Capítulo CAPÍTULO IV
Art. Disposición adicional primera
31 / 46En vigor desde 20 jun 2024
1. Los tratamientos de datos personales regulados en este real decreto se llevarán a cabo conforme a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
2. La prestación de servicios para los fines de la Red se realizará con las garantías del artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
3. Las personas responsables de los tratamientos de la Red serán el Ministerio de Sanidad, el órgano coordinador de la Red y las comunidades autónomas y las ciudades de Ceuta y Melilla, en el ámbito de sus respectivas competencias, que garantizarán la aplicación de las medidas de seguridad preceptivas que resulten del correspondiente análisis de riesgos, teniendo en cuenta que los tratamientos afectan a categorías especiales de datos y que dichos tratamientos serán realizados por administraciones públicas obligadas al cumplimiento del Esquema Nacional de Seguridad.
4. Los aspectos relacionados con la información a recoger y tratar se fijarán en los reales decretos que desarrollan cada sistema de vigilancia. En cada uno de los reales decretos se identificarán las categorías de datos personales que podrán ser objeto de tratamiento, atendiendo a las especificidades de cada uno de ellos y garantizando, cuando se trate de datos de salud y siempre que su tratamiento no sea estrictamente necesario atendiendo a la concreta finalidad pretendida, la previa anonimización o, en su caso, seudonimización, de los datos, así como recogiendo el carácter excepcional del tratamiento de los datos identificativos cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población.
5. Las categorías de datos personales objeto de tratamiento del Sistema de Alerta Precoz y Respuesta Rápida son: datos identificativos, como nombre y apellidos, NIF o pasaporte o código SNS, fecha de nacimiento, dirección de residencia, teléfono y correo electrónico. Además, se obtendrá información de la alerta como: tipo de evento y agente o riesgo al que ha estado expuesto, fecha de exposición, lugar de exposición, factores de riesgo, fecha de diagnóstico, lugar de detección, fecha de inicio de síntomas, tratamiento y medidas adoptadas. Las categorías de destinatarios del Sistema de Alerta Precoz y Respuesta Rápida son: los miembros del Sistema de Alerta Precoz y Respuesta Rápida para implementar medidas de prevención, control y/o tratamiento en situación de alerta o emergencia sanitaria; los puntos focales del Sistema de Alerta Precoz y Respuesta Rápida en las Comunidades autónomas; el Instituto de Salud Carlos III; los puntos focales del Sistema Europeo de Alerta Precoz y Respuesta (EWRS) y del Reglamento Sanitario Internacional (RSI) de terceros países que deban implementar las medidas de prevención, control y/o tratamiento, cuando la persona expuesta a un riesgo para su salud o que pueda suponer un riesgo para la salud pública resida en su territorio.
6. El Comité de Gestión de la Red velará por que los datos recogidos sean los estrictamente necesarios para satisfacer las necesidades de la Red y su tratamiento responda a las finalidades contempladas en el presente real decreto. Para garantizar las exigencias de actualización, completitud y exactitud de los datos se prevé expresamente que la Red integre los sistemas de información con el fin de disponer de datos actualizados completos y permanentes, garantizando, además, que no existan redundancias ni duplicidades en la captura de los datos.
7. Los informes a los que se refiere el artículo 10 no incluirán información sobre datos personales ni información que permita la identificación de una persona.
8. Para garantizar la adecuada interoperabilidad será necesario utilizar los identificadores personales asociados a la base de población protegida en el SNS, establecidos en el artículo 3 del Real Decreto 183/2004, de 30 de enero, por el que se regula la tarjeta sanitaria individual, y los que constan en el conjunto mínimo de datos de los informes clínicos en el SNS aprobados por el Real Decreto 1093/2010, de 3 de septiembre, por el que se aprueba el conjunto mínimo de datos de los informes clínicos en el Sistema Nacional de Salud. Estos identificadores son el nombre y apellidos, el código SNS, el Código de Identificación Personal (CIP) de la comunidad autónoma, el Documento Nacional de Identidad, Número de Identificación de Extranjeros, Número de Identificación Fiscal y pasaporte. Cuando su finalidad sea el tratamiento y análisis estadístico, se aplicarán previamente las técnicas necesarias para asegurar la protección de los datos personales, establecidas por la Comisión de Salud Digital del Consejo Interterritorial de Salud. El uso de los identificadores personales solo procederá cuando sea estrictamente necesario, debiendo aportarse las medidas técnicas oportunas que eviten el uso indebido de los mismos.
9. Las administraciones sanitarias con función de vigilancia en salud pública no precisarán obtener el consentimiento de las personas afectadas para el tratamiento de datos personales, relacionados con la salud, así como su cesión a otras administraciones públicas sanitarias, cuando ello sea necesario por razones de interés público en el ámbito de la salud pública o en el ejercicio de poderes públicos y en cumplimiento de obligaciones legales, conforme al artículo 9.2 y al artículo 6.1.c) y e) del RGPD, y al artículo 41 de la Ley 33/2011, de 4 de octubre. En cualquier caso, el acceso a las historias clínicas por razones epidemiológicas y de salud pública que realizan las administraciones sanitarias con función de vigilancia en salud pública se someterá a lo dispuesto en el apartado 3 del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica de acuerdo con la disposición final tercera de la ley General de Salud Pública.
10. Todas las personas que tengan acceso a los datos generados como consecuencia de la puesta en marcha de este real decreto están sometidos al deber de secreto. De acuerdo con el apartado 3 del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, el acceso a los datos identificativos de los y las pacientes por razones epidemiológicas o de protección de la salud pública que realizan las administraciones sanitarias con función de vigilancia en salud pública habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la administración que solicitase el acceso a los datos.
11. Las personas responsables de los tratamientos de la Red garantizarán que se facilita la información a las personas interesadas sin perjuicio de que resulte de aplicación la excepción del artículo 14.5.d) del RGPD.
12. Los datos recogidos por la Red podrán cederse a terceras partes siempre que se garantice la protección de la confidencialidad y la privacidad. La cesión de datos a terceras partes deberá responder a las finalidades que establece este real decreto. Dicha cesión se realizará previa anonimización o, en su caso seudonimización de los datos. Este uso está de acuerdo con lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, y en lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
13. El Comité de Gestión de la Red elaborará el procedimiento de acceso a los datos recogidos por la Red y el tratamiento de los mismos conforme a la normativa de Protección de Datos.
14. Los datos recogidos en la Red, estarán disponibles de forma abierta e interactiva para su acceso por las personas interesadas. La información se facilitará aplicando las correspondientes técnicas de anonimización de los datos personales. Este acceso podrá efectuarse dentro de los límites fijados por la normativa en materia de derecho de acceso a la información pública, la de protección de datos de carácter personal, así como –en su caso– las derivadas de las garantías para unidades informantes sobre confidencialidad y secreto estadístico. Las personas responsables de los tratamientos de la Red, definidos en el punto 2 de esta disposición adicional primera, valorarán aquella información que no podrá ser objeto de difusión abierta para las personas interesadas, a los efectos de cumplir con la citada normativa.
15. El intercambio de datos con otros países en amenazas transfronterizas graves para la salud se regirá por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el Reglamento (UE) 2022/2371 del Parlamento Europeo y del Consejo, de 23 de noviembre de 2022, sobre las amenazas transfronterizas graves para la salud y por el que se deroga la Decisión n.º 1082/2013/UE, y de acuerdo a lo establecido en el Reglamento sanitario internacional (2005) de la Organización Mundial de la Salud.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/rd/2024/06/18/568#disposicion-adicional-primera