EL NOVENO TRABAJO DE HERACLES: EL CINTURÓN DE HIPÓLITA (XVI). No se Puede Hacer Investigación Sanitaria y Cumplir la LOPD

Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons
Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons

¡Estoy en la Nube! Que moderno soy… Transferencias y flujo de los datos (artículo 5 de la LOPD)

Con la gran rapidez que van evolucionando y surgiendo las nuevas tecnologías, y avances científicos, se complica cada vez más, el escenario de flujo de datos, control, tratamiento y seguridad de los datos personales. Prueba de ello, es que actualmente se están ofreciendo diferentes servicios en la “nube” o “Cloud”, como puede ser alojamiento de datos y aplicaciones, que están alojados en servidores virtuales e infraestructuras en la nube (Cloud Builder), que pueden estar en diferentes países con diferentes legislaciones. Ejemplos de algunos de los servicios más populares en la nube: Amazon Cloud Drive, Google Drive, Dropbox, Skydrive, iTunes e iCloud de Apple, etc.

Además la globalización de empresas y servicios, es cada vez más habitual, con lo que muchos de los estudios o proyectos de investigación se globalizan entre diferentes países, continentes e incluso diferentes entidades.

Luego, nos podemos encontrar, con estudios o proyectos de investigación con formularios de recogida de información, que contenga un consentimiento para la transferencia internacional de datos. Dicho consentimiento, debe cumplir en primer lugar con los preceptos del artículo 5, y el Título V (Movimiento internacional de datos) de la LOPD. En la Agencia Española de protección de datos, podemos consultar el Informe sobre la “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal”, aunque no es de nuestro entorno, nos puede servir como base.

Atendiendo al RDMS en su Título VI (Transferencias internacionales de datos), hay que tener en cuenta el estado de destino de los datos personales, pudiendo diferenciar tres tipos de transferencias Internacionales:

  •  Transferencias Internacionales a Estados de la Unión Europea.
  •  Transferencias Internacionales a Estados cuyo nivel de seguridad es equiparable a España.
  •  Transferencias Internacionales a “Terceros Estados”.

 

La transferencia internacional de datos a estados pertenecientes a la Unión Europea,  así como para poder transferir datos a estados con un nivel de seguridad equivalente a España, debe realizarse siguiendo las directrices indicadas por la propia AEPD en la instrucción 1/2000 de 1 de diciembre relativa a las normas por las que se rigen los movimientos internacionales de datos. De forma que, el Responsable de Fichero (interesado en realizar la transferencia internacional) debe informar a los titulares de los datos de quién será el destinatario de los datos, así como cuál es la finalidad que justifica la transferencia internacional y el uso de los datos que podrá hacer el destinatario.

No obstante, los responsables de ficheros deben tener en cuenta que es posible que le sean requeridos los documentos que acrediten la prestación del consentimiento por parte del titular. Del mismo modo, podrá exigirse que se acredite la existencia de una relación contractual con el afectado que motive la transferencia, si aquélla hubiera sido alegada.

En ninguno de los dos casos, será necesaria la autorización por parte del Director de la AEPD, ya que se dispone en el artículo 34 de la LOPD.

Por tanto, si deseamos transferir datos personales, como mínimo debemos tener en cuenta lo siguiente:

  • Que el titular de los datos ha prestado su consentimiento inequívoco a la transferencia internacional.
  • Que el titular conozca para qué se transfieren los datos personales.
  • Que el titular conozca todos los datos del destinatario de los datos.

 

Si la transferencia Internacional es a un tercer estado, es obligatorio que  exista un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos. El modelo de contrato aprobado por la Comisión Europea se puede descargar desde el link: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:181:0019:0031:ES:PDF

La necesidad de autorización y notificación a la AEPD, se recoge en el RLOPD, en su artículo 66, de autorización y notificación. Además el artículo 67 y 70.4, nos indican las autorizaciones y régimen jurídico entre sociedades de un mismo grupo multinacional de empresas.

Y finalmente, hay que tener en cuenta que aunque la comunicación de datos sea factible por haber obtenido el consentimiento de los investigadores y de los participantes en un ensayo, proyecto o estudio de investigación, según el RLOPD en su artículo 66.3 es preciso llevar a cabo la notificación de la transferencia internacional a la AEPD:

“En todo caso, la transferencia internacional de datos deberá ser notificada a fin de proceder a su inscripción en el Registro General de Protección de Datos, conforme al procedimiento establecido en la sección primera del capítulo IV del título IX del presente reglamento.”

Autores:

Miguel Ángel García Hita
Mª Esther González Revuelta
Juan Díaz García

EL NOVENO TRABAJO DE HERACLES: EL CINTURÓN DE HIPÓLITA (XIII). No se Puede Hacer Investigación Sanitaria y Cumplir la LOPD

Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons
Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons

Conozco a más de uno, que lleva los bolsillos llenos de memorias USB de distintos tamaños y modelos… ¿Le hemos informado y asesorado de lo que tiene que hacer si lleva información sensible? Gestión y distribución de soportes.

Los soportes informáticos o soporte papel, que contengan datos de carácter personal que respondan a un objetivo de investigación concreto, deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado, el cual estará relacionado en el documento de seguridad. Este tipo de soporte únicamente podrá salir fuera de los locales en los que esté ubicado el fichero con una autorización del responsable del mismo. Por ejemplo, se podría autorizar a personal investigador por un periodo de tiempo limitado, el acceso a los datos que necesita, siempre que esté justificado dicho acceso.

Se establece también la obligación de crear un registro de entrada/salida de soportes que contenga: tipo de soporte, fecha y hora, emisor/destinatario, número de soportes, tipo de información que contienen, forma de envío y la persona responsable de la recepción/entrega que deberá estar debidamente autorizada.

Por otra parte, cuando tengamos que distribuir información sensible que pueda identificar a los participantes en un estudio en cualquier soporte o medio de comunicación, como puede ser Cd, dvd, memorias USB, email, etc., dichos datos deben ir cifrados, para que no sea inteligible ni manipulada durante su transporte.

Por último, cuando tengamos que desechar la información relativa a los datos de investigación bien en soporte informático o en papel, se deberá proceder a su destrucción impidiendo que sea reutilizada.

Autores:

Miguel Ángel García Hita
Mª Esther González Revuelta
Juan Díaz García

EL NOVENO TRABAJO DE HERACLES: EL CINTURÓN DE HIPÓLITA (XII). No se Puede Hacer Investigación Sanitaria y Cumplir la LOPD

Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons
Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons

Hay una empresa que me lo hace, y es gratis… El acceso a datos por cuenta de terceros (artículo 12 de la LOPD y 5 de la LIB)

El acceso a datos por cuenta de terceros es el acceso permitido a terceros que no tienen la condición de responsable del fichero, usuario o interesado, sin que por ello se produzca una cesión o comunicación de datos.

Se trata de la posibilidad de que los datos personales puedan ser tratados por personas distintas de los usuarios de la propia organización del responsable del fichero, por encargo de éste. Esta tercera persona se convierte en este caso en encargado de tratamiento, y presta servicios al responsable del fichero, siempre que dichos servicios tengan como objeto una finalidad lícita y legítima.

Esta relación debe regularse en un contrato escrito o en alguna otra forma que permita acreditar su celebración (por ejemplo, un Convenio), y en el que conste una serie de medidas u obligaciones que debe cumplir en materia LOPD, y como dicta la LIB en su artículo 5, la cesión de datos de carácter personal a terceros ajenos a la actuación médico-asistencial o a una investigación biomédica, requerirá el consentimiento expreso y escrito del interesado.

Hay que tener en cuenta, que podemos incurrir en una infracción muy grave, recogida en el Artículo 44.4. de la LOPD al tratar o ceder datos de carácter personal a los que se refieren los apartados 2, 3 (salud) y 5 del artículo 7, salvo en los supuestos en que la misma lo autoriza.

Autores:

Miguel Ángel García Hita
Mª Esther González Revuelta
Juan Díaz García

EL NOVENO TRABAJO DE HERACLES: EL CINTURÓN DE HIPÓLITA (XI). No se Puede Hacer Investigación Sanitaria y Cumplir la LOPD

Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons
Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons

Qué bueno es disociar los datos, ya hasta me gusta…

Hay que tener en cuenta, que si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores. Para los demás casos no contemplados anteriormente hay que pedir el consentimiento del afectado o interesado.

Con respecto a la LIB, nos indica en el apartado 6 del artículo 69, que la cesión de muestras podrá ir acompañada de la información clínica asociada, en cuyo caso los datos deberán protegerse según lo dispuesto en la LOPD.

Ojo con los laboratorios y las empresas farmacéuticas, podemos colaborar, sumar conocimiento pero tenemos que cumplir una serie de requisitos. Nos estamos encontrando con la grata sorpresa, que las empresas son cada vez más conscientes y sensibles a la protección de datos, y seguro que ponen de su parte para legalizar los acuerdos. Dichos acuerdos se deberían validar por el Responsable de Seguridad o por una Comisión de Seguridad en caso de existir.

 

Autores:

Miguel Ángel García Hita
Mª Esther González Revuelta
Juan Díaz García