375. Propuesta de Reglamento de protección de datos en la UE

El Parlamento Europeo está estudiando la nueva normativa sobre protección de datos en la UE que actualizará y sustituirá a la Directiva de 1995 y que tiene como objetivo crear un marco legislativo sólido y coherente que refuerce los derechos individuales, dando una mayor protección a los datos relativos a la salud en la asistencia sanitaria.

La normativa que regula la protección de datos en la UE, Directiva 95/46/CE, se adoptó en el año 1995 con dos objetivos principales:

  • Proteger el derecho fundamental de protección de datos
  • Garantizar la libre circulación de los datos personales en la UE.

Su ámbito de aplicación excluía explícitamente la cooperación policial y judicial en materia penal, laguna que se llenó en el año 2008 elaborando la Decisión Marco 2008/977/ JAI.

Con el paso de los años se ha hecho necesario actualizar esta normativa y crear un marco legislativo sólido y coherente que cubra todas las políticas de la Unión, refuerce los derechos individuales, potencie la dimensión de la protección de datos en el mercado único y reduzca los trámites burocráticos engorrosos para las empresas, garantizando el derecho fundamental de los ciudadanos a la protección de sus datos.

A principios de 2012, la Comisión Europea presentó una Comunicación que, bajo el título, «La protección de la privacidad en un mundo interconectado – Un Marco Europeo de Protección de Datos para el siglo XXI», explicaba el nuevo marco regulador de la protección de datos en la UE, que consistirá en:

  • Un Reglamento (que sustituirá a la Directiva 95/46/CE) en el que se fija el marco jurídico general de protección de datos de la UE,
  • y una Directiva (que sustituirá a la Decisión Marco 2008/977/JAI), que fija las normas sobre la protección de los datos personales tratados con fines de prevención, detección, investigación o persecución de delitos y para las actividades judiciales correspondientes.

Por lo que respecta al Reglamento, que es el que va a sustituir a la legislación actual que nos afecta en esta materia, la protección de los datos relativos a la salud, se regula en las siguientes disposiciones:

Considerando (26), que enumera los datos que se incluyen dentro del apartado “datos relativos a la salud”, que son:

  • todos los datos relativos a la salud del interesado;
  • información sobre el registro de la persona para la prestación de servicios sanitarios;
  • información acerca de los pagos o de la admisibilidad para la atención sanitaria con respecto a la persona;
  • un número, símbolo u otro dato asignado a una persona que la identifique de manera unívoca a efectos sanitarios;
  • cualquier información acerca de la persona recogida durante la prestación de los servicios sanitarios;
  • información derivada de las pruebas o los exámenes de una parte del cuerpo o sustancia corporal, incluidas muestras biológicas;
  • identificación del prestador de asistencia sanitaria a los ciudadanos;
  • o cualquier información sobre enfermedad, discapacidad, riesgo de enfermedades, historia médica, tratamiento clínico, o estado fisiológico o biomédico real del interesado, independientemente de su fuente, que puede ser un médico u otro profesional de la salud, hospital, dispositivo médico, o prueba diagnóstica in vitro.

Artículo 4: define los «datos genéticos»; «datos biométricos»; «datos relativos a la salud» de la siguiente manera:

  • 4. 10) «datos genéticos»: todos los datos, con independencia de su tipo, relativos a las características de una persona que sean hereditarias o adquiridas durante el desarrollo prenatal temprano;
  • 4. 11) «datos biométricos»: cualesquiera datos relativos a las características físicas, fisiológicas o conductuales de una persona que permitan su identificación única, como imágenes faciales o datos dactiloscópicos;
  • 4. 12) «datos relativos a la salud»: cualquier información que se refiera a la salud física o mental de una persona, o a la asistencia prestada por los servicios de salud a la persona;

El artículo 9.1 establece la prohibición general del tratamiento de categorías especiales de datos personales y las excepciones a esta norma general, inspirándose en el artículo 8 de la Directiva 95/46/CE, en los siguientes términos:

  1. Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la religión o las creencias, la afiliación sindical, así como el tratamiento de los datos genéticos o los datos relativos a la salud, la vida sexual, las condenas penales o medidas de seguridad afines.

El apartado 2 del artículo 9 establece una serie de excepciones en las que no será aplicable la prohibición del 9.1, entre las que se incluye en su apartado h):

h) el tratamiento de datos relativos a la salud necesarios a efectos sanitarios y sin perjuicio de las condiciones y garantías contempladas en el artículo 81.

El artículo 81 obliga a los Estados miembros a establecer salvaguardias específicas para el tratamiento con fines sanitarios, además de las condiciones para categorías especiales de datos:

  1. Dentro de los límites establecidos en el presente Reglamento y de conformidad con el artículo 9, apartado 2, letra h), el tratamiento de datos personales relativos a la salud deberá realizarse sobre la base del Derecho de la Unión o de los Estados miembros, que deberá establecer las disposiciones específicas adecuadas para salvaguardar los legítimos intereses del interesado, y deberá ser necesario:
  • a) a los fines de la medicina preventiva o la medicina del trabajo, el diagnóstico médico, la prestación de asistencia sanitaria o el tratamiento o la gestión de los servicios de asistencia sanitaria, siempre que tales datos sean tratados por un profesional sanitario sujeto a la obligación del secreto profesional o por otra persona también sujeta a una obligación de confidencialidad equivalente en virtud de la legislación del Estado miembro o de las normas establecidas por los organismos nacionales competentes;
  • b) por razones de interés público en el ámbito de la salud pública, como la protección contra riesgos sanitarios transfronterizos graves, o para garantizar altos niveles de calidad y seguridad de los medicamentos o del material sanitario;
  • c) por otras razones de interés público en ámbitos como la protección social, especialmente a fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad.
  • El tratamiento de datos personales relativos a la salud que sea necesario para los fines de la investigación histórica, estadística o científica, como el establecimiento de registros de pacientes con el fin de mejorar el diagnóstico, distinguir entre tipos de enfermedades similares y preparar estudios para terapias, estará supeditado al cumplimiento de las condiciones y garantías contempladas en el artículo 83.
  • La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 87, a fin de especificar otras razones de interés público en el ámbito de la salud pública a que se refiere el apartado 1, letra b), así como los criterios y requisitos de las garantías del tratamiento de datos personales a los fines a que se hace referencia en el apartado 1.
  • El Reglamento permite a los ciudadanos a ejercer un control efectivo sobre su información personal e introduce el Derecho al olvido y a la supresión, por el que el responsable del tratamiento deberá suprimir los datos personales que conciernan al interesado y abstenerse de darles más difusión, cuando concurra alguna de las circunstancias recogidas en el artículo 17.

    También se crea un sistema de “ventanilla única” de manera que los responsables del tratamiento de datos en la UE tengan como único interlocutor a una autoridad nacional de protección de datos que será la del Estado miembro donde esté el establecimiento principal.

    El Reglamento de Protección de datos está siendo estudiado por el Parlamento Europeo, en concreto por la Comisión de Libertades Civiles, aunque también ha emitido su informe la Comisión de Mercado Interior.

    Incluimos, en el presente Boletín “Europa al día” el texto de la Comunicación de la Comisión Europea sobre el marco europeo para la protección de datos en el siglo XXI y la Propuesta de Reglamento que sustituirá a la Directiva 95/46/CE.