El turismo sanitario y el reto de la privacidad

«El turismo sanitario y el reto de la privacidad», artículo de Luis Ariza, abogado de ECIJA, para The Law Clinic.

El próximo 28 de Enero se celebra el  Día de la Protección de Datos en Europa, como se lleva haciendo desde el año 2006, pero por primera vez, esta efeméride tiene lugar bajo la vigencia del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, es decir, del famoso Reglamento General de Protección de Datos (RGPD).

Es verdad que todavía nos suena lejana la fecha del 25 de mayo de 2018, a partir de la cual será de obligado cumplimiento dicha norma, pero la realidad es que el tiempo vuela, y las nuevas obligaciones que trae consigo no se implantan en un par de meses, deprisa y corriendo, ya que suponen un cambio de enfoque normativo muy profundo: la responsabilidad proactiva (accountability), la privacidad desde el diseño (privacy by design), la privacidad por defecto (privacy by default)…traen consigo que los hospitales, las clínicas y los profesionales que prestan servicios en nuestro sector sanitario deban cambiar totalmente su mentalidad a la hora de asegurar la privacidad de los datos de sus pacientes, ya que lo que se exige es un cumplimiento proactivo, preventivo: por poner un ejemplo, si se va a adquirir un nuevo software de gestión de historia clínica, la dirección del centro, a través de su Delegado de Protección de Datos, deberá asegurarse antes de empezar a tratar datos clínicos mediante dicha aplicación, de que cumple con todos los requisitos exigidos por el Reglamento, de que únicamente se tratan aquellos datos que son necesarios, o de que se ha hecho una Evaluación de Impacto con carácter previo al inicio del citado tratamiento para gestionar los riesgos inherentes al mismo, ya que en caso de una inspección de la Agencia Española de Protección de Datos (AEPD), es el centro el que deberá probar con sus propios medios que cumple con los requisitos exigidos.

En este contexto, se celebró la semana pasada FITUR 2017, la gran feria del turismo en España, donde tuvo un papel muy protagonista el turismo sanitario, principalmente a través del clúster de Turismo Sanitario Español http://spaincares.com/es

Efectivamente, el turismo sanitario supone una gran oportunidad para nuestro sector sanitario, más si cabe en un país que es el tercero más visitado y el segundo con más ingresos por turismo en el mundo, pero también abre nuevos frentes a nuestros hospitales en cuanto al cumplimiento normativo, ya que si los pacientes que tratan son de otros estados miembros de la Unión Europea, habrá que tener en cuenta la Directiva 2011/24/UE del Parlamento europeo y del Consejo, que regula la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza, y por la que, salvo en los supuestos exceptuados por la propia norma, los pacientes podrán acudir a un Estado Miembro distinto al suyo para recibir atención médica, y luego solicitar el reembolso de los gastos en su país: esto conlleva la comunicación de muchos datos sensibles entre centros y sistemas sanitarios de diferentes países, debiéndose tomar todas las medidas previstas en la normativa para proteger la privacidad de dicha información.

Pero, dando otra vuelta de tuerca, también serán más frecuentes los tratamientos asistenciales de pacientes provenientes de países no pertenecientes a la Unión Europea, que traerán consigo transferencias internacionales de datos desde España a terceros países que, en su mayor parte, no disponen de normas de protección de datos con un nivel de exigencia equiparable al RGPD.

Pongamos el caso de un paciente con alto poder adquisitivo proveniente de Rusia, que viene a España con su familia para realizarse una intervención para tratar su miopía: este “turista sanitario” puede pedir al centro sanitario que le remita a su país copia de su historia clínica, o puede tener un seguro sanitario contratado, lo cual implica que el centro sanitario ubicado en España deba transferir información sobre el tratamiento asistencial realizado a una entidad aseguradora ubicada en Rusia, para la facturación de los servicios prestados; los centros deberán tener muy claro los requisitos que tendrán que cumplir para realizar este tipo de comunicaciones de datos: una posible solución sería en este caso solicitar el consentimiento expreso al paciente para llevar a cabo la transferencia de esos datos, pero éste debería haber sido informado previamente por el centro de los posibles riesgos inherentes a la misma.

Por tanto, la globalidad del mundo en el que vivimos, y el previsible crecimiento del turismo sanitario en nuestro país, indudablemente supone una gran oportunidad para nuestro sector sanitario, pero esta nueva fuente de riqueza tiene que ir acompañada de la necesaria adecuación normativa por parte de nuestros centros sanitarios, que deberán ponerse manos a la obra cuanto antes para cumplir los requisitos previstos en el RGPD: la elevada cuantía de las sanciones previstas, y el grave daño reputacional consustancial a las mismas, así lo aconsejan.

e-Privacy: La UE propone normas más estrictas para las comunicaciones electrónicas

«e-Privacy: La UE propone normas más estrictas para las comunicaciones electrónicas», artículo de Marta Aldea, abogada de ECIJA, para The Law Clinic.

El pasado 10 de enero de 2017 la Comisión Europea publicó la Propuesta de Reglamento sobre Privacidad y comunicaciones electrónicas (Reglamento ePrivacy), que sustituirá  la Directiva 2002/58 de ePrivacy.

El hecho de que la Comisión Europea, finalmente, se decantara por la promulgación de un reglamento, en lugar de una directiva, radica en la importancia de crear un marco normativo europeo idéntico que otorgue la misma protección a empresas y consumidores, con independencia del país de procedencia de éstos.

La Comisión expone que el principio de confidencialidad de las comunicaciones debe aplicarse a los medios de comunicación actuales y futuros, incluidas las llamadas, el acceso a Internet, las aplicaciones de mensajería instantánea, el correo electrónico, las llamadas telefónicas por Internet y los mensajes personales proporcionados a través de las redes sociales.

En este sentido, la nueva propuesta amplia su ámbito de aplicación, extendiéndose a todos los proveedores de servicios de comunicaciones electrónicas, incluyendo por ejemplo a Facebook , WhatsApp o Gmail, que hasta ahora no se regulaban por la misma normativa que las compañías de telecomunicaciones tradicionales.

De acuerdo con el texto propuesto, el contenido de las comunicaciones electrónicas puede revelar información altamente sensible sobre las personas físicas involucradas en la comunicación. Igualmente, los metadatos derivados de las comunicaciones electrónicas (número de teléfono, páginas web visitas, geo localización, etc.) también pueden revelar información muy sensible y personal, por lo que se deberá garantizar su confidencialidad.

Es por ello que la Comisión propone que las operadoras de telecomunicaciones solo podrán conservar los datos de las comunicaciones electrónicas, así como los metadatos, para fines específicos tasados por el propio reglamento, como puede ser para la facturación o bien deberán anonimizarse o suprimirse si los usuarios no han dado su consentimiento previo.

Otra novedad importante introducida por la propuesta es la simplificación sobre las políticas de cookies, debiendo ofrecer al usuario final un método sencillo y transparente de aceptación de cookies, utilizando los ajustes adecuados de un navegador u otra aplicación y dando la posibilidad a los usuarios de aceptar o no las cookies que deseen, eligiendo, por ejemplo, si aceptan cookies de terceros o propias.

Adicionalmente, no será necesario otorgar el consentimiento para la instalación de cookies no intrusivas encaminadas a mejorar la experiencia de usuario (recordar productos del carrito de compra, por ejemplo).

Asimismo, tal y como explica la Comisión, la propuesta de reglamento pretende alinearse con el  nuevo Reglamento General de Protección de Datos europeo, que entrará en vigor en mayo de 2018, con la finalidad de  complementarlo en lo que respecta a los datos de comunicaciones electrónicas que se califiquen como datos personales

El Reglamento ePrivacy, de acuerdo con la propuesta de la Comisión, se aplicará a los datos recabados en relación con la prestación y utilización de servicios de comunicaciones electrónicas en la Unión Europea, con independencia de donde se realice, finalmente, el tratamiento de datos. Además, debería aplicarse también a los datos de comunicaciones electrónicas tratados en relación con la prestación de servicios de comunicaciones electrónicas desde fuera de la Unión a los usuarios finales de la Unión.

Por último, cabe destacar las novedades introducidas respecto de las comunicaciones electrónicas no deseadas, esto es, el Spam. La propuesta prohíbe las comunicaciones electrónicas no solicitadas por cualquier medio (correo electrónico, mensajes de texto, llamadas telefónicas), si los usuarios no han dado previamente su consentimiento. Asimismo, la propuesta plantea la posibilidad de adherirse a listas en las que manifiestas tu voluntad de no recibir estas comunicaciones no deseadas (como nuestra Lista Robinson) con el fin de evitarlas.

¿Sabes si tu obra favorita es ya de dominio público?

«¿Sabes si tu obra favorita es ya de dominio público?», artículo de Librado Loriente, abogado de ECIJA, para The Law Clinic.

Como es habitual, el arranque de un nuevo año trae consigo la publicación de distintas noticias en los medios relativas a la liberación de los derechos de autor de centenares de obras. En especial, si atendemos al ámbito literario, el 1 de enero de 2017 es para muchos la fecha en la que derechos de autor de importantísimos escritores nacionales –mayoritariamente fallecidos durante el primer año de Guerra Civil- pasaron a ingresar el dominio público. En concreto, hablamos de las obras literarias de autores como Federico García Lorca, Miguel de Unamuno, Ramiro de Maeztu o Ramón María del Valle-Inclán.

Cuando hacemos alusión al dominio público, nos referimos a aquella situación a la que pasan las obras objeto de propiedad intelectual cuando transcurre el plazo de protección otorgado por la Ley. La principal consecuencia de ello es la expiración de los derechos patrimoniales de las obras y la posibilidad de ser libremente utilizadas por cualquier persona, a pesar de que éstas sí conserven lo que se conocen como “derechos morales”, que comprenden principalmente, el derecho a preservar la integridad de la obra y al reconocimiento de su autoría.

Actualmente en España (como en la mayoría de los países de nuestro entorno), la Ley de Propiedad Intelectual establece que los derechos de explotación de una obra subsisten hasta transcurridos 70 años después de la muerte del autor, computándose el plazo desde el 1 de enero del año siguiente al de la muerte. Lo anteriormente expuesto, es el motivo principal por el cual el día de año nuevo es conocido por muchas personas como “el día del Dominio Público”.

Ahora bien, es importante tener en cuenta que el cómputo de dicho plazo no resulta de aplicación a todos aquellos autores fallecidos con anterioridad a la entrada en vigor de la Ley de Propiedad Intelectual de 7 de diciembre de 1987. Y es que, éstos gozan de una protección superior, fijada en 80 años por la Ley de Propiedad Intelectual de 1879.

Así, los plazos de protección de 70 y 80 años no es la única diferencia a destacar ya que, si atendemos a lo dispuesto en la Ley de Propiedad Intelectual de 1879 y al régimen transitorio de la actual Ley de Propiedad Intelectual, ésta determina la muerte del autor como momento que define cuándo se transmiten los derechos a los herederos y legatarios, sin hacer mención alguna al cómputo del plazo desde el día 1 de enero del año siguiente al de la muerte.

De esta forma, debemos señalar que a pesar de lo indicado por muchos medios, las obras de autores como Federico García Lorca (cuyo fallecimiento está fechado en 19 de agosto de 1936), Ramiro de Maeztu (fallecido el 29 de octubre de 1936) o Ramón María del Valle-Inclán (fallecido el 5 de enero de 1936) obran en dominio público desde hace varios meses, sin que existiera obligación legal alguna de esperar hasta el 1 de enero de 2017 para proceder a su libre uso.