LOPD y GDD ( LOPDGDD ) 3/2018 Disposición adicional decimoséptima. Tratamientos de datos de salud.
1. Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del Reglamento
(UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genéticos que
estén regulados en las siguientes leyes y sus disposiciones de desarrollo:
a) La Ley 14/1986, de 25 de abril, General de Sanidad.
b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
c) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente
y de derechos y obligaciones en materia de información y documentación clínica.
d) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.
e) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.
f) La Ley 14/2007, de 3 de julio, de Investigación biomédica.
g) La Ley 33/2011, de 4 de octubre, General de Salud Pública.
h) La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las
entidades aseguradoras y reaseguradoras.
i) El texto refundido de la Ley de garantías y uso racional de los 105 medicamentos y
productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio.
j) El texto refundido de la Ley General de derechos de las personas con discapacidad y
de su inclusión social, aprobado por Real Decreto Legislativo 1/2013 de 29 de noviembre.
2. El tratamiento de datos en la investigación en salud se regirá por los siguientes
criterios:
a) El interesado o, en su caso, su representante legal podrá otorgar el consentimiento
para el uso de sus datos con fines de investigación en salud y, en particular, la biomédica.
Tales finalidades podrán abarcar categorías relacionadas con áreas generales vinculadas a
una especialidad médica o investigadora.
b) Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de
la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los
afectados en situaciones de excepcional relevancia y gravedad para la salud pública.
c) Se considerará lícita y compatible la reutilización de datos personales con fines de
investigación en materia de salud y biomédica cuando, habiéndose obtenido el
consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de
investigación relacionadas con el área en la que se integrase científicamente el estudio
inicial.
En tales casos, los responsables deberán publicar la información establecida por el
artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de sus datos personales y a la libre circulación de estos datos, en un lugar
fácilmente accesible de la página web corporativa del centro donde se realice la
investigación o estudio clínico, y, en su caso, en la del promotor, y notificar la existencia de
esta información por medios electrónicos a los afectados. Cuando estos carezcan de medios
para acceder a tal información, podrán solicitar su remisión en otro formato.
Para los tratamientos previstos en esta letra, se requerirá informe previo favorable del
comité de ética de la investigación.
d) Se considera lícito el uso de datos personales seudonimizados con fines de
investigación en salud y, en particular, biomédica.
El uso de datos personales seudonimizados con fines de investigación en salud pública y
biomédica requerirá:
1.o Una separación técnica y funcional entre el equipo investigador y quienes realicen la
seudonimización y conserven la información que posibilite la reidentificación.
2.o Que los datos seudonimizados únicamente sean accesibles al equipo de
investigación cuando:
i) Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad
de reidentificación.
ii) Se adopten medidas de seguridad específicas para evitar la reidentificación y el
acceso de terceros no autorizados.
Podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de
una investigación que utilice datos seudonimizados, se aprecie la existencia de un peligro
real y concreto para la seguridad o salud de una persona o grupo de personas, o una
amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia
sanitaria.
e) Cuando se traten datos personales con fines de investigación en salud, y en particular
la biomédica, a los efectos del artículo 89.2 del Reglamento (UE) 2016/679, podrán
excepcionarse los derechos de los afectados previstos en los artículos 15, 16, 18 y 21 del
Reglamento (EU) 2016/679 cuando:
1.o Los citados derechos se ejerzan directamente ante los investigadores o centros de
investigación que utilicen datos anonimizados o seudonimizados.
2.o El ejercicio de tales derechos se refiera a los resultados de la investigación.
3.o La investigación tenga por objeto un interés público esencial relacionado con la
seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes de
interés público general, siempre que en este último caso la excepción esté expresamente
recogida por una norma con rango de Ley.
f) Cuando conforme a lo previsto por el artículo 89 del Reglamento (UE) 2016/679, se
lleve a cabo un tratamiento con fines de investigación en salud pública y, en particular,
biomédica se procederá a:
1.o Realizar una evaluación de impacto que determine los riesgos derivados del
tratamiento en los supuestos previstos en el artículo 35 del Reglamento (UE) 2016/679 o en
los establecidos por la autoridad de control. Esta evaluación incluirá de modo específico los
riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.
2.o Someter la investigación científica a las normas de calidad y, en su caso, a las
directrices internacionales sobre buena práctica clínica.
3.o Adoptar, en su caso, medidas dirigidas a garantizar que los investigadores no
acceden a datos de identificación de los interesados.
4.o Designar un representante legal establecido en la Unión Europea, conforme al
artículo 74 del Reglamento (UE) 536/2014, si el promotor de un ensayo clínico no está
establecido en la Unión Europea. Dicho representante legal podrá coincidir con el previsto en
el artículo 27.1 del Reglamento (UE) 2016/679.
g) El uso de datos personales seudonimizados con fines de investigación en salud
pública y, en particular, biomédica deberá ser sometido al informe previo del comité de ética
de la investigación previsto en la normativa sectorial.
En defecto de la existencia del mencionado Comité, la entidad responsable de la
investigación requerirá informe previo del delegado de protección de datos o, en su defecto,
de un experto con los conocimientos previos en el artículo 37.5 del Reglamento (UE)
2016/679.
h) En el plazo máximo de un año desde la entrada en vigor de esta ley, los comités de
ética de la investigación, en el ámbito de la salud, biomédico o del medicamento, deberán
integrar entre sus miembros un delegado de protección de datos o, en su defecto, un experto
con conocimientos suficientes del Reglamento (UE) 2016/679 cuando se ocupen de
actividades de investigación que comporten el tratamiento de datos personales o de datos
seudonimizados o anonimizados.
