Por su indudable interés público y actualidad, reproduzco mediante una traducción "no oficial", adaptada al formato editorial del blog, el Dictamen CNS 34/2014 [2] de la APDCAT como respuesta a la consulta planteada por una entidad de derecho público en relación con el modelo de gestión y de servicios para dar valor a la información del sistema sanitario catalán en el marco de las políticas públicas.
A través de la consulta formulada, la entidad expone que está licitando un contrato de colaboración público privada para la implantación y la operación de un modelo de gestión de servicios para dar valor a la información del sistema sanitario catalán en el marco de las políticas públicas (VISC+). Se añade que en este marco contractual se regulan los mecanismos y procesos de seguridad que serán aplicables sobre los datos incluidos en el alcance del contrato, y que deben asegurar el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).
La entidad que formula la consulta es una entidad de derecho público de la Generalidad sometida al ordenamiento jurídico privado, adscrita al departamento competente en materia de salud de la Generalitat de Catalunya, con personalidad jurídica propia, autonomía administrativa y financiera y plena capacidad de obrar para el cumplimiento de sus objetivos y sus funciones, y actúa, en el marco de las funciones que le atribuyen sus Estatutos, bajo las directrices de dicho departamento, el cual ejerce el control de eficacia y eficiencia sobre su actividad. Son objetivos de la entidad generar el conocimiento relevante para contribuir a la mejora de la calidad, seguridad y sostenibilidad del sistema de salud de Cataluña que faciliten la toma de decisiones a la ciudadanía, los profesionales y los gestores del ámbito de la salud, y los órganos responsables de la planificación en salud, así como facilitar la implicación de los profesionales sanitarios en el sistema y su corresponsabilidad en la consecución de los fines comunes y la calidad de la atención. Entre otras funciones, corresponde a la entidad definir, impulsar y desarrollar la estrategia del sistema de información y las tecnologías de la información y comunicación del sistema de salud de responsabilidad pública, así como llevar a cabo la gestión y el mantenimiento de los elementos comunes y / o unificados del sistema de información del sistema sanitario integral de utilización pública de Cataluña (SISCAT) y su explotación y rentabilización garantizando, de acuerdo con las directrices del departamento competente en materia de salud, la disponibilidad de la información del sistema sanitario de Cataluña, haciéndola accesible e interoperable al servicio de una asistencia sanitaria de calidad, de acuerdo con la política corporativa de la Generalitat de Catalunya en materia de telecomunicaciones y tecnologías de la información, según los Estatutos de la entidad.
Esta evaluación debería incluir una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas previstas para hacer frente a los riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la conformidad con la normativa de protección de datos. En este sentido, la Agencia Española de Protección de Datos ha publicado recientemente una " Guía para una evaluación impacto en la protección de datos".
El Adjudicatario deberá encargarse de definir, construir y poner en marcha un catálogo de servicios útil, eficiente, competitivo e innovador, y contrastar las necesidades del mercado y los clientes finales del proyecto, así como de definir un plan de difusión y de comercialización, canalizando de manera adecuada la demanda del mercado nacional e internacional. También deberá ejecutar otros proyectos o iniciativas relacionadas con VISC+, y deberá de crear un centro de competencia en analítica en datos de salud, las funciones y composición se describen en el apartado 3.4.1 del DT. El Proyecto articula un doble procedimiento de cesión de datos personales:
-
Procedimiento para la cesión de datos anonimizados de salud al Adjudicatario para investigación médica y evaluación (punto 1 del Documento "Procedimiento para la cesión de datos (...) ", que a su vez facilitaría los datos a los clientes finales.
-
Procedimiento para la cesión de datos de salud no anonimizadas para investigación médica y evaluación al usuario final (punto 2 del mismo Documento). Este segundo procedimiento tiene la particularidad de que los datos serían cedidos directamente el usuario final por parte de la entidad.
En este sentido, hay que recordar que se echa en falta, en el conjunto de documentación aportada, una conexión clara entre "cliente final", la finalidad a cumplir, la concreción de la información a la que podría tener acceso, y si esta información debe ser anonimizada o puede conllevar una cesión de datos personales. Al respecto, hay que hacer notar que en el DT se identifican una serie de servicios o productos, que, a propuesta de la entidad, el Adjudicatario deberá configurar. En concreto:
Como ha hecho saber esta Autoridad en anteriores ocasiones, entre otros, en el Informe 3/2014, relativo al Proyecto de Decreto de modificación del Decreto 67/2010 -que se puede consultar en la web
Dicho esto, la cláusula 39 continúa exponiendo que "la puesta a disposición del Adjudicatario de los datos se producirá de forma anonimizada, por lo que los datos tendrán la condición de disociadas al no permitir la identificación de los afectados o interesados. En este sentido, la prestación de los servicios no supone en ningún caso el acceso a datos personales de (la entidad) y del Departamento de Salud, por el personal puesto a disposición por parte del Adjudicatario, comprometiéndose éste a no acceder en ningún momento en virtud de la ejecución del contrato a datos de carácter personal titularidad de (la entidad) ni del Departamento de Salud, ni tratar ningún tipo de dato de carácter personal a la hora de ejercer sus funciones".
El DT, en el apartado 3.2.3 "Gestión de la demanda", prevé tres niveles de aprobación delas peticiones de los clientes finales, atendiendo, entre otros, al cliente que solicita el servicio, los objetivos por los que se solicita, si la petición requiere incorporar nuevas fuentes de información, o en atención a la cuantía económica del servicio, entre otros.
Parecería en un principio que la actuación del adjudicatario no debe comportar el acceso a datos de carácter personal, dado que la información que se le enviaría, sería información anonimizada previamente. Así se desprende de la página 1 del documento relativo al procedimiento de cesión, y también de la cláusula 39 del DA. Sin embargo, hay diferentes previsiones en el Anexo 1 del DT que parecen apuntar lo contrario. Así encontramos diferentes referencias que podrían conllevar el tratamiento de datos personales por el adjudicatario:
-
En el apartado "Proceso de anonimización: se afirma que el adjudicatario participa en proceso de verificación de la anonimización.
-
En el apartado "Servicios a prestar" se afirma que la entidad podrá requerir el apoyo del adjudicatario en el proceso de anonimización.
-
En el apartado "Ubicación de los datos" se afirma que puede haber datos que permitan la identificación indirecta.
También es relevante y debe valorarse positivamente, que se tengan en cuenta medidas concretas de análisis de riesgos. Sobre estas cuestiones, nos remitimos nuevamente al Dictamen del GTA29 5/2014, [3] sobre técnicas de anonimización.
1) Procedimiento para la cesión de datos personales anonimizadas de salud al Adjudicatario de VISC+ para investigación médica y evaluación . De entrada, como se ha hecho saber en este dictamen, desde la perspectiva de la protección de datos, este es el procedimiento de cesión que convendría priorizar en el contexto del Proyecto VISC+, teniendo en cuenta que la anonimización ofrece un tratamiento menos invasivo y de menor riesgo para los afectados.
2) Procedimiento para la cesión de datos personales de salud para investigación médica yevaluación al usuario final.
"1. El responsable del tratamiento debe obtener el consentimiento del interesado para el tratamiento personal excepto en los supuestos en que el consentimiento no sea exigible de acuerdo con lo dispuesto en las leyes. La solicitud del consentimiento debe hacer referencia a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se solicita, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.
En cuanto a la "Descripción de los servicios encargados", incluida en el Acuerdo de encargo del tratamiento, conviene hacer las siguientes consideraciones:
-
Nuevamente se hacen referencias a la anonimización " de la información de los responsables los ficheros... ". Como se ha apuntado, convendría referirse a la información contenida en los ficheros de datos personales.
-
Se prevé que la entidad ha de comprobar que el cesionario dispone del consentimiento válido de cada una de las personas afectadas por ceder la información, y que dispone de una auditoría que demuestra el cumplimiento de las medidas de seguridad del LOPD. Sin perjuicio de otras consideraciones hechas en este dictamen respecto de estas cuestiones (consentimiento informado y auditoría), y de las responsabilidades que, en atención a la normativa de protección de datos, correspondan a los responsables de los ficheros, la previsión que será la entidad la que comprobará estos extremos (consentimientos y auditoría) se ajusta a la previsión hecha en el Anexo 1 del DT, según la cual es la entidad la que efectivamente debe revisar que el "cliente final" (receptor de la información personal) dispone de dichos consentimientos y auditoría.
"Guía para una evaluación de impacto en la protección de datos". 2014.
El Dictamen CNS 34/2014, de fecha 23 de julio de 2014, ha sido publicado por primera vez en la página web de la APDCAT (Autoritat Catalana de Protecció de Dades), una vez analizada la petición, vista la normativa vigente aplicable, el informe del Coordinador de Auditoría y Seguridad de la Información y el informe de la Asesoría Jurídica, todos de la APDCAT.