Por Cristina Sirera: CIPP/E. Directora del Programa de Protección de Datos y Seguridad del Instituto de Empresa. Abogada CÓDIGO LEGAL

Este artículo determina qué es considerado un dato de salud, cuál es el alcance de esta definición, y la necesidad de consentimiento expreso para su tratamiento.

El grupo de trabajo del artículo 29, WP29, en una carta enviada a la Comisión Europea (la Comisión) respondiendo a su solicitud de aclarar el alcance de la definición de los datos de salud en relación con las aplicaciones de bienestar “wellbeing y lifestile” y otros dispositivos portátiles, ha proporcionado criterios para determinar cuando los datos procesados ​​por aplicaciones y dispositivos se consideran a efectos de la normativa de protección de datos “datos salud”.

La dificultad de definir los datos de la salud es que los datos de carácter personal que no son de salud pueden convertirse en datos de salud en función de la duración del tratamiento del dato o su recolección, el uso propuesto, o en combinación con otros conjuntos de datos. Por ejemplo: Un podómetro que mide el número de pasos que un usuario toma cada día en forma aislada no recoge datos de salud, pero en combinación con el índice de masa corporal y los datos del estado de ánimo podría construir una imagen del estado de salud de un individuo.

El WP29 reconociendo la complejidad y las dificultades de esta definición, confesó que existen áreas grises, e identificó tres tipos de datos de carácter personal que pueden ser considerados como “datos salud”:

  1. Datos médicos – datos que son inherente y claramente médicos;
  2. Los datos brutos de Sensores – datos que se pueden utilizar en sí mismos o en combinación con otros datos para llegar a una conclusión sobre el estado de salud real o la existencia de un riesgo para la salud de una persona;
  3. Conclusiones de datos – datos donde se extraen conclusiones sobre el estado de salud de una persona o de riesgo para la salud, con independencia de que estas conclusiones sean exactas o inexactas, legítimas o ilegítimas, o de otra manera adecuada o inadecuada.

El WP29 reconoce que no siempre es necesario para las aplicaciones o dispositivos de “wellbeing” o salud transmitir los datos fuera del dispositivo, y que si el tratamiento de datos sólo se efectúa en el propio dispositivo, y no hay datos personales que se transmiten fuera del dispositivo, la normativa de protección de datos no se aplicaría puesto que su uso es meramente doméstico.

El consentimiento es, por supuesto, una cuestión clave en todo esto. Según el WP29, si un responsable de datos de carácter personal recoge datos a través de una aplicación o un dispositivo, y se trata de aplicaciones con un propósito médico, a través de las cuales los pacientes pueden compartir datos sobre los síntomas y comparar qué tratamientos funcionan mejor para ellos, o los datos se pueden inferir razonablemente de los datos registrados por la aplicación, tales como aplicaciones para rastrear los alimentos y el ejercicio en un esfuerzo por perder peso, nos encontramos ante un dato salud y se ve derogada la excepción del tratamiento doméstico de los datos, siendo necesario para su tratamiento que el usuario de su consentimiento expreso.