Protección de datos: "Las enmiendas sanitarias a la LOPD no son necesarias"

Desde hace algunas semanas, las sociedades científicas han hecho público su temor a que la nueva legislación española y europea que entra en vigor en mayo sobre protección de datos ponga en riesgo o limite la investigación biomédica y sanitaria. Sin embargo, Jesús Rubí, adjunto a la dirección de la Agencia Española de Protección de Datos (AEPD), asegura que no es así. En todo caso, se va a flexibilizar el uso de esta información con fines de I+D, asegura en la entrevista concedida a Redacción Médica. 

¿Corre algún riesgo la investigación sanitaria o biomédica por el real decreto de protección de datos que se está tramitando en el Congreso de los Diputados?
 
No, porque el propio reglamento europeo de protección de datos en materia de investigación permite que las regulaciones nacionales que están en este momento en vigor sigan vigentes. Es decir, que el sistema de garantías y excepciones para promover y favorecer la investigación sanitaria en general , y en particular la biomédica, siguen exactamente igual de vigentes.
 
Es más: el reglamento europeo de protección de datos promueve que se desarrolle la investigación en particular en el ámbito sanitario, de manera que va a permitir una interpretación probablemente más flexible de la que se estaba haciendo hasta ahora. Esto es gracias a los considerandos 52 y 53, que hacen referencia a cómo se debe interpretar el posible uso de datos obtenidos en el ámbito de la salud. Una de las referencias específicas y novedosas que presentan es que se promueve el tratamiento de datos con fines de beneficio para las personas y de la sociedad en su conjunto. Esto va a permitir que la interpretación que se haga de las finalidades en la investigación biomédica pueda ser más amplia.
 
En investigación biomédica se exigen una serie de consentimientos, aunque hay excepciones. Una de las cuestiones importantes en ambos casos es hasta dónde se puede ampliar o minimizar el tipo de investigación para las que se presta el consentimiento de uso de datos. A día de hoy, la interpretación es más restrictiva y se considera que el consentimiento se restringe para una investigación concreta, como un determinado tipo de cáncer. Pero la norma comunitaria va a permitir interpretar esto en un sentido más amplio y que esos consentimientos puedan cubrir un abanico de investigaciones más extenso.
 
Facme hace alusión al artículo 6 del proyecto que se está tramitando en el Congreso de los Diputados. ¿Por qué existe este temor por parte de las sociedades científicas?

No lo sé. Cuando he estado en entornos sanitarios me han planteado esta cuestión y he puesto de manifiesto que el proyecto de ley no genera una limitación en ese sentido.  Quizá se ha hecho una interpretación incorrecta o limitada de las previsiones del proyecto de ley. Pero vuelvo a decir, y lo dice la agencia públicamente, que la investigación sanitaria no está en peligro.
 

---

"El nuevo reglamento posibilita una interpretación más flexible del uso de datos en investigación biomédica"

---

¿Cómo valora la posibilidad de que se integren nuevas enmiendas al proyecto, como la pedida por las sociedades científicas?
 
Bueno, no es necesaria. Siempre cabe la posibilidad de que en un proyecto de ley se incorpore una modificación normativa que prevea alguna perspectiva adicional. Por ejemplo, en el proyecto de ley orgánica cabría la posibilidad , si lo consideran oportuno los grupos parlamentarios, de hacer alguna modificación de alguna normativa sanitaria que regule la investigación.  Pero si se quiere hacer no es porque el proyecto de ley ni el reglamento europeo supongan una limitación adicional, sino porque se puede entender que se puede aprovechar esa coyuntura para reformular cualquier norma en general y en particular del ámbito sanitario, pero no en el sentido de que sea necesaria para garantizar el régimen jurídico vigente.
 
De hecho, este régimen se va a seguir aplicando igual y el reglamento posibilita una interpretación más flexible que la que se ha venido haciendo hasta ahora en general en investigación, en particular en investigación biomédica. También va a seguir vigente el resto de las normas que se interrelacionan, como la de autonomía del paciente, que regula los accesos a la historia clínica. Se va a poder interpretar, de conformidad con el reglamento, en términos que promuevan más o que permitan interpretar mejor algunas excepciones al acceso a la historia clínica sin consentimiento, por ejemplo.
 
¿Qué pasará con los ensayos clínicos en marcha?
 
Tienen su propia regulación específica, que es también es comunitaria. Y el régimen jurídico de esa regulación sigue igualmente vigente. Ni el proyecto de ley ni el reglamento europeo de protección de datos suponen restricción alguna. Y en el caso de los ensayos clínicios, hace ya muchos años que la Agencia Española de Medicamentos y Productos Sanitarios (Aemps) dio el visto bueno a un código tipo que promovió Farmaindustria para el tratamiento de datos personales en este ámbito, que ofreció soluciones muy flexibles para la industria.
 
¿Está el sector sanitario preparado para la aplicación y entrada en vigor del reglamento europeo de protección de datos?
 
Bueno, el sector sanitario y cualquier otro en el que se trate una categoría especial de datos que tienen un sistema de garantías reforzado, y todas las previsiones novedosas de cómo cumplir la protección de datos, de proactividad, de riesgo y de diseño de sistema que están en el reglamento europeo van a exigir un esfuerzo de adaptación. Por ese motivo, el reglamento europeos se publicó en 2016 pero se ha dilatado su aplicación efectiva hasta el 25 de mayo de 2018. Ese es el periodo en el que se tienen que haber adoptado todas las medidas necesarias para cumplir con el reglamento.
 

---

"Habrá alternativas a las sanciones para aquellos que hayan sido diligentes para adaptarse al reglamento de protección de datos"

---

Pero siempre se dice que los hospitales del SNS tienen agujeros en este campo…
 
Efectivamente, nuestros informes e inspecciones han constatado problemas y hemos incorporado recomendaciones para que se vayan resolviendo.
 
¿Puede cumplir el sector sanitario con este reglamento que llega en tres meses?
 
No es en tres meses, es de 2016 a 2018 (se ríe). Este era el periodo de adaptación. Ahí las situaciones eran diversas en el campo de la sanidad pública, privada, unas u otras situaciones… No hay un estándar homogéneo y puede diferir mucho, según el caso.
 
En cualquier caso, no hay más periodos de adaptación y ninguna de las entidades de protección de datos de ningún estado miembro de la Unión Europea tiene competencias para ampliar el periodo de adaptación. Otra cosa distinta es que el reglamento europeo de protección de datos ofrece un abanico de situaciones y de alernativas que van más allá de la mera multa o sanción económica cuando se incumple la normativa. Permite que se hagan advertencias, apercibimientos, que se exija la adopción de medidas… Es decir, mejoras concretas. Pero, lógicamente, esas alternativas deberían aplicarse solo para aquellos que hayan sido diligentes en el proceso de adaptación al reglamento. Si no se ha sido diligente, a lo mejor la situación es distinta.
 
Por otro lado, al ser un reglamento, es de aplicación directa en todos los estados miembro, no como las directivas, que exigen una norma nacional para incorporarlas. De hecho, el proyecto de ley de protección de datos lo que hace es adaptar a peculiaridades del sistema jurídico español determinadas previsiones del reglamento no reguladas o tratar aquellos temas en las que el reglamento se remite al derecho nacional.  Eso sí: El reglamento se aplicará con independencia o no de que esté aprobado el proyecto de ley.