Según el RGPD el «responsable del tratamiento» es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros (art.4.7 RGPD).
En el ámbito del EEDS, esta figura permite identificar con claridad quién responde de garantizar la licitud del tratamiento, la seguridad de los datos de salud y la protección de los derechos de los ciudadanos. Así, los organismos de acceso, los participantes autorizados o incluso la Comisión Europea pueden asumir este papel, según el contexto en que se gestionen los datos.
Además, la responsabilidad en salud implica requisitos reforzados. No basta con cumplir la normativa, sino también con demostrar activamente ese cumplimiento, documentando permisos, decisiones y medidas aplicadas. En ciertos casos puede existir corresponsabilidad, cuando varios actores determinan conjuntamente fines y medios del tratamiento. Y dado que los datos de salud son una categoría especialmente protegida, el responsable debe aplicar garantías adicionales como la minimización, la anonimización o la posibilidad de autoexclusión de los pacientes frente al uso secundario de sus datos.
La identificación de los roles que desempeñan los diferentes participantes en el tratamiento se realiza en el Considerando 79. En su virtud:
Los tenedores de datos de salud deben ser considerados responsables del tratamiento para la divulgación de los DSE personales solicitados al organismo de acceso a datos de salud, mientras que los organismos de acceso a datos de salud deben, a su vez, ser considerados responsables del tratamiento de los DSE personales cuando preparen los datos y los pongan a disposición de los usuarios de datos de salud. Los usuarios de datos de salud deben ser considerados responsables del tratamiento de los DSE personales en forma seudonimizada en el entorno de tratamiento seguro en virtud de sus permisos de datos. Los organismos de acceso a datos de salud deben ser considerados encargados del tratamiento, en nombre del usuario de datos de salud, para el tratamiento realizado por el usuario de datos de salud en virtud de un permiso de datos en el entorno de tratamiento seguro, así como para el tratamiento para generar una respuesta a una petición de datos de salud. Del mismo modo, los tenedores fiables de datos de salud deben ser considerados responsables del tratamiento de DSE personales en relación con el suministro de DSE al usuario de datos de salud con arreglo a un permiso de datos o a una petición de datos de salud. Debe considerarse que los tenedores fiables de datos de salud actúan como encargados del tratamiento por parte del usuario de datos de salud cuando proporcionen datos a través de un entorno de tratamiento seguro.
Además, según el artículo 23.7, “los puntos de contacto nacionales para la salud digital actuarán como corresponsables del tratamiento de los DSE personales comunicados a través de MiSalud@UE para las operaciones de tratamiento en las que participen. La Comisión actuará como encargada del tratamiento.”
NOTAS ESENCIALES:
- La responsabilidad del tratamiento es el conjunto de obligaciones jurídicas y prácticas que asume quien decide para qué y cómo se tratan los datos (art.74).
- El RGPD y el EEDS permiten que varios actores sean corresponsables si determinan conjuntamente fines y medios (cons.34).
- La asignación de roles figura en el Considerando 79 del EEDS, y en su artículo 23.7, en el caso de la Comisión y los puntos nacionales.