domingo, 3 de mayo de 2015

Responsabilidad por deber de garante: Aplicación al CCO y al DPO


Resumen: Este estudio presenta un paralelismo entre las figuras del Chief Compliance Officer (CCO) y el Data Protection Officer (DPO), en relación a la responsabilidad derivada del deber de garante, en el ámbito de sus competencias, que ostentan en el seno de la PJ.

Autor del artículo
Colaboración
José Luis Colom Planas
Actualizado
3 de mayo de 2015

Índice
1. Introducción a la responsabilidad por deber de garante
2. La comisión por omisión
3. El deber de garante
4. El deber de garante del Administrador en la PJ
5. El deber de garante del CCO en la PJ
6. El deber de garante del DPO en la PJ
7. Epilogo
8. Bibliografía consultada
9. Derechos de autor


1. Introducción a la responsabilidad por deber de garante

En la jurisdicción Penal, el deber de garante presenta una íntima relación con las conductas omisivas. Es en base a ellas que se puede atribuir responsabilidad a quién omite una acción, siempre que se den determinadas circunstancias. Entre éstas es primordial que exista alguna conexión entre la omisión y la responsabilidad, en base a una relación contractual o laboral, por ejemplo.

Éste sería el caso del Chief Compliance Officer (CCO) o responsable del órgano (individual o colegiado) de la persona jurídica, con poderes autónomos de iniciativa y de control, que velará, quizá entre otros, por el cumplimiento del modelo de prevención de delitos penales en el seno de la empresa.

Más adelante, por analogía, intentaremos extrapolar esta responsabilidad a otras figuras que prestan su desempeño en la persona jurídica, con obligación por su cargo de velar por determinado cumplimiento, como puede ser el Data Protection Officer (DPO).

2. La comisión por omisión

Podemos clasificar las conductas omisivas, al menos en omisión pura y comisión por omisión.
  • La omisión pura, en Derecho Penal, sitúa el fundamento de la punición en el terreno de la antijuridicidad formal, trasladando la responsabilidad penal del plano causal al normativo. Sería la abstención simple de hacer algo que marca la Norma.
  • La comisión por omisión, fundamentada en las teorías causales, se basa en que la omisión de determinada conducta que evitaría un resultado penal es casi idéntica a causar éste a través de una conducta activa. Sería haber dejado de hacer algo necesario. Es aquí donde confluye con el deber de garante.

3. El deber de garante

Para poder atribuir responsabilidad a quién omite una acción, se requiere en el Derecho Español:
  • A) Posición de garante: La existencia de una posición de garante en previsión de un evento perjudicial.
  • B) Conexión: La existencia de alguna conexión entre omisión y responsabilidad.
  • C) Resultado: La producción de un resultado dañino íntimamente ligado al evento.

La referida conexión, en la comisión de un delito por omisión, se sitúa en la exigencia de que concurra una situación en la que el ordenamiento impone una concreta y predeterminada posición jurídica a determinada persona (el omitente) ante una situación típica de riesgo dando lugar a una específica obligación de actuar que es lo que, en esencia, configura la llamada posición de garante.

Para gran parte de la doctrina y de la jurisprudencia se establece esta equivalencia en función de que se pueda deducir (y acreditar) que, por parte del omitente, existe un compromiso específico y efectivo de actuar, a modo de barrera de contención de riesgos, frente a un posible evento y frente a algún posible perjudicado: es decir, que existirá posición de garante, cuando entre omitente y perjudicado exista alguna obligación (de cualquier origen) real y efectiva que imponga al omitente una determinada actuación de prevención, de protección o de evitación [1].

Pero, aun cumpliéndose todos los requisitos enumerados anteriormente, resulta también necesario:
  • D) Previsibilidad: Que no se haya producido el evento por la concurrencia de otros factores externos, imprevisibles o inevitables, ajenos a los que configuran la específica posición de garante, ya que éste factor imprevisible eximirá de cualquier responsabilidad al omitente que está situado como garante, al tener su origen el resultado lesivo en factores imponderables.
  • E) Posibilidad de actuar: la necesidad de que el omitente obligado estuviera en condiciones de realizar la conducta prevista. En caso de imposibilidad de actuar no surge responsabilidad por la inacción, eliminando la responsabilidad inherente a la situación de garante.

4. El deber de garante del Administrador en la PJ

No escapa a la lógica de la razón admitir que en el ámbito y en representación de la persona jurídica, el Administrador tiene los deberes propios de garante sobre la conducta de sus empleados.

Este poder lo ejerce de dos formas consecutivas:
  • Primero, desde la perspectiva in eligendo, estableciendo los controles adecuados en el proceso de selección de los trabajadores.
  • Después, in vigilando, supervisando su desempeño profesional en la medida de sus posibilidades razonables, especialmente con los puestos más especializados.

Podríamos decir que este poder de supervisión y control está orientado como: [2]
  • Garante de protección, desde una perspectiva ad intra, evitando resultados lesivos para la propia empresa.
  • Garante de control, desde una perspectiva Ad extra, evitando resultados lesivos sobre terceros externos a partir de la actividad de los empleados.

En consecuencia, estamos en condiciones de afirmar que el Administrador de la PJ se encuentra en una posición de garante originaria, que le obliga a impedir la comisión de delitos por parte de subordinados con repercusión en los bienes jurídicos de terceros. [5]

Por ello, los órganos de Administración deben establecer los mecanismos de organización adecuados para evitar los riesgos de comisión de ilícitos en su seno o, en todo caso, mitigarlos hasta niveles tolerables por las circunstancias de la PJ. Ello, no obstante, no exonera al órgano de gobierno de su posición de garante.

Con el establecimiento de la organización, el empresario tiene un derecho y un deber equilibrados:
  • El deber de evitar los cursos lesivos que surgen de la actividad empresarial, asumiendo el compromiso de contener aquellos riesgos que de la misma vayan surgiendo para los bienes jurídicos de los demás.
  • El derecho a ejercer la libertad que emana del establecimiento de la propia empresa.

Luego, por defecto, la comisión por omisión se dará en relación a los riesgos típicamente unidos a la actividad empresarial que tienden a descontrolarse, de no ponerse remedio, con el paso del tiempo.

5. El deber de garante del CCO en la PJ

En Derecho Penal, si analizamos el texto de la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que entrará en vigor en julio de 2015, leemos en el artículo 31 bis CP:

“(…) 2. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;
2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; (…)”.

En este caso, la delegación de competencias en un órgano de la persona jurídica, con poderes autónomos de iniciativa y control, para que supervise el funcionamiento y el cumplimiento del modelo de prevención, constituye un mecanismo de transferencia de la posición de garante porque, basándonos en esa delegación, el órgano de administración como delegante hace surgir una posición de garantía en el órgano de cumplimiento normativo, en calidad de delegado. Este órgano puede ser colegiado o unipersonal pero, en todo caso, dirigido o coordinado por el CCO.

No obstante cabe decir que la posición de garante del órgano de administración no desaparece del todo sino que pasa a ser secundaria o residual. Pero es cierto que la delegación correctamente efectuada modifica la posición jurídica del delegante liberándole de los deberes inherentes del ámbito competencial de que se trate, pues de lo contrario, carecería por completo de sentido que se llevara a cabo. [5]

Al órgano de administración ya no le incumbe el deber de control directo de la fuente de riesgo, que sí le corresponde al órgano de cumplimiento, pero sí le compete la correcta selección, formación e información del responsable de cumplimiento, la dotación a este órgano de los medios necesarios para el cumplimiento de sus funciones y, especialmente, el deber de vigilancia sobre éste en el sentido de adquirir conocimiento y corregir sus actuaciones defectuosas [2].

Otra manera de verlo es considerando que el delegante mantiene el poder de revocación de la delegación, lo que representa que tiene la facultad de vigilar lo que el delegado organice, estableciendo los oportunos mecanismos de vigilancia y control con respecto al correcto desarrollo de la actividad por parte del delegado. [5] Estos mecanismos podrían articularse en base a pasar auditorías internas o mediante la obligación de reportar periódicamente informes de gestión.

Simplificando mucho, el CCO suele tener tres funciones básicas:
  • En algunos casos, si no el diseño y materialización, si la aceptación del modelo de cumplimiento encargado por el órgano de Administración a un tercero.
  • La implementación del modelo, y definitiva adaptación a la realidad de la empresa, para lograr los fines preventivos para la evitación de hechos delictivos.
  • El control y seguimiento de las normas derivadas del modelo, identificando las posibles infracciones e informando de las mismas a la Administración de la empresa con el fin de prevenirlas.

En consecuencia, el responsable de cumplimiento sí puede ser responsable de los actos cometidos por el personal de la empresa, sometido a las normas del modelo, en el caso de una dejación de funciones u omisión del cumplimiento de sus deberes, porque esa "área de riesgo" es la que queda sometida a su deber de control.

Un matiz sutil, pero importante, es el que considera que para generarse responsabilidad por omisión del deber de garante del CCO, el riesgo no impedido debe pertenecer a la clase de riesgos cuyo compromiso de control ha sido asumido expresamente por el Responsable de Cumplimiento. [6] En algunos ámbitos al CCO sólo le corresponde impedir delitos relativos al fraude o la corrupción, y no delitos medioambientales o contra los derechos de los trabajadores, por ejemplo, cuya prevención está asignada a otros departamentos especializados. Sera por esta razón muy importante con que cláusulas y nivel de detalle se redacte el contrato laboral, o de prestación de servicios, que ha de vincular al CCO con la PJ.

Así las cosas, esa omisión imprudente de sus deberes de vigilancia podrá generar la propia responsabilidad al Responsable de Cumplimiento, pudiendo responder imprudentemente respecto de la infracción de sus deberes.

Cabe matizar que los deberes básicos que le incumben al CCO en primera instancia, salvo que contractualmente se acuerde otra cosa, se reducen a:
  • Vigilar el cumplimiento del modelo de prevención de delitos.
  • Formar y concienciar a los trabajadores
  • Informar a la Administración de la PJ del desarrollo, incidencias y eventuales riesgos detectados en su actividad de supervisión y control.

Eso no quita que tenga facultades decisorias sobre los eventuales controles a aplicar y las posibles sospechas a investigar, siendo independiente en términos organizativos, económicos y materiales, aunque careciendo de facultades ejecutivas. [5]

De lo anterior podría desprenderse que el CCO es tan solo un órgano auxiliar, ya que el cumplimiento del Derecho en la empresa recae primordialmente sobre el órgano de Administración. No obstante, tan pronto como el Responsable de Cumplimiento pase a desempeñar su función, recibe de forma derivada su posición de garante, por delegación de los deberes que competen a la Administración de la PJ.

Si una vez el CCO ha dado traslado de información relevante al órgano de Administración para impedir un delito, éste no lo impide, el responsable de cumplimiento no responderá penalmente por no haber adoptado ulteriores medidas encaminadas a que el delito no se cometiera. Evidentemente ha de estar en condiciones de acreditarlo.

6. El deber de garante del DPO en la PJ

Si bien no puede aplicarse el razonamiento analógico entre jurisdicciones diferentes, de lo referido hasta ahora puede apreciarse una aplicabilidad de los criterios entre el Corporate Compliance Officer (CCO) y el Data Protection Officer (DPO).

En ambos casos, si se produce un incidente motivado por una dejación de funciones  del CCO o del DPO, la empresa mantiene su responsabilidad última entendida en un caso como posible responsabilidad penal de la persona jurídica donde opera un CCO y, en otro, asumiendo su responsabilidad como responsable del tratamiento en relación a la protección de datos personales, donde opera un DPO.

Me he referido antes a que la delegación de competencias en un órgano de la persona jurídica con poderes autónomos de iniciativa y control, para que supervise el funcionamiento y el cumplimiento del modelo de prevención, constituye un mecanismo de transferencia parcial de la posición de garante.

Al estar el DPO, según el artículo 36 del borrador del Reglamento general de Protección de Datos de la Unión Europea (RGPD/UE), en posesión de “poderes autónomos de iniciativa i control” en el ámbito de las funciones y competencias que tiene encomendadas, la analogía es total.

El citado artículo del borrador, a tenor literal en el momento de redactar este artículo, dispone:

“1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos se implique adecuadamente y en su debido momento en todas las cuestiones relativas a la protección de datos personales.
2. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos desempeñe sus funciones y tareas con independencia y no reciba ninguna instrucción en lo que respecta al ejercicio de sus funciones. El delegado de protección de datos informará directamente a la dirección del responsable o del encargado del tratamiento.
3. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus tareas y facilitarán el personal, los locales, los equipamientos y cualesquiera otros recursos necesarios para el desempeño de las funciones y tareas contempladas en el artículo 37”.

Como conclusión que se deduce de lo aquí analizado, pese a que el responsable del tratamiento mantiene su responsabilidad última, igual que hemos visto antes en relación al Administrador y la figura del CCO, el DPO también tiene transferida la responsabilidad en el ámbito de sus competencias.

Incluso diría más, mientras que en relación al CCO el delegante mantiene el poder de revocación de la delegación, no ocurre lo mismo en el caso del DPO ya que éste, según dispone el artículo 35.7 del borrador del RGPD/UE, goza de unas garantías que lo hacen inmune a arbitrariedades del Administrador de la PJ:

"Art. 35.7: (…). Durante su mandato, el delegado de protección de datos solo podrá ser destituido, aparte de por motivos graves que, con arreglo al Derecho del Estado miembro afectado, justifiquen la destitución de un empleado o funcionario, si deja de cumplir las condiciones requeridas para el ejercicio de las funciones que se le atribuyen en el artículo 37.
Téngase en cuenta el alto grado de arbitrariedad en las conclusiones, cuando el estudio se basa en un borrador (RGPD/UE) y no en un instrumento jurídico vigente o, en su defecto, aprobado.

7. Epilogo

No es baladí y deben ponderarse todos los requerimientos necesarios antes de atribuir responsabilidad propia por la conducta omisiva en sus funciones a las figura del CCO y DPO.

No obstante, la mera posibilidad,  aconseja un alto nivel de profesionalización a quién pretenda desempeñar ese cometido en el seno de la persona jurídica.

Habitualmente el CCO dispone de formación jurídica mientras que el precursor del DPO, en España el Responsable de Seguridad, al limitarse a velar por el cumplimiento de las medidas de seguridad que dispone el Título VIII del RD 1720/2007 que es el Reglamento de aplicación de la LOPD, suele tener cualquier perfil.

Es evidente que el mayor nivel de competencias asignadas al DPO en el RGPD/UE, como puede verse en este mismo blog, [4] provoca que su formación jurídica se vea ampliamente potenciada. Sigue sin proceder aquello del desconocimiento como eximente, ya que lo mínimo que se exige a cualquier profesional es que conozca los derechos y deberes en relación a su desempeño en la empresa donde presta sus servicios.

8. Bibliografía Consultada

[1] Ramón Maciá Gómez. “LA POSICIÓN DE GARANTE EN EL DERECHO ESPAÑOL: CONCEPTO Y ESTRUCTURA”. Pórtico legal (Expansión).

[2] Jesús-María Silva Sánchez. “FUNDAMENTOS DEL DERECHO PENAL DE LA EMPRESA”. EDISOFER S.L., 2013.

[3] Jesús-María Silva Sánchez. “EL DELITO DE OMISIÓN: Concepto y sistema”. Colección Maestros del Derecho Penal nº 12. Editorial IBdeF. Segunda edición 2010.

[4] José Luis Colom Planas. “EL DELEGADO DE PROTECCIÓN DE DATOS”. Blog “Aspectos profesionales”. 13 de abril de 2012, actualizado el 18 de octubre de 2014.
El DPO
[5] Ricardo Robles Planas. “CRIMINALIDAD DE EMPRESA Y COMPLIANCE: Prevención y reacciones corporativas”. Capítulo 12. Páginas 319 a 331. Compendio dirigido por Jesús-María Silva Sánchez. Editorial Atelier. Barcelona 2013.

[6] Dopico Gomez-Aller. “Presupuestos básicos de la responsabilidad penal del Compliance Officer y otros garantes en la empresa”. Actualidad Jurídica Aranzadi Nº 843, página 2. 2012.


9. Derechos de autor

Imágenes bajo licencia 123RF internacional.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:


José Luis Colom Planas Posee un doble perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el ámbito del derecho de las nuevas tecnologías: Ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia y ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación).

Ha superado el programa superior de especialización como Compliance Officer (Controller jurídico) en la Escuela Legal WKE y ha estudiado “El delito de blanqueo de capitales en nuestro Código Penal” en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Ha participado en la I Jornada internacional sobre blanqueo de capitales organizada por la Escuela de Postgrado; Facultad de Derecho de la UB.

Es consultor empresarial especializado en GRC (Governance, Risk and Compliance) en GESCONSULTOR, con incidencia en cumplimiento normativo y regulatorio, privacidad  y gestión de la seguridad de la información.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC) y CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo),    habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos.




domingo, 5 de abril de 2015

Dictamen de la APDCAT sobre la cesión de datos anonimizados del sistema sanitario catalán para su análisis y puesta en valor por terceros


Resumen: Por su indudable interés público y actualidad, reproduzco mediante una traducción “no oficial”, adaptada al formato editorial del blog, el Dictamen CNS 34/2014 [2] de la APDCAT como respuesta a la consulta planteada por una entidad de derecho público en relación con el modelo de gestión y de servicios para dar valor a la información del sistema sanitario catalán en el marco de las políticas públicas.

Autor del artículo
Colaboración
AUTORIDAD CATALANA DE PROTECCIÓN DE DATOS (APDCAT)
Actualizado
5 de abril de 2015

Índice
1. Introducción
2. Objeto de la consulta
3. Descripción del proyecto
4. Sobre la información que se tratará en el proyecto VISC+
5. Sobre la finalidad del tratamiento
6. Régimen de comunicación de datos personales
7. Responsabilidad y propiedad de la información
8. Deber de confidencialidad
9.1. Nivel 1 de aprobación
9.2. Nivel 2 de aprobación
9.3. Nivel 3 de aprobación
10. Procedimiento técnico de anonimización
11. Procedimiento establecido para la cesión de datos
12. Medidas de seguridad
13. Ubicación de la información
14. Encargo del tratamiento y posibilidad de subcontratación de las prestaciones del contrato
15. Conclusiones
16. Bibliografía referenciada
17. Derechos de autor

1. Introducción

Se presenta ante la Autoridad Catalana de Protección de Datos (APDCAT) un escrito de una entidad de derecho público (en adelante, la entidad), en el que se pide que la Autoridad valore la adecuación de las medidas de seguridad que se aplicarán sobre los datos incluidos en el alcance del contrato VISC+ a la legislación en materia de protección de datos, que se describen en los documentos que se adjuntan a la consulta.

En concreto, se adjunta copia del Documento Administrativo de solución final VISC+ (en adelante, DA), del Documento Técnico de solución final VISC+ (en adelante, DT), y del Documento de procedimiento para la cesión de datos personales anonimizadas de salud al Adjudicatario de VISC+ para investigación médica y evaluación, que incluye, como anexos, los Estatutos de la entidad (anexo 1), el documento de encargo de gestión (anexo 2), y el documento sobre el procedimiento de anonimización (anexo 3).

Analizada la consulta y la documentación que la acompaña, vistos los informes del Coordinador de Auditoría y Seguridad de la Información de la Autoridad, y de la Asesoría Jurídica emito el siguiente dictamen

I

(...)

II

2. Objeto de la consulta

 A través de la consulta formulada, la entidad expone que está licitando un contrato de colaboración público privada para la implantación y la operación de un modelo de gestión de servicios para dar valor a la información del sistema sanitario catalán en el marco de las políticas públicas (VISC+). Se añade que en este marco contractual se regulan los mecanismos y procesos de seguridad que serán aplicables sobre los datos incluidos en el alcance del contrato, y que deben asegurar el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).

En relación con el proyecto VISC+, la entidad solicita informe sobre la adecuación de las medidas de seguridad que se aplicarán sobre los datos incluidos en el objeto del contrato VISC+ a la legislación en materia de protección de datos.

En cuanto al alcance de este dictamen, tal y como se plantea en la consulta, se centrará en aspectos relativos a las medidas de seguridad, pero las consideraciones sobre estos aspectos no se puede desvincular de los principios y obligaciones derivados de la normativa de protección de datos. Por ello, ya partir de la documentación aportada, también analizarán, con carácter previo algunas cuestiones generales sobre el alcance las características del proyecto y las garantías necesarias para el cumplimiento de la normativa de protección de datos.

Por otra parte, este dictamen tiene por objeto el análisis del modelo de seguridad y anonimización de los datos que se describe básicamente en el Anexo 1 del DT, relativo al "Modelo de seguridad, disponibilidad y uso de los datos", para comprobar si se adecua a la normativa de protección de datos y hacer aquellas consideraciones que, desde la perspectiva de la protección de datos, se consideren pertinentes para mejorarlo. Hay dejar claro pero que el objeto de este dictamen no consiste en validar un determinado modelo de seguridad, cuestión que por otra parte no sería posible dada la falta de concreción de diferentes aspectos relacionados con la seguridad. La validación del sistema de seguridad es algo que sólo se puede llevar a cabo después de un cuidadoso procedimiento de auditoría que se debe llevar a la práctica una vez esté implementado. Por esto, en el punto 3.1 del DT, habría referirse a que el modelo del Anexo 1 del DT ha sido objeto de Dictamen de la Autoridad, y no de validación. En cualquier caso, se valora positivamente la previsión de que las futuras modificaciones del Modelo de seguridad, disponibilidad y uso de los datos, de dicho Anexo 1, también se someterán al juicio de la Autoridad.

III

3. Descripción del proyecto

 La consulta planteada por la entidad, trae causa del contrato de colaboración público privada para el diseño, implantación y operación de un modelo de gestión y servicios para dar valor a la información del sistema sanitario catalán.

La entidad que formula la consulta es una entidad de derecho público de la Generalidad sometida al ordenamiento jurídico privado, adscrita al departamento competente en materia de salud de la Generalitat de Catalunya, con personalidad jurídica propia, autonomía administrativa y financiera y plena capacidad de obrar para el cumplimiento de sus objetivos y sus funciones, y actúa, en el marco de las funciones que le atribuyen sus Estatutos, bajo las directrices de dicho departamento, el cual ejerce el control de eficacia y eficiencia sobre su actividad. Son objetivos de la entidad generar el conocimiento relevante para contribuir a la mejora de la calidad, seguridad y sostenibilidad del sistema de salud de Cataluña que faciliten la toma de decisiones a la ciudadanía, los profesionales y los gestores del ámbito de la salud, y los órganos responsables de la planificación en salud, así como facilitar la implicación de los profesionales sanitarios en el sistema y su corresponsabilidad en la consecución de los fines comunes y la calidad de la atención. Entre otras funciones, corresponde a la entidad definir, impulsar y desarrollar la estrategia del sistema de información y las tecnologías de la información y comunicación del sistema de salud de responsabilidad pública, así como llevar a cabo la gestión y el mantenimiento de los elementos comunes y / o unificados del sistema de información del sistema sanitario integral de utilización pública de Cataluña (SISCAT) y su explotación y rentabilización garantizando, de acuerdo con las directrices del departamento competente en materia de salud, la disponibilidad de la información del sistema sanitario de Cataluña, haciéndola accesible e interoperable al servicio de una asistencia sanitaria de calidad, de acuerdo con la política corporativa de la Generalitat de Catalunya en materia de telecomunicaciones y tecnologías de la información, según los Estatutos de la entidad.

El Plan de Gobierno 2013-2016, incluyó el "Proyecto VISC+ (Valorización de Información del Sistema Sanitario Catalán), entre los proyectos de interés para el eje de cohesión social y servicios de interés público, incluido en dicho Plan de Gobierno.

Hay que decir que al elaborar este dictamen no se ha dispuesto de una memoria global que describa de manera detallada las necesidades, las alternativas disponibles y las características (flujos de información, características del sistema de anonimización datos, colectivos concretos afectados, etc.) y los beneficios de la opción elegida. Sólo se dispone de varios documentos -descritos en el apartado de antecedentes de este dictamen- que, desde perspectivas diferentes, describen diferentes aspectos del proyecto. Así, algunos de los documentos aportados parece que forman parte de la documentación contractual de la relación entre entidad y el Adjudicatario (DA y DT), otros se refieren a la relación entre los responsables del fichero y la entidad (Encargo de servicios) y otros no resulta clara qué naturaleza tienen (Documento sobre procedimiento para la cesión).

Hay que decir también que, dadas las fuertes implicaciones para la privacidad de las personas y para los otros derechos que podrían verse afectados en caso de un tratamiento inadecuado de una información tan sensible como la que se incluye en el proyecto, sería recomendable disponer de una evaluación del impacto sobre la privacidad que puede tener esta iniciativa. La elaboración de este estudio, que actualmente no es preceptivo de acuerdo con la normativa vigente en materia de protección de datos, se alinearía con las previsiones del proyecto de Reglamento europeo de protección de datos que actualmente se está tramitando, el cual prevé, entre otras, la elaboración, por parte del responsable del tratamiento, de una evaluación del impacto sobre la privacidad cuando se lleven a cabo tratamientos en gran escala de datos de salud.

Esta evaluación debería incluir una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas previstas para hacer frente a los riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la conformidad con la normativa de protección de datos. En este sentido, la Agencia Española de Protección de Datos ha publicado recientemente una "Guía para una evaluación impacto en la protección de datos". [1]

En síntesis, por lo que se desprende de los diferentes documentos aportados, el mapa del Proyecto VISC+ es el siguiente:

La constitución de un encargo del tratamiento (artículo 12 LOPD) entre el Departamento de Salud, el Servicio Catalán de la Salud (CatSalut) y el Instituto Catalán de la Salud (ICS), como responsables de los ficheros de datos implicados en el Proyecto, y la entidad, como prestador de servicios y encargado del tratamiento, que debe permitir que la entidad proceda a anonimizar la información para que el Adjudicatario, a quien se le comunicaría la información, la facilite a terceros (clientes o usuarios finales).

También se prevé que la entidad pueda ceder directamente a terceros datos personales no anonimizadas, previa comprobación, por parte de la entidad, que el cesionario dispone de los consentimientos correspondientes de los afectados y de una auditoría de cumplimiento de la LOPD.

El Adjudicatario deberá encargarse de definir, construir y poner en marcha un catálogo de servicios útil, eficiente, competitivo e innovador, y contrastar las necesidades del mercado y los clientes finales del proyecto, así como de definir un plan de difusión y de comercialización, canalizando de manera adecuada la demanda del mercado nacional e internacional. También deberá ejecutar otros proyectos o iniciativas relacionadas con VISC+, y deberá de crear un centro de competencia en analítica en datos de salud, las funciones y composición se describen en el apartado 3.4.1 del DT. El Proyecto articula un doble procedimiento de cesión de datos personales:
  • Procedimiento para la cesión de datos anonimizados de salud al Adjudicatario para investigación médica y evaluación (punto 1 del Documento "Procedimiento para la cesión de datos (...) ", que a su vez facilitaría los datos a los clientes finales.
  • Procedimiento para la cesión de datos de salud no anonimizadas para investigación médica y evaluación al usuario final (punto 2 del mismo Documento). Este segundo procedimiento tiene la particularidad de que los datos serían cedidos directamente el usuario final por parte de la entidad.

Si bien no todos (pues también se prevé tratar ficheros tales como el Registro sanitario de empresas e industrias, o el Registro de personal docente, a modo de ejemplo), la mayoría los ficheros afectados por el Proyecto VISC+ contienen datos de salud. Si nos atenemos al alcance de los datos que la entidad prevé poner a disposición del Adjudicatario tan inicialmente como en incorporaciones futuras (punto 2.2.2 del DT) es claro que los datos de salud conforman la principal fuente de información del Proyecto analizado.

La LOPD establece un régimen de protección reforzado en relación con determinadas tipologías de datos personales, entre otros, los datos de salud, entendiendo por tales las informaciones que conciernen la salud pasada, presente y futura, física o mental, de un individuo, así como las referidas a su porcentaje de discapacidad ya su información genética (artículo 5.1.g) RLOPD), que se traduce en una serie de garantías (artículos 7 y 8 de la LOPD) y la exigencia de la aplicación de medidas de seguridad de nivel alto (art. 81 RLOPD).

Dado que el Proyecto VISC+ tiene como objetivo desarrollar un modelo de gestión que permita dar valor a la información que genera el sistema sanitario catalán, en la medida que ello implicará, principalmente, el tratamiento de datos de salud, habrá que atender a este régimen de protección previsto en el LOPD para los datos sensibles, y las previsiones de la normativa sectorial aplicable. Los datos que conforman la HC se recogen para realizar el tratamiento médico que requiere el paciente, principalmente y, en su caso, para de otros usos o finalidades, previstos en la normativa específica, en concreto, la Ley 41/2002, de 14 de noviembre, estatal, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, que regula con carácter básico determinadas cuestiones relativas a la HC y los derechos de los pacientes, así como, en el ámbito de Cataluña, la Ley 21/2000, de 29 de diciembre, sobre los derechos de información concerniente a la salud y la autonomía del paciente, y la documentación clínica. De acuerdo con esta normativa para tratar los datos que constan en la HC, será necesario el consentimiento de su titular, salvo que concurra alguna de las excepciones previstas en la ley o que se anonimice la información (artículos 16.3 de la Ley 41/2002 y 11.3 de la Ley 21/2000).

IV

4. Sobre la información que se tratará en el proyecto VISC+

Desde la perspectiva de la protección de datos hay que partir de la base de que la recogida y el posterior tratamiento de datos personales debe dar cumplimiento a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y el Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la Ley Orgánica (LOPD y RLOPD). El artículo 4.1 de la LOPD recoge el principio de calidad de los datos, que en su vertiente de proporcionalidad, establece lo siguiente:

"1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlas a dicho trataVmiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se han obtenido”.

Este principio de proporcionalidad en un proyecto como el que nos ocupa desplegará sus efectos tanto desde el punto de vista de los ficheros que deben formar parte del proyecto, como de la información que se podrá comunicar a los clientes finales.

En cuanto a los ficheros afectados por el Proyecto VISC+, según lo descrito en el documento relativo al encargo de servicios, son ficheros responsabilidad del Departamento de Salud (19 ficheros), del CATSALUT (10 ficheros) y el ICS (3 ficheros), que la entidad podrá tratar en base a un contrato de encargo del tratamiento al que nos referiremos más adelante. También se explicita, en el Documento relativo al encargo del tratamiento - "Encargo de servicios de anonimización (...)" -, determinados ficheros que quedan fuera el alcance del proyecto.

Ahora bien, hay que hacer notar que según el apartado 2.2.2 del DT, la entidad pondrá a disposición del Adjudicatario "toda la información anonimizada" que se genere en el SISCAT. Hay pues una discordancia que debería llevar a rectificar el apartado 2.2.2.

En cualquier caso, con respecto a los ficheros afectados, hay que valorar positivamente que, a pesar el gran número de ficheros mencionados en el Documento de encargo de servicios de anonimización, el DT prevea un "alcance inicial" limitado de los datos que estarán disponibles en un primer momento del Proyecto (apartado 2.2.2.1 del DT). En esta línea del apartado 5.2.1 del DT prevé que "En la Fase 1 del proyecto se consensuarán qué fuentes de datos, de entre las incluidas en el alcance inicial, se pondrán a disposición del Adjudicatario una vez se haya construido y validado el proceso de anonimización de acuerdo con el modelo de seguridad (...)". De ello parece poder inferirse que, en atención a resultados que se puedan obtener inicialmente, la incorporación de nuevos ficheros y de nuevas datos tendrá en cuenta la experiencia adquirida a la hora de valorar su viabilidad y la proporcionalidad.

Pero este principio, además de regir en el momento de la puesta a disposición de la entidad de los ficheros afectados, hay que tener presente también en el momento de la comunicación de los datos concretos necesarios para los fines que pretendan llevar a cabo los clientes finales. Especialmente si se trata de datos personales, pero también si se trata de datos anonimizados.

La información entregada a los clientes finales sería, en buena parte, datos de salud de los afectados, contenidas en la HC - o datos anonimizados obtenidos a partir de las mismas-. Desde la perspectiva del principio de calidad, hay que tener en cuenta que el contenido de la HC, definido en la normativa (fundamentalmente artículo 15.2 Ley 41/2002, y artículo 10 Ley 21/2000) es amplio, por lo que se contienen datos sensibles, informes relativos al paciente, y otros que pueden dar información de terceras personas, como los antecedentes familiares. Teniendo en cuenta esto, cuando se lleve a cabo la cesión y cuando articule el correspondiente consentimiento informado, hay que limitar la cesión de datos sólo en las que sean relevantes a los efectos del estudio o investigación que se quiera llevar a cabo por parte del cliente final.

Esto, que es esencial en el caso de los datos personales no anonimizadas, es relevante también para el caso de los datos anonimizados, porque no hay que perder de vista que en el entorno del big data el cruce de información obtenida de orígenes diversos, incluso todo si ha sido anonimizada puede acabar haciendo identificable una persona. Por ello, para intentar reducir en estos casos los riesgos de re-identificación también sería necesario limitar los datos comunicados a las mínimas indispensables para alcanzar la finalidad pretendida por el cliente final. Y dentro de los datos anonimizados, es todavía más relevante en aquellas que se ofrecen en abierto. Por ello, dados los riesgos inherentes, hay que ser muy restrictivo con la información de salud que se ofrezca en abierto, a menos que se ofrezca con niveles de agregación sobradamente amplios.

Cuando el apartado 3.2.1 del DT se refiere a los datos abiertos no se concreta cuáles serán estos datos ni los criterios y el procedimiento que se seguirán para decidir qué datos deberán estar accesibles en abierto. Sería conveniente que ya desde esta fase de diseño del proyecto se aclararan estos extremos.

En cualquier caso, este es el único supuesto (servicios de datos abiertos) en el que el DT examinado explicita que se trabajará con "datos anonimizadas", mientras que en la resto de servicios identificados no se explicita si los clientes finales podrían recibir y tratar información anonimizada o datos personales no anonimizados.

El principio de minimización en el tratamiento de los datos personales, del que se deriva que si una finalidad se puede lograr sin necesidad de tratar datos personales, se ha de optar por esta posibilidad, debería incorporarse de una forma más visible en el proyecto, por lo que -con independencia de que se pueda lograr el consentimiento de las personas afectadas- sólo se base un determinado tratamiento en información de personas identificadas en aquellos casos que resulte imprescindible.

Cabe acotar en qué casos puede ser, no ya necesario, sino imprescindible, trabajar con datos no anonimizados. Como se ha visto, el proyecto se refiere a la comercialización de informes de diversa naturaleza, en relación con algunos de los cuales sólo se menciona que responden "a necesidades específicas" del solicitante, sin más concreción, respeto que tipo y volumen de información agregada o no agregada pueden requerir.

V

5. Sobre la finalidad del tratamiento

Como hemos visto, el artículo 4.1 prevé que la información sólo puede tratarse "en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se han obtenido".

Y además, el apartado 2 del mismo artículo 4 añade:

“2. Los datos de carácter personal objeto de tratamiento no se pueden utilizar para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considera incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. (...)”.

 Estas previsiones conforman lo que se denomina principio de finalidad en la normativa de protección de datos de carácter personal. En la documentación aportada se hace mención a que el objetivo del Proyecto es dar valor a la información generada por el sistema sanitario catalán. Más en concreto, se hace referencia a el fin de "investigación médica y evaluación" (Documento de encargo de servicios, Documento de Procedimiento de cesión de datos, y DT). Ahora bien, con respecto a las finalidades concretas para las que los clientes finales pueden solicitar los datos, hay alguna discordancia:

En el Anexo 1 del DT, referido al "Modelo de seguridad, disponibilidad y uso de los datos", expone lo siguiente: "El Adjudicatario sólo podrá utilizar los datos, ya sean personales como anonimizadas, por alguna de las siguientes finalidades: estudios de investigación médica, estudios de epidemiología, docencia, asistencia sanitaria, administración y gestión de centros sanitarios, inspección por parte de la administración sanitaria, gestión sanitaria para la administración sanitaria o estadística oficial declarada al Plan Estadístico". Y esto parece que abarcaría tanto los supuestos de datos abiertas como los otros en los que se solicite la información para el usuario final, según las diferentes modalidades previstas.

También en el Documento "Procedimiento para la cesión de datos personales (...)", en el apartado 1.3.1 "Supervisión de las solicitudes de los usuarios al Adjudicatario", y en el apartado 2 relativo a la cesión de datos no anonimizadas, se hace una referencia general a todas las finalidades de uso de la HC análoga en el Anexo 1 del DT.

En cambio, en los encabezamientos de los apartados relativos a los procedimientos 1 y 2 se hace referencia sólo a "investigación médica y evaluación". Y en el Documento de encargo de servicios de anonimización, que se adjunta, y al que luego nos referiremos con más detalle, se prevé que la finalidad del servicio es la "Gestión sanitaria por la administración sanitaria; Estudios de epidemiología; Investigación ".

Es decir, se constata que las referencias a los fines del proyecto no siempre coinciden en los diferentes apartados de la documentación aportada. Así, se hace una referencia, en algunos documentos, acotada a la investigación médica y evaluación, y en unos otros, en la práctica totalidad de las finalidades descritas en la normativa sectorial para los datos de la HC.

Aparte de eso, hay que hacer notar dos precisiones:

El Anexo 1 del DT se refiere a que "el Adjudicatario sólo podrá utilizar los datos ..." con alguna de estas finalidades. En realidad sin embargo, el uso principal que haga el adjudicatario no parece que vaya a ser el mismo, sino ponerlas a disposición de terceros según las diferentes modalidades previstas, para que sean estos quienes lleven a cabo estos fines.

Por otra parte, en el caso de que el cliente final solicite los datos, se puede comprobar en este trámite la finalidad prevista, para que encaje en alguna de estas finalidades. Pero en cambio, cuando se trate de datos abiertos, el análisis de la finalidad hay que hacerlo en el momento de su previa puesta a disposición y, en consecuencia, limitar la publicación de datos en abierto a aquellos que desde el punto de vista de los fines mencionados resulten imprescindibles.

En segundo lugar, según la documentación aportada, las finalidades del tratamiento de datos en el contexto del Proyecto VISC+ abarcan desde la asistencia sanitaria (artículo 11.1 Ley 21/2000), en funciones de inspección (artículo 11.5 Ley 21/2000), en tareas de administración de centros sanitarios (artículo 11.4 Ley 21/2000), ya fines epidemiológicos y de investigación o docencia (artículo 11.3 Ley 21/2000). Si nos atenemos a las previsiones de la normativa sectorial (Leyes 41/2002 y 21/2000), algunas de estas finalidades pueden no requerir el consentimiento de los titulares, mientras que otros (principalmente, a los efectos que nos ocupan, la finalidad de investigación o investigación médica), requieren ineludiblemente del consentimiento de los afectados a menos que se proceda a la anonimización, en unos términos que aseguren la protección de la privacidad de los afectados.

Por eso hay que recordar que resultan confusas algunas de las previsiones de la documentación aportada, en el sentido de que no queda claro si el tratamiento de datos personales del Proyecto VISC+ debe tener por finalidad, principalmente o, incluso, únicamente, la investigación o "investigación médica" (como parecería deducirse de algunos de los Documentos citados), o si se puede producir un tratamiento y cesión a los "clientes finales" para, en definitiva, la práctica totalidad de los fines o usos de la HC descritos en el artículo 11 de la Ley 21/2000 (y artículo 16 de la Ley 21/2000). Tampoco queda clara cuál es la finalidad de "evaluación" a que se refieren algunos de los documentos aportados, como ha quedado dicho. En relación con esta finalidad de evaluación, se recomienda que se concrete la referencia, en atención a los usos de la HC previstos en la Ley 21/2000.

Habría que explicitar, en la medida de lo posible, que los "clientes finales" sólo podrán tratar la información personal (singularmente, información no anonimizada) necesaria, en atención a la finalidad para la que la hayan solicitado, y teniendo en cuenta las limitaciones que puedan derivarse de la normativa aplicable.

En este sentido, hay que recordar que se echa en falta, en el conjunto de documentación aportada, una conexión clara entre "cliente final", la finalidad a cumplir, la concreción de la información a la que podría tener acceso, y si esta información debe ser anonimizada o puede conllevar una cesión de datos personales. Al respecto, hay que hacer notar que en el DT se identifican una serie de servicios o productos, que, a propuesta de la entidad, el Adjudicatario deberá configurar. En concreto:
  • Servicios de datos abiertos: publicación sin coste de subset (subconjuntos) de datos anonimizados.
  • Servicios de datos no abiertos: comercialización de subset de datos para una finalidad de investigación concreta. Se destinan a usuarios que dispongan de subvenciones, fondos competitivos o que hayan pasado un Comité ético de investigación.
  • Servicios de licenciamiento, por explotación y análisis de los datos incluidos en el alcance del contrato. Servicios de informes estándar: comercialización de informes de análisis y evaluación, basados ​​en los datos incluidos en el alcance del presente contrato.
  • Servicios de informes ad-hoc, adaptados a necesidades específicas del solicitante.
  • Servicios de optimización de la gestión de servicios sanitarios o de práctica clínica.
  • Otros servicios Ad-hoc.

De entrada, se prevén servicios de datos abiertos ("open data"), es decir, subconjuntos de datos que se ponen libremente a disposición de todos para su reutilización tanto para fines comerciales como no comerciales (según definición de la Comunicación de la Comisión Europea COM (2014) 442 final, "Hacia una economía de los datos próspera").

En este contexto, y con la evolución que se está produciendo en el ámbito del Big Data, en función del volumen de datos que sean puestas a disposición de cualquier persona (Apartado 3.2.2 del DT se refiere tanto a ciudadanos como industria o instituciones privadas en el ámbito de las ciencias de la vida, pero en realidad puede ser cualquier persona o empresa) y según la forma como se ofrezcan, la posibilidad de que la combinación de esta información con informaciones obtenidas de otras fuentes pueda acabar haciendo identificables personas no se puede descartar. Por eso hay que tener especialmente en cuenta que no se produzca un riesgo para la privacidad de los afectados, como se ha puesto de manifiesto, entre otras, en la Comunicación de la Comisión, sobre "Datos abiertos. Un motor para la innovación, el crecimiento y la gobernanza transparente "(COM (2011) 882 final).

A esto hay que añadir la amplia tipología de clientes identificados en el Proyecto (apartado 3.2.2 "Gestión de clientes", del DT), que incluyen agentes del sistema sanitario integral de utilización pública de Cataluña (SISCAT); investigadores; industria o instituciones privadas en el ámbito de las ciencias de la vida; ciudadanía (personas físicas, asociaciones de ciudadanos, de pacientes, empresas especializadas o con interés en el uso y re-uso de los datos, y "otros destinatarios".

Como ha hecho saber esta Autoridad en anteriores ocasiones, entre otros, en el Informe 3/2014, relativo al Proyecto de Decreto de modificación del Decreto 67/2010 -que se puede consultar en la web www.apd.cat , la exigencia de legitimidad, presente en relación con cualquier tratamiento de datos, debe ser más estricta en casos en que se prevé el tratamiento de datos sensibles, como es el caso que nos ocupa.

A modo de ejemplo, teniendo en cuenta la normativa aplicable, los usos y finalidades de la HC, y vista la tipología de clientes finales de la información a tratar, que puede ser, insistimos, según el Proyecto, información personal no anonimizada, desde la perspectiva de la protección de datos y de los usos admitidos para la HC, puede ser difícilmente asumible que una asociación de ciudadanos o determinadas empresas, tengan que acceder a través del Proyecto, a información personal sensible no anonimizada, independientemente que se vehicule a través del consentimiento. Por el contrario, si los clientes finales son investigadores y requieren los datos para fines de investigación (artículo 11.3 Ley 21/2000), en algunos casos sí podría ser necesario acceder y tratar información no anonimizada, si se dispone de los necesarios consentimientos, si bien, en otros casos, se podrá llevar a cabo la investigación con información agregada.

Por el contrario, la normativa prevé determinadas finalidades que deben permitir el acceso a información contenida en la HC, sin consentimiento. A modo de ejemplo, según el artículo 11.5 de la Ley 21/2000, se prevé el acceso a las HC para funciones de inspección, acotado al personal al servicio de la Administración sanitaria.

Por todo ello, dada la casuística amplia y diversa que se puede dar en relación con los clientes potenciales, las finalidades previstas, los servicios identificados, y los ficheros que serían fuente de información en el contexto del Proyecto VISC+, y sin perjuicio de que en la Documentación aportada se haga referencia a la necesidad de consentimiento de los afectados en determinados supuestos, desde la perspectiva de la protección de datos, sería conveniente una mayor claridad y concreción en el Proyecto VISC+, respecto cuáles servicios y tipologías de clientes pueden llegar a requerir la utilización de información personal sensible no anonimizada, y cuáles no, y para qué finalidad concreta.

VI

6. Régimen de comunicación de datos personales

En cuanto al régimen de comunicación de datos personales, el artículo 11 de la LOPD dispone lo siguiente:

"1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será necesario: a) Cuando la cesión está autorizada en una ley. (...)".

 El artículo 11.6 LOPD, por su parte, establece que si la comunicación se produce previo procedimiento de disociación, no será de aplicación lo establecido en los apartados anteriores. Como se ha apuntado, el Proyecto VISC+ enmarcaría principalmente en el fin de investigación, si bien la documentación aportada hace referencia, también, a otros fines. Dado que la información objeto de tratamiento (incluida en los diferentes ficheros descritos) es información sensible, y puede provenir en buena parte de la HC, a los efectos de la previsión de el artículo 11.2.a) LOPD hay que tener en cuenta las previsiones de la normativa sectorial.

Según disponen los artículos 16.3 de la Ley 41/2002, y 11.3 de la Ley 21/2000, el acceso la HC con fines de investigación, entre otros, requiere el consentimiento expreso los titulares a menos que los datos se traten de forma anonimizada en los términos previstos en la normativa citada (Ley 41/2002 y Ley 21/2000).

El Proyecto VISC+ conlleva, en parte, el acceso de los clientes finales a datos anonimizados -apartado 1. del Documento "Procedimiento para la cesión de datos (...)" -. Ahora bien, también se prevé la cesión al usuario final de datos personales de salud que no han sido anonimizadas para investigación médica y evaluación. En este último supuesto será necesario disponer del consentimiento informado de los titulares de los datos, por aplicación de la normativa sectorial citada.

El artículo 5.1.d) del RLOPD define el consentimiento como "cualquier manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen”.

En relación, concretamente, con la cesión de datos personales, el artículo 12.2 del RLOPD dispone que:

"Cuando se solicite el consentimiento del afectado para la cesión de sus datos, debe ser informado de forma que conozca inequívocamente la finalidad a que se destinan las datos respecto de la comunicación de las cuales se solicita el consentimiento y el tipo de actividad que lleva a cabo el cesionario. En caso contrario, el consentimiento es nulo".

Según dispone el artículo 11.3 de la LOPD:

"Es nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se proporcione al interesado no le permita conocer la finalidad a que destinan los datos la comunicación de las cuales se autoriza o el tipo de actividad del receptor de la comunicación".

Con respecto, en cambio, a la cesión de datos sin ningún dato que permita la identificación del afectado, se trataría de una cesión de datos anonimizados, que ya no requeriría del consentimiento de los afectados, dada la previsión de los artículos 11.6 LOPD, 16.3 de la Ley 41/2002 y 11.3 de la Ley 21/2000, citadas. Por aplicación de las leyes citadas de autonomía del paciente, la anonimización de los datos de la HC habilita la comunicación de la información para fines de investigación o búsqueda, por lo que, estrictamente, el consentimiento del paciente ya no sería necesario.

En este punto, recordemos que el Considerando 26 de la Directiva 95/46 / CE, de protección de datos personales, dispone que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable, y añade que, para determinar si una persona es identificable hay que considerar el conjunto de los medios que pueda utilizar razonablemente el responsable del tratamiento o cualquier otra persona, para identificar esta persona; que los principios de la protección no aplicarán a aquellas datos hechos anónimas de manera que ya no sea posible identificar al interesado.

Según el artículo 2.a) de la Directiva citada, son "datos personales" toda información sobre una persona física identificada o identificable, y se considera identificable toda persona la identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

Ya avanzamos que el procedimiento de disociación de la información de salud que se pueda contener en los ficheros afectados por el Proyecto VISC+, entendido como "cualquier tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a una persona identificada o identificable " (art. 3.f) LOPD) deberá ser adecuado, a fin de asegurar que se ceden "datos disociados" (art. 5.1.e) RLOPD), es decir, datos que no permiten la identificación del afectado.

 Por eso no parece que pueda ser admisible una previsión como la contenida en el apartado 3.2.3 del DT. En la página 15 de este documento se afirma lo siguiente:

"En caso de que la petición del cliente se corresponda al acceso a un volumen de datos anonimizadas que implique un riesgo de desanonimización / personalización de estas datos, será necesario que (la entidad), a través del comité de dirección, evalúe y autorice esta solicitud para dar cumplimiento a la LOPD”.

En caso de que exista el riesgo que se menciona en este párrafo no parece que el comité de dirección pueda autorizar la petición. Si existe un riesgo de re-identificación, habrá que denegar la solicitud o introducir las garantías suficientes para hacer desaparecer este riesgo. Observación ésta que se puede trasladar también al apartado1.3.2 del Documento relativo al procedimiento, donde se recoge esta previsión (pág. 7).

Estas mismas consideraciones son extensibles a la posibilidad prevista en el apartado "Disponibilidad de los datos" del Anexo 1, en el que se requeriría autorización de la entidad así como justificación por el adjudicatario que la petición se corresponde a una necesidad concreta.

Sin perjuicio de las consideraciones que se puedan hacer más adelante, en relación con los procedimientos de disociación o anonimización que deban llevarse a cabo en el contexto del Proyecto VISC+, resultan de especial interés el Dictamen del Grupo de Trabajo del Artículo 29 (GTA29), 6/2013, sobre datos abiertos y reutilización de la información del sector público (ISP), de 5 de junio de 2013, así como el Dictamen 5/2014, del GTA29, sobre técnicas de anonimización, de 10 de abril de 2014.

Hechas estas consideraciones generales, a continuación se hará referencia específica a diversas previsiones de la Documentación aportada, relativa al Proyecto VISC+.

VII

7. Responsabilidad y propiedad de la información

En relación con el alcance del contrato (apartado 5 del DA), se prevé que el Adjudicatario ostentará sobre la información tratada un derecho de uso, tratamiento, agregación y explotación vinculado a la comercialización de los productos y servicios VISC+, y que el Adjudicatario "no ostenta la propiedad ni ningún derecho ilimitado sobre los datos, siendo responsable ante ésta, las autoridades competentes y terceros del cumplimiento de la normativa aplicable al tratamiento de datos de carácter personal”.

A efectos de claridad, y para dejar constancia de que las posibles responsabilidades del adjudicatario en relación con el tratamiento de datos personales no desvirtúa las que correspondan a la entidad o a los diferentes responsables (artículo 3.d) LOPD) de los ficheros de datos (artículo 3.b) LOPD) que son fuente de origen de la información tratada, sería bueno añadir una referencia a que la responsabilidad del Adjudicatario es sin perjuicio de la que pueda corresponder a la entidad o los responsables de dichos ficheros.

En cualquier caso, vistas las menciones hechas a la propiedad sobre los datos (en este apartado 5 del DA, entre otros), conviene recordar que la titularidad de un dato personal (No la propiedad), corresponde siempre a la persona física [artículo 3.e) LOPD].

Por otra parte, la cláusula 39 del DA se refiere, en el acceso a " datos de (la entidad) ".Sería más claro referirse a las "datos que (la entidad) cede al Adjudicatario", pues lasdatos personales, anonimizadas o no, puedan ser objeto de cesión a los efectos de cumplimiento del contrato, no son, desde la perspectiva de la LOPD, de la entidad, sino que su titularidad pertenece siempre a la persona física afectada. Hacemos extensiva esta consideración al resto de menciones, de la cláusula 39, en datos de la entidad y del Departamento de Salud, en el sentido de que sería más ajustado a la LOPD referirse a los datos de los ficheros responsabilidad de la entidad o del Departamento de Salud o, en su caso, de ficheros de otros responsables.

Similares consideraciones pueden hacerse con respecto a las referencias contenidas en la cláusula 21.1 del DA en la titularidad de las bases de datos, los conjuntos o subconjuntos de datos o el 21.2 en cuanto a la titularidad de los datos relativos a los contactos y los clientes del Adjudicatario.

Por otra parte, dicha cláusula 21 también prevé que, con respecto a los datos de los contactos y clientes del Adjudicatario, éste garantiza que dispone de las correspondientes autorizaciones para llevar a cabo la cesión, que se realizará de conformidad con la normativa de protección de datos personales. Si bien se valora positivamente la mención que ésta se produciría de acuerdo con el LOPD, no parece claro de qué cesión se trataría.

VIII

8. Deber de confidencialidad

Según la documentación aportada, el objeto del contrato de colaboración público privada para desarrollar el Proyecto VISC+ consistirá en poner en valor las datos generados por el sistema público catalán, "mediante el tratamiento, el análisis y la explotación de estos datos, previamente anonimizadas, garantizando en todo momento el cumplimiento de la normativa en materia de protección y tratamiento de datos (...) " (Apartado 4 del DA). Se añade que " la puesta a disposición del Adjudicatario de esta información y datos se producirá de forma anonimizada, en los términos y condiciones descritos en el DT de solución final "(apartado 5. DA).

En este sentido, la cláusula 39 del DA hace referencia al "Deber de confidencialidad y protección de datos ", y obliga al Adjudicatario a mantener absoluta confidencialidad y reserva sobre cualquier dato que pudiera conocer con ocasión del cumplimiento del contrato incluyendo una remisión a la LOPD. Sin perjuicio de que esta remisión al LOPD resulte adecuado, convendría hacer referencia en concreto al artículo 10 de la LOPD, que prevé el deber de secreto en el tratamiento de datos personales.

Dicho esto, la cláusula 39 continúa exponiendo que "la puesta a disposición del Adjudicatario de los datos se producirá de forma anonimizada, por lo que los datos tendrán la condición de disociadas al no permitir la identificación de los afectados o interesados. En este sentido, la prestación de los servicios no supone en ningún caso el acceso a datos personales de (la entidad) y del Departamento de Salud, por el personal puesto a disposición por parte del Adjudicatario, comprometiéndose éste a no acceder en ningún momento en virtud de la ejecución del contrato a datos de carácter personal titularidad de (la entidad) ni del Departamento de Salud, ni tratar ningún tipo de dato de carácter personal a la hora de ejercer sus funciones”.

Sin perjuicio de las consideraciones que se harán a continuación respecto al proceso de anonimización y el flujo informativo entre la entidad y el Adjudicatario, conviene señalar que difícilmente el Adjudicatario podrá ejercer sus funciones sin "tratar ningún tipo de dato de carácter personal". Por ello, habría que ceñirse esta afirmación en los datos facilitados por la entidad. Pero es que además, en otros apartados (p. Ej. En el apartado "servicios prestar "del Anexo 1) no parece que se pueda descartar que en algunos casos el Adjudicatario tenga acceso a datos personales, ya que por ejemplo en este Anexo 1 se prevé que en la ejecución del proceso de anonimización del Adjudicatario participe en la verificación de la anonimización o que la entidad pueda requerir el apoyo del Adjudicatario.

Por otra parte, en esta misma cláusula, en el subapartado titulado "Respecto de la información confidencial "se hace referencia a que tendrá el carácter de confidencial la información revelada por la entidad "por escrito o cualquier otro soporte que garantice la su recepción ". Hay que decir que, de acuerdo con el artículo 10 de la LOPD el carácter de confidencial debe predicarse de cualquier dato de carácter personal, con independencia de la forma o el soporte en que se haya enviado.

IX

9. Niveles de aprobación y gestión de la demanda

El DT, en el apartado 3.2.3 "Gestión de la demanda", prevé tres niveles de aprobación delas peticiones de los clientes finales, atendiendo, entre otros, al cliente que solicita el servicio, los objetivos por los que se solicita, si la petición requiere incorporar nuevas fuentes de información, o en atención a la cuantía económica del servicio, entre otros.

9.1. Nivel 1 de aprobación

El Nivel 1 de aprobación se refiere a clientes calificados como de bajo riesgo (los tres responsables de los ficheros implicados en el Proyecto, citados, agentes del SISCAT, la propia entidad, investigadores y centros de investigación, e industria o instituciones privadas en el ámbito de las ciencias de la vida y la salud). La solicitud, en estos casos, queda pre- aprobada, sin perjuicio de que se pueda denegar y pasar a un nivel 2 o 3 de gestión. Un los elementos a tener en cuenta en este nivel, para acceder a la solicitud del cliente, es que la petición de información esté alineada y sea proporcional al objetivo perseguido.

Esta proporcionalidad predicada en el texto respecto del objetivo perseguido, habría ponerla en relación no sólo con el objetivo que se persiga, sino también en los eventuales riesgos o perjuicios que se puedan causar en los derechos de las personas afectadas, y en concreto del derecho a la protección de datos de carácter personal.

En cuanto a la consideración de clientes de bajo riesgo, el amplio número y categorías de éstos no permite inferir que todos ellos deban tener acceso a toda la información solicitada. Como se ha hecho saber anteriormente, esto sólo se puede decidir valorando la información solicitada (cuantitativa y cualitativamente), la habilitación legal para hacerlo, si procede, y la finalidad pretendida.

9.2. Nivel 2 de aprobación

En la misma línea, con respecto al Nivel 2 de aprobación, también habría que explicitar que en evaluar la solicitud se tendrá en cuenta las exigencias de la normativa de protección de datos. En este nivel se evalúan las solicitudes de los mismos clientes que en el Nivel 1, pero se trata de peticiones "que para ser entregadas se requiere incorporar nuevas fuentes de datos (no disponibles en el momento de hacer la petición) o realizar un tratamiento específico de los datos ya disponibles". A los efectos que nos ocupan, una petición de nuevos datos obligará a examinar su pertenencia atendiendo a los principios de calidad y de finalidad. Aparte de eso, no resulta claro cuál puede ser este tratamiento específico, ni las implicaciones que esto puede tener para la protección de datos. Convendría, pues, aclarar estos extremos.

9.3. Nivel 3 de aprobación

En cuanto al Nivel 3 de aprobación, se reserva para las solicitudes relacionadas con la realización de un ensayo clínico, con proyectos de investigación que conllevan algún riesgo físico o psicológico para un ser humano, o en los que hay consentimiento informado asociado a la petición.

Según el DT, en estos casos, y los que se prevean según la normativa, el Adjudicatario deberá comprobar que el solicitante acompañe la petición con consentimientos necesarios y la aprobación correspondiente para realizar el estudio por parte de un CEIC, que haya tenido en cuenta que se obtendrán datos o información provenientes de VISC+.

En cuanto a la descripción de este Nivel 3, el hecho de que se mencione la concurrencia de consentimiento informado asociado a la petición, permitiría deducir que se está refiriendo a aquellos casos en que la cesión de datos se producirá sin anonimización previa de la información. A sensu contrario, también se podría inferir de esto que los Niveles 1 y 2, en el que no hay ninguna mención al consentimiento informado, se reservan para las cesiones de datos anonimizadas.

Ahora bien, desde la perspectiva de la protección de datos, hay que recordar que debería especificar, en términos bastante claros, la vinculación entre cada nivel y la posibilidad de ceder datos anonimizados o datos personales. Ya se ha puesto de manifiesto que en el contexto del Proyecto VISC+ la comunicación de datos anonimizados en origen presenta un menor riesgo potencial para la protección de datos, y se debería priorizar en frente de cesiones de datos de salud no anonimizadas, que debería ser excepcional.

Esta excepcionalidad, justificada en los principios de calidad -en la vertiente de proporcionalidad y minimización, y de finalidad, debería quedar explicitada en la información que se refiere a los 3 Niveles de autorización referidos. Es decir, habría que explicitar que todos aquellos casos en que se prevea que el cliente final tiene que acceder y tratar datos sin anonimizar, deberán ser validados en atención a los principios y obligaciones de la normativa de protección de datos, y quedarán sometidos al Nivel 3 de aprobación.

Nuevamente hay que reiterar que, sin descartar que en algunos casos determinados clientes finales pueden requerir una cesión de datos de salud junto con datos de identificación del paciente, esta posibilidad no debería ser la norma general, sino sólo fruto de una evaluación que tenga especialmente en cuenta los riesgos potenciales desde la perspectiva de la protección de datos.

X

10. Procedimiento técnico de anonimización

El Anexo 1 del DT y el anexo 3 del documento relativo al procedimiento, describen el proceso de anonimización que debe llevarse a cabo. En concreto, se prevé en primer lugar eliminar la información identificativa de personas físicas (datos identificativos y "información genética "), y también eliminar o reducir al mínimo imprescindible el detalle de la información o otras variables que puedan dar lugar a identificaciones indirectos.

Parecería en un principio que la actuación del adjudicatario no debe comportar el acceso a datos de carácter personal, dado que la información que se le enviaría, sería información anonimizada previamente. Así se desprende de la página 1 del documento relativo al procedimiento de cesión, y también de la cláusula 39 del DA. Sin embargo, hay diferentes previsiones en el Anexo 1 del DT que parecen apuntar lo contrario. Así encontramos diferentes referencias que podrían conllevar el tratamiento de datos personales por el adjudicatario:
  • En el apartado "Proceso de anonimización: se afirma que el adjudicatario participa en proceso de verificación de la anonimización.
  • En el apartado "Servicios a prestar" se afirma que la entidad podrá requerir el apoyo del adjudicatario en el proceso de anonimización.
  • En el apartado "Ubicación de los datos" se afirma que puede haber datos que permitan la identificación indirecta.

Igualmente en el apartado 2.2.2.1 del DT se manifiesta que se entregará al adjudicatario una muestra representativa de estas fuentes de datos, a fin de que el adjudicatario diseñe catálogo de servicios, el proceso de comercialización y el proceso de anonimización.

Siendo así, en la relación jurídica que se establezca entre la entidad y el Adjudicatario, habría recoger de forma expresa las cláusulas previstas en el artículo 12.2 LOPD, en configurarse el adjudicatario como un encargado del tratamiento. En cambio, en el apartado 1.3 del documento relativo al procedimiento no se encuentra ninguna referencia a esta cuestión.

Respecto las variables a eliminar, en atención a la finalidad, se podría valorar eliminar también la información sobre el centro sanitario, en línea con la previsión de anonimizar, si caso, el dato sobre el profesionales sanitarios que atienden a un paciente.

El Anexo 3 citado prevé que se establezca un "código anónimo de la persona". Se prevé que la entidad facilitará los datos estructurados ya anonimizadas al Adjudicatario utilizando, por a una misma persona, un mismo código anónimo de persona para permitir relacionar los diferentes conjuntos de datos. A esto se añade que "El Adjudicatario deberá de utilizar un sistema de anonimización diferente para cada entidad jurídica usuario final. El Adjudicatario deberá aplicar un segundo proceso sobre el código de caso anónimo que facilite (La entidad) para que cada entidad jurídica usuario diferente tenga un código de caso anónimo calculado de forma diferente”.

 El Anexo 3 del Documento de "Procedimiento para la cesión de datos (...)", en línea conel Anexo 1 del DT, añade información relativa al algoritmo de cálculo que aplicaría la entidad para calcular el código anónimo de persona, a la que nos remitimos. En línea con el que se ha apuntado, se prevé la eliminación de identificaciones directas (eliminar los datos identificativos de personas físicas Pacientes, profesionales sanitarios, etc.-) y también las identificaciones indirectos, tales como, a modo de ejemplo, sustituir la fecha de nacimiento para al año, o la altura y el peso por rangos de la altura y peso. Por último, se prevé en este documento informar sobre riesgos de identificaciones directos o indirectos, y sobre riesgos derivados de la excesiva información sobre un mismo afectado, sobre códigos anónimos mal calculados, o sobre la revelación de la clave de cifrado. En este punto hacemos extensiva consideración anterior sobre la eliminación, si procede, de información sobre el centro sanitario, si no es relevante para la finalidad pretendida.

Se valora positivamente que en el Documento "Procedimiento para la cesión de datos (...) ", en el apartado 1.3.3 "Supervisión de la formalización del contrato", se prevé que la entidad podrá supervisar en todo momento los contratos que se formalicen con usuarios finales, y que comprobará "que en los contratos se indique que se aplicará una transformación del código anónimo de persona para obtener un código de caso específico y diferenciado para cada usuario final".

Desde la perspectiva de la protección de datos, y de las exigencias referidas al proceso de anonimización de datos que se llevará a cabo en el contexto del Proyecto VISC+, las previsiones del Anexo 3, citado, deben valorarse positivamente, ya que deben suponer no sólo anonimizar la información personal sobre un individuo, sino que explicita que cada cliente final recibirá la información en unos términos que no deberían permitir, en principio, la vinculación con la información que habrá recibido otro cliente final, debido a que el código de caso anónimo no coincidirá en uno y otro caso.

De todos modos, con el fin de reducir los riesgos de re-identificación de información anonimizada (cuestión que concretaremos a continuación), se recomienda prever que, cuando se trate de peticiones que, a pesar de ser formuladas por un mismo cliente final, no estén vinculadas a un mismo proyecto, convendría atribuir un código de caso diferente.

Sin embargo, en virtud del principio de minimización al que ya hemos hecho referencia, no parece que la atribución de un código tenga que ser necesario en todos los casos. Por eso habría que plantearse que, en aquellos casos en que la finalidad no lo requiera, s'anonimitzi sin atribuir ningún tipo de código.

También es relevante y debe valorarse positivamente, que se tengan en cuenta medidas concretas de análisis de riesgos. Sobre estas cuestiones, nos remitimos nuevamente al Dictamen del GTA29 5/2014, [3] sobre técnicas de anonimización.

Por otra parte, en la cláusula 5 del DA se prevé que el Adjudicatario "no podrá hacer ningún acción para re-identificar datos que (la entidad) haya facilitado de forma anonimizada y deberá comunicar a (la entidad) cualquier dato que se le haya facilitado en principio anonimizada pero que se detecte que puede ser posible asociarla a una persona concreta".

 Se valora positivamente esta mención, en el sentido de que, desde la perspectiva de la protección de datos, incluso en el caso de anonimización previa de la información personal (En el caso que nos ocupa, en buena parte datos sensibles), hay que tener en cuenta las posibilidades de que esta información pueda permitir la identificación de su titular. Así lo ha puesto de manifiesto el GT29 en su Dictamen 5/2014, sobre técnicas de anonimización, en el que se recuerda lo siguiente:

"(...) Los responsables del Tratamiento deben ser conscientes de que un conjunto de datos anonimizado puede entrañar todavía riesgos residuales para los Interesados. Efectivamente, por una Parte, la anonimización y la reidentificación son campos de investigación activos en los que se publican con regularidad nuevos descubrimientos y, por otra, incluso los datos anonimizados, como las estadísticas, puedo usarse para enriquecer los perfiles existentes de personas, con la consiguiente creación de nuevos problemas de protección de datos. En suma, la anonimización no debe contemplarse como un procedimiento esporádico, y los responsables del rratamiento de datos deben evaluar regularmente los riesgos existentes”.

Así, según el GT29, el riesgo de re-identificación es inherente a cualquier técnica de anonimización, por lo que la intimidad y el derecho a la protección de datos del titular, podría verse comprometida.

En este sentido, resulta positivo que en el contexto del Proyecto VISC+ se prevea que la detección, por parte del Adjudicatario, de la posibilidad de re-identificaciones del titular los datos, tenga que ser puesto en conocimiento de la entidad. Volveremos sobre esta cuestión en el apartado de este dictamen relativo a las medidas de seguridad. En cualquier caso, se recomienda que se tengan en cuenta, en el contexto del Proyecto VISC+, las consideraciones del Dictamen 5/2014 del GTA29, citado, respecto la necesidad de hacer un análisis de riesgos en función de las técnicas de anonimización empleadas y las posibilidades de re-identificación inherentes a estas técnicas.

En cuanto a la re-identificación, hacer notar también que en el apartado "Re-identificación de las datos "del Anexo 1 del DT se hace referencia como supuesto en que se podrá desanonimitzar, los casos en que se haga " con traza de los accesos ". No parece queesta sola circunstancia deba habilitar la re-identificación. En cualquier caso tampoco queda claro en este apartado que podría llevar a cabo esta desanonimització. También se hace referencia a la re-identificación en el pacto noveno del Acuerdo de encargo del tratamiento, a lo que nos referiremos más adelante, recogido en el Documento "Encargo servicios de anonimización de datos (...) ", aportado con la consulta, y que se ha de firmarentre el Departamento de Salud, CATSALUT y el ICS como responsables de los ficheros, y la entidad, como prestador de servicios (encargado del tratamiento). En este pacto noveno se prevé que "En el caso de que el Prestador de Servicios sea conocedor de posibles peligros para la salud presente o futura de los afectados como resultado del análisis de una combinación de datos, concreta, éste se compromete a informar a los Responsables de ficheros para que tomen las medidas pertinentes y reidentifiquin del afectado, en caso de que fuera necesario. En ningún caso se autoriza el Prestador de Servicios a hacer la reidentificación de los casos en situación de riesgo. "Esta previsión se valora positivamente, ya que hace recaeren el responsable del fichero la decisión de una posible re-identificación. De esta Así, está claro que es este responsable quien deberá llevar a cabo la re-identificación en los casos en que pueda ser justificado.

Finalmente, hacemos notar que en el apartado 3.2.3 "Gestión de la demanda", del DT, en el que sehace referencia a los 3 Niveles de autorización de solicitudes de datos, también se tiene en cuenta aquellos casos en que la petición del cliente se refiera a un volumen de datos anonimizadas que implique un riesgo de desanonimització / personalización de los datos, respecto a los cuales se prevé que la entidad deberá evaluar y autorizar esta solicitud para dar cumplimiento a la LOPD. Se considera positiva esta previsión general de detección de casos en que, por el volumen de la información solicitada, se pueda detectar un riesgo de re-identificación, que exigirá un análisis más preciso desde la perspectiva de la protección de datos.

Dicho esto, en la línea de la observación formulada en el Fundamento jurídico VI, se recomienda que incorpore una referencia a las medidas compensatorias que en estos casos puedan minimizar tanto el riesgo potencial de re-identificación, como los efectos negativos en las personas afectadas, a fin de que se pueda autorizar.

XI

11. Procedimiento establecido para la cesión de datos

En este apartado se analizan las particularidades del procedimiento de cesión de datos previsto en el contexto del Proyecto VISC+, incluidas en el Documento "Procedimiento para la cesión de datos personales anonimizadas de salud al Adjudicatario de VISC+ para investigación médica y evaluación”. De entrada, hay que hacer notar que el título del Documento es confuso, ya que las cesiones de datos previstos no se limitan a datos anonimizados, como se podría deducir del título citado, sino que el propio Documento que analizamos establece el procedimiento para ceder, también, datos personales que no han sufrido un proceso de anonimización. Convendría, en efectos de claridad, referirse en el título a la cesión de anonimizadas y de datos personales. En cuanto a las menciones de este documento a la finalidad de "evaluación", nosremitimos a lo ya apuntado sobre la falta de concreción del tipo de evaluación en qué se está refiriendo.

Este documento define dos procesos diferentes sobre la cesión de información en el contexto del Proyecto VISC+:

1) Procedimiento para la cesión de datos personales anonimizadas de salud al Adjudicatario de VISC+ para investigación médica y evaluación. De entrada, como se ha hecho saber en este dictamen, desde la perspectiva de la protección de datos, este es el procedimiento de cesión que convendría priorizar en el contexto del Proyecto VISC+, teniendo en cuenta que la anonimización ofrece un tratamiento menos invasivo y de menor riesgo para los afectados.

Partiendo de esta premisa, se hacen las siguientes consideraciones.

Se prevé la creación inicial de los conjuntos de datos anonimizados que se pondrán a disposición del Adjudicatario, por lo que este debe elaborar un informe en el que se detalle, entre otros, la propuesta de procedimientos y herramientas para anonimizar y generar un conjunto de datos no estructurados (imágenes médicas, PDFs, etc.), y la valoración del riesgo de identificaciones indirectos, que será imprescindible cuando se trate de obtener datos para un destinatario y finalidad concreta.

Se valora positivamente que se prevea que se podrá incorporar una propuesta de marcaje de datos o de "sembrado de la información" (introducción de datos ocultos o enmascaradas entre las reales que, sin afectar a la calidad de la información, permiten la detección de usos no autorizados), técnica que permitiría identificar posibles fugas -o accesos indeguts- que se pudieran producir, y también que este marcaje deberá ser diferenciado para cada usuario final que solicite los datos. Más allá de la posibilidad de aplicar estas técnicas de marcaje en un procedimiento concreto de cesión de datos anonimizados, se sugiere que se incluya esta cuestión en el contrato ya la vez que se valore introducirla no ya como una posibilidad en manos del Adjudicatario sino como una obligación de éste.

También se hace remisión a los criterios de anonimización aprobados por la entidad (Anexo 3), y explicita que "cualquier excepción a la no aplicación de alguno de los criterios de anonimización deberá acompañarse de una justificación los motivos de excepcionalidad”.

Teniendo en cuenta que la cesión de datos no anonimizadas ya está prevista en el Procedimiento 2, no está claro qué podría justificar la no aplicación de la anonimización prevista en el Anexo 3, ni cómo -o por parte de qué se debería evaluar esta excepción. En caso de que no exista consentimiento expreso de las personas afectadas o una ley que habilite la comunicación, la información deberá ser inevitablemente anonimizada, sin que puedan existir motivos de excepcionalidad.

En la valoración que la entidad debe hacer de las solicitudes del Adjudicatario (para de obtener datos anonimizados), se explicita que habrá que hacer una valoración del cumplimiento del LOPD, y se prevé que, en esta evaluación, se invitará a asistir al responsable de los datos objeto de solicitud, "especialmente en caso de que se considere que existe algún riesgo significativo que ponga en peligro el cumplimiento de la LOPD".

Esta previsión, que se entiende referida al responsable del fichero o ficheros afectados, se considera pertinente, pues el responsable podrá participar, en estos casos, de la evaluación en cuestión. Ahora bien, de la redacción de este apartado ("... se podrá invitará asistir ... " ) no queda claro si invitar el responsable es una opción, o bien uncompromiso. En cualquier caso, la opción más garantista aconsejaría la implicación en todos estos casos del responsable.

2) Procedimiento para la cesión de datos personales de salud para investigación médica yevaluación al usuario final.

Nos referimos, en este caso, en el proceso que recoge todas las actividades necesarias para la creación inicial de los conjuntos de datos personales por solicitud del Adjudicatario con motivo de un encargo de un usuario final.

En principio, en este procedimiento, aunque el Adjudicatario intervendría en la presentación de la solicitud del usuario final ante la entidad (apartados 2.1 y 2.2 del documento relativo al procedimiento), por lo que se describe en este apartado parecería que el Adjudicatario no debe intervenir en la entrega de los datos. Así se desprende también del apartado 2.2.2 del DT.

Sin embargo, del apartado "Usos de los datos" del Anexo 1 del DT parece desprenderse el contrario, dado que se manifiesta que el Adjudicatario deberá preservar el modelo de seguridad, disponibilidad y uso de datos que esté vigente en cada momento y no podrá utilizarse para ninguna otra finalidad que las enumeradas anteriormente ni facilitar a terceros, sin consentimiento expreso por parte de la entidad. También parece desprenderse eso de las menciones al adjudicatario contenidas en los apartados 2.3.1, 2.3.3.1 y 2.3.3.2 del documento relativo al procedimiento.

También parece desprenderse de la referencia a la elaboración de un informe del apartado 2.3.2 del documento relativo al procedimiento, porque, aunque en este caso no se menciona directamente al adjudicatario, parece que se está refiriendo a él.

Las referencias al adjudicatario en estos apartados sólo tendrían sentido si el adjudicatario interviene en el tratamiento de datos no anonimizadas (qué son los datos a que se refieren estos apartados). Para ello sería necesario corregir esta falta de congruencia.

Este procedimiento implica no ya un flujo informativo de información anonimizada, sino de datos personales de salud. Por ello, hay que insistir en que, aparte de la necesidad del consentimiento de las personas afectadas, cualquier cesión deberá fundamentarse en una finalidad legítima, habrá que comprobar que el usuario final está habilitado para tratar datos para este fin, y valorar que los datos no son excesivas para dicha finalidad, cuestión que se prevé en el documento (punto 2.1.1). Cabe decir que en el mismo apartado 2.1.1, que comentamos, se hace mención que el informe del Adjudicatario deberá tener en cuenta, entre otros, "el grado de detalle de los valores de las variables, cuando son tan detalladas que podrían dar lugar a identificaciones indirectos". Teniendo en cuenta que en este segundo procedimiento se tratarán datos personales, hay que hacer notar que la posibilidad de identificación de los afectados será más que probable, y no sólo de manera "Indirecta". Teniendo en cuenta esto, como ha sido ampliamente expuesto en este informe, hay que extremar las precauciones, en atención a la normativa de protección da datos, a la hora de dar viabilidad a cualquier petición de usuarios finales en el marco de este procedimiento.

En relación con el consentimiento de los afectados, en el apartado 2.1.1 "Solicitud de el adjudicatario ", se prevé que el informe del Adjudicatario debe tener, entre otros, el siguiente contenido:

"Los consentimientos informados de las personas incluidas en el conjunto de datos solicitado. Estos consentimientos deberán cumplir con los requerimientos de la LOPD y cubrir explícitamente la cesión de datos solicitados".

 El Anexo 1 del DT hace referencia a que si se facilitan datos de personas identificables, para que el cliente final necesita enriquecer datos personales que ya tiene con datos del Departamento de Salud (o, se supone, de los demás responsables de los ficheros implicados en el proyecto), será necesario que aquél facilite una auditoría que demuestre que cumplirá con las obligaciones del LOPD, en referencia, entre otros, el "consentimiento válido de todos los afectados".

De entrada, además de prever los requerimientos de la LOPD, habría que incluir una referencia explícita a los requerimientos que se puedan prever en la normativa aplicable en cada supuesto. Como se ha dicho, en materia de investigación médica, las leyes de autonomía del paciente, o de otras leyes aplicables a los ensayos clínicos, la investigación biomédica, etc, prevén particularidades respecto el consentimiento informado de los afectados, que habrá que tener en cuenta en cada caso.

En conexión con esto, en el apartado 2.1.3 "Generación y entrega del conjunto de datos personales " , se dispone que la entidad ejecutará el proceso para obtener efectivamenteestos datos, y que "cuando se hayan obtenido estos datos se realizará una prueba de la aplicación y una verificación de la selección de pacientes con consentimiento. ALuego, la entidad elaborará el informe de verificación y prueba sobre la correcta selección de los casos, y sobre "la comprobación de que los casos de los conjuntos de datos se corresponden con los casos en que el usuario final aporta consentimientos de los afectados".

Hay que recordar que no es lo suficientemente claro el mecanismo descrito para la obtención del consentimiento de los afectados. Parece claro que es el usuario final lo que aporta los consentimientos (debe entenderse, las hojas de consentimiento informado debidamente rellenados en base a lo que pueda prever la normativa aplicable en cada caso), pero estos consentimientos se refieren a personas incluidas en los conjuntos de datos solicitadas, en definitiva, en ficheros de datos a los que el usuario final no tiene acceso, ni es el responsable, ni el encargado del tratamiento (artículo 12 LOPD).

Hay que tener presente que, en el marco de las previsiones relativas al consentimiento de los titulares de los datos (artículos 6 y 11 LOPD), el artículo 12 del RLOPD concreta el siguiente:

"1. El responsable del tratamiento debe obtener el consentimiento del interesado para el tratamiento personal excepto en los supuestos en que el consentimiento no sea exigible de acuerdo con lo dispuesto en las leyes. La solicitud del consentimiento debe hacer referencia a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se solicita, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

2. Cuando se solicite el consentimiento del afectado para la cesión de sus datos, debe ser informado de forma que conozca inequívocamente la finalidad a que se destinan las datos respecto de la comunicación de las cuales se solicita el consentimiento y el tipo de actividad que lleva a cabo el cesionario. En caso contrario, el consentimiento es nulo.

3. Corresponde al responsable del tratamiento la prueba de la existencia del consentimiento el afectado por cualquier medio de prueba admisible en derecho”.

 En principio, es pues el responsable (artículo 3.d) LOPD), en el caso que nos ocupa, el Departamento de Salud, el CATSALUT y del ICS, responsables de los ficheros implicados en el Proyecto VISC+, a quien corresponde solicitar el consentimiento para poder ceder datos personales.

En estos términos, no está claro cómo un tercero ajeno a los responsables, ya priori indeterminado (pues los usuarios finales pueden ser entidades de muy diversa naturaleza), podrá identificar, contactar y obtener el consentimiento de los afectados, cuyos datos se tratan en estos ficheros. Sin prejuzgar que en algunos casos este esquema pueda ser realizable (p. ej. cuando las mismas personas ya hayan dado su consentimiento para participar en otras fases de un estudio) y pueda facilitar llevar a cabo este tipo de estudios, habría que dejar abierta la posibilidad de que pueda ser el mismo responsable del fichero, o en su caso la entidad, quien obtenga dicho consentimiento. En cualquier caso conviene recordar que la responsabilidad sobre el adecuado tratamiento de los datos seguirá correspondiente al responsable del fichero.

Aún en relación con el consentimiento, el punto 2.2 del procedimiento que describimos (Cesión de datos personales) prevé que a la hora de actualizar la información ("Actualizaciones temporales acordadas"), la entidad revisará "si hay altas o bajas en los consentimientos informados que se facilitaron inicialmente" .

Si, como parece, los consentimientos informados los debe obtener el usuario final, parece lógico inferir que será éste el que, habiendo informado adecuadamente a los afectados sobre la posibilidad de revocación de dicho consentimiento (artículos 6.3 11.4 LOPD), dispondrá de la información relativa a posibles revocaciones, o posibles nuevos consentimientos. Siguiendo este esquema, se prevé que la entidad deberá contrastar esta nueva información (Nuevos consentimientos o revocación de los anteriores) antes de dar nueva información. Esta medida supone una garantía, pues condiciona la cesión de datos a las oportunas comprobaciones.

A esto añadimos que el punto 2.2, que comentamos, prevé que la actualización de la información deberá tener en cuenta posibles modificaciones consecuencia del ejercicio de Derechos ARCO (Título III LOPD y Título III RLOPD), por parte de los pacientes de centros sanitarios, que son los que deberán modificado información consecuencia del ejercicio de estos derechos. Si bien esta previsión supone una garantía respecto la actualización de la información que llegaría a los usuarios finales, sería recomendable sustituir la expresión " centro sanitario "por" responsable del fichero".

También hacer notar que en el apartado 2.1.3, además de las cuestiones relativas al consentimiento que hemos apuntado, se prevé que "finalmente se realizará una validación de seguridad ", pero no se concretan los aspectos a verificar.

Finalmente, hacemos un apunte formal, dado que en la página 7 del Documento para la cesión de datos, se hace una referencia al Anexo 3 (condiciones de seguridad, uso y disponibilidad de datos), en lugar de referirse al Anexo 1.

XII

12. Medidas de seguridad

Si bien con carácter general el Proyecto VISC+ supone el tratamiento de información que a priori habrá sido anonimizada por la entidad, de tal manera que la actividad principal del Adjudicatario no implica, con carácter ordinario, el tratamiento de datos de carácter personal, también se prevé el tratamiento y cesión de datos personales. En consecuencia, sin perjuicio de las consideraciones ya hechas, conviene plantear un modelo integral de seguridad de la información para el conjunto del contrato VISC+, aplicable tanto al tratamiento de datos anonimizados como de datos personales.

El Proyecto VISC+ implica el tratamiento de datos de carácter personal que requieren la aplicación del nivel alto de medidas de seguridad (artículo 9 LOPD y título VIII del RLOPD).

El Pacto Cuarto del Acuerdo de encargo del tratamiento, incluido el documento "Encargo servicios de anonimización de datos y de cesión de datos anonimizadas y personales para fines de evaluación e investigación médicas ", aportado con la consulta, explicita que,de acuerdo con el artículo 9 de la LOPD, la entidad se compromete a adoptar las medidas de seguridad del nivel que se indica en el encabezamiento. Dado que el encabezamiento del documento no se refiere expresamente al nivel de seguridad (la referencia al nivel de seguridad aplicable no se encuentra hasta la página 7 del "Encargo de servicios ..."), sería recomendable hacer una referencia directa al nivel alto en el Pacto Cuarto.

En cualquier caso, queda claro que el nivel alto de medidas de seguridad resulta de necesaria aplicación, como se ha apuntado, teniendo en cuenta la información de que se trata en los ficheros del Departamento de Salud, de CATSALUT y del ICS, que son la fuente de donde extraerán los datos para el tratamiento objeto del Proyecto VISC+.

Ahora bien, las especiales características de los tratamientos y las actividades que derivan del contrato VISC+ aconsejan plantearse un modelo de seguridad que vaya más allá de las previsiones de seguridad previsto en el Título VIII del RLOPD.

El conjunto de la documentación aportada evidencia una clara voluntad de ofrecer las máximas garantías de seguridad para los datos, estableciendo medidas técnicas y organizativas que den como resultado un "modelo de seguridad, disponibilidad y uso de los datos "orientado a la protección del conjunto del sistema VISC+.

Con carácter general convendría que, como punto de partida, la seguridad de la información exigible al adjudicatario estuviera alineada con alguno de los conjuntos de buenas prácticas existentes (Tipo ISO27001). Si bien no sería necesario que elcontrato determine un conjunto concreto de buenas prácticas, si habría que determinar que las que finalmente implante del Adjudicatario deberán basarse en la gestión de riesgos, ser susceptibles de ser certificadas por un tercero independiente y poder ser revisables mediante procedimientos estándares de auditoría de seguridad o de sistemas de información. A partir de esta base, se podría verificar cómo se implantan los requisitos en relación con la protección de datos de carácter personal.

Dicho esto, a continuación se hacen las siguientes consideraciones.

En los criterios de valoración del contrato, previstos en el apartado 8.2 del DA, aparentemente no se incluyen los aspectos de gestión de la seguridad que pueda aportar el Adjudicatario. Este extremo debería ser relevante a la hora de valorar las propuestas. Respecto la valoración de la " gestión y operación de los servicios de análisis, tratamiento y explotación de datos "(hasta 17 puntos), donde a priori se incluirían las cuestiones de gestión de la seguridad, sólo se hace referencia a que se valorará como se da respuesta al requerimientos especificados en el apartado 3.2 del DT, sin hacer mención en el apartado 3.1 del mismo documento, que detalla la "seguridad y anonimización de los datos".

Según el apartado 2.2.2 del DT, se prevé poner a disposición del Adjudicatario una muestra de datos, a fin de diseñar las infraestructuras y procedimientos relacionados con el contrato. En consecuencia, habrá que tener en cuenta, también en esta fase, las medidas de seguridad previstas en los artículos 87 del RLOPD (ficheros temporales o copias de trabajo de documentos) y 94.4 RLOPD (pruebas anteriores a la implantación o modificación los sistemas de información). Esta consideración se hace extensible en el apartado 2.1.3 del Documento "Procedimiento para la cesión de datos", en que se prevé la generación y entrega del conjunto de datos personales.

En cualquier caso, sería oportuno que en el apartado 4.1 del DT ("Fase de preparación y construcción "), se explicitara que el tratamiento de datos en esta fase inicial resto sujeto a la normativa de protección de datos, específicamente, en relación con las medidas de seguridad aplicables.

En relación con las previsiones sobre la realización de auditorías (artículo 96 RLOPD), el apartado 5.3 del DT "Auditorías y gobernanza de la seguridad", prevé que la entidad" podrá realizar auditorías (...)". Sobre esta previsión, convendría hacer una definición más abierta del papel de la entidad, en el sentido de que pueda "realizar" o "encargar a terceros "la auditoría del modelo de seguridad.

En el apartado 1.4.1 "Auditorías" del Documento "Procedimiento para la cesión..." , se prevé, entre otros, una auditoría anual, el alcance de la que sería del 50%. Esto podría generar ciertos riesgos, pues puede resultar complejo determinar qué 50% daría suficiente evidencia de que las medidas de seguridad dan el resultado esperado y se adecuan a las previsiones del contrato y la normativa aplicable.

Para simplificar el modelo de auditoría, esta Autoridad propone un modelo más sencillo de implementar y potencialmente más eficaz, es decir, un modelo de auditoría continuada, la base de la verificación de la aplicación de los procedimientos y resultados de los procesos de seguridad, realizada internamente por el Adjudicatario, y con emisión de informes periódicos (tal trimestrales, o incluso semestrales) para ser analizados por la entidad, y una auditoría formal cada 2 años, realizada por una entidad externa y independiente, que finalice con un informe de auditoría con los contenidos mínimos exigidos por la normativa de protección de datos (artículo 96.2 RLOPD).

También hacemos mención que en el Anexo 3 del Documento de "Procedimiento para la cesión de datos personales (...) ", comentó, se prevé que "El envío de los datos que realice (La entidad), tanto en el Adjudicatario en caso de datos anonimizados como al usuario final en caso de datos personales, lo realizará mediante un sistema de transmisión de ficheros (FTP) cifrado". De hecho, se hace mención de esta cuestión (sistema de transmisión cifrado) en varios puntos de este Documento. Estas previsiones se ajustarían al artículo 104 del RLOPD, según el cual, cuando se requiere la implantación de medidas de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbrico de comunicaciones electrónicas se realizará cifrando los datos, o bien utilizando otros mecanismos que garanticen que la información no es inteligible ni manipulada por terceros. Ahora bien, para la trascendencia y los riesgos inherentes a esta operación, pues presumiblemente el intercambio de información se hará mediante redes públicas de telecomunicaciones, sería muy recomendable concretar más algunos aspectos técnicos, como la red de comunicaciones que se utilizará; los requisitos del software utilizado para la transmisión de los datos; las restricciones a nivel de red en cuanto al filtrado de direcciones IP (origen y destino); los requisitos mínimos de los algoritmos de cifrado en utilizar, etc... También se recomienda prever cifrar el canal de transporte, así como cifrar en origen los datos objeto de transmisión.

También hay que mencionar la previsión relativa a la tecnología empleada por el "centro competencia ", citado, que centraliza la tarea llevada a cabo por el Adjudicatario en el Proyecto VISC+ con el objetivo de que los servicios de análisis y explotación de datos que ha de ofrecer el Adjudicatario se presten desde un mismo espacio (apartado 3.4 del DT). Así, se prevé que el Adjudicatario deberá dotar al centro de competencia de los componentes y herramientas tecnológicas adecuadas para prestar los productos y servicios VISC+ (apartado 3.4.3 del DT). Se prevé que la tecnología empleada debe ser, entre otros, interoperable, para integrarse con otros sistemas corporativos y relacionarse con sistemas externos al entorno de la Generalidad, y segura a nivel de datos ya nivel lógico, para garantizar el acceso seguro a la información y al sistema, para custodiar los datos y evitar fugas o accesos no deseados a los servicios y la información, de acuerdo con el modelo de seguridad, disponibilidad y uso de los datos (Anexo 1 del DT). Por lo tanto, hay que entender que el centro de competencia queda vinculado por las medidas previstas en dicho Anexo 1. En cuanto al centro de competencia, desde la perspectiva de las medidas de seguridad aplicables, a nivel organizativo se sugiere identificar e incorporar las funciones básicas del delegado de protección de datos, especialmente por parte del Adjudicatario, a fin de comenzar a alinear las previsiones del contrato VISC+ con lo prevé el Proyecto de Reglamento Europeo de Protección de Datos, actualmente en tramitación.

En cuanto a la gestión de las incidencias, se hace referencia en los apartados 1.4.3 y 2.3.3 del Documento del Procedimiento para la cesión de datos, analizado. En síntesis, se prevé que el Adjudicatario y la entidad pueden detectar casos mal anonimizados o cualquier incidencia que afecte a la seguridad de los datos, y que en estos casos, se hará una análisis y una propuesta de plan de acción (que debe tener un contenido mínimo que se detalla), el cual deberá ser aprobado por la entidad. En conexión con esto, como se ha mencionado, en la cláusula 5 del DA se prevé que el Adjudicatario no puede hacer ninguna acción para re-identificar datos, y que tiene que comunicar a la entidad cualquier dato que se le haya facilidad en principio anonimizada pero que se detecte que puede ser posible asociarla a una persona concreta.

Desde la perspectiva de las medidas de seguridad previstas en el RLOPD, habría considerar esta casuística como un incidente de seguridad. En caso de producirse un acceso no autorizado a datos de carácter personal, este supuesto debería ser registrado formalmente como un incidente de seguridad. Por la relevancia de la cuestión, habría establecer en el contrato la obligación del Adjudicatario de mantener un registro de incidencias en los términos del RLOPD (artículos 90 y 100 del RLOPD).

Finalmente, dado que se prevé la comunicación a la entidad, por la importancia de este tipo de incidente sería recomendable concretar en el contrato algunos aspectos de esta comunicación: plazo para comunicarlo; quien comunica a quien; canal de comunicación preferente; y contenido mínimo de la comunicación, que en todo caso debería incluir, Aparte de los hechos ocurridos, el número de afectados y su ubicación en el tiempo, las medidas tomadas y las potenciales consecuencias de este incidente. Como sugerencia, y para alinear el Proyecto VISC+ con algunas obligaciones que se podrían derivar de la aprobación de Reglamento Europeo de Protección de Datos, citado, sería conveniente, con la intención de generar confianza en dicho proyecto, que la comunicación también se hiciera efectiva a la Autoridad Catalana de Protección de Datos.

Estos comentarios se hacen extensivos a los puntos 1.4.3 y 2.3.3 del Documento de "Procedimiento para la cesión de datos".

XIII

13. Ubicación de la información

También desde el punto de vista de la seguridad, es necesario hacer algunas consideraciones sobre la ubicación de la información.

El Anexo 1 del DT, citado, también hace referencia a la "ubicación de los datos". Desde un punto de vista formal, convendría mencionar en este apartado el RLOPD, que es la norma en que se concretan las medidas de seguridad aplicables, y no sólo la LOPD.

Dicho esto, en este apartado se hace referencia a que habrá que garantizar, entre otros, " la trazabilidad de todos los accesos". Al respecto, hay que hacer notar que el RLOPD exige, por los ficheros que requieren medidas de nivel alto, articular un registro de accesos, de por lo que de cada intento de acceso se guardarán, como mínimo, la identificación de del usuario, la fecha y la hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado (artículo 103 RLOPD). Se valoran, pues, en términos positivos, las diversas menciones que se hacen en la documentación aportada en la trazabilidad de los accesos.

En este apartado también se hace referencia a la necesidad de autorización previa de esta Autoridad para una transferencia internacional de datos, excepto dentro del Espacio Económico Europeo, entidades Safe Harbour de Estados Unidos y otros países homologados.

Dado que el propio DT, en el apartado 2.2.1 "Alcance del modelo de gestión y operación", explicita que el Adjudicatario debe canalizar la demanda del mercado nacional e internacional, no se descarta que alguno de los clientes potenciales de la información objeto de tratamiento en el contexto del Proyecto VISC+ pueda conllevar una transferencia internacional de datos. Si es así, ésta se encuentra sometida al régimen establecido en los artículos 33 y 34 de la LOPD.

En caso de no poder garantizar, por tanto, la adhesión a los principios del acuerdo Safe Harbor, en un caso determinado, o de no darse ninguna otra de las excepciones previstas en la LOPD habrá, además de cumplir con el resto de principios y obligaciones de la LOPD, contar con la autorización del Director de la Agencia Española de Protección de Datos (artículo 37.1.l) LOPD). Por lo tanto, la referencia que se hace en la APDCAT en esta apartado se debería hacer a la Agencia Española de Protección de Datos.

Finalmente, según este mismo punto del Anexo 1 del DT, se impide utilizar tecnologías "cloud computing" sin restricción de país o que se puedan utilizar CPDsque previamente no hayan superado con éxito una auditoría del cumplimiento de la LOPD, la que conviene puntualizar, deberá haberse realizado dentro del plazo de 2 años anteriores al uso del centro de proceso de datos (CPD). Es decir, este deberá estar al día en cuanto a la realización de auditorías de seguridad, en los términos del RLOPD (artículo 96).

En cualquier caso, con estas referencias a la computación en nube, se deduce que el Proyecto tiene en cuenta que un tratamiento de datos derivado de una transferencia internacional, en estos términos, podría no asegurar el correcto cumplimiento del régimen citado (artículos 33 y 34 LOPD), por lo que hay que valorar positivamente esta previsión.

XIV

14. Encargo del tratamiento y posibilidad de subcontratación de las prestaciones del contrato

La documentación aportada incluye el documento "Encargo de servicios de anonimización de datos y de cesión de datos anonimizadas y personales para fines de evaluación y investigación médicas ", ya mencionado.

Este documento se refiere al Acuerdo que deben suscribir, por una parte, los responsables de los ficheros relacionados con el Proyecto VISC+ (Departamento de Salud, CATSALUT y ICS), y por otro, la entidad, como prestador de servicios, y que debe constituir un encargo del tratamiento regulado en el artículo 12 de la LOPD, tal y como explicita en el punto 4 de dicho Acuerdo.

En cuanto a la "Descripción de los servicios encargados", incluida en el Acuerdo de encargo del tratamiento, conviene hacer las siguientes consideraciones:
  • Nuevamente se hacen referencias a la anonimización " de la información de los responsables los ficheros... ". Como se ha apuntado, convendría referirse a la información contenida en los ficheros de datos personales.
  • Se prevé que la entidad ha de comprobar que el cesionario dispone del consentimiento válido de cada una de las personas afectadas por ceder la información, y que dispone de una auditoría que demuestra el cumplimiento de las medidas de seguridad del LOPD. Sin perjuicio de otras consideraciones hechas en este dictamen respecto de estas cuestiones (consentimiento informado y auditoría), y de las responsabilidades que, en atención a la normativa de protección de datos, correspondan a los responsables de los ficheros, la previsión que será la entidad la que comprobará estos extremos (consentimientos y auditoría) se ajusta a la previsión hecha en el Anexo 1 del DT, según la cual es la entidad la que efectivamente debe revisar que el "cliente final" (receptor de la información personal) dispone de dichos consentimientos y auditoría.

El Acuerdo de encargo del tratamiento examinado contiene un apartado en el que se relacionan los "Ficheros administrativos de carácter personal a los que pertenecen los datos que se someterán a tratamiento dentro de los servicios encargados". Desde un punto de vista formal, y atendiendo a la terminología de la LOPD, habría referirse a "ficheros de datos de carácter personal ", y no en" ficheros administrativos de carácter personal".

En concreto, se relacionan ficheros titularidad del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud. En los tres casos también se excluyen de el encargo determinados ficheros, y se prevé, también en relación con los ficheros de los tres responsables, la siguiente fórmula:

"Y en el futuro cualquier otro fichero del (responsable) con datos de salud o centros asistenciales de interés para la investigación y evaluación médicas".

 Desde la perspectiva de la protección de datos, en concreto, de los principios de calidad y de finalidad (artículo 4 LOPD), hay que cuestionar que se emplee esta fórmula, pues abre la lleva a que ficheros que incluso aún no han sido creados y de los que, por tanto, se desconoce la finalidad y la información tratada, puedan quedar automáticamente afectados por el encargo del tratamiento y, por tanto, ser incluidos en el objeto del contrato que nos ocupa, referido al Proyecto VISC+. Esta inclusión automática de futuros ficheros es desaconsejable, ya que parece obviar la previa valoración del responsable (sea el Departamento de Salud, el CATSALUT o el ICS), de la conveniencia de incluir un determinado fichero en el Proyecto VISC+. Por lo tanto, el Acuerdo de encargo del tratamiento debería circunscribirse a los ficheros existentes determinados en el momento de su firma, o de otros que se pueda establecer de acuerdo con un previo proceso que permita evaluar su adecuación.

En cualquier caso, conviene recordar y sería bueno recoger de forma expresa que, al finalizar el encargo, resultará de aplicación lo previsto en el artículo 12.3 de la LOPD, es decir, habrá proceder al retorno de los datos al responsable o bien, en su caso, a su destrucción.

Aún en relación con el encargo del tratamiento, nos referimos a la cláusula 27 del DA, según la cual en los términos previstos en los artículos 227 y 228 del Real Decreto Legislativo 3/2011, de 14 de noviembre, que aprueba el texto refundido de la Ley de contratos del sector público (TRLCSP), las prestaciones del contrato que nos ocupa podrán ser objeto de objeto de subcontratación, y se especifican una serie de requisitos (página 35 del DA).

Dado que entre estos requisitos no se hace mención de cuestiones relativas a la protección de datos, conviene recordar que en caso de que la subcontratación a que hace mención la cláusula 27, citada, pueda afectar a datos personales, hay que tener en cuenta que, según el apartado 3 de la disposición adicional 26ª del TRLCSP:

"En el caso de que un tercero trate datos personales por cuenta del contratista, encargada de la Tratamiento, deberían de cumplirse los Siguientes Requisitos:

a) que dicho Tratamiento se del haya especificado en el Contrato Firmado por la Entidad contratante y el contratista.

b) Que el Tratamiento de datos de carácter personal se ajuste a las instrucciones; del responsable del Tratamiento.

c) Que el contratista encargada de la Tratamiento y el tercero formalicen el Contrato en los Términos previstos en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre. En estos casos, el tercero tendrá también la consideración de encargado del tratamiento".


Por tanto, en la cláusula 27, citada, del DA, convendría hacer constar que en caso de que la empresa que resulte adjudicataria subcontrate alguna prestación del contrato, habrá dar cumplimiento a las obligaciones de la LOPD en relación con el encargo del tratamiento, en los términos de la disposición adicional 26ª, apartado 3, del TRLCSP.

De acuerdo con las consideraciones hechas en estos fundamentos jurídicos en relación con la consulta planteada, se hacen las siguientes,

15. Conclusiones

Dada la casuística amplia y diversa que se puede dar en relación con los clientes potenciales, las finalidades previstas, los servicios ofrecidos y los ficheros que serían fuente de información en el contexto del Proyecto VISC+, sería conveniente una mayor claridad y concreción respecto qué fines pueden justificar el acceso a la información, por parte de qué clientes y en qué condiciones. A estos efectos sería de utilidad disponer de una memoria general que describa el proyecto de forma global que recoja de forma armonizada las previsiones de los diferentes documentos aportados y clarifique los diferentes aspectos puestos de manifiesto a lo largo de este dictamen, así como una evaluación de impacto sobre la privacidad.

Desde la perspectiva de los principios de calidad y de finalidad, y por el volumen de información sensible generada a través de VISC+, se recomienda priorizar los supuestos de cesión de datos previamente anonimizados, asociadas a un código no identificable o, posible, no asociadas a ningún código, por delante de los supuestos de cesión de datos personales de personas identificables que hayan prestado su consentimiento.

El conjunto de la documentación aportada evidencia una clara voluntad de ofrecer las máximas garantías de seguridad para los datos, estableciendo medidas técnicas y organizativas que dan como resultado un "modelo de seguridad, disponibilidad y uso de los datos "orientado a la protección del conjunto del sistema VISC+.

De acuerdo con el RLOPD hay que aplicar un nivel alto de medidas de seguridad. Sin ello, se recomienda la adopción de un modelo integral de seguridad de la información para el conjunto del contrato VISC+, aplicable tanto al tratamiento de datos anonimizados como de datos personales, que vaya más allá de las previsiones de seguridad previstas en el Título VIII del RLOPD y que esté alineado con alguno de los conjuntos de buenas prácticas existentes.

En cuanto a las medidas de seguridad previstas en el RLOPD, convendría especificar diversas cuestiones relativas a las auditorías de seguridad, los registros de incidencias, o los requisitos de seguridad relacionados con la transmisión de datos, entre otros, en los términos expuestos en el Fundamento Jurídico XII de este dictamen.

Con respecto al encargo del tratamiento entre los responsables de los ficheros implicados en el Proyecto y la entidad, conviene tener en cuenta las previsiones del artículo 12 LOPD, en los términos apuntados en el Fundamento Jurídico XIV de este dictamen.

16. Bibliografía referenciada

- [1] AEPD. “Guía para una evaluación de impacto en la protección de datos”. 2014.
Guía PIAS

- [2] APDCAT. “Dictamen CNS 34/2014”. 23 de julio de 2014.
Dictamen VISC+ (original en catalán)

- [3] Grupo de Trabajo del Artículo 29. “Dictamen 05/2014 sobre técnicas de anonimización”. Adoptado el 10 de abril de 2014. 0829/14/ES. WP216.
WP216



17. Derechos de autor

El Dictamen CNS 34/2014, de fecha 23 de julio de 2014, ha sido publicado por primera vez en la página web de la APDCAT (Autoritat Catalana de Protecció de Dades), una vez analizada la petición, vista la normativa vigente aplicable, el informe del Coordinador de Auditoría y Seguridad de la Información y el informe de la Asesoría Jurídica, todos de la APDCAT.