La Agencia Española de Protección de Datos ha publicado recientemente un informe acerca de la inclusión de datos sanitarios en códigos QR, con el fin de que los pacientes puedan llevar en una pequeña medalla dicho código, facilitando así el acceso inmediato a dichos datos mediante un sencillo escaneo. El objeto de esta medida sería facilitar a los servicios sanitarios la asistencia a enfermos en caso de emergencia.
El código QR (“quick response”) es un módulo útil para almacenar información en una matriz de puntos o un código de barras bidimensional, que se puede descifrar con una simple aplicación de móvil.
Como no podía ser de otra forma, la Agencia ha puesto reparos, matizando y acotando los supuestos. Se trataría de un tratamiento y cesión de datos personales en un soporte automatizado, sujeto por tanto a los principios consagrados en la Ley:
Consentimiento: es necesario el consentimiento expreso del paciente para el tratamiento de sus datos de salud. Como bien señala la Agencia, “la mera prestación de un consentimiento inequívoco por el paciente usuario de la medalla con código QR no implica que quepa cualquier tratamiento de cualquier dato personal”, ya que la Ley también impone el principio de…:
Calidad: “los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.
Esto es, aunque el interesado haya consentido el tratamiento y cesión de sus datos, esto no justifica un tratamiento ilimitado de los mismos, sino que debe ceñirse a aquellos necesarios para la finalidad concreta.
En este caso, el código QR incluiría datos personales del portador de la medalla junto con “su historial médico de los últimos años, la medicación que viene tomando regularmente por un determinado tratamiento, y la información sobre determinadas recomendaciones de su Médico general o especialista”.
Dependerá de la emergencia en cuestión si existe o no proporcionalidad en el tratamiento de los datos.
Por otra parte, será necesaria la implantación de medidas de seguridad de nivel alto (datos de salud) en el tratamiento de estos datos. En particular, se deberían articular mecanismos que garanticen el acceso a los mismos exclusivamente por profesionales sanitarios.
Así lo establece la Agencia en sus conclusiones, señalando que:
“no existe obstáculo en la inclusión de datos personales en un código QR, siempre que, existiendo consentimiento informado del portador de la medalla en los términos indicados, sólo se incluyan en el mismo los datos estrictamente necesarios para el cumplimiento de las finalidades pretendidas, (…) deberán adaptarse las medidas de seguridad que correspondan en cada caso, en los términos del Título VIII del Real Decreto 1720/2007 de 21 de diciembre. Y si la finalidad es que únicamente accedan a dichos datos el personal sanitario que vaya atender al paciente en situación de emergencia o accidente, deberían implantarse medidas que no permitieran el acceso a esta información por terceros”.