La Agencia Española de Protección de Datos (AEPD) acaba de publicar una nueva sección en su página web dedicada exclusivamente al tratamiento de datos de salud. A través de esta iniciativa, la Autoridad española resalta la importancia de un uso y tratamiento lícitos de los datos considerados de categorías especiales y, además, pretende dar respuesta a cuestiones que, en materia de protección de datos, surgen en el ámbito sanitario.

Tal y como ha indicado la AEPD, ésta nueva sección busca “dar respuesta al planteamiento manifestado por representantes del sector sanitario y asociaciones de usuarios de contar con un compendio de legislación, criterios, doctrina y precedentes en materia de salud y protección de datos”.

La sección se compone de siete apartados que recogen diversas cuestiones relacionadas con el tratamiento de datos sanitarios, desde información general sobre el tratamiento de los datos de salud y cómo ejercer el derecho de acceso a la historia clínica hasta cuestiones relacionadas con la investigación médica. Además, recoge los criterios marcados por la Agencia a partir de consultas planteadas por el sector sanitario, además de información sobre expedientes e inspecciones que se han realizado de oficio.

En concreto, una de las cuestiones tratadas en la nueva sección, y que en la práctica diaria suscitan numerosas dudas, versa sobre la responsabilidad de los datos clínicos, debiendo entenderse como tales los que se incorporen a la historia clínica de los pacientes, en un centro sanitario y, en concreto, a quién corresponde el deber de conservación y custodia de las historias clínicas generadas en el ámbito de la prestación sanitaria.

Aclara la AEPD que en el ámbito público el responsable del tratamiento será siempre la autoridad sanitaria, pues es quien tiene encomendadas por la normativa las competencias sanitarias, lo que le permite determinar los fines y medios del tratamiento. En consecuencia, exponemos a continuación, en el ámbito privado los tres escenarios más recurrentes:

El primer supuesto, que resulta el más frecuente, se refiere a un profesional o una sociedad que presta sus servicios en base a un contrato – laboral o mercantil- firmado con el centro. En este caso, el profesional sanitario, si bien toma todas las decisiones sobre la atención sanitaria de los pacientes, se encuentra contratado para ello por el hospital o la clínica. En consecuencia, el centro, como responsable del tratamiento, tiene encomendadas todas las obligaciones en materia de protección de datos. Por ello, será el encargado de suministrar instrucciones al profesional sobre cómo actuar en relación con la historia clínica, la cumplimentación de la misma, la determinación de las medidas de seguridad a seguir o qué hacer si solicitan los pacientes el ejercicio de uno de los derechos previstos en los artículos 15 a 22 del RGPD, entre otras cuestiones.

Un ejemplo de ello lo encontramos en la reclamación dirigida por un médico contra un hospital y que finalmente se archivó. En dicha reclamación, el profesional sanitario, tras haber finalizado su relación con el centro, exigía copia de la historia clínica de los pacientes que había atendido durante la vigencia de su contrato. Dado que el contrato no era laboral, sino mercantil, consideraba que la titularidad de los datos personales de las historias clínicas de los pacientes que había atendido en dicho centro hospitalario no podían mantenerse en el sistema informático del hospital y debían ser custodiados por el médico.

Sin embargo, exponía la AEPD que, tras una práctica de prueba muy minuciosa durante la instrucción del procedimiento, se constató que el reclamante no cumplía requisito alguno para poder ser considerado responsable del tratamiento, al no decidir ni sobre los fines ni sobre los medios del tratamiento.

En el segundo supuesto, un profesional sanitario presta sus servicios en un hospital o en una clínica mediante el correspondiente arrendamiento de una consulta. En este caso, es el profesional el que toma todas las decisiones sobre la atención sanitaria de sus pacientes, incluyendo el tratamiento de sus datos personales, y la relación con el hospital o la clínica se limita al arrendamiento de un local. La AEPD considera al profesional sanitario responsable del tratamiento de los datos personales de sus pacientes dado que es quien decide sobre los fines y medios del tratamiento. En consecuencia, se le atribuyen como responsable del tratamiento todas las obligaciones derivadas del RGPD en relación con el tratamiento efectuado.

Por último, en ocasiones nos encontramos con un tercer supuesto donde los profesionales sanitarios comparten espacios, herramientas, medios, personal, etc., con el hospital. Estos supuestos pueden tener una configuración confusa dado que la relación jurídica entre el profesional sanitario y la clínica u hospital se desdibuja. En tales ocasiones acontece que el profesional sanitario atiende a sus propios pacientes en una consulta de la clínica u hospital, que compagina con la atención a los pacientes pertenecientes al centro sanitario; así será necesario realizar un análisis de la relación de las partes con los pacientes y asignar las responsabilidades en cada caso concreto.

Y todo ello sin perjuicio de las obligaciones de secreto profesional que en todo cabo tienen que mantener los profesionales sanitarios respecto de los datos de salud que conozcan en el ejercicio de su profesión.

Andrea Camps.

La Autoridad Catalana de Protección de Datos (APDCAT) ha publicado la “Guía de Protección de Datos para los colegios profesionales y consejos de colegios” que recoge los cambios normativos producidos a raíz de la entrada del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en relación al tratamiento de datos personales y a la libre circulación de éstos, y la posterior aprobación de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

El objetivo de este documento es explicar de una forma general y comprensible los aspectos más relevantes a la hora de tratar datos personales. Se compone de diez apartados, que desarrollan una visión amplia de dudas y problemas cotidianos en el tratamiento de datos por parte de los Colegios Profesionales y los Consejos Generales para ayudar a mejorar la gestión de los tratamientos que realizan. Podemos destacar algunos temas como:

El acceso de terceros a datos personales de las personas colegiadas a través de la ventanilla única. La normativa que regula los colegios profesionales prevé que tienen que disponer de una ventanilla única en su página web, a través de la cual deben ofrecer información clara, inequívoca y gratuita. Es frecuente que surjan dudas sobre que contenido se puede publicar, como, por ejemplo, si el motivo de la situación de inactividad de una persona colegiada puede formar parte del listado de profesionales, siendo la respuesta negativa, no se puede informar de los motivos, aunque esta lista puede recoger la situación de no ejerciente o de inactividad temporal.

También es frecuente que, ante procesos electorales, se planteen dudas sobre el acceso de los candidatos a los datos de colegiados, por ejemplo, la posibilidad de entregar un listado de las personas colegiadas, con indicación de sus datos de contacto (nombre, apellidos y dirección de correo electrónico), a una persona colegiada interesada en contribuir a las elecciones a la junta de gobierno del colegio. La guía responde en sentido afirmativo siempre y cuando se a una persona colegiada, proclamada candidata, enmarcándose este tratamiento en la satisfacción de intereses legítimo y amparado en la base jurídica del artículo 6.1.f) del RGPD pero tan solo durante el período de campaña electoral.

Todas estas cuestiones y otras muchas eminentemente prácticas, son expuestas en la guía sumándose como una iniciativa más por parte de las Autoridades de protección de datos para fomentar y crear cultura de protección de datos y privacidad.

Artículo de Carolina Sanabrias.

La situación generada por el Covid-19, ha provocado que las empresas acelerasen los procesos de automatización y digitalización se acelerasen, de entre estos procesos, destaca de forma exponencial el teletrabajo, puesto que es una figura de la que había escasa regulación legal, y que ha provocado que se aprobase el Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia.

El teletrabajo además ha incrementado la movilidad de los trabajadores, tanto a nivel nacional como internacional, puesto que esta forma de prestación de servicios a distancia permite que un trabajador se encuentre en provincia y/o país diferente al que se encuentra radicado su empleador. Es evidente que el teletrabajo a nivel nacional no supone dificultad legal alguna, pero no ocurre lo mismo a nivel internacional, donde surgen dificultades en materia de seguridad social tanto para la empresa como para el teletrabajador.

Desde el punto de vista laboral, es perfectamente posible que una empresa contrate trabajadores e otros países diferentes a donde radique el domicilio de la empresa para que presten servicios en forma de teletrabajo, y es aquí donde surgen los primeros interrogantes, tales como ¿Qué norma laboral resulta de aplicación?, ¿qué régimen de cotización se aplica en dicho caso?, ¿Qué ocurre a nivel de prevención de riesgos? y ¿Qué normativa fiscal se aplica?.

Para responder a la primera pregunta, se ha de acudir al Reglamento de Roma I (Reglamento (CE) nº 593/2008 del Parlamento Europeo y del Consejo, de 17 de junio de 2008, sobre la ley aplicable a las obligaciones contractuales) que prevé en sus artículos 3 y 4, la ley aplicable al contrato, estableciendo como regla general, que la legislación laboral aplicable será la que las partes pacten y en su defecto, la del país en el cual o a partir del cual el trabajador, en ejecución del contrato, realice su trabajo habitualmente. En defecto de lo anterior, regirá la ley donde esté radicado el establecimiento contratante o, por último, podría llegar a ser aplicable la ley del Estado donde el contrato presente vínculos más estrechos.

En caso de que el empleador y el trabajador pacten la ley aplicable al contrato de trabajo, esta no puede suponer que no se apliquen al trabajador las disposiciones de derecho mínimo (salario, jornada, vacaciones, prevención de riesgos etc..) que se apliquen en el lugar de prestación de servicios.

Respecto de la cotización aplicable, hemos de acudir a la regla general de cotización, por la que se aplica la del lugar del prestación de servicios habitual, salvo en los casos de desplazamiento temporal transnacional en los que dependerá de la existencia de Convenios bilaterales entre ambos países, que permitan mantener la cotización del país desde el que el trabajador presta sus servicios. Ahora bien, no hay que confundir el desplazamiento temporal de un trabajador con el trabajador a distancia internacional, ya son dos figuras diferentes y cuyos efectos legales también son diferentes, ya que en el primer caso el trabajador ha sido desplazado por interés del empleador, mientras que en el segundo no hay desplazamiento alguno y no prima el interés empresarial toda vez que el teletrabajo internacional es voluntario para ambas partes. Por tanto, en el caso de existir un Convenio bilateral entre el país de origen del trabajador y el país en el que radica el domicilio del empleador, este no sería de aplicación en caso de un teletrabajador internacional de inicio puesto que no hay desplazamiento alguno, y por tanto surge la necesidad de que el empleador deba asesorarse a nivel local a fin de no incumplir la regulación del país de origen del trabajador ni la que le resulta de aplicación por cuestiones de territorialidad.

A nivel de prevención de riesgos, y en tanto en cuanto no exista una regulación específica se aplicará la del lugar de prestación de servicios del teletrabajador, entendiendo que la misma es una de las disposiciones de derecho mínimo.

Desde una perspectiva fiscal, según la legislación vigente en España se considerará no residente fiscal en España a toda persona que permanezca en territorio español menos de 183 días por año natural. De tal manera que en el caso de un teletrabajador internacional desde el inicio de la relación laboral, no sería considerado como residente fiscal en España y habría que atender a la regulación existente en el país de origen a efectos fiscales y a la existencia o no de Convenios de doble imposición.

En definitiva, el teletrabajo internacional es una realidad con importantes niveles de complejidad, que actualmente carece de regulación y que por tanto no está exento de riesgos, pero que puede generar importantes oportunidades de ámbito internacional para una empresa y de la que se espera una regulación en un corto plazo.

Artículo de Silvia Barrios.