El Reglamento general de protección de datos personales, más conocido como el RGPD o GDPR, por sus siglas en inglés, cataloga a los datos relativos a la salud como datos pertenecientes a una categoría especial de datos personales al considerarlos especialmente sensibles.
pero ¿a qué nos referimos con la expresión de datos relativos a la salud?
El propio RGPD, en su Artículo 4 los define como “aquellos datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria que revelen información sobre su estado de salud“
Gracias a esta definición, podemos entender que entre los datos personales relativos a la salud se deben incluir:
- todos los datos relativos a la salud de una persona física. Salud, entendida en sentido amplio: salud física y salud mental
- toda información sobre el estado de salud pasado, presente o futuro del interesado
- los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas. Ejemplos de esto sería el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado
- todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios
- también se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia
Se consideran datos especialmente sensibles, por ser datos relativos a la salud: los exámenes de una parte del cuerpo o de una sustancia corporal, datos genéticos y muestras biológicas, una prueba diagnóstica in vitro y/o cualquier información relativa a una enfermedad, una discapacidad o el riesgo de padecer enfermedades
El hecho de tratar datos relativos a la salud, hace que nuestro proceso sea “potencialmente peligroso” para los derechos de los interesados y probablemente nos veamos obligados a realizar una evaluación de impacto en la que describamos los posibles riesgos y amenazas a los que nuestro proceso se pueda enfrentar, y las medidas de seguridad adoptadas para minimizar esos riesgos.
En este tipo de procesos, adquieren especial relevancia los principios de “privacy by design” y “privacy by default” o la prohibición de perfiles discriminatorios. Debemos recordar que es clave implementar medidas de seguridad reforzadas que conviertan nuestro proceso en un proceso robusto, seguro y fiable.
Más información:
Datos personales, datos públicos o datos sensibles en materia de protección de datos
La evaluación de impacto en la privacidad como nueva responsabilidad en el RGPD
Responder