Projecte de Llei per què es modifiquen diverses normes per consolidar l’equitat i cohesió del Sistema Nacional de Salut: Cap a un espai estatal de dades sanitàries?

Roc Mas Vélez
Delegat de Protecció de Dades. Consorci Mar Parc de Salut de Barcelona.

El Projecte de llei per la qual es modifiquen diverses normes per consolidar l’equitat i cohesió del Sistema Nacional de Salut, en tràmit a la Comissió de Sanitat del Congrés dels Diputats, incorpora, a través de la disposició addicional segona, determinades condicions per a l’accés i el tractament de les dades personals en l’àmbit sanitari.

Atenint-nos al que s’indica a l’exposició de motius, la voluntat del legislador és establir les condicions que permetran el tractament d’aquestes dades amb les finalitats de planificació, gestió, i avaluació de les polítiques públiques en el sector sanitari o assistencial; l’assistència sanitària; vigilància en salut pública i en investigació en salut que no queden contemplats en la disposició addicional dissetena de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals. Així mateix, es recullen les diverses entitats i persones a qui es reconeix la possibilitat, en cas de complir-se les condicions indicades, d’accedir a aquestes dades.

La proposta plantejada pel govern resulta interessant, per quan es presenta com un esforç de dotar de seguretat jurídica a determinats tractaments que, d’acord amb l’ordenament jurídic actual, poden esdevenir dubtosos en relació amb l’aplicació de la normativa en matèria de protecció de dades. Cal tenir en compte, a més, que molts d’aquests tractaments responen a activitats habituals que desenvolupen els centres sanitaris o les administracions públiques involucrades en la prestació de serveis assistencials o en la recerca en salut.

No obstant això, cal esmentar que la proposta regulativa peca de no ser tan clara i comprensible com seria desitjable. Aquesta dificultat en la comprensió deriva, en part, d’algun element de falta de coherència interna, com la referència a la “lletra anterior” de l’apartat 3.a que, en realitat, sembla referir-se a la definició de fonts de dades recollida a l’apartat 7.a de la mateixa disposició addicional segona. Tampoc és sobrer indicar que algunes de les disposicions que s’inclouen en el projecte normatiu resulten innecessàries. N’és exemple l’obligació establerta a l’apartat 2 de l’esmentada disposició addicional, l’obligació de designar una persona delegada de protecció de dades, en termes idèntics als previstos al Reglament General de Protecció de Dades i a la Llei orgànica 3/2018, de 5 de desembre. També es fa referència a un desconegut Reglament Europeu de Dades Sanitàries, tot i que pel context cal entendre feta la referència al futur Reglament Europeu sobre l’Espai Europeu de Dades Sanitàries.

Un cop esmentades les debilitats del text analitzat -que, de manera optimista, es pot pensar que seran objecte de millora durant el tràmit parlamentari-, és pertinent fer un breu resum dels principals punts que preveu la normativa en tràmit sobre l’accés i utilització de les dades en l’àmbit sanitari.

En primer lloc, la proposta normativa identifica aquelles finalitats dels tractaments de dades sobre les quals es concreten les condicions generals que aplicaran a aquests tractaments. Aquestes finalitats abasten la planificació, gestió i avaluació de polítiques públiques en el sector sanitari o assistencial; l’assistència sanitària; la vigilància de la salut pública i la recerca en salut. Aquestes finalitats permetran tractar dades identificadores de caràcter administratiu, dades de salut, dades genètiques, dades biomètriques, dades socioeconòmiques i dades relacionades a l’activitat laboral. Així mateix, es permetrà associar o combinar aquestes dades amb altres informacions que, si bé no constitueixen dades personals, poden ser rellevants en relació amb el seu impacte sobre la salut individual o col·lectiva, com les dades ambientals, nutricionals o altres informacions similars. També, i de cara a garantir la interoperabilitat de les dades. Es preveu també el règim de comunicació i cessió de dades a les administracions sanitàries amb les finalitats de planificació, gestió i avaluació de les polítiques públiques al sector sanitari o assistencial.

L’apartat 3, lletra c, recull el dret de les persones interessades a exercir els drets d’autodeterminació informativa previstos a la normativa en matèria de protecció de dades, tant per si mateixes com per persona interessada. Si bé aquest punt no incorpora cap novetat destacable, la lletra d) del mateix apartat, pel que fa al dret a rebre informació sobre el tractament de les dades personals per part de la persona interessada, quan aquestes dades no es recullin del mateix interessat, estableix determinades excepcions que mereixen menció. En primer lloc, s’estableix que el compliment del deure d’informar es donarà per satisfet quan aquesta informació es trobi disponible en un espai de la pàgina web. Així mateix, es reconeix l’excepció al deure d’informar quan les dades tractades segueixin tenint caràcter confidencial en base a una obligació professional de secret.

S’estableix l’obligació de dur a terme una avaluació d’impacte en protecció de dades, per part de la persona responsable del tractament de planificació, gestió i avaluació de les polítiques públiques de salut. Aquesta avaluació d’impacte serà única per a cada finalitat que motivi un tractament de dades personals.

Així mateix, i en relació amb les finalitats indicades, s’estableix la possibilitat d’accedir per part de les Autoritats sanitàries, les administracions que exerceixin competències en matèria de salut, els professionals sanitaris, a les persones responsables de la planificació i gestió de la provisió de serveis sanitaris, a organitzacions i associacions de l’àmbit sanitari, a persones investigadores i a grups d’investigació, a professionals que duguin a terme tasques de vigilància anticipació, control de riscos i resposta en salut pública i a la ciutadania en general respecte de les pròpies dades. En cada cas, s’estableixen limitacions d’accés a la informació, que amb caràcter general serà sobre dades pseudonimitzades i anonimitzades, així com un règim d’autorització prèvia a l’accés.

Com s’ha esmentat al principi, la redacció de la proposta normativa és de difícil comprensió, però sembla que la intenció del legislador és avançar-se a la regulació europea sobre l’Espai Europeu de Dades Sanitàries, establint les bases per a l’Espai Espanyol de Dades Sanitàries i els usos i permisos d’accés que, sobre la seva informació, resulten oportuns. Entenent que la regulació proposada se circumscriu a aquesta casuística de tractament de dades, les previsions de la proposta normativa guanyen sentit. No obstant això, sembla evident que la proposta normativa, si bé permet entreveure una visió interessant del legislador sobre la qüestió, encara requereix revisió i millora, especialment en la forma, per tal d’esdevenir una proposta normativa útil per a l’assoliment dels objectius que es proposa.

Caldrà estar atents al camí que aquesta proposta segueix en el tràmit parlamentari, així com a les esmenes que, ben segur, es produiran per tal de valorar, novament, l’impacte regulatiu d’un text més adient en cas d’una eventual aprovació.

Per tant, poca eficàcia pràctica podem esperar d’aquesta disposició addicional segona -en l’estat actual de tramitació- si no és que, com s’intueix, la pretensió sigui establir una base jurídica per a un espai estatal de dades sanitàries integrat al futur Espai Europeu de Dades de Salut.

Barcelona, 23 de juliol de 2024.