En la actual marabunta de artículos, posts, guías, recomendaciones, etc. relacionados con el COVID-19 (parte de la cual somos nosotros mismos culpables), el CEPD ha publicado una Guía acerca del tratamiento de datos de salud con fines de investigación científica en el contexto del COVID-19 (en inglés) (laGuía”).

Lo cierto es que no es la primera vez que el CEPD se pronuncia en materia de investigaciones científicas o ensayos clínicos (véase su análisis entre la interacción entre el RGPD con el Reglamento de Ensayos Clínicos) pero en esta guía se centra, en concreto, en la creciente y perentoria necesidad de llevar a cabo investigaciones para luchar y frenar el enemigo actual: el COVID-19.

De la Guía nos gustaría destacar lo siguiente:

  • Su idea básica y fundamental: La protección de datos y el RGPD no obstaculizan la lucha contra el COVID-19. Tal y como se prevé en el RGPD, existen varios escenarios que permiten el tratamiento de datos con fines de investigación científica.
  • Interpretación de conceptos clave a efectos de la Guía:
    • El concepto amplio de dato de salud: más allá de la definición del art. 4(15) RGPD, los datos de salud emergen de muchas fuentes: el historial clínico de un paciente, cruce de datos que denotan el estado de salud de una persona o riesgos para su salud, aplicaciones de autoevaluación y análisis de síntomas (muy en boga actualmente), e información que se obtiene en un contexto concreto (e.g. haber viajado a un país donde el COVID-19 está extendido).
    • Investigación científica: como “proyecto de investigación establecido con arreglo a las correspondientes normas metodológicas y éticas relacionadas con el sector, de conformidad con prácticas adecuadas” (siguiendo la definición del Grupo de Trabajo del Artículo 29 a falta de una por parte del RGPD).
    • Uso primario o secundario de los datos: lo cual cobra relevancia a efectos de base legal como se verá a continuación. El uso primario es el que se realiza al recoger los datos con una finalidad, mientras que el secundario es aquel que se realiza además del primario, con una finalidad distinta a la original (e.g. recogida de datos en una consulta médica [uso primario] y, posteriormente, utilización de dichos datos para una determinada investigación científica [uso secundario]).
  • Base legal del tratamiento (art. 6 RGPD) y excepción para el tratamiento de datos de salud (artículo 9 RGPD):
    • Consentimiento: si bien no parece ser la opción favorita del CEPD –debido a la dificultad de obtener un consentimiento libre, específico, informado e inequívoco– no se descarta como base legal y excepción para el tratamiento de datos sensibles.
    • Interés legítimo e interés público: en combinación con las excepciones previstas en los arts. 9.2 (i) y (j) RGPD –es decir, y respectivamente, el interés público y tratamientos llevados a cabo con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos–. Ello se soporta en leyes nacionales que determinarán el alcance del tratamiento.
  • Principios a seguir (artículo 5 RGPD):

    • Transparencia e información a interesados: junto al artículo 13 RGPD, se debe prestar especial atención al artículo 14 RGPD dado que muchas veces: (i) lo datos no se obtienen directamente del interesado; y (ii) se utilizarán con fines distintos para los que fueron recogidos inicialmente. En cualquier caso, habrá de atenderse a las circunstancias del momento porque existen excepciones a la obligación de informar (artículo 14.5 RGPD* – e.g. comunicación imposible, esfuerzos desproporcionados, imposibilidad de lograr objetivos, etc.).
    • Limitación del tratamiento y compatibilidad: aunque el artículo 5.1 (b) RGPD no considera incompatible el tratamiento ulterior de datos con fines de investigación científica, es necesario cumplir con el artículo 89.1 RGPD que, para estos casos, requiere la implementación de medidas de seguridad para garantizar, entre otros, el principio de minimización.
    • Minimización y conservación: para cumplir con estos principios hay que tener en cuenta: (i) las finalidades que se persiguen con la investigación científica a los efectos de poder determinar los datos personales que se requieren (minimización); y (ii) la duración de la investigación científica y normativa nacional aplicable (conservación).
    • Integridad y confidencialidad: teniendo en cuenta la naturaleza especial de los datos personales que se tratan en este contexto, será necesario implementar medidas de seguridad técnicas y organizativas suficientes que garanticen su protección (e.g. seudoanonimización, cifrado, control de accesos, etc.). En este sentido, es recomendable llevar a cabo una evaluación de impacto de protección de datos e involucrar plenamente al delegado de protección de datos.
  • Ejercicio de derechos por los interesados: sin perjuicio de las restricciones generales del RGPD y las que puedan derivar de la legislación local, los derechos de los interesados no se ven suspendidos o limitados por la pandemia del COVID-19.
  • Transferencias internacionales: además de la aplicación de las reglas generales para la transferencia internacional de datos personales a países fuera de la UE, resulta especialmente interesante como en esta situación de emergencia y temporal, el CEPD reconoce la aplicación del régimen excepcional del art. 49. En concreto, en estas circunstancia el CEPD reconoce el interés público para realizar la transferencia (art. 49.1 (d) RGPD) y, en su defecto, el consentimiento explícito del interesado (art. 49.1 (a) RGPD).

Como siempre, la Guía contiene numerosos ejemplos que terminan siendo, a veces, lo más útil de la misma al aterrizar la teoría.

Junto a lo anterior, os dejamos más entradas acerca del COVID-19 a continuación por si fueran de vuestro interés:

*Para determinar si se puede encontrar en alguno de los supuestos indicados en el artículo 14.5 RGPD es recomendable revisar la guía de transparencia dictada por el Grupo de Trabajo del Artículo 29 y el considerando 62 del RGPD.