece la necesidad de recabar el consentimiento del interesado pudiéndose “consultar o recabar dichos documentos salvo que el interesado se opusiera a ello” y sin caber la oposición “cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.”

De este modo, en el caso del tratamiento de los datos que se derive de las relaciones de los ciudadanos con la Administración y que puede incluir operaciones de comunicación, consulta y verificación de datos entre administraciones, la base jurídica del tratamiento ha de buscarse en los apartados c) (cumplimiento de una obligación legal) y e) (cumplimiento de una misión de interés público o en el ejercicio de poderes públicos) del artículo 6.1 del RGPD. De esta forma, se asume que, entre la Administración, como responsable, y el ciudadano, como interesado, existe una situación de desequilibrio en la que resulta improbable que el consentimiento se haya dado libremente en todas las posibles circunstancias, lo que, en consecuencia, no hace válido el consentimiento como base jurídica que legitime el tratamiento.

Sólo en los casos en que una ley especial aplicable requiera el consentimiento , ambas bases jurídicas (cumplimiento de una obligación legal y cumplimiento de una misión de interés público o en el ejercicio de poderes públicos) quedarían desplazadas por un consentimiento prestado en las condiciones que exige el artículo 7 del Reglamento.

Esta misma consideración ha de tenerse en cuenta en el supuesto de que las operaciones de tratamiento anteriormente descritas afecten a categorías especiales de datos, siendo necesario para levantar la prohibición de tratamiento establecida en el apartado 1 del artículo 9 del RGPD, que la consulta de los datos sea necesaria por razones de un interés público esencial, definido en una ley y que contemple unas garantías específicas de acuerdo con lo descrito en el apartado 9.2 g de la norma.

Como consecuencia de lo anterior, la gestión del derecho de oposición al que hace referencia el artículo 28 de la Ley 39/2015, en sus apartados 2 y 3 debe ser entendido como el derecho que tiene el interesado, de acuerdo con el artículo 21 del RGPD, a oponerse, por motivos relacionados con su situación particular, a que sus datos personales sean objeto de un tratamiento. En todo caso, el ejercicio del derecho de oposición ha de ir acompañado de expresión de su causa para que el responsable realice una ponderación de los motivos alegados sin ser válida una oposición en términos absolutos que podría ser entendida como la revocación de un consentimiento que no se ha prestado dado que este no es la base jurídica del tratamiento. Además, en el caso de que el ciudadano manifieste una oposición motivada, junto a esta deberá aportar necesariamente los documentos a cuya consulta se opone para que la administración actuante pueda conocer que concurren en él los requisitos establecidos en el procedimiento correspondiente pues, en caso contrario, no se podrá estimar su solicitud.

Esta interpretación se traduce, en términos prácticos, en que, a la hora de recabar datos de la ciudadania vinculados a un trámite concreto a través de los diferentes formularios disponibles en las sedes electrónicas de las Administraciones Públicas, la Administración actuante realizará el tratamiento en cumplimiento de una obligación legal, una misión de interés público o en el ejercicio de poderes públicos. De este modo, dicha Administración deberá informar al administrado, en aplicación del principio de transparencia, sobre los datos que van a ser consultados para la resolución del trámite en cuestión así como la posibilidad de ejercer sus derechos en materia de protección de datos, entre ellos el de oposición, facilitando información en relación a los cauces para hacerlo, pero sin ser necesario ni obligatorio la inclusión de una casilla o mecanismo que permita al interesado ejercer el derecho de oposición ad nutum de forma absoluta y sin justificación motivada. De igual manera, y de acuerdo con la Disposición adicional octava de la LOPDGDD, la administración actuante queda facultada, en el ejercicio de sus competencias, a realizar las verificaciones que resulten necesarias para comprobar la exactitud de los datos aportados por el ciudadano en las solicitudes formuladas.

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.

Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.

Sólo en los casos en que, como consecuencia del tipo de trámite, pueda ser necesaria la consulta, la cesión o comunicación de datos de naturaleza tributaria o de algún otro tipo cuya legislación específica regule la necesidad de un consentimiento expreso por parte del interesado, será necesario incluir una cláusula en la que el interesado autorice su consulta por parte de la Administración actuante a la Administración cedente de los datos responsable de estos.

En definitiva, si la persona interesada declara que la información que se le requiere se encuentra en poder de otras Administraciones , la interoperabilidad debería facilitar dicha consulta, y el ejemplo más sencillo es el relacionado con el artículo 16.3 de la Ley de Bases, por cuanto cualquier Administración puede consultar si una persona se encuentra empadronada o no en un municipio si lo necesita para desarrollar y ejecutar sus competencias y sin consentimiento de la persona interesada. Tal es el caso de una Mancomunidad, que podría consultar padrones de municipios mancomunados en aplicación de dicho artículo 16.3 LBRL (y la interoperabilidad simplemente sería el modo electrónico de facilitar esas consultas).

A más a más, el reglamento de actuación y funcionamiento del sector público por medios electrónicos dispone en su artículo 61 dispone

Artículo 61. Transmisiones de datos.

1. Las transmisiones de datos a las que se refiere el artículo 155 de la Ley 40/2015, de 1 de octubre, realizadas a través de redes corporativas de las Administraciones Públicas para el envío de documentos elaborados por cualquier Administración, mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, tienen la consideración de certificados administrativos necesarios para el procedimiento o actuación administrativa.

2. Cuando las personas interesadas no aporten datos y/o documentos que ya obren en poder de las Administraciones Públicas, de conformidad con lo establecido en la Ley 39/2015, de 1 de octubre, se seguirán las siguientes reglas:

a) Si el órgano administrativo encargado de la tramitación del procedimiento, puede acceder electrónicamente a los datos, documentos o certificados necesarios mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, los incorporará al procedimiento administrativo correspondiente. Quedará constancia en los ficheros del órgano, organismo público o entidad de derecho público cedente del acceso a los datos o documentos efectuado por el órgano u organismo cesionario.

b) Excepcionalmente, en caso de que no se pueda realizar el acceso electrónico a los datos mediante la consulta a que se refiere la letra anterior, se podrá solicitar por otros medios habilitados al efecto y se conservará la documentación acreditativa de la circunstancia que imposibilitó dicho acceso electrónico, incorporándola al expediente.

3. Toda transmisión de datos se efectuará a solicitud del órgano o entidad tramitadora en la que se identificarán los datos requeridos y sus titulares, así como la finalidad para la que se requieren. Además, si en la petición de datos interviene un empleado o empleada público se incluirá la identificación de este en la petición.

4. El órgano, organismo público o entidad de derecho público cesionario será responsable del correcto acceso electrónico a los datos cuya titularidad corresponda a otro órgano, organismo público o entidad de derecho público, así como de su utilización, en particular, cuando los datos a los que se accede tengan un régimen de especial protección. Asimismo, cuando para dicho acceso se requiera el consentimiento del interesado, el cesionario será responsable del requerimiento de dicho consentimiento.

5. La cesión de datos dentro de una actuación administrativa podrá llevarse a cabo, entre otras formas, de manera automatizada, entendiéndose por tal la consulta realizada íntegramente a través de medios telemáticos en la que no haya intervenido de forma directa un empleado o empleada público.

6. Las transmisiones de datos que se realicen en virtud del artículo 14 del Reglamento (UE) n.º 2018/1724 del Parlamento Europeo y del Consejo, de 2 de octubre de 2018, relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.º 1024/2012 no requerirán previsualización de los datos por parte del usuario o usuaria solicitante para proceder a su uso por parte del órgano o entidad tramitadora.

Si se observa el apartado 4, no se establece que con carácter general se deba recabar el consentimiento, sino sólo en aquellos casos en los que sea necesario (como el ejemplo de transmisiones de datos de trascendencia tributaria) porque la ley especial así lo dispone. Si no fuese así, la normativa de administración electrónica lo regularía expresamente.

En definitiva, con carácter general, las cesiones de datos entre Administraciones no se articulan en base al consentimiento, sino en el marco de las licitudes aplicables a la Administración basadas en disposiciones con rango de ley y/o el ejercicio y desarrollo de competencias o potestades públicas (Arts. 6.1 c y e del Reglamento General de protección de datos o en el artículo 8 LOPDGDD). Y siempre y cuando la otra Administración necesite los datos estrictamente necesarios para ejecutar sus competencias.

En el ámbito territorial de Euskadi, la LEY 3/2022, de 12 de mayo, del Sector Público Vasco establece en su artículo 72 con respecto a la simplificación de procedimientos administrativos:

Artículo 72.– Simplificación de procedimientos administrativos mediante servicios y canales electrónicos.

1.– Con el fin de simplificar la tramitación administrativa y de garantizar el derecho de la ciudadanía a no aportar los datos y documentos que obren en poder de las administraciones públicas, no se recabará el consentimiento de las personas interesadas cuando, en el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias:

a) La información que se solicite figure como requisito en la norma que regula el procedimiento administrativo.

b) El procedimiento administrativo se inicie a instancia de parte, conllevando por tanto la solicitud por parte del interesado.

c) La información esté disponible en la Administración general de la Comunidad Autónoma de Euskadi o en los servicios de interoperabilidad entre administraciones.

d) No se refiera a datos de carácter personal especialmente protegidos.

2.– En los supuestos en que así lo prevean las normas reguladoras de los procedimientos administrativos, el cumplimiento de los requisitos podrá justificarse a través de la presentación electrónica de una declaración responsable o de las comunicaciones previas, que producirán los efectos que se determinen en cada caso por la legislación correspondiente.

[…]

Respecto al artículo mencionado, se considera que el legislador quizá debería haber incluido un supuesto específico relativo al consentimiento en el marco de las cesiones de datos entre Administraciones cuando la ley especial requiere recabar el consentimiento por la entidad requirente, como por ejemplo, tal y como establece la legislación tributaria.

Deja un comentario | Etiquetas: Protección de datos | Publicado en Administración electrónica, Cesión de datos

22 julio, 2021

¿Es posible tratar el dato de vacunación en una empresa?

Por Gonzalo Álvarez Hazas

En los últimos meses, algunas organizaciones se plantean la posibilidad de preguntar al personal trabajador si han sido vacunados o no a fin de adoptar decisiones en materia de gestión y organización del trabajo.

¿Resulta posible desde la perspectiva de protección de datos llevar a cabo dicha recogida de información? ¿Cuál sería la licitud y encaje de dicho tratamiento?

‘CC BY-3.0-ES 2012/EJ-GV/Irekia-Gobierno Vasco/Mikel Arrazola’

1 Naturaleza de los datos de salud

Previamente al análisis del marco jurídico aplicable al tratamiento de datos de salud en el ámbito de las relaciones laborales conviene atender a las definiciones de la normativa sobre los conceptos de dato personal y de datos relacionados con la salud a fin de establecer una base de conocimiento que sirva de ayuda a la interpretación del resto de consideraciones jurídicas.

El Reglamento (EU) 679/2016 General de Protección de Datos (en adelante, RGPD) define datos de carácter personal y datos relativos a la salud con el siguiente tenor:

“Datos de carácter personal: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
«datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

Además, se define el concepto tratamiento de datos del siguiente modo:

Tratamiento de datos: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”

Atendiendo a los conceptos y definiciones transcritas no cabe ninguna duda de que, en el supuesto analizado, cualquier acceso, mera visualización o registro será considerado un tratamiento de datos personales y si es posible, vincular la información obtenida con la salud de una persona física identificada o identificable, entonces, nos encontraremos sin ningún atisbo de duda ante un tratamiento de datos personales relacionados con la salud de las personas físicas.

2 Licitud del tratamiento de datos relacionados con la salud

La recogida y tratamiento de datos personales, requiere con carácter general, amparar la licitud en alguna o varias de las bases jurídicas ofrecidas por la legislación. Concretamente, el artículo 6 del Reglamento General de Protección de Datos (EU) 679/2016) o RGPD dispone:

Artículo 6 Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Fundamentalmente, las relaciones jurídicas de índole laboral se sustentan en el marco del desarrollo de una relación contractual por lo que se considera aplicable como base jurídica habilitante para el tratamiento de datos de personas trabajadoras lo previsto en el artículo 6.1.b) del RGPD.

Sin embargo, tal y como se ha expuesto en el apartado anterior, los datos relacionados con la salud de las personas son considerados de categoría especial por lo que igualmente resulta aplicable el artículo 9.1 del RGPD que establece la necesidad de amparar el tratamiento de datos de salud en alguna base jurídica adicional a las ya previstas en el artículo 6 que levante la prohibición general de tratar datos de categoría especial.

En concreto, el mencionado artículo 9 dispone:

Artículo 9. Tratamiento de categorías especiales de datos personales
1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial; g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

En atención a lo dispuesto en el apartado h), cabe la posibilidad de tratar datos de salud de personas trabajadoras con fines de medicina preventiva o laboral pero siempre y cuando se cumplan las garantías previstas en el apartado 3 del mismo artículo:

3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

De este modo, en el ámbito laboral y con fines de medicina preventiva o laboral, la licitud del tratamiento de datos de salud se encuentra amparada en esa base jurídica o licitud prevista en artículo 9.2.h) si bien queda reservada a los profesionales sanitarios sujetos al código deontológico de su profesión que obliga a observar el deber de secreto sobre los datos relacionado con la salud de las personas trabajadoras cuando se utilizan y recaban con fines de medicina preventiva o laboral.

3. El tratamiento de datos en el marco de la vigilancia de la salud laboral

Visto lo anterior, el marco de relaciones laborales y el tratamiento de datos de salud con fines de medicina preventiva o laboral encuentran su desarrollo en otras disposiciones y normas aplicables al desarrollo de las relaciones jurídicas de índole laboral. En concreto, la normativa de Prevención de Riesgos Laborales, regula el ámbito y alcance de la prevención, aptitud laboral y especialmente si se dispone de un servicio de vigilancia de la salud laboral interno en la organización.

A partir de este punto, a tenor de dicho marco normativo, las facultades de acceso a la información por parte de la empresa son muy limitadas y en la práctica se refieren a conocer las condiciones de aptitud o no aptitud de la persona trabajadora. El tratamiento por parte de los servicios de prevención de riesgos laborales del historial médico, consecuencia de los reconocimientos médicos realizados a las personas trabajadoras, debe limitarse a las previsiones del artículo 22.4 de la LPRL.

4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.
El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.
No obstante lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva.

Por tanto, ese precepto impide el acceso a la información médica obtenida al amparo de lo dispuesto en la LPRL por parte del empleador o de cualquier tercero, incluidas las personas u órganos con responsabilidades en materia de prevención, distintos del «personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores», con la única excepción de las conclusiones derivadas de dicho seguimiento en cuanto a la aptitud de las personas trabajadoras para el desempeño del puesto de trabajo.

Es decir, es posible que el empleador deba acceder de modo específico a datos personales de la persona trabajadora necesarios para el cumplimiento de sus obligaciones que desborden la calificación de apto o no apto. En tales casos, la legitimación para el tratamiento deriva de la propia regulación, pero se limitará a los datos estrictamente necesarios.

Por ejemplo, es evidente que si debe adaptarse una pantalla de ordenador con un determinado tamaño de letra existirán problemas visuales, si se debe cambiar un avisador acústico por uno visual existen problemas de audición y que, si el uniforme de trabajo debe ser de un determinado tejido, puede existir una alergia. En todos estos casos puede deducirse la presencia de una discapacidad o enfermedad.

4. Posición de la Doctrina y conclusiones

La Agencia Española de Protección de Datos, en la Guía de relaciones laborales establece con respecto al tratamiento de datos de salud en el ámbito laboral su posición doctrinal indicando que con carácter general, el consentimiento no es una base jurídica que justifique la cesión de datos médicos, pues la persona trabajadora no tiene completa libertad para prestar ese consentimiento. Y, desde luego, tampoco es base jurídica el convenio colectivo tal y como se expone en la sentencia STS 6234/2010, de 27 de octubre, Sala de los Social.

“Las previsiones del Convenio en esta materia, si se entienden referidas al contenido de los reconocimientos, no se ajustan a las exigencias derivadas del respeto a la intimidad y esta invasión de la intimidad no puede justificarse en el presente caso en función del consentimiento del trabajador. En primer lugar, porque no hay ningún interés general que justifique el que se recaben estos reconocimientos médicos confidenciales, se hagan constar en una tarjeta profesional y se remitan a un organismo paritario -la Fundación Laboral Construcción- que no tiene una configuración técnico-sanitaria. La remisión de estos datos carece de interés en términos tanto sanitarios, como de prevención, pues lo importante es que los reconocimientos se realicen y que sus conclusiones se tengan en cuentan por el empresario y los órganos competentes en materia de prevención para adoptar las medidas de protección oportunas, lo que ninguna relación tiene con la remisión de esos reconocimientos a un organismo paritario sin ninguna finalidad específica en orden a la adopción de medidas preventivas en atención al contenido de los reconocimientos y muchos menos con la mera circulación de esa información en una tarjeta profesional. La única función a la que parece apuntar esa ruptura de la confidencialidad a través de la circulación de los reconocimientos sería el objetivo de evitar la repetición de los informes en caso de rotación [artículo 130 d) del Convenio], lo que es contrario a la doctrina de la STC 70/2009. En segundo lugar, porque el consentimiento del trabajador a la hora de proporcionar esta información puede verse perturbado por las consecuencias que la negativa a aportar los informes pueda tener sobre sus posibilidades de ser contratado a partir de la posible clasificación de los trabajadores distinguiendo entre quienes aportan los reconocimientos y los que no lo hacen”

En definitiva, la información resultante de las acciones de vigilancia de la salud del art. 22 de la LPRL sólo autoriza al empleador, y en su caso a terceros ajenos a los profesionales médico-sanitarios que practicaron las pruebas de reconocimiento, a conocer el dato de apto o no apto para el desempeño del puesto de trabajo que ocupa la persona trabajadora o el que pretenda asignársele.

En definitiva, con carácter general, no parece plausible recabar datos sobre vacunación de personal trabajador con fines de gestión y organización del trabajo en base al desarrollo de la relación contractual de índole laboral dado que no parece tener encaje en el ámbito de la protección de salud colectiva de los trabajadores. Quizá resultaría tener su habilitación en el ámbito de los reconocimientos médicos obligatorios para desempeñar algunas profesiones, si bien debería existir alguna previsión normativa al efecto y aún así, la información de salud únicamente debería ser objeto de tratamiento por profesionales sanitarios.

Asimismo, se considera que recurrir a otra licitud como el consentimiento para amparar el tratamiento del dato de salud no parece adecuado en tanto en cuanto no resultaría libremente otorgado en función del fin perseguido.

Deja un comentario | Etiquetas: ámbito laboral, datos de salud, licitud, prevención de riesgos, Protección de datos, salud laboral, vacunas | Publicado en Protección de datos, salud laboral

4 julio, 2020

TEMPERATURA, PROTECCIÓN DE DATOS Y COMENTARIOS A LA RECIENTE SENTENCIA DEL TSJCV

Por Gonzalo Álvarez Hazas

La toma de temperatura como medida de prevención genera un debate jurídico entre el derecho a la intimidad y protección de datos personales y otros derechos dignos de protección en el escenario actual de epidemia y emergencia sanitaria.

La AEPD mostró su preocupación por el alcance de dicha medida sin entrar al fondo del asunto dado que, la tecnología utilizada y los medios utilizados no siempre son los mismos y pueden tener mayor o menor impacto en los derechos fundamentales de las personas físicas.

Recientemente se publicó la siguiente noticia:

Los vigilantes de seguridad sí pueden tomar la temperatura de los trabajadores

https://www.expansion.com/juridico/sentencias/2020/06/29/5efa1ad5468aebde618b459c.html

La sentencia de la Sala Social del Tribunal Superior de Justicia de la Comunidad Valenciana (1018/2020) ha sido publicada en el CENDOJ y se puede disponer de ella en el siguiente enlace:

http://www.poderjudicial.es/search/AN/openDocument/1b029547188eea9d/20200702

La controversia que motiva la sentencia surge por el conflicto entre el personal de seguridad privada y la empresa que le encomienda la toma de temperatura en un centro comercial como medida de prevención durante la situación de estado de alarma declarada.

La parte demandante (representación sindical) alegó que la medida era injustificada en cuanto

excede del ámbito funcional de la actividad profesional de los vigilantes de seguridad, no forma parte de la función de protección, que los trabajadores afectados no están formados ni habilitados para tal injerencia en la intimidad personal y que además supone un riesgo para la integridad física de los vigilantes afectados

La sentencia, en un principio parece no entrar al fondo sobre la toma de temperatura y ceñirse a las funciones de seguridad privada en el marco de la Ley 5/2014.

“No estamos por lo tanto enjuiciando ni la dimensión constitucional de la toma de temperatura a los trabajadores por parte de la empleadora ni la idoneidad, proporcionalidad y eficacia de esta medida en la prevención de la expansión de la pandemia COVID 19.

Pero posteriormente, analizada si la finalidad perseguida tiene su encaje en el ámbito de protección de la integridad física, función prevista en la Ley de seguridad privada y por lo tanto, con alcance en materia de salud:

En el contexto de crisis socio-sanitaria ocasionada por el COVID-19, la toma de temperatura de los trabajadores que acceden al centro de trabajo es una medida que tiene como finalidad exclusiva evitar que personas con sintomatología que puede estar asociada al COVID 19 , accedan a sus instalaciones con el correspondiente riesgo de contagio al resto de trabajadores y a posibles usuarios de los supermercados, poniendo así en peligro las medidas de contención de la pandemia y la propia integridad física de las personas que puedan llegar a encontrarse en el centro comercial, cuya vigilancia tiene encomendada la empresa de seguridad. El control en el acceso al centro es una función propia de los vigilantes y en este caso esta tarea implica la introducción de un criterio nuevo de restricción al mismo , que por el carácter excepcional de las circunstancias se proyecta tanto en la función específicamente contemplada en la norma de garantizar la seguridad de las personas que se encuentran en el local , como en la más genérica de contribuir y colaborar en el plan especifico de prevención de riesgos laborales frente al COVID 19, por lo que entendemos que la función encomendada tiene en este momento pleno encaje en las funciones legales, convencionales y contractuales atribuidas a los vigilantes de seguridad.

Cabe destacar que el Tribunal amplía el alcance de la protección no sólo al personal trabajador sino también a otros usuarios del centro comercial.

El fundamento 4º es también relevante porque, aun cuando se ciñe al supuesto planteado y a la luz de la ley de vigilancia de seguridad de 2014, el “marco de la situación excepcional” le aporta una justificación a la medida adoptada y por lo tanto, proporcionada:

Resuelta esta primera cuestión, cabe analizar las posibles objeciones planteadas por la actora y que afectan fundamentalmente a la naturaleza de la medida y al riesgo inherente a su ejecución. Respecto de la primera cuestión, efectivamente se trata de una medida que reporta datos de salud de las personas examinadas cuya aplicación y eficacia puede ser cuestionable desde una perspectiva legal y constitucional, y que sin embargo tal como hemos adelantado al inicio de la fundamentación jurídica, ciñéndonos al caso que nos ocupa, aparece plenamente justificada en el marco de una situación excepcional en la que ha sido adoptada, en orden a reforzar la seguridad de los centros y sin que de los datos aportados en la demanda, se desprenda que se esté aplicando con quebranto manifiesto de los derechos y garantías constitucionales de los trabajadores afectados por el conflicto.

La sentencia finalmente dispone:

La existencia de un riesgo laboral específico no desvirtúa la justificación de una medida que como se desprende del contexto social en el que se adopta responde a una situación de carácter extraordinario y tiene como única finalidad la de proteger la integridad física de las personas que accedan al centro. En consecuencia, entendemos que, atendidas las concretas circunstancias examinadas, la orden por la que la empresa ILUNION SEGURIDAD S.A. encomendó a sus empleados la toma de temperatura en el control de acceso de los trabajadores de los centros comerciales CARREFOUR, no excede del ámbito competencial de las funciones propias de los vigilantes de seguridad.

Desde el punto de vista de la normativa de protección de datos, podríamos establecer que el Tribunal ampara la licitud de la medida en la Ley de Seguridad privada, de acuerdo con la finalidad pretendida de protección de la integridad física del personal trabajador, en incluso de terceros, y justificada por la situación excepcional.

Probablemente, quedaría pendiente realizar el mencionado juicio de proporcionalidad en relación con la ponderación de derechos y que de acuerdo con el RGPD y la ley en vigor, tendría su traducción en una evaluación de impacto. Lo cual parece recomendable a fin de fundamentar la decisión, medida adoptada y de acuerdo con los medios implementados para ello. Con el objetivo de reforzar la posición de la organización y de acuerdo con lo dispuesto en el RGPD y de la doctrina de las Autoridades de Control.

Evidentemente, el alcance de la medida y el modo de ejecutarla podría tener otras implicaciones para la intimidad y resultar una injerencia mayor en el derecho fundamental, por ejemplo, si se recopilan datos concretos de temperatura vinculados a la persona física y además de ello, se utilizan medios tecnológicos como cámaras de reconocimiento facial que añaden la imagen o un identificador al dato de temperatura.

En cualquier caso, y volviendo a la sentencia, sin entrar al fondo y con las cautelas apuntadas por el Tribunal con respecto al juicio de proporcionalidad que debe conllevar la medida en sí, parece adecuada y proporcionada en el contexto actual de emergencia sanitaria y en aras a la protección de la salud colectiva del personal trabajador, dado que, como indica el Tribunal, subyace un deber de protección de la integridad física del personal que accede al centro en el marco de la presente situación excepcional y que no supone un quebranto manifiesto de los derechos y garantías constitucionales de los trabajadores afectados por el conflicto, esto es, de los vigilantes de seguridad.

Siendo esta la interpretación del Tribunal, ¿Por qué no podrán realizarla personal trabajador interno de una organización con funciones de prevención en materia de riesgos laborales?

Si el Tribunal incluso hace referencia a usuarios del centro comercial, ¿Por qué no extender la medida a cualquier persona ajena a los trabajadores en aras a su protección en las mismas garantías y coherencia que con respecto al personal interno?

Asimismo, ¿Cuál sería el alcance temporal de la legitimación, finalidad y proporcionalidad de la medida?

Son reflexiones que pueden tener su impacto en la medida en que decaiga la situación de epidemia o de vigilancia epidemiológica todavía en vigor.

Deja un comentario | Etiquetas: covid, evaluación de impacto, Protección de datos, temperatura | Publicado en Agencias de Protección de Datos, Derecho a la intimidad, Protección de datos

28 enero, 2020

EL DERECHO A NO PRESENTAR DATOS EN PODER DE LA ADMINISTRACIÓN Y SU IMPACTO EN PROTECCIÓN DE DATOS

Por Gonzalo Álvarez Hazas

El derecho a no presentar datos que obran en poder de la Administración se malinterpreta por algunas Administraciones Públicas hasta el punto de obstaculizar el intercambio de datos personales amparado en la interoperabilidad.

El principio de cooperación entre Administraciones decae en perjuicio de la ciudadanía al considerarse erróneamente que es la propia ciudadanía la que debe habilitar y consentir expresamente la cesión de datos y no las propias competencias de la Administración actuante.

La cuestión es que las plataformas y nodos de intercambios de datos se siguen desarrollando y habilitando técnicamente con el fin de facilitar el intercambio de datos entre Administraciones Públicas de acuerdo con la legislación en materia de administración electrónica.

Sin embargo, nos encontramos con que, una vez resuelta la parte técnica, algunas Administraciones deniegan la entrega de datos a otras entidades públicas peticionarias basándose en la falta de un consentimiento explícito de la ciudadanía a ceder sus datos.

¿Esto es así? ¿Realmente es preciso un consentimiento del interesado que inicia una actuación ante la Administración para que ésta pueda requerir información a terceras entidades?

Veamos cuál es el origen de este supuesto.

Deber de colaboración

La normativa reguladora de la Administración dispone con respecto al deber de colaboración en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público

Artículo 141. Deber de colaboración entre las Administraciones Públicas.

Las Administraciones Públicas deberán:

a) Respetar el ejercicio legítimo por las otras Administraciones de sus competencias.

b) Ponderar, en el ejercicio de las competencias propias, la totalidad de los intereses públicos implicados y, en concreto, aquellos cuya gestión esté encomendada a las otras Administraciones.

c) Facilitar a las otras Administraciones la información que precisen sobre la actividad que desarrollen en el ejercicio de sus propias competencias o que sea necesaria para que los ciudadanos puedan acceder de forma integral a la información relativa a una materia.

[…]

Artículo 142. Técnicas de colaboración.

Las obligaciones que se derivan del deber de colaboración se harán efectivas a través de las siguientes técnicas:

a) El suministro de información, datos, documentos o medios probatorios que se hallen a disposición del organismo público o la entidad al que se dirige la solicitud y que la Administración solicitante precise disponer para el ejercicio de sus competencias.

Se observa que existe un deber de colaboración que habilita a la transmisión de datos entre Administraciones Públicas para dar cumplimiento a las competencias de la organización solicitante.

Por lo tanto, será el desarrollo de competencias de la peticionaria, el que establezca la habilitación o fundamentación para la entrega por parte de la Administración cedente.

El derecho a no aportar documentos que obran en poder de la Administración

Visto lo anterior, parece existir un amparo jurídico suficiente para la entrega de datos entre Administraciones con el fin de ejecutar el servicio público que corresponda.

Asimismo, para facilitar la actuación administrativa, y que la persona interesada se beneficie del mencionado deber de colaboración, existe una previsión específica para que regula el derecho a no aportar documentos que ya obran en poder de la Administración.

El artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, modificado por la Ley Orgánica de Protección de Datos (DF12), dispone en sus apartados 2 y 3:

Artículo 28. Documentos aportados por los interesados al procedimiento administrativo.

[…].
Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.

Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.

Con carácter general, el derecho a no entregar datos que obran en poder de la Administración no exige que la ciudadanía otorgue un permiso especial o una representación para que la Administración pueda requerir datos de esa persona ante terceras Administraciones.

A sensu contrario, salvo que se oponga la persona interesada (y así lo haga constar en el procedimiento) o que realmente exista una ley especial que requiera un consentimiento expreso, la Administración se encuentra facultada a pedir datos a terceras Administraciones en base al ejercicio de sus competencias en aras a servir a la ciudadanía con eficacia y eficiencia bajo el paraguas de la administración electrónica y la interoperabilidad.

El artículo 155 de la Ley 400/2015 insiste en el deber de facilitar datos a terceras Administraciones sin perjuicio de que hayan de adoptarse las medidas de seguridad requeridas:

Artículo 155. Transmisiones de datos entre Administraciones Públicas.

De conformidad con lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y su normativa de desarrollo, cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad

Interpretación doctrinal de las Agencias de Protección de Datos

La normativa de protección de datos ampara el tratamiento y cesión de datos entre Administraciones Públicas en el artículo 8 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

La Agencia española de protección de datos ha interpretado en varios informes jurídicos cuál es la base jurídica, con carácter general, para tratar datos por la Administración, esto es, el desarrollo de competencias o el ejercicio de una misión de interés público.

En sus informes 175/2018 y 050/2019 se establecen las reglas generales con respecto a las cesiones entre Administraciones Públicas y que pueden resumirse en las siguientes:

La cesión de datos entre Administraciones habrá de tener en cuenta la legislación especial que pueda determinar una restricción a las cesiones de datos personales (Ej, ámbito tributario)
La ausencia de norma no supone que los datos no puedan cederse, sino que serán aplicables las reglas generales (ámbito competencial, misión de interés público).
Entidad cesionaria: debe fundamentar y motivar
Entidad cedente: valorar si los datos solicitados son realmente necesarios, pertinentes y proporcionados, atendiendo a la competencia que pretende ejercer la Administración cesionaria.
Minimización y proporcionalidad: no cabe un acceso masivo e indiscriminado a datos personales, y por lo tanto, el acceso deberá ser siempre “específico en cada caso ajustado a los datos que resulten precisos para la tramitación de un expediente determinado y no de un acceso masivo e indiscriminado”
No cabe finalidad distinta salvo archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Finalidad ulterior y distinta, se aplica el 155.3 Ley 40/2015 (RDL 14/2019)
Art 155 Ley 40/2015: Interoperabilidad -> Instrumento jurídico, ej Convenios, protocolos generales de actuación, etc.

Cabe destacar la disposición adicional octava de la LOPDGDD, que habilita a las Administraciones a verificar los datos de la persona interesada cuando declara datos que obran en poder de las Administraciones Públicas.

Disposición adicional octava. Potestad de verificación de las Administraciones Públicas.

A más a más, se faculta nuevamente a las Administraciones a realizar las verificaciones necesarias para comprobar los datos de la persona interesada sin necesidad de requerirle un consentimiento específico. ¿Y ante qué entidades u órganos se ejercerá esa potestad de verificación de datos? Pues lógicamente, ante otras administraciones.

Conclusión

En definitiva, no es el consentimiento de la persona la que, en primer lugar, habilita o legitima la actuación de la Administración, dado que, la base jurídica para tratar datos se encuentra en el artículo 8 de la LOPDGDD, en las competencias o misión de interés público. Y de igual manera para solicitar y ceder datos a otras Administraciones que requieran información con fines de desarrollar sus competencias.

Por lo tanto, no tiene ningún sentido que las Administraciones cedentes exijan de la Administración peticionaria que recabe el consentimiento de las personas (mediante formularios en papel o electrónicos) para entregarles (o consumir) datos que deberían facilitar electrónicamente sin ninguna otra cortapisa o condición que la motivación (competencia) y la proporcionalidad de lo solicitado.

Deja un comentario | Etiquetas: Administración pública, Agencia Española de Protección de Datos, Cesión de datos, interoperabilidad, Protección de datos | Publicado en Administración electrónica, Cesión de datos, Protección de datos

13 septiembre, 2019

Ausencia del trabajo por motivos de salud y suspensión de nómina ¿Protección de datos como prueba?

Por Gonzalo Álvarez Hazas

Los derechos y obligaciones generados en las relaciones jurídicas de índole laboral crean conflictos y situaciones a dirimir que, en ausencia de acuerdo entre las partes, acaban en los órganos judiciales, donde la prueba resulta esencial para valorar los hechos acaecidos. La normativa de protección de datos puede resultar de obligado cumplimiento, pero ¿es la piedra angular que articula las relaciones laborales y que aporta prueba del cumplimiento de los mencionados derechos y obligaciones de las partes?

En el post de hoy se plantea la siguiente pregunta ¿firmar o no un consentimiento informado en materia de protección de datos sirve de prueba para suspender de derechos económicos a un empleado que no se somete a un chequeo médico requerido por la empresa?

13544455215799

Licitud del tratamiento

La reflexión expuesta tiene su origen en el siguiente precepto del Estatuto de los Trabajadores (Real Decreto Legislativo 2/2015, de 23 de octubre) por cuanto dispone en su artículo 20.4 lo siguiente:

“4. El empresario podrá verificar el estado de salud del trabajador que sea alegado por este para justificar sus faltas de asistencia al trabajo, mediante reconocimiento a cargo de personal médico. La negativa del trabajador a dichos reconocimientos podrá determinar la suspensión de los derechos económicos que pudieran existir a cargo del empresario por dichas situaciones.”

El artículo mencionado, plantea un derecho del empleador (verificar el estado de salud), una obligación de la persona trabajadora (someterse al chequeo médico) habilitando una consecuencia jurídica ante una negativa (suspensión de derechos económicos). Asimismo, el reconocimiento médico, lo deben realizar profesionales sanitarios.

Desde el punto de vista de la normativa de protección de datos, el tratamiento de la información de la persona trabajadora debe ampararse en alguno de los supuestos de legitimación descritos en el Reglamento General de Protección de Datos (REGLAMENTO [UE] 2016/679).

Artículo 6 Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

[…]

Se considera pues, que la base jurídica para el tratamiento de los datos en el ámbito laboral se encontraría en el contrato entre las partes, en concordancia con lo dispuesto en el artículo 6.1.b) del RGPD.

Sin perder de vista que existe una disposición con rango de Ley como el Estatuto de los Trabajadores que especifica el marco de relaciones laborales y por lo tanto, el tratamiento de datos personales en situaciones como la planteada en el presente post. Por otro lado, no parece posible aplicar la licitud del tratamiento de datos basada en una obligación legal prevista en el artículo 6.1.c) del RGPD «el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento» o del artículo 8 de la Ley Orgánica de Protección de Datos 3/2018 porque la potestad de verificar el estado de salud no implica una obligación legal aplicable al responsable, sino una facultad reservada al empresario que puede ejercer o no. Recordemos que el precepto indica «El empresario podrá verificar el estado de salud del trabajador […]»

Ciertamente, la norma regula de modo concreto quién es el responsable de los datos (empleador) y a quién puede indicar que realice la verificación del estado de salud (profesionales sanitarios), lo cual puede comportar una entrega de datos identificativos a terceros y que deberá articularse adecuadamente.

¿Es necesario un consentimiento específico para someterse al chequeo médico?

Visto el marco de habilitaciones legales para el tratamiento de datos en el ámbito de la relación laboral, se plantea nuevamente la reflexión:

La persona trabajadora que es citada al chequeo médico para verificar su estado de salud ante las ausencias del trabajo ¿debe otorgar un consentimiento informado a requerimiento de los profesionales sanitarios?

Consideremos que ante un consentimiento informado presentado en la consulta médica sucede alguna de estas 3 situaciones:

La persona trabajadora se somete al chequeo médico pero no autoriza el tratamiento de sus datos de salud en la hoja de consentimiento informado.
La persona trabajadora firma el consentimiento informado de protección de datos pero no se somete al chequeo médico.
La persona trabajadora se somete al chequeo médico y no firma ningún documento en materia de protección de datos.

¿En qué situación el empleador podría suspender de derechos económicos a la persona trabajadora?

En este punto, quizá deberíamos eliminar de la ecuación el consentimiento. ¿Por qué? Porque tal y como se ha analizado anteriormente, la base jurídica que habilita y faculta al empresario a requerir a la persona trabajadora que se someta al chequeo médico es el desarrollo del contrato laboral, no el consentimiento.

Otro debate sería si los profesionales sanitarios deben recabar su propio consentimiento informado, pero esa es otra cuestión a analizar desde la perspectiva de la normativa sanitaria y en función del tipo de tratamiento (+Info en ponencia sobre investigación biomédica).

Volviendo a los 3 escenarios planteados previamente, se considera que se podría suspender de derechos económicos a la persona trabajadora en el primer y tercer supuesto siempre y cuando se le haya informado debidamente acerca del contexto del tratamiento de los datos y de las consecuencias jurídicas de no aportarlos. Cuando la persona trabajadora se somete a la verificación de su estado de salud, demuestra una voluntad inequívoca y libre de aportar sus datos de salud, porque conoce las consecuencias de la negativa.

A partir de ahí, podría resultar un problema de prueba demostrar que la persona trabajadora se ha sometido al chequeo médico o no, pero no es un problema de protección de datos, dado que informar acerca del tratamiento si es un deber del responsable (artículo 11 LOPDGDD) pero no recabar un consentimiento específico. Este sería el supuesto 2, la persona trabajadora firma el consentimiento informado pero no se somete al chequeo médico ¿el empleador podría penalizar la nómina aportando como prueba un documento firmado otorgando un consentimiento informado? ¿Tendría garantía suficiente?

Proporcionalidad de la información objeto de cesión y finalidad

En el ámbito de la calidad y proporcionalidad aplicable a la transmisión de datos entre el empleador y los profesionales sanitarios, parece indiferente que la empresa disponga de servicio médico interno o recurra a servicios externos dado que, la información que podrán recabar los profesionales sanitarios, será siempre la que precisen para efectuar el chequeo médico. De igual manera, los datos que aporten o transmitan a la empresa deberá ser adecuada y proporcionada, exclusivamente aquella que determine la consecuencia jurídica que habilita la suspensión de los derechos económicos de acuerdo con lo previsto en el segundo párrafo del artículo 20.4 ET. En ningún supuesto los datos de salud.

A mayor abundamiento, la verificación de la situación de incapacidad temporal debe limitarse a la finalidad de control pretendida y respetando las reglas generales en materia de intimidad de la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y a la propia imagen, guardando secreto de los datos sanitarios del trabajador.

En el ámbito de la proporcionalidad y finalidad, cabe traer a colación la Sentencia 202/1999, de 8 de noviembre del Tribunal Constitucional. Una empresa poseía un fichero automatizado donde figuraba la relación de partes de baja de sus empleados, donde se consignaban las fechas de baja y alta laboral, motivo de la baja, la duración y el diagnóstico médico, estimando el Tribunal que el mantenimiento de la base de datos

“… no se dirige a la preservación de la salud de los trabajadores, sino al control del absentismo laboral… la realización de dichas actividades prescindiendo del consentimiento expreso del afectado ha de calificarse como una medida inadecuada y desproporcionada..”,

Deja un comentario | Etiquetas: chequeo médico, datos de salud, estatuto de los trabajadores, privacidad, Protección de datos, prueba, salud laboral, suspensión de derechos económicos, suspensión de nómina, verificación del estado de salud | Publicado en Protección de datos, salud laboral

9 noviembre, 2018

Ponencia «Anonimización de datos para la investigación biomédica» y bibliografía utilizada

Por Gonzalo Álvarez Hazas

A continuación, expongo la presentación utilizada en el marco de la jornada «Ciència oberta i dades de recerca en salut» organizada por el Comité de Ética de la Investigación de Illes Balears, así como los principales documentos y referencias bibliográficas

Captura

PRESENTACIÓN

Enlaces para la descarga de documento en pdf y power point

Anonimización de datos personales para investigación_v3

BIBLIOGRAFÍA

Legislación

REGLAMENTO (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)

RGPD

Ley 14/2007, de 3 de julio, de Investigación biomédica

Ley 41-2002 Ley 14-2007

Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Ley 41-2002

Proyecto de Ley Orgánica de Protección de Datos (En tramitación)

BOCG-12-A-13-3

Doctrina

Dictamen 05/2014 sobre técnicas de anonimización del Grupo de Trabajo del Artículo 29

wp216_es_ técnicas de anonimización

Guía de la Agencia Española de Protección de Datos «Orientaciones y garantías en los procedimientos de ANONIMIZACIÓN de datos personales»

Orientaciones_y_garantias_Anonimizacion

Informe jurídico de la Agencia Española de Protección de Datos 073667/2018 acerca de la incidencia que en el ámbito de la investigación biomédica pudiera producir la plena aplicación del Reglamento (UE) Genera de Protección de Datos 2016/679

2018-0046-investigacion-biomedica

Resolución R/02202/2015 procedimiento sancionador de la Agencia Española de Protección de datos a la entidad SOCIEDAD ESPAÑOLA DE CIRUGIA Y TRAUMATOLOGIA

PS-00368-2015_ORI

Dictamen de la Agencia Vasca de Protección de Datos D16-035: Consulta planteada por la dirección de régimen jurídico, económico y servicios generales del departamento de salud del gobierno vasco sobre cesión de datos personales de salud para la realización de estudios o investigaciones epidemiológicos

CN16-023_DIC_D16-035

Mi más sincero agradecimiento por la invitación a la jornada a la Fundació Institut d’Investigació Sanitària Illes Balears, al Comité de Ética de la Investigación de las Islas Baleares (CEI-IB), a la Biblioteca Virtual de Ciencias de la Salud de las Islas Baleares (Bibliosalut) y a la Dirección General de Acreditación Docencia e Investigación en Salud.

Deja un comentario | Etiquetas: anonimizar, consentimiento informado, datos de salud, disociar, historia clínica, Protección de datos, seudonimizar | Publicado en Investigación biomédica, legislación sanitaria

27 febrero, 2017

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

Por Gonzalo Álvarez Hazas

INTRODUCCIÓN

Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española.

Asimismo, se realizan referencias a legislación sectorial que contiene términos iguales o similares a fin de realizar un breve análisis que ayude a mantener una coherencia normativa.

ANONIMIZACIÓN, SEUDONIMIZACIÓN Y DISOCIACIÓN

En la normativa vigente en materia de protección de datos encontramos distintas referencias a los conceptos de anonimización, seudonimización y disociación.

Observemos las distintas definiciones y acepciones.

Ley orgánica de protección de datos

El Artículo 3 relativo a definiciones de la Ley Orgánica de Protección de Datos dispone con respecto a la disociación:

f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

Se deduce que la disociación de los datos personales produce tal efecto absolutamente irreversible o definitivo de tal modo que no es posible volver atrás o realizar el camino inverso. Por lo tanto, no es posible conocer los datos personales que originalmente eran objeto de tratamiento.

“Artículo 11

[…]

Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.”

En coherencia con la definición anteriormente expuesta, no es posible aplicar las reglas y condiciones de protección de datos aplicables a la cesión de información si previamente hemos disociado los datos. Por ejemplo, si únicamente enviamos nombres de personas físicas (sin otra información adicional como dni, apellidos, etc.) que la puedan hacer identificable.

O se envían datos estadísticos como número de personas en una franja de edad, u otros similares.

Reglamento de desarrollo de la LOPD

El Artículo 5.1 de definiciones del Real Decreto 1720/2007 de desarrollo de la Ley Orgánica de Protección de Datos contempla en los siguientes apartados:

“e) Dato disociado: aquél que no permite la identificación de un afectado o interesado.

p) Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados.”

De acuerdo a la definición contemplada en el reglamento, no cabe interpretación al respecto puesto que resulta determinante. Es taxativa. Se trata de información que de ningún modo aporta datos que sirvan para identificar a ninguna persona física, no cabe término medio.

Una vez disociada la información no cabe recuperar los datos.

Por último, el artículo 8 del reglamento, en relación al principio de calidad de los datos establece una previsión por cuanto cabe mantener datos disociados si el fin o uso al que estaban destinados ha finalizado. Dicha previsión es coherente con lo dispuesto anteriormente.

Artículo 8. Principios relativos a la calidad de los datos.

[…]

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.

Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.

Reglamento europeo de protección de datos

El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) introduce un nuevo concepto jurídico entre sus definiciones dispuestas en el artículo 4:

“«seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;”

El reglamento europeo no define procedimientos contemplados en nuestra legislación como disociar o anonimizar.

Introduce un nuevo concepto jurídico que en la actualidad no se reconoce en nuestra legislación vigente, seudonimizar (No existe en el diccionario de la RAE).

Se entiende que el proceso de seudonimizar consiste en separar la información original de tal modo que sin volverla a unir o asociarla no es posible identificar a personas físicas. El ejemplo que encajaría en dicho proceso sería el de aplicar un código a una muestra biológica que se envía a analizar a un laboratorio. De este modo, en el laboratorio obtendrían una información “seudonomizada” y sin disponer de información adicional no podrían conocer de qué persona física se trata.

Por lo tanto, efectuando un proceso inverso o reversible a la seudonimización se podría volver a obtener el dato de la persona física identificada.

El reglamento europeo lo asimila a una técnica o medida de seguridad para añadir seguridad y confidencialidad a los tratamientos de datos personales.

Publicidad de resoluciones u otros documentos doctrinales

Cabe traer a colación en este punto lo dispuesto en la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos

El Artículo 17 en sus apartados segundo y tercero dispone:

“2. Los dictámenes, informes y resoluciones de la Autoridad Catalana de Protección de Datos deben hacerse públicos, una vez notificados a las personas interesadas, previa «anonimización» de los datos de carácter personal, sin perjuicio de lo establecido por el apartado 1.”

De forma excepcional, puede optarse por no publicar las resoluciones sin interés doctrinal alguno o que, pese a la «anonimización», sea aconsejable por causas justificadas evitar su publicidad para impedir hacer reconocibles a las personas que lo solicitan.

Se utiliza el concepto anonimizar, por lo que se entiende que cabe hacer el proceso reversible a la información, es decir, volver a asociar los datos. A nuestro entender, equivaldría al proceso de seudonimización contemplado en el reglamento europeo. Es decir, se aplica una técnica o medida de seguridad a fin de preservar la confidencialidad de los datos que sin embargo siguen obrando en poder de un responsable del tratamiento.

El apartado 3 sin embargo, deja lugar a muchas dudas de interpretación puesto que dejan intuir que la anonimización no parece una técnica o medida de seguridad que garantice la confidencialidad de los datos.

A nuestro juicio, consideramos que lo que realmente se quiere hacer es disociar la información a fin de que no afecte de ningún modo a derechos de terceros dado que no se podría conocer de ningún modo ni directa ni indirectamente (identificada o identificable) a la persona física de la cual se trata el asunto.

No debería haber término medio en este tipo de situaciones, o es posible identificar de manera directa o indirecta a la persona física o resulta imposible.

Es cierto que el responsable de la información seguirá manteniendo los datos originales de modo legítimo y amparado en sus competencias, pero, en cualquier caso, observando lo dispuesto en el artículo 11.6 LOPD, no es posible aplicar protección de datos a las cesiones si previamente se ha efectuado una disociación de la información.

El propio reglamento de desarrollo de la Ley Orgánica de Protección de Datos dispone en su artículo 116 con respecto a la publicidad de las resoluciones de la Agencia Española de Protección de Datos:

La Agencia Española de Protección de Datos hará públicas sus resoluciones, con excepción de las correspondientes a la inscripción de un fichero o tratamiento en el Registro General de Protección de Datos y de aquéllas por las que se resuelva la inscripción en el mismo de los códigos tipo, siempre que se refieran a procedimientos que se hubieran iniciado con posterioridad al 1 de enero de 2004, o correspondan al archivo de actuaciones inspectoras incoadas a partir de dicha fecha.
La publicación de estas resoluciones se realizará preferentemente mediante su inserción en el sitio web de la Agencia Española de Protección de Datos, dentro del plazo de un mes a contar desde la fecha de su notificación a los interesados.
En la notificación de las resoluciones se informará expresamente a los interesados de la publicidad prevista en el artículo 37.2 de la Ley Orgánica 15/1999, de 13 de diciembre.
La publicación se realizará aplicando los criterios de disociación de los datos de carácter personal que a tal efecto se establezcan mediante Resolución del Director de la Agencia.[2]

Lo cual no deja lugar a dudas acerca de cuál debe ser el procedimiento a efectuar a fin de que resulte imposible identificar directa o indirectamente a las personas físicas que figuren en las resoluciones de la Agencia (Veáse también la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones), a diferencia de los criterios aplicados o contemplados en la legislación catalana anteriormente mencionada.

En la legislación sobre reutilización de datos de la Administración

La Ley 18/2015, de 9 de julio, por la que se modifica la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público introduce una novedad en el artículo 8 referente a las condiciones para la reutilización. En concreto, el apartado f) establece

«Artículo 8. Condiciones de reutilización.

La reutilización de la información de las Administraciones y de los organismos del sector público a los que se refiere el artículo 2 de la presente Ley podrá estar sometida, entre otras, a las siguientes condiciones generales:

a) Que el contenido de la información, incluyendo sus metadatos, no sea alterado.

b) Que no se desnaturalice el sentido de la información.

c) Que se cite la fuente.

d) Que se mencione la fecha de la última actualización.

e) Cuando la información contenga datos de carácter personal, la finalidad o finalidades concretas para las que es posible la reutilización futura de los datos.

f) Cuando la información, aún siendo facilitada de forma disociada, contuviera elementos suficientes que pudieran permitir la identificación de los interesados en el proceso de reutilización, la prohibición de revertir el procedimiento de disociación mediante la adición de nuevos datos obtenidos de otras fuentes.»

Dicho apartado f) dispone por lo tanto que se prohíbe revertir el proceso para obtener datos personales que en caso de que los documentos objeto de reutilización dispongan de información disociada.

Dicha condición resulta incoherente a la luz de la normativa de protección de datos que regula la disociación y de la doctrina interpretativa de las Agencias de Protección de Datos.

En primer lugar, en el artículo 3 f) de la Ley Orgánica 15/1999, se define el “procedimiento de disociación” de los datos personales como “Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable”.

Por otro lado, el artículo 5.1.e) del reglamento de desarrollo de la Ley Orgánica de Protección de Datos define dato disociado y procedimiento de disociación del siguiente modo:

Dato disociado: aquél que no permite la identificación de un afectado o interesado.

Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados.

A la luz de las definiciones mencionadas, parece claro que aplicar un procedimiento de disociación a datos de carácter personal implica consecuentemente que no pueda conocerse posteriormente a qué personas físicas se refiere la información resultante.

La Agencia Española de Protección de Datos en su informe jurídico 0283/2008 interpreta lo siguiente en relación a una consulta sobre disociación:

[…] En consecuencia, para entender que se ha efectuado correctamente la disociación, es necesario que no se permita por ningún medio identificar al paciente. Del tenor de la consulta se desprende que cada centro médico va a otorgar un número de historia clínica a los datos de sus pacientes, quiere decir que en cada centro médico el número de historia clínica está asociado a la identidad de una persona. Pues bien, en virtud de dichos preceptos, será suficiente que exista la mera posibilidad, incluso remota, de que, mediante la utilización, con carácter previo, coetáneo o posterior de cualquier medio (proceso informático, programa, herramienta del sistema, etcétera), la información concerniente a los pacientes, que obre en poder de la consultante, pueda revelar la identidad de los afectados, para que quede plenamente sometida a la Ley Orgánica. En consecuencia, para que un procedimiento de disociación pueda ser considerado suficiente a los efectos de la Ley Orgánica 15/1999, será necesario que de la aplicación de dicho procedimiento resulte imposible asociar un determinado dato con un sujeto determinado. En este sentido, las disposiciones internacionales reguladoras de la protección de datos de carácter personal vienen a considerar que el afectado no será determinable cuando su identificación exija un esfuerzo desproporcionado que sea suficiente para disuadir a quien accede al dato de la identificación de la persona a la que el mismo se refiere.

Es posible concluir que dato disociado es aquel que no permite identificar de ningún modo a una persona física ni siquiera asociando varios datos. La propia Agencia de Protección de Datos determina taxativamente que para considerar un procedimiento de disociación correctamente aplicado ha de ser imposible asociar información con personas físicas para conocer de qué sujeto se trata.

Recordemos que la Agencia establece que será suficiente que exista la mera posibilidad, incluso remota, de que, mediante la utilización, con carácter previo, coetáneo o posterior de cualquier medio (proceso informático, programa, herramienta del sistema, etcétera), la información pueda revelar la identidad de los afectados, para que quede plenamente sometida a la Ley Orgánica.

Teniendo en cuenta la normativa de protección de datos y la interpretación doctrinal sobre el concepto de disociación, se entiende que la condición que introduce la Ley 18/2015 de reutilización relativa a la disociación de los datos no es correcta puesto que contempla la posibilidad de que a la información disociada contenida en documentos objeto de reutilización se le puedan aplicar procesos que reviertan el procedimiento de disociación a fin de extraer datos de personas físicas, por lo que resultaría plenamente aplicable la normativa de protección de datos de carácter personal. (En cuyo caso sería aplicable el apartado e) del artículo 8 Ley 18/2015)

Si se ha realizado correctamente el procedimiento de disociación debería resultar absolutamente imposible conocer el dato de persona física de tal modo que no cabe prohibir la reversión.

Legislación sobre transparencia

La Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno dispone en cuanto a transparencia activa:

“Artículo 5. Principios generales.

Los sujetos enumerados en el artículo 2.1 publicarán de forma periódica y actualizada la información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad relacionada con el funcionamiento y control de la actuación pública.
Las obligaciones de transparencia contenidas en este capítulo se entienden sin perjuicio de la aplicación de la normativa autonómica correspondiente o de otras disposiciones específicas que prevean un régimen más amplio en materia de publicidad.
Serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en el artículo 14 y, especialmente, el derivado de la protección de datos de carácter personal, regulado en el artículo 15. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos.

[…]

La redacción de la norma de transparencia resulta coherente con respecto a la definición de dato disociado. De este modo, una vez disociada la información no cabe aplicar protección de datos.

En cuanto a publicidad pasiva o derecho de acceso a la información pública, el artículo 15 de la Ley establece igualmente que:

Artículo 15. Protección de datos

[…]

No será aplicable lo establecido en los apartados anteriores si el acceso se efectúa previa disociación de los datos de carácter personal de modo que se impida la identificación de las personas afectadas.

[…]

En consonancia, una vez disociada la información (proceso irreversible) no cabe aplicar protección de datos.

Conceptos en la legislación sanitaria

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica utiliza el concepto dato anónimo en su artículo 16 con respeto a los usos de la historia clínica.

Artículo 16. Usos de la historia clínica.

La historia clínica es un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente. Los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica de éste como instrumento fundamental para su adecuada asistencia.
Cada centro establecerá los métodos que posibiliten en todo momento el acceso a la historia clínica de cada paciente por los profesionales que le asisten.
El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

En concreto, el artículo 16 dispone que, a fin de garantizar la seguridad y anonimato del paciente, se separen los datos identificativos de los estrictamente clínico asistenciales cuando se utilicen con los fines previstos en dicho artículo, esto es, con fines judiciales, epidemiológicos, de salud pública, investigación, docencia salvo consentimiento del interesado.

Este caso, encaja con el proceso de anonimización que no regula la normativa de protección de datos, aun cuando el propio artículo se remite a lo dispuesto en la LOPD, si bien sí se contempla en algunos preceptos sobre publicidad de resoluciones y documentos doctrinales tal y como hemos visto anteriormente.

La medida encajaría sin embargo en el nuevo concepto introducido por el reglamento europeo de protección de datos relativo a seudonimización dado que se separan los datos personales a efectos de terceros si bien el responsable de ficheros (entidad sanitaria) seguirá manteniendo los datos en el propio fichero de historial clínico.

El Decreto 38/2012 de historia clínica de Euskadi reproduce en su artículo 16 el mismo tenor literal con respecto a los usos de la historia clínica y sobre el dato anónimo.

Legislación sobre investigación biomédica

Resulta destacable analizar la Ley 14/2007, de 3 de julio, de Investigación biomédica porque introduce muchas definiciones que resultan interesantes de contrastar con lo expuesto hasta el momento.

El artículo 3 de la Ley de investigación biomédica define varios conceptos como “anonimización”, “dato anónimo”, “dato anonimizado o irreversiblemente disociado”, “Dato codificado o reversiblemente disociado”, “Muestra biológica anonimizada o irreversiblemente disociada”, “Muestra biológica anonimizada o irreversiblemente disociada”.

Artículo 3. Definiciones.

A los efectos de esta Ley se entenderá por:

a) […]

b) […]

c) «Anonimización»: proceso por el cual deja de ser posible establecer por medios razonables el nexo entre un dato y el sujeto al que se refiere. Es aplicable también a la muestra biológica.

d) […]

e) […]

f) […]

g) […]

h) «Dato anónimo»: dato registrado sin un nexo con una persona identificada o identificable.

i) «Dato anonimizado o irreversiblemente disociado»: dato que no puede asociarse a una persona identificada o identificable por haberse destruido el nexo con toda información que identifique al sujeto, o porque dicha asociación exige un esfuerzo no razonable, entendiendo por tal el empleo de una cantidad de tiempo, gastos y trabajo desproporcionados.

j) […]

k) «Dato codificado o reversiblemente disociado»: dato no asociado a una persona identificada o identificable por haberse sustituido o desligado la información que identifica a esa persona utilizando un código que permita la operación inversa.

l) […]

m) […]

n) […]

o) […]

p) «Muestra biológica anonimizada o irreversiblemente disociada»: muestra que no puede asociarse a una persona identificada o identificable por haberse destruido el nexo con toda información que identifique al sujeto, o porque dicha asociación exige un esfuerzo no razonable.

q) «Muestra biológica no identificable o anónima»: muestra recogida sin un nexo con una persona identificada o identificable de la que, consiguientemente, no se conoce la procedencia y es imposible trazar el origen.

r) «Muestra biológica codificada o reversiblemente disociada»: muestra no asociada a una persona identificada o identificable por haberse sustituido o desligado la información que identifica a esa persona utilizando un código que permita la operación inversa.

[…]”.

De las definiciones transcritas, cabe destacar la referente a “Datos anonimizado o irreversiblemente disociado”. Dado que mezcla conceptos jurídicos que hasta el momento parecían claros. Esto es, se asimila anonimizar a disociar, lo cual no es correcto desde el punto de vista de protección de datos y de la legislación sanitaria. Anonimizar, según la legislación sanitaria consiste en separar los datos, con el fin de aportar seguridad y confidencialidad de cara a su visualización por terceros de tal modo que no resulte identificable la persona de la cual se trata la información (Artículo 16 de la Ley 41/2002 sobre usos de la historia clínica).

Y disociar significaba aplicar un proceso mediante el cual se destruía el nexo de unión de los datos de tal modo que no cabe llevar a cabo ningún procedimiento reversible, por lo tanto, es absoluto. No cabe realizar ningún esfuerzo sea este proporcionado, desproporcionado o de cualquier índole. Según la normativa de protección de datos, disociar significa que no hay dato de persona física definitivamente.

Por lo tanto, entiendo que debería utilizarse el concepto disociar en consonancia con lo dispuesto en la normativa de protección de datos con el fin de aportar mayor seguridad jurídica.

Y por otro lado, tenemos otro concepto novedoso como es el de “dato codificado o reversiblemente disociado”.

Se vuelven a mezclar conceptos puesto que disociar, como hemos visto, no puede ser un proceso reversible, es definitivo, ya no hay dato de persona física identificada o identificable.

De la definición parece deducirse que realmente se explica el proceso de anonimizar o desde el punto de vista del reglamento europeo de protección de datos se trataría del proceso de seudonimizar. Esto es, se separan datos personales, pero sigue habiendo un nexo de unión y por lo tanto, mediante un proceso reversible se podría volver a conocer el dato (Se trata del ejemplo expuesto anteriormente de aplicar un código a una muestra biológica que se envía a analizar a un laboratorio, el código representa el nexo de unión pero el laboratorio desconoce de qué persona física es la muestra).

Anonimizar, seudonimizar y disociar en el diccionario de la RAE

De las consultas realizadas al Diccionario de la Real Academia de la Lengua Española sobre los conceptos anteriormente mencionados, estos han sido los resultados:

Concepto	Resultado
Seudonimizar (artículo 4.5 del Reglamento Europeo de Protección de Datos)	La palabra *seudonimizar* no está en el Diccionario
Anonimizar (Artículo 3.c de la Ley de investigación biomédica)	Expresar un dato relativo a entidades o personas, eliminando la referencia a su identidad.
Disociar (Artículo 3.f de la LOPD)	Separar algo de otra cosa a la que estaba unida

CONCLUSIONES

Seudonimizar y anonimizar

En primer lugar, cabe indicar que el reglamento europeo introduce un nuevo concepto, seudonimización, que como tal no existe en nuestra legislación ni en el diccionario de la Real Academia de la Lengua Española.

A nuestro juicio, teniendo en cuenta el análisis realizado anteriormente, entendemos que se trata de una medida de seguridad o procedimiento para garantizar la seguridad y confidencialidad de los datos objeto de tratamiento por cualquier organización. Y que se equipararía al procedimiento de anonimización visto en normativa referenciada en protección de datos (Artículos 116 del RLOPD y 17 de la Ley 32/2010 de la Autoridad Catalana de Protección de Datos) y en la normativa sanitaria (Artículo 16 de la Ley 41/2002).

La Agencia Española de Protección de Datos equipara anonimizar y seudonimizar en algunos documentos doctrinales como en su informe jurídico 2015-0364 “Distinción entre depuración y segmentación.-Uso de hash para comunicar base de datos” y en las conclusiones de la guía “Orientación y garantías en los procedimientos de anonimización de datos personales”.

“Los procesos de anonimización y seudonimización son una herramienta válida para garantizar la privacidad de los datos personales y sus limitaciones son inherentes al avance de la tecnología”

En este sentido, resultaría aconsejable una coherencia en la redacción de la legislación futura y actualmente vigente dado que se ha de trasponer a nuestra normativa el concepto “seudonimizar” que, en la actualidad, entendemos que ya existe y se conoce como “anonimizar”.

Disociar

Por otro lado, el concepto de disociación no deja lugar a dudas en nuestra normativa dado que se define como el procedimiento aplicado a los datos por cuanto la información resultante no permite identificar a ninguna persona física. Se trata de un proceso irreversible, definitivo. Y que una vez aplicado decaería la aplicación de la LOPD.

Cabe asimismo destacar que el concepto “disociar” no se introduce en ningún considerando o articulado del reglamento europeo.

No cabe obviarlo evidentemente pero cabe destacar este punto dado que no puede olvidarse ante la transposición de la norma europea a nuestro ordenamiento jurídico.

Distinción de tratamientos de datos personales y procedimientos

A nuestro juicio, con el fin de mantener una coherencia normativa se entiende que pueden existir tres estados distintos con respecto al tratamiento o finalización del tratamiento, de los datos en función de los conceptos contemplados en la normativa vigente, a saber:

Tratamiento de datos de personas físicas: de tal modo que se identifican directa o indirectamente a las personas.
Datos seudonimizados o anonimizados: se trataría de un supuesto intermedio mediante el cual un responsable del tratamiento aplica un proceso o medida de seguridad separando, desagregando la información de tal modo que, en el caso de que un tercero disponga de una parte, no sea capaz de identificar directa o indirectamente a una persona física. (Ej, uso de códigos asociados a personas). Evidentemente, el responsable de los datos puede revertir el proceso a fin de acceder a la información objeto de protección y por lo tanto, resultaría de aplicación la normativa de protección de datos en cualquier fase del proceso.
Datos disociados o procedimiento de disociación: el proceso aplicado a los datos personales es irreversible, es decir, no es posible aplicar ningún procedimiento inverso y por lo tanto no serían recuperables los datos personales originales de ningún modo. En definitiva, a los datos resultantes de la disociación, no cabría aplicar la normativa de protección de datos.

Deja un comentario | Etiquetas: Agencias de Protección de Datos, anonimizar, datos de salud, disociar, historia clínica, Protección de datos, seudonimizar | Publicado en Investigación biomédica, legislación sanitaria, Protección de datos

14 noviembre, 2014

La Audiencia Nacional estima el recurso interpuesto por un Ayuntamiento ante una sanción de la Agencia Española de Protección de Datos por falta de prueba

Por Gonzalo Álvarez Hazas

La Agencia Española de Protección de Datos sancionó inicialmente a un Ayuntamiento por infringir el artículo 4.2 de la LOPD, tipificada como grave, por utilizar los datos para un fin incompatible [Enlace a la resolución]. En concreto, se enjuicia la remisión desde un teléfono del que es titular un Alcalde de dos SMS de contenido electoral a vecinos de la localidad, sirviéndose para ello, supuestamente, de los datos de ficheros del Ayuntamiento.

La resolución impugnada ante la Sala de lo Contencioso de la Audiencia Nacional relata como hechos probados que varios denunciantes recibieron mensajes de móvil relacionados con unas elecciones locales con el siguiente contenido:

“1) Pacto PSOE, fulanito en el Ayuntamiento. A mí me da miedo. 2) PSOE-Paro-PSOE-ruina. Votar al chaquetero es votar al PSOE pásalo”

El titular del número desde el que se enviaron los SMS, según el operador era el Alcalde quien se presentaba como candidato del PP, y que negó ser el autor de los hechos.

Los denunciantes indican que aportaron sus direcciones de correo electrónico y números de teléfono móvil cuando acudieron a realizar actividades deportivas al Polideportivo del Ayuntamiento. Los números de teléfono que constan en la aplicación informática del Área de Deportes son los mismos en los que se recibieron los SMS objeto de denuncia y son parte del fichero que tiene registrado el Ayuntamiento ante la Agencia Española de Protección de Datos con el fin declarado de gestionar “la inscripción en cursos, la reserva de instalaciones, el cobro de cuotas y la gestión de competiciones»

El Ayuntamiento adujo ante la Audiencia Nacional que la resolución de la Agencia Española de Protección de Datos vulneraba el principio de presunción de inocencia, porque la imputación que se le dirigía no se sustentaba sobre prueba directa sino sobre sospechas y conjeturas, al utilizarse manifestaciones tales como «sospechaban», «posiblemente», «no sería descabellado pensar», etc.

Se alegó que no quedaba acreditado que para el supuesto envío de SMS el Ayuntamiento hubiese utilizado datos de los denunciantes del fichero de Deportes.

En conclusión, dispone la Audiencia Nacional en su sentencia que, si bien resulta acreditado que los mensajes SMS remitidos al teléfono móvil de los denunciantes fueron enviados desde la línea telefónica titularidad del Alcalde no es menos cierto que no se ha podido acreditar que los números de teléfono móvil se obtuvieran del fichero “Deportes” puesto que se desconoce en qué fecha se dieron de alta en la base de datos informática, y por lo tanto, pudieron introducirse incluso después del envío de los SMS.

Deja un comentario | Etiquetas: Agencia Española de Protección de Datos, Audiencia Nacional, Protección de datos, prueba, Sanción | Publicado en Administración pública, Agencias de Protección de Datos

3 noviembre, 2014

La Red Global de Control de la Privacidad (GPEN) presentó un estudio sobre las condiciones de privacidad de las apps móviles, con interesantes conclusiones

Por Gonzalo Álvarez Hazas

Septiembre 2014.

Los resultados del estudio sobre las condiciones de privacidad de las aplicaciones móviles incluyen el análisis de más de 1.200 aplicaciones gratuitas y de pago para dispositivos móviles, tanto de entidades públicas como privadas y tiene como objetivo fomentar el cumplimiento de la legislación de protección de datos y privacidad y promover la concienciación de los usuarios.

El análisis –en el que también han participado, entre otras, las Autoridades de Protección de Datos de Alemania, Canadá, Francia, Italia o Reino Unido– ha examinado aplicaciones móviles de dispositivos Apple y Android, tanto gratuitas como de pago, públicas y comerciales, pertenecientes a categorías como el ocio, la salud, el ejercicio físico o la realización de transacciones bancarias, entre otras.

Las entidades participantes se han centrado principalmente en analizar indicadores como el tipo de permisos solicitados por las aplicaciones; si estos eran excesivos en relación con el servicio prestado por la app; y la manera en que se explicaba a los usuarios para qué solicitaban su información personal y qué uso planeaban darle a la misma.

Cabe destacar los siguientes resultados del estudio:

Solo un 15% de las apps examinadas suministraban información clara a los usuarios sobre cómo van a ser recopilados, utilizados y divulgados sus datos personales.
Casi un tercio de las aplicaciones analizadas solicitaban permisos excesivos en relación con las funciones que realizan.
En el 59% de las apps a los participantes no les resultó fácil encontrar las informaciones relativas a la privacidad antes de proceder a la instalación.
Las aplicaciones que gozan de gran popularidad en el mercado se encuentran entre las que han obtenido las mejores puntuaciones, lo cual evidencia que ofrecer una información adecuada, empleando un lenguaje claro y conciso, no sólo no repercute de manera negativa en el número de descargas sino que contribuye a incrementar la confianza de los consumidores y puede influir favorablemente en el volumen de descargas.

La Red Global de Control de la Privacidad (GPEN), creada para fomentar la cooperación transfronteriza entre autoridades, está compuesta por entidades nacionales y regionales de todo el mundo, entre las que se encuentran las principales Autoridades Europeas de Protección de Datos, el Supervisor Europeo de Protección de Datos y la Comisión Federal de Comercio (FTC, por sus siglas en inglés)

Fuente de la noticia: Agencia Española de Protección de Datos [Enlace]

Deja un comentario | Etiquetas: Agencia Española de Protección de Datos, privacidad, Protección de datos | Publicado en Apps, Móviles, Protección de datos

Derecho de las TIC

Archivo de la etiqueta: Protección de datos

Artículo 28. Documentos aportados por los interesados al procedimiento administrativo.

4. Posición de la Doctrina y conclusiones

Licitud del tratamiento

¿Es necesario un consentimiento específico para someterse al chequeo médico?

Proporcionalidad de la información objeto de cesión y finalidad

PRESENTACIÓN

BIBLIOGRAFÍA

Legislación

Doctrina

INTRODUCCIÓN

ANONIMIZACIÓN, SEUDONIMIZACIÓN Y DISOCIACIÓN

Ley orgánica de protección de datos

Reglamento de desarrollo de la LOPD

Reglamento europeo de protección de datos

Publicidad de resoluciones u otros documentos doctrinales

En la legislación sobre reutilización de datos de la Administración

Legislación sobre transparencia

Conceptos en la legislación sanitaria

Legislación sobre investigación biomédica

Anonimizar, seudonimizar y disociar en el diccionario de la RAE

CONCLUSIONES

Seudonimizar y anonimizar

Disociar

Distinción de tratamientos de datos personales y procedimientos

Entradas por tema

Sigue el blog por Email

Entradas recientes del blog de Gontzal Gallo: Entre Códigos Civiles y Androides

Entradas recientes del blog de Jesús Soler: jsolerabogado

Etiquetas

Mapa web

Etiquetas

Redes sociales