domingo, 5 de abril de 2015

Dictamen de la APDCAT sobre la cesión de datos anonimizados del sistema sanitario catalán para su análisis y puesta en valor por terceros


Resumen: Por su indudable interés público y actualidad, reproduzco mediante una traducción “no oficial”, adaptada al formato editorial del blog, el Dictamen CNS 34/2014 [2] de la APDCAT como respuesta a la consulta planteada por una entidad de derecho público en relación con el modelo de gestión y de servicios para dar valor a la información del sistema sanitario catalán en el marco de las políticas públicas.

Autor del artículo
Colaboración
AUTORIDAD CATALANA DE PROTECCIÓN DE DATOS (APDCAT)
Actualizado
5 de abril de 2015

Índice
1. Introducción
2. Objeto de la consulta
3. Descripción del proyecto
4. Sobre la información que se tratará en el proyecto VISC+
5. Sobre la finalidad del tratamiento
6. Régimen de comunicación de datos personales
7. Responsabilidad y propiedad de la información
8. Deber de confidencialidad
9.1. Nivel 1 de aprobación
9.2. Nivel 2 de aprobación
9.3. Nivel 3 de aprobación
10. Procedimiento técnico de anonimización
11. Procedimiento establecido para la cesión de datos
12. Medidas de seguridad
13. Ubicación de la información
14. Encargo del tratamiento y posibilidad de subcontratación de las prestaciones del contrato
15. Conclusiones
16. Bibliografía referenciada
17. Derechos de autor

1. Introducción

Se presenta ante la Autoridad Catalana de Protección de Datos (APDCAT) un escrito de una entidad de derecho público (en adelante, la entidad), en el que se pide que la Autoridad valore la adecuación de las medidas de seguridad que se aplicarán sobre los datos incluidos en el alcance del contrato VISC+ a la legislación en materia de protección de datos, que se describen en los documentos que se adjuntan a la consulta.

En concreto, se adjunta copia del Documento Administrativo de solución final VISC+ (en adelante, DA), del Documento Técnico de solución final VISC+ (en adelante, DT), y del Documento de procedimiento para la cesión de datos personales anonimizadas de salud al Adjudicatario de VISC+ para investigación médica y evaluación, que incluye, como anexos, los Estatutos de la entidad (anexo 1), el documento de encargo de gestión (anexo 2), y el documento sobre el procedimiento de anonimización (anexo 3).

Analizada la consulta y la documentación que la acompaña, vistos los informes del Coordinador de Auditoría y Seguridad de la Información de la Autoridad, y de la Asesoría Jurídica emito el siguiente dictamen

I

(...)

II

2. Objeto de la consulta

 A través de la consulta formulada, la entidad expone que está licitando un contrato de colaboración público privada para la implantación y la operación de un modelo de gestión de servicios para dar valor a la información del sistema sanitario catalán en el marco de las políticas públicas (VISC+). Se añade que en este marco contractual se regulan los mecanismos y procesos de seguridad que serán aplicables sobre los datos incluidos en el alcance del contrato, y que deben asegurar el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).

En relación con el proyecto VISC+, la entidad solicita informe sobre la adecuación de las medidas de seguridad que se aplicarán sobre los datos incluidos en el objeto del contrato VISC+ a la legislación en materia de protección de datos.

En cuanto al alcance de este dictamen, tal y como se plantea en la consulta, se centrará en aspectos relativos a las medidas de seguridad, pero las consideraciones sobre estos aspectos no se puede desvincular de los principios y obligaciones derivados de la normativa de protección de datos. Por ello, ya partir de la documentación aportada, también analizarán, con carácter previo algunas cuestiones generales sobre el alcance las características del proyecto y las garantías necesarias para el cumplimiento de la normativa de protección de datos.

Por otra parte, este dictamen tiene por objeto el análisis del modelo de seguridad y anonimización de los datos que se describe básicamente en el Anexo 1 del DT, relativo al "Modelo de seguridad, disponibilidad y uso de los datos", para comprobar si se adecua a la normativa de protección de datos y hacer aquellas consideraciones que, desde la perspectiva de la protección de datos, se consideren pertinentes para mejorarlo. Hay dejar claro pero que el objeto de este dictamen no consiste en validar un determinado modelo de seguridad, cuestión que por otra parte no sería posible dada la falta de concreción de diferentes aspectos relacionados con la seguridad. La validación del sistema de seguridad es algo que sólo se puede llevar a cabo después de un cuidadoso procedimiento de auditoría que se debe llevar a la práctica una vez esté implementado. Por esto, en el punto 3.1 del DT, habría referirse a que el modelo del Anexo 1 del DT ha sido objeto de Dictamen de la Autoridad, y no de validación. En cualquier caso, se valora positivamente la previsión de que las futuras modificaciones del Modelo de seguridad, disponibilidad y uso de los datos, de dicho Anexo 1, también se someterán al juicio de la Autoridad.

III

3. Descripción del proyecto

 La consulta planteada por la entidad, trae causa del contrato de colaboración público privada para el diseño, implantación y operación de un modelo de gestión y servicios para dar valor a la información del sistema sanitario catalán.

La entidad que formula la consulta es una entidad de derecho público de la Generalidad sometida al ordenamiento jurídico privado, adscrita al departamento competente en materia de salud de la Generalitat de Catalunya, con personalidad jurídica propia, autonomía administrativa y financiera y plena capacidad de obrar para el cumplimiento de sus objetivos y sus funciones, y actúa, en el marco de las funciones que le atribuyen sus Estatutos, bajo las directrices de dicho departamento, el cual ejerce el control de eficacia y eficiencia sobre su actividad. Son objetivos de la entidad generar el conocimiento relevante para contribuir a la mejora de la calidad, seguridad y sostenibilidad del sistema de salud de Cataluña que faciliten la toma de decisiones a la ciudadanía, los profesionales y los gestores del ámbito de la salud, y los órganos responsables de la planificación en salud, así como facilitar la implicación de los profesionales sanitarios en el sistema y su corresponsabilidad en la consecución de los fines comunes y la calidad de la atención. Entre otras funciones, corresponde a la entidad definir, impulsar y desarrollar la estrategia del sistema de información y las tecnologías de la información y comunicación del sistema de salud de responsabilidad pública, así como llevar a cabo la gestión y el mantenimiento de los elementos comunes y / o unificados del sistema de información del sistema sanitario integral de utilización pública de Cataluña (SISCAT) y su explotación y rentabilización garantizando, de acuerdo con las directrices del departamento competente en materia de salud, la disponibilidad de la información del sistema sanitario de Cataluña, haciéndola accesible e interoperable al servicio de una asistencia sanitaria de calidad, de acuerdo con la política corporativa de la Generalitat de Catalunya en materia de telecomunicaciones y tecnologías de la información, según los Estatutos de la entidad.

El Plan de Gobierno 2013-2016, incluyó el "Proyecto VISC+ (Valorización de Información del Sistema Sanitario Catalán), entre los proyectos de interés para el eje de cohesión social y servicios de interés público, incluido en dicho Plan de Gobierno.

Hay que decir que al elaborar este dictamen no se ha dispuesto de una memoria global que describa de manera detallada las necesidades, las alternativas disponibles y las características (flujos de información, características del sistema de anonimización datos, colectivos concretos afectados, etc.) y los beneficios de la opción elegida. Sólo se dispone de varios documentos -descritos en el apartado de antecedentes de este dictamen- que, desde perspectivas diferentes, describen diferentes aspectos del proyecto. Así, algunos de los documentos aportados parece que forman parte de la documentación contractual de la relación entre entidad y el Adjudicatario (DA y DT), otros se refieren a la relación entre los responsables del fichero y la entidad (Encargo de servicios) y otros no resulta clara qué naturaleza tienen (Documento sobre procedimiento para la cesión).

Hay que decir también que, dadas las fuertes implicaciones para la privacidad de las personas y para los otros derechos que podrían verse afectados en caso de un tratamiento inadecuado de una información tan sensible como la que se incluye en el proyecto, sería recomendable disponer de una evaluación del impacto sobre la privacidad que puede tener esta iniciativa. La elaboración de este estudio, que actualmente no es preceptivo de acuerdo con la normativa vigente en materia de protección de datos, se alinearía con las previsiones del proyecto de Reglamento europeo de protección de datos que actualmente se está tramitando, el cual prevé, entre otras, la elaboración, por parte del responsable del tratamiento, de una evaluación del impacto sobre la privacidad cuando se lleven a cabo tratamientos en gran escala de datos de salud.

Esta evaluación debería incluir una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas previstas para hacer frente a los riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la conformidad con la normativa de protección de datos. En este sentido, la Agencia Española de Protección de Datos ha publicado recientemente una "Guía para una evaluación impacto en la protección de datos". [1]

En síntesis, por lo que se desprende de los diferentes documentos aportados, el mapa del Proyecto VISC+ es el siguiente:

La constitución de un encargo del tratamiento (artículo 12 LOPD) entre el Departamento de Salud, el Servicio Catalán de la Salud (CatSalut) y el Instituto Catalán de la Salud (ICS), como responsables de los ficheros de datos implicados en el Proyecto, y la entidad, como prestador de servicios y encargado del tratamiento, que debe permitir que la entidad proceda a anonimizar la información para que el Adjudicatario, a quien se le comunicaría la información, la facilite a terceros (clientes o usuarios finales).

También se prevé que la entidad pueda ceder directamente a terceros datos personales no anonimizadas, previa comprobación, por parte de la entidad, que el cesionario dispone de los consentimientos correspondientes de los afectados y de una auditoría de cumplimiento de la LOPD.

El Adjudicatario deberá encargarse de definir, construir y poner en marcha un catálogo de servicios útil, eficiente, competitivo e innovador, y contrastar las necesidades del mercado y los clientes finales del proyecto, así como de definir un plan de difusión y de comercialización, canalizando de manera adecuada la demanda del mercado nacional e internacional. También deberá ejecutar otros proyectos o iniciativas relacionadas con VISC+, y deberá de crear un centro de competencia en analítica en datos de salud, las funciones y composición se describen en el apartado 3.4.1 del DT. El Proyecto articula un doble procedimiento de cesión de datos personales:
  • Procedimiento para la cesión de datos anonimizados de salud al Adjudicatario para investigación médica y evaluación (punto 1 del Documento "Procedimiento para la cesión de datos (...) ", que a su vez facilitaría los datos a los clientes finales.
  • Procedimiento para la cesión de datos de salud no anonimizadas para investigación médica y evaluación al usuario final (punto 2 del mismo Documento). Este segundo procedimiento tiene la particularidad de que los datos serían cedidos directamente el usuario final por parte de la entidad.

Si bien no todos (pues también se prevé tratar ficheros tales como el Registro sanitario de empresas e industrias, o el Registro de personal docente, a modo de ejemplo), la mayoría los ficheros afectados por el Proyecto VISC+ contienen datos de salud. Si nos atenemos al alcance de los datos que la entidad prevé poner a disposición del Adjudicatario tan inicialmente como en incorporaciones futuras (punto 2.2.2 del DT) es claro que los datos de salud conforman la principal fuente de información del Proyecto analizado.

La LOPD establece un régimen de protección reforzado en relación con determinadas tipologías de datos personales, entre otros, los datos de salud, entendiendo por tales las informaciones que conciernen la salud pasada, presente y futura, física o mental, de un individuo, así como las referidas a su porcentaje de discapacidad ya su información genética (artículo 5.1.g) RLOPD), que se traduce en una serie de garantías (artículos 7 y 8 de la LOPD) y la exigencia de la aplicación de medidas de seguridad de nivel alto (art. 81 RLOPD).

Dado que el Proyecto VISC+ tiene como objetivo desarrollar un modelo de gestión que permita dar valor a la información que genera el sistema sanitario catalán, en la medida que ello implicará, principalmente, el tratamiento de datos de salud, habrá que atender a este régimen de protección previsto en el LOPD para los datos sensibles, y las previsiones de la normativa sectorial aplicable. Los datos que conforman la HC se recogen para realizar el tratamiento médico que requiere el paciente, principalmente y, en su caso, para de otros usos o finalidades, previstos en la normativa específica, en concreto, la Ley 41/2002, de 14 de noviembre, estatal, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, que regula con carácter básico determinadas cuestiones relativas a la HC y los derechos de los pacientes, así como, en el ámbito de Cataluña, la Ley 21/2000, de 29 de diciembre, sobre los derechos de información concerniente a la salud y la autonomía del paciente, y la documentación clínica. De acuerdo con esta normativa para tratar los datos que constan en la HC, será necesario el consentimiento de su titular, salvo que concurra alguna de las excepciones previstas en la ley o que se anonimice la información (artículos 16.3 de la Ley 41/2002 y 11.3 de la Ley 21/2000).

IV

4. Sobre la información que se tratará en el proyecto VISC+

Desde la perspectiva de la protección de datos hay que partir de la base de que la recogida y el posterior tratamiento de datos personales debe dar cumplimiento a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y el Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la Ley Orgánica (LOPD y RLOPD). El artículo 4.1 de la LOPD recoge el principio de calidad de los datos, que en su vertiente de proporcionalidad, establece lo siguiente:

"1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlas a dicho trataVmiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se han obtenido”.

Este principio de proporcionalidad en un proyecto como el que nos ocupa desplegará sus efectos tanto desde el punto de vista de los ficheros que deben formar parte del proyecto, como de la información que se podrá comunicar a los clientes finales.

En cuanto a los ficheros afectados por el Proyecto VISC+, según lo descrito en el documento relativo al encargo de servicios, son ficheros responsabilidad del Departamento de Salud (19 ficheros), del CATSALUT (10 ficheros) y el ICS (3 ficheros), que la entidad podrá tratar en base a un contrato de encargo del tratamiento al que nos referiremos más adelante. También se explicita, en el Documento relativo al encargo del tratamiento - "Encargo de servicios de anonimización (...)" -, determinados ficheros que quedan fuera el alcance del proyecto.

Ahora bien, hay que hacer notar que según el apartado 2.2.2 del DT, la entidad pondrá a disposición del Adjudicatario "toda la información anonimizada" que se genere en el SISCAT. Hay pues una discordancia que debería llevar a rectificar el apartado 2.2.2.

En cualquier caso, con respecto a los ficheros afectados, hay que valorar positivamente que, a pesar el gran número de ficheros mencionados en el Documento de encargo de servicios de anonimización, el DT prevea un "alcance inicial" limitado de los datos que estarán disponibles en un primer momento del Proyecto (apartado 2.2.2.1 del DT). En esta línea del apartado 5.2.1 del DT prevé que "En la Fase 1 del proyecto se consensuarán qué fuentes de datos, de entre las incluidas en el alcance inicial, se pondrán a disposición del Adjudicatario una vez se haya construido y validado el proceso de anonimización de acuerdo con el modelo de seguridad (...)". De ello parece poder inferirse que, en atención a resultados que se puedan obtener inicialmente, la incorporación de nuevos ficheros y de nuevas datos tendrá en cuenta la experiencia adquirida a la hora de valorar su viabilidad y la proporcionalidad.

Pero este principio, además de regir en el momento de la puesta a disposición de la entidad de los ficheros afectados, hay que tener presente también en el momento de la comunicación de los datos concretos necesarios para los fines que pretendan llevar a cabo los clientes finales. Especialmente si se trata de datos personales, pero también si se trata de datos anonimizados.

La información entregada a los clientes finales sería, en buena parte, datos de salud de los afectados, contenidas en la HC - o datos anonimizados obtenidos a partir de las mismas-. Desde la perspectiva del principio de calidad, hay que tener en cuenta que el contenido de la HC, definido en la normativa (fundamentalmente artículo 15.2 Ley 41/2002, y artículo 10 Ley 21/2000) es amplio, por lo que se contienen datos sensibles, informes relativos al paciente, y otros que pueden dar información de terceras personas, como los antecedentes familiares. Teniendo en cuenta esto, cuando se lleve a cabo la cesión y cuando articule el correspondiente consentimiento informado, hay que limitar la cesión de datos sólo en las que sean relevantes a los efectos del estudio o investigación que se quiera llevar a cabo por parte del cliente final.

Esto, que es esencial en el caso de los datos personales no anonimizadas, es relevante también para el caso de los datos anonimizados, porque no hay que perder de vista que en el entorno del big data el cruce de información obtenida de orígenes diversos, incluso todo si ha sido anonimizada puede acabar haciendo identificable una persona. Por ello, para intentar reducir en estos casos los riesgos de re-identificación también sería necesario limitar los datos comunicados a las mínimas indispensables para alcanzar la finalidad pretendida por el cliente final. Y dentro de los datos anonimizados, es todavía más relevante en aquellas que se ofrecen en abierto. Por ello, dados los riesgos inherentes, hay que ser muy restrictivo con la información de salud que se ofrezca en abierto, a menos que se ofrezca con niveles de agregación sobradamente amplios.

Cuando el apartado 3.2.1 del DT se refiere a los datos abiertos no se concreta cuáles serán estos datos ni los criterios y el procedimiento que se seguirán para decidir qué datos deberán estar accesibles en abierto. Sería conveniente que ya desde esta fase de diseño del proyecto se aclararan estos extremos.

En cualquier caso, este es el único supuesto (servicios de datos abiertos) en el que el DT examinado explicita que se trabajará con "datos anonimizadas", mientras que en la resto de servicios identificados no se explicita si los clientes finales podrían recibir y tratar información anonimizada o datos personales no anonimizados.

El principio de minimización en el tratamiento de los datos personales, del que se deriva que si una finalidad se puede lograr sin necesidad de tratar datos personales, se ha de optar por esta posibilidad, debería incorporarse de una forma más visible en el proyecto, por lo que -con independencia de que se pueda lograr el consentimiento de las personas afectadas- sólo se base un determinado tratamiento en información de personas identificadas en aquellos casos que resulte imprescindible.

Cabe acotar en qué casos puede ser, no ya necesario, sino imprescindible, trabajar con datos no anonimizados. Como se ha visto, el proyecto se refiere a la comercialización de informes de diversa naturaleza, en relación con algunos de los cuales sólo se menciona que responden "a necesidades específicas" del solicitante, sin más concreción, respeto que tipo y volumen de información agregada o no agregada pueden requerir.

V

5. Sobre la finalidad del tratamiento

Como hemos visto, el artículo 4.1 prevé que la información sólo puede tratarse "en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se han obtenido".

Y además, el apartado 2 del mismo artículo 4 añade:

“2. Los datos de carácter personal objeto de tratamiento no se pueden utilizar para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considera incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. (...)”.

 Estas previsiones conforman lo que se denomina principio de finalidad en la normativa de protección de datos de carácter personal. En la documentación aportada se hace mención a que el objetivo del Proyecto es dar valor a la información generada por el sistema sanitario catalán. Más en concreto, se hace referencia a el fin de "investigación médica y evaluación" (Documento de encargo de servicios, Documento de Procedimiento de cesión de datos, y DT). Ahora bien, con respecto a las finalidades concretas para las que los clientes finales pueden solicitar los datos, hay alguna discordancia:

En el Anexo 1 del DT, referido al "Modelo de seguridad, disponibilidad y uso de los datos", expone lo siguiente: "El Adjudicatario sólo podrá utilizar los datos, ya sean personales como anonimizadas, por alguna de las siguientes finalidades: estudios de investigación médica, estudios de epidemiología, docencia, asistencia sanitaria, administración y gestión de centros sanitarios, inspección por parte de la administración sanitaria, gestión sanitaria para la administración sanitaria o estadística oficial declarada al Plan Estadístico". Y esto parece que abarcaría tanto los supuestos de datos abiertas como los otros en los que se solicite la información para el usuario final, según las diferentes modalidades previstas.

También en el Documento "Procedimiento para la cesión de datos personales (...)", en el apartado 1.3.1 "Supervisión de las solicitudes de los usuarios al Adjudicatario", y en el apartado 2 relativo a la cesión de datos no anonimizadas, se hace una referencia general a todas las finalidades de uso de la HC análoga en el Anexo 1 del DT.

En cambio, en los encabezamientos de los apartados relativos a los procedimientos 1 y 2 se hace referencia sólo a "investigación médica y evaluación". Y en el Documento de encargo de servicios de anonimización, que se adjunta, y al que luego nos referiremos con más detalle, se prevé que la finalidad del servicio es la "Gestión sanitaria por la administración sanitaria; Estudios de epidemiología; Investigación ".

Es decir, se constata que las referencias a los fines del proyecto no siempre coinciden en los diferentes apartados de la documentación aportada. Así, se hace una referencia, en algunos documentos, acotada a la investigación médica y evaluación, y en unos otros, en la práctica totalidad de las finalidades descritas en la normativa sectorial para los datos de la HC.

Aparte de eso, hay que hacer notar dos precisiones:

El Anexo 1 del DT se refiere a que "el Adjudicatario sólo podrá utilizar los datos ..." con alguna de estas finalidades. En realidad sin embargo, el uso principal que haga el adjudicatario no parece que vaya a ser el mismo, sino ponerlas a disposición de terceros según las diferentes modalidades previstas, para que sean estos quienes lleven a cabo estos fines.

Por otra parte, en el caso de que el cliente final solicite los datos, se puede comprobar en este trámite la finalidad prevista, para que encaje en alguna de estas finalidades. Pero en cambio, cuando se trate de datos abiertos, el análisis de la finalidad hay que hacerlo en el momento de su previa puesta a disposición y, en consecuencia, limitar la publicación de datos en abierto a aquellos que desde el punto de vista de los fines mencionados resulten imprescindibles.

En segundo lugar, según la documentación aportada, las finalidades del tratamiento de datos en el contexto del Proyecto VISC+ abarcan desde la asistencia sanitaria (artículo 11.1 Ley 21/2000), en funciones de inspección (artículo 11.5 Ley 21/2000), en tareas de administración de centros sanitarios (artículo 11.4 Ley 21/2000), ya fines epidemiológicos y de investigación o docencia (artículo 11.3 Ley 21/2000). Si nos atenemos a las previsiones de la normativa sectorial (Leyes 41/2002 y 21/2000), algunas de estas finalidades pueden no requerir el consentimiento de los titulares, mientras que otros (principalmente, a los efectos que nos ocupan, la finalidad de investigación o investigación médica), requieren ineludiblemente del consentimiento de los afectados a menos que se proceda a la anonimización, en unos términos que aseguren la protección de la privacidad de los afectados.

Por eso hay que recordar que resultan confusas algunas de las previsiones de la documentación aportada, en el sentido de que no queda claro si el tratamiento de datos personales del Proyecto VISC+ debe tener por finalidad, principalmente o, incluso, únicamente, la investigación o "investigación médica" (como parecería deducirse de algunos de los Documentos citados), o si se puede producir un tratamiento y cesión a los "clientes finales" para, en definitiva, la práctica totalidad de los fines o usos de la HC descritos en el artículo 11 de la Ley 21/2000 (y artículo 16 de la Ley 21/2000). Tampoco queda clara cuál es la finalidad de "evaluación" a que se refieren algunos de los documentos aportados, como ha quedado dicho. En relación con esta finalidad de evaluación, se recomienda que se concrete la referencia, en atención a los usos de la HC previstos en la Ley 21/2000.

Habría que explicitar, en la medida de lo posible, que los "clientes finales" sólo podrán tratar la información personal (singularmente, información no anonimizada) necesaria, en atención a la finalidad para la que la hayan solicitado, y teniendo en cuenta las limitaciones que puedan derivarse de la normativa aplicable.

En este sentido, hay que recordar que se echa en falta, en el conjunto de documentación aportada, una conexión clara entre "cliente final", la finalidad a cumplir, la concreción de la información a la que podría tener acceso, y si esta información debe ser anonimizada o puede conllevar una cesión de datos personales. Al respecto, hay que hacer notar que en el DT se identifican una serie de servicios o productos, que, a propuesta de la entidad, el Adjudicatario deberá configurar. En concreto:
  • Servicios de datos abiertos: publicación sin coste de subset (subconjuntos) de datos anonimizados.
  • Servicios de datos no abiertos: comercialización de subset de datos para una finalidad de investigación concreta. Se destinan a usuarios que dispongan de subvenciones, fondos competitivos o que hayan pasado un Comité ético de investigación.
  • Servicios de licenciamiento, por explotación y análisis de los datos incluidos en el alcance del contrato. Servicios de informes estándar: comercialización de informes de análisis y evaluación, basados ​​en los datos incluidos en el alcance del presente contrato.
  • Servicios de informes ad-hoc, adaptados a necesidades específicas del solicitante.
  • Servicios de optimización de la gestión de servicios sanitarios o de práctica clínica.
  • Otros servicios Ad-hoc.

De entrada, se prevén servicios de datos abiertos ("open data"), es decir, subconjuntos de datos que se ponen libremente a disposición de todos para su reutilización tanto para fines comerciales como no comerciales (según definición de la Comunicación de la Comisión Europea COM (2014) 442 final, "Hacia una economía de los datos próspera").

En este contexto, y con la evolución que se está produciendo en el ámbito del Big Data, en función del volumen de datos que sean puestas a disposición de cualquier persona (Apartado 3.2.2 del DT se refiere tanto a ciudadanos como industria o instituciones privadas en el ámbito de las ciencias de la vida, pero en realidad puede ser cualquier persona o empresa) y según la forma como se ofrezcan, la posibilidad de que la combinación de esta información con informaciones obtenidas de otras fuentes pueda acabar haciendo identificables personas no se puede descartar. Por eso hay que tener especialmente en cuenta que no se produzca un riesgo para la privacidad de los afectados, como se ha puesto de manifiesto, entre otras, en la Comunicación de la Comisión, sobre "Datos abiertos. Un motor para la innovación, el crecimiento y la gobernanza transparente "(COM (2011) 882 final).

A esto hay que añadir la amplia tipología de clientes identificados en el Proyecto (apartado 3.2.2 "Gestión de clientes", del DT), que incluyen agentes del sistema sanitario integral de utilización pública de Cataluña (SISCAT); investigadores; industria o instituciones privadas en el ámbito de las ciencias de la vida; ciudadanía (personas físicas, asociaciones de ciudadanos, de pacientes, empresas especializadas o con interés en el uso y re-uso de los datos, y "otros destinatarios".

Como ha hecho saber esta Autoridad en anteriores ocasiones, entre otros, en el Informe 3/2014, relativo al Proyecto de Decreto de modificación del Decreto 67/2010 -que se puede consultar en la web www.apd.cat , la exigencia de legitimidad, presente en relación con cualquier tratamiento de datos, debe ser más estricta en casos en que se prevé el tratamiento de datos sensibles, como es el caso que nos ocupa.

A modo de ejemplo, teniendo en cuenta la normativa aplicable, los usos y finalidades de la HC, y vista la tipología de clientes finales de la información a tratar, que puede ser, insistimos, según el Proyecto, información personal no anonimizada, desde la perspectiva de la protección de datos y de los usos admitidos para la HC, puede ser difícilmente asumible que una asociación de ciudadanos o determinadas empresas, tengan que acceder a través del Proyecto, a información personal sensible no anonimizada, independientemente que se vehicule a través del consentimiento. Por el contrario, si los clientes finales son investigadores y requieren los datos para fines de investigación (artículo 11.3 Ley 21/2000), en algunos casos sí podría ser necesario acceder y tratar información no anonimizada, si se dispone de los necesarios consentimientos, si bien, en otros casos, se podrá llevar a cabo la investigación con información agregada.

Por el contrario, la normativa prevé determinadas finalidades que deben permitir el acceso a información contenida en la HC, sin consentimiento. A modo de ejemplo, según el artículo 11.5 de la Ley 21/2000, se prevé el acceso a las HC para funciones de inspección, acotado al personal al servicio de la Administración sanitaria.

Por todo ello, dada la casuística amplia y diversa que se puede dar en relación con los clientes potenciales, las finalidades previstas, los servicios identificados, y los ficheros que serían fuente de información en el contexto del Proyecto VISC+, y sin perjuicio de que en la Documentación aportada se haga referencia a la necesidad de consentimiento de los afectados en determinados supuestos, desde la perspectiva de la protección de datos, sería conveniente una mayor claridad y concreción en el Proyecto VISC+, respecto cuáles servicios y tipologías de clientes pueden llegar a requerir la utilización de información personal sensible no anonimizada, y cuáles no, y para qué finalidad concreta.

VI

6. Régimen de comunicación de datos personales

En cuanto al régimen de comunicación de datos personales, el artículo 11 de la LOPD dispone lo siguiente:

"1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será necesario: a) Cuando la cesión está autorizada en una ley. (...)".

 El artículo 11.6 LOPD, por su parte, establece que si la comunicación se produce previo procedimiento de disociación, no será de aplicación lo establecido en los apartados anteriores. Como se ha apuntado, el Proyecto VISC+ enmarcaría principalmente en el fin de investigación, si bien la documentación aportada hace referencia, también, a otros fines. Dado que la información objeto de tratamiento (incluida en los diferentes ficheros descritos) es información sensible, y puede provenir en buena parte de la HC, a los efectos de la previsión de el artículo 11.2.a) LOPD hay que tener en cuenta las previsiones de la normativa sectorial.

Según disponen los artículos 16.3 de la Ley 41/2002, y 11.3 de la Ley 21/2000, el acceso la HC con fines de investigación, entre otros, requiere el consentimiento expreso los titulares a menos que los datos se traten de forma anonimizada en los términos previstos en la normativa citada (Ley 41/2002 y Ley 21/2000).

El Proyecto VISC+ conlleva, en parte, el acceso de los clientes finales a datos anonimizados -apartado 1. del Documento "Procedimiento para la cesión de datos (...)" -. Ahora bien, también se prevé la cesión al usuario final de datos personales de salud que no han sido anonimizadas para investigación médica y evaluación. En este último supuesto será necesario disponer del consentimiento informado de los titulares de los datos, por aplicación de la normativa sectorial citada.

El artículo 5.1.d) del RLOPD define el consentimiento como "cualquier manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen”.

En relación, concretamente, con la cesión de datos personales, el artículo 12.2 del RLOPD dispone que:

"Cuando se solicite el consentimiento del afectado para la cesión de sus datos, debe ser informado de forma que conozca inequívocamente la finalidad a que se destinan las datos respecto de la comunicación de las cuales se solicita el consentimiento y el tipo de actividad que lleva a cabo el cesionario. En caso contrario, el consentimiento es nulo".

Según dispone el artículo 11.3 de la LOPD:

"Es nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se proporcione al interesado no le permita conocer la finalidad a que destinan los datos la comunicación de las cuales se autoriza o el tipo de actividad del receptor de la comunicación".

Con respecto, en cambio, a la cesión de datos sin ningún dato que permita la identificación del afectado, se trataría de una cesión de datos anonimizados, que ya no requeriría del consentimiento de los afectados, dada la previsión de los artículos 11.6 LOPD, 16.3 de la Ley 41/2002 y 11.3 de la Ley 21/2000, citadas. Por aplicación de las leyes citadas de autonomía del paciente, la anonimización de los datos de la HC habilita la comunicación de la información para fines de investigación o búsqueda, por lo que, estrictamente, el consentimiento del paciente ya no sería necesario.

En este punto, recordemos que el Considerando 26 de la Directiva 95/46 / CE, de protección de datos personales, dispone que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable, y añade que, para determinar si una persona es identificable hay que considerar el conjunto de los medios que pueda utilizar razonablemente el responsable del tratamiento o cualquier otra persona, para identificar esta persona; que los principios de la protección no aplicarán a aquellas datos hechos anónimas de manera que ya no sea posible identificar al interesado.

Según el artículo 2.a) de la Directiva citada, son "datos personales" toda información sobre una persona física identificada o identificable, y se considera identificable toda persona la identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

Ya avanzamos que el procedimiento de disociación de la información de salud que se pueda contener en los ficheros afectados por el Proyecto VISC+, entendido como "cualquier tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a una persona identificada o identificable " (art. 3.f) LOPD) deberá ser adecuado, a fin de asegurar que se ceden "datos disociados" (art. 5.1.e) RLOPD), es decir, datos que no permiten la identificación del afectado.

 Por eso no parece que pueda ser admisible una previsión como la contenida en el apartado 3.2.3 del DT. En la página 15 de este documento se afirma lo siguiente:

"En caso de que la petición del cliente se corresponda al acceso a un volumen de datos anonimizadas que implique un riesgo de desanonimización / personalización de estas datos, será necesario que (la entidad), a través del comité de dirección, evalúe y autorice esta solicitud para dar cumplimiento a la LOPD”.

En caso de que exista el riesgo que se menciona en este párrafo no parece que el comité de dirección pueda autorizar la petición. Si existe un riesgo de re-identificación, habrá que denegar la solicitud o introducir las garantías suficientes para hacer desaparecer este riesgo. Observación ésta que se puede trasladar también al apartado1.3.2 del Documento relativo al procedimiento, donde se recoge esta previsión (pág. 7).

Estas mismas consideraciones son extensibles a la posibilidad prevista en el apartado "Disponibilidad de los datos" del Anexo 1, en el que se requeriría autorización de la entidad así como justificación por el adjudicatario que la petición se corresponde a una necesidad concreta.

Sin perjuicio de las consideraciones que se puedan hacer más adelante, en relación con los procedimientos de disociación o anonimización que deban llevarse a cabo en el contexto del Proyecto VISC+, resultan de especial interés el Dictamen del Grupo de Trabajo del Artículo 29 (GTA29), 6/2013, sobre datos abiertos y reutilización de la información del sector público (ISP), de 5 de junio de 2013, así como el Dictamen 5/2014, del GTA29, sobre técnicas de anonimización, de 10 de abril de 2014.

Hechas estas consideraciones generales, a continuación se hará referencia específica a diversas previsiones de la Documentación aportada, relativa al Proyecto VISC+.

VII

7. Responsabilidad y propiedad de la información

En relación con el alcance del contrato (apartado 5 del DA), se prevé que el Adjudicatario ostentará sobre la información tratada un derecho de uso, tratamiento, agregación y explotación vinculado a la comercialización de los productos y servicios VISC+, y que el Adjudicatario "no ostenta la propiedad ni ningún derecho ilimitado sobre los datos, siendo responsable ante ésta, las autoridades competentes y terceros del cumplimiento de la normativa aplicable al tratamiento de datos de carácter personal”.

A efectos de claridad, y para dejar constancia de que las posibles responsabilidades del adjudicatario en relación con el tratamiento de datos personales no desvirtúa las que correspondan a la entidad o a los diferentes responsables (artículo 3.d) LOPD) de los ficheros de datos (artículo 3.b) LOPD) que son fuente de origen de la información tratada, sería bueno añadir una referencia a que la responsabilidad del Adjudicatario es sin perjuicio de la que pueda corresponder a la entidad o los responsables de dichos ficheros.

En cualquier caso, vistas las menciones hechas a la propiedad sobre los datos (en este apartado 5 del DA, entre otros), conviene recordar que la titularidad de un dato personal (No la propiedad), corresponde siempre a la persona física [artículo 3.e) LOPD].

Por otra parte, la cláusula 39 del DA se refiere, en el acceso a " datos de (la entidad) ".Sería más claro referirse a las "datos que (la entidad) cede al Adjudicatario", pues lasdatos personales, anonimizadas o no, puedan ser objeto de cesión a los efectos de cumplimiento del contrato, no son, desde la perspectiva de la LOPD, de la entidad, sino que su titularidad pertenece siempre a la persona física afectada. Hacemos extensiva esta consideración al resto de menciones, de la cláusula 39, en datos de la entidad y del Departamento de Salud, en el sentido de que sería más ajustado a la LOPD referirse a los datos de los ficheros responsabilidad de la entidad o del Departamento de Salud o, en su caso, de ficheros de otros responsables.

Similares consideraciones pueden hacerse con respecto a las referencias contenidas en la cláusula 21.1 del DA en la titularidad de las bases de datos, los conjuntos o subconjuntos de datos o el 21.2 en cuanto a la titularidad de los datos relativos a los contactos y los clientes del Adjudicatario.

Por otra parte, dicha cláusula 21 también prevé que, con respecto a los datos de los contactos y clientes del Adjudicatario, éste garantiza que dispone de las correspondientes autorizaciones para llevar a cabo la cesión, que se realizará de conformidad con la normativa de protección de datos personales. Si bien se valora positivamente la mención que ésta se produciría de acuerdo con el LOPD, no parece claro de qué cesión se trataría.

VIII

8. Deber de confidencialidad

Según la documentación aportada, el objeto del contrato de colaboración público privada para desarrollar el Proyecto VISC+ consistirá en poner en valor las datos generados por el sistema público catalán, "mediante el tratamiento, el análisis y la explotación de estos datos, previamente anonimizadas, garantizando en todo momento el cumplimiento de la normativa en materia de protección y tratamiento de datos (...) " (Apartado 4 del DA). Se añade que " la puesta a disposición del Adjudicatario de esta información y datos se producirá de forma anonimizada, en los términos y condiciones descritos en el DT de solución final "(apartado 5. DA).

En este sentido, la cláusula 39 del DA hace referencia al "Deber de confidencialidad y protección de datos ", y obliga al Adjudicatario a mantener absoluta confidencialidad y reserva sobre cualquier dato que pudiera conocer con ocasión del cumplimiento del contrato incluyendo una remisión a la LOPD. Sin perjuicio de que esta remisión al LOPD resulte adecuado, convendría hacer referencia en concreto al artículo 10 de la LOPD, que prevé el deber de secreto en el tratamiento de datos personales.

Dicho esto, la cláusula 39 continúa exponiendo que "la puesta a disposición del Adjudicatario de los datos se producirá de forma anonimizada, por lo que los datos tendrán la condición de disociadas al no permitir la identificación de los afectados o interesados. En este sentido, la prestación de los servicios no supone en ningún caso el acceso a datos personales de (la entidad) y del Departamento de Salud, por el personal puesto a disposición por parte del Adjudicatario, comprometiéndose éste a no acceder en ningún momento en virtud de la ejecución del contrato a datos de carácter personal titularidad de (la entidad) ni del Departamento de Salud, ni tratar ningún tipo de dato de carácter personal a la hora de ejercer sus funciones”.

Sin perjuicio de las consideraciones que se harán a continuación respecto al proceso de anonimización y el flujo informativo entre la entidad y el Adjudicatario, conviene señalar que difícilmente el Adjudicatario podrá ejercer sus funciones sin "tratar ningún tipo de dato de carácter personal". Por ello, habría que ceñirse esta afirmación en los datos facilitados por la entidad. Pero es que además, en otros apartados (p. Ej. En el apartado "servicios prestar "del Anexo 1) no parece que se pueda descartar que en algunos casos el Adjudicatario tenga acceso a datos personales, ya que por ejemplo en este Anexo 1 se prevé que en la ejecución del proceso de anonimización del Adjudicatario participe en la verificación de la anonimización o que la entidad pueda requerir el apoyo del Adjudicatario.

Por otra parte, en esta misma cláusula, en el subapartado titulado "Respecto de la información confidencial "se hace referencia a que tendrá el carácter de confidencial la información revelada por la entidad "por escrito o cualquier otro soporte que garantice la su recepción ". Hay que decir que, de acuerdo con el artículo 10 de la LOPD el carácter de confidencial debe predicarse de cualquier dato de carácter personal, con independencia de la forma o el soporte en que se haya enviado.

IX

9. Niveles de aprobación y gestión de la demanda

El DT, en el apartado 3.2.3 "Gestión de la demanda", prevé tres niveles de aprobación delas peticiones de los clientes finales, atendiendo, entre otros, al cliente que solicita el servicio, los objetivos por los que se solicita, si la petición requiere incorporar nuevas fuentes de información, o en atención a la cuantía económica del servicio, entre otros.

9.1. Nivel 1 de aprobación

El Nivel 1 de aprobación se refiere a clientes calificados como de bajo riesgo (los tres responsables de los ficheros implicados en el Proyecto, citados, agentes del SISCAT, la propia entidad, investigadores y centros de investigación, e industria o instituciones privadas en el ámbito de las ciencias de la vida y la salud). La solicitud, en estos casos, queda pre- aprobada, sin perjuicio de que se pueda denegar y pasar a un nivel 2 o 3 de gestión. Un los elementos a tener en cuenta en este nivel, para acceder a la solicitud del cliente, es que la petición de información esté alineada y sea proporcional al objetivo perseguido.

Esta proporcionalidad predicada en el texto respecto del objetivo perseguido, habría ponerla en relación no sólo con el objetivo que se persiga, sino también en los eventuales riesgos o perjuicios que se puedan causar en los derechos de las personas afectadas, y en concreto del derecho a la protección de datos de carácter personal.

En cuanto a la consideración de clientes de bajo riesgo, el amplio número y categorías de éstos no permite inferir que todos ellos deban tener acceso a toda la información solicitada. Como se ha hecho saber anteriormente, esto sólo se puede decidir valorando la información solicitada (cuantitativa y cualitativamente), la habilitación legal para hacerlo, si procede, y la finalidad pretendida.

9.2. Nivel 2 de aprobación

En la misma línea, con respecto al Nivel 2 de aprobación, también habría que explicitar que en evaluar la solicitud se tendrá en cuenta las exigencias de la normativa de protección de datos. En este nivel se evalúan las solicitudes de los mismos clientes que en el Nivel 1, pero se trata de peticiones "que para ser entregadas se requiere incorporar nuevas fuentes de datos (no disponibles en el momento de hacer la petición) o realizar un tratamiento específico de los datos ya disponibles". A los efectos que nos ocupan, una petición de nuevos datos obligará a examinar su pertenencia atendiendo a los principios de calidad y de finalidad. Aparte de eso, no resulta claro cuál puede ser este tratamiento específico, ni las implicaciones que esto puede tener para la protección de datos. Convendría, pues, aclarar estos extremos.

9.3. Nivel 3 de aprobación

En cuanto al Nivel 3 de aprobación, se reserva para las solicitudes relacionadas con la realización de un ensayo clínico, con proyectos de investigación que conllevan algún riesgo físico o psicológico para un ser humano, o en los que hay consentimiento informado asociado a la petición.

Según el DT, en estos casos, y los que se prevean según la normativa, el Adjudicatario deberá comprobar que el solicitante acompañe la petición con consentimientos necesarios y la aprobación correspondiente para realizar el estudio por parte de un CEIC, que haya tenido en cuenta que se obtendrán datos o información provenientes de VISC+.

En cuanto a la descripción de este Nivel 3, el hecho de que se mencione la concurrencia de consentimiento informado asociado a la petición, permitiría deducir que se está refiriendo a aquellos casos en que la cesión de datos se producirá sin anonimización previa de la información. A sensu contrario, también se podría inferir de esto que los Niveles 1 y 2, en el que no hay ninguna mención al consentimiento informado, se reservan para las cesiones de datos anonimizadas.

Ahora bien, desde la perspectiva de la protección de datos, hay que recordar que debería especificar, en términos bastante claros, la vinculación entre cada nivel y la posibilidad de ceder datos anonimizados o datos personales. Ya se ha puesto de manifiesto que en el contexto del Proyecto VISC+ la comunicación de datos anonimizados en origen presenta un menor riesgo potencial para la protección de datos, y se debería priorizar en frente de cesiones de datos de salud no anonimizadas, que debería ser excepcional.

Esta excepcionalidad, justificada en los principios de calidad -en la vertiente de proporcionalidad y minimización, y de finalidad, debería quedar explicitada en la información que se refiere a los 3 Niveles de autorización referidos. Es decir, habría que explicitar que todos aquellos casos en que se prevea que el cliente final tiene que acceder y tratar datos sin anonimizar, deberán ser validados en atención a los principios y obligaciones de la normativa de protección de datos, y quedarán sometidos al Nivel 3 de aprobación.

Nuevamente hay que reiterar que, sin descartar que en algunos casos determinados clientes finales pueden requerir una cesión de datos de salud junto con datos de identificación del paciente, esta posibilidad no debería ser la norma general, sino sólo fruto de una evaluación que tenga especialmente en cuenta los riesgos potenciales desde la perspectiva de la protección de datos.

X

10. Procedimiento técnico de anonimización

El Anexo 1 del DT y el anexo 3 del documento relativo al procedimiento, describen el proceso de anonimización que debe llevarse a cabo. En concreto, se prevé en primer lugar eliminar la información identificativa de personas físicas (datos identificativos y "información genética "), y también eliminar o reducir al mínimo imprescindible el detalle de la información o otras variables que puedan dar lugar a identificaciones indirectos.

Parecería en un principio que la actuación del adjudicatario no debe comportar el acceso a datos de carácter personal, dado que la información que se le enviaría, sería información anonimizada previamente. Así se desprende de la página 1 del documento relativo al procedimiento de cesión, y también de la cláusula 39 del DA. Sin embargo, hay diferentes previsiones en el Anexo 1 del DT que parecen apuntar lo contrario. Así encontramos diferentes referencias que podrían conllevar el tratamiento de datos personales por el adjudicatario:
  • En el apartado "Proceso de anonimización: se afirma que el adjudicatario participa en proceso de verificación de la anonimización.
  • En el apartado "Servicios a prestar" se afirma que la entidad podrá requerir el apoyo del adjudicatario en el proceso de anonimización.
  • En el apartado "Ubicación de los datos" se afirma que puede haber datos que permitan la identificación indirecta.

Igualmente en el apartado 2.2.2.1 del DT se manifiesta que se entregará al adjudicatario una muestra representativa de estas fuentes de datos, a fin de que el adjudicatario diseñe catálogo de servicios, el proceso de comercialización y el proceso de anonimización.

Siendo así, en la relación jurídica que se establezca entre la entidad y el Adjudicatario, habría recoger de forma expresa las cláusulas previstas en el artículo 12.2 LOPD, en configurarse el adjudicatario como un encargado del tratamiento. En cambio, en el apartado 1.3 del documento relativo al procedimiento no se encuentra ninguna referencia a esta cuestión.

Respecto las variables a eliminar, en atención a la finalidad, se podría valorar eliminar también la información sobre el centro sanitario, en línea con la previsión de anonimizar, si caso, el dato sobre el profesionales sanitarios que atienden a un paciente.

El Anexo 3 citado prevé que se establezca un "código anónimo de la persona". Se prevé que la entidad facilitará los datos estructurados ya anonimizadas al Adjudicatario utilizando, por a una misma persona, un mismo código anónimo de persona para permitir relacionar los diferentes conjuntos de datos. A esto se añade que "El Adjudicatario deberá de utilizar un sistema de anonimización diferente para cada entidad jurídica usuario final. El Adjudicatario deberá aplicar un segundo proceso sobre el código de caso anónimo que facilite (La entidad) para que cada entidad jurídica usuario diferente tenga un código de caso anónimo calculado de forma diferente”.

 El Anexo 3 del Documento de "Procedimiento para la cesión de datos (...)", en línea conel Anexo 1 del DT, añade información relativa al algoritmo de cálculo que aplicaría la entidad para calcular el código anónimo de persona, a la que nos remitimos. En línea con el que se ha apuntado, se prevé la eliminación de identificaciones directas (eliminar los datos identificativos de personas físicas Pacientes, profesionales sanitarios, etc.-) y también las identificaciones indirectos, tales como, a modo de ejemplo, sustituir la fecha de nacimiento para al año, o la altura y el peso por rangos de la altura y peso. Por último, se prevé en este documento informar sobre riesgos de identificaciones directos o indirectos, y sobre riesgos derivados de la excesiva información sobre un mismo afectado, sobre códigos anónimos mal calculados, o sobre la revelación de la clave de cifrado. En este punto hacemos extensiva consideración anterior sobre la eliminación, si procede, de información sobre el centro sanitario, si no es relevante para la finalidad pretendida.

Se valora positivamente que en el Documento "Procedimiento para la cesión de datos (...) ", en el apartado 1.3.3 "Supervisión de la formalización del contrato", se prevé que la entidad podrá supervisar en todo momento los contratos que se formalicen con usuarios finales, y que comprobará "que en los contratos se indique que se aplicará una transformación del código anónimo de persona para obtener un código de caso específico y diferenciado para cada usuario final".

Desde la perspectiva de la protección de datos, y de las exigencias referidas al proceso de anonimización de datos que se llevará a cabo en el contexto del Proyecto VISC+, las previsiones del Anexo 3, citado, deben valorarse positivamente, ya que deben suponer no sólo anonimizar la información personal sobre un individuo, sino que explicita que cada cliente final recibirá la información en unos términos que no deberían permitir, en principio, la vinculación con la información que habrá recibido otro cliente final, debido a que el código de caso anónimo no coincidirá en uno y otro caso.

De todos modos, con el fin de reducir los riesgos de re-identificación de información anonimizada (cuestión que concretaremos a continuación), se recomienda prever que, cuando se trate de peticiones que, a pesar de ser formuladas por un mismo cliente final, no estén vinculadas a un mismo proyecto, convendría atribuir un código de caso diferente.

Sin embargo, en virtud del principio de minimización al que ya hemos hecho referencia, no parece que la atribución de un código tenga que ser necesario en todos los casos. Por eso habría que plantearse que, en aquellos casos en que la finalidad no lo requiera, s'anonimitzi sin atribuir ningún tipo de código.

También es relevante y debe valorarse positivamente, que se tengan en cuenta medidas concretas de análisis de riesgos. Sobre estas cuestiones, nos remitimos nuevamente al Dictamen del GTA29 5/2014, [3] sobre técnicas de anonimización.

Por otra parte, en la cláusula 5 del DA se prevé que el Adjudicatario "no podrá hacer ningún acción para re-identificar datos que (la entidad) haya facilitado de forma anonimizada y deberá comunicar a (la entidad) cualquier dato que se le haya facilitado en principio anonimizada pero que se detecte que puede ser posible asociarla a una persona concreta".

 Se valora positivamente esta mención, en el sentido de que, desde la perspectiva de la protección de datos, incluso en el caso de anonimización previa de la información personal (En el caso que nos ocupa, en buena parte datos sensibles), hay que tener en cuenta las posibilidades de que esta información pueda permitir la identificación de su titular. Así lo ha puesto de manifiesto el GT29 en su Dictamen 5/2014, sobre técnicas de anonimización, en el que se recuerda lo siguiente:

"(...) Los responsables del Tratamiento deben ser conscientes de que un conjunto de datos anonimizado puede entrañar todavía riesgos residuales para los Interesados. Efectivamente, por una Parte, la anonimización y la reidentificación son campos de investigación activos en los que se publican con regularidad nuevos descubrimientos y, por otra, incluso los datos anonimizados, como las estadísticas, puedo usarse para enriquecer los perfiles existentes de personas, con la consiguiente creación de nuevos problemas de protección de datos. En suma, la anonimización no debe contemplarse como un procedimiento esporádico, y los responsables del rratamiento de datos deben evaluar regularmente los riesgos existentes”.

Así, según el GT29, el riesgo de re-identificación es inherente a cualquier técnica de anonimización, por lo que la intimidad y el derecho a la protección de datos del titular, podría verse comprometida.

En este sentido, resulta positivo que en el contexto del Proyecto VISC+ se prevea que la detección, por parte del Adjudicatario, de la posibilidad de re-identificaciones del titular los datos, tenga que ser puesto en conocimiento de la entidad. Volveremos sobre esta cuestión en el apartado de este dictamen relativo a las medidas de seguridad. En cualquier caso, se recomienda que se tengan en cuenta, en el contexto del Proyecto VISC+, las consideraciones del Dictamen 5/2014 del GTA29, citado, respecto la necesidad de hacer un análisis de riesgos en función de las técnicas de anonimización empleadas y las posibilidades de re-identificación inherentes a estas técnicas.

En cuanto a la re-identificación, hacer notar también que en el apartado "Re-identificación de las datos "del Anexo 1 del DT se hace referencia como supuesto en que se podrá desanonimitzar, los casos en que se haga " con traza de los accesos ". No parece queesta sola circunstancia deba habilitar la re-identificación. En cualquier caso tampoco queda claro en este apartado que podría llevar a cabo esta desanonimització. También se hace referencia a la re-identificación en el pacto noveno del Acuerdo de encargo del tratamiento, a lo que nos referiremos más adelante, recogido en el Documento "Encargo servicios de anonimización de datos (...) ", aportado con la consulta, y que se ha de firmarentre el Departamento de Salud, CATSALUT y el ICS como responsables de los ficheros, y la entidad, como prestador de servicios (encargado del tratamiento). En este pacto noveno se prevé que "En el caso de que el Prestador de Servicios sea conocedor de posibles peligros para la salud presente o futura de los afectados como resultado del análisis de una combinación de datos, concreta, éste se compromete a informar a los Responsables de ficheros para que tomen las medidas pertinentes y reidentifiquin del afectado, en caso de que fuera necesario. En ningún caso se autoriza el Prestador de Servicios a hacer la reidentificación de los casos en situación de riesgo. "Esta previsión se valora positivamente, ya que hace recaeren el responsable del fichero la decisión de una posible re-identificación. De esta Así, está claro que es este responsable quien deberá llevar a cabo la re-identificación en los casos en que pueda ser justificado.

Finalmente, hacemos notar que en el apartado 3.2.3 "Gestión de la demanda", del DT, en el que sehace referencia a los 3 Niveles de autorización de solicitudes de datos, también se tiene en cuenta aquellos casos en que la petición del cliente se refiera a un volumen de datos anonimizadas que implique un riesgo de desanonimització / personalización de los datos, respecto a los cuales se prevé que la entidad deberá evaluar y autorizar esta solicitud para dar cumplimiento a la LOPD. Se considera positiva esta previsión general de detección de casos en que, por el volumen de la información solicitada, se pueda detectar un riesgo de re-identificación, que exigirá un análisis más preciso desde la perspectiva de la protección de datos.

Dicho esto, en la línea de la observación formulada en el Fundamento jurídico VI, se recomienda que incorpore una referencia a las medidas compensatorias que en estos casos puedan minimizar tanto el riesgo potencial de re-identificación, como los efectos negativos en las personas afectadas, a fin de que se pueda autorizar.

XI

11. Procedimiento establecido para la cesión de datos

En este apartado se analizan las particularidades del procedimiento de cesión de datos previsto en el contexto del Proyecto VISC+, incluidas en el Documento "Procedimiento para la cesión de datos personales anonimizadas de salud al Adjudicatario de VISC+ para investigación médica y evaluación”. De entrada, hay que hacer notar que el título del Documento es confuso, ya que las cesiones de datos previstos no se limitan a datos anonimizados, como se podría deducir del título citado, sino que el propio Documento que analizamos establece el procedimiento para ceder, también, datos personales que no han sufrido un proceso de anonimización. Convendría, en efectos de claridad, referirse en el título a la cesión de anonimizadas y de datos personales. En cuanto a las menciones de este documento a la finalidad de "evaluación", nosremitimos a lo ya apuntado sobre la falta de concreción del tipo de evaluación en qué se está refiriendo.

Este documento define dos procesos diferentes sobre la cesión de información en el contexto del Proyecto VISC+:

1) Procedimiento para la cesión de datos personales anonimizadas de salud al Adjudicatario de VISC+ para investigación médica y evaluación. De entrada, como se ha hecho saber en este dictamen, desde la perspectiva de la protección de datos, este es el procedimiento de cesión que convendría priorizar en el contexto del Proyecto VISC+, teniendo en cuenta que la anonimización ofrece un tratamiento menos invasivo y de menor riesgo para los afectados.

Partiendo de esta premisa, se hacen las siguientes consideraciones.

Se prevé la creación inicial de los conjuntos de datos anonimizados que se pondrán a disposición del Adjudicatario, por lo que este debe elaborar un informe en el que se detalle, entre otros, la propuesta de procedimientos y herramientas para anonimizar y generar un conjunto de datos no estructurados (imágenes médicas, PDFs, etc.), y la valoración del riesgo de identificaciones indirectos, que será imprescindible cuando se trate de obtener datos para un destinatario y finalidad concreta.

Se valora positivamente que se prevea que se podrá incorporar una propuesta de marcaje de datos o de "sembrado de la información" (introducción de datos ocultos o enmascaradas entre las reales que, sin afectar a la calidad de la información, permiten la detección de usos no autorizados), técnica que permitiría identificar posibles fugas -o accesos indeguts- que se pudieran producir, y también que este marcaje deberá ser diferenciado para cada usuario final que solicite los datos. Más allá de la posibilidad de aplicar estas técnicas de marcaje en un procedimiento concreto de cesión de datos anonimizados, se sugiere que se incluya esta cuestión en el contrato ya la vez que se valore introducirla no ya como una posibilidad en manos del Adjudicatario sino como una obligación de éste.

También se hace remisión a los criterios de anonimización aprobados por la entidad (Anexo 3), y explicita que "cualquier excepción a la no aplicación de alguno de los criterios de anonimización deberá acompañarse de una justificación los motivos de excepcionalidad”.

Teniendo en cuenta que la cesión de datos no anonimizadas ya está prevista en el Procedimiento 2, no está claro qué podría justificar la no aplicación de la anonimización prevista en el Anexo 3, ni cómo -o por parte de qué se debería evaluar esta excepción. En caso de que no exista consentimiento expreso de las personas afectadas o una ley que habilite la comunicación, la información deberá ser inevitablemente anonimizada, sin que puedan existir motivos de excepcionalidad.

En la valoración que la entidad debe hacer de las solicitudes del Adjudicatario (para de obtener datos anonimizados), se explicita que habrá que hacer una valoración del cumplimiento del LOPD, y se prevé que, en esta evaluación, se invitará a asistir al responsable de los datos objeto de solicitud, "especialmente en caso de que se considere que existe algún riesgo significativo que ponga en peligro el cumplimiento de la LOPD".

Esta previsión, que se entiende referida al responsable del fichero o ficheros afectados, se considera pertinente, pues el responsable podrá participar, en estos casos, de la evaluación en cuestión. Ahora bien, de la redacción de este apartado ("... se podrá invitará asistir ... " ) no queda claro si invitar el responsable es una opción, o bien uncompromiso. En cualquier caso, la opción más garantista aconsejaría la implicación en todos estos casos del responsable.

2) Procedimiento para la cesión de datos personales de salud para investigación médica yevaluación al usuario final.

Nos referimos, en este caso, en el proceso que recoge todas las actividades necesarias para la creación inicial de los conjuntos de datos personales por solicitud del Adjudicatario con motivo de un encargo de un usuario final.

En principio, en este procedimiento, aunque el Adjudicatario intervendría en la presentación de la solicitud del usuario final ante la entidad (apartados 2.1 y 2.2 del documento relativo al procedimiento), por lo que se describe en este apartado parecería que el Adjudicatario no debe intervenir en la entrega de los datos. Así se desprende también del apartado 2.2.2 del DT.

Sin embargo, del apartado "Usos de los datos" del Anexo 1 del DT parece desprenderse el contrario, dado que se manifiesta que el Adjudicatario deberá preservar el modelo de seguridad, disponibilidad y uso de datos que esté vigente en cada momento y no podrá utilizarse para ninguna otra finalidad que las enumeradas anteriormente ni facilitar a terceros, sin consentimiento expreso por parte de la entidad. También parece desprenderse eso de las menciones al adjudicatario contenidas en los apartados 2.3.1, 2.3.3.1 y 2.3.3.2 del documento relativo al procedimiento.

También parece desprenderse de la referencia a la elaboración de un informe del apartado 2.3.2 del documento relativo al procedimiento, porque, aunque en este caso no se menciona directamente al adjudicatario, parece que se está refiriendo a él.

Las referencias al adjudicatario en estos apartados sólo tendrían sentido si el adjudicatario interviene en el tratamiento de datos no anonimizadas (qué son los datos a que se refieren estos apartados). Para ello sería necesario corregir esta falta de congruencia.

Este procedimiento implica no ya un flujo informativo de información anonimizada, sino de datos personales de salud. Por ello, hay que insistir en que, aparte de la necesidad del consentimiento de las personas afectadas, cualquier cesión deberá fundamentarse en una finalidad legítima, habrá que comprobar que el usuario final está habilitado para tratar datos para este fin, y valorar que los datos no son excesivas para dicha finalidad, cuestión que se prevé en el documento (punto 2.1.1). Cabe decir que en el mismo apartado 2.1.1, que comentamos, se hace mención que el informe del Adjudicatario deberá tener en cuenta, entre otros, "el grado de detalle de los valores de las variables, cuando son tan detalladas que podrían dar lugar a identificaciones indirectos". Teniendo en cuenta que en este segundo procedimiento se tratarán datos personales, hay que hacer notar que la posibilidad de identificación de los afectados será más que probable, y no sólo de manera "Indirecta". Teniendo en cuenta esto, como ha sido ampliamente expuesto en este informe, hay que extremar las precauciones, en atención a la normativa de protección da datos, a la hora de dar viabilidad a cualquier petición de usuarios finales en el marco de este procedimiento.

En relación con el consentimiento de los afectados, en el apartado 2.1.1 "Solicitud de el adjudicatario ", se prevé que el informe del Adjudicatario debe tener, entre otros, el siguiente contenido:

"Los consentimientos informados de las personas incluidas en el conjunto de datos solicitado. Estos consentimientos deberán cumplir con los requerimientos de la LOPD y cubrir explícitamente la cesión de datos solicitados".

 El Anexo 1 del DT hace referencia a que si se facilitan datos de personas identificables, para que el cliente final necesita enriquecer datos personales que ya tiene con datos del Departamento de Salud (o, se supone, de los demás responsables de los ficheros implicados en el proyecto), será necesario que aquél facilite una auditoría que demuestre que cumplirá con las obligaciones del LOPD, en referencia, entre otros, el "consentimiento válido de todos los afectados".

De entrada, además de prever los requerimientos de la LOPD, habría que incluir una referencia explícita a los requerimientos que se puedan prever en la normativa aplicable en cada supuesto. Como se ha dicho, en materia de investigación médica, las leyes de autonomía del paciente, o de otras leyes aplicables a los ensayos clínicos, la investigación biomédica, etc, prevén particularidades respecto el consentimiento informado de los afectados, que habrá que tener en cuenta en cada caso.

En conexión con esto, en el apartado 2.1.3 "Generación y entrega del conjunto de datos personales " , se dispone que la entidad ejecutará el proceso para obtener efectivamenteestos datos, y que "cuando se hayan obtenido estos datos se realizará una prueba de la aplicación y una verificación de la selección de pacientes con consentimiento. ALuego, la entidad elaborará el informe de verificación y prueba sobre la correcta selección de los casos, y sobre "la comprobación de que los casos de los conjuntos de datos se corresponden con los casos en que el usuario final aporta consentimientos de los afectados".

Hay que recordar que no es lo suficientemente claro el mecanismo descrito para la obtención del consentimiento de los afectados. Parece claro que es el usuario final lo que aporta los consentimientos (debe entenderse, las hojas de consentimiento informado debidamente rellenados en base a lo que pueda prever la normativa aplicable en cada caso), pero estos consentimientos se refieren a personas incluidas en los conjuntos de datos solicitadas, en definitiva, en ficheros de datos a los que el usuario final no tiene acceso, ni es el responsable, ni el encargado del tratamiento (artículo 12 LOPD).

Hay que tener presente que, en el marco de las previsiones relativas al consentimiento de los titulares de los datos (artículos 6 y 11 LOPD), el artículo 12 del RLOPD concreta el siguiente:

"1. El responsable del tratamiento debe obtener el consentimiento del interesado para el tratamiento personal excepto en los supuestos en que el consentimiento no sea exigible de acuerdo con lo dispuesto en las leyes. La solicitud del consentimiento debe hacer referencia a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se solicita, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

2. Cuando se solicite el consentimiento del afectado para la cesión de sus datos, debe ser informado de forma que conozca inequívocamente la finalidad a que se destinan las datos respecto de la comunicación de las cuales se solicita el consentimiento y el tipo de actividad que lleva a cabo el cesionario. En caso contrario, el consentimiento es nulo.

3. Corresponde al responsable del tratamiento la prueba de la existencia del consentimiento el afectado por cualquier medio de prueba admisible en derecho”.

 En principio, es pues el responsable (artículo 3.d) LOPD), en el caso que nos ocupa, el Departamento de Salud, el CATSALUT y del ICS, responsables de los ficheros implicados en el Proyecto VISC+, a quien corresponde solicitar el consentimiento para poder ceder datos personales.

En estos términos, no está claro cómo un tercero ajeno a los responsables, ya priori indeterminado (pues los usuarios finales pueden ser entidades de muy diversa naturaleza), podrá identificar, contactar y obtener el consentimiento de los afectados, cuyos datos se tratan en estos ficheros. Sin prejuzgar que en algunos casos este esquema pueda ser realizable (p. ej. cuando las mismas personas ya hayan dado su consentimiento para participar en otras fases de un estudio) y pueda facilitar llevar a cabo este tipo de estudios, habría que dejar abierta la posibilidad de que pueda ser el mismo responsable del fichero, o en su caso la entidad, quien obtenga dicho consentimiento. En cualquier caso conviene recordar que la responsabilidad sobre el adecuado tratamiento de los datos seguirá correspondiente al responsable del fichero.

Aún en relación con el consentimiento, el punto 2.2 del procedimiento que describimos (Cesión de datos personales) prevé que a la hora de actualizar la información ("Actualizaciones temporales acordadas"), la entidad revisará "si hay altas o bajas en los consentimientos informados que se facilitaron inicialmente" .

Si, como parece, los consentimientos informados los debe obtener el usuario final, parece lógico inferir que será éste el que, habiendo informado adecuadamente a los afectados sobre la posibilidad de revocación de dicho consentimiento (artículos 6.3 11.4 LOPD), dispondrá de la información relativa a posibles revocaciones, o posibles nuevos consentimientos. Siguiendo este esquema, se prevé que la entidad deberá contrastar esta nueva información (Nuevos consentimientos o revocación de los anteriores) antes de dar nueva información. Esta medida supone una garantía, pues condiciona la cesión de datos a las oportunas comprobaciones.

A esto añadimos que el punto 2.2, que comentamos, prevé que la actualización de la información deberá tener en cuenta posibles modificaciones consecuencia del ejercicio de Derechos ARCO (Título III LOPD y Título III RLOPD), por parte de los pacientes de centros sanitarios, que son los que deberán modificado información consecuencia del ejercicio de estos derechos. Si bien esta previsión supone una garantía respecto la actualización de la información que llegaría a los usuarios finales, sería recomendable sustituir la expresión " centro sanitario "por" responsable del fichero".

También hacer notar que en el apartado 2.1.3, además de las cuestiones relativas al consentimiento que hemos apuntado, se prevé que "finalmente se realizará una validación de seguridad ", pero no se concretan los aspectos a verificar.

Finalmente, hacemos un apunte formal, dado que en la página 7 del Documento para la cesión de datos, se hace una referencia al Anexo 3 (condiciones de seguridad, uso y disponibilidad de datos), en lugar de referirse al Anexo 1.

XII

12. Medidas de seguridad

Si bien con carácter general el Proyecto VISC+ supone el tratamiento de información que a priori habrá sido anonimizada por la entidad, de tal manera que la actividad principal del Adjudicatario no implica, con carácter ordinario, el tratamiento de datos de carácter personal, también se prevé el tratamiento y cesión de datos personales. En consecuencia, sin perjuicio de las consideraciones ya hechas, conviene plantear un modelo integral de seguridad de la información para el conjunto del contrato VISC+, aplicable tanto al tratamiento de datos anonimizados como de datos personales.

El Proyecto VISC+ implica el tratamiento de datos de carácter personal que requieren la aplicación del nivel alto de medidas de seguridad (artículo 9 LOPD y título VIII del RLOPD).

El Pacto Cuarto del Acuerdo de encargo del tratamiento, incluido el documento "Encargo servicios de anonimización de datos y de cesión de datos anonimizadas y personales para fines de evaluación e investigación médicas ", aportado con la consulta, explicita que,de acuerdo con el artículo 9 de la LOPD, la entidad se compromete a adoptar las medidas de seguridad del nivel que se indica en el encabezamiento. Dado que el encabezamiento del documento no se refiere expresamente al nivel de seguridad (la referencia al nivel de seguridad aplicable no se encuentra hasta la página 7 del "Encargo de servicios ..."), sería recomendable hacer una referencia directa al nivel alto en el Pacto Cuarto.

En cualquier caso, queda claro que el nivel alto de medidas de seguridad resulta de necesaria aplicación, como se ha apuntado, teniendo en cuenta la información de que se trata en los ficheros del Departamento de Salud, de CATSALUT y del ICS, que son la fuente de donde extraerán los datos para el tratamiento objeto del Proyecto VISC+.

Ahora bien, las especiales características de los tratamientos y las actividades que derivan del contrato VISC+ aconsejan plantearse un modelo de seguridad que vaya más allá de las previsiones de seguridad previsto en el Título VIII del RLOPD.

El conjunto de la documentación aportada evidencia una clara voluntad de ofrecer las máximas garantías de seguridad para los datos, estableciendo medidas técnicas y organizativas que den como resultado un "modelo de seguridad, disponibilidad y uso de los datos "orientado a la protección del conjunto del sistema VISC+.

Con carácter general convendría que, como punto de partida, la seguridad de la información exigible al adjudicatario estuviera alineada con alguno de los conjuntos de buenas prácticas existentes (Tipo ISO27001). Si bien no sería necesario que elcontrato determine un conjunto concreto de buenas prácticas, si habría que determinar que las que finalmente implante del Adjudicatario deberán basarse en la gestión de riesgos, ser susceptibles de ser certificadas por un tercero independiente y poder ser revisables mediante procedimientos estándares de auditoría de seguridad o de sistemas de información. A partir de esta base, se podría verificar cómo se implantan los requisitos en relación con la protección de datos de carácter personal.

Dicho esto, a continuación se hacen las siguientes consideraciones.

En los criterios de valoración del contrato, previstos en el apartado 8.2 del DA, aparentemente no se incluyen los aspectos de gestión de la seguridad que pueda aportar el Adjudicatario. Este extremo debería ser relevante a la hora de valorar las propuestas. Respecto la valoración de la " gestión y operación de los servicios de análisis, tratamiento y explotación de datos "(hasta 17 puntos), donde a priori se incluirían las cuestiones de gestión de la seguridad, sólo se hace referencia a que se valorará como se da respuesta al requerimientos especificados en el apartado 3.2 del DT, sin hacer mención en el apartado 3.1 del mismo documento, que detalla la "seguridad y anonimización de los datos".

Según el apartado 2.2.2 del DT, se prevé poner a disposición del Adjudicatario una muestra de datos, a fin de diseñar las infraestructuras y procedimientos relacionados con el contrato. En consecuencia, habrá que tener en cuenta, también en esta fase, las medidas de seguridad previstas en los artículos 87 del RLOPD (ficheros temporales o copias de trabajo de documentos) y 94.4 RLOPD (pruebas anteriores a la implantación o modificación los sistemas de información). Esta consideración se hace extensible en el apartado 2.1.3 del Documento "Procedimiento para la cesión de datos", en que se prevé la generación y entrega del conjunto de datos personales.

En cualquier caso, sería oportuno que en el apartado 4.1 del DT ("Fase de preparación y construcción "), se explicitara que el tratamiento de datos en esta fase inicial resto sujeto a la normativa de protección de datos, específicamente, en relación con las medidas de seguridad aplicables.

En relación con las previsiones sobre la realización de auditorías (artículo 96 RLOPD), el apartado 5.3 del DT "Auditorías y gobernanza de la seguridad", prevé que la entidad" podrá realizar auditorías (...)". Sobre esta previsión, convendría hacer una definición más abierta del papel de la entidad, en el sentido de que pueda "realizar" o "encargar a terceros "la auditoría del modelo de seguridad.

En el apartado 1.4.1 "Auditorías" del Documento "Procedimiento para la cesión..." , se prevé, entre otros, una auditoría anual, el alcance de la que sería del 50%. Esto podría generar ciertos riesgos, pues puede resultar complejo determinar qué 50% daría suficiente evidencia de que las medidas de seguridad dan el resultado esperado y se adecuan a las previsiones del contrato y la normativa aplicable.

Para simplificar el modelo de auditoría, esta Autoridad propone un modelo más sencillo de implementar y potencialmente más eficaz, es decir, un modelo de auditoría continuada, la base de la verificación de la aplicación de los procedimientos y resultados de los procesos de seguridad, realizada internamente por el Adjudicatario, y con emisión de informes periódicos (tal trimestrales, o incluso semestrales) para ser analizados por la entidad, y una auditoría formal cada 2 años, realizada por una entidad externa y independiente, que finalice con un informe de auditoría con los contenidos mínimos exigidos por la normativa de protección de datos (artículo 96.2 RLOPD).

También hacemos mención que en el Anexo 3 del Documento de "Procedimiento para la cesión de datos personales (...) ", comentó, se prevé que "El envío de los datos que realice (La entidad), tanto en el Adjudicatario en caso de datos anonimizados como al usuario final en caso de datos personales, lo realizará mediante un sistema de transmisión de ficheros (FTP) cifrado". De hecho, se hace mención de esta cuestión (sistema de transmisión cifrado) en varios puntos de este Documento. Estas previsiones se ajustarían al artículo 104 del RLOPD, según el cual, cuando se requiere la implantación de medidas de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbrico de comunicaciones electrónicas se realizará cifrando los datos, o bien utilizando otros mecanismos que garanticen que la información no es inteligible ni manipulada por terceros. Ahora bien, para la trascendencia y los riesgos inherentes a esta operación, pues presumiblemente el intercambio de información se hará mediante redes públicas de telecomunicaciones, sería muy recomendable concretar más algunos aspectos técnicos, como la red de comunicaciones que se utilizará; los requisitos del software utilizado para la transmisión de los datos; las restricciones a nivel de red en cuanto al filtrado de direcciones IP (origen y destino); los requisitos mínimos de los algoritmos de cifrado en utilizar, etc... También se recomienda prever cifrar el canal de transporte, así como cifrar en origen los datos objeto de transmisión.

También hay que mencionar la previsión relativa a la tecnología empleada por el "centro competencia ", citado, que centraliza la tarea llevada a cabo por el Adjudicatario en el Proyecto VISC+ con el objetivo de que los servicios de análisis y explotación de datos que ha de ofrecer el Adjudicatario se presten desde un mismo espacio (apartado 3.4 del DT). Así, se prevé que el Adjudicatario deberá dotar al centro de competencia de los componentes y herramientas tecnológicas adecuadas para prestar los productos y servicios VISC+ (apartado 3.4.3 del DT). Se prevé que la tecnología empleada debe ser, entre otros, interoperable, para integrarse con otros sistemas corporativos y relacionarse con sistemas externos al entorno de la Generalidad, y segura a nivel de datos ya nivel lógico, para garantizar el acceso seguro a la información y al sistema, para custodiar los datos y evitar fugas o accesos no deseados a los servicios y la información, de acuerdo con el modelo de seguridad, disponibilidad y uso de los datos (Anexo 1 del DT). Por lo tanto, hay que entender que el centro de competencia queda vinculado por las medidas previstas en dicho Anexo 1. En cuanto al centro de competencia, desde la perspectiva de las medidas de seguridad aplicables, a nivel organizativo se sugiere identificar e incorporar las funciones básicas del delegado de protección de datos, especialmente por parte del Adjudicatario, a fin de comenzar a alinear las previsiones del contrato VISC+ con lo prevé el Proyecto de Reglamento Europeo de Protección de Datos, actualmente en tramitación.

En cuanto a la gestión de las incidencias, se hace referencia en los apartados 1.4.3 y 2.3.3 del Documento del Procedimiento para la cesión de datos, analizado. En síntesis, se prevé que el Adjudicatario y la entidad pueden detectar casos mal anonimizados o cualquier incidencia que afecte a la seguridad de los datos, y que en estos casos, se hará una análisis y una propuesta de plan de acción (que debe tener un contenido mínimo que se detalla), el cual deberá ser aprobado por la entidad. En conexión con esto, como se ha mencionado, en la cláusula 5 del DA se prevé que el Adjudicatario no puede hacer ninguna acción para re-identificar datos, y que tiene que comunicar a la entidad cualquier dato que se le haya facilidad en principio anonimizada pero que se detecte que puede ser posible asociarla a una persona concreta.

Desde la perspectiva de las medidas de seguridad previstas en el RLOPD, habría considerar esta casuística como un incidente de seguridad. En caso de producirse un acceso no autorizado a datos de carácter personal, este supuesto debería ser registrado formalmente como un incidente de seguridad. Por la relevancia de la cuestión, habría establecer en el contrato la obligación del Adjudicatario de mantener un registro de incidencias en los términos del RLOPD (artículos 90 y 100 del RLOPD).

Finalmente, dado que se prevé la comunicación a la entidad, por la importancia de este tipo de incidente sería recomendable concretar en el contrato algunos aspectos de esta comunicación: plazo para comunicarlo; quien comunica a quien; canal de comunicación preferente; y contenido mínimo de la comunicación, que en todo caso debería incluir, Aparte de los hechos ocurridos, el número de afectados y su ubicación en el tiempo, las medidas tomadas y las potenciales consecuencias de este incidente. Como sugerencia, y para alinear el Proyecto VISC+ con algunas obligaciones que se podrían derivar de la aprobación de Reglamento Europeo de Protección de Datos, citado, sería conveniente, con la intención de generar confianza en dicho proyecto, que la comunicación también se hiciera efectiva a la Autoridad Catalana de Protección de Datos.

Estos comentarios se hacen extensivos a los puntos 1.4.3 y 2.3.3 del Documento de "Procedimiento para la cesión de datos".

XIII

13. Ubicación de la información

También desde el punto de vista de la seguridad, es necesario hacer algunas consideraciones sobre la ubicación de la información.

El Anexo 1 del DT, citado, también hace referencia a la "ubicación de los datos". Desde un punto de vista formal, convendría mencionar en este apartado el RLOPD, que es la norma en que se concretan las medidas de seguridad aplicables, y no sólo la LOPD.

Dicho esto, en este apartado se hace referencia a que habrá que garantizar, entre otros, " la trazabilidad de todos los accesos". Al respecto, hay que hacer notar que el RLOPD exige, por los ficheros que requieren medidas de nivel alto, articular un registro de accesos, de por lo que de cada intento de acceso se guardarán, como mínimo, la identificación de del usuario, la fecha y la hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado (artículo 103 RLOPD). Se valoran, pues, en términos positivos, las diversas menciones que se hacen en la documentación aportada en la trazabilidad de los accesos.

En este apartado también se hace referencia a la necesidad de autorización previa de esta Autoridad para una transferencia internacional de datos, excepto dentro del Espacio Económico Europeo, entidades Safe Harbour de Estados Unidos y otros países homologados.

Dado que el propio DT, en el apartado 2.2.1 "Alcance del modelo de gestión y operación", explicita que el Adjudicatario debe canalizar la demanda del mercado nacional e internacional, no se descarta que alguno de los clientes potenciales de la información objeto de tratamiento en el contexto del Proyecto VISC+ pueda conllevar una transferencia internacional de datos. Si es así, ésta se encuentra sometida al régimen establecido en los artículos 33 y 34 de la LOPD.

En caso de no poder garantizar, por tanto, la adhesión a los principios del acuerdo Safe Harbor, en un caso determinado, o de no darse ninguna otra de las excepciones previstas en la LOPD habrá, además de cumplir con el resto de principios y obligaciones de la LOPD, contar con la autorización del Director de la Agencia Española de Protección de Datos (artículo 37.1.l) LOPD). Por lo tanto, la referencia que se hace en la APDCAT en esta apartado se debería hacer a la Agencia Española de Protección de Datos.

Finalmente, según este mismo punto del Anexo 1 del DT, se impide utilizar tecnologías "cloud computing" sin restricción de país o que se puedan utilizar CPDsque previamente no hayan superado con éxito una auditoría del cumplimiento de la LOPD, la que conviene puntualizar, deberá haberse realizado dentro del plazo de 2 años anteriores al uso del centro de proceso de datos (CPD). Es decir, este deberá estar al día en cuanto a la realización de auditorías de seguridad, en los términos del RLOPD (artículo 96).

En cualquier caso, con estas referencias a la computación en nube, se deduce que el Proyecto tiene en cuenta que un tratamiento de datos derivado de una transferencia internacional, en estos términos, podría no asegurar el correcto cumplimiento del régimen citado (artículos 33 y 34 LOPD), por lo que hay que valorar positivamente esta previsión.

XIV

14. Encargo del tratamiento y posibilidad de subcontratación de las prestaciones del contrato

La documentación aportada incluye el documento "Encargo de servicios de anonimización de datos y de cesión de datos anonimizadas y personales para fines de evaluación y investigación médicas ", ya mencionado.

Este documento se refiere al Acuerdo que deben suscribir, por una parte, los responsables de los ficheros relacionados con el Proyecto VISC+ (Departamento de Salud, CATSALUT y ICS), y por otro, la entidad, como prestador de servicios, y que debe constituir un encargo del tratamiento regulado en el artículo 12 de la LOPD, tal y como explicita en el punto 4 de dicho Acuerdo.

En cuanto a la "Descripción de los servicios encargados", incluida en el Acuerdo de encargo del tratamiento, conviene hacer las siguientes consideraciones:
  • Nuevamente se hacen referencias a la anonimización " de la información de los responsables los ficheros... ". Como se ha apuntado, convendría referirse a la información contenida en los ficheros de datos personales.
  • Se prevé que la entidad ha de comprobar que el cesionario dispone del consentimiento válido de cada una de las personas afectadas por ceder la información, y que dispone de una auditoría que demuestra el cumplimiento de las medidas de seguridad del LOPD. Sin perjuicio de otras consideraciones hechas en este dictamen respecto de estas cuestiones (consentimiento informado y auditoría), y de las responsabilidades que, en atención a la normativa de protección de datos, correspondan a los responsables de los ficheros, la previsión que será la entidad la que comprobará estos extremos (consentimientos y auditoría) se ajusta a la previsión hecha en el Anexo 1 del DT, según la cual es la entidad la que efectivamente debe revisar que el "cliente final" (receptor de la información personal) dispone de dichos consentimientos y auditoría.

El Acuerdo de encargo del tratamiento examinado contiene un apartado en el que se relacionan los "Ficheros administrativos de carácter personal a los que pertenecen los datos que se someterán a tratamiento dentro de los servicios encargados". Desde un punto de vista formal, y atendiendo a la terminología de la LOPD, habría referirse a "ficheros de datos de carácter personal ", y no en" ficheros administrativos de carácter personal".

En concreto, se relacionan ficheros titularidad del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud. En los tres casos también se excluyen de el encargo determinados ficheros, y se prevé, también en relación con los ficheros de los tres responsables, la siguiente fórmula:

"Y en el futuro cualquier otro fichero del (responsable) con datos de salud o centros asistenciales de interés para la investigación y evaluación médicas".

 Desde la perspectiva de la protección de datos, en concreto, de los principios de calidad y de finalidad (artículo 4 LOPD), hay que cuestionar que se emplee esta fórmula, pues abre la lleva a que ficheros que incluso aún no han sido creados y de los que, por tanto, se desconoce la finalidad y la información tratada, puedan quedar automáticamente afectados por el encargo del tratamiento y, por tanto, ser incluidos en el objeto del contrato que nos ocupa, referido al Proyecto VISC+. Esta inclusión automática de futuros ficheros es desaconsejable, ya que parece obviar la previa valoración del responsable (sea el Departamento de Salud, el CATSALUT o el ICS), de la conveniencia de incluir un determinado fichero en el Proyecto VISC+. Por lo tanto, el Acuerdo de encargo del tratamiento debería circunscribirse a los ficheros existentes determinados en el momento de su firma, o de otros que se pueda establecer de acuerdo con un previo proceso que permita evaluar su adecuación.

En cualquier caso, conviene recordar y sería bueno recoger de forma expresa que, al finalizar el encargo, resultará de aplicación lo previsto en el artículo 12.3 de la LOPD, es decir, habrá proceder al retorno de los datos al responsable o bien, en su caso, a su destrucción.

Aún en relación con el encargo del tratamiento, nos referimos a la cláusula 27 del DA, según la cual en los términos previstos en los artículos 227 y 228 del Real Decreto Legislativo 3/2011, de 14 de noviembre, que aprueba el texto refundido de la Ley de contratos del sector público (TRLCSP), las prestaciones del contrato que nos ocupa podrán ser objeto de objeto de subcontratación, y se especifican una serie de requisitos (página 35 del DA).

Dado que entre estos requisitos no se hace mención de cuestiones relativas a la protección de datos, conviene recordar que en caso de que la subcontratación a que hace mención la cláusula 27, citada, pueda afectar a datos personales, hay que tener en cuenta que, según el apartado 3 de la disposición adicional 26ª del TRLCSP:

"En el caso de que un tercero trate datos personales por cuenta del contratista, encargada de la Tratamiento, deberían de cumplirse los Siguientes Requisitos:

a) que dicho Tratamiento se del haya especificado en el Contrato Firmado por la Entidad contratante y el contratista.

b) Que el Tratamiento de datos de carácter personal se ajuste a las instrucciones; del responsable del Tratamiento.

c) Que el contratista encargada de la Tratamiento y el tercero formalicen el Contrato en los Términos previstos en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre. En estos casos, el tercero tendrá también la consideración de encargado del tratamiento".


Por tanto, en la cláusula 27, citada, del DA, convendría hacer constar que en caso de que la empresa que resulte adjudicataria subcontrate alguna prestación del contrato, habrá dar cumplimiento a las obligaciones de la LOPD en relación con el encargo del tratamiento, en los términos de la disposición adicional 26ª, apartado 3, del TRLCSP.

De acuerdo con las consideraciones hechas en estos fundamentos jurídicos en relación con la consulta planteada, se hacen las siguientes,

15. Conclusiones

Dada la casuística amplia y diversa que se puede dar en relación con los clientes potenciales, las finalidades previstas, los servicios ofrecidos y los ficheros que serían fuente de información en el contexto del Proyecto VISC+, sería conveniente una mayor claridad y concreción respecto qué fines pueden justificar el acceso a la información, por parte de qué clientes y en qué condiciones. A estos efectos sería de utilidad disponer de una memoria general que describa el proyecto de forma global que recoja de forma armonizada las previsiones de los diferentes documentos aportados y clarifique los diferentes aspectos puestos de manifiesto a lo largo de este dictamen, así como una evaluación de impacto sobre la privacidad.

Desde la perspectiva de los principios de calidad y de finalidad, y por el volumen de información sensible generada a través de VISC+, se recomienda priorizar los supuestos de cesión de datos previamente anonimizados, asociadas a un código no identificable o, posible, no asociadas a ningún código, por delante de los supuestos de cesión de datos personales de personas identificables que hayan prestado su consentimiento.

El conjunto de la documentación aportada evidencia una clara voluntad de ofrecer las máximas garantías de seguridad para los datos, estableciendo medidas técnicas y organizativas que dan como resultado un "modelo de seguridad, disponibilidad y uso de los datos "orientado a la protección del conjunto del sistema VISC+.

De acuerdo con el RLOPD hay que aplicar un nivel alto de medidas de seguridad. Sin ello, se recomienda la adopción de un modelo integral de seguridad de la información para el conjunto del contrato VISC+, aplicable tanto al tratamiento de datos anonimizados como de datos personales, que vaya más allá de las previsiones de seguridad previstas en el Título VIII del RLOPD y que esté alineado con alguno de los conjuntos de buenas prácticas existentes.

En cuanto a las medidas de seguridad previstas en el RLOPD, convendría especificar diversas cuestiones relativas a las auditorías de seguridad, los registros de incidencias, o los requisitos de seguridad relacionados con la transmisión de datos, entre otros, en los términos expuestos en el Fundamento Jurídico XII de este dictamen.

Con respecto al encargo del tratamiento entre los responsables de los ficheros implicados en el Proyecto y la entidad, conviene tener en cuenta las previsiones del artículo 12 LOPD, en los términos apuntados en el Fundamento Jurídico XIV de este dictamen.

16. Bibliografía referenciada

- [1] AEPD. “Guía para una evaluación de impacto en la protección de datos”. 2014.
Guía PIAS

- [2] APDCAT. “Dictamen CNS 34/2014”. 23 de julio de 2014.
Dictamen VISC+ (original en catalán)

- [3] Grupo de Trabajo del Artículo 29. “Dictamen 05/2014 sobre técnicas de anonimización”. Adoptado el 10 de abril de 2014. 0829/14/ES. WP216.
WP216



17. Derechos de autor

El Dictamen CNS 34/2014, de fecha 23 de julio de 2014, ha sido publicado por primera vez en la página web de la APDCAT (Autoritat Catalana de Protecció de Dades), una vez analizada la petición, vista la normativa vigente aplicable, el informe del Coordinador de Auditoría y Seguridad de la Información y el informe de la Asesoría Jurídica, todos de la APDCAT.