En la actual situación de emergencia sanitaria derivada de la pandemia de COVID-19, cobra un especial protagonismo el tratamiento de datos de salud, tal y como se ha adelantado en entradas anteriores, y, especialmente, el tratamiento de tales datos con fines de investigación científica y biomédica. Por ello, conviene conocer cuándo es necesario el consentimiento del interesado y en qué supuestos es posible recurrir a otra base de legitimación para el tratamiento de datos de salud.
A este respecto, tal y como ha resuelto la Agencia Española de Protección de Datos (AEPD) en su informe 073667/2018, el Reglamento General de Protección de datos (RGPD) no ha supuesto, en líneas generales, una alteración significativa del marco normativo actualmente vigente en España en relación al tratamiento de datos con fines de investigación biomédica.
El RGPD señala que un dato relativo a la salud incluye ”todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico…” (considerando 35).
Asimismo, el propio Reglamento recuerda que el responsable deberá permitir que los interesados puedan prestar su consentimiento para el tratamiento de sus datos de salud con fines de investigación científica (considerando 33). De hecho, el consentimiento es una de las bases de legitimación del tratamiento de datos personales tal y como se regula en el art. 6.1.a) RGPD. Pero ¿qué se entiende por consentimiento?
Con la llegada del RGPD, el concepto de consentimiento sí sufrió una ligera transformación respecto de su anterior regulación en la Directiva 95/46/CE, de 24 de octubre de 1995, dirigiéndose a lograr una mayor protección del interesado en cuanto a la obtención del mismo. Concretamente, el art. 4.11) RGPD define el consentimiento del interesado como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. La principal diferencia del RGPD respecto de la legislación anterior, radica en que ahora se exige que el consentimiento se obtenga a través de un claro acto afirmativo. Esta acción debe reflejar la voluntad libre, específica, informada e inequívoca de la aceptación del tratamiento de los datos personales por parte del interesado, excluyéndose con el RGPD, el silencio, las casillas marcadas por defecto o la mera inacción del interesado, esto es, el consentimiento tácito ya no se considera válido como base de legitimación.
Hasta la entrada en vigor del RGPD, existían tres tipos de consentimiento válido: a) presunto (autorización que se deduce del comportamiento del interesado); b) tácito (a partir de la inacción del interesado); y c) expreso (clara acción afirmativa). En la actualidad, tal y como se ha analizado recientemente en artículos anteriores, solo se considera válido como consentimiento la clara acción afirmativa del interesado, es decir, la manifestación de la voluntad del interesado sobre una determinada operación de tratamiento de sus datos personales a través de una clara acción afirmativa. No obstante lo anterior, para que el consentimiento sea válido deberá incluir determinadas características que garanticen el cumplimiento de la normativa vigente en materia de protección de datos [considerandos 32, 42, 43 y 171, art. 6.1.a), 7 y 9 RGPD], a saber:
- El consentimiento será libre: el interesado tiene un control real sobre sus datos personales, y solo se considerará libremente prestado cuando el interesado goce de verdadera y libre elección o pueda retirar su consentimiento sin sufrir perjuicio alguno. Asimismo, se considera que el consentimiento se ha dado libremente si no se supedita a la ejecución de una relación contractual, y siempre que exista un equilibrio entre el responsable y el interesado del tratamiento, en particular cuando dicho responsable sea una autoridad pública. Por último, se considera que el consentimiento es libre si, además, dicha voluntad del interesado se realiza, por separado, para cada tratamiento.
- El consentimiento será específico: deberán autorizarse por separado cada una de las operaciones del tratamiento, pudiendo el interesado manifestar un criterio distinto a tal respecto. Asimismo, la información relacionada con la obtención del consentimiento para las operaciones del tratamiento de datos deberá constar separadamente del resto de cuestiones relativas al mismo. Por su parte, en relación con el principio de limitación de la finalidad, en el caso de que el consentimiento alcance a diferentes operaciones del tratamiento se permite que se preste el consentimiento para todas ellas siempre que tengan la misma finalidad.
- El consentimiento será informado: el interesado debe conocer, como mínimo, la identidad del responsable, el fin de las operaciones de tratamiento para las que se solicita el consentimiento, la tipología de datos que serán objeto de tratamiento, la existencia del derecho a retirar su consentimiento en cualquier momento, la información pertinente sobre el uso de tales datos para decisiones automatizadas de conformidad con el art. 22.2.c) RGPD, y la información relativa a la transferencia de los datos.
- El consentimiento será inequívoco: el responsable facilitará previamente un modelo para la emisión del consentimiento a través de un procedimiento en un lenguaje claro y sencillo, que permita determinar sin dificultad la voluntad de aceptación del interesado y el tratamiento específico de aplicación. Se requiere, por tanto, una clara acción afirmativa por la que el interesado presta su consentimiento para cada operación concreta del tratamiento. Esta acción afirmativa puede consistir en una declaración escrita (inclusive por medios electrónicos) o verbal (grabada). A este respecto, el consentimiento será previo: deberá obtenerse la autorización del interesado siempre antes de que el responsable inicie la operación del tratamiento para la que se concede la autorización.
- El consentimiento será explícito: el carácter explícito del consentimiento se requiere en determinadas situaciones en las que existe un grave riesgo para la privacidad de los interesados y en las que se considera adecuado reforzar el control de los datos personales; tales como, categorías especiales de datos personales, transferencias de datos a terceros países u organizaciones internacionales en ausencia de garantías adecuadas.
Los datos de salud se incluyen dentro de las categorías especiales de datos personales reguladas en el art. 9.1 RGPD, así como en la Disposición Adicional decimoséptima de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de derechos digitales (LOPDGDD), de modo que solo estará legitimado su tratamiento, sin contar con el consentimiento explícito del interesado, en caso de que concurra alguna de las circunstancias del apartado 2 del art. 9 RGPD, para el caso de aplicación: el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembro (letra g), el tratamiento es necesario por razones de interés público en el ámbito de la salud pública (letra i); y cuando el tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (letra j).
Por otro lado y entre los principios de la investigación biomédica se incluye, tal y como regula el art. 44.c) Ley 16/2003, de 28 de mayo, de cohesión y calidad del sistema nacional de salud, garantizar el cumplimiento de los derechos de los pacientes involucrados en la actividad de investigación. Asimismo, según la normativa específica en materia de investigación biomédica, para la realización de cualesquiera actividades de investigación biomédica será necesario obtener previamente su consentimiento expreso y escrito una vez recibida la información adecuada (art. 4.1, 5, 13, 45 y 48.1 Ley 14/2007, de 3 de julio), o bien por cualquier medio que, en caso de incapacidad para prestar el consentimiento por parte del paciente, permita manifestar expresamente la voluntad del interesado.
No obstante, el citado informe 073667/2018 recuerda que el consentimiento necesario para el tratamiento de datos con fines de investigación biomédica no debe interpretarse de manera restrictiva, siendo suficiente con dar el consentimiento para fines de investigación biomédica sin hacer mención de ningún tratamiento médico en particular (tratamiento oncológico, por ejemplo).
En esta línea, el mismo informe 073667/2018 establece que, en aquellos supuestos en los que la obtención del consentimiento no sea posible o suponga un esfuerzo desproporcionado, para que el tratamiento de datos pueda llevarse a efecto en base a la finalidad de investigación biomédica, deberán cumplirse los siguientes requisitos: a) investigación de interés general; b) que la investigación se lleve a cabo por la misma institución que solicitó el consentimiento para la obtención de las muestras; c) que la investigación sea menos efectiva o no sea posible sin los datos identificativos del sujeto; d) que no conste una objeción expresa del mismo; y e) que se garantice la confidencialidad de los datos personales.
Sin perjuicio de lo anterior, se puede realizar el tratamiento de datos al amparo de las bases de legitimación alternativas al consentimiento que encontramos en las letras b) a f) del art. 6.1 RGPD; en este caso, son de aplicación la realización de una operación de interés público en el ámbito de la salud pública de conformidad con el Derecho de la Unión Europea o del Estado miembro; o efectuar las operaciones necesarias con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
Asimismo, atendiendo al art. 89.1 RGPD, el tratamiento de datos personales con fines de investigación científica debe incluir una serie de garantías adecuadas para los derechos y libertades de los interesados, evidenciando un especial cuidado en cuanto a que los datos sean adecuados, pertinentes y limitados a la finalidad inicial.
En conclusión, para la realización del tratamiento de datos con fines de investigación biomédica la regla general es el consentimiento del sujeto, tal y como establece la legislación específica en materia de salud pública e investigación biomédica y recuerda el informe 073667/2018.
No obstante,la obtención del consentimiento podrá quedar exceptuada en aquellos supuestos en los que el tratamiento de datos se utilice con la finalidad de investigación biomédica, no sea posible la identificación del sujeto porque se han anonimizado sus datos, siempre previa autorización del Comité Ético de investigación, así como en aquellos casos en los que se traten los datos de salud en una investigación biomédica ulterior compatible con la inicial para la que se obtuvo el consentimiento. Asimismo, en base al art. 9.2 i) y j) RGPD, se podrán tratar datos de salud, sin el consentimiento del paciente, con fines de interés público en el ámbito de la salud pública y con fines de investigación científica, respectivamente; y de acuerdo al art. 89 RGPD, cabe realizar el tratamiento de datos de salud con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin la necesidad de obtener el consentimiento, siempre que se ofrezcan las garantías adecuadas para los derechos y libertades de los interesados. Entre estas garantías destacan todas aquellas medidas técnicas y organizativas necesarias para cumplir con el principio de minimización de los datos personales (seudonimización, por ejemplo) que permita alcanzar tales fines a través de un tratamiento ulterior sin la identificación del interesado.
En todo caso, el responsable del tratamiento debe garantizar el cumplimiento en materia de información sobre el tratamiento de los datos y facilitar el ejercicio de los derechos del interesado en materia de protección de datos (arts. 15 a 22 RGPD), siempre que el ejercicio de tales derechos no suponga un obstáculo grave para el logro de los fines científicos y fuera necesaria tal excepción para alcanzar la finalidad (art. 89.2 RGPD).