Datos de salud e interés legítimo

Datos de salud e interés legítimo: oportunidad perdida ¿Por qué?

 

Uno de los insights que más me llamó la atención de la excelente encuesta anual de EY entre los miembros de la IAPP, la asociación internacional de profesionales de la privacidad de la que orgullosamente formo parte, es el del número de especialistas en privacidad contratados en cada sector de actividad.

En el grupo de Champions están los sectores de tratamiento más intensivo en datos: lógicamente las tecnológicas, (y las telecos, desarrollo de software) y banca/seguros.

Pero ¿qué equipo encabeza los puestos de la Europa League?

Salud y Pharma. Vean, vean.

 

Datos de salud e interés legítimo

 

Datos «core de negocio»

Algo absolutamente normal: los datos personales han venido para quedarse como apuesta de valor transversal.

Están ya en el centro de la estrategia de estas industrias, no sólo desde el punto de mitigación de riesgos regulatorios, sino en el de la diferencia comparativa, sobre todo, en pharma, en la captación de datos personales «reales». 

No es ningún misterio que la cantidad de datos de salud que se generan (y tratan) ha aumentado exponencialmente en los últimos años. Y la estrategia para su captación y analítica predictiva y de apoyo al diagnóstico («deep medicine«, ojo) es crítica. Y no hablo sólo de canales que difícilmente pueden considerarse hoy ya como novedosos: apps y dispositivos wereable.

 

innovation

 

Datos de salud e interés legítimo: ¿Oportunidad perdida?

Lo que sí sorprende es que con este mix de intereses y necesidades,  y talento a go-go en la industria, sigamos asistiendo a parálisis en cuestiones jurídicas importantes que han sido resueltas hace tiempo.

Y me refiero a esa especie de erróneo mantra instalado en nuestro país: «Datos de salud e interés legítimo son incompatibles«, al parecer.

Lo achaco a la excesiva prevención, artista anteriormente conocido como «miedo».

El objetivo de este post es descartar la ignorancia como causa de tan desdichado mantra.

El caso es que lo entiendo: en este país el interés legítimo siempre ha provocado repelús. De hecho, la LOPD-99 lo maltrató con sus «renglones torcidos»(post largo e intenso, aviso).

El último indicio «noticiable» de esta parálisis se puede ver en la recientemente publicada guía sobre interés legítimo de ISMS Forum.

Página 9.

Datos de salud e interés legítimo

 

No tengo nada una opinión personal contraria a tan equivocada afirmación: me limité a hacer mía la posición que las autoridades de cumplimiento vienen manfistando desde hace, no sé, siete años. Si eres de l@s que te saltas los preliminares, puedes ir directamente al apartado “una oportunidad que no debemos ni podemos desaprovechar” ahí abajillo.

Merece la pena aclarar que el error que subyace en esta afirmación equivocada genera también otros problemas.

Sabemos que el RGPD prohíbe el tratamiento de datos de categoría especial en general y sólo acepta las excepciones previstas en el art. 9.2.

Considerar que lo que va a misa es esa excepción del 9.2, y que cuando cuentas con una ya no necesitas nada más, suele provocar más errores.

Por ejmplo, que una vez que te «topas» con datos que han sido hechos «manifiestamente públicos por el interesado» -art 9.2.e) RGPD- ya no te tienes que preocupar de nada más.  Y no.

Pueden pasar estas cosas.

O te puede pasar también como a Equifax, que se llevó una sanción de un millón de euros (y con suerte, porque le proponían nueve).

Pero lo de los riesgos y soluciones al «data scraping» lo dejamos para otro día.

 

¿Se pueden tratar datos de salud sin consentimiento? Obvio: Yes we can

Estamos hablando de un sector (sanidad, pharma) que simplemente necesita tratar datos de salud, y que cuenta con un ejército de soldados especializados en privacidad. Como hemos visto.

Estamos hablando de una industria que nos acaba de salvar el pellejo (de momento) en una situación de emergencia sanitaria con unos desarrollos muy complejos, puestos en marcha en tiempo record.

Toda la Sociedad (así, con mayúsculas) necesita y espera que el sector de salud en sentido amplio “progrese adecuadamente” para que pueda seguir salvándonos el pellejo más y mejor.

Y sin embargo precisamente este sector, conservador en esto como ningún otro, sigue anclado en el tratamiento de datos de salud cuasiexclusivamente sobre consentimiento.

 

Hubo dudas… pero allá por 2018

¿Los datos de salud pueden tratarse con base en interés legítimo?

Este fue un debate en 2018, pero no lo es, no puede serlo en 2021.

Dejémonos de “no lo he visto nunca”, “no me atrevo”, “pero es que”, “si fuera tan fácil lo haría todo el mundo”.

Nadie dice que sea fácil, ni exento de riesgo.

Pocas industrias como pharma y salud están sujetas a mayor escrutinio y “persecución” por parte de autoridades, prensa y público, por no hablar de abogados pleiteros.

Así que sabemos a lo que jugamos.

Pero se puede, claro que se puede. Pero te hace falta un encuentro entre la Guardiana de la Puerta y el Amo de las Llaves. Como en Ghostbusters.

 

Datos de salud e interés legítimo

¿Cómo va esto?

Antes usaba el ejemplo viejuno del choque de pechos en tre Villi y Manilli. Pero los jovenzuelos (en mi jerga, los menores de 35) no pillan la referencia.

Así que me he tenido que buscar otro ejemplo, igual de antiguo, pero que este año cabalga gloriosamente de nuevo a lomos del zeitgeist.

Como en los Cazafantasmas, necesitamos un 6 y un 9. Una ejem, interacción entre el Amo de las llaves y la Guardiana de la Puerta.

Es decir, para tratar datos de categoría especial, como los de salud, hace falta una base general de tratamiento del art 6 RGPD (cualquiera, incluido el interés legítimo) y una excepción del art. 9.2 RGPD (cualquiera).

Y nos hacen falta las dos cosas, porque como razonó en su día el Grupo de Trabajo del art 29, si no contamos con una base del art 6 RGPD (junto con todos los requisitos que cada una de ellas trae consigo) nos podemos encontrar con la (inadmisible) paradoja de que los datos de categoría especial queden menos protegidos que los datos ordinarios.

Sin olvidarnos de los principios del 5, pero eso siempre.

Así que sí, amiguitos: se pueden tratar datos de salud sin consentimiento previo del interesado, y sin mediar una institución pública que “aporte” el interés público.

 

Una oportunidad que no debemos ni podemos desaprovechar

No es la primera vez que escribo sobre ello, faltaría más. Lo desarrollé por aquí en general, y por aquí cuando se publicaron, hace dos años, ahí es nada, los documentos del EDPB sobre ensayos clínicos.

Hoy sólo resumiré de forma breve, y espero que contundente, los antecedentes que nos ofrecen, no un calvo iconoclasta cualquiera, sino las mismísimas autoridades de cumplimiento.

 

La ICO lo dice

Creo que la primera en ponerlo en negro sobre blanco fue la ICO británica.

What are the rules for special category data?

You must always ensure that your processing is generally lawful, fair and transparent and complies with all the other principles and requirements of the UK GDPR.

To ensure that your processing is lawful, you need to identify an Article 6 basis for processing.

In addition, you can only process special category data if you can meet one of the specific conditions in Article 9 of the UK GDPR. You need to consider the purposes of your processing and identify which of these conditions are relevant.

 

Puedes confírmalo aquí: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/special-category-data/

 

EL EDPB lo bendice

¿Dónde? En las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679.

 

Artículo 9 – Categorías especiales de datos

Los responsables del tratamiento sólo pueden tratar datos personales de categoría especial si se cumplen una de las condiciones previstas en el artículo 9, apartado 2, así como una condición del artículo 6. Esto incluye datos de categoría especial derivados o inferidos de la actividad de la elaboración de perfiles.

 

Puedes confírmalo aquí: https://ec.europa.eu/newsroom/article29/items/612053

 

¿Y la AEPD?

Ñeñeñé: Es que en España la AEPD no ha dicho nada”.

Vaya si lo ha dicho, y nada menos que en una norma, (por no hablar de algún informe).

Una norma administrativa de rango inferior (circular), pero norma al fin y al cabo.

 

Circular 1/2019, de 7 de marzo

 “Artículo 3. Base jurídica del tratamiento.

Solo será posible el tratamiento de datos personales que se refieran a opiniones políticas por los partidos políticos conforme al artículo 58 bis de la LOREG cuando concurra un interés público esencial conforme al artículo 9.2.b) del RGPD y se adopten las garantías adecuadas previstas en el artículo 7 de esta circular.

Los partidos políticos podrán tratar otro tipo de datos personales siempre que concurra alguna de las bases jurídicas del artículo 6 del RGPD y tratándose de categorías especiales, otra de las excepciones del artículo 9.2 RGPD, salvo el consentimiento del interesado conforme al artículo 9.1 de la Ley Orgánica 3/2018.”

 

Puedes confírmalo aquí: https://boe.es/diario_boe/txt.php?id=BOE-A-2019-3423

 

 

Más aún: el EDPB recomienda el interés legítimo sobre el consentimiento

No se me ocurren muchos tratamientos más intensivos sobre datos de salud que los que se producen en ensayos clínicos.

Pues bien, el EDPB emitió su Opinion 3/2019 sobre el documento “Questions and Answers on the interplay between the (CTR) and the (GDPR)” de la Comisión Europea. Hace referencia al documento de «Questions and Answers publicado poco antes por la Comisión Europea en relación con las novedades introducidas por el nuevo Reglamento que da regulación uniforme a los Ensayos Clínicos a nivel comunitario.

En él, el EDPB advierte expresamente de la necesidad de asegurar que el consentimiento prestado al tratamiento de datos personales por los participantes en ensayos clínicos, es realmente libre y, por las dudas que ofrece, lo propone en último lugar entre las alternativas que considera practicables, por detrás del interés público y el interés legítimo (ver la conclusión final del documento).

 

Datos de salud e interés legítimo

 

Aclarar que este “consentimiento datístico” no tiene nada que ver con el “consentimiento ético”, indiscutiblemente obligatorio, en el que se informa al sujeto de las implicaciones y efectos secundarios que el tratamiento puede tener para su salud.

Pero que no tiene nada que ver con la protección de datos personales.

Fue tal la que se armó a consecuencia de este documento, que el EDPB tuvo que clarificar posteriormente que sí, que el consentimiento podía seguir utilizándose en este contexto (repito: hubo que aclarar esto), siempre que se atendieran las cautelas previstas en el documento.

 

Puedes confírmalo aquí: https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-32019-concerning-questions-and-answers_en

 

Conclusión:

Creo que son cuatro razones contundentes. Sobre todo porque ninguna es mía: «están ahí».

Seguir trabajando preferentemente con base en el consentimiento puede ser, no ya una oportunidad perdida (perdidísima de hecho desde 2018 o antes) sino un riesgo innecesario.

Puedes confirmarlo aquí: Si busca a alguien que aplique el interés legítimo sin que le tiemble el pulso, siempre puede llamar a estos tres cazafantasmas de aquí: es lo que más nos gusta.

 

Datos de salud e interés legítimo

Who you gonna call?

 

Jorge Garcia Herrero

Abogado y Delegado de Protección de Datos