EDPS EHDS Inteligencia artificial investigación científica Protección de datos salud
19 de noviembre de 2020
El EDPS apoya el proyecto de creación de un Espacio Europeo de Datos Relativos a la Salud común (EHDS) y destaca su importancia tanto para mejorar el acceso a la asistencia sanitaria, como la calidad de la misma, pero teniendo en cuenta:
- La protección de datos personales desde el diseño y por defecto.
- Que todas las operaciones de tratamiento resultantes del EHDS requerirán una base jurídica de las contempladas en el artículo 6.1 GDPR y alguna de las excepciones reguladas en el artículo 9 GDPR para el tratamiento de datos de categoría especial. En este punto el EDPS, como otras autoridades, y como hemos destacado en otras publicaciones, no considera el artículo 6.1.a), es decir, el consentimiento del interesado, como la base jurídica más adecuada.
- Que el EHDS debe contribuir a la armonización de las normas aplicables al tratamiento de datos relativos a la salud y a la investigación científica, y garantizar un uso correcto y reutilización lícita y ética de los datos personales dentro de este espacio común. A fin de lograr esta armonización, el EDPS destaca la iniciativa de la Comisión de facilitar el establecimiento, de conformidad con el artículo 40 del RGPD, de un Código de Conducta para el tratamiento de datos personales en el sector sanitario.
- Que se contemple claramente los límites de un tratamiento de datos personales ulterior compatible pero distinto al inicial para todas las partes interesadas en el EHDS, reforzando la transparencia en el tratamiento de los datos personales, poniendo a disposición del público las condiciones de reutilización; teniendo en cuenta el principio de limitación de la finalidad (artículo 5.1.b) GDPR) y prueba de compatibilidad (artículo 6.4 GDPR), así como las salvaguardas y excepciones relativas al tratamiento con fines científicos (artículo 89.1 GDPR).
- Que los Estados miembros establezcan normas claras para la identificación de responsables del tratamiento en el contexto del EHDS, para que los interesados no tengan dudas de ante quien solicitar el ejercicio de los derechos que les confiere la normativa.
- Que se identifiquen además a todas las partes involucradas y las categorías de datos personales tratadas en el EHDS incluyendo Autoridades que estén claramente involucradas en la supervisión y cumplimiento de la normativa de protección de datos.
- Que se adopten las más avanzadas medidas de seguridad tanto técnicas como organizativas (seguridad integral) para proteger los datos tratados en el EHDS. Si una de estas medidas técnicas es la anonimización recordar que también requiere una base jurídica de las reguladas en el artículo 6 GDPR y si son datos de categoría especial los que se anonimizan, alguna excepción de las contempladas en el artículo 9 del GDPR, además de cumplir con los requisitos para un tratamiento posterior compatible. Si el fin no permitiese la anonimización, al menos se deberían seudonimizar los datos.
- Que se lleven a cabo cuando procedan evaluaciones de impacto de protección de datos ( DPIA), y recomienda, siempre que sea posible, hacer públicos los resultados de dichas evaluaciones, como medida de aumento de la confianza y la transparencia.
- Que se establezca un sólido mecanismo de gobernanza de datos que proporcione garantías suficientes de una gestión lícita, responsable y ética de los datos tratados en el EHDS.
- Optar preferiblemente porque el tratamiento de datos personales lo lleven a cabo entidades que compartan valores europeos, incluida la protección de datos.
- Que la información generada en Europa se convierta en valor para las empresas y los particulares europeos tratándola conforme a las normas y regulaciones de la UE.
- Que no se transfieran datos personales a un tercer país si no goza de un nivel de protección esencialmente equivalente al garantizado dentro de la Unión Europea.
- Que los Estados miembros garanticen la aplicación del derecho a la portabilidad de datos personales a través del desarrollo de los requisitos técnicos necesarios que permitan un ejercicio efectivo de tal derecho por parte de los interesados.
- Que se lleve a cabo un análisis de la necesidad de integrar las salvaguardas del GDPR con otras salvaguardas normativas.
Accede al Dictamen en castellano y a un análisis previo aquí.