Declaración de protección de datos personales del paciente
La European Society for Blood and Marrow Transplantations (EBMT) mantiene una base de datos internacional para pacientes conocida como el Registro de EBMT. El Registro data de principios de los años 70 y contiene datos clínicos de pacientes que incluyen aspectos del diagnóstico, tratamientos de primera línea, tratamientos inmunosupresores, trasplante de progenitores hematopoyéticos (TPH) o procedimientos relacionados con la terapia celular, complicaciones y resultados. El GETH es la organización científica española con la representación global del país ante el EBMT. El GETH no cuenta con un registro propio, sino que utiliza con la autorización de los pacientes y centros hospitalarios los datos del incluidos en el Registro del EBMT para el desarrrollo de la investigación científica en el área del Trasplante Hematopoyetico en España.
Este documento detalla qué datos personales recopila EBMT, cómo se recopilan y almacenan y los fines para los que se utilizan. También hay información sobre cómo ponerse en contacto con el registro y los derechos de los interesados. Este documento ha sido creado en respuesta a la nueva legislación europea: el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, en adelante "RGPD").
Las autoridades responsables de salvaguardar la privacidad consideran un registro como un modo separado de recopilar datos. El RGPD reconoce explícitamente que "combinando información procedente de registros, los investigadores pueden obtener nuevos conocimientos de gran valor" (considerando 157 del RGPD). El RGPD se aplica al tratamiento de datos personales con fines de investigación científica, la cual debe interpretarse de manera amplia, incluyendo, por ejemplo, la investigación aplicada (considerando 159 del RGPD).
¿Por qué se recopilan datos de los pacientes?
El Registro EBMT recopila datos para la investigación y el desarrollo de nuevos y mejorados procedimientos de trasplante, terapia celular y tratamientos inmunosupresores, así como para mejorar la calidad de estos procedimientos a través de la acreditación de las unidades de tratamiento.
¿Cómo se obtienen los datos personales?
El EBMT y el GETH trabajan en colaboración con instituciones sanitarias locales para recopilar datos sobre pacientes sometidos a trasplante de médula ósea o de progenitores hematopoyéticos, a terapias celulares y a tratamientos inmunosupresores para cualquier enfermedad.
Siguiendo el RGPD, y con tal de garantizar el cumplimiento de la legislación de todos los países de la UE / EEE, los datos personales de los pacientes que residen en países miembros de la UE solo se utilizarán para la investigación a través de EBMT cuando se garantice el consentimiento informado adecuado. Esta es una práctica común desde hace muchos años.
El consentimiento informado es obtenido por centros y/o registros de donantes que envían datos al EBMT para asegurar que se respetan las respectivas leyes nacionales. El consentimiento del paciente es un requisito previo para poder enviar los datos a EBMT. Asimismo, EBMT también proporciona toda la información necesaria sobre el uso de los datos para garantizar que se obtenga el consentimiento apropiado en todos los casos.
¿Qué datos personales se envían al Registro de EBMT?
Los datos personales identificables recopilados, se limitan al número de paciente único (UPN por sus siglas en inglés) del hospital, las iniciales del paciente , la fecha de nacimiento y el sexo. Estos datos son necesarios para garantizar que los datos médicos recopilados en diferentes momentos se almacenan con precisión en el mismo registro. No se utilizan para la identificación del individuo y se almacenan por separado como medida de seguridad reforzada.
Este proceso de almacenamiento por separado se conoce como seudonimización[i] y está definido en el RGPD. El informe de cada paciente recibe un número único y no informativo en la base de datos (código de identidad único, UIC por sus siglas en inglés) que es el que se utiliza con fines de investigación. Se necesita una cantidad mínima de datos personales del paciente para este tipo de registros, lo que contribuye a la precisión de los datos y, por lo tanto, contribuye a mejorar el cuidado y los resultado de los pacientes.
¿Cómo se tratan los datos personales?
El EBMT y el GETH garantiza que todos los datos personales bajo su responsabilidad se tratan de acuerdo con el RGPD:
- Tratados de manera lícita, leal y transparente en relación con el interesado;
- Recogidos con fines determinados, explícitos y legítimos;
- Tratados de manera adecuada, pertinente y limitada a lo necesario en relación con los fines para los que son tratados;
- Exactos y actualizados;
- Mantenidos de forma que se permita la identificación de los interesados, nunca para ningún otro propósito que no sea de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
- Tratados de tal manera que se garantice una seguridad adecuada de los datos personales mediante la aplicación de medidas técnicas u organizativas apropiadas.
¿Dónde se almacenan los datos personales?
Los datos se almacenan en una base de datos electrónica ubicada en un país europeo. Solo los países europeos que siguen el RGPD, independientemente de si son miembros de la Unión Europea o no, pueden almacenar y guardar datos. La base de datos está protegida por medidas que garantizan la seguridad, incluido el cumplimiento de la certificación NEN7510 / ISO27001 y una estricta política de control de acceso.
Transferencias de datos personales
El EBMT y el GETH trabajan con muchos investigadores en colaboraciones internacionales entre instituciones científicas y clínicas y, bajo consentimiento previo, los datos personales seudonimizados del paciente pueden enviarse a países fuera del EEE que reciben el mismo nivel de protección para la privacidad, como países adheridos a los marcos de protección de la privacidad EU-US and Swiss-US Privacy Shield.
Los datos médicos enviados fuera de esta zona en el contexto de los proyectos de investigación de EBMT o del GETH se identificarán mediante el número único y no informativo de la base de datos, y los elementos tales como la fecha de nacimiento, las iniciales o el UPN del hospital no serán exportados.
¿Qué son los derechos de los interesados?
El interesado tiene derecho a la siguiente información sobre el tratamiento de sus datos personales:
- Confirmación de si los datos relacionados con él o ella están siendo tratados;
- Información sobre los propósitos de las operaciones de tratamiento, las categorías de datos en cuestión y los destinatarios o categorías de destinatarios a quienes se divulgan los datos;
- Comunicación de los datos que están en tratamiento.
El interesado tiene los siguientes derechos:
- Acceso a la información sobre sus datos personales tratados;
- Rectificación de datos personales inexactos o incompletos;
- Retirar el consentimiento de tal manera que los datos personales ya no estén disponibles para futuras investigaciones;
- Solicitar que sus datos personales sean borrados por completo de la base de datos del Registro EBMT y de las bases de datos a las cuales se exportaron;
- Cualquier otro derecho otorgado al interesado con respecto a sus datos personales, según su legislación local respectiva.
Si como interesado desea ejercer alguno de los derechos enumerados anteriormente frente al EBMT , por favor envíe un correo electrónico a Data.Protection@ebmt.org o use la siguiente dirección postal:
Delegado de Protección de Datos
Edifici Dr. Frederic Duran i Jordà
Passeig Taulat, 116
08005 Barcelona (España)?
Si desea ejercer alguno de los derechos frente al GETH envíe eun email a gestiondedatos@geth.es
Comentarios o preguntas
Si tiene algún comentario o pregunta sobre esta declaración de protección de datos personales del paciente, envíela a gestiondedatos@geth.es o a Data.Protection@ebmt.org
Seudonimización - el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. Artículo 4. 27 de abril de 2016.