La Ley Orgánica de Protección de Datos Personales (LOPDP) define a los datos relativos a la salud como aquellos “relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”[1].

Además, la LOPDP ha calificado a esta información como datos sensibles, por lo que un tratamiento indebido de los mismos puede dar origen a situaciones de discriminación, así como puede atentar contra los derechos y libertades fundamentales de sus titulares[2], y por tanto requieren de los más altos estándares de protección. En ese sentido, la LOPDP incluso ha incluido a los datos relativos a la salud dentro de la categoría especial de datos, lo que significa que el tratamiento de este tipo de datos está prohibido, salvo en los siguientes casos[3]:

• Cuando exista consentimiento expreso del titular y una especificación de su finalidad.
• Para cumplir con obligaciones relacionadas a los derechos laborales y de seguridad social.
• Para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento.
• Cuando el titular haya hecho manifiestamente públicos sus datos.
• Cuando exista orden de autoridad judicial competente.
• Cuando se persigan fines de interés público, fines de investigación científica o histórica o fines estadísticos.
• Además, la protección de datos de salud debe sujetarse a normativa especializada sobre la materia emitida por la autoridad de protección de datos personales en coordinación con la autoridad sanitaria nacional.

Para evitar el tratamiento no autorizado o ilícito, la pérdida, la destrucción o daño accidental de los datos personales relativos a la salud, la LOPDP exige la aplicación de medidas técnicas organizativas apropiadas por parte de los responsables y encargados del tratamiento de estos datos, así como de todas las personas que intervengan en cualquier fase de su tratamiento. Esta obligación deberá cumplirse de manera complementaria al deber de secreto profesional. Además, se deberá priorizar la anonimización o seudonimización de los datos relativos a la salud con la finalidad de evitar la identificación de sus titulares[4].

En este punto cabe mencionar la importancia del rol del delegado de protección de datos (en adelante “DPD”) para apoyar a los responsables y encargados del tratamiento de datos a incorporar todas las medidas que se han mencionado previamente de manera adecuada y en sujeción a la ley. En caso de no hacerlo e incumplir con las obligaciones que se han mencionado previamente, todas aquellas personas que hayan intervenido en el tratamiento de estos datos serán sujetos de las sanciones establecidas en la LOPDP por el cometimiento de una infracción. Por lo tanto, es importante que los responsables y encargados del tratamiento de datos designen un profesional que cumpla con los requisitos establecidos por la ley de la materia para evitar posibles infracciones que incurran en multas de valores considerablemente altos antes del año 2023 cuando la LOPDP entre en plena vigencia y la autoridad de protección de datos personales empiece a ejercer sus funciones de control y sanción.

Belén Viteri

[1] Art. 4, LOPDP.

[2] Art. 4, LOPDP.

[3] Art. 26, LOPDP.

[4] Art. 31, LOPDP.