Los datos sanitarios son datos personales específicos porque se consideran contenido confidencial. Como tales, están sujetos a una protección especial mediante textos (GDPR, Ley de protección de datos, Código de salud pública, etc.) Con el fin de garantizar el respeto de la intimidad de las personas.

¿Qué son los datos sanitarios?
Los datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

En esta definición se incluye:
– la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; – la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas;
– información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.
Esta definición permite incluir algunos datos de medición de los que se puede deducir información sobre el estado de salud de la persona.

¿Cuál es su impacto?
El concepto de datos sanitarios es ahora amplio . Debe evaluarse caso por caso, teniendo en cuenta la naturaleza de los datos recogidos.

Este concepto abarca tres categorías de datos:

– los que son datos de salud por naturaleza: antecedentes, enfermedades, servicios de asistencia prestados, resultados de exámenes, tratamientos, discapacidad, etc.
– los que, debido a su referencia cruzada con otros datos, se convierten en datos sanitarios, ya que permiten extraer una conclusión sobre el estado de salud o el riesgo para la salud de una persona: paso de una medición del peso con otros datos (número de pasos, medición del aporte calórico, etc.), crossover de tensión con medición del esfuerzo, etc.
– los que se convierten en datos sanitarios debido a su destino, es decir, el uso que se hace de ellos a nivel médico.

Nota: La ley no se aplica al tratamiento que incluye datos sanitarios para uso exclusivo de la persona. Por ejemplo, la ley no se aplica a las aplicaciones de salud móviles que ofrecen en su funcionalidad, recopilación, registro o almacenamiento de datos, siempre que estas operaciones se realicen localmente en un ordenador, smartphone o tableta, sin conexión externa y con fines exclusivamente personales.

La definición de datos de salud no incluye los datos desde los cual no es posible sacar una conclusión sobre el estado de salud de la persona interesada (por ejemplo una aplicación que recoge una serie de pasos durante un paseo sin cruzar estos datos con otros).

Una vez seleccionada la calificación de los datos sanitarios, se aplica un régimen jurídico específico justificado por la sensibilidad de los datos. La siguiente lista ofrece una visión general de las diferentes leyes aplicables (esta lista no es exhaustiva, es necesario realizar un análisis caso por caso):

• Data Protection Act (art. 8 y capítulo IX);
• disposiciones de secreto (art. L. 1110-4 del CSP);
• disposiciones relativas a las normas de seguridad e interoperabilidad para los datos sanitarios (art. L. 1110-4-1 del CSP);
• disposiciones sobre alojamiento de datos sanitarios (art. L. 1111-8 y R. 1111-8-8 y s. del CSP);
• disposiciones sobre el suministro de datos sanitarios (art. L. 1460-1 y siguientes del CSP);
• prohibición de la transferencia o explotación comercial de datos sanitarios (art. L. 1111-8 del CSP, art. L 4113-7 del CSP) …

¿Los datos recogidos, fuera de un contexto médico (número de pasos, peso, actividad diaria, etc.), a través de herramientas de auto-medición (relojes, pulseras conectados, aplicaciones móviles, etc.) ¿Son datos sanitarios?
Todo depende, por una parte, de la naturaleza de los datos (un peso excesivo puede revelar la obesidad), por otra, si estos datos se cruzan con otros datos, revelando así información sobre el estado de salud de la persona.

¿Las informaciones sobre discapacidad, contenida en un tratamiento, son consideradas un dato de salud?
Sí. Como recordatorio, cualquier minusvalía constituye una limitación de la actividad o una limitación de la participación en la vida en la sociedad sufrida por una persona en su entorno a causa de una alteración sustancial, duradera o definitiva de una o varias funciones físicas, sensorial, mental, Trastorno cognitivo o psíquico, polianicapico o invalidante (art. L. 114 del código de acción social y de las familias).

¿La información sobre una tasa de discapacidad está contenida en los datos sobre la salud del tratamiento?
Sí, si la tasa de discapacidad revela que la persona tiene una discapacidad en el sentido del artículo L. 114 del Código de Acción Social y de las Familias.

¿La información sobre la asistencia en un centro de tratamiento, contenida en un tratamiento, es un dato sanitario?
La información sobre la asistencia en un centro de asistencia contenida en un tratamiento constituye un dato sanitario, ya que proporciona una declaración sobre el estado de salud (por ejemplo, hospitalización en un centro especializado o servicio hospitalario).

¿La CCAM ( en inglés Common Classification of Medical Acts) está codificando los datos sanitarios?
Sí, si la información resultante de esta codificación da lugar a la entrega de información sobre el estado de salud o los tratamientos de una patología particular.

¿El número de registro en la lista nacional de identificación de personas físicas (en italiano NIR) es un dato sanitario?
No, el NIR no es un dato sanitario, aunque se utilice como identificador sanitario nacional.

¿La aptitud es el ejercicio de un factor de salud?
No, la capacidad de practicar un deporte no es en sí misma un problema de salud. Sin embargo, si está asociado y/ o cruzado con otra información como las circunstancias de la expedición del certificado, se consideran datos sanitarios. La incapacidad para practicar un deporte es un factor de salud.

COSAS QUE RECORDAR:
El concepto de datos sanitarios está ampliamente definido desde las normas europeas. Este concepto no incluye solamente los datos que son recogidos y productos como parte del proceso, sino también los datos de otros sectores que dan informaciones sobre las condiciones de salud de una persona (como los desarrolladores de aplicaciones). El GDPR se aplica al sistema sanitario.
En particular tiene los objetivos de reforzar los derechos de las personas y de responsabilizar a las partes interesadas.

Tratamiento de los datos sanitarios: ¿cómo informar a las personas afectadas?
Las personas cuyos datos sanitarios se recojan tendrán derechos, incluido el derecho a ser informados. Pueden ser pacientes, personas que participan en la investigación, etc. La información permite a estas personas mantener el control de los datos que les conciernen. Esta es una obligación del GDPR.

¿Quién le informa?
El encargado del tratamiento deberá adoptar las medidas adecuadas para informar a los interesados.

En el sector sanitario, hay muchos responsables de los cuidados: profesionales sanitarios, estructuras de asistencia, proveedores de soluciones técnicas, etc.

En la práctica, son los agentes operativos (en particular los profesionales de la salud) que actúan en nombre y por cuenta del encargado del tratamiento (institución sanitaria, servicio de asistencia, etc.) Que proporcionan la información.

¿Cuáles son las características de la información?
La información se facilitará de manera concisa, transparente, comprensible y fácilmente accesible. Debe ser accesible para el «gran público».

Para cumplir este requisito, tienes que ir a lo básico e incluir toda la información obligatoria en el documento de información. También se recomienda trabajar en un soporte para hacer la información lo más inteligible posible. Por ejemplo, la comprensión de la persona puede facilitarse mediante el uso de pictogramas visuales, la puesta de relieve de información esencial en documentos escritos (p. ej., Guía de bienvenida, documentos de información escrita proporcionada a los pacientes) o incluso el uso de vídeos (p. ej., transmisión de vídeo en salas de espera), etc.

Por supuesto, la información también debe adaptarse en función de la patología de la persona, de su edad, de las circunstancias de la recogida de datos. En particular, debe facilitarse información dirigida específicamente a los menores. Asimismo, debe proporcionarse información dirigida a las personas vulnerables (p. ej., personas de edad avanzada, pacientes con trastornos cognitivos, etc.).

¿Cuál es el contenido de la información?
El contenido de la información que debe facilitarse varía en función de dos hipótesis: los datos sanitarios han sido recogidos directamente por el interesado o no (recogida indirecta de datos).

Existen casos en los que el responsable del tratamiento puede quedar exento de informar al interesado. Los casos de exención dependen de si los datos sanitarios han sido recogidos directamente por el interesado o indirectamente.

Preguntas/Respuestas

¿Quién debe ser informado cuando la persona afectada por el tratamiento de los datos sanitarios es menor de edad?
Se informará a los titulares de la autoridad parental del tratamiento de los datos sanitarios relativos al menor. El niño también recibe información específica y adaptada.

Es importante tener en cuenta que, en algunos casos, se aplicarán disposiciones específicas. Ejemplos: art. L 1111-5 y L. 1111-5-1 del “codice di sanità pubblica sulla cura dei minori nella riservatezza” (que permite a un menor, en determinadas condiciones, oponerse a la información de los titulares de la autoridad de los padres), art. El artículo 58 de la Ley de protección de datos para investigaciones médicas (que permite a los menores de 15 años o más oponerse, en determinadas condiciones, al acceso de los titulares de la autoridad parental a los datos relativos a él recogidos durante «investigación, estudio o evaluación).

¿Qué información debe facilitarse sobre los tratamientos realizados en el marco de la investigación?
Es necesario remitirse a las disposiciones específicas del artículo 57 de la Ley de protección de datos. Estas disposiciones evolucionarán en el marco de la futura ley de protección de datos.

¿Es suficiente la información facilitada al interesado en forma de pantalla?
A excepción de las situaciones en las que existe la obligación legal de informar individualmente al interesado (por ejemplo, de investigación médica), la información de la persona puede producirse mediante el envío de un mensaje.

En el caso de los centros de asistencia sanitaria, la información también puede facilitarse en el registro de acogida dado al paciente cuando se encuentra hospitalizado. La publicación deberá ser claramente visible e incluir toda la información obligatoria mencionada. La información individual aún debe ser preferida.

Si el interesado ya ha sido informado, ¿deberían ser informados de nuevo?
Sí, en algunos casos: modificación sustancial del tratamiento, transmisión de los datos sanitarios del encargado del tratamiento a un destinatario, utilización de los datos sanitarios por el responsable del tratamiento para otro fin, etc.

COSAS QUE RECORDAR

El GDPR refuerza el derecho de las personas a la información, en particular a su contenido (datos de contacto del RPD, período de conservación, etc.). Al mismo tiempo, esta información deberá ser concisa, transparente, comprensible y fácilmente accesible.
Por tanto, antes del 25 de mayo de 2018, es necesario identificar los distintos términos y documentos informativos y verificar su conformidad con los requisitos de las normas sobre el fondo (contenido) y el módulo (legibilidad).

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL