Los proveedores de Internet en EE.UU. podrán vender los datos de sus usuarios. ¿Qué es el Escudo de Privacidad UE – EE. UU. y por qué lo necesitamos?.

El acuerdo Escudo de Privacidad (el “Privacy Shield”, aprobado por la Comisión Europea el 12 de julio de 2016 a raíz de la sentencia de 6 de octubre de 2015 -asunto C/362/14- que anuló la decisión de la Comisión Europea de considerar a Estados Unidos como “puerto seguro”  -Safe Harbor- a efectos de la cesión de datos personales de ciudadanos europeos) se basa en los siguientes principios:

  1. Obligaciones rigurosas para las empresas de los EE.UU. que trabajan con datos.
  2. Obligaciones en materia de transparencia y salvaguardias claras para el acceso de la administración estadounidense.
  3. Protección eficaz de los derechos individuales.
  4. Mecanismo de revisión conjunta anual.

La Unión Europea (UE) y los Estados Unidos (EE. UU.) mantienen fuertes lazos comerciales. Las transferencias de datos personales constituyen una parte importante y necesaria de la relación transatlántica, en particular, en la economía digital global de hoy en día. Son muchas las operaciones en las que se recaban y usan datos personales, por ejemplo, nombre, número de teléfono, fecha de nacimiento, domicilio y dirección de correo electrónico, número de tarjeta de crédito, número de seguridad social, nombre de usuario, sexo y estado civil o cualquier otro tipo de información que permita identificarnos. Por ejemplo, existe la posibilidad de que recabe nuestros datos en la UE una sucursal, o un socio comercial de una empresa estadounidense que los usará posteriormente en los EE. UU. Eso es lo que sucede, por ejemplo, cuando compramos bienes o contratamos servicios a través de internet, cuando usamos las redes sociales o servicios de almacenamiento en la nube, o en el caso de los empleados de empresas con sede en la UE pero que utilizan otra empresa en los EE. UU. (por ejemplo la sociedad matriz) para tratar los datos personales. La legislación de la UE exige que los datos personales sigan gozando de un alto nivel de protección al ser transferidos a EE. UU. Y aquí es donde interviene el Escudo de Privacidad entre la UE y los EE. UU. El Escudo de Privacidad permite que los datos personales se transfieran de una empresa de la UE a otra de los Estados Unidos, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. La protección conferida a los datos personales se aplica con independencia de si se es o no ciudadano de la Unión Europea.

De aquí la preocupación al conocerse la noticia de que los proveedores de Internet en EEUU podrán vender los datos de sus usuarios si prospera -como parece ser que ocurrirá- el proyecto de ley que elimina las garantías de privacidad en la red impuestas por el ex presidente Barack Obama y que ahora permitirá a los proveedores de Internet vender datos de sus usuarios, como los historiales de búsqueda o la localización. Este proyecto revoca un reglamento (redactado para la Comisión Federal de Comunicaciones) que exigía a los proveedores obtener el permiso de sus usuarios antes de vender sus datos. Con la anulación de la norma, y según diversas fuentes:

-“Los estadounidenses no estarán nunca a salvo de tener sus datos personales sigilosamente examinados y vendidos al mejor postor”.

-“Se permitirá la difusión incontrolada de datos personales, como el historial de navegación, que pueden revelar creencias religiosas, ideologías, orientaciones sexuales, estado de salud o informaciones geográficas de los usuarios”.

-“Los consumidores deben poder controlar qué hacen las empresas con ellas”.

(Fuentes: AEPD y El Mundo)

TIC-TAC, TIC-TAC: A TAN SOLO 14 MESES…

… de que sea de plena aplicación a todos los estados miembros el nuevo Reglamento General de Protección de Datos  (25 de mayo de 2018).

No esperes a última hora para re adecuar tu situación al nuevo marco legal, vigente ya desde mayo 2016.

¿Por qué no empezar a llevar ya el “registro de actividades“?

DE LA “INSCRIPCIÓN DE FICHEROS EN LA AEPD” AL “REGISTRO DE ACTIVIDADES”

Como nos recuerda en su blog la Agencia Española de Protección de Datos, “la obligatoriedad actual de inscribir los ficheros por parte de aquellos que tratan datos será sustituida a partir del 25 de mayo de 2018 por la de contar con un registro de actividades”.

Así pues, desaparecerá la primera de las obligaciones del responsable del tratamiento (la de la notificación gratuita de ficheros en el Registro General de Protección de Datos de la AEPD).

El artículo 30 del nuevo Reglamento General de Protección de Datos indica que:

“… cada responsable, y en su caso, su representante llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad”.

Así pues, al igual que ya hizo en su momento con la inscripción de los ficheros, el responsable deberá describir qué datos recoge, con qué fin los trata, a quién o a quiénes los comunica, si los transfiere a otros países, qué medidas técnicas y organizativas aplicará para preservar su seguridad, y cuándo podrá suprimirlos.

Este registro de actividades será obligatorio a partir del 25 de mayo de 2018, lo que no impide el elaborarlo desde ahora, ya que el Reglamento está ya en vigor (aunque no será de aplicación hasta mayo 2018).

El punto de partida para la descripción en el registro de actividades pueden ser los ficheros ya inscritos actualmente por el responsable en el Registro General, muchos de los cuales seguirán estando vigentes; pero puede ser que uno, o varios, hayan sufrido con el tiempo variaciones de los aspectos registrados o quizá, incluso, se vea la necesidad de anular y/o inscribir alguno, ya que la LOPD sigue estando vigente y, por tanto, la obligatoriedad de la inscripción de los ficheros en el Registro General de la AEPD (aunque dicha obligación desaparezca dentro de 14 meses).

UTILIZAR LA MARCA DE UN COMPETIDOR COMO “KEYWORD” EN GOOGLE ADWORDS NO ES CONDUCTA DESLEAL

En una reciente sentencia del Tribunal Supremo se sostiene que:

-“No procede acudir a la Ley de Competencia Desleal para combatir conductas plenamente comprendidas en la esfera normativa de Marcas”, ya que se considera que los resultados que proporciona Google AdWords cuando se utiliza la marca de un competidor como keyword (“palabra clave”) son, en realidad, una alternativa a los servicios de esa marca (notoria, en el  caso de la denuncia presentada), “sin ofrecer una imitación de tales servicios, sin causar una dilución de la marca y sin menoscabar sus demás funciones”, por lo que califica dicha conducta como sana y leal; y, al no haber infracción de marcas, tampoco puede haber conducta desleal.

Así pues, según la sentencia:

-O en la Ley de Marcas, o en la Ley de Competencia Desleal, pero un mismo hecho no puede tener efecto en ambas.

-Está justificado el utilizar en el servicio Google Adwords la marca de un competidor como keyword, (si esta marca es notoria y renombrada) ya que ofrece una alternativa a los productos o servicios propios.

-La utilización de la marca de un competidor en Google AdWords como keyword no es explotación de su reputación industrial, comercial o profesional.

(Sentencia 94/2017 del T.S. que altera la jurisprudencia habida hasta ahora)

¡ QUE ME OLVIDES…!

… pero no en el caso del Registro de Sociedades.

Y es que un ciudadano italiano -que había sido administrador único de una sociedad que entró en concurso de acreedores a primeros de los noventa y que finalmente se liquidó en el año 2005- solicitó el Derecho de supresión digital (el denominado “derecho al olvido”) de sus datos personales que aparecían en los registros de la sociedad. Y el Tribunal de Justicia de la Unión Europea (TJUE) ha resuelto que no puede aplicarse en lo que a los datos personales que se recogen en los registros de sociedades.

Con esta resolución, siguen quedando patentes los límites y los ámbitos de aplicación del “derecho al olvido”.

Y no lo aclara mucho más la resolución que indica, entre otros puntos, que los Estados podrían establecer el acceso restringido de terceros a estos datos en casos excepcionales “tras la expiración de un plazo suficientemente largo”.

ASEGURAR Y PROTEGER EL DERECHO A LA INTIMIDAD DEL PACIENTE POR ALUMNOS O RESIDENTES EN CIENCIAS DE LA SALUD

Se ha publicado la Orden SSI/81/2017, de 19 de enero, con el fin de ASEGURAR Y PROTEGER EL DERECHO A LA INTIMIDAD DEL PACIENTE POR ALUMNOS O RESIDENTES EN CIENCIAS DE LA SALUD.

Éste es un breve resumen de la orden:

 

 1 – APLICACIÓN

Alumnos o Residentes de titulaciones en ciencias de la salud que atiendan a pacientes en:

a) Centros sanitarios del Sistema Nacional de Salud,

b) Centros y entidades privadas de carácter sanitario que colaboren con el SNS en la asistencia, docencia o investigación o

c) Entidades sanitarias privadas acreditadas para la formación en Ciencias de la Salud.

2 – OBLIGACIONES DERIVADAS DE LA ORDEN

1.            Trato digno y respetuoso al paciente durante los procesos de atención sanitaria.

2.            Deber de comportamiento correspondiente a los contenidos éticos de los programas oficiales de la especialidad y con los códigos deontológicos de las profesiones sanitarias, así como a conocer el funcionamiento de los Comités de Ética Asistencial/Investigación a fin de tomar decisiones guiadas por los valores éticos.

3.            Designación de un tutor de formación especializada o tutor clínico y un profesor con plaza vinculada o profesor asociado de ciencias de la salud, pertenecientes a la plantilla del centro sanitario, cuando realicen rotaciones o prácticas en centros sanitarios.

4.            Actuar con sujeción a las indicaciones de sus responsables de docencia / tutores, y, en ausencia de estos, se someterán a las indicaciones de los especialistas de la unidad asistencial.

5.            El centro favorecerá la utilización de maniquíes / pacientes simulados, con anterioridad al contacto real con pacientes, a fin de que el alumno / residente adquiera competencias clínicas. En los Convenios suscritos con los centros educativos, se preverá la realización de simulaciones en los mismos con anterioridad al inicio de las prácticas.

6.            Deber de integrarse en la dinámica asistencial del centro con sujeción a la normativa que rige su funcionamiento, en especial cumplimiento de principios éticos y normas básicas de actuación. La Dirección de los centros sanitarios velará por la plena integración de los alumnos y residentes en formación en la dinámica asistencial del centro.

7.            Informar a los alumnos y residentes sobre las medidas de protección de datos cuando se usen dispositivos electrónicos. Prohibición de compartir información utilizando sistemas de información ajenos al centro.

3 – DEBER DE CONFIDENCIALIDAD / SECRETO DE ALUMNOS Y RESIDENTES

Residentes y alumnos están sometidos al deber de confidencialidad y secreto, no solo durante su estancia en el centro sanitario, sino concluida la misma, sin que dicho deber se extinga por la defunción del paciente.

El deber no sólo afecta a datos íntimos o datos contenidos en su historia clínica, sino también a datos biográficos del paciente y su entorno, o datos a los que se haya tenido acceso mediante comunicación verbal, grabaciones, vídeos, archivos informáticos, registros públicos o privados, incluidos los referidos a grado de discapacidad e información genética.

El personal en formación suscribirá un compromiso de confidencialidad al inicio de su estancia en el centro, que deberá constar en el Libro Registro o en los expedientes personales de los mismos que custodia la Comisión de Docencia. (Anexos I y II de la Oren, Anexo I para alumnos, y Anexo II para residentes)

4 – PAUTAS DE ACTUACIÓN EN PRESENCIA DE ALUMNOS (PROCESOS ASISTENCIALES)

Informar al paciente sobre la presencia de alumnos en formación en su proceso asistencial.

La dirección del centro sanitario facilitará al alumno una tarjeta identificativa que el alumno se colocará en lugar visible del uniforme, conteniendo datos personales, foto y referencia al grupo que pertenece el alumno, para su reconocimiento por otros profesionales y pacientes.

  • Antes del inicio del acto asistencial, el profesional responsable informará al paciente sobre la presencia de estudiantes y solicitará su consentimiento verbal a tales efectos.

En el caso de que haya que realizar alguna exploración física o intervención, deberá reiterarse el consentimiento del paciente. No obstante, será posible solicitar consentimiento global del paciente (no superior a 15 días) por un periodo limitado de tiempo, graduado según el tiempo previsto de estancia del paciente en el centro.

  • Se podrá limitar la presencia del alumno cuando el profesional sanitario entienda inadecuada su presencia por la situación clínica, emocional o social del paciente.
  • Consentimiento por representación (familiares o representantes legales) en los siguientes supuestos:

–          Cuando el paciente no sea capaz de tomar decisiones a criterio médico (estado físico o psíquico no se lo permita)

–          Cuando el paciente tenga la capacidad modificada judicialmente y así conste en sentencia.

–          Cuando el paciente menor de edad no sea capaz intelectual ni emocionalmente de comprender el alcance de la intervención. Será el representante legal del menor, tras escuchar la opinión del mismo (en los términos del art. 5 Ley Orgánica 1/1996).

  • Los alumnos deberán estar supervisados en todo momento, no pudiendo acceder al paciente o a su información clínica sin supervisión directa del responsable de su formación en el centro.
  • Limitación de la presencia de alumnos a 3 durante actos clínicos, salvo supuestos especiales consentidos por el paciente (sin perjuicio de la participación de otros mediante la utilización consentida de pantallas en otra sala).

El número máximo no podrá superar el de 5 contando también con la presencia de residentes.

5 – PAUTAS DE ACTUACIÓN EN PRESENCIA DE RESIDENTES (PROCESOS ASISTENCIALES)

Informar al paciente sobre la presencia de residentes en formación en su proceso asistencial.

La dirección del centro sanitario facilitará al residente una tarjeta identificativa que el alumno se colocará en lugar visible del uniforme, conteniendo datos personales, foto y referencia al grupo que pertenece el alumno, para su reconocimiento por otros profesionales y pacientes.

  • Supervisión de residentes será física durante el primer año de residencia. A partir del segundo año los residentes tendrán acceso directo al paciente, según las indicaciones de su tutor, de las que se informará a los especialistas de su unidad asistencial.

El acceso directo podrá limitarse cuando el médico responsable de asistencia a enfermos terminales considere preferible entablar relación privada con el paciente.

  • Limitación de la presencia de residentes a 3 durante actos clínicos, salvo supuestos especiales consentidos por el paciente (sin perjuicio de la participación de otros mediante la utilización consentida de pantallas en otra sala).

El número máximo no podrá superar el de 5 contando también con la presencia de alumnos en formación.

  • Motivos de urgencia vital: presencia de residente sin que pueda ser supervisado, estará obligado a dejar constancia de su intervención en la historia clínica, respondiendo ante sus tutores y especialistas en la unidad asistencial en la que se produjo la urgencia

6 – ACCESO A LA HISTORIA CLÍNICA

a)      Residentes:Los residentes en formación de cualquier año, por ser personal asistencial y trabajadores del centro, tienen derecho al acceso a la historia clínica de los pacientes es cuyas actuaciones asistenciales estén trabajando. El centro facilitará el acceso de los residentes a las historias clínicas mediante un mecanismo de autentificación (tarjeta identificativa y firma electrónica reconocida).

Los centros, excepcionalmente, podrán establecer limitaciones de acceso a la historia clínica en función del contexto de atención  y la política de acceso a la misma (ej. Violencia de género, política de prensa, etc.), siempre que dichas limitaciones no perjudiquen la asistencia, prevención y diagnóstico ni impidan salvaguardar el interés vital del afectado.

b)      Alumnos:Los alumnos sólo podrán acceder a la historia clínica previa disociación de los datos clínicos de los personales, para garantizar su anonimato, a excepción de que el paciente haya dado su consentimiento expreso para no alterar ni disociar dato alguno, en cuyo caso se adjuntará a la historia clínica el consentimiento.

c)       Acceso a historia clínica con fines epidemiológicos de salud pública, de investigación o docencia: Los alumnos podrán acceder a la historia clínica con datos personales disociados o historias clínicas simuladas por el responsable de docencia, a fin de garantizar que el aprendizaje se lleva a cabo respetando la intimidad y confidencialidad de los datos de salud.

La dirección del centro deberá autorizar el acceso a la historia clínica, requiriendo el informe del tutor o responsables de la investigación que se someterá a dictamen previo del Comité de Ética Asistencial / Investigación. Dicha autorización tendrá los  límites temporales que se adecuen a la finalidad concreta para la que se autoriza el acceso.

Sólo se podrán utilizar aquellos datos de la historia clínica relacionados con los fines de la investigación sin revelar características, hechos o circunstancias que permitan identificar a los pacientes. Cuando sea necesaria la exhibición o publicación de imágenes médicas o cualquier otro soporte audiovisual de los que pueda deducirse la identidad del paciente, se requerirá consentimiento escrito del mismo.

Procedimiento de disociación:Separar los datos de utilidad científica (clínico-asistenciales) de los datos que permitan identificar a su titular (núm. Historia clínica, núm. SS,  DNI, etc.). Dicha disociación será realizada por un profesional sanitario sujeto al secreto profesional.

 

 

(*)  Según la orden, resulta de aplicación la Ley 41/2002 (estatal); no obstante, en Catalunya es aplicable la Ley 21/2000