Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos E-09390-2019 de 04 de marzo de 2020
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 46 min
Órgano: Agencia Española de Protección de Datos
Fecha: 04/03/2020
Num. Resolución: E-09390-2019
Cuestión
Sector:1 / 18
Procedimiento Nº: E/09390/2019
940-0419
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos y
teniendo como base los siguientes
HECHOS
PRIMERO : Con fecha 26 de febrero de 2019 se...
Contestacion
1/18
? Procedimiento Nº: E/09390/2019
940-0419
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos y
teniendo como base los siguientes
HECHOS
PRIMERO: Con fecha 26 de febrero de 2019 se registra de entrada en la Agencia
Española de Protección de Datos reclamación formulada por Dña. A.A.A., (en
adelante, la reclamante), exponiendo su disconformidad ante las respuestas recibidas
del Delegado de Protección de Datos (en adelante DPD) de la Consejería de
Sanidad del SERVICIO GALLEGO DE SALUD, (en adelante, el reclamado o el
SERGAS), en relación con los siguientes tratamientos de datos efectuados en el
Hospital Teresa Herrera, (en adelante HTH), al que acude como paciente su hijo
menor de edad:
- Inclusión de datos excesivos en los en las tarjetas de aparcamiento para
pacientes del HTH así como en los justificantes de acompañamiento a pacientes.
- Alcance y trazabilidad del tratamiento de datos personales, de salud y
genéticos vinculados al consentimiento que pudiera otorgar para la inclusión de su hijo
menor en un estudio genético
Junto a la reclamación, la reclamante aporta la siguiente documentación:
? Correo electrónico de fecha 4 de septiembre de 2018 a través del cual
la reclamante remite al DPD del SERGAS los siguientes documentos:
a) Fotografía de la tarjeta de aparcamiento facilitada por la Unidad de
Atención Temprana del citado centro hospitalario, en la que junto con la matrícula del
vehículo aparecen datos identificativos del paciente.
b) Ejemplar de ?Consentimiento informado para Estudio Genético? que le
fue facilitado a la misma por la Unidad de Genética del HTH, en el que, entre otra
información, se incluye:
?3.¿Qué beneficios puedo esperar?
Usted puede confirmar un diagnóstico en caso de que se detecte la causa
genética de su enfermedad de sospecha. Si usted ya está diagnosticado, el
mayor beneficio será para sus familiares en riesgo. Si se detecta la causa
genética puede utilizarse esta información para la realización de un consejo
genético que le asesore sobre los riesgos de transmisión a la descendencia y
las alternativas reproductivas existentes. Esta información es privada y usted
valorará la conveniencia de transmitirla o no. Además, otros familiares que
estén en riesgo de padecer la enfermedad, podrán utilizar esta información si
usted lo autoriza mediante la cesión de datos genéticos por escrito.
4. ¿Cuáles son las limitaciones de estos estudios?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/18
La realización de la técnica de análisis genético no entraña riesgos para la
salud, pero si plantea técnicas con limitaciones. Según la enfermedad a
estudio, un resultado negativo significa que no se ha encontrado la causa
genética con la técnica utilizada, no que no exista la enfermedad.
Además las técnicas utilizadas tienen limitaciones. Algunas pruebas son
generales y no son capaces de detectar alteraciones pequeñas o las
alteraciones no están presentes en todas las células del cuerpo. Otras son muy
específicas y buscan sólo en puntos concretos de sus genes y no detectan
más de que lo que se está buscando: un gen concreto o una enfermedad
concreta.
En cuanto a la información obtenida, a veces puede encontrarse un resultado
que no sepamos interpretar con los conocimientos actuales, mientras que en
algún caso puede detectarse alguna anomalía que no tenga relación directa
con la enfermedad a estudio.
Usted decidirá el alance de la información que desea recibir. Se le informará
del resultado de la exploración si así lo desea; de lo contario, sólo se le
facilitará la información necesaria para una adecuada actitud terapéutica, o en
caso de grave perjuicio parala salud de sus familiares. Igualmente, puede
renunciar a la información sobre hallazgos que no tengan relación directa con
la enfermedad a estudio.
5¿Cuáles son las alternativas?
La decisión de realizar o no un estudio genético es totalmente voluntaria, y
usted puede negarse o revocar su consentimiento si cambia de opinión,
comunicando su decisión al facultativo responsable.
6 ¿Están protegidos mis datos? ¿Esta información es confidencial?
Los datos personales y familiares junto con los resultados del estudio están
protegidos por los sistemas habituales de protección de datos (?) y la Ley
Orgánica 14/2007, de 3 de julio.
Una vez que el estudio haya sido realizado, la muestra será conservada el
plazo que determina la ley vigente. En caso de que la muestra quiera ser
empleada para otros usos se le solicitará autorización.?
?Impresión del correo electrónico remitido con fecha 11 de septiembre de 2018
por el DPD del SERGAS a la reclamante comunicándole, en respuesta al anterior,
que se habían acordado una serie de medidas para minimizar la información de
carácter personal incluida en las tarjetas de aparcamiento facilitadas a los pacientes
atendidos en la Unidad de Atención Temprana. En lo que respecta al consentimiento
para el estudio genético el DPD puntualiza que dicho documento ?incluye la
información requerida en la normativa vigente para que ustedes puedan prestar su
consentimiento para la realización de un estudio genético de forma libre y voluntaria.
(?) Tampoco identificamos en el documento que nos envía elementos que lo sitúen
fuera de lo recogido la legislación vigente en materia de consentimiento informado y
consejo genético?. Asimismo, se recuerda que cualquier tratamiento que implique el
uso de datos genéticos se rige por lo recogido en el artículo 9 del RGPD, por lo que
se procede a recabar el consentimiento explícito del interesado, de su tutor o de su
representante legal.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/18
?Impresión de correo electrónico de fecha 13 de septiembre de 2018 remitido
por la reclamante al DPD del SERGAS, en el que aquella expone:
?En cuanto a la tarjeta de aparcamiento informarle de que habiendo solicitado
una renovación de la tarjeta que veníamos usando y cuya foto aporte en mi anterior
email, se nos ha facilitado otra nueva en la que ya no aparece el nombre del paciente
a tratamiento, resolviendo mi solicitud realizada por considerar que se estaba
vulnerando el derecho a la protección de datos personales de mi hijo.
En cuanto a la hoja de consentimiento aportada por la Unidad de Genética
para la realización de un estudio genético, es sabido por mí que se ajusta a la
legalidad vigente, pero mis dudas surgen, como le comenté, respecto a los resultados
de estas pruebas y el alcance de la información que deseamos conocer. El motivo de
haberme puesto en contacto con usted, es que, habiendo planteado mis dudas en la
Unidad de Genética, no he obtenido una aclaración que me ayude a concretar cuánto
quiero conocer de los resultados obtenidos pues desconozco cómo se van a tratar
estos datos. En caso de que sólo queramos conocer los datos del problema que ahora
mismo tiene mi hijo, me comentó usted que esos datos pasarían a formar parte de su
historial clínico quedando pues accesibles a cualquier profesional sujeto al secreto
profesional que quiera o, mejor dicho, deba acceder a ellos. No estoy conforme con el
tratamiento que se hace con estos datos de especial sensibilidad pese a que, según lo
que usted me comenta, está acorde a la normativa existente al respecto.
En cuanto a los datos que pueden aparecer en el estudio genético pero que no
tienen nada que ver con el problema actual de mi hijo, en el supuesto que no
queramos conocerlos, la Unidad de Genética, no sabe concretarme por cuánto tiempo
los tienen disponibles, en qué soporte ni si pasado el tiempo, yo puedo acceder a ellos
o incluso eliminarlos. Me indican además que el querer conocer estos datos, implica
que estos sean cargados en el historial médico de mi hijo siendo, de nuevo, accesibles
al personal médico que deba entrar a consultar estos datos. Debido a la escasa
concreción en cuanto al tratamiento de datos genéticos que realiza el Hospital, no soy
capaz de tomar una decisión acerca del alcance de los resultados que queremos
conocer. Recalcar, además, que la Unidad de Genética, nos ha solicitado información
de nuestras familias (hasta cuarto grado de consanguinidad) e incluso nombres y
apellidos de algunos familiares con lo que, debo velar por el tratamiento de estos
datos sintiéndome imposibilitada para hacerlo por mi escaso conocimiento en material
Quisiera preguntarle además, cuál es la manera de solicitar la trazabilidad de
un historial clínico.?
? Impresión de correo electrónico de fecha 13 de septiembre de 2018
remitido por el DPD del SERGAS a la reclamante, en el que aquel le indica que ?En
cuanto al estudio genético, debemos remitirla a la Unidad de Genética para aclarar
sus posibles dudas, ya que entendemos que están esencialmente relacionadas con el
proceso analítica a realizar. ?
? Impresión de correo electrónico de fecha 17 de septiembre de 2018
remitido por la reclamante al DPD del SERGAS indicando que sus dudas ?no están
relacionadas con el proceso analítico a realizar sino con el tratamiento de datos
genéticos y, por tanto, personales de especial sensibilidad? que se hace en la Unidad
de Genética, y señalando que el DPD no le ha informado cómo acceder a la
trazabilidad de esos datos y de qué manera puede solicitar dicho acceso.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/18
? Impresión de correo electrónico de fecha 17 de enero de 2019 remitido
por la reclamante al DPD del SERGAS solicitando que los justificantes de
acompañamiento a menores no contengan datos personales de los menores, toda vez
que cuando ha requerido un justificante conforme ha acompañado a su hijo a una
consulta médica ?me han dato un papel donde se incluyen datos personales de mi hijo
tales como su nombre y apellidos, servicio al que acude e incluso número de historia
clínica. Siempre he exigido que se borre cualquier tipo de dato personal de mi hijo del
justificante pues en mi trabajo no necesitan conocer ninguno de esos datos y sólo
necesitan saber que yo he faltado a mi trabajo por acompañar a mi hijo a una consulta
médica del Sergas.? También aduce que resulta común que en los justificantes
emitidos en el Hospital se coloque la pegatina de datos del SERGAS con el nombre,
NHC, NSS, del paciente.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de dicha reclamación al reclamado, para que
procediese a su análisis y remitiese a esta Agencia en el plazo de un mes, la siguiente
información:
- Copia de las comunicaciones, de la decisión adoptada que haya remitido al
reclamante a propósito del traslado de esta reclamación, y acreditación de que el
reclamante ha recibido la comunicación de esa decisión.
-Informe sobre las causas que han motivado la incidencia que ha originado la
reclamación.
-Informe sobre las medidas adoptadas para evitar que se produzcan incidencias
similares.
-Cualquier otra que considere relevante.
TERCERO: Con fecha 26 de agosto de 2019, se registra de entrada en esta Agencia
escrito de contestación del DPD del SERGAS señalando que han sido atendidos los
aspectos relativos al tratamiento de datos producido en el HTH comunicados por la
reclamante, tal y como se desprende de la documentación que se aporta, entre la que
se encuentra:
? Impresión de los correos electrónicos de fechas 4, 11, 13, 14 y 17 de
septiembre de 2018 y 17 de enero de 2019, citados en el Hecho Primero anterior.
? Impresión del correo electrónico remitido con fecha 1 de marzo de 2019
por el DPD del SERGAS respondiendo a la reclamante sobre su queja acerca del
proceso de expedición de justificantes a consultas médicas. En dicha contestación se
señala que ?La emisión de justificantes de asistencia a consulta acredita que un
paciente del Servicio Gallego de Salud acudió a una consulta en el sistema sanitario
público y por tanto han de constar sus datos identificativos. (?) . En los centros
hospitalarios los justificantes se emiten en las propias áreas de consultas, ya que en
los puntos identificados como ?Servicios de atención al paciente?, cuya finalidad es
atender las reclamaciones que los pacientes deseen realizar y facilitar comunicación
entre los ciudadanos y los servicios y centros del Complejo Hospitalario, únicamente
pueden justificar que la cita está grabada en el sistema de información a nombre de un
usuario/a concreto/a, pero no la asistencia efectiva a la misma.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/18
En base a todo lo indicado, emitimos la siguiente respuesta a su queja en
relación con el tratamiento de datos de carácter personal:
Los datos utilizados para identificar al paciente en los justificantes de consultas
médicas que usted nos indica en su queja parecen proporcionados a la finalidad con la
que se emite dicho justificante, toda vez que constan solamente los datos
identificativos del paciente que acudió a la consulta. El número de Historia Clínica,
como pueden ser el nombre y apellidos, el CIP (Tarjeta Sanitaria), DNI o el Nº de
Afiliación a la Seguridad social tiene la consideración de datos identificativos. (?)
Por lo tanto, en base a los datos que usted nos aporta el justificante de
asistencia a consulta médica que se le emite a su hijo, en su condición de paciente
que acude a consultas del Servicio Galego de Saúde, se ajustaría a lo contemplado en
la normativa de protección de datos.?
? Impresión de correo electrónico de fecha 1 de marzo de 2019 remitido
por la reclamante al DPD del SERGAS en contestación al recibido con esa misma
fecha, en el que la reclamante puntualizaba que podía ?entender que el Sergas sólo
pueda acreditar quién es el paciente que ha asistido a consulta (? ), pero no entiendo
por qué tiene que figurar un NHC en ese justificante entre otros datos personales que
se ceden en ese justificante médico?
? Comunicación enviada con fecha 12 de abril de 2019 por el Secretario
General Técnico de la Consejería de Sanidad a la reclamante en relación con el objeto
de la reclamación analizada, en la que en referencia al ?Justificante de consultas
médicas? se hacía constar que:
?En el Sistema Sanitario Público de Galicia intentamos que los justificantes de
consultas médicas se adapten en la medida de lo posible a las demandas de los
pacientes, pero siempre dentro de los márgenes legales que nos son de aplicación.
Cualquier justificante de este tipo tiene que estar vinculado con un acto clínico
asistencia, por lo que debe hacer referencia al paciente al que se ha atendido. A la
hora de identificar el paciente, el sistema ha de procurar hacerlo de forma inequívoca,
para lo que pueden utilizarse diversos códigos: Número de Historia Clínica en los
hospitales, número de afiliación a la Seguridad Social, códigos identificativos
vinculados con la tarjeta sanitaria de Galicia, código de identificación del paciente en
el Sistema Nacional de Salud. (?)?
En cuanto al ?Consentimiento informado? se observa que ?tal y como
establece la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del
paciente y de derechos y obligaciones en materia de información y documentación
clínica, debemos asegurar el escrupuloso respeto a la libertad individual del usuario,
respeto que solamente puede conseguirse mediante el conocimiento de los riesgos
que implica un procedimiento clínico, para que el usuario pueda evaluarlos y a partir
de esa reflexión decidir si se presa el consentimiento.
(?)
Los potenciales resultados de los procedimientos de análisis genéticos rebasan
en muchas ocasiones el ámbito asistencial para el cual se buscan hallazgos y no
resulta extraño que afecten a terceros más allá de la persona objeto de análisis.
También tienen limitaciones en base al conocimiento científico actual. Estas
circunstancias están adecuadamente reflejadas en el documento de consentimiento
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/18
que se le ha presentado, donde se le ofrece de manera explícita la posibilidad de
decidir el ámbito de análisis.
Se recoge también la obligación legal de que los resultados que usted decida
obtener queden recogidos en el ámbito de la historia clínica y la especificidad del uso
de los datos solamente para la realización de esta prueba.?
CUARTO: Con fecha 16 de septiembre de 2019, la Directora de la Agencia Española
de Protección de Datos acordó admitir a trámite la reclamación presentada por la
reclamante, sin perjuicio de lo que se determinase en el curso de la tramitación.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes de investigación y correctivos que el artículo 58 del
Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante
RGPD) otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en lo sucesivo LOPDGDD), es competente para
resolver estas actuaciones de investigación la Directora de la Agencia Española de
Protección de Datos.
II
El artículo 4 del RGPD, bajo la rúbrica ?Definiciones?, establece que:
?A efectos del presente Reglamento se entenderá por:
1) «datos personales»: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en particular
mediante un identificador, como por ejemplo un nombre, un número de identificación,
datos de localización, un identificador en línea o uno o varios elementos propios de la
identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha
persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas
sobre datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de
acceso, cotejo o interconexión, limitación, supresión o destrucción;?
?6) «fichero»: todo conjunto estructurado de datos personales, accesibles con
arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de
forma funcional o geográfica;
7) «responsable del tratamiento» o «responsable»: la persona física o
jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento; si el Derecho de la Unión o de los
Estados miembros determina los fines y medios del tratamiento, el responsable del
tratamiento o los criterios específicos para su nombramiento podrá establecerlos el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/18
Derecho de la Unión o de los Estados miembros;?
?9) >: la persona física o jurídica, autoridad pública, servicio u
otro organismo al que se comuniquen datos personales, se trate o no de un tercero.
No obstante, no se considerarán destinatarios las autoridades públicas que puedan
recibir datos personales en el marco de una investigación concreta de conformidad
con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos
por dichas autoridades públicas será conforme con las normas en materia de
protección de datos aplicables a los fines del tratamiento;?
?11) >: toda manifestación de voluntad libre,
específica, informada e inequívoca por la que el interesado acepta, ya sea mediante
una declaración o una clara acción afirmativa, el tratamiento de datos personales que
le conciernen; ?
?13) >: datos personales relativos a las características
genéticas heredadas o adquiridas de una persona física que proporcionen una
información única sobre la fisiología o la salud de esa persona, obtenidos en
particular del análisis de una muestra biológica de tal persona;
?15) «datos relativos a la salud»: datos personales relativos a la salud física o
mental de una persona física, incluida la prestación de servicios de atención
sanitaria, que revelen información sobre su estado de salud;?
III
A los efectos de dilucidar si se ha producido, o no, un tratamiento excesivo de
datos personales al incluir determinados datos identificativos del paciente en la
tarjeta de aparcamiento y en los justificantes de acompañamiento se ha de estar a lo
dispuesto en el artículo 5.1.c) del RGPD, que establecer los ?Principios relativos al
tratamiento? dispone que ?Los datos personales serán:
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines
para los que son tratados («minimización de datos»);?
En lo que respecta a la información incluida en la Tarjeta de Aparcamiento, de
la propia documentación aportada por la reclamante, en concreto del correo
electrónico dirigido al DPD del SERGAS con fecha 13 de septiembre de 2018, se
evidencia que por parte del reclamado se llevaron a cabo las medidas organizativas
necesarias para excluir de dicho documento los datos identificativos correspondientes
al paciente, información que resultaba excesiva e innecesaria en relación con la
finalidad de garantizar la disponibilidad de plazas suficientes de aparcamiento para
los pacientes pediátricos atendidos en determinada unidad del HTH. De este modo,
en la nueva tarjeta de aparcamiento facilitada a la reclamante ya no aparecía la
reseñada información, conforme han señalado reclamante y reclamado.
En lo que respecta a la información incluida en los justificantes de asistencia a
consultas médicas, con fecha 1 de marzo de 2019 el DPD del SERGAS aclaró a la
reclamante que en los mismos debe aparecer identificado en forma inequívoca el
paciente que se acredita (justifica) ha acudido a consulta médica en el SERGAS,
resultando por tanto dicha información proporcional al fin perseguido.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/18
Asimismo, en el escrito que se remitió a la reclamante con fecha 12 de abril de
2019 desde la Secretaria General Técnica de la Consejería de Sanidad se señalaba
que ?En cuanto al requerimiento de presentar un documento de identidad, es un
requisito básico en los procedimientos de atención al paciente. Cualquier gestión exige
tener la certeza de estar hablando con el paciente o con su representante legal.?
Estas cautelas deben asociarse también con lo dispuesto en el artículo 5.1.d) del
RGPD, que establece el principio de exactitud relativo al tratamiento disponiendo
que:
?1. Los datos personales serán: (?)
a) Exactos y, si fuera necesario, actualizados; se adoptarán todas las
medidas razonables para que se supriman o rectifiquen sin dilación los datos
personales que sean inexactos con respecto a los fines para los que se tratan
(>);
Ahora bien, sin perjuicio de lo expuesto, se considera recomendable que, con
independencia de los mecanismos utilizados por el reclamado para identificar a
través de sus sistemas a los pacientes citados en los justificantes, ponga en marcha
las medidas técnicas y organizativas necesarias para que, con independencia del
soporte que se trate, en el modelo de justificante utilizado no aparezcan datos
personales del paciente que no resultan necesarios para la finalidad pretendida de
justificar su asistencia y/o la de su acompañante a consulta. Entre la información de
carácter personal a eliminar en este tipo de justificantes que generalmente tienen
como destinatario final un tercero estarían, por ejemplo, los números de historia
clínica o de afiliación a la seguridad social, códigos identificativos vinculados con la
tarjeta sanitaria de Galicia o con la identificación del paciente en el Sistema Nacional
de Salud a los que se refiere el reclamado en la documentación aportada, medida
extensiva a la especialidad o servicio específico en el que se presta la atención
médica.
IV
Asimismo, atendido que parte de la información a tratar por el reclamado
afectaría a categorías de datos personales objeto de especial protección, como serían
los datos de salud y datos genéticos del hijo menor de edad de la reclamante que
podrían resultar del estudio genético a realizar a dicho paciente una vez otorgado el
consentimiento explícito para esa finalidad por los titulares de la patria potestad o
tutela del paciente menor de edad, y a la vista de la alegada falta de concreción de
la información recibida tanto por la Unidad de Genética del HTH como por el DPD
del SERGAS en cuanto a las dudas expuestas respecto del tratamiento de los datos
genéticos que pudieran resultar del citado estudio, conviene tener en cuenta que este
específico tratamiento encontraría cobertura en lo dispuesto en el apartado el
apartado 2.a) del artículo 9 del RGPD que levantaría la prohibición general de su
tratamiento contemplada en el apartado 1 de ese mismo artículo 9, y cuya base
jurídica o licitud se ampararía en lo dispuesto en el artículo 6.1.a) del RGPD. Todo
ello partiendo de que la reclamada ha manifestado que no duda de la adaptación a la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/18
legalidad vigente del documento de ?Consentimiento Informado para Estudio Genético?
que le fue facilitado por la reseñada Unidad Genética.
El artículo 6 del RGPD concreta en el apartado 1 los supuestos que amparan la
?Licitud del tratamiento? de datos personales, estableciendo:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos
personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el
interesado es parte o para la aplicación a petición de este de medidas
precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal
aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de
otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre
dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en
particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al
tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.?
El artículo 9 del RGPD, bajo la rúbrica ?Tratamiento de categorías especiales
de datos personales?, dispone: (El subrayado es de la AEPD)
? 1. Quedan prohibidos el tratamiento de datos personales que revelen el origen
étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la
afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a
identificar de manera unívoca a una persona física, datos relativos a la salud o datos
relativos a la vida sexual o las orientación sexuales de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las
circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos
datos personales con uno o más de los fines especificados, excepto cuando el
Derecho de la Unión o de los Estados miembros establezca que la prohibición
mencionada en el apartado 1 no puede ser levantada por el interesado;
b) (?)
c) el tratamiento es necesario para proteger intereses vitales del interesado o de
otra persona física, en el supuesto de que el interesado no esté capacitado, física o
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/18
jurídicamente, para dar su consentimiento;
(?)
g) el tratamiento es necesario por razones de un interés público esencial, sobre
la base del Derecho de la Unión o de los Estados miembros, que debe ser
proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección
de datos y establecer medidas adecuadas y específicas para proteger los intereses y
derechos fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral,
evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de
asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios
de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los
Estados miembros o en virtud de un contrato con un profesional sanitario y sin
perjuicio de las condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la
salud pública, como la protección frente a amenazas transfronterizas graves para la
salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia
sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de
la Unión o de los Estados miembros que establezca medidas adecuadas y específicas
para proteger los derechos y libertades del interesado, en particular el secreto
profesional,
(?)
j) el tratamiento es necesario con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, de conformidad con el artículo
89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros,
que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a
la protección de datos y establecer medidas adecuadas y específicas para proteger
los intereses y derechos fundamentales del interesado.
4. Los Estados miembros podrán mantener o introducir condiciones adicionales,
inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos
biométricos o datos relativos a la salud.?
En el caso analizado también ha de valorarse que el paciente cuyos datos personales
son objeto de tratamiento es menor de edad, resultando, por tanto, de aplicación
lo dispuesto en el artículo 7.2 de la LOPD, que en lo referente al ?Consentimiento
de los menores de edad? dispone que ?2. El tratamiento de los datos de los menores
de catorce años, fundado en el consentimiento, sólo será lícito si costa el del titular de
la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad
o tutela.?
Por su parte, los apartados 1 y 2.a), b) y c) de la Disposición adicional
decimoséptima de la LOPDGDD, referida a los ?Tratamientos de datos de salud?,
disponen:
?1. Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del
Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la salud y de
datos genéticos que estén regulados en las siguientes leyes y sus disposiciones de
desarrollo:
a) La Ley 14/1986, de 25 de abril, General de Sanidad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/18
b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
c) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del
paciente y de derechos y obligaciones en materia de información y documentación
clínica.
d) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional
de Salud.
e) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones
sanitarias.
f) La Ley 14/2007, de 3 de julio, de Investigación biomédica.
g) La Ley 33/2011, de 4 de octubre, General de Salud Pública.
h) La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las
entidades aseguradoras y reaseguradoras.
i) El texto refundido de la Ley de garantías y uso racional de los 105
medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015,
de 24 de julio.
j) El texto refundido de la Ley General de derechos de las personas con
discapacidad y de su inclusión social, aprobado por Real Decreto Legislativo 1/2013
de 29 de noviembre.
2. El tratamiento de datos en la investigación en salud se regirá por los
siguientes criterios:
a) El interesado o, en su caso, su representante legal podrá otorgar el
consentimiento para el uso de sus datos con fines de investigación en salud y, en
particular, la biomédica. Tales finalidades podrán abarcar categorías relacionadas con
áreas generales vinculadas a una especialidad médica o investigadora.
b) Las autoridades sanitarias e instituciones públicas con competencias en
vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el
consentimiento de los afectados en situaciones de excepcional relevancia y gravedad
para la salud pública.
c) Se considerará lícita y compatible la reutilización de datos personales con
fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido
el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o
áreas de investigación relacionadas con el área en la que se integrase científicamente
el estudio inicial.
En tales casos, los responsables deberán publicar la información establecida
por el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de sus datos personales y a la libre circulación de estos
datos, en un lugar fácilmente accesible de la página web corporativa del centro donde
se realice la investigación o estudio clínico, y, en su caso, en la del promotor, y
notificar la existencia de esta información por medios electrónicos a los afectados.
Cuando estos carezcan de medios para acceder a tal información, podrán solicitar su
remisión en otro formato.
Para los tratamientos previstos en esta letra, se requerirá informe previo
favorable del comité de ética de la investigación.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/18
d) Se considera lícito el uso de datos personales seudonimizados con fines de
investigación en salud y, en particular, biomédica.
El uso de datos personales seudonimizados con fines de investigación en salud
pública y biomédica requerirá:
1.º Una separación técnica y funcional entre el equipo investigador y quienes
realicen la seudonimización y conserven la información que posibilite la
reidentificación.
2.º Que los datos seudonimizados únicamente sean accesibles al equipo de
investigación cuando:
i) Exista un compromiso expreso de confidencialidad y de no realizar ninguna
actividad de reidentificación.
ii) Se adopten medidas de seguridad específicas para evitar la reidentificación y
el acceso de terceros no autorizados.
Podrá procederse a la reidentificación de los datos en su origen, cuando con
motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia
de un peligro real y concreto para la seguridad o salud de una persona o grupo de
personas, o una amenaza grave para sus derechos o sea necesaria para garantizar
una adecuada asistencia sanitaria.
e) Cuando se traten datos personales con fines de investigación en salud, y en
particular la biomédica, a los efectos del artículo 89.2 del Reglamento (UE) 2016/679,
podrán excepcionarse los derechos de los afectados previstos en los artículos 15 , 16 ,
18 y 21 del Reglamento (EU) 2016/679 cuando:
1.º Los citados derechos se ejerzan directamente ante los investigadores o
centros de investigación que utilicen datos anonimizados o seudonimizados.
2.º El ejercicio de tales derechos se refiera a los resultados de la investigación.
3.º La investigación tenga por objeto un interés público esencial relacionado con
la seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes
de interés público general, siempre que en este último caso la excepción esté
expresamente recogida por una norma con rango de Ley.
f) Cuando conforme a lo previsto por el artículo 89 del Reglamento (UE)
2016/679, se lleve a cabo un tratamiento con fines de investigación en salud pública y,
en particular, biomédica se procederá a:
1.º Realizar una evaluación de impacto que determine los riesgos derivados del
tratamiento en los supuestos previstos en el artículo 35 del Reglamento (UE) 2016/679
o en los establecidos por la autoridad de control. Esta evaluación incluirá de modo
específico los riesgos de reidentificación vinculados a la anonimización o
seudonimización de los datos.
2.º Someter la investigación científica a las normas de calidad y, en su caso, a
las directrices internacionales sobre buena práctica clínica.
3.º Adoptar, en su caso, medidas dirigidas a garantizar que los investigadores no
acceden a datos de identificación de los interesados.
4.º Designar un representante legal establecido en la Unión Europea, conforme
al artículo 74 del Reglamento (UE) 536/2014 , si el promotor de un ensayo clínico no
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/18
está establecido en la Unión Europea. Dicho representante legal podrá coincidir con el
previsto en el artículo 27.1 del Reglamento (UE) 2016/679.
g) El uso de datos personales seudonimizados con fines de investigación en
salud pública y, en particular, biomédica deberá ser sometido al informe previo del
comité de ética de la investigación previsto en la normativa sectorial.
En defecto de la existencia del mencionado Comité, la entidad responsable de la
investigación requerirá informe previo del delegado de protección de datos o, en su
defecto, de un experto con los conocimientos previos en el artículo 37.5 del
Reglamento (UE) 2016/679.
h) En el plazo máximo de un año desde la entrada en vigor de esta ley, los
comités de ética de la investigación, en el ámbito de la salud, biomédico o del
medicamento, deberán integrar entre sus miembros un delegado de protección de
datos o, en su defecto, un experto con conocimientos suficientes del Reglamento (UE)
2016/679 cuando se ocupen de actividades de investigación que comporten el
tratamiento de datos personales o de datos seudonimizados o anonimizados.
El artículo 83.5.a) del RGPD sanciona con multa la vulneración de ?los principios
básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor
de los artículos 5,6, 7 y 9?.
No obstante, con arreglo a lo previsto en los artículos 58.2 y 83.7 del RGPD en
su relación con lo previsto en el artículo 77.1.c) de la LOPDGDD, cuando el responsable
o encargado del tratamiento que hubiera cometido alguna de las infracciones
previstas en los artículos 83.4, 83.5 y 83.6 del RGPD sea una Administración de una
Comunidad Autónoma, la autoridad de protección de datos sancionará a dicha Administración
con ?apercibimiento?, estableciendo, en su caso, las medidas que proceda
adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiera
cometido.
V
Por otra parte, en relación con algunas de las cuestiones planteadas por la
reclamante al DPD del SERGAS en los correos electrónicos dirigidos al mismo, en
especial los referido al alcance de la información facilitada en el documento relativo
al ?Consentimiento Informado para Estudio Genético?, el contenido de la historia
clínica y tratamiento de los datos genéticos, los preceptos recogidos en las normas
que a continuación se señalan:
Los artículos 3, 4.1, 8, 9.1, 10, 15.1 y 2, 16.1, 2, 3 y 6, 17.1 de la Ley 41/2002, de
14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y
obligaciones en materia de información y documentación clínica, establecen:
?Artículo 3. Las definiciones legales.
A efectos de esta Ley se entiende por:
?Consentimiento informado? del paciente como ?la conformidad libre, voluntaria y
consciente de un paciente, manifestada en el pleno uso de sus facultades después de
recibir la información adecuada, para que tenga lugar una actuación que afecta a su
salud.?
?Artículo 4. Derecho a la información asistencial.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/18
1. Los pacientes tienen derecho a conocer, con motivo de cualquier actuación en el
ámbito de su salud, toda la información disponible sobre la misma, salvando los supuestos
exceptuados por la Ley. Además, toda persona tiene derecho a que se respete
su voluntad de no ser informada. La información, que como regla general se proporcionará
verbalmente dejando constancia en la historia clínica, comprende, como mínimo
, la finalidad y la naturaleza de cada intervención, sus riesgos y sus consecuencias.?
?Artículo 8. Consentimiento informado
1. Toda actuación en el ámbito de la salud de un paciente necesita el
consentimiento libre y voluntario del afectado, una vez que, recibida la información
prevista en el artículo 4, haya valorado las opciones propias del caso.
2. El consentimiento será verbal por regla general.
Sin embargo se prestará por escrito en los casos siguientes: intervención
quirúrgica, procedimientos diagnósticos y terapéuticos invasores y, en general,
aplicación de procedimientos que suponen riesgos o inconvenientes de notoria y
previsible repercusión negativa sobre la salud del paciente.
3.El Consentimiento escrito del paciente será necesario para cada una de las
actuaciones especificadas en el punto anterior de este artículo, dejando a salvo la
posibilidad de incorporar anejos y otros datos de carácter general, y tendrá
información suficiente sobre el procedimiento de aplicación y sobre sus riesgos.
4. Todo paciente o usuario tiene derecho a ser advertido sobre la posibilidad de
utilizar los procedimientos de pronóstico, diagnóstico y terapéuticos que se le apliquen
en un proyecto docente o de investigación, que en ningún caso podrá comportar
riesgo adicional para su salud.
5. El paciente puede revocar libremente por escrito su consentimiento en
cualquier momento.?
Artículo 9. Límites del consentimiento informado y consentimiento por
representación.
1. La renuncia del paciente a recibir información está limitada por el interés de la
salud del propio paciente, de terceros, de la colectividad y por las exigencias terapéuticas
del caso. Cuando el paciente manifieste expresamente su deseo de no ser informado
, se respetará su voluntad haciendo constar su renuncia documentalmente, sin
perjuicio de la obtención de su consentimiento previo para la intervención.?
Artículo 10. Condiciones de la información y consentimiento por escrito.
1. El facultativo proporcionará al paciente, antes de recabar su consentimiento escrito
, la información básica siguiente:
a) Las consecuencias relevantes o de importancia que la intervención origina con
seguridad.
b) Los riesgos relacionados con las circunstancias personales o profesionales del
paciente.
c) Los riesgos probables en condiciones normales, conforme a la experiencia y al
estado de la ciencia o directamente relacionados con el tipo de intervención.
d) Las contraindicaciones.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/18
2. El médico responsable deberá ponderar en cada caso que cuanto más dudoso
sea el resultado de una intervención más necesario resulta el previo consentimiento
por escrito del paciente.
Artículo 15. Contenido de la historia clínica de cada paciente.
1. La historia clínica incorporará la información que se considere trascendental
para el conocimiento veraz y actualizado del estado de salud del paciente. Todo paciente
o usuario tiene derecho a que quede constancia, por escrito o en el soporte técnico
más adecuado, de la información obtenida en todos sus procesos asistenciales,
realizados por el servicio de salud tanto en el ámbito de atención primaria como de
atención especializada.
2. La historia clínica tendrá como fin principal facilitar la asistencia sanitaria, dejando
constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento
veraz y actualizado del estado de salud.
El contenido mínimo de la historia clínica será el siguiente:
(?)
Artículo 16. Usos de la historia clínica.
1. La historia clínica es un instrumento destinado fundamentalmente a garantizar
una asistencia adecuada al paciente. Los profesionales asistenciales del centro que
realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica
de éste como instrumento fundamental para su adecuada asistencia.
2. Cada centro establecerá los métodos que posibiliten en todo momento el acceso
a la historia clínica de cada paciente por los profesionales que le asisten.
3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública
, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente
en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General
de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia
clínica con estos fines obliga a preservar los datos de identificación personal del paciente
, separados de los de carácter clinicoasistencial, de manera que, como regla general
, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento
para no separarlos.
Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición
adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales
y Garantía de los Derechos Digitales.
Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en
los que se considere imprescindible la unificación de los datos identificativos con los
clinicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales
en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica
queda limitado estrictamente a los fines específicos de cada caso.
Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la
salud de la población, las Administraciones sanitarias a las que se refiere la Ley
33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos
de los pacientes por razones epidemiológicas o de protección de la salud pública.
El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/18
al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente
de secreto, previa motivación por parte de la Administración que solicitase el acceso
a los datos.
(?)
6. El personal que accede a los datos de la historia clínica en el ejercicio de sus
funciones queda sujeto al deber de secreto.?
?Artículo 17. La conservación de la documentación clínica.
1. Los centros sanitarios tienen la obligación de conservar la documentación clínica
en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no
necesariamente en el soporte original, para la debida asistencia al paciente durante el
tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha
del alta de cada proceso asistencial.
No obstante, los datos de la historia clínica relacionados con el nacimiento del paciente
, incluidos los resultados de las pruebas biométricas, médicas o analíticas que
en su caso resulten necesarias para determinar el vínculo de filiación con la madre, no
se destruirán, trasladándose una vez conocido el fallecimiento del paciente, a los archivos
definitivos de la Administración correspondiente, donde se conservarán con las
debidas medidas de seguridad a los efectos de la legislación de protección de datos.?
Artículo 18. Derechos de acceso a la historia clínica.
1. El paciente tiene el derecho de acceso, con las reservas señaladas en el
apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia
de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que
garantice la observancia de estos derechos.
2. El derecho de acceso del paciente a la historia clínica puede ejercerse también
por representación debidamente acreditada.
3. El derecho al acceso del paciente a la documentación de la historia clínica no
puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad
de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en
perjuicio del derecho de los profesionales participantes en su elaboración, los cuales
pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas.
4.(?)?
A su vez, los artículos 46, 48.1, 49, 50, 51 y 52 de la de la Ley 14/2007, de 3 de
julio, de Investigación biomédica, (en adelante LIB), en cuanto a los ?Análisis genéticos
y tratamiento de datos genéticos de carácter personal?, establecen:
?Artículo 46. Indicación de los análisis genéticos.
En los términos previstos en el artículo 1.2, los análisis genéticos se realizarán
para la identificación del estado de afectado, de no afectado o de portador de una
variante genética que pueda predisponer al desarrollo de una enfermedad específica
de un individuo, o condicionar su respuesta a un tratamiento concreto.?
?Artículo 48. Consentimiento.
1. Será preciso el consentimiento expreso y específico por escrito para la
realización de un análisis genético.?
?Artículo 49. Derecho a la información y derecho a no ser informado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/18
1. El sujeto fuente será informado de los datos genéticos de carácter personal que
se obtengan del análisis genético según los términos en que manifestó su voluntad,
sin perjuicio del derecho de acceso reconocido en la legislación sobre protección de
datos de carácter personal, que podrá suponer la revocación de la previa
manifestación de voluntad libre otorgada.
2. Cuando el sujeto fuente haya ejercido el derecho a no ser informado de los
resultados de un análisis genético sólo se suministrará la información que sea
necesaria para el seguimiento del tratamiento prescrito por el médico y aceptado por
el paciente. Cuando esta información sea necesaria para evitar un grave perjuicio para
la salud de sus familiares biológicos, se podrá informar a los afectados o a su
representante legalmente autorizado. En todo caso, la comunicación se limitará
exclusivamente a los datos necesarios para estas finalidades.
Artículo 50. Acceso a los datos genéticos por personal sanitario.
1. Los profesionales sanitarios del centro o establecimiento donde se conserve la
historia clínica del paciente tendrán acceso a los datos que consten en la misma en
tanto sea pertinente para la asistencia que presten al paciente, sin perjuicio de los
deberes de reserva y confidencialidad a los que estarán sometidos.
2. Los datos genéticos de carácter personal sólo podrán ser utilizados con fines
epidemiológicos, de salud pública, de investigación o de docencia cuando el sujeto
interesado haya prestado expresamente su consentimiento, o cuando dichos datos
hayan sido previamente anonimizados.
3. En casos excepcionales y de interés sanitario general, la autoridad competente,
previo informe favorable de la autoridad en materia de protección de datos, podrá
autorizar la utilización de datos genéticos codificados, siempre asegurando que no
puedan relacionarse o asociarse con el sujeto fuente por parte de terceros.
Artículo 51. Deber de confidencialidad y derecho a la protección de los datos
genéticos.
1. El personal que acceda a los datos genéticos en el ejercicio de sus funciones
quedará sujeto al deber de secreto de forma permanente. Sólo con el consentimiento
expreso y escrito de la persona de quien proceden se podrán revelar a terceros datos
genéticos de carácter personal.
Si no es posible publicar los resultados de una investigación sin identificar a los
sujetos fuente, tales resultados sólo podrán ser publicados con su consentimiento.
2. En el caso de análisis genéticos a varios miembros de una familia los
resultados se archivarán y comunicarán a cada uno de ellos de forma individualizada.
En el caso de personas incapacitadas o menores se informará a sus tutores o
representantes legales.
Artículo 52. Conservación de los datos.
1. Los datos genéticos de carácter personal se conservarán durante un período
mínimo de cinco años desde la fecha en que fueron obtenidos, transcurrido el cual el
interesado podrá solicitar su cancelación.
2. Si no mediase solicitud del interesado, los datos se conservarán durante el
plazo que sea necesario para preservar la salud de la persona de quien proceden o de
terceros relacionados con ella.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/18
3. Fuera de estos supuestos, los datos únicamente podrán conservarse, con fines
de investigación, de forma anonimizada, sin que sea posible la identificación del sujeto
fuente.?
Todo ello partiendo de que la letra j) del artículo 3 de que la LIB define como
>: información sobre las características
hereditarias de una persona, identificada o identificable obtenida por análisis de ácidos
nucleicos y otros análisis científicos.?
VI
Por lo tanto, de acuerdo con lo razonado en los anteriores Fundamentos de
Derecho, por la Directora de la Agencia Española de Protección de Datos,
SE ACUERDA:
PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.
SEGUNDO: NOTIFICAR la presente resolución a Dña. A.A.A. y al SERVICIO
GALLEGO DE SALUD, NIF S1511001H.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la
presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo
preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas, y de conformidad con lo
establecido en los arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es