A lo largo de las últimas dos semanas hemos sido testigos del palpable estado de ebullición que ha entretenido a muchos profesionales y entusiastas de la privacidad, tras la adopción, por parte del Comité Europeo de Protección de Datos (CEPD) tras su 12ª Sesión Plenaria, de un nuevo set de documentos recién sacados del horno. Además de publicar varias opiniones y guías de suma relevancia, el CEPD ha contado con la colaboración directa del Supervisor Europeo de Protección de Datos (SEPD) para sacar a la luz un Dictamen Conjunto sobre el tratamiento de datos de pacientes y el rol de la Comisión Europea (CE) en el contexto de la Infraestructura de Servicios Digitales para la eSalud (eHDSI, por sus siglas en inglés), que vuelve a poner el foco en esta plataforma innovadora a nivel europeo.
Antecedentes
La Red para la eSalud (eHealth Network) ha sido ideada como una red de carácter voluntario compuesta por las autoridades responsables de la eSalud designadas por los Estados Miembros, cuyo objetivo principal es mejorar la interoperabilidad entre sistemas nacionales de salud digital a la hora de realizar intercambios de datos de pacientes (p.ej. eRecetas, historiales clínicos resumidos, u otros registros electrónicos relativos a la salud). En este contexto, la eHDSI fue desarrollada de forma conjunta por la Red para la eSalud y la CE como el eje tecnológico destinado a facilitar los intercambios de datos anteriormente mencionados.
No obstante, la CE no ha dudado en levantar bandera para destacar la necesidad de aclarar tanto el funcionamiento de la eHDSI, como también el papel que desempeñaría la Red para la eSalud en términos de gobernanza, y todo ello sin dejar de lado los aspectos cada vez más relevantes en materia de protección de datos como los previstos en el Reglamento 2016/679 (RGPD) y el Reglamento 2018/1725 relativo al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. La iniciativa de la CE se ha visto recompensada tras la materialización de las aclaraciones solicitadas mediante un borrador de Decisión de Aplicación de la Comisión.
Alcance
Con fecha 13 de mayo, la EC –a través de su Dirección General “Salud y Seguridad Alimentaria” (DG SANTE)– ha formulado una petición al CEPD y SEPD para someter a un análisis (conjunto) determinados aspectos contenidos en el borrador de Decisión de Aplicación de la Comisión, desde una perspectiva de la protección de datos. Dicha petición tenía tres objetivos claramente marcados:
- determinar si la puesta a disposición y el posterior mantenimiento de una conexión segura y encriptada para la transmisión de datos personales de pacientes entre Estados Miembros debería ser considerado como tratamiento de datos;
- determinar si, tanto el tratamiento de información relativa al personal de los Puntos de Contacto Nacionales para la eSalud (NCPeH, por sus siglas en inglés), como también el tratamiento de datos personales de pacientes en el contexto del intercambio entre Estados Miembros, deberían considerarse como actividades independientes; y
- determinar si la CE debería ostentar el rol de encargado de tratamiento con respecto al tratamiento de datos personales de pacientes en el contexto de la eHDSI.
El tratamiento de datos personales llevado a cabo dentro de la Red para la eSalud, sin embargo, no le ha llegado al CEPD y SEPD por sorpresa, ya que el asunto había estado ya sometido a escrutinio. En concreto, el CEPD (que, por aquel entonces, operaba todavía como el Grupo de Trabajo del Artículo 29 (GT29)) publicó una carta con una serie de recomendaciones sobre la legitimidad del tratamiento y corresponsabilidad, mientras que el SEPD emitió algunos comentarios respecto del borrador de Decisión de Aplicación de la Comisión. Partiendo de esta base, tanto el CEPD como el SEPD acordaron que el dictamen conjunto solicitado debería tratar únicamente las tres cuestiones principales planteadas por la EC, asumiendo que el resultado no llegaría a constituir una evaluación exhaustiva de todos aquellos tratamientos de datos realizados en el contexto de la eHDSI (todo ello, claro está, sin perjuicio de cualquier otro análisis que pueda llevarse a cabo en un futuro por el CEPD, el SEPD o las Autoridades de Control nacionales).
Análisis
- La premisa básica sobre la que descansa el dictamen conjunto deriva del hecho de que el sistema eHDSI habilita el intercambio de los datos electrónicos de salud relativos a pacientes europeos entre los Puntos de Contacto Nacionales, por medio de una red privada segura (TESTA) proporcionada por la CE. Tanto el CEPD como el SEPD comparten la convicción de que, en la medida en que los datos personales son puestos a disposición mediante la red privada, tales datos están siendo sometidos a tratamiento independientemente de si la EC puede (o no) acceder a los mismos, e incluso de las salvaguardas implementadas respecto de su transmisión. Al mismo tiempo, no podemos dejar de hacer mención a una conclusión que dimana del dictamen, y que, a nuestro juicio, arroja un poco de luz sobre un asunto que todavía genera controversia: el cifrado de la conexión en la red privada. El cifrado –y probablemente esto resulte redundante– es una técnica comúnmente empleada con la finalidad de garantizar la confidencialidad de la información transmitida mediante la encriptación de dicha información de tal forma que únicamente podrán tener acceso a la misma aquellos interlocutores debidamente autorizados para ello. Aunque a priori podríamos pensar que el dictamen no aporta grandes novedades en este punto, lo cierto es que el CEPD y el SEPD han llegado, en realidad, a confirmar que “los datos personales, aún cifrados, siguen siendo datos personales“, lo cual inclina la balanza a favor de los defensores de la tesis según la cual los datos personales cifrados no se quedan “al margen” de la normativa de protección de datos sino que mantienen su sujeción a la misma.
- Para contestar a la segunda cuestión planteada, las autoridades se han visto condicionadas por la necesidad de definir los dos supuestos ilustrados a fin de determinar si podrían ser considerados bien como tratamientos distintos, o bien, como un conjunto de tratamientos. Tomando como base de partida la documentación proporcionada por la EC, el tratamiento de datos relativos al personal de los Puntos de Contacto Nacionales para la eSalud se estaría llevando a cabo con la única finalidad de permitir la gestión de cuentas de usuario y habilitar el mecanismo de autorización de los servicios esenciales eHDSI. Por el otro lado, y con respecto al tratamiento de los datos de los pacientes, podrían distinguirse dos casos de uso principales con respecto a las eRecetas y los historiales electrónicos de dichos pacientes, que conllevan, sin lugar a dudas, el tratamiento de datos relativos a la salud con la finalidad de mejorar y asegurar la continuidad de los servicios de salud transfronterizos. A la luz de lo anterior, el Dictamen Conjunto concluye aceptando que los dos tratamientos identificados pueden ser considerados como independientes, en cuanto se puede apreciar una clara diferenciación entre las finalidades perseguidas, lo cual determinaría también, de forma invariable, una alteración de las responsabilidades asignadas a los actores involucrados.
- Con respecto a la tercera y última cuestión relativa a si la CE debería ser considerada como encargado de tratamiento de datos personales de pacientes en el contexto de la eHDSI, el Dictamen Conjunto confirma que tanto la decisión de emplear el sistema eHDSI como el tipo de información objeto de intercambio han sido acordadas por los miembros voluntarios de la Red para la eSalud. Ello implica que la Red para la eSalud tiene la responsabilidad de decidir sobre cómo la eHDSI debería operar y en base a qué estándares, además de, por ejemplo, establecer reglas de seguridad o fijar los elementos necesarios para alcanzar un nivel óptimo de interoperabilidad entre los sistemas nacionales de salud digital. Según la información presentada, la CE no tendría el poder decisorio suficiente, a pesar de que su involucración como proveedor de la infraestructura de red para la transmisión de datos de salud se manifieste, por ejemplo, a través de la definición de estándares de seguridad y comunicación o del desarrollo de medidas adecuadas relacionadas con los servicios esenciales de la eHDSI. Por lo tanto, y habida cuenta del marco legal que regula las finalidades y medios de la infraestructura, así como de las estrictas limitaciones impuestas a la Comisión a fin de garantizar la seguridad de los servicios esenciales, el Dictamen Conjunto acaba confirmando que la CE ostentaría el rol de encargado del tratamiento en este caso concreto y para la finalidad específica de tratar los datos personales de los pacientes en el contexto de la eHDSI.
En conclusión, tanto el CEPD como el SEPD se hacen eco de la iniciativa de la CE que pretende aclarar su papel respecto de las actividades de tratamiento analizadas en el Dictamen Conjunto y determinar las pautas que marcarían su intervención como encargado del tratamiento. No obstante, las autoridades aprovechan la ocasión para recomendar que el borrador de Decisión de Aplicación de la Comisión recoja, de forma expresa, cualquier obligación/deber a la que la CE podría verse sometida al actuar en el desempeño de dicho rol.