M.ª Belén Andreu Martínez
Profesora Titular de Derecho civil
Universidad de Murcia
En las siguientes líneas me gustaría brevemente poner el acento en algunos aspectos pendientes de definir sobre dos temas altamente sensibles en materia de protección de datos personales y con carencias en la práctica, como son la protección de datos de los menores de edad y los datos de salud.
Empezando por los menores, como sabemos, el RGPD, a diferencia de su antecesora (la Directiva del 95), sí le dedicó un artículo específico a este tema (el artículo 8). Se trataba de una regulación muy esperada, pero que finalmente resultó algo decepcionante por escasa. En primer lugar, la regulación del tratamiento de datos personales de menores quedó reducida a regular el consentimiento en relación con los servicios de la sociedad de la información. Pero es que, además, esta última es claramente insuficiente. No solo puede criticarse (y se le ha criticado) que no se estableciera una edad armonizada a la que el menor puede prestar por sí solo el consentimiento, sino que ni siquiera se da una respuesta completa al tema que pretende regular. Bastaba para ello con haberse inspirado algo más en el modelo estadounidense de la COPPA (Children’s Online Privacy Protection Act de 1998 y sus normas de desarrollo) que, con sus carencias, es con todo, una regulación consolidada, que se ha ido actualizando y que pretender ser práctica y conseguir el cumplimiento por parte del sector afectado.
Así, la normativa europea no define cuál es su ámbito de aplicación: qué es un «oferta directa a niños» de servicios de la sociedad de la información y a qué «niños» se refiere. En principio, habrá que entender que se trata de menores de 18 años, pero ello no elimina la dificultad de delimitar entre servicios dirigidos al público en general o a adolescentes (ya que servicios dirigidos a un público claramente infantil puede ser más sencillo). Tampoco hace referencia a un tema clave, el de si debe controlarse y cómo la edad de la persona que accede a estos servicios (¿Debe hacerlo cualquier prestador de servicios de la sociedad de la información? ¿Solo el que ofrezca de forma directa a niños estos servicios? ¿Cuáles son las vías de control de edad para llegar a un estándar de cumplimiento normativo?). Parece evidente que el control habrá que hacerlo, pues de lo contrario podríamos encontrarnos con que el consentimiento obtenido no es válido (por no intervenir los representantes legales cuando tuviera menos de 16 años o edad inferior establecida en la normativa nacional). Pero una mención expresa y clara sobre la forma y destinatarios de dicho control no habría sobrado. El Comité Europeo de Protección de Datos ha intentado paliar estas insuficiencias en sus Directrices 5/2020, de 4 de mayo de 2020, haciendo una interpretación «expansiva» de la normativa. Pero una mayor precisión normativa y un mayor desarrollo del ámbito de aplicación y medios para el control de la edad y consentimiento de los representantes legales siguen siendo necesarios.
Con amplitud de miras, el art. 92 LOPDGDD nos recuerda la primacía del principio del interés superior del menor en cualquier aspecto relacionado con los menores, también para aquéllos que traten sus datos personales y, especialmente, para el ámbito educativo y similar (centros deportivos, de ocio y tiempo libre…), lo que nos lleva a aplicar la normativa en esta materia siempre en beneficio del menor
La LOPDGDD (LA LEY 19303/2018) española tampoco ha entrado en estas cuestiones (art. 7), limitándose a una (¿arbitraria?) reducción de la edad de consentimiento a los 14 años («por tradición nacional»). Pero sí se ha detenido concienzudamente en los derechos digitales de los menores. De esta regulación destacaría, por su acierto, el artículo 83, que incide, por fin, en una asignatura pendiente, como era la introducción de esta materia en la educación reglada. Y el artículo 92, que, con amplitud de miras, nos recuerda la primacía del principio del interés superior del menor en cualquier aspecto relacionado con los menores, también para aquéllos que traten sus datos personales y, especialmente, para el ámbito educativo y similar (centros deportivos, de ocio y tiempo libre…), lo que nos lleva a aplicar la normativa en esta materia siempre en beneficio del menor. Ahora lo que nos queda es que sectores como el educativo tomen realmente conciencia de ello y se pongan manos a la obra.
Otro ámbito especialmente problemático en la práctica es el sanitario. En la experiencia española nos encontramos también con grandes lagunas de conocimiento y/o aplicación de la legislación. Y ello a pesar de tratarse de un campo que está inmerso en una casi podríamos llamar «revolución» no solo legal, pero que tiene dificultad para trasladarse a la práctica. La utilización de la propia información de que disponen nuestros sistemas de salud (combinado en su caso con otro tipo de datos, como los ambientales, demográficos, etc.) se presenta como un elemento esencial; y el uso de soluciones analíticas avanzadas, incluida la IA, tendrá cada vez mayor importancia para la toma de decisiones en los ámbitos clínico y de gestión, por citar solo algunos ejemplos.
Tanto el RGPD como la LOPDGDD (LA LEY 19303/2018) han abierto un abanico más amplio de posibilidades en el tratamiento de datos de salud y, en particular, en el tratamiento con fines de investigación en salud. A pesar de ello, el uso de estos datos para otras finalidades de las que primariamente se obtuvieron (la prestación de asistencia sanitaria) sigue asustando y mucho (especialmente a las administraciones sanitarias y, secundariamente, a los ciudadanos) tratándose de una información altamente sensible.
Ahora bien, la llamada «economía del dato» ha venido para quedarse también en el mundo de la salud. La UE se ha encargado de resaltarlo, entre otros, en su Comunicación sobre una Estrategia de Europea de Datos de 19 de febrero de 2020. En este camino, podemos resaltar dos hitos importantes. Por un lado, la propuesta de Ley de Gobernanza de Datos europea de 25 de noviembre de 2020, que impulsa la reutilización de determinadas categorías especialmente problemáticas en poder del sector público (como los datos protegidos por motivos relacionados con la protección de datos personales), estableciendo condiciones de reutilización (por ej., podrá establecerse la reutilización únicamente con datos pretratados —anonimizados o seudonimizados--; o llevarse a cabo en un entorno de tratamiento seguro facilitado y controlado por el sector público); y previendo, entre otros, la participación de intermediarios que van a jugar un papel fundamental en esta apertura (así, los proveedores de servicios de intercambio de datos). Por otro lado, la estrategia para la creación del Espacio Europeo de Datos de Salud, que promoverá un mayor intercambio de datos de salud no para la prestación de asistencia sanitaria (uso primario), sino también para su uso con fines secundarios. Por lo tanto, es hora de que nuestras instituciones sanitarias vayan tomando conciencia y sentando las bases para la creación de una arquitectura legal y técnica que permita el uso de los datos de que disponen nuestros sistemas sanitarios, con las garantías adecuadas.
Más allá de esto, sí se pueden destacar algunas cuestiones pendientes en relación con nuestra normativa en materia de datos de salud. En primer lugar, y más allá de la coordinación de urgencia operada por las disposiciones finales 5.ª (LA LEY 19303/2018) y 9.ª LOPDGDD (LA LEY 19303/2018), es necesaria una actualización de la obsoleta regulación de la historia clínica, usos y acceso contenida en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente (LA LEY 1580/2002) (y, por qué no, aprovechar para una regulación de conjunto del tratamiento de datos de salud, que lo saque de una disposición adicional en la LOPDGDD (LA LEY 19303/2018)); así como también una actualización/coordinación de lo dispuesto en la disposición adicional 17.ª LOPDGDD (LA LEY 19303/2018) con la regulación del tratamiento de datos en la Ley 14/2007, de 3 de julio (LA LEY 7239/2007), de Investigación biomédica, por citar las más evidentes.
Y, en relación con la regulación contenida en la LOPDGDD (LA LEY 19303/2018), señalaremos tres aspectos susceptibles de replanteamiento, ampliación y/o precisión : a) los limitados casos en que se permite el uso de datos personales para la realización de estudios científicos en salud pública sin el consentimiento de los interesados (la pandemia nos ha abierto los ojos en este sentido); b) la necesidad de precisar la «presunción de compatibilidad» con los fines iniciales del tratamiento ulterior con fines de investigación científica (art. 5.1.b RGPD (LA LEY 6637/2016)); c) y la posibilidad de modificar/sustituir la intervención de los Comités de Ética en la Investigación en proyectos en los que se utilicen datos seudonimizados con fines de investigación en salud pública y, en particular, biomédica, por otro tipo de Comités multidisciplinares ad hoc, particularmente cuando se trate de proyectos de innovación complejos basados en el uso masivo de datos de salud (no solo con fines de investigación, sino también de apoyo al diagnóstico).