Respostes a les preguntes enviades pels assistents a la jornada del CSC 'Protecció de dades: novetats i aplicació de la nova LOPD-GDD al sector salut i social' - 13 de febrer de 2019

1. Respostes a les preguntes plantejades
Àrea de Protecció de Dades
5 de març de 2019
Segueix-nos al twitter!
@CSC_Consorci

2. Cal obtenir un consentiment específic per a cada estudi en el
marc de la investigació?
Què passa amb els consentiments obtinguts abans de l’entrada
en vigor LOPDGDD?
Els consentiments poden recollir-se per a una àrea general o especialitat
mèdica o investigadora (DA Dissetena, apartat 2a).
Es permet la reutilització de dades en matèria d’investigació si el nou
estudi és de la mateixa especialitat o àrea d’investigació.
Els consentiments anteriors es consideren vàlids per a la reutilització amb
els mateixos criteris (DT Sisena).

3. El tercers que contracten amb l’AP, Fundacions Públiques o
Consorcis, han d’aplicar l’Esquema Nacional de Seguridad?
Disposició Addicional Primera: En els casos en què un tercer presti un servei en
règim de concessió, encàrrec de gestió o contracte, les mesures de seguretat es
corresponen amb les de l’Administració pública d’origen i s’han d’ajustar a
l’Esquema Nacional de Seguretat.
Aquest és un aspecte que requereix un aclariment. Es presentarà sol·licitud de
dictamen a l’APDCAT.

4. 1. Els òrgans constitucionals o amb rellevància constitucional i les institucions de les comunitats autònomes
anàlogues.
2. Els òrgans jurisdiccionals.
3. L’Administració General de l’Estat, les Administracions de les comunitats autònomes i les entitats que integren
l’Administració Local.
4. Els organismes públics i entitats de Dret públic vinculades o dependents de les Administracions Públiques.
5. Les autoritats administratives independents.
6. El Banc d’Espanya.
7. Les corporacions de Dret públic quan les finalitats del tractament es relacionen amb l’exercici de potestats de
dret públic.
8. Les fundacions del sector públic.
9. Les Universitats Públiques.
10. Els consorcis.
11. Els grups parlamentaris de les Corts Generals i les Assemblees Legislatives autonòmiques, així com els grups
polítics de les Corporacions Locals.
Amb la nova LOPD-GDD, quines entitats han de fer públic
l’inventari de tractaments?
Article 31 i 77.1 LOPD-GDD i modificació Llei 19/2013
Els subjectes enumerats a l’article 77.1 faran públic un inventari de les seves activitats
de tractament accessible per mitjans electrònics en el que constarà la informació
establerta a l’article 30 del RGPD:

5. Des de Direcció Mèdica, es comunicarà per escrit la causa de la mort sempre i quan
es consideri que la causa pot ser hereditària, així com l’existència de qualsevol altre
malaltia que també pugui ser hereditària limitant-se a les dades pertinents.
Se li pot facilitar la causa de la mort d’un pacient difunt al seu fill
quan el difunt s’hi va oposar expressament?
Article 3 LOPD-GDD i article 18 Llei 41/2002
Els centres sanitaris només facilitaran l’accés a la història clínica dels pacients difunts a
les persones vinculades a ell, per raons familiars o de fet, llevat que ho hagués prohibit
expressament i així s’acrediti.
Quan l’accés a la HC sigui motivat per un risc de salut del familiar del difunt i el pacient
hagués prohibit expressament l’accés a les seves dades al familiar, s’haurà de realitzar
una ponderació de drets entre la intimitat del difunt i el dret a la vida del familiar
d’aquest.

6. Article 7 LOPD-GDD
El menor d’edat que sigui major de 14 anys podrà donar el seu consentiment pel
tractament de les seves dades personals, llevat dels casos en què per llei s’exigexi
l’assistència dels titulars de la pàtria potestat o tutela per la celebració de l’acte o
negoci jurídic.
Amb quina edat un menor pot donar el seu consentiment pel
tractament de les seves dades personals?
Quan siguin menors de 14 anys, el tractament de les seves dades personals només serà
lícit quan s’obtingui el consentiment del titular de la pàtria potestat.

7. Informe 189/2008 AEPD
I. “L’empresa externa que presta el servei de prevenció serà responsable del
tractament de totes aquelles dades que el treballador li proporcioni en el
desenvolupament de l’activitat de prevenció de riscos laborals duta a terme per un
servei mèdic, destinat a la vigilància de la salut dels treballadors de les empreses
que són els seu clients.”
I. “Quan l’empresa contracti amb una Mútua la protecció de les contingències
professionals dels treballadors o la prestació econòmica d’incapacitat temporal
derivada de contingències comuns, serà considerada responsable del tractament
de les dades que realitzen d’acord amb les funcions que té legalment atribuïdes.”
Es consideren encarregats del tractament les Mútues
d’accidents i les encarregades de la Prevenció de riscos
laborals?

8. A quina informació poden accedir els estudiants en
pràctiques i residents? S’ha d’informar al pacient de la
presència d’estudiants en actes assistencials?
Ordre SSI/81/2017, de 19 de gener, per la que es publica l’Acord de la Comissió de Recursos Humans del
Sistema Nacional de Salut, pel que s’aprova el protocol per mitjà del qual es determinen pautes bàsiques
destinades a assegurar i protegir el dret a la intimitat del pacient pels alumnes i residents en Ciències de la
Salut.
• L’estudiant en pràctiques estarà supervisat en tot moment, no podent accedir al pacient ni a la
informació clínica sobre aquest. Pel que fa als residents, a partir del segon any de formació, tindran
accés directe al pacient de manera progressiva i segons les indicacions del seu tutor.
• Al pacient se l’haurà d’informar de la presència d’estudiants en pràctiques amb caràcter previ a l’acte
assistencial per part del professional responsable de l’estudiant, el qual informarà al pacient o al seu
representant sobre la presència d’estudiants, sol·licitant el seu consentiment verbal perquè presenciïn les
actuacions clíniques.

9. Quina consideració tenen els monitors externs en els
projectes d’investigació? Pot un promotor accedir a
dades dels pacients, o únicament a les conclusions de
l’estudi?
· Els hospitals tenen la consideració de Responsables del tractament, així com
també els Promotors dels estudis.
· Si s’estableix un règim de corresponsabilitat és suficient un contracte
d’encarregat del tractament en el que participin les tres parts.
· En qualsevol cas, és necessari establir un contracte d’encarregat de tractament
entre l’hospital i el monitor extern.
· A més, es pot concloure que el promotor no té accés a dades dels pacients, pel
fet que aquest, per tal de fer un seguiment de l’estudi, si tindrà accés al quadern
de recollida de dades on aquestes dades dels pacients ja hi apareixen
pseudonimitzades. De la mateixa forma, podrà tenir accés i serà responsable de
les dades en l’evolució de l’estudi i resultats, però en cap moment podrà tenir
accés a aquelles dades que permetin la re-identificació dels pacients
Dictamen CNS 59/2018 APDCAT

10. Quines són les diferències fonamentals entre les mesures de
seguretat del RLOPD i l’Esquema Nacional de Seguretat
Nomenclatura igual, però diferents conceptes:
- Nivell bàsic, mig i alt.
Dimensions: Confidencialitat, Integritat, Autenticitat, Traçabilitat i Disponibilitat
Flexibilitat del sistema ENS vs. rigidesa del RD 1720/2007
- RLOPD: Tipologia de dades
- ENS: Ecosistema/context del tractament
Nivell del sistema

11. Quina documentació cal recopilar respecte l’exercici
dels nous drets digitals
És necessari establir polítiques de seguretat que abastin les diferents situacions que es
donin en l’organització:
- Ús de dispositius personals (BYOD)
- Ús de sistemes corporatius
- Funcions de control article 20.3 ET (videovigilància i geolocalització)
Matèria a incorporar en la negociació col·lectiva:
A través del conveni es podran establir garanties addicionals.

12. Si el DPD indica una actuació i el responsable/ET manifesta que
no vol aplicar-ho, hi ha un següent pas?
Article 24 RGPD: “[...] el responsable del tractament ha d’aplicar les
mesures tècniques i organitzatives adequades per garantir i poder
demostrar que el tractament és conforme a aquest Reglament”.
Article 39 RGPD: “Informar i assessorar de les seves obligacions el
responsable o l'encarregat del tractament i els empleats que s'ocupen del
tractament”.
Directrices sobre los delegados de protección de datos (DPD) (Grup de
Treball de l’Article 29, 2017): “Si el responsable no está de acuerdo con el
asesoramiento ofrecido por el DPD, la documentación de la evaluación
de impacto debe justificar específicamente por escrito por qué no se ha
tenido en cuenta el consejo”.

13. Quan s’ha de notificar una violació de seguretat?
Reglament (UE) 2016/679 General de Protecció de Dades
S’han de notificar totes aquelles violacions de seguretat que ocasionin la
destrucció, pèrdua o alteració accidental o il·lícita de dades personals trameses,
conservades o sotmeses a altres tractaments, o la comunicació o accessos no
autoritzats a aquestes dades.
• Davant l’autoritat de control competent en el termini de 72 hores des que
s’hagi tingut constància d’ella.
• Al propi interessat, quan sigui possible que la violació de seguretat de les
dades personals impliqui un alt risc pels drets i llibertats de les persones
físiques.

14. Es pot accedir al correu electrònic d’un treballador? I
d’un extreballador?
Bărbulescu vs. Romania: In order to ascertain whether the notions of
“private life” and “correspondence” are applicable, the Court has on
several occasions examined whether individuals had a reasonable
expectation that their privacy would be respected and protected (ibid.;
and as regards “private life”, see also Köpke v. Germany (dec.), no. 420/07,
5 October 2010). In that context, it has stated that a reasonable
expectation of privacy is a significant though not necessarily conclusive
factor (see Köpke, cited above).
STS 1265/2017, de 17 de març: En el marco de dichas facultades de
dirección y control empresariales no cabe duda de que es admisible la
ordenación y regulación del uso de los medios informáticos de titularidad
empresarial por parte del trabajador, así como la facultad empresarial de
vigilancia y control del cumplimiento de las obligaciones relativas a la
utilización del medio en cuestión, siempre con pleno respeto a los
derechos fundamentales.

15. És obligatori realitzar auditories cada dos anys?
L’obligació establerta a l’antiga normativa no s’ha incorporat en el RGPD
ni en el projecte de LOPD-GDD, tot i que d’acord amb el principi de
responsabilitat proactiva és recomanable però no obligatori.

16. El dret d’accés que exerceixen persones vinculades amb un
pacient mort ( art.3,1 LOPDGDD), no inclou l’obligació de
comunicar la identitat de les persones concretes que, com a
personal propi del responsable del tractament, hagin pogut
accedir a l’HC del difunt. Així doncs aquesta petició no tindria
cabuda, a no ser que més enllà del contingut del dret d’accés el
centre sanitari aporti de forma voluntària aquesta informació.
Podria una persona vinculada amb un difunt per raons familiars o
de fet demanar el registre d’accessos a la història clínica del
difunt (és a dir, la traçabilitat)?

17. D’acord amb el que estableix la Llei 44/2003, d’ordenació de les
professions sanitàries, el pacient té dret a conèixer una sèrie
d’informacions sobre el professional que l’atendrà.
Concretament:
· Nom.
· Titulació i especialitat.
· Categoria i funcions (si estesin definides).
l Per tant, en cas que un pacient pregunti sobre la disponibilitat
d’un professional (donat per la relació de confiança amb
aquest) de cara a una futura visita, se li ha de facilitar la identitat
del professional que l’atendrà però no la disponibilitat d’aquell
pel qui ha preguntat (respectant així la privacitat del
professional).
Quina informació es pot facilitar a l’usuari sobre el professional
que l’atendrà? En concret, es pot facilitar informació sobre la
disponibilitat de l’agenda del professional?

18. Tal com confirma l’APDCAT en el seu dictamen CNS 60/201, els
justificants que emet un centre sanitari no haurien d'incloure més
que la informació imprescindible per tal d’acreditar que
existeixen els requisits que donen dret a obtenir el permís laboral
per acompanyar al familiar. De fet, l ‘Autoritat recomana que els
centres sanitaris estableixin un protocol per tal de concretar el
contingut dels certificats o justificants de manera que el seu
personal conegui com procedir en aquests supòsits.
Quin ha de ser el contingut del justificant mèdic per
acompanyament d’un familiar respectant la nova regulació de
protecció de dades?

19. El fet que les dades biomètriques siguin considerades categoria
especial de dades d’acord amb l’RGPD no permet afirmar de
forma automàtica que la implantació d’aquests sistemes de
control horari pugui considerar-se proporcionat i ajustat al principi
de minimització. Caldrà fer una avaluació de l’impacte sobre el
tractament de les dades en vista a les circumstàncies concretes
per determinar-ne la legitimitat i proporcionalitat, incloent
l’existència de sistemes de control menys intrusius.
És ajustat a la normativa de protecció de dades la utilització de
sistemes de fitxatge mitjançant empremta dactilar amb la finalitat
de control horari dels treballadors?

20. www.consorci.org