Resumen: Por su indudable interés público y
actualidad, reproduzco mediante una traducción “no oficial”, adaptada al formato
editorial del blog, el Dictamen CNS 34/2014 [2] de la APDCAT como respuesta a la
consulta planteada por una entidad de derecho público en relación con el modelo de gestión y de servicios para
dar valor a la información del sistema sanitario catalán en el marco de las
políticas públicas.
Autor del artículo
|
Colaboración
|
|
AUTORIDAD
CATALANA DE PROTECCIÓN DE DATOS (APDCAT)
|
||
Actualizado
|
5 de abril de 2015
|
|
Índice
1. Introducción2. Objeto de la consulta
3. Descripción del proyecto
4. Sobre la información que se tratará en el proyecto VISC+
5. Sobre la finalidad del tratamiento
6. Régimen de comunicación de datos personales
7. Responsabilidad y propiedad de la información
8. Deber de confidencialidad
9.1. Nivel 1 de aprobación
9.2. Nivel 2 de aprobación
9.3. Nivel 3 de aprobación
10. Procedimiento técnico de anonimización
11. Procedimiento establecido para la cesión de datos
12. Medidas de seguridad
13. Ubicación de la información
14. Encargo del tratamiento y posibilidad de subcontratación de las prestaciones del contrato
15. Conclusiones
16. Bibliografía referenciada
17. Derechos de autor
1.
Introducción
En concreto, se adjunta copia del Documento Administrativo de
solución final VISC+ (en adelante, DA), del Documento Técnico de solución final
VISC+ (en adelante, DT), y del Documento de procedimiento para la cesión de
datos personales anonimizadas de salud al Adjudicatario de VISC+ para
investigación médica y evaluación, que incluye, como anexos, los Estatutos de
la entidad (anexo 1), el documento de encargo de gestión (anexo 2), y el documento
sobre el procedimiento de anonimización (anexo 3).
Analizada la consulta y la documentación que la acompaña,
vistos los informes del Coordinador de Auditoría y Seguridad de la Información
de la Autoridad, y de la Asesoría Jurídica emito el siguiente dictamen
I
(...)
II
2. Objeto
de la consulta
A través de la
consulta formulada, la entidad expone que está licitando un contrato de
colaboración público privada para la implantación y la operación de un modelo de gestión de servicios para dar
valor a la información del sistema sanitario catalán en el marco de las
políticas públicas (VISC+). Se añade que en este marco contractual se regulan
los mecanismos y procesos de seguridad que serán aplicables sobre los datos
incluidos en el alcance del contrato, y que deben asegurar el cumplimiento de
la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal (LOPD).
En relación con el proyecto VISC+, la entidad solicita
informe sobre la adecuación de las medidas de seguridad que se aplicarán sobre
los datos incluidos en el objeto del contrato VISC+ a la legislación en materia
de protección de datos.
En cuanto al alcance de este dictamen, tal y como se plantea
en la consulta, se centrará en aspectos relativos a las medidas de seguridad,
pero las consideraciones sobre estos aspectos no se puede desvincular de los
principios y obligaciones derivados de la normativa de protección de datos. Por
ello, ya partir de la documentación aportada, también analizarán, con carácter
previo algunas cuestiones generales sobre el alcance las características del
proyecto y las garantías necesarias para el cumplimiento de la normativa de
protección de datos.
Por otra parte, este dictamen tiene por objeto el análisis
del modelo de seguridad y anonimización de los datos que se describe
básicamente en el Anexo 1 del DT, relativo al "Modelo de seguridad,
disponibilidad y uso de los datos", para comprobar si se adecua a la
normativa de protección de datos y hacer aquellas consideraciones que, desde la
perspectiva de la protección de datos, se consideren pertinentes para
mejorarlo. Hay dejar claro pero que el objeto de este dictamen no consiste en
validar un determinado modelo de seguridad, cuestión que por otra parte no
sería posible dada la falta de concreción de diferentes aspectos relacionados
con la seguridad. La validación del sistema de seguridad es algo que sólo se
puede llevar a cabo después de un cuidadoso procedimiento de auditoría que se
debe llevar a la práctica una vez esté implementado. Por esto, en el punto 3.1
del DT, habría referirse a que el modelo del Anexo 1 del DT ha sido objeto de
Dictamen de la Autoridad, y no de validación. En cualquier caso, se valora
positivamente la previsión de que las futuras modificaciones del Modelo de
seguridad, disponibilidad y uso de los datos, de dicho Anexo 1, también se
someterán al juicio de la Autoridad.
III
3. Descripción
del proyecto
La consulta planteada
por la entidad, trae causa del contrato de colaboración público privada para el
diseño, implantación y operación de un modelo de gestión y servicios para dar
valor a la información del sistema sanitario catalán.
La entidad que formula la consulta es una entidad de derecho
público de la Generalidad sometida al ordenamiento jurídico privado, adscrita
al departamento competente en materia de salud de la Generalitat de Catalunya,
con personalidad jurídica propia, autonomía administrativa y financiera y plena
capacidad de obrar para el cumplimiento de sus objetivos y sus funciones, y
actúa, en el marco de las funciones que le atribuyen sus Estatutos, bajo las
directrices de dicho departamento, el cual ejerce el control de eficacia y
eficiencia sobre su actividad. Son objetivos de la entidad generar el
conocimiento relevante para contribuir a la mejora de la calidad, seguridad y
sostenibilidad del sistema de salud de Cataluña que faciliten la toma de
decisiones a la ciudadanía, los profesionales y los gestores del ámbito de la
salud, y los órganos responsables de la planificación en salud, así como
facilitar la implicación de los profesionales sanitarios en el sistema y su
corresponsabilidad en la consecución de los fines comunes y la calidad de la
atención. Entre otras funciones, corresponde a la entidad definir, impulsar y
desarrollar la estrategia del sistema de información y las tecnologías de la
información y comunicación del sistema de salud de responsabilidad pública, así
como llevar a cabo la gestión y el mantenimiento de los elementos comunes y / o
unificados del sistema de información del sistema sanitario integral de
utilización pública de Cataluña (SISCAT) y su explotación y rentabilización
garantizando, de acuerdo con las directrices del departamento competente en
materia de salud, la disponibilidad de la información del sistema sanitario de
Cataluña, haciéndola accesible e interoperable al servicio de una asistencia
sanitaria de calidad, de acuerdo con la política corporativa de la Generalitat
de Catalunya en materia de telecomunicaciones y tecnologías de la información,
según los Estatutos de la entidad.
El Plan de Gobierno 2013-2016, incluyó el "Proyecto VISC+
(Valorización de Información del Sistema Sanitario Catalán), entre los
proyectos de interés para el eje de cohesión social y servicios de interés
público, incluido en dicho Plan de Gobierno.
Hay que decir que al elaborar este dictamen no se ha
dispuesto de una memoria global que describa de manera detallada las
necesidades, las alternativas disponibles y las características (flujos de
información, características del sistema de anonimización datos, colectivos
concretos afectados, etc.) y los beneficios de la opción elegida. Sólo se
dispone de varios documentos -descritos en el apartado de antecedentes de este
dictamen- que, desde perspectivas diferentes, describen diferentes aspectos del
proyecto. Así, algunos de los documentos aportados parece que forman parte de
la documentación contractual de la relación entre entidad y el Adjudicatario
(DA y DT), otros se refieren a la relación entre los responsables del fichero y
la entidad (Encargo de servicios) y otros no resulta clara qué naturaleza
tienen (Documento sobre procedimiento para la cesión).
Hay que decir también que, dadas las fuertes implicaciones
para la privacidad de las personas y para los otros derechos que podrían verse
afectados en caso de un tratamiento inadecuado de una información tan sensible
como la que se incluye en el proyecto, sería
recomendable disponer de una evaluación del impacto sobre la privacidad que
puede tener esta iniciativa. La elaboración de este estudio, que actualmente no
es preceptivo de acuerdo con la normativa vigente en materia de protección de
datos, se alinearía con las previsiones del proyecto de Reglamento europeo de
protección de datos que actualmente se está tramitando, el cual prevé, entre otras,
la elaboración, por parte del responsable del tratamiento, de una evaluación
del impacto sobre la privacidad cuando se lleven a cabo tratamientos en gran
escala de datos de salud.
Esta evaluación debería incluir una descripción general de
las operaciones de tratamiento previstas, una evaluación de los riesgos para
los derechos y libertades de los interesados, las medidas previstas para hacer
frente a los riesgos, y las garantías, medidas de seguridad y mecanismos
destinados a garantizar la conformidad con la normativa de protección de datos.
En este sentido, la Agencia Española de Protección de Datos ha publicado
recientemente una "Guía para una evaluación
impacto en la protección de datos". [1]
En síntesis, por lo que se desprende de los diferentes
documentos aportados, el mapa del Proyecto VISC+ es el siguiente:
La constitución de un encargo del tratamiento (artículo 12
LOPD) entre el Departamento de Salud, el Servicio Catalán de la Salud (CatSalut)
y el Instituto Catalán de la Salud (ICS), como responsables de los ficheros de
datos implicados en el Proyecto, y la entidad, como prestador de servicios y
encargado del tratamiento, que debe permitir que la entidad proceda a
anonimizar la información para que el Adjudicatario, a quien se le comunicaría
la información, la facilite a terceros (clientes o usuarios finales).
También se prevé que la entidad pueda ceder directamente a
terceros datos personales no anonimizadas, previa comprobación, por parte de la
entidad, que el cesionario dispone de los consentimientos correspondientes de
los afectados y de una auditoría de cumplimiento de la LOPD.
El Adjudicatario deberá encargarse de definir, construir y
poner en marcha un catálogo de servicios útil, eficiente, competitivo e
innovador, y contrastar las necesidades del mercado y los clientes finales del
proyecto, así como de definir un plan de difusión y de comercialización,
canalizando de manera adecuada la demanda del mercado nacional e internacional.
También deberá ejecutar otros proyectos o iniciativas relacionadas con VISC+, y
deberá de crear un centro de competencia en analítica en datos de salud, las
funciones y composición se describen en el apartado 3.4.1 del DT. El Proyecto
articula un doble procedimiento de cesión de datos personales:
- Procedimiento para la cesión de datos anonimizados de salud al Adjudicatario para investigación médica y evaluación (punto 1 del Documento "Procedimiento para la cesión de datos (...) ", que a su vez facilitaría los datos a los clientes finales.
- Procedimiento para la cesión de datos de salud no anonimizadas para investigación médica y evaluación al usuario final (punto 2 del mismo Documento). Este segundo procedimiento tiene la particularidad de que los datos serían cedidos directamente el usuario final por parte de la entidad.
Si bien no todos (pues también se prevé tratar ficheros tales
como el Registro sanitario de empresas e industrias, o el Registro de personal
docente, a modo de ejemplo), la mayoría los ficheros afectados por el Proyecto VISC+
contienen datos de salud. Si nos atenemos al alcance de los datos que la
entidad prevé poner a disposición del Adjudicatario tan inicialmente como en
incorporaciones futuras (punto 2.2.2 del DT) es claro que los datos de salud
conforman la principal fuente de información del Proyecto analizado.
La LOPD establece un régimen de protección reforzado en
relación con determinadas tipologías de datos personales, entre otros, los
datos de salud, entendiendo por tales las informaciones que conciernen la salud
pasada, presente y futura, física o mental, de un individuo, así como las
referidas a su porcentaje de discapacidad ya su información genética (artículo
5.1.g) RLOPD), que se traduce en una serie de garantías (artículos 7 y 8 de la
LOPD) y la exigencia de la aplicación de medidas de seguridad de nivel alto
(art. 81 RLOPD).
Dado que el Proyecto VISC+ tiene como objetivo desarrollar un
modelo de gestión que permita dar valor a la información que genera el sistema
sanitario catalán, en la medida que ello implicará, principalmente, el
tratamiento de datos de salud, habrá que atender a este régimen de protección
previsto en el LOPD para los datos sensibles, y las previsiones de la normativa
sectorial aplicable. Los datos que conforman la HC se recogen para realizar el
tratamiento médico que requiere el paciente, principalmente y, en su caso, para
de otros usos o finalidades, previstos en la normativa específica, en concreto,
la Ley 41/2002, de 14 de noviembre, estatal, reguladora de la autonomía del
paciente y de derechos y obligaciones en materia de información y documentación
clínica, que regula con carácter básico determinadas cuestiones relativas a la
HC y los derechos de los pacientes, así como, en el ámbito de Cataluña, la Ley 21/2000,
de 29 de diciembre, sobre los derechos de información concerniente a la salud y
la autonomía del paciente, y la documentación clínica. De acuerdo con esta
normativa para tratar los datos que constan en la HC, será necesario el
consentimiento de su titular, salvo que concurra alguna de las excepciones
previstas en la ley o que se anonimice la información (artículos 16.3 de la Ley
41/2002 y 11.3 de la Ley 21/2000).
IV
4. Sobre
la información que se tratará en el proyecto VISC+
"1. Los datos de carácter personal sólo se podrán
recoger para su tratamiento, así como someterlas a dicho trataVmiento, cuando
sean adecuados, pertinentes y no excesivos en relación con el ámbito y las
finalidades determinadas, explícitas y legítimas para las que se han obtenido”.
Este principio de proporcionalidad en un proyecto como el que
nos ocupa desplegará sus efectos tanto desde el punto de vista de los ficheros
que deben formar parte del proyecto, como de la información que se podrá
comunicar a los clientes finales.
En cuanto a los ficheros afectados por el Proyecto VISC+,
según lo descrito en el documento relativo al encargo de servicios, son
ficheros responsabilidad del Departamento de Salud (19 ficheros), del CATSALUT
(10 ficheros) y el ICS (3 ficheros), que la entidad podrá tratar en base a un
contrato de encargo del tratamiento al que nos referiremos más adelante.
También se explicita, en el Documento relativo al encargo del tratamiento -
"Encargo de servicios de anonimización (...)" -, determinados ficheros
que quedan fuera el alcance del proyecto.
Ahora bien, hay que hacer notar que según el apartado 2.2.2
del DT, la entidad pondrá a disposición del Adjudicatario "toda la
información anonimizada" que se genere en el SISCAT. Hay pues una
discordancia que debería llevar a rectificar el apartado 2.2.2.
En cualquier caso, con respecto a los ficheros afectados, hay
que valorar positivamente que, a pesar el gran número de ficheros mencionados
en el Documento de encargo de servicios de anonimización, el DT prevea un
"alcance inicial" limitado de los datos que estarán disponibles en un
primer momento del Proyecto (apartado 2.2.2.1 del DT). En esta línea del
apartado 5.2.1 del DT prevé que "En la Fase 1 del proyecto se consensuarán
qué fuentes de datos, de entre las incluidas en el alcance inicial, se pondrán
a disposición del Adjudicatario una vez se haya construido y validado el
proceso de anonimización de acuerdo con el modelo de seguridad (...)". De
ello parece poder inferirse que, en atención a resultados que se puedan obtener
inicialmente, la incorporación de nuevos ficheros y de nuevas datos tendrá en
cuenta la experiencia adquirida a la hora de valorar su viabilidad y la
proporcionalidad.
Pero este principio, además de regir en el momento de la
puesta a disposición de la entidad de los ficheros afectados, hay que tener
presente también en el momento de la comunicación de los datos concretos
necesarios para los fines que pretendan llevar a cabo los clientes finales.
Especialmente si se trata de datos personales, pero también si se trata de
datos anonimizados.
La información entregada a los clientes finales sería, en
buena parte, datos de salud de los afectados, contenidas en la HC - o datos
anonimizados obtenidos a partir de las mismas-. Desde la perspectiva del
principio de calidad, hay que tener en cuenta que el contenido de la HC,
definido en la normativa (fundamentalmente artículo 15.2 Ley 41/2002, y
artículo 10 Ley 21/2000) es amplio, por lo que se contienen datos sensibles,
informes relativos al paciente, y otros que pueden dar información de terceras
personas, como los antecedentes familiares. Teniendo en cuenta esto, cuando se
lleve a cabo la cesión y cuando articule el correspondiente consentimiento
informado, hay que limitar la cesión de datos sólo en las que sean relevantes a
los efectos del estudio o investigación que se quiera llevar a cabo por parte
del cliente final.
Esto, que es esencial en el caso de los datos personales no
anonimizadas, es relevante también para el caso de los datos anonimizados,
porque no hay que perder de vista que en el entorno del big data el cruce de
información obtenida de orígenes diversos, incluso todo si ha sido anonimizada
puede acabar haciendo identificable una persona. Por ello, para intentar
reducir en estos casos los riesgos de re-identificación también sería necesario
limitar los datos comunicados a las mínimas indispensables para alcanzar la
finalidad pretendida por el cliente final. Y dentro de los datos anonimizados,
es todavía más relevante en aquellas que se ofrecen en abierto. Por ello, dados
los riesgos inherentes, hay que ser muy restrictivo con la información de salud
que se ofrezca en abierto, a menos que se ofrezca con niveles de agregación
sobradamente amplios.
Cuando el apartado 3.2.1 del DT se refiere a los datos
abiertos no se concreta cuáles serán estos datos ni los criterios y el
procedimiento que se seguirán para decidir qué datos deberán estar accesibles
en abierto. Sería conveniente que ya desde esta fase de diseño del proyecto se
aclararan estos extremos.
En cualquier caso, este es el único supuesto (servicios de
datos abiertos) en el que el DT examinado explicita que se trabajará con
"datos anonimizadas", mientras que en la resto de servicios
identificados no se explicita si los clientes finales podrían recibir y tratar
información anonimizada o datos personales no anonimizados.
El principio de minimización en el tratamiento de los datos
personales, del que se deriva que si una finalidad se puede lograr sin
necesidad de tratar datos personales, se ha de optar por esta posibilidad,
debería incorporarse de una forma más visible en el proyecto, por lo que -con
independencia de que se pueda lograr el consentimiento de las personas
afectadas- sólo se base un determinado tratamiento en información de personas
identificadas en aquellos casos que resulte imprescindible.
Cabe acotar en qué casos puede ser, no ya necesario, sino
imprescindible, trabajar con datos no anonimizados. Como se ha visto, el
proyecto se refiere a la comercialización de informes de diversa naturaleza, en
relación con algunos de los cuales sólo se menciona que responden "a
necesidades específicas" del solicitante, sin más concreción, respeto que
tipo y volumen de información agregada o no agregada pueden requerir.
V
5. Sobre
la finalidad del tratamiento
Como hemos visto, el artículo 4.1 prevé que la información
sólo puede tratarse "en relación con el ámbito y
las finalidades determinadas, explícitas y legítimas para las que se han
obtenido".
Y además, el apartado 2 del mismo artículo 4 añade:
“2. Los datos de carácter personal objeto de tratamiento
no se pueden utilizar para finalidades incompatibles con aquellas para las que
los datos hubieran sido recogidos. No se considera incompatible el tratamiento
posterior de éstos con fines históricos, estadísticos o científicos. (...)”.
Estas previsiones
conforman lo que se denomina principio de finalidad en la normativa de
protección de datos de carácter personal. En la documentación aportada se hace
mención a que el objetivo del Proyecto es dar valor a la información generada
por el sistema sanitario catalán. Más en concreto, se hace referencia a el fin
de "investigación médica y evaluación" (Documento de encargo de
servicios, Documento de Procedimiento de cesión de datos, y DT). Ahora bien,
con respecto a las finalidades concretas para las que los clientes finales
pueden solicitar los datos, hay alguna discordancia:
En el Anexo 1 del DT, referido al "Modelo de seguridad,
disponibilidad y uso de los datos", expone lo siguiente: "El
Adjudicatario sólo podrá utilizar los datos, ya sean personales como
anonimizadas, por alguna de las siguientes finalidades: estudios de
investigación médica, estudios de epidemiología, docencia, asistencia
sanitaria, administración y gestión de centros sanitarios, inspección por parte
de la administración sanitaria, gestión sanitaria para la administración
sanitaria o estadística oficial declarada al Plan Estadístico". Y esto
parece que abarcaría tanto los supuestos de datos abiertas como los otros en
los que se solicite la información para el usuario final, según las diferentes
modalidades previstas.
También en el Documento "Procedimiento para la cesión de
datos personales (...)", en el apartado 1.3.1 "Supervisión de las
solicitudes de los usuarios al Adjudicatario", y en el apartado 2 relativo
a la cesión de datos no anonimizadas, se hace una referencia general a todas
las finalidades de uso de la HC análoga en el Anexo 1 del DT.
En cambio, en los encabezamientos de los apartados relativos
a los procedimientos 1 y 2 se hace referencia sólo a "investigación médica
y evaluación". Y en el Documento de encargo de servicios de anonimización,
que se adjunta, y al que luego nos referiremos con más detalle, se prevé que la
finalidad del servicio es la "Gestión sanitaria por la administración
sanitaria; Estudios de epidemiología; Investigación ".
Es decir, se constata que
las referencias a los fines del proyecto no siempre coinciden en los diferentes
apartados de la documentación aportada. Así, se hace una referencia, en
algunos documentos, acotada a la investigación médica y evaluación, y en unos
otros, en la práctica totalidad de las finalidades descritas en la normativa
sectorial para los datos de la HC.
Aparte de eso, hay que hacer notar dos precisiones:
El Anexo 1 del DT se refiere a que "el Adjudicatario
sólo podrá utilizar los datos ..." con alguna de estas finalidades. En
realidad sin embargo, el uso principal que haga el adjudicatario no parece que
vaya a ser el mismo, sino ponerlas a disposición de terceros según las
diferentes modalidades previstas, para que sean estos quienes lleven a cabo
estos fines.
Por otra parte, en el caso de que el cliente final solicite
los datos, se puede comprobar en este trámite la finalidad prevista, para que
encaje en alguna de estas finalidades. Pero en cambio, cuando se trate de datos
abiertos, el análisis de la finalidad hay que hacerlo en el momento de su previa
puesta a disposición y, en consecuencia, limitar la publicación de datos en
abierto a aquellos que desde el punto de vista de los fines mencionados
resulten imprescindibles.
En segundo lugar, según la documentación aportada, las
finalidades del tratamiento de datos en el contexto del Proyecto VISC+ abarcan
desde la asistencia sanitaria (artículo 11.1 Ley 21/2000), en funciones de
inspección (artículo 11.5 Ley 21/2000), en tareas de administración de centros
sanitarios (artículo 11.4 Ley 21/2000), ya fines epidemiológicos y de
investigación o docencia (artículo 11.3 Ley 21/2000). Si nos atenemos a las
previsiones de la normativa sectorial (Leyes 41/2002 y 21/2000), algunas de
estas finalidades pueden no requerir el consentimiento de los titulares,
mientras que otros (principalmente, a los efectos que nos ocupan, la finalidad
de investigación o investigación médica), requieren ineludiblemente del
consentimiento de los afectados a menos que se proceda a la anonimización, en
unos términos que aseguren la protección de la privacidad de los afectados.
Por eso hay que recordar que resultan confusas algunas de las
previsiones de la documentación aportada, en el sentido de que no queda claro
si el tratamiento de datos personales del Proyecto VISC+ debe tener por finalidad,
principalmente o, incluso, únicamente, la investigación o "investigación
médica" (como parecería deducirse de algunos de los Documentos citados), o
si se puede producir un tratamiento y cesión a los "clientes finales"
para, en definitiva, la práctica totalidad de los fines o usos de la HC
descritos en el artículo 11 de la Ley 21/2000 (y artículo 16 de la Ley
21/2000). Tampoco queda clara cuál es la finalidad de "evaluación" a
que se refieren algunos de los documentos aportados, como ha quedado dicho. En
relación con esta finalidad de evaluación, se recomienda que se concrete la
referencia, en atención a los usos de la HC previstos en la Ley 21/2000.
Habría que explicitar, en la medida de lo posible, que los
"clientes finales" sólo podrán tratar la información personal
(singularmente, información no anonimizada) necesaria, en atención a la
finalidad para la que la hayan solicitado, y teniendo en cuenta las
limitaciones que puedan derivarse de la normativa aplicable.
En este sentido, hay que recordar que se echa en falta, en el conjunto de documentación aportada, una
conexión clara entre "cliente final", la finalidad a cumplir, la
concreción de la información a la que podría tener acceso, y si esta
información debe ser anonimizada o puede conllevar una cesión de datos
personales. Al respecto, hay que hacer notar que en el DT se identifican
una serie de servicios o productos, que, a propuesta de la entidad, el
Adjudicatario deberá configurar. En concreto:
- Servicios de datos abiertos: publicación sin coste de subset (subconjuntos) de datos anonimizados.
- Servicios de datos no abiertos: comercialización de subset de datos para una finalidad de investigación concreta. Se destinan a usuarios que dispongan de subvenciones, fondos competitivos o que hayan pasado un Comité ético de investigación.
- Servicios de licenciamiento, por explotación y análisis de los datos incluidos en el alcance del contrato. Servicios de informes estándar: comercialización de informes de análisis y evaluación, basados en los datos incluidos en el alcance del presente contrato.
- Servicios de informes ad-hoc, adaptados a necesidades específicas del solicitante.
- Servicios de optimización de la gestión de servicios sanitarios o de práctica clínica.
- Otros servicios Ad-hoc.
De entrada, se prevén servicios de datos abiertos ("open
data"), es decir, subconjuntos de datos que se ponen libremente a
disposición de todos para su reutilización tanto para fines comerciales como no
comerciales (según definición de la Comunicación de la Comisión Europea COM
(2014) 442 final, "Hacia una economía de los datos próspera").
En este contexto, y con la evolución que se está produciendo
en el ámbito del Big Data, en función del volumen de datos que sean puestas a
disposición de cualquier persona (Apartado 3.2.2 del DT se refiere tanto a
ciudadanos como industria o instituciones privadas en el ámbito de las ciencias
de la vida, pero en realidad puede ser cualquier persona o empresa) y según la
forma como se ofrezcan, la posibilidad de que la combinación de esta
información con informaciones obtenidas de otras fuentes pueda acabar haciendo
identificables personas no se puede descartar. Por eso hay que tener
especialmente en cuenta que no se produzca un riesgo para la privacidad de los
afectados, como se ha puesto de manifiesto, entre otras, en la Comunicación de
la Comisión, sobre "Datos abiertos. Un motor para la innovación, el
crecimiento y la gobernanza transparente "(COM (2011) 882 final).
A esto hay que añadir la amplia tipología de clientes
identificados en el Proyecto (apartado 3.2.2 "Gestión de clientes",
del DT), que incluyen agentes del sistema sanitario integral de utilización
pública de Cataluña (SISCAT); investigadores; industria o instituciones privadas
en el ámbito de las ciencias de la vida; ciudadanía (personas físicas, asociaciones
de ciudadanos, de pacientes, empresas especializadas o con interés en el uso y
re-uso de los datos, y "otros destinatarios".
Como ha hecho saber esta Autoridad en anteriores ocasiones,
entre otros, en el Informe 3/2014, relativo al Proyecto de Decreto de
modificación del Decreto 67/2010 -que se puede consultar en la web www.apd.cat , la exigencia de legitimidad, presente en relación con cualquier
tratamiento de datos, debe ser más estricta en casos en que se prevé el
tratamiento de datos sensibles, como es el caso que nos ocupa.
A modo de ejemplo, teniendo en cuenta la normativa aplicable,
los usos y finalidades de la HC, y vista la tipología de clientes finales de la
información a tratar, que puede ser, insistimos, según el Proyecto, información
personal no anonimizada, desde la perspectiva de la protección de datos y de
los usos admitidos para la HC, puede ser difícilmente asumible que una
asociación de ciudadanos o determinadas empresas, tengan que acceder a través
del Proyecto, a información personal sensible no anonimizada,
independientemente que se vehicule a través del consentimiento. Por el
contrario, si los clientes finales son investigadores y requieren los datos
para fines de investigación (artículo 11.3 Ley 21/2000), en algunos casos sí
podría ser necesario acceder y tratar información no anonimizada, si se dispone
de los necesarios consentimientos, si bien, en otros casos, se podrá llevar a
cabo la investigación con información agregada.
Por el contrario, la normativa prevé determinadas finalidades
que deben permitir el acceso a información contenida en la HC, sin
consentimiento. A modo de ejemplo, según el artículo 11.5 de la Ley 21/2000, se
prevé el acceso a las HC para funciones de inspección, acotado al personal al
servicio de la Administración sanitaria.
Por todo ello, dada la casuística amplia y diversa que se
puede dar en relación con los clientes potenciales, las finalidades previstas,
los servicios identificados, y los ficheros que serían fuente de información en
el contexto del Proyecto VISC+, y sin perjuicio de que en la Documentación
aportada se haga referencia a la necesidad de consentimiento de los afectados
en determinados supuestos, desde la perspectiva de la protección de datos, sería conveniente una mayor claridad y
concreción en el Proyecto VISC+, respecto cuáles servicios y tipologías de
clientes pueden llegar a requerir la utilización de información personal
sensible no anonimizada, y cuáles no, y para qué finalidad concreta.
VI
6. Régimen
de comunicación de datos personales
"1. Los datos de carácter personal objeto del
tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de
fines directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado. 2. El consentimiento
exigido en el apartado anterior no será necesario: a) Cuando la cesión está
autorizada en una ley. (...)".
El artículo 11.6 LOPD,
por su parte, establece que si la comunicación se produce previo procedimiento
de disociación, no será de aplicación lo establecido en los apartados
anteriores. Como se ha apuntado, el Proyecto VISC+ enmarcaría principalmente en
el fin de investigación, si bien la documentación aportada hace referencia,
también, a otros fines. Dado que la información objeto de tratamiento (incluida
en los diferentes ficheros descritos) es información sensible, y puede provenir
en buena parte de la HC, a los efectos de la previsión de el artículo 11.2.a)
LOPD hay que tener en cuenta las previsiones de la normativa sectorial.
Según disponen los artículos 16.3 de la Ley 41/2002, y 11.3
de la Ley 21/2000, el acceso la HC con fines de investigación, entre otros,
requiere el consentimiento expreso los titulares a menos que los datos se
traten de forma anonimizada en los términos previstos en la normativa citada
(Ley 41/2002 y Ley 21/2000).
El Proyecto VISC+ conlleva, en parte, el acceso de los
clientes finales a datos anonimizados -apartado 1. del Documento
"Procedimiento para la cesión de datos (...)" -. Ahora bien, también se
prevé la cesión al usuario final de datos personales de salud que no han sido
anonimizadas para investigación médica y evaluación. En este último supuesto
será necesario disponer del consentimiento informado de los titulares de los
datos, por aplicación de la normativa sectorial citada.
El artículo 5.1.d) del RLOPD define el consentimiento como "cualquier manifestación de voluntad, libre, inequívoca, específica
e informada, mediante la que el interesado consiente el tratamiento de datos
personales que le conciernen”.
En relación, concretamente, con la cesión de datos
personales, el artículo 12.2 del RLOPD dispone que:
"Cuando se solicite el consentimiento del afectado
para la cesión de sus datos, debe ser informado de forma que conozca
inequívocamente la finalidad a que se destinan las datos respecto de la
comunicación de las cuales se solicita el consentimiento y el tipo de actividad
que lleva a cabo el cesionario. En caso contrario, el consentimiento es nulo".
Según dispone el artículo 11.3 de la LOPD:
"Es nulo el consentimiento para la comunicación de
los datos de carácter personal a un tercero cuando la información que se
proporcione al interesado no le permita conocer la finalidad a que destinan los
datos la comunicación de las cuales se autoriza o el tipo de actividad del
receptor de la comunicación".
Con respecto, en cambio, a la cesión de datos sin ningún dato
que permita la identificación del afectado, se trataría de una cesión de datos
anonimizados, que ya no requeriría del consentimiento de los afectados, dada la
previsión de los artículos 11.6 LOPD, 16.3 de la Ley 41/2002 y 11.3 de la Ley
21/2000, citadas. Por aplicación de las leyes citadas de autonomía del
paciente, la anonimización de los datos de la HC habilita la comunicación de la
información para fines de investigación o búsqueda, por lo que, estrictamente,
el consentimiento del paciente ya no sería necesario.
En este punto, recordemos que el Considerando 26 de la
Directiva 95/46 / CE, de protección de datos personales, dispone que los
principios de la protección deberán aplicarse a cualquier información relativa
a una persona identificada o identificable, y añade que, para determinar si una
persona es identificable hay que considerar el conjunto de los medios que pueda
utilizar razonablemente el responsable del tratamiento o cualquier otra
persona, para identificar esta persona; que los principios de la protección no
aplicarán a aquellas datos hechos anónimas de manera que ya no sea posible
identificar al interesado.
Según el artículo 2.a) de la Directiva citada, son
"datos personales" toda información sobre una persona física
identificada o identificable, y se considera identificable toda persona la
identidad pueda determinarse, directa o indirectamente, en particular mediante
un número de identificación o uno o varios elementos específicos,
característicos de su identidad física, fisiológica, psíquica, económica,
cultural o social.
Ya avanzamos que el procedimiento de disociación de la
información de salud que se pueda contener en los ficheros afectados por el
Proyecto VISC+, entendido como "cualquier tratamiento de datos personales
de modo que la información que se obtenga no pueda asociarse a una persona
identificada o identificable " (art. 3.f) LOPD) deberá ser adecuado, a fin
de asegurar que se ceden "datos disociados" (art. 5.1.e) RLOPD), es
decir, datos que no permiten la identificación del afectado.
Por eso no parece que
pueda ser admisible una previsión como la contenida en el apartado 3.2.3 del
DT. En la página 15 de este documento se afirma lo siguiente:
"En caso de que la petición del cliente se
corresponda al acceso a un volumen de datos anonimizadas que implique un riesgo
de desanonimización / personalización de estas datos, será necesario que (la
entidad), a través del comité de dirección, evalúe y autorice esta solicitud para
dar cumplimiento a la LOPD”.
En caso de que exista el riesgo que se menciona en este
párrafo no parece que el comité de dirección pueda autorizar la petición. Si existe un riesgo de re-identificación,
habrá que denegar la solicitud o introducir las garantías suficientes para
hacer desaparecer este riesgo. Observación ésta que se puede trasladar
también al apartado1.3.2 del Documento relativo al procedimiento, donde se
recoge esta previsión (pág. 7).
Estas mismas consideraciones son extensibles a la posibilidad
prevista en el apartado "Disponibilidad de los datos" del Anexo 1, en
el que se requeriría autorización de la entidad así como justificación por el
adjudicatario que la petición se corresponde a una necesidad concreta.
Sin perjuicio de las consideraciones que se puedan hacer más
adelante, en relación con los procedimientos de disociación o anonimización que
deban llevarse a cabo en el contexto del Proyecto VISC+, resultan de especial
interés el Dictamen del Grupo de Trabajo del Artículo 29 (GTA29), 6/2013, sobre
datos abiertos y reutilización de la información del sector público (ISP), de 5
de junio de 2013, así como el Dictamen 5/2014, del GTA29, sobre técnicas de
anonimización, de 10 de abril de 2014.
Hechas estas consideraciones generales, a continuación se
hará referencia específica a diversas previsiones de la Documentación aportada,
relativa al Proyecto VISC+.
VII
7. Responsabilidad
y propiedad de la información
En relación con el alcance del contrato (apartado 5 del DA),
se prevé que el Adjudicatario ostentará sobre la información tratada un derecho
de uso, tratamiento, agregación y explotación vinculado a la comercialización
de los productos y servicios VISC+, y que el Adjudicatario "no ostenta la
propiedad ni ningún derecho ilimitado sobre los datos, siendo responsable ante
ésta, las autoridades competentes y terceros del cumplimiento de la normativa
aplicable al tratamiento de datos de carácter personal”.
A efectos de claridad, y para dejar constancia de que las
posibles responsabilidades del adjudicatario en relación con el tratamiento de
datos personales no desvirtúa las que correspondan a la entidad o a los
diferentes responsables (artículo 3.d) LOPD) de los ficheros de datos (artículo
3.b) LOPD) que son fuente de origen de la información tratada, sería bueno
añadir una referencia a que la responsabilidad del Adjudicatario es sin
perjuicio de la que pueda corresponder a la entidad o los responsables de
dichos ficheros.
En cualquier caso, vistas las menciones hechas a la propiedad
sobre los datos (en este apartado 5 del DA, entre otros), conviene recordar que
la titularidad de un dato personal (No la propiedad), corresponde siempre a la
persona física [artículo 3.e) LOPD].
Por otra parte, la cláusula 39 del DA se refiere, en el
acceso a " datos de (la entidad) ".Sería más claro referirse a las
"datos que (la entidad) cede al Adjudicatario", pues lasdatos
personales, anonimizadas o no, puedan ser objeto de cesión a los efectos de
cumplimiento del contrato, no son, desde la perspectiva de la LOPD, de la
entidad, sino que su titularidad pertenece siempre a la persona física
afectada. Hacemos extensiva esta consideración al resto de menciones, de la
cláusula 39, en datos de la entidad y del Departamento de Salud, en el sentido
de que sería más ajustado a la LOPD referirse a los datos de los ficheros
responsabilidad de la entidad o del Departamento de Salud o, en su caso, de
ficheros de otros responsables.
Similares consideraciones pueden hacerse con respecto a las
referencias contenidas en la cláusula 21.1 del DA en la titularidad de las
bases de datos, los conjuntos o subconjuntos de datos o el 21.2 en cuanto a la
titularidad de los datos relativos a los contactos y los clientes del
Adjudicatario.
Por otra parte, dicha cláusula 21 también prevé que, con
respecto a los datos de los contactos y clientes del Adjudicatario, éste
garantiza que dispone de las correspondientes autorizaciones para llevar a cabo
la cesión, que se realizará de conformidad con la normativa de protección de
datos personales. Si bien se valora positivamente la mención que ésta se
produciría de acuerdo con el LOPD, no parece claro de qué cesión se trataría.
VIII
8. Deber
de confidencialidad
Según la documentación aportada, el objeto del contrato de
colaboración público privada para desarrollar el Proyecto VISC+ consistirá en
poner en valor las datos generados por el sistema público catalán,
"mediante el tratamiento, el análisis y la explotación de estos datos,
previamente anonimizadas, garantizando en todo momento el cumplimiento de la
normativa en materia de protección y tratamiento de datos (...) "
(Apartado 4 del DA). Se añade que " la puesta a disposición del
Adjudicatario de esta información y datos se producirá de forma anonimizada, en
los términos y condiciones descritos en el DT de solución final "(apartado
5. DA).
En este sentido, la cláusula 39 del DA hace referencia al
"Deber de confidencialidad y protección de datos ", y obliga al
Adjudicatario a mantener absoluta confidencialidad y reserva sobre cualquier
dato que pudiera conocer con ocasión del cumplimiento del contrato incluyendo
una remisión a la LOPD. Sin perjuicio de que esta remisión al LOPD resulte
adecuado, convendría hacer referencia en concreto al artículo 10 de la LOPD,
que prevé el deber de secreto en el tratamiento de datos personales.
Dicho esto, la cláusula 39 continúa exponiendo que "la puesta a disposición del Adjudicatario de los datos se
producirá de forma anonimizada, por lo que los datos tendrán la condición de
disociadas al no permitir la identificación de los afectados o interesados. En
este sentido, la prestación de los servicios no supone en ningún caso el acceso
a datos personales de (la entidad) y del Departamento de Salud, por el personal
puesto a disposición por parte del Adjudicatario, comprometiéndose éste a no
acceder en ningún momento en virtud de la ejecución del contrato a datos de
carácter personal titularidad de (la entidad) ni del Departamento de Salud, ni
tratar ningún tipo de dato de carácter personal a la hora de ejercer sus
funciones”.
Sin perjuicio de las consideraciones que se harán a
continuación respecto al proceso de anonimización y el flujo informativo entre
la entidad y el Adjudicatario, conviene señalar que difícilmente el
Adjudicatario podrá ejercer sus funciones sin "tratar ningún tipo
de dato de carácter personal". Por ello, habría que ceñirse
esta afirmación en los datos facilitados por la entidad. Pero es que además, en
otros apartados (p. Ej. En el apartado "servicios prestar "del Anexo
1) no parece que se pueda descartar que en algunos casos el Adjudicatario tenga
acceso a datos personales, ya que por ejemplo en este Anexo 1 se prevé que en
la ejecución del proceso de anonimización del Adjudicatario participe en la
verificación de la anonimización o que la entidad pueda requerir el apoyo del
Adjudicatario.
Por otra parte, en esta misma cláusula, en el subapartado
titulado "Respecto de la información confidencial "se hace referencia
a que tendrá el carácter de confidencial la información revelada por la entidad
"por escrito o cualquier otro soporte que garantice la su recepción
". Hay que decir que, de acuerdo con el artículo 10 de la LOPD el carácter
de confidencial debe predicarse de cualquier dato de carácter personal, con
independencia de la forma o el soporte en que se haya enviado.
IX
9. Niveles
de aprobación y gestión de la demanda
El DT, en el apartado 3.2.3 "Gestión de la demanda", prevé tres niveles de aprobación delas peticiones de los clientes
finales, atendiendo, entre otros, al cliente que solicita el servicio, los
objetivos por los que se solicita, si la petición requiere incorporar nuevas
fuentes de información, o en atención a la cuantía económica del servicio,
entre otros.
9.1.
Nivel 1 de aprobación
El Nivel 1 de aprobación se refiere a clientes calificados
como de bajo riesgo (los tres responsables de los ficheros implicados en el
Proyecto, citados, agentes del SISCAT, la propia entidad, investigadores y
centros de investigación, e industria o instituciones privadas en el ámbito de
las ciencias de la vida y la salud). La solicitud, en estos casos, queda pre-
aprobada, sin perjuicio de que se pueda denegar y pasar a un nivel 2 o 3 de
gestión. Un los elementos a tener en cuenta en este nivel, para acceder a la
solicitud del cliente, es que la petición de información esté alineada y sea
proporcional al objetivo perseguido.
Esta proporcionalidad predicada en el texto respecto del
objetivo perseguido, habría ponerla en relación no sólo con el objetivo que se
persiga, sino también en los eventuales riesgos o perjuicios que se puedan
causar en los derechos de las personas afectadas, y en concreto del derecho a
la protección de datos de carácter personal.
En cuanto a la consideración de clientes de bajo riesgo, el
amplio número y categorías de éstos no permite inferir que todos ellos deban
tener acceso a toda la información solicitada. Como se ha hecho saber
anteriormente, esto sólo se puede decidir valorando la información solicitada
(cuantitativa y cualitativamente), la habilitación legal para hacerlo, si
procede, y la finalidad pretendida.
9.2.
Nivel 2 de aprobación
En la misma línea, con respecto al Nivel 2 de aprobación,
también habría que explicitar que en evaluar la solicitud se tendrá en cuenta
las exigencias de la normativa de protección de datos. En este nivel se evalúan
las solicitudes de los mismos clientes que en el Nivel 1, pero se trata de
peticiones "que para ser entregadas se requiere incorporar
nuevas fuentes de datos (no disponibles en el momento de hacer la petición) o
realizar un tratamiento específico de los datos ya disponibles". A los efectos que nos
ocupan, una petición de nuevos datos obligará a examinar su pertenencia
atendiendo a los principios de calidad y de finalidad. Aparte de eso, no
resulta claro cuál puede ser este tratamiento específico, ni las implicaciones
que esto puede tener para la protección de datos. Convendría, pues, aclarar
estos extremos.
9.3.
Nivel 3 de aprobación
En cuanto al Nivel 3 de aprobación, se reserva para las
solicitudes relacionadas con la realización de un ensayo clínico, con proyectos
de investigación que conllevan algún riesgo físico o psicológico para un ser
humano, o en los que hay consentimiento
informado asociado a la petición.
Según el DT, en estos casos, y los que se prevean según la
normativa, el Adjudicatario deberá comprobar que el solicitante acompañe la
petición con consentimientos necesarios y la aprobación correspondiente para
realizar el estudio por parte de un CEIC, que haya tenido en cuenta que se
obtendrán datos o información provenientes de VISC+.
En cuanto a la descripción de este Nivel 3, el hecho de que
se mencione la concurrencia de consentimiento informado asociado a la petición,
permitiría deducir que se está refiriendo a aquellos casos en que la cesión de
datos se producirá sin anonimización previa de la información. A sensu
contrario, también se podría inferir de esto que los Niveles 1 y 2, en el que no
hay ninguna mención al consentimiento informado, se reservan para las cesiones
de datos anonimizadas.
Ahora bien, desde la perspectiva de la protección de datos, hay que recordar que debería especificar,
en términos bastante claros, la vinculación entre cada nivel y la posibilidad
de ceder datos anonimizados o datos personales. Ya se ha puesto de
manifiesto que en el contexto del Proyecto VISC+ la comunicación de datos
anonimizados en origen presenta un menor riesgo potencial para la protección de
datos, y se debería priorizar en frente de cesiones de datos de salud no anonimizadas,
que debería ser excepcional.
Esta excepcionalidad, justificada en los principios de
calidad -en la vertiente de proporcionalidad y minimización, y de finalidad,
debería quedar explicitada en la información que se refiere a los 3 Niveles de
autorización referidos. Es decir, habría que explicitar que todos aquellos
casos en que se prevea que el cliente final tiene que acceder y tratar datos
sin anonimizar, deberán ser validados en atención a los principios y
obligaciones de la normativa de protección de datos, y quedarán sometidos al
Nivel 3 de aprobación.
Nuevamente hay que reiterar que, sin descartar que en algunos
casos determinados clientes finales pueden requerir una cesión de datos de
salud junto con datos de identificación del paciente, esta posibilidad no
debería ser la norma general, sino sólo fruto de una evaluación que tenga
especialmente en cuenta los riesgos potenciales desde la perspectiva de la
protección de datos.
X
10. Procedimiento
técnico de anonimización
Parecería en un principio que la actuación del adjudicatario
no debe comportar el acceso a datos de carácter personal, dado que la
información que se le enviaría, sería información anonimizada previamente. Así
se desprende de la página 1 del documento relativo al procedimiento de cesión,
y también de la cláusula 39 del DA. Sin embargo, hay diferentes previsiones en
el Anexo 1 del DT que parecen apuntar lo contrario. Así encontramos diferentes
referencias que podrían conllevar el tratamiento de datos personales por el
adjudicatario:
- En el apartado "Proceso de anonimización: se afirma que el adjudicatario participa en proceso de verificación de la anonimización.
- En el apartado "Servicios a prestar" se afirma que la entidad podrá requerir el apoyo del adjudicatario en el proceso de anonimización.
- En el apartado "Ubicación de los datos" se afirma que puede haber datos que permitan la identificación indirecta.
Igualmente en el apartado 2.2.2.1 del DT se manifiesta que se
entregará al adjudicatario una muestra representativa de estas fuentes de
datos, a fin de que el adjudicatario diseñe catálogo de servicios, el proceso
de comercialización y el proceso de anonimización.
Siendo así, en la relación jurídica que se establezca entre
la entidad y el Adjudicatario, habría recoger de forma expresa las cláusulas
previstas en el artículo 12.2 LOPD, en configurarse el adjudicatario como un
encargado del tratamiento. En cambio, en el apartado 1.3 del documento relativo
al procedimiento no se encuentra ninguna referencia a esta cuestión.
Respecto las variables a eliminar, en atención a la finalidad,
se podría valorar eliminar también la información sobre el centro sanitario, en
línea con la previsión de anonimizar, si caso, el dato sobre el profesionales
sanitarios que atienden a un paciente.
El Anexo 3 citado prevé que se establezca un "código anónimo
de la persona". Se prevé que la entidad facilitará los datos estructurados
ya anonimizadas al Adjudicatario utilizando, por a una misma persona, un mismo
código anónimo de persona para permitir relacionar los diferentes conjuntos de
datos. A esto se añade que "El Adjudicatario deberá de
utilizar un sistema de anonimización diferente para cada entidad jurídica
usuario final. El Adjudicatario deberá aplicar un segundo proceso sobre el
código de caso anónimo que facilite (La entidad) para que cada entidad jurídica
usuario diferente tenga un código de caso anónimo calculado de forma diferente”.
El Anexo 3 del
Documento de "Procedimiento para la cesión de datos (...)", en línea
conel Anexo 1 del DT, añade información relativa al algoritmo de cálculo que
aplicaría la entidad para calcular el código anónimo de persona, a la que nos
remitimos. En línea con el que se ha apuntado, se prevé la eliminación de
identificaciones directas (eliminar los datos identificativos de personas
físicas Pacientes, profesionales sanitarios, etc.-) y también las identificaciones
indirectos, tales como, a modo de ejemplo, sustituir la fecha de nacimiento
para al año, o la altura y el peso por rangos de la altura y peso. Por último,
se prevé en este documento informar sobre riesgos de identificaciones directos
o indirectos, y sobre riesgos derivados de la excesiva información sobre un
mismo afectado, sobre códigos anónimos mal calculados, o sobre la revelación de
la clave de cifrado. En este punto hacemos extensiva consideración anterior
sobre la eliminación, si procede, de información sobre el centro sanitario, si
no es relevante para la finalidad pretendida.
Se valora positivamente que en el Documento
"Procedimiento para la cesión de datos (...) ", en el apartado 1.3.3
"Supervisión de la formalización del contrato", se prevé que la
entidad podrá supervisar en todo momento los contratos que se formalicen con
usuarios finales, y que comprobará "que en los contratos se
indique que se aplicará una transformación del código anónimo de persona para
obtener un código de caso específico y diferenciado para cada usuario final".
Desde la perspectiva de la protección de datos, y de las
exigencias referidas al proceso de anonimización de datos que se llevará a cabo
en el contexto del Proyecto VISC+, las previsiones del Anexo 3, citado, deben
valorarse positivamente, ya que deben suponer no sólo anonimizar la información
personal sobre un individuo, sino que explicita que cada cliente final recibirá
la información en unos términos que no deberían permitir, en principio, la
vinculación con la información que habrá recibido otro cliente final, debido a
que el código de caso anónimo no coincidirá en uno y otro caso.
De todos modos, con el fin de reducir los riesgos de
re-identificación de información anonimizada (cuestión que concretaremos a
continuación), se recomienda prever que, cuando se trate de peticiones que, a
pesar de ser formuladas por un mismo cliente final, no estén vinculadas a un
mismo proyecto, convendría atribuir un código de caso diferente.
Sin embargo, en virtud del principio de minimización al que
ya hemos hecho referencia, no parece que la atribución de un código tenga que
ser necesario en todos los casos. Por eso habría que plantearse que, en
aquellos casos en que la finalidad no lo requiera, s'anonimitzi sin atribuir
ningún tipo de código.
También es relevante y debe valorarse positivamente, que se
tengan en cuenta medidas concretas de análisis de riesgos. Sobre estas
cuestiones, nos remitimos nuevamente al Dictamen del GTA29 5/2014, [3] sobre
técnicas de anonimización.
Por otra parte, en la cláusula 5 del DA se prevé que el
Adjudicatario "no podrá hacer ningún acción para re-identificar
datos que (la entidad) haya facilitado de forma anonimizada y deberá comunicar
a (la entidad) cualquier dato que se le haya facilitado en principio
anonimizada pero que se detecte que puede ser posible asociarla a una persona
concreta".
Se valora
positivamente esta mención, en el sentido de que, desde la perspectiva de la
protección de datos, incluso en el caso de anonimización previa de la
información personal (En el caso que nos ocupa, en buena parte datos
sensibles), hay que tener en cuenta las posibilidades de que esta información
pueda permitir la identificación de su titular. Así lo ha puesto de manifiesto
el GT29 en su Dictamen 5/2014, sobre técnicas de anonimización, en el que se
recuerda lo siguiente:
"(...) Los responsables del Tratamiento deben ser
conscientes de que un conjunto de datos anonimizado puede entrañar todavía riesgos
residuales para los Interesados. Efectivamente, por una Parte, la anonimización
y la reidentificación son campos de investigación activos en los que se
publican con regularidad nuevos descubrimientos y, por otra, incluso los datos
anonimizados, como las estadísticas, puedo usarse para enriquecer los perfiles
existentes de personas, con la consiguiente creación de nuevos problemas de
protección de datos. En suma, la anonimización no debe contemplarse como un
procedimiento esporádico, y los responsables del rratamiento de datos deben
evaluar regularmente los riesgos existentes”.
Así, según el GT29, el riesgo de re-identificación es
inherente a cualquier técnica de anonimización, por lo que la intimidad y el
derecho a la protección de datos del titular, podría verse comprometida.
En este sentido, resulta positivo que en el contexto del
Proyecto VISC+ se prevea que la detección, por parte del Adjudicatario, de la
posibilidad de re-identificaciones del titular los datos, tenga que ser puesto
en conocimiento de la entidad. Volveremos sobre esta cuestión en el apartado de
este dictamen relativo a las medidas de seguridad. En cualquier caso, se
recomienda que se tengan en cuenta, en el contexto del Proyecto VISC+, las
consideraciones del Dictamen 5/2014 del GTA29, citado, respecto la necesidad de
hacer un análisis de riesgos en función de las técnicas de anonimización
empleadas y las posibilidades de re-identificación inherentes a estas técnicas.
En cuanto a la re-identificación, hacer notar también que en
el apartado "Re-identificación de las datos "del Anexo 1 del DT se
hace referencia como supuesto en que se podrá desanonimitzar, los casos en que
se haga " con traza de los accesos ". No parece queesta sola
circunstancia deba habilitar la re-identificación. En cualquier caso tampoco
queda claro en este apartado que podría llevar a cabo esta desanonimització.
También se hace referencia a la re-identificación en el pacto noveno del
Acuerdo de encargo del tratamiento, a lo que nos referiremos más adelante,
recogido en el Documento "Encargo servicios de anonimización de datos
(...) ", aportado con la consulta, y que se ha de firmarentre el
Departamento de Salud, CATSALUT y el ICS como responsables de los ficheros, y
la entidad, como prestador de servicios (encargado del tratamiento). En este
pacto noveno se prevé que "En el caso de que el Prestador de Servicios sea
conocedor de posibles peligros para la salud presente o futura de los afectados
como resultado del análisis de una combinación de datos, concreta, éste se
compromete a informar a los Responsables de ficheros para que tomen las medidas
pertinentes y reidentifiquin del afectado, en caso de que fuera necesario. En
ningún caso se autoriza el Prestador de Servicios a hacer la reidentificación
de los casos en situación de riesgo. "Esta previsión se valora
positivamente, ya que hace recaeren el responsable del fichero la decisión de
una posible re-identificación. De esta Así, está claro que es este responsable
quien deberá llevar a cabo la re-identificación en los casos en que pueda ser
justificado.
Finalmente, hacemos notar que en el apartado 3.2.3
"Gestión de la demanda", del DT, en el que sehace referencia a los 3
Niveles de autorización de solicitudes de datos, también se tiene en cuenta
aquellos casos en que la petición del cliente se refiera a un volumen de datos
anonimizadas que implique un riesgo de desanonimització / personalización de
los datos, respecto a los cuales se prevé que la entidad deberá evaluar y
autorizar esta solicitud para dar cumplimiento a la LOPD. Se considera positiva
esta previsión general de detección de casos en que, por el volumen de la
información solicitada, se pueda detectar un riesgo de re-identificación, que
exigirá un análisis más preciso desde la perspectiva de la protección de datos.
Dicho esto, en la línea de la observación formulada en el
Fundamento jurídico VI, se recomienda que incorpore una referencia a las
medidas compensatorias que en estos casos puedan minimizar tanto el riesgo
potencial de re-identificación, como los efectos negativos en las personas
afectadas, a fin de que se pueda autorizar.
XI
11. Procedimiento
establecido para la cesión de datos
En este apartado se analizan las particularidades del
procedimiento de cesión de datos previsto en el contexto del Proyecto VISC+, incluidas
en el Documento "Procedimiento para la cesión de
datos personales anonimizadas de salud al Adjudicatario de VISC+ para investigación
médica y evaluación”. De entrada, hay que hacer notar que el título
del Documento es confuso, ya que las cesiones de datos previstos no se limitan
a datos anonimizados, como se podría deducir del título citado, sino que el
propio Documento que analizamos establece el procedimiento para ceder, también,
datos personales que no han sufrido un proceso de anonimización. Convendría, en
efectos de claridad, referirse en el título a la cesión de anonimizadas y de
datos personales. En cuanto a las menciones de este documento a la finalidad de
"evaluación", nosremitimos a lo ya apuntado sobre la falta de
concreción del tipo de evaluación en qué se está refiriendo.
Este documento define dos procesos diferentes sobre la cesión
de información en el contexto del Proyecto VISC+:
1) Procedimiento para la cesión de datos personales
anonimizadas de salud al Adjudicatario de VISC+ para investigación médica y
evaluación. De
entrada, como se ha hecho saber en este dictamen, desde la perspectiva de la
protección de datos, este es el procedimiento de cesión que convendría
priorizar en el contexto del Proyecto VISC+, teniendo en cuenta que la
anonimización ofrece un tratamiento menos invasivo y de menor riesgo para los
afectados.
Partiendo de esta premisa, se hacen las siguientes
consideraciones.
Se prevé la creación inicial de los conjuntos de datos
anonimizados que se pondrán a disposición del Adjudicatario, por lo que este
debe elaborar un informe en el que se detalle, entre otros, la propuesta de
procedimientos y herramientas para anonimizar y generar un conjunto de datos no
estructurados (imágenes médicas, PDFs, etc.), y la valoración del riesgo de
identificaciones indirectos, que será imprescindible cuando se trate de obtener
datos para un destinatario y finalidad concreta.
Se valora positivamente que se prevea que se podrá incorporar
una propuesta de marcaje de datos o de "sembrado de la información"
(introducción de datos ocultos o enmascaradas entre las reales que, sin afectar
a la calidad de la información, permiten la detección de usos no autorizados),
técnica que permitiría identificar posibles fugas -o accesos indeguts- que se
pudieran producir, y también que este marcaje deberá ser diferenciado para cada
usuario final que solicite los datos. Más allá de la posibilidad de aplicar
estas técnicas de marcaje en un procedimiento concreto de cesión de datos
anonimizados, se sugiere que se incluya esta cuestión en el contrato ya la vez
que se valore introducirla no ya como una posibilidad en manos del
Adjudicatario sino como una obligación de éste.
También se hace remisión a los criterios de anonimización
aprobados por la entidad (Anexo 3), y explicita que "cualquier excepción a la no aplicación de alguno de
los criterios de anonimización deberá acompañarse de una justificación los
motivos de excepcionalidad”.
Teniendo en cuenta que la cesión de datos no anonimizadas ya
está prevista en el Procedimiento 2, no está claro qué podría justificar la no
aplicación de la anonimización prevista en el Anexo 3, ni cómo -o por parte de
qué se debería evaluar esta excepción. En caso de que no exista consentimiento
expreso de las personas afectadas o una ley que habilite la comunicación, la
información deberá ser inevitablemente anonimizada, sin que puedan existir
motivos de excepcionalidad.
En la valoración que la entidad debe hacer de las solicitudes
del Adjudicatario (para de obtener datos anonimizados), se explicita que habrá
que hacer una valoración del cumplimiento del LOPD, y se prevé que, en esta
evaluación, se invitará a asistir al responsable de los datos objeto de solicitud,
"especialmente en caso de que se considere que existe algún riesgo
significativo que ponga en peligro el cumplimiento de la LOPD".
Esta previsión, que se entiende referida al responsable del
fichero o ficheros afectados, se considera pertinente, pues el responsable
podrá participar, en estos casos, de la evaluación en cuestión. Ahora bien, de
la redacción de este apartado ("... se podrá invitará asistir ... " )
no queda claro si invitar el responsable es una opción, o bien uncompromiso. En
cualquier caso, la opción más garantista aconsejaría la implicación en todos
estos casos del responsable.
2) Procedimiento para la cesión de datos personales de salud
para investigación médica yevaluación al usuario final.
Nos referimos, en este caso, en el proceso que recoge todas
las actividades necesarias para la creación inicial de los conjuntos de datos personales por solicitud del Adjudicatario con motivo
de un encargo de un usuario final.
En principio, en este procedimiento, aunque el Adjudicatario
intervendría en la presentación de la solicitud del usuario final ante la
entidad (apartados 2.1 y 2.2 del documento relativo al procedimiento), por lo
que se describe en este apartado parecería que el Adjudicatario no debe
intervenir en la entrega de los datos. Así se desprende también del apartado
2.2.2 del DT.
Sin embargo, del apartado "Usos de los datos" del
Anexo 1 del DT parece desprenderse el contrario, dado que se manifiesta que el
Adjudicatario deberá preservar el modelo de seguridad, disponibilidad y uso de
datos que esté vigente en cada momento y no podrá utilizarse para ninguna otra
finalidad que las enumeradas anteriormente ni facilitar a terceros, sin
consentimiento expreso por parte de la entidad. También parece desprenderse eso
de las menciones al adjudicatario contenidas en los apartados 2.3.1, 2.3.3.1 y
2.3.3.2 del documento relativo al procedimiento.
También parece desprenderse de la referencia a la elaboración
de un informe del apartado 2.3.2 del documento relativo al procedimiento,
porque, aunque en este caso no se menciona directamente al adjudicatario,
parece que se está refiriendo a él.
Las referencias al adjudicatario en estos apartados sólo
tendrían sentido si el adjudicatario interviene en el tratamiento de datos no
anonimizadas (qué son los datos a que se refieren estos apartados). Para ello
sería necesario corregir esta falta de congruencia.
Este procedimiento implica no ya un flujo informativo de
información anonimizada, sino de datos personales de salud. Por ello, hay que
insistir en que, aparte de la necesidad del consentimiento de las personas
afectadas, cualquier cesión deberá fundamentarse en una finalidad legítima,
habrá que comprobar que el usuario final está habilitado para tratar datos para
este fin, y valorar que los datos no son excesivas para dicha finalidad,
cuestión que se prevé en el documento (punto 2.1.1). Cabe decir que en el mismo
apartado 2.1.1, que comentamos, se hace mención que el informe del
Adjudicatario deberá tener en cuenta, entre otros, "el grado de
detalle de los valores de las variables, cuando son tan detalladas que podrían
dar lugar a identificaciones indirectos". Teniendo en cuenta
que en este segundo procedimiento se tratarán datos personales, hay que hacer
notar que la posibilidad de identificación de los afectados será más que
probable, y no sólo de manera "Indirecta". Teniendo en cuenta esto,
como ha sido ampliamente expuesto en este informe, hay que extremar las
precauciones, en atención a la normativa de protección da datos, a la hora de
dar viabilidad a cualquier petición de usuarios finales en el marco de este
procedimiento.
En relación con el consentimiento de los afectados, en el
apartado 2.1.1 "Solicitud de el adjudicatario ", se prevé que el
informe del Adjudicatario debe tener, entre otros, el siguiente contenido:
"Los consentimientos informados de las personas
incluidas en el conjunto de datos solicitado. Estos consentimientos deberán
cumplir con los requerimientos de la LOPD y cubrir explícitamente la cesión de
datos solicitados".
El Anexo 1 del DT hace
referencia a que si se facilitan datos de personas identificables, para que el
cliente final necesita enriquecer datos personales que ya tiene con datos del
Departamento de Salud (o, se supone, de los demás responsables de los ficheros
implicados en el proyecto), será necesario que aquél facilite una auditoría que
demuestre que cumplirá con las obligaciones del LOPD, en referencia, entre
otros, el "consentimiento válido de todos los afectados".
De entrada, además de prever los requerimientos de la LOPD,
habría que incluir una referencia explícita a los requerimientos que se puedan
prever en la normativa aplicable en cada supuesto. Como se ha dicho, en materia
de investigación médica, las leyes de autonomía del paciente, o de otras leyes
aplicables a los ensayos clínicos, la investigación biomédica, etc, prevén
particularidades respecto el consentimiento informado de los afectados, que
habrá que tener en cuenta en cada caso.
En conexión con esto, en el apartado 2.1.3 "Generación y
entrega del conjunto de datos personales " , se dispone que la entidad
ejecutará el proceso para obtener efectivamenteestos datos, y que "cuando
se hayan obtenido estos datos se realizará una prueba de la aplicación y una
verificación de la selección de pacientes con consentimiento. ALuego, la
entidad elaborará el informe de verificación y prueba sobre la correcta
selección de los casos, y sobre "la comprobación de que los
casos de los conjuntos de datos se corresponden con los casos en que el usuario
final aporta consentimientos de los afectados".
Hay que recordar que no es lo suficientemente claro el
mecanismo descrito para la obtención del consentimiento de los afectados.
Parece claro que es el usuario final lo que aporta los consentimientos (debe
entenderse, las hojas de consentimiento informado debidamente rellenados en
base a lo que pueda prever la normativa aplicable en cada caso), pero estos
consentimientos se refieren a personas incluidas en los conjuntos de datos
solicitadas, en definitiva, en ficheros de datos a los que el usuario final no
tiene acceso, ni es el responsable, ni el encargado del tratamiento (artículo
12 LOPD).
Hay que tener presente que, en el marco de las previsiones
relativas al consentimiento de los titulares de los datos (artículos 6 y 11
LOPD), el artículo 12 del RLOPD concreta el siguiente:
"1. El responsable
del tratamiento debe obtener el consentimiento del interesado para el
tratamiento personal excepto en los supuestos en que el consentimiento no sea
exigible de acuerdo con lo dispuesto en las leyes. La solicitud del
consentimiento debe hacer referencia a un tratamiento o serie de tratamientos
concretos, con delimitación de la finalidad para los que se solicita, así como
de las restantes condiciones que concurran en el tratamiento o serie de
tratamientos.
2. Cuando se solicite el consentimiento del afectado para
la cesión de sus datos, debe ser informado de forma que conozca inequívocamente
la finalidad a que se destinan las datos respecto de la comunicación de las
cuales se solicita el consentimiento y el tipo de actividad que lleva a cabo el
cesionario. En caso contrario, el consentimiento es nulo.
3. Corresponde al responsable del tratamiento la prueba
de la existencia del consentimiento el afectado por cualquier medio de prueba
admisible en derecho”.
En principio, es pues
el responsable (artículo 3.d) LOPD), en el caso que nos ocupa, el Departamento
de Salud, el CATSALUT y del ICS, responsables de los ficheros implicados en el
Proyecto VISC+, a quien corresponde solicitar el consentimiento para poder
ceder datos personales.
En estos términos, no está claro cómo un tercero ajeno a los
responsables, ya priori indeterminado (pues los usuarios finales pueden ser
entidades de muy diversa naturaleza), podrá identificar, contactar y obtener el
consentimiento de los afectados, cuyos datos se tratan en estos ficheros. Sin
prejuzgar que en algunos casos este esquema pueda ser realizable (p. ej. cuando
las mismas personas ya hayan dado su consentimiento para participar en otras
fases de un estudio) y pueda facilitar llevar a cabo este tipo de estudios,
habría que dejar abierta la posibilidad de que pueda ser el mismo responsable
del fichero, o en su caso la entidad, quien obtenga dicho consentimiento. En
cualquier caso conviene recordar que la responsabilidad sobre el adecuado
tratamiento de los datos seguirá correspondiente al responsable del fichero.
Aún en relación con el consentimiento, el punto 2.2 del
procedimiento que describimos (Cesión de datos personales) prevé que a la hora
de actualizar la información ("Actualizaciones temporales
acordadas"), la entidad revisará "si hay altas o bajas en los
consentimientos informados que se facilitaron inicialmente" .
Si, como parece, los consentimientos informados los debe
obtener el usuario final, parece lógico inferir que será éste el que, habiendo
informado adecuadamente a los afectados sobre la posibilidad de revocación de
dicho consentimiento (artículos 6.3 11.4 LOPD), dispondrá de la información
relativa a posibles revocaciones, o posibles nuevos consentimientos. Siguiendo
este esquema, se prevé que la entidad deberá contrastar esta nueva información
(Nuevos consentimientos o revocación de los anteriores) antes de dar nueva
información. Esta medida supone una garantía, pues condiciona la cesión de
datos a las oportunas comprobaciones.
A esto añadimos que el punto 2.2, que comentamos, prevé que
la actualización de la información deberá tener en cuenta posibles
modificaciones consecuencia del ejercicio de Derechos ARCO (Título III LOPD y
Título III RLOPD), por parte de los pacientes de centros sanitarios, que son
los que deberán modificado información consecuencia del ejercicio de estos
derechos. Si bien esta previsión supone una garantía respecto la actualización
de la información que llegaría a los usuarios finales, sería recomendable sustituir
la expresión " centro sanitario "por" responsable del fichero".
También hacer notar que en el apartado 2.1.3, además de las
cuestiones relativas al consentimiento que hemos apuntado, se prevé que
"finalmente se realizará una validación de seguridad ", pero no se
concretan los aspectos a verificar.
Finalmente, hacemos un apunte formal, dado que en la página 7
del Documento para la cesión de datos, se hace una referencia al Anexo 3
(condiciones de seguridad, uso y disponibilidad de datos), en lugar de referirse
al Anexo 1.
XII
12. Medidas
de seguridad
El Proyecto VISC+ implica el tratamiento de datos de carácter
personal que requieren la aplicación del nivel
alto de medidas de seguridad (artículo 9 LOPD y título VIII del RLOPD).
El Pacto Cuarto del Acuerdo de encargo del tratamiento,
incluido el documento "Encargo servicios de anonimización de datos y de
cesión de datos anonimizadas y personales para fines de evaluación e investigación
médicas ", aportado con la consulta, explicita que,de acuerdo con el
artículo 9 de la LOPD, la entidad se compromete a adoptar las medidas de
seguridad del nivel que se indica en el encabezamiento. Dado que el
encabezamiento del documento no se refiere expresamente al nivel de seguridad
(la referencia al nivel de seguridad aplicable no se encuentra hasta la página
7 del "Encargo de servicios ..."), sería recomendable hacer una
referencia directa al nivel alto en el Pacto Cuarto.
En cualquier caso, queda claro que el nivel alto de medidas
de seguridad resulta de necesaria aplicación, como se ha apuntado, teniendo en
cuenta la información de que se trata en los ficheros del Departamento de
Salud, de CATSALUT y del ICS, que son la fuente de donde extraerán los datos
para el tratamiento objeto del Proyecto VISC+.
Ahora bien, las especiales características de los
tratamientos y las actividades que derivan del contrato VISC+ aconsejan
plantearse un modelo de seguridad que
vaya más allá de las previsiones de seguridad previsto en el Título VIII
del RLOPD.
El conjunto de la documentación aportada evidencia una clara
voluntad de ofrecer las máximas garantías de seguridad para los datos,
estableciendo medidas técnicas y organizativas que den como resultado un
"modelo de seguridad, disponibilidad y uso de los datos "orientado a
la protección del conjunto del sistema VISC+.
Con carácter general convendría que, como punto de partida,
la seguridad de la información exigible al adjudicatario estuviera alineada con
alguno de los conjuntos de buenas
prácticas existentes (Tipo ISO27001). Si bien no sería necesario que
elcontrato determine un conjunto concreto de buenas prácticas, si habría que
determinar que las que finalmente implante del Adjudicatario deberán basarse en
la gestión de riesgos, ser susceptibles de ser certificadas por un tercero
independiente y poder ser revisables mediante procedimientos estándares de
auditoría de seguridad o de sistemas de información. A partir de esta base, se
podría verificar cómo se implantan los requisitos en relación con la protección
de datos de carácter personal.
Dicho esto, a continuación se hacen las siguientes
consideraciones.
En los criterios de valoración del contrato, previstos en el
apartado 8.2 del DA, aparentemente no se incluyen los aspectos de gestión de la
seguridad que pueda aportar el Adjudicatario. Este extremo debería ser
relevante a la hora de valorar las propuestas. Respecto la valoración de la
" gestión y operación de los servicios de análisis, tratamiento y explotación
de datos "(hasta 17 puntos), donde a priori se incluirían las cuestiones
de gestión de la seguridad, sólo se hace referencia a que se valorará como se
da respuesta al requerimientos especificados en el apartado 3.2 del DT, sin
hacer mención en el apartado 3.1 del mismo documento, que detalla la
"seguridad y anonimización de los datos".
Según el apartado 2.2.2 del DT, se prevé poner a disposición
del Adjudicatario una muestra de datos, a fin de diseñar las infraestructuras y
procedimientos relacionados con el contrato. En consecuencia, habrá que tener
en cuenta, también en esta fase, las medidas de seguridad previstas en los
artículos 87 del RLOPD (ficheros temporales o copias de trabajo de documentos)
y 94.4 RLOPD (pruebas anteriores a la implantación o modificación los sistemas
de información). Esta consideración se hace extensible en el apartado 2.1.3 del
Documento "Procedimiento para la cesión de datos", en que se prevé la
generación y entrega del conjunto de datos personales.
En cualquier caso, sería oportuno que en el apartado 4.1 del
DT ("Fase de preparación y construcción "), se explicitara que el
tratamiento de datos en esta fase inicial resto sujeto a la normativa de
protección de datos, específicamente, en relación con las medidas de seguridad
aplicables.
En relación con las previsiones sobre la realización de
auditorías (artículo 96 RLOPD), el apartado 5.3 del DT "Auditorías y
gobernanza de la seguridad", prevé que la entidad" podrá realizar
auditorías (...)". Sobre esta previsión, convendría hacer una definición más
abierta del papel de la entidad, en el sentido de que pueda
"realizar" o "encargar a terceros "la auditoría del modelo
de seguridad.
En el apartado 1.4.1 "Auditorías" del Documento
"Procedimiento para la cesión..." , se prevé, entre otros, una
auditoría anual, el alcance de la que sería del 50%. Esto podría generar
ciertos riesgos, pues puede resultar complejo determinar qué 50% daría
suficiente evidencia de que las medidas de seguridad dan el resultado esperado
y se adecuan a las previsiones del contrato y la normativa aplicable.
Para simplificar el modelo de auditoría, esta Autoridad
propone un modelo más sencillo de implementar y potencialmente más eficaz, es
decir, un modelo de auditoría continuada, la base de la verificación de la
aplicación de los procedimientos y resultados de los procesos de seguridad,
realizada internamente por el Adjudicatario, y con emisión de informes
periódicos (tal trimestrales, o incluso semestrales) para ser analizados por la
entidad, y una auditoría formal cada 2 años, realizada por una entidad externa
y independiente, que finalice con un informe de auditoría con los contenidos
mínimos exigidos por la normativa de protección de datos (artículo 96.2 RLOPD).
También hacemos mención que en el Anexo 3 del Documento de
"Procedimiento para la cesión de datos personales (...) ", comentó,
se prevé que "El envío de los datos que realice (La entidad),
tanto en el Adjudicatario en caso de datos anonimizados como al usuario final
en caso de datos personales, lo realizará mediante un sistema de transmisión de
ficheros (FTP) cifrado". De hecho, se hace mención de esta
cuestión (sistema de transmisión cifrado) en varios puntos de este Documento.
Estas previsiones se ajustarían al artículo 104 del RLOPD, según el cual,
cuando se requiere la implantación de medidas de nivel alto, la transmisión de
datos de carácter personal a través de redes públicas o redes inalámbrico de
comunicaciones electrónicas se realizará cifrando los datos, o bien utilizando
otros mecanismos que garanticen que la información no es inteligible ni
manipulada por terceros. Ahora bien, para la trascendencia y los riesgos
inherentes a esta operación, pues presumiblemente el intercambio de información
se hará mediante redes públicas de telecomunicaciones, sería muy recomendable
concretar más algunos aspectos técnicos, como la red de comunicaciones que se
utilizará; los requisitos del software utilizado para la transmisión de los
datos; las restricciones a nivel de red en cuanto al filtrado de direcciones IP
(origen y destino); los requisitos mínimos de los algoritmos de cifrado en
utilizar, etc... También se recomienda prever cifrar el canal de transporte,
así como cifrar en origen los datos objeto de transmisión.
También hay que mencionar la previsión relativa a la
tecnología empleada por el "centro competencia ", citado, que
centraliza la tarea llevada a cabo por el Adjudicatario en el Proyecto VISC+
con el objetivo de que los servicios de análisis y explotación de datos que ha de
ofrecer el Adjudicatario se presten desde un mismo espacio (apartado 3.4 del
DT). Así, se prevé que el Adjudicatario deberá dotar al centro de competencia
de los componentes y herramientas tecnológicas adecuadas para prestar los
productos y servicios VISC+ (apartado 3.4.3 del DT). Se prevé que la tecnología
empleada debe ser, entre otros, interoperable, para integrarse con otros
sistemas corporativos y relacionarse con sistemas externos al entorno de la
Generalidad, y segura a nivel de datos ya nivel lógico, para garantizar el
acceso seguro a la información y al sistema, para custodiar los datos y evitar
fugas o accesos no deseados a los servicios y la información, de acuerdo con el
modelo de seguridad, disponibilidad y uso de los datos (Anexo 1 del DT). Por lo
tanto, hay que entender que el centro de competencia queda vinculado por las
medidas previstas en dicho Anexo 1. En cuanto al centro de competencia, desde
la perspectiva de las medidas de seguridad aplicables, a nivel organizativo se
sugiere identificar e incorporar las funciones básicas del delegado de
protección de datos, especialmente por parte del Adjudicatario, a fin de
comenzar a alinear las previsiones del contrato VISC+ con lo prevé el Proyecto
de Reglamento Europeo de Protección de Datos, actualmente en tramitación.
En cuanto a la gestión de las incidencias, se hace referencia
en los apartados 1.4.3 y 2.3.3 del Documento del Procedimiento para la cesión
de datos, analizado. En síntesis, se prevé que el Adjudicatario y la entidad
pueden detectar casos mal anonimizados o cualquier incidencia que afecte a la
seguridad de los datos, y que en estos casos, se hará una análisis y una
propuesta de plan de acción (que debe tener un contenido mínimo que se
detalla), el cual deberá ser aprobado por la entidad. En conexión con esto,
como se ha mencionado, en la cláusula 5 del DA se prevé que el Adjudicatario no
puede hacer ninguna acción para re-identificar datos, y que tiene que comunicar
a la entidad cualquier dato que se le haya facilidad en principio anonimizada
pero que se detecte que puede ser posible asociarla a una persona concreta.
Desde la perspectiva de las medidas de seguridad previstas en
el RLOPD, habría considerar esta casuística como un incidente de seguridad. En
caso de producirse un acceso no autorizado a datos de carácter personal, este
supuesto debería ser registrado formalmente como un incidente de seguridad. Por
la relevancia de la cuestión, habría establecer en el contrato la obligación
del Adjudicatario de mantener un registro de incidencias en los términos del
RLOPD (artículos 90 y 100 del RLOPD).
Finalmente, dado que se prevé la comunicación a la entidad,
por la importancia de este tipo de incidente sería recomendable concretar en el
contrato algunos aspectos de esta comunicación: plazo para comunicarlo; quien
comunica a quien; canal de comunicación preferente; y contenido mínimo de la
comunicación, que en todo caso debería incluir, Aparte de los hechos ocurridos,
el número de afectados y su ubicación en el tiempo, las medidas tomadas y las potenciales
consecuencias de este incidente. Como sugerencia, y para alinear el Proyecto VISC+
con algunas obligaciones que se podrían derivar de la aprobación de Reglamento
Europeo de Protección de Datos, citado, sería conveniente, con la intención de
generar confianza en dicho proyecto, que la comunicación también se hiciera
efectiva a la Autoridad Catalana de Protección de Datos.
Estos comentarios se hacen extensivos a los puntos 1.4.3 y
2.3.3 del Documento de "Procedimiento para la cesión de datos".
XIII
13. Ubicación
de la información
El Anexo 1 del DT, citado, también hace referencia a la
"ubicación de los datos". Desde un punto de vista formal, convendría
mencionar en este apartado el RLOPD, que es la norma en que se concretan las
medidas de seguridad aplicables, y no sólo la LOPD.
Dicho esto, en este apartado se hace referencia a que habrá
que garantizar, entre otros, " la trazabilidad de todos los accesos".
Al respecto, hay que hacer notar que el RLOPD exige, por los ficheros que
requieren medidas de nivel alto, articular un registro de accesos, de por lo
que de cada intento de acceso se guardarán, como mínimo, la identificación de
del usuario, la fecha y la hora en que se realizó, el fichero accedido, el tipo
de acceso y si ha sido autorizado o denegado (artículo 103 RLOPD). Se valoran,
pues, en términos positivos, las diversas menciones que se hacen en la
documentación aportada en la trazabilidad de los accesos.
En este apartado también se hace referencia a la necesidad de
autorización previa de esta Autoridad para una transferencia internacional de
datos, excepto dentro del Espacio Económico Europeo, entidades Safe Harbour de
Estados Unidos y otros países homologados.
Dado que el propio DT, en el apartado 2.2.1 "Alcance del
modelo de gestión y operación", explicita que el Adjudicatario debe
canalizar la demanda del mercado nacional e internacional, no se descarta que
alguno de los clientes potenciales de la información objeto de tratamiento en
el contexto del Proyecto VISC+ pueda conllevar una transferencia internacional
de datos. Si es así, ésta se encuentra sometida al régimen establecido en los
artículos 33 y 34 de la LOPD.
En caso de no poder garantizar, por tanto, la adhesión a los
principios del acuerdo Safe Harbor, en un caso determinado, o de no darse
ninguna otra de las excepciones previstas en la LOPD habrá, además de cumplir
con el resto de principios y obligaciones de la LOPD, contar con la
autorización del Director de la Agencia Española de Protección de Datos
(artículo 37.1.l) LOPD). Por lo tanto, la referencia que se hace en la APDCAT
en esta apartado se debería hacer a la Agencia Española de Protección de Datos.
Finalmente, según este mismo punto del Anexo 1 del DT, se
impide utilizar tecnologías "cloud computing" sin restricción de país
o que se puedan utilizar CPDsque previamente no hayan superado con éxito una
auditoría del cumplimiento de la LOPD, la que conviene puntualizar, deberá
haberse realizado dentro del plazo de 2 años anteriores al uso del centro de
proceso de datos (CPD). Es decir, este deberá estar al día en cuanto a la
realización de auditorías de seguridad, en los términos del RLOPD (artículo
96).
En cualquier caso, con estas referencias a la computación en
nube, se deduce que el Proyecto tiene en cuenta que un tratamiento de datos
derivado de una transferencia internacional, en estos términos, podría no
asegurar el correcto cumplimiento del régimen citado (artículos 33 y 34 LOPD),
por lo que hay que valorar positivamente esta previsión.
XIV
14. Encargo
del tratamiento y posibilidad de subcontratación de las prestaciones del
contrato
La documentación aportada incluye el documento "Encargo
de servicios de anonimización de datos y de cesión de datos anonimizadas y
personales para fines de evaluación y investigación médicas ", ya
mencionado.
Este documento se refiere al Acuerdo que deben suscribir, por
una parte, los responsables de los ficheros relacionados con el Proyecto VISC+
(Departamento de Salud, CATSALUT y ICS), y por otro, la entidad, como prestador
de servicios, y que debe constituir un encargo del tratamiento regulado en el
artículo 12 de la LOPD, tal y como explicita en el punto 4 de dicho Acuerdo.
En cuanto a la "Descripción de los servicios
encargados", incluida en el Acuerdo de encargo del tratamiento, conviene
hacer las siguientes consideraciones:
- Nuevamente se hacen referencias a la anonimización " de la información de los responsables los ficheros... ". Como se ha apuntado, convendría referirse a la información contenida en los ficheros de datos personales.
- Se prevé que la entidad ha de comprobar que el cesionario dispone del consentimiento válido de cada una de las personas afectadas por ceder la información, y que dispone de una auditoría que demuestra el cumplimiento de las medidas de seguridad del LOPD. Sin perjuicio de otras consideraciones hechas en este dictamen respecto de estas cuestiones (consentimiento informado y auditoría), y de las responsabilidades que, en atención a la normativa de protección de datos, correspondan a los responsables de los ficheros, la previsión que será la entidad la que comprobará estos extremos (consentimientos y auditoría) se ajusta a la previsión hecha en el Anexo 1 del DT, según la cual es la entidad la que efectivamente debe revisar que el "cliente final" (receptor de la información personal) dispone de dichos consentimientos y auditoría.
El Acuerdo de encargo del tratamiento examinado contiene un
apartado en el que se relacionan los "Ficheros administrativos de
carácter personal a los que pertenecen los datos que se someterán a tratamiento
dentro de los servicios encargados". Desde un punto de vista formal, y atendiendo a la
terminología de la LOPD, habría referirse a "ficheros de datos de carácter
personal ", y no en" ficheros administrativos de carácter personal".
En concreto, se relacionan ficheros titularidad del
Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán
de la Salud. En los tres casos también se excluyen de el encargo determinados
ficheros, y se prevé, también en relación con los ficheros de los tres
responsables, la siguiente fórmula:
"Y en el futuro cualquier otro fichero del
(responsable) con datos de salud o centros asistenciales de interés para la investigación
y evaluación médicas".
Desde la perspectiva
de la protección de datos, en concreto, de los principios de calidad y de
finalidad (artículo 4 LOPD), hay que cuestionar que se emplee esta fórmula,
pues abre la lleva a que ficheros que incluso aún no han sido creados y de los
que, por tanto, se desconoce la finalidad y la información tratada, puedan
quedar automáticamente afectados por el encargo del tratamiento y, por tanto,
ser incluidos en el objeto del contrato que nos ocupa, referido al Proyecto VISC+.
Esta inclusión automática de futuros ficheros es desaconsejable, ya que parece
obviar la previa valoración del responsable (sea el Departamento de Salud, el
CATSALUT o el ICS), de la conveniencia de incluir un determinado fichero en el
Proyecto VISC+. Por lo tanto, el Acuerdo de encargo del tratamiento debería
circunscribirse a los ficheros existentes determinados en el momento de su
firma, o de otros que se pueda establecer de acuerdo con un previo proceso que
permita evaluar su adecuación.
En cualquier caso, conviene recordar y sería bueno recoger de
forma expresa que, al finalizar el encargo, resultará de aplicación lo previsto
en el artículo 12.3 de la LOPD, es decir, habrá proceder al retorno de los
datos al responsable o bien, en su caso, a su destrucción.
Aún en relación con el encargo del tratamiento, nos referimos
a la cláusula 27 del DA, según la cual en los términos previstos en los
artículos 227 y 228 del Real Decreto Legislativo 3/2011, de 14 de noviembre,
que aprueba el texto refundido de la Ley de contratos del sector público (TRLCSP),
las prestaciones del contrato que nos ocupa podrán ser objeto de objeto de
subcontratación, y se especifican una serie de requisitos (página 35 del DA).
Dado que entre estos requisitos no se hace mención de
cuestiones relativas a la protección de datos, conviene recordar que en caso de
que la subcontratación a que hace mención la cláusula 27, citada, pueda afectar
a datos personales, hay que tener en cuenta que, según el apartado 3 de la
disposición adicional 26ª del TRLCSP:
"En el caso de que un
tercero trate datos personales por cuenta del contratista, encargada de la
Tratamiento, deberían de cumplirse los Siguientes Requisitos:
a) que dicho Tratamiento
se del haya especificado en el Contrato Firmado por la Entidad contratante y el
contratista.
b) Que el Tratamiento de
datos de carácter personal se ajuste a las instrucciones; del responsable del
Tratamiento.
c) Que el contratista
encargada de la Tratamiento y el tercero formalicen el Contrato en los Términos
previstos en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre.
En estos casos, el tercero tendrá también la consideración de encargado del tratamiento".
Por tanto, en la cláusula 27, citada, del DA, convendría
hacer constar que en caso de que la empresa que resulte adjudicataria subcontrate alguna prestación del contrato, habrá dar cumplimiento a las
obligaciones de la LOPD en relación con el encargo del tratamiento, en los
términos de la disposición adicional 26ª, apartado 3, del TRLCSP.
De acuerdo con las consideraciones hechas en estos
fundamentos jurídicos en relación con la consulta planteada, se hacen las
siguientes,
15. Conclusiones
Dada la casuística amplia y diversa que se puede dar en
relación con los clientes potenciales, las finalidades previstas, los servicios
ofrecidos y los ficheros que serían fuente de información en el contexto del
Proyecto VISC+, sería conveniente una mayor claridad y concreción respecto qué
fines pueden justificar el acceso a la información, por parte de qué clientes y
en qué condiciones. A estos efectos sería de utilidad disponer de una memoria
general que describa el proyecto de forma global que recoja de forma armonizada
las previsiones de los diferentes documentos aportados y clarifique los
diferentes aspectos puestos de manifiesto a lo largo de este dictamen, así como
una evaluación de impacto sobre la privacidad.
Desde la perspectiva de los principios de calidad y de
finalidad, y por el volumen de información sensible generada a través de VISC+,
se recomienda priorizar los supuestos de cesión de datos previamente
anonimizados, asociadas a un código no identificable o, posible, no asociadas a
ningún código, por delante de los supuestos de cesión de datos personales de
personas identificables que hayan prestado su consentimiento.
El conjunto de la documentación aportada evidencia una clara
voluntad de ofrecer las máximas garantías de seguridad para los datos,
estableciendo medidas técnicas y organizativas que dan como resultado un
"modelo de seguridad, disponibilidad y uso de los datos "orientado a
la protección del conjunto del sistema VISC+.
De acuerdo con el RLOPD hay que aplicar un nivel alto de
medidas de seguridad. Sin ello, se recomienda la adopción de un modelo integral
de seguridad de la información para el conjunto del contrato VISC+, aplicable
tanto al tratamiento de datos anonimizados como de datos personales, que vaya
más allá de las previsiones de seguridad previstas en el Título VIII del RLOPD
y que esté alineado con alguno de los conjuntos de buenas prácticas existentes.
En cuanto a las medidas de seguridad previstas en el RLOPD,
convendría especificar diversas cuestiones relativas a las auditorías de
seguridad, los registros de incidencias, o los requisitos de seguridad
relacionados con la transmisión de datos, entre otros, en los términos
expuestos en el Fundamento Jurídico XII de este dictamen.
Con respecto al encargo del tratamiento entre los
responsables de los ficheros implicados en el Proyecto y la entidad, conviene
tener en cuenta las previsiones del artículo 12 LOPD, en los términos apuntados
en el Fundamento Jurídico XIV de este dictamen.
16.
Bibliografía referenciada
- [1] AEPD. “Guía para una evaluación de impacto en la protección de
datos”. 2014.
Guía PIAS
- [2] APDCAT. “Dictamen CNS 34/2014”. 23 de julio de 2014.
Dictamen VISC+ (original en catalán)
- [3] Grupo de Trabajo
del Artículo 29. “Dictamen 05/2014 sobre técnicas de anonimización”.
Adoptado el 10 de abril de 2014. 0829/14/ES. WP216.
WP216
17. Derechos
de autor
El Dictamen CNS 34/2014, de fecha 23 de julio de 2014, ha
sido publicado por primera vez en la página web de la APDCAT (Autoritat
Catalana de Protecció de Dades), una vez analizada la petición, vista la
normativa vigente aplicable, el informe del Coordinador de Auditoría y
Seguridad de la Información y el informe de la Asesoría Jurídica, todos de la
APDCAT.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.