Instrucción a los rastreadores militares: uso de seudónimos para cuidar la protección de datos
Defensa ha distribuido una resolución con recomendaciones sobre el tratamiento de la información durante los seguimientos a enfermos de Covid
La Subsecretaria de Defensa, María Amparo Valcarce García, y el Secretario General de Salud Digital, Información e Innovación del Sistema Nacional de Salud, Alfredo González, han aprobado este mes de septiembre una resolución conjunta con instrucciones en materia de protección de datos personales para el tratamiento de la información obtenida en las labores de rastreo del COVID-19.
En el Boletín Oficial del Ministerio de Defensa del pasado 10 de septiembre, se delimitaron las responsabilidades en esta labor conjunta entre Sanidad y las Fuerzas Armadas y se especificaron las pautas para preservar la confidencialidad durante la gestión de los datos personales de los pacientes.
Las medidas estarán en conformidad con el Reglamento Europeo
Para garantizar “la seguridad del tratamiento de los datos personales recabados” las medidas que necesiten tomar deben estar en conformidad con el artículo 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
En línea con las pautas recogidas en dicho fragmento del Reglamento Europeo, los rastreadores del ejército podrán asignar seudónimos a los pacientes y cifrar sus datos. Además, entre otras directrices, el mismo apartado recomienda poner en práctica “un proceso regular de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas”.
El documento parlamentario también especifica que quien acceda a los datos personales, sea o no el encargado, debe tratar dichos datos siguiendo las instrucciones del responsable, que en este caso es el Ministerio de Sanidad. Así como el Boletín de Defensa igualmente estipula que los datos personales únicamente pueden tratarse “siguiendo las instrucciones documentadas del responsable”.
Esto se aplica a las transferencias de datos personales a un tercer país o una organización internacional, a no ser que el Derecho de la Unión o la legislación nacional que se aplique impida el cumplimiento de esas instrucciones; en cuyo caso, “el encargado informará al responsable (Sanidad) de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público”.
En el caso de que haya errores, imprevistos o robos de datos, los rastreadores están obligados a notificar “las violaciones de seguridad al responsable, así como a las autoridades de protección de datos competente y, de ser necesario, a los interesados”.
Sanidad es el organismo responsable de las labores de rastreo
Puesto que Sanidad es el responsable, los rastreadores están obligados a poner a su disposición “toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas”. Pueden ser sometidos a auditorías, incluidas inspecciones, por parte del Ministerio o de otro auditor autorizado por este.
Además, los rastreadores deberán informar inmediatamente al Ministerio “si, en su opinión, una instrucción o actividad de tratamiento infringe las disposiciones en materia de protección de datos de la Unión o de la legislación nacional”.
Asimismo, si Sanidad así lo requiere, se “suprimirán o devolverán todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos”.
Por otra parte, las directrices de Defensa recuerdan medidas obvias para garantizar la seguridad de los datos personales como limitar su uso al rastreo del coronavirus (y no para otros fines), no trasladarlos a terceros o no recurrir a subcontrataciones.
