Delegado de protección de datos > El Blog del DPD/DPO

Geolocalización de usuarios por parte del Gobierno para luchar contra el Covid-19

14 abril, 2020 | GDPR Legal

El Ministerio de Sanidad publicaba el pasado 28 de marzo la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, que contempla el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, y que contiene, entre otras, las siguientes medidas en relación con la geolocalización de los usuarios:

  • Desarrollo de una App de autoevaluación

Se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo urgente y operación de una aplicación informática para la autoevaluación de los usuarios en base a los síntomas médicos que comunique, que permitiría la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar, para poder personalizar las respuestas en función del protocolo de cada una de ellas.

En este caso, el Ministerio de Sanidad será el responsable del tratamiento de estos datos, mientras que la Secretaría será encargada de tratamiento.

  • Estudio de movilidad DataCOVID-19

Asimismo, se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial el análisis de la movilidad de las personas en los días previos y durante el confinamiento, a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada.

En este caso, los operadores de comunicaciones electrónicas móviles comunicarán los datos de movilidad al Instituto Nacional de Estadística, para la realización del estudio.

Por tanto, el Gobierno únicamente realizará un tratamiento de datos personales de geolocalización de los usuarios que, previo consentimiento expreso, descarguen y utilicen la app de salud, y a los solos efectos de verificar la comunidad autónoma en la que están. El estudio de movilidad utiliza datos anonimizados.

Estas medidas han hecho que muchos se lleven las manos a la cabeza por la creencia de que estarían habilitando al Gobierno a realizar un seguimiento en masa de los ciudadanos, vulnerando así su derecho a la protección de datos personales.

Respecto al tratamiento de datos de salud mediante la aplicación, la Agencia Española de Protección de Datos (AEPD) viene recordando que existe habilitación para el tratamiento de datos personales en base a la necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas.

Así, la base jurídica de licitud o legitimación para realizar este tratamiento de datos se concretaría en los artículos 6.1.d) y e) del RGPD: “el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”, o para el cumplimiento de una misión realizada en interés público”.

Además, al estar tratando datos de categoría especial, el tratamiento debe ampararse en las excepciones que recoge el artículo 9.2 RPGD. En este supuesto tenemos las del 9.2.c), g) e i): “el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”, “por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros“, o “de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud”, así como la del 9.2.a) “cuando el interesado dio su consentimiento explícito al introducir los datos en la App.

En cuanto a la base legal que sustenta el “interés público esencial”, podría atenderse a las siguientes disposiciones del ordenamiento jurídico español:

  • Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo)

Artículo tercero:

“con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, […], podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

  • Ley 14/1986, de 25 de abril, General de Sanidad

Artículo 26:

  1. En caso de que exista o se sospeche razonablemente la existencia de un riesgo inminente y extraordinario para la salud, las autoridades sanitarias adoptarán las medidas preventivas que estimen pertinentes, tales como la incautación o inmovilización de productos, suspensión del ejercicio de actividades, cierres de Empresas o de sus instalaciones, intervención de medios materiales y personales y cuantas otras consideren sanitariamente justificadas.
  • Ley 33/2011, de 4 de octubre, General de Salud Pública

Artículo 54. Medidas especiales y cautelares.

  1. En particular, sin perjuicio de lo previsto en la Ley 14/1986, de 25 de abril, General de Sanidad, la autoridad competente podrá adoptar, mediante resolución motivada, las siguientes medidas: (…) f) Cualquier otra medida ajustada a la legalidad vigente si existen indicios racionales de riesgo para la salud incluida la suspensión de actuaciones de acuerdo a lo establecido en el Título II de esta ley.
  1. Las medidas se adoptarán previa audiencia de los interesados, salvo en caso de riesgo inminente y extraordinario para la salud de la población y su duración no excederá del tiempo exigido por la situación de riesgo que las motivó. Los gastos derivados de la adopción de medidas cautelares contempladas en el presente artículo correrán a cargo de la persona o empresa responsable.

Las medidas que se adopten deberán, en todo caso, respetar el principio de proporcionalidad.

De modo que podríamos entender que las medidas encomendadas por el Gobierno hallarían base jurídica de licitud para realizar el tratamiento de los datos. Ahora bien, aunque la legislación española habilita legalmente al referido tratamiento de datos, ninguna de las citadas normas incluye las medidas adecuadas y específicas para proteger los derechos y libertades del interesado exigidas por las letras g) e i) del RGPD, por lo que es esta la cuestión que debe ser analizada actualmente. Entre éstas, cabría destacar la necesidad de garantizar que los datos se utilicen solo para la finalidad indicada y sean eliminados al finalizar la pandemia, salvo su reutilización con fines de investigación, mediante su anonimización o pseudonimización.

Por el momento, la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 está disponible en seis comunidades autónomas: Asturias, Canarias, Cantabria, Castilla-La Mancha, Extremadura y Comunidad de Madrid, según Nota de prensa del Gobierno de fecha 6 de abril.

La mencionada Nota de Prensa precisa que el sistema de geolocalización vía GPS del teléfono móvil únicamente se activará con permiso del usuario y para la validación de la comunidad autónoma en la que se encuentra el usuario, para personalizar las respuestas en función de los protocolos de cada una de ellas.

Lo mismo señala la Política de Privacidad de la aplicación:

“Geolocalización (esto es, la localización vía GPS de tu teléfono móvil), opcional para saber dónde te encuentras y poder ofrecerte las mejores medidas preventivas y de evaluación en cada momento. La geolocalización sólo se utilizará a la hora de registrarte y realizar tus autoevaluaciones, para poder conocer en qué Comunidad Autónoma te encuentras y poder conectarte con el sistema de atención sanitaria que te corresponda. No se rastrea tu localización para finalidades distintas de las señaladas”.

También en la sección de Preguntas Frecuentes de la aplicación se da respuesta a la cuestión de “¿La aplicación recoge datos de localización?”, de la siguiente manera: “La aplicación web solicita acceso a la localización vía GPS únicamente a la hora de registrarse y enviar autoevaluaciones para poder conocer en qué Comunidad Autónoma se encuentran los usuarios y poder conectarles con el sistema de atención sanitaria que les corresponda. Esta información es recogida con el propósito de garantizar la calidad de los datos y su análisis epidemiológico y así poder entender la distribución de los síntomas con datos lo más fiables posibles. El usuario puede denegar el acceso a la localización GPS, pero debe proporcionar una dirección donde se encuentra por si la administración necesitara ponerse en contacto con él y con fines epidemiológicos. La aplicación no recoge información continua de localización de los usuarios, ni rastrea su localización, ni tampoco realiza geofencing para determinar si el ciudadano se encuentra en su domicilio”.

Otras comunidades autónomas han desarrollado sus propias aplicaciones, así como otras herramientas de ayuda:

  • CoronaMadrid (Madrid)
  • Stop COVID19 (Cataluña)
  • Salud Responde (Junta de Andalucía)
  • Asistente informativo COVID-19 (Junta de Andalucía)
  • Info Covid19 GVA (Comunidad Valenciana)
  • Test COVID-19 (Castilla y León)
  • CoronaTest (Navarra)
  • COVID-19.EUS (Euskadi)
  • Coronavirus Sergas (Xunta de Galicia)

Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

Equipo Govertis

 

protección de datos y COVID19

Soluciones operativas para el tratamiento de datos de salud de los empleados por Covid-19

8 abril, 2020 | GDPR Legal

La declaración del estado de alarma, con motivo de la pandemia del Covid-19, ha traído consigo una serie de normas y medidas de carácter excepcional con afectación en cuanto al tratamiento de datos personales. Para aterrizar estas medidas al día a día de las empresas y administraciones, los organismos y autoridades de control con competencia en la materia han elaborado informes, guías, píldoras, etc., con el objeto de que faciliten la comprensión de las mismas.

En lo que respecta al tratamiento de datos de salud en el ámbito de la Prevención de Riesgos Laborales, para la prevención del contagio del Covid-19 y evitar su propagación, conforme a la interpretación que se derivan de los informes citados, y en base a la normativa aplicable, podemos extraer las siguientes conclusiones:

  • El empleador podrá tomar la temperatura a los trabajadores, como medida relacionada con la vigilancia de su salud en materia de Prevención de Riesgos Laborales. Ésta debe ser realizada, siempre que sea posible, por personal sanitario. Aunque a primera vista de la faq de la AEPD parece que no hay otra opción quizá (es una opinión personal) pueda entenderse que “si no fuera posible” cabría interpretar que no habría inconveniente en que esta labor se llevara a cabo por personal de la empresa de seguridadsi bien el diagnóstico y medidas derivadas de dicha medición correspondería únicamente a un profesional sanitario. Estas tomas deben obedecer únicamente a la finalidad específica de contener la propagación del coronavirus y conservarse únicamente durante el tiempo necesario para la finalidad de emergencia sanitaria. Una de las opciones que se han barajado es por ejemplo la utilización de cámaras térmicas.
  • Eempleador podrá preguntar a las personas trabajadoras si han visitado países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, si tienen síntomas, si están sujetas a cuarentena o si están infectadas, con el fin de que su servicio de prevención diseñe los planes de contingencia que sean necesarios.
  • El empleador deberá comunicar al resto de la plantilla las personas trabajadoras infectadas cuando sea necesario para preservar la salud del personal, y sin identificar a la persona afectada, salvo que así lo considerasen las autoridades competentes, o fuera necesaria la información identificativa de los contagiados para dicho fin. En estos supuestos se habrían de reforzar las medidas de protección en su comunicación.
  • El trabajador que, por aplicación de los protocolos establecidos por las Autoridades Sanitarias competentes, se vean sometidos al aislamiento preventivo, tendrá el deber informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención, en aplicación de la Ley de Prevención de Riesgos Laborales.

*Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

Equipo de Govertis

logo govertis

Brechas y derechos

¿Se deben seguir notificando las brechas de seguridad de datos personales y respondiendo a los derechos de los interesados durante el estado de alarma?

7 abril, 2020 | GDPR Legal

La Agencia Española de Protección de Datos (AEPD) viene manifestando en los diferentes recursos publicados, que esta situación de emergencia generada por la pandemia del Covid-19 no puede suponer una suspensión del derecho fundamental a la protección de datos personales.

Es por ello que, si bien el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, suspende, en su disposición adicional tercera, los plazos para la tramitación de los procedimientos de las entidades del sector público, la AEPD aclara en su Blog que las obligaciones impuestas en el Reglamento UE 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) relativas a la notificación de brechas de seguridad de los datos personales, así como la obligación de comunicar a los interesados en caso de que estas entrañen un alto riesgo para los derechos y libertades de las personas física, no quedan suspendidas.

Esto es, en caso de que, durante el estado de alarma, los responsables y encargados de tratamiento sufran una brecha de seguridad de los datos personales que constituya un riesgo para los derechos y libertades de las personas físicas, deben seguir cumpliendo con sus obligaciones de notificación a la Autoridad de Control en el plazo de 72 horas mediante la presentación de la notificación de forma telemática a través de la sede electrónica de la AEPD. Además, cuando sea probable que la brecha entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable lo comunicará también al interesado lo antes posible, siendo especialmente relevante esta comunicación a los interesados en periodos de especial vulnerabilidad como el actual.

Por otra parte, aunque la AEPD no se pronuncia en su Blog sobre la suspensión de los plazos para dar respuesta al ejercicio de derechos de los artículos 15 a 22 del RGPD, estos plazos no quedarían suspendidos. No obstante, los responsables del tratamiento podrían acogerse a la prórroga de dos meses en virtud del artículo 12.3 del RGPD, siempre que informen al interesado en el plazo de un mes a partir de la recepción de la solicitud e indiquen los motivos de la dilación, por ejemplo, describiendo cómo afecta a la actividad del responsable la crisis del coronavirus. Ahora bien, la sola mención a la actual situación de emergencia sanitaria de salud pública podría no ser suficiente a estos efectos en todos los casos, dado que las tecnologías de la información y comunicación permiten, en muchos de ellos, dar continuidad a la actividad profesional.

*Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

Equipo de Govertis

Acceso directo a Govertis

Orden para la creación de una App y estudio de movilidad para el COVID-19

31 marzo, 2020 | GDPR Legal

Durante estos días, con motivo de la situación excepcional de pandemia y la consiguiente declaración del estado de alarma en España, hemos asistidos a la proliferación de aplicaciones móviles y herramientas para tratar de ayudar a prevenir la pandemia del coronavirus, proteger la salud de los ciudadanos o evitar de colapso de los servicios sanitarios. La premura que ha acompañado a estas iniciativas ha originado una dispersión y falta de coordinación que no ha estado exenta de polémicas, entre otras, por las posibles derivadas en materia de protección de datos.

Los datos de salud están sujetos a una especial protección en la normativa de protección de datos, y esto, unido al tratamiento de datos de geolocalización, suscita dudas a la hora de valorar la legalidad o no de las soluciones ofrecidas. Sin embargo, la normativa vigente ya prevé con nitidez situaciones como la actual, que flexibiliza los requisitos siempre que se cumplan una serie de garantías.

Estando así las cosas, el Gobierno acaba de publicar la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, que contempla el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, con un doble objetivo:

  • “Ofrecer canales alternativos de información fiable a los ciudadanos, a través de aplicaciones, asistente conversacional o página web que permitan aliviar la carga de trabajo de los servicios de emergencia de las Administraciones Públicas
  • Contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento, para ver cómo de dimensionadas están las capacidades sanitarias en cada provincia.”

Por ello, se ha encomendado a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo urgente de los siguientes servicios:

  1. APP AUTOEVALUACIÓN

App que permita realizar al usuario la autoevaluación en base a los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el COVID-19, y ofrecerle información y recomendaciones de acciones a seguir. Permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.

La Secretaría será encargado de tratamiento, y el Ministerio de Sanidad el responsable.

  1. CHATBOT ATENCIÓN CIUDADANA

Asistente conversacional/chatbot para ser utilizado vía WhatsApp y otras aplicaciones de mensajería instantánea. Proporcionará información oficial ante las preguntas de la ciudadanía.

La Secretaría será encargado de tratamiento, y el Ministerio de Sanidad el responsable.

  1. WEB INFORMATIVA

Web informativa con los recursos tecnológicos disponibles.

  1. ESTUDIO DATACOVID-19

Realizar un análisis de la movilidad de las personas en los días previos y durante el confinamiento, a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, de acuerdo con el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad.

Ya en su día, el estudio de movilidad llevado a cabo por el INE generó controversia, sobre todo por la falta de transparencia con la que se llevó a cabo, lo que obligó a la Agencia Española de Protección de Datos a solicitar información adicional al INE.

El responsable del tratamiento será el Instituto Nacional de Estadística. Los encargados del tratamiento serán los operadores de comunicaciones electrónicas móviles, a los que se autoriza a recurrir a otros encargados. En este punto adquiere especial relevancia la ubicación de los sistemas de información y comunicaciones para el registro de datos, ya que según el Real Decreto-ley 14/2019, de 31 de octubre, los datos y tratamientos de los mismos de usuarios del Sistema Nacional de Salud deberán ubicarse y prestarse dentro del territorio de la Unión Europea.

  1. PUNTO CENTRAL DE COORDINACIÓN

Crear un punto central de coordinación para la evaluación de propuestas tecnológicas por parte de otros organismos y entidades. Con esto se pretenden centralizar todas las iniciativas públicas y privadas que se han ido sucediendo a lo largo de estos días, de cara a evitar la dispersión y aunar esfuerzos.

En definitiva, se ponen en marcha desde la Administración, de forma urgente, soluciones tecnológicas que permitan aprovechar y exprimir todos los medios y la información que tiene a su alcance, con el objetivo de generar confianza y seguridad, garantizar la fiabilidad de la información y asegurar el respeto a los derechos y libertades de los ciudadanos.

Inscríbete al II Insight Club DPD 2020 vía streaming 

Jueves 2 de abril

Equipo de Govertis

portabilidad de los datos

¿Qué datos debe facilitar el responsable del tratamiento cuando se ejercita el derecho a la portabilidad de los datos?

18 marzo, 2020 | GDPR Legal

La entrada en vigor del Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD) trajo consigo la inclusión de nuevos derechos para los interesados, entre los que se encuentra el derecho a la portabilidad de los datos.

Este derecho, que permite a los interesados obtener los datos facilitados al responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, ha de ejercerse en los términos del artículo 20 RGPD:

1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

  1. a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
  2. b) el tratamiento se efectúe por medios automatizados.
  3. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
  4. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  5. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros”.

Recientemente, la Agencia Española de Protección de Datos (AEPD) emitía una resolución que ofrecía respuesta a la pregunta de cuáles son los datos “facilitados” al responsable de tratamiento a los que se refiere el RGPD, que el interesado tiene derecho a recibir.

Concretamente, la resolución se originó con la reclamación de un usuario que ejerció su derecho de portabilidad ante una empresa de telecomunicaciones y que no quedó satisfecho con los datos entregados por la misma, ya que únicamente recibió los datos que él mismo había facilitado a la empresa de comunicaciones: nombre, apellidos, DNI, teléfono, dirección, correo electrónico y datos bancarios; y no otros datos resultantes del uso o desarrollo del servicio, como los datos de productos o servicios, consumo, tráfico, visitas a webs y localización.

La Agencia entiende que el concepto de datos facilitados por el afectado” del art. 20.1 RGPD debe ser interpretado en un sentido amplio, acorde con la finalidad perseguida por el reconocimiento de este derecho, por lo que cabría considerar como “facilitados” los datos efectivamente suministrados por el interesado y, además, aquellos que resultasen del propio “uso” o “desarrollo” del servicio contratado.

Mientras que no serían objeto del derecho de portabilidad aquéllos datos que puedan ser considerados “inferidos” y “derivados”, entendidos como los que resulten de la aplicación a la información generada en el desarrollo del servicio de conocimientos o técnicas propias del responsable; es decir, procedentes de la aplicación sobre los datos relacionados con el producto o servicio de técnicas que forman parte del know how del responsable (como pueden ser entre otros, técnicas matemáticas o resultantes de la aplicación de algoritmos).

En base a esto, entiende a Agencia que, en este supuesto, la portabilidad se ha llevado a cabo de forma incompleta, dado que el reclamado no ha facilitado otros datos que también le incumben a la parte reclamante.

En este sentido, se debe facilitar los datos personales que procedan también de la observación de sus actividades tales como los datos de consumo.

Respecto a los datos de tráfico y los datos de localización distintos de los datos de tráfico, declara que, teniendo en cuenta lo dispuesto en el artículo 48 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, que el reclamante tiene derecho a la portabilidad respecto de sus datos de tráfico que conserve la entidad por ser necesarios a efectos de la facturación y los pagos de las interconexiones hasta que sean cancelados por haber expirado el plazo para la impugnación de la factura del servicio, para la devolución del cargo efectuado por el operador, para el pago de la factura o para que el operador pueda exigir su pago.

También tendrá el reclamante derecho a la portabilidad respecto de los datos de tráfico que se utilicen con su consentimiento con fines comerciales o para la prestación de servicios de valor añadido y respecto de los datos de localización distintos de los datos de tráfico que no se hayan hecho anónimos por la entidad y se utilicen con consentimiento del interesado para la prestación de servicios de valor añadido, sin que estas previsiones alcancen a la imprecisa pretensión de las “visitas a la web”.

En relación con estos datos es importante señalar que la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, en su Capítulo II («Conservación y cesión de datos») establece el plazo de conservación de los mismos, que será, con carácter general, de doce meses desde que la comunicación se hubiera establecido (si bien reglamentariamente se podrá reducir a seis meses o ampliar a dos años, como permite la Directiva 2006/24/CE).

Como se reseña en el artículo 1 de esta ley, esta tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

Así, existe una obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, pero esta conservación se realiza únicamente con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales, pudiendo tener acceso a los datos conservados exclusivamente los agentes facultados.

De lo anterior, deduce la Agencia, que los interesados no tienen derecho a la portabilidad de los datos de tráfico conservados por las operadoras a los efectos previstos en la Ley 25/2007.

En relación con los datos referidos a las visitas web, no se reconoce el derecho a su portabilidad.

Equipo de Govertis

Blog DPD AEC- Derecho a la propia imágen.

¿Protección de Datos o Derecho a la propia imagen?

4 marzo, 2020 | GDPR Legal

Hace una semanas, veía la luz una resolución de la Agencia Española de Protección de Datos (Procedimiento Nº: PS/00334/2019) , en el que se imponía una sanción de 10.000 €uros a un particular por “publicar en su estado de WhatsApp fotografías intimas y capturas de conversaciones del reclamante y de una tercera persona (…), siendo publicadas sin su conocimiento, ni consentimiento tras haberle sido sustraídas de un pendrive que le ha desaparecido.”

Tras estimar la reclamación e iniciar procedimiento sancionador, la AEPD, estima que se ha producido una infracción de artículo 6 del Reglamento General de Protección de Datos relativo a la licitud del tratamiento al haberse utilizado las fotografías sin consentimiento del interesado.

La Agencia, tras valorar entre otras cosas: La ausencia de vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal. El reclamado es una persona física, decide imponer la mencionada sanción conforme a los artículos 83.1 y 83.2 del RGPD y el artículo 76 de la LOPDGDD.

Esta resolución de la Agencia Española de Protección de Datos, ha resultado polémica por la aplicación directa del RGPD a un particular.

Si bien es cierto que la Agencia Española de Protección de Datos, ya ha sancionado en otras ocasiones a particulares por “usar, grabar y compartir imágenes por whatsapp” al considerar que estas acciones constituyen un tratamiento de datos. Se ha planteado por diversos profesionales una cuestión interesante sobre si la vía jurídica correcta para perseguir o evitar ese tipo de uso de imágenes sin consentimiento o sin autorización del titular es acudir a la Agencia Española de Protección de Datos, como órgano administrativo, o si bien la forma correcta de proteger este uso ilegítimo de la imagen sería acudir a juzgados y tribunales.

A este respecto, en España la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, ya dispone en su artículo primero que el derecho a la propia imagen “será protegido civilmente frente a todo género de intromisiones ilegítimas, de acuerdo con lo establecido en la presente Ley Orgánica. Cuando la intromisión sea constitutiva de delito, se estará a lo dispuesto en el Código Penal

Esta norma indica que no se apreciará la existencia de intromisión ilegítima en la protección civil del honor, de la intimidad y de la propia imagen cuando estuviere expresamente autorizada por ley o cuando el titular del derecho hubiese otorgado al efecto su consentimiento expreso.

Y en su artículo séptimo enumera los casos considerados como intromisiones ilegítimas.

Todas las normas citadas (RGPD, LOPDGDD y Ley Orgánica 1/1982) establecen claramente los requisitos para la legitimidad del uso de imágenes, y en concreto que esta legitimación debe ser el consentimiento o autorización.

Mediante esta resolución la AEPD (aunque parta de la competencia a un órgano de la administración conforme a la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas) ha querido proteger los derechos fundamentales del interesado, y en concreto el derecho a la intimidad personal recogido en el artículo 18 de nuestra Constitución, estimando tener competencia para ello en vía administrativa.

Equipo de Govertis

El rol del DPO articulo Govertis Blog DPD

El rol del DPO ante la rendición de cuentas o el principio de accountability

30 enero, 2020 | DPD DPO

El principio de responsabilidad proactiva se encuentra regulado en el artículo 5 del RGPD:

“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”.

Este principio es posteriormente desarrollado en el artículo 24 del RGPD:

  1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
  2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
  3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Lo relevante y la novedad principal introducida por el RGPD radica en que no basta simplemente con cumplir con las obligaciones establecidas en el RGPD, sino que además hay que ser capaz de demostrar que se cumple con el RGPD.

El rol del DPD puede tener un incalculable valor a la hora de demostrar el cumplimiento del RGPD:

  • El DPO ya está garantizando por el mero hecho de su nombramiento una presunción de cumplimiento del principio de privacidad por diseño y por defecto puesto que su rol de asesor y supervisor implica que con carácter previo debe haber asesorado al responsable o encargado sobre el nuevo tratamiento que se pretende iniciar o sobre las nuevas finalidades y usos no previstos inicialmente sobre alguno de los tratamientos existentes.
  • El DPO en su labor de asesoramiento y supervisión debe emitir informes y dictámenes lo que genera un conjunto de documentos que dan trazabilidad a las medidas adoptadas para reducir o eliminar los riesgos que pueden afectar a los diferentes tratamientos.
  • El DPO tiene un papel relevante otorgado por el RGPD dentro de las EIPD y su labor de documentación, así como las opiniones reflejadas en las diferentes actas aportan una información de gran importancia a la hora de demostrar que se pretendía y se pretende cumplir con el RGPD.
  • Tanto EL RGPD como la LOPDGDD obligan al DPO a comunicar internamente a los órganos de dirección los incumplimientos que detecten del RGPD. Esta obligación obliga a documentar por parte del DPO la vulneración y posteriormente ayudará a demostrar cómo se ha avanzado dentro de un ciclo de mejora continua desde que se detecta un incumplimiento del RGPD hasta que se elimina o reduce a un nivel aceptable ese incumplimiento.
  • La LOPDGDD obliga a responsables y encargados que hayan designado DPO a comunicarle cualquier adición, modificación o exclusión en el contenido del registro de actividades de tratamiento. Esta medida da trazabilidad al contenido del registro y sus diferentes versiones puesto que además de justificar por escrito que se ha comunicado al DPO, este último deberá emitir un informe o dictamen sobre su parecer sobre los cambios proyectados. Mas aún si cabe, la primera versión del registro de actividades también debería ir acompañada de un dictamen o informe sobre la conformidad o disconformidad del DPO sobre el registro.
  • La LOPDGDD dispone que el DPO en el ejercicio de sus funciones tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto. Por su parte el artículo 38.1 del RGPD dispone que tanto el responsable como el encargado del tratamiento garantizarán que el DPO participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Ese conocimiento del contexto de los tratamientos que tiene el DPO junto con sus informes o dictámenes permitirán demostrar documentalmente las medidas implementadas para eliminar las vulneraciones del RGPD y LOPDGDD.
  • Su papel dentro de la gestión de una violación de seguridad de datos personales es de vital importancia, puesto que su asesoramiento y consejo documentado permitirán a la organización justificar documentalmente aquellos aspectos que llevaron a determinar que existía o no, un riesgo o un alto riesgo para los interesados, así como las medidas que se deben implementar para evitar sucesos similares en el futuro.
  • Es el punto de contacto entre la organización que representa y la autoridad de control y los interesados por lo que puede asesorar sobre la mejor actuación y respuesta a dar ante reclamaciones y solicitudes de información.
  • En definitiva, esa labor de informar, asesorar y supervisar los tratamientos realizados por el responsable o encargado sobre los tratamientos realizados dejan una importante documental de cara a demostrar el cumplimiento del RGPD tanto desde las fases iniciales hasta las fases finales en las que se pueda emitir la conformidad del DPO en aspectos tan diversos como:
    • Registro de actividades de tratamiento
    • Cumplimiento de los principios del RGPD (licitud, minimización etc)
    • Conformidad con las bases de legitimación del tratamiento
    • Conformidad con las comunicaciones de datos
    • Conformidad con las garantías ofrecidas por los prestadores de servicios que acceden a datos
    • Conformidad con las transferencias internacionales realizadas
    • Conformidad con los planes de formación y concienciación de empleados que se han realizado o programado
    • Conformidad con los resultados de los análisis de riesgos o evaluaciones de impacto en protección de datos
    • Conformidad con las medidas de seguridad implementadas
    • Conformidad con los resultados de las auditorías internas o externas y los planes de mejora continua implementados para eliminar o reducir las no conformidades detectadas.

Equipo de Govertis

Logo Govertis

Derechos sobre las imagenes grabadas por camaras de videovigilancia

El derecho de acceso a las grabaciones de dispositivos de video

16 enero, 2020 | GDPR Legal

La Agencia Española de Protección de Datos (AEPD) ha tratado de manera reiterada el tema de dispositivos de vídeo y sistemas videovigilancia ya sea a través de resoluciones, instrucciones o guías.

Asuntos como el de los carteles informativos sobre la videovigilancia, los requisitos que se han de cumplir respecto al posicionamiento y orientación de las cámaras o el periodo de conservación de las imágenes han sido ampliamente tratados. Sin embargo, un tema que ha pasado desapercibido, es el método de actuación que ha de seguir el Responsable del Tratamiento ante la solicitud por un interesado de un ejercicio de derecho de acceso a las grabaciones. Aunque parece un asunto sencillo tiene sus particularidades que hemos de tener en cuenta.

El art. 15 del Reglamento General de Protección de Datos (RGPD) regula el Derecho de Acceso.

Un interesado podrá solicitar la copia de las grabaciones de una cámara de videovigilancia de una determinada ubicación donde haya estado en los últimos días y, además, la información adicional que se contempla en los distintos puntos del art. 15 del RGPD como, por ejemplo, los fines del tratamiento, las categorías de datos, los destinatarios o los plazos de conservación. Es especialmente relevante, como se verá más adelante, que el acceso a la copia de las grabaciones no puede ser en perjuicio de los derechos y libertades de terceras personas.

El mencionado art. 15 del RGPD es complementado en la legislación nacional por el art. 13 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD).

Al contrario del RGPD, la LOPD-GDD aborda de manera explícita el tratamiento de datos para fines videovigilancia en su art. 22. No obstante, no regula de forma específica como se ha responder a un derecho de acceso de un interesado a las grabaciones de los dispositivos de vídeo. La respuesta a esta pregunta la podemos encontrar en los siguientes documentos:

  1. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (link). Noviembre de 2006.
  2. Guía de la AEPD sobre el uso de videocámaras para seguridad y otras finalidades (link). Noviembre de 2018.
  3. Directrices 3/2019 del Comité Europeo de Protección de Datos (CEPD) sobre el tratamiento de datos personales mediante dispositivos de vídeo – Guidelines 3/2019 on processing of personal data through video devices – (link). Julio de 2019.

De los dos primeros documentos podemos extraer las siguientes conclusiones respecto de los requisitos que ha de cumplir un interesado a la hora de ejercitar un derecho de acceso. Además de escrito en el que se ejercite el derecho de acceso:

  1. El interesado ha de hacer constar al Responsable del Tratamiento su identidad.
  2. El interesado ha de acompañar su ejercicio de derecho de una imagen actualizada que permita al Responsable del Tratamiento identificar al interesado en sus grabaciones.

Además, de acuerdo con el criterio establecido por el CEPD en sus “Directrices 3/2019” existen una serie de limitaciones al derecho de acceso que el Interesado y le Responsable han de respetar:

  1. Afección negativa a los derechos y libertades de terceros. De acuerdo con el art. 15.4 del RGPD, el derecho del Interesado a acceder a una copia de sus datos personales mediante el ejercicio del derecho de acceso “no afectará negativamente a los derechos y libertades de otros”. Como es lógico, puede darse el caso de que en una misma secuencia de grabación aparezcan multitud de interesados. Si, de acuerdo con el artículo 15.3 del RGPD, un interesado solicita una copia de sus datos personales podrían verse afectados los derechos y libertades de terceros. En estos casos debe ser el Responsable el que valore si puede facilitar copia de las grabaciones a la persona que ejerce el derecho sin que este hecho perjudique a los derechos y libertades de terceros. No obstante, este hecho no puede ser utilizado como excusa para no atender a los ejercicios legítimos de derecho de acceso. En este sentido, siempre que sea posible el Responsable deberá recurrir a medidas técnicas, como, por ejemplo, la edición de imágenes, que permitan cumplir con el ejercicio del derecho.

No obstante, esta visión del Comité Europeo de Protección de Datos no coincide de manera plena con la de la Agencia Española de Protección de Datos. La AEPD, a diferencia del Comité, establece en su instrucción 1/2006 que el Responsable puede facilitar “el acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento”. Es decir, omite la posibilidad de modificar las imágenes mediante medidas técnicas y ofrece al Responsable la opción de entregar en vez de las imágenes un documento certificado en el que se describan, con precisión suficiente, los hechos que se pueden observar en la grabación.

  1. Imposibilidad de identificar al interesado. Puede darse el caso que el interesado solicite el derecho de acceso a unas imágenes en las que aparezcan multitud de individuos. Por ejemplo, un Interesado que solicita al Responsable de un aeropuerto que le facilite la copia de la grabación de él entrando a las instalaciones un día determinado. En este caso, ya que en un aeropuerto entran al día miles de personas y a través de distintas puertas, podría entrar en juego el art. 11.2 del RGPD que establece que cuando “el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación”.
  1. Información adicional que permita la identificación. Siguiendo con el ejemplo del aeropuerto, el interesado debería, a petición del Responsable, “facilitar información adicional que permita su identificación”. En este sentido se le podría exigir al Interesado que, en la medida de lo posible, identifique la puerta por la que accedió al edificio, que establezca un periodo de tiempo razonablemente acotado y que describa sus características personales o indumentaria de tal forma que sea más sencilla su identificación.
  1. Solicitudes excesivas. De acuerdo con el art. 12.5 del RGPD, el Responsable puede oponerse o cobrar (un canon razonable) a aquellos interesados que realicen solicitudes de acceso manifiestamente infundadas o excesivas. El RGPD no establece que puede considerarse como excesivo, sin embargo, la LOPD-GDD si establece en su art. 13.3 que “se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello”. Por su parte en el art. 13.4 se dice que “cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte.

El Equipo Govertis

la privacidad y el DNS

EL DNS: EL GRAN OLVIDADO

8 enero, 2020 | GDPR Legal

La AEPD ha publicado recientemente una nota técnica relativa a las implicaciones en la privacidad del uso del Sistema de Resolución de Nombres (Domain Name System o DNS) para concienciar a la ciudadanía respecto a las actividades que desarrollan en internet. A continuación, analizaremos los aspectos fundamentales de la misma:

¿Qué es el DNS?

El DNS es un protocolo que traduce el nombre de un sitio web (por ejemplo “www.aec.es”) por su dirección IP asignada (un código numérico). Permite localizar un sitio en Internet por el nombre sin que los usuarios tengamos que saber en cada momento que IP le corresponde.

¿Cómo funciona?

Cada vez que realizamos una búsqueda en Internet, los equipos realizan consultas a distintos servidores DNS para saber la dirección IP que corresponde al nombre que hemos escrito en el navegador. Para ello utilizan bases de datos que almacenan los nombres de dominios y sus IP.

¿Cómo impacta en la privacidad?

Cuando un ordenador está conectado a una red tiene asignada una dirección IP que identifica al usuario. De esta forma, al navegar por Internet podemos ser fácilmente geolocalizados y revelar qué páginas visitamos. Esto podría dar a conocer hábitos, intereses u opiniones que permiten generar perfiles de los usuarios (como deducir problemas de salud por los tipos de foros, blog o webs en los que participamos).

¿Cuáles son los riesgos?

  • Supone el tratamiento de datos por terceros distintos de aquellos que prestan los servicios a los que queremos acceder.
  • Los servidores DNS que procesan las búsquedas registran toda la información de las consultas. Podrían estar configurados para guardar dichos registros y utilizar esos datos para infinitas finalidades.
  • Las consultas que realiza el dispositivo para averiguar la dirección IP se envían sin cifrar a través de la red, supone un impacto en la confidencialidad.
  • La falta de medidas de seguridad podría implicar técnicas de suplantación de DNS, (robo de información, ransomware), ataques al DNS (redirigir a sitios maliciosos, a webs fraudulentas, a servidores controlados por delincuentes)

¿Y las soluciones?

La AEPD propone como solución:

  • Los proveedores de DNS deben informar de las condiciones de uso. Se deben seleccionar terceros que ofrezcan garantías suficientes para cumplir con el RGPD.
  • Incorporar soluciones de seguridad:
  • Utilizar el DNSSEC para aportar integridad y autenticidad en las comunicaciones.
  • Cifrar las consultas mediante DNS Over TLS (capacidad de cifrado) y DNS Over HTTPS (enmascara las comunicaciones).

El Equipo Govertis

Guía para pacientes y usuarios de la sanidad

Guía para pacientes y usuarios de la Sanidad de la AEPD

17 diciembre, 2019 | GDPR Legal

Durante el mes de noviembre de 2019, la Agencia Española de Protección de Datos ha publicado la Guía para pacientes y usuarios de la Sanidad, una guía esperada en la que se contienen distintas situaciones que se suceden en el sector sanitario y que están relacionadas con la privacidad.

En el presente artículo se describirán los aspectos principales, resumiendo su contenido para que el lector pueda tener una idea rápida de lo que nos transmite este nuevo documento.

Aspectos generales de los datos de salud. La Historia Clínica

Comienza la mencionada Guía recordando la definición de datos personales, que se definen como “toda información sobre una persona física identificada o identificable” y, especialmente, de datos de salud, que implica a “los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Prosigue este apartado definiendo la historia clínica como “el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial” y aclarando que en las bases de datos sanitarias podrán existir dos tipos de datos principales: los identificativos y los de salud.

Termina esta pequeña introducción refiriendo que la normativa de protección de datos no contiene el concepto de propiedad de la Historia Clínica, estableciendo, simplemente, que el Responsable del Tratamiento será el médico o centro sanitario (público o privado), que tendrán la labor de elaborarla, custodiarla e implementar las medidas de seguridad oportunas que prevengan su extravío o accesos no autorizados, y que el paciente o usuario tendrá el derecho a acceder a la misma, así como a ejercitar sus derechos en esta materia.

Legitimación para el tratamiento de datos de salud

La cuestión principal de la licitud del tratamiento de datos personales es abordada, en este caso, en las primeras hojas de la Guía, de una forma escueta, respondiendo a la pregunta directa de si ¿es necesario que el médico o el centro sanitario pida el consentimiento al paciente/usuario para recoger y usar sus datos personales?

La respuesta es taxativa, y se establece que NO será necesario el consentimiento para tratar datos “si se van a utilizar para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social”. Estaríamos, por tanto, ante la excepción de la letra h) del artículo 9.2 RGPD.

No obstante, se expone que tampoco será necesario el consentimiento para tratar datos de salud si:

  • Se efectúa por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la inspección de reclamaciones de los ciudadanos. Por tanto, letra i) del artículo 9.2 RGPD.
  • Para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento, o cuando lo solicite un órgano judicial. Letra c) del artículo 9.2 RGPD.

Derecho de información

Transmite aquí la Guía que, a pesar de no requerir el consentimiento para el tratamiento de datos por parte del médico o centro sanitario, sí que es necesario, evidentemente, cumplir con el deber de informar.

La guía, simplemente, recuerda todos los aspectos necesarios para cumplir con este deber, haciendo hincapié en que, cuando los datos personales se obtienen de un tercero, hay que informar al titular de los datos, a la mayor brevedad posible, de los mismos apartados reseñados, así como del origen de sus datos.

Principios en el tratamiento de los datos

En el apartado que la Guía dedica a este asunto, se hace una pequeña revisión de los principios que rigen la materia: Licitud, Lealtad y Transparencia; Limitación de la finalidad; Minimización de datos; Exactitud; Limitación del plazo de conservación e Integridad y Confidencialidad.

A pesar de que dichos principios ya se tienen en cuenta, con carácter general, para el tratamiento de datos personales, la Guía refleja ciertos ejemplos interesantes. A saber:

  • En cuanto a la limitación de la finalidad, si hemos consentido en la utilización de nuestros datos para fines de una concreta investigación científica (por ejemplo, cáncer de colón) se podrán utilizar para otras investigaciones oncológicas. Esta segunda utilización no se considera incompatible.
  • En cuanto a la conservación, se especifica que “la historia clínica debe conservarse durante todo el tiempo que se va a prestar asistencia sanitaria; para facilitarlo a los órganos judiciales, si lo solicitan o para efectuar estudios epidemiológicos, docencia e investigación (en este último supuesto, podrían pseudonimizarse, es decir, separar los datos identificativos del paciente de los de salud aunque puedan volver a asociarse si es necesario)”, confirmando también que los datos personales podrán mantenerse más tiempo del necesario siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Derechos

La Guía dedica un par de apartados a los derechos de los interesados, abordando las cuestiones comunes, así como las especialidades de los derechos más importantes: Acceso, Rectificación y Supresión.

Las cuestiones comunes son similares a las reconocidas para el ejercicio de derechos de cualquier tipo de dato de carácter personal. Las más importantes son:

  • Plazo: Un mes, prorrogable por 2 meses más.
  • Medios electrónicos: Preferencia por estos medios en la respuesta, salvo manifestación en contrario.
  • Gratuidad: Ejercicio gratuito salvo peticiones infundadas o excesivas.

En cuanto a las cuestiones específicas de cada derecho, se destacan:

  • Derecho de acceso: Se recoge la posibilidad de que los pacientes/usuarios accedan a sus Historias Clínicas, de la misma forma que cada persona puede solicitar el acceso a sus datos personales.

No obstante, se mencionan algunas particularidades a tener en cuenta:

    • El acceso a la Historia Clínica no puede ejercitarse en perjuicio de terceras personas, lo que implica que los facultativos que elaboran y mantienen dichas Historias Clínicas puedan (y deban) utilizar las anotaciones subjetivas como mecanismo para hacer constar todo lo que entiendan oportuno y que afecte a la privacidad de terceros, ya que dichas anotaciones “quedan fuera” del ejercicio del derecho de acceso.
    • Los accesos a Historias Clínicas de pacientes fallecidos sólo se facilitará a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso, se facilitará el acceso de un tercero a la Historia Clínica motivado por un riesgo para su salud, aunque se limitará a los datos pertinentes.
    • Salvo que una ley lo permita expresamente, el derecho de acceso no incluye la identificación de los profesionales sanitarios que acceden a la Historia Clínica.
  • Derecho de rectificación: Es un derecho que se puede solicitar en los mismos términos en los que se ejercita ante cualquier petición de este tipo. No obstante, sí que es necesario tener en cuenta que si la rectificación se refiere a datos sanitarios, es el profesional sanitario el que determina si debe rectificarse el dato o no.
  • Derecho de supresión: En el ámbito de la sanidad el derecho a la supresión de datos de la historia clínica está muy limitado siempre que esos datos se estén tratando para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social; o cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios. Solo el profesional sanitario puede determinar si se puede suprimir el dato de salud.

Preguntas frecuentes

Como viene siendo habitual, la Guía finaliza con una serie de cuestiones que suelen surgir en este ámbito y sector, y que resuelven dudas comunes interesantes.

Se pueden destacar:

1) ¿Puede acceder cualquier persona a la Historia Clínica?

No. El acceso a dicha información por parte del médico o personal del correspondiente centro sanitario deberá atender al criterio de “necesidad de conocer”, siendo que sólo podrá acceder quien lo precise para el ejercicio de su trabajo.

En este sentido, serán sancionables, como ya ha ocurrido previamente, los accesos realizados por curiosidad, para facilitar información a un conocido, etc…

Además, hay que señalar que el profesional sanitario que accede ilícitamente a datos de salud puede incurrir en un delito de descubrimiento y revelación de secretos, previsto y penado en el Código Penal.

2) ¿Se pueden ceder los datos de salud a otras entidades diferentes de las que las han recogido y tratado?

Sí, se pueden ceder si existe legitimación para ello. Un ejemplo es cuando se acude a un médico o a un centro sanitario como usuarios de la sanidad privada (con la tarjeta de la compañía aseguradora), el médico facilita a la entidad la información mínima necesaria para que abone la prestación sanitaria realizada.

3) ¿Se puede informar al empleador acerca de los datos de salud de sus empleados cuando acuden a la revisión de prevención de riesgos laborales?

No. La información que se facilita al empleador es si el trabajador es APTO o NO APTO para el trabajo, o si es Apto y necesita alguna adaptación; pero no le pueden informar de los resultados de las pruebas médicas de sus trabajadores.

4) ¿Pueden facilitar información telefónica a un paciente sobre su estado de salud o el resultado de las pruebas realizadas?

En principio, existiría el riesgo de estar facilitando información a un tercero y, por tanto, por motivos de seguridad debería evitarse. Se podría hacer si existe un protocolo de identificación del solicitante de la información, mediante la solicitud de nombre y apellidos, número de DNI, número de teléfono desde el que llama que coincida con el que facilitó al profesional, dirección de correo electrónico, número de tarjeta sanitaria, etc… Se debería tener la seguridad de que quien solicita la información es el titular de la misma.

El Equipo Govertis

Logotipo de Govertis