cuadernos del OSE sobre políticas de salud en la UE

Observatorio de Salud en Europa (OSE) Escuela Andaluza de Salud Pública

Editoras:

Inés García-Sánchez Marta Carrillo Tirado

cuadernos del OSE sobre políticas de salud en la UE Número Dos: LA PROTECCIÓN DE DATOS Y SU REPERCUSIÓN EN EL MUNDO SANITARIO COPYRIGHT Prohibida su venta. Cualquier parte de esta publicación puede ser reproducida y transmitida por cualquier medio de carácter mecánico o electrónico, incluidos fotocopia y grabación, o mediante sistemas de almacenamiento y recuperación de información, siempre y cuando se cite de forma completa y explícita su procedencia. Forma de citar esta publicación: Canales Gil A. Cuadernos del OSE sobre políticas de salud en la UE. Número 2: La Protección de Datos y su Repercusión en el Mundo Sanitario. Granada: Observatorio de Salud en Europa de la Escuela Andaluza de Salud Pública; García-Sánchez I, Carrillo-Tirado M. Editoras. Octubre 2008. ADVERTENCIA Las denominaciones empleadas en esta publicación y la forma en que se representan los datos que contiene no implican juicio alguno, por parte de la Escuela Andaluza de Salud Pública, sobre las autoridades, la condición jurídica y la delimitación de fronteras de los países, territorios, ciudades o zonas citadas. La mención de determinadas instituciones o sociedades, no implica que la Escuela Andaluza de Salud Pública los apruebe o recomiende con preferencia a otras análogas. Las opiniones expresadas en la presente publicación responden a las de los autores, autoras y editoras. En ningún modo debe entenderse que representan las opiniones de las instituciones en las que los profesionales desarrollan su actividad, ni las de la entidad patrocinadora.

DATOS DE LA PUBLICACIÓN Primera edición: Octubre 2008. Edita el Observatorio de Salud en Europa de la ESCUELA ANDALUZA DE SALUD PÚBLICA Campus Universitario de Cartuja Cuesta del Observatorio, 4 18080 Granada, España www.easp.es ISBN: 978-84-691-5280-5 Depósito legal: GR 2106-2008 Patrocina: MSD España Diseño cubierta: Alejandro Muñoz Maquetación: Mª Ángeles Cantón Imprime: Copartgraf

cuadernos del OSE sobre políticas de salud en la UE LA PROTECCIÓN DE DATOS Y SU REPERCUSIÓN EN EL MUNDO SANITARIO Índice de contenidos Prólogo La protección de datos y su repercusión en el mundo sanitario Protección de datos en el ámbito de la salud Introducción Concepto de dato de salud La protección de datos de salud Principios generales Derechos de las personas interesadas Situaciones especiales Tratamiento de datos genéticos Tratamiento de datos en ensayos clínicos con medicamentos Servicios sanitarios de emergencias Presentación en congresos A modo de resumen. Ideasl clave Anexos Anexo I: El derecho fundamental a la protección de datos de carácter personal Anexo II: El derecho fundamental a la protección de datos en el derecho español Anexo III: Modelo de clausula informativa en el caso de recogida y/o tratamiento de datos por responsables de ficheros Anexo IV: Consentimiento informado en menores según la normativa de autonomía del paciente Bibliografía Glosario Normativa europea en materia de protección de datos

Siglas y acrónimos empleados AEPD CC.AA. LAP LGS LIB LOPD RLOPD SNS

Agencia Española de Protección de Datos comunidades autónomas Ley de Autonomía del Paciente (L. 41/2002, de 14 de noviembre) Ley General de Sanidad (L.O. 14/1986, de 25 de abril) Ley de Investigación Biomédica (L. 14/2007, de 3 de julio) Ley Orgánica de Protección de Datos (L.O. 15/1999, de 13 de diciembre) Reglamento de la Ley Orgánica de Protección de Datos (R.D. 1720/2007, de 21 de diciembre) Sistema Nacional de Salud

prólogo

La información relativa a las personas llamada “datos personales” se recopila y utiliza en muchos ámbitos de la vida. Puede ser cualquier tipo de información que permita identificar a una persona física como un nombre, una fotografía o un teléfono. Estos datos pueden proceder directamente del interesado/a o de un fichero existente para un determinado fin. Posteriormente pueden utilizarse para otros fines o comunicarse a terceros. Los avances informáticos y las redes de telecomunicación permiten la transferencia nacional e internacional de información con comodidad y rapidez. En consecuencia los datos personales pueden ser tratados en puntos muy diferentes y distantes de dónde se recogieron, no sólo en el país de origen sino también en otros países comunitarios. Hablar de protección de datos es hablar de un derecho fundamental de la persona, reconocido como tal en el Derecho Comunitario y en el Ordenamiento Jurídico Español. En consecuencia, son necesarias normas tanto nacionales como comunitarias que regulen el uso y transferencia de esos datos que, sin mermar la protección de datos personales, evite los obstáculos a la libre circulación de información y respete especialmente datos sensibles como etnia, creencias religiosas, salud o vida sexual, que no pueden ser tratados salvo excepciones muy concretas. Existen distintas Autoridades de Protección de Datos, que aseguran que ese derecho sea respetado en los EE.MM. y en las administraciones comunitarias. También apoyan en el proceso legislativo sobre esta materia y en la resolución de consultas y quejas al respecto. En 1981, el Consejo de Europa aprobó el Convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Se convirtió en referente obligado porque por primera vez recogía un conjunto de principios y garantías que cualquier legislación nacional habría de observar a la hora de regular la protección de la persona respecto al tratamiento de sus datos. A partir de éste la Comisión Europea dictó la Recomendación 81/679/CEE en la que animaba a todos los EE.MM. a hacer un esfuerzo de acercamiento de sus legislaciones nacionales a los términos previstos en el Convenio 108, con el fin de lograr una libre circulación de datos e informaciones que contribuyera a consolidar el mercado común. Los “datos de salud” son tanto aquellos que se refieren a la descripción de una determinada patología de un/a paciente como aquellos de los que se deduce una ausencia de enfermedades. Por afectar a la esfera más íntima de la persona, se encuentran incluidos dentro de la categoría de “datos especialmente protegidos”, a los que la norma jurídica rodea de una serie de garantías especiales. En España, la protección de datos de salud viene regulada por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que la desarrolla. Ambas normas imponen una serie de obligaciones a las y los profesionales que tratan datos de salud de pacientes. El tema es pues complejo y también de gran actualidad e importancia para todos aquellos/as profesionales sanitarios que deben tratar en su trabajo cotidiano con información relacionada con datos personales y de salud. Por otra parte en muchas ocasiones cuando se ha vulnerado el derecho a la protección de datos ha sido por ignorancia. Estas razones fundamentan la elección de “la protección de datos y su repercusión en el mundo sanitario” como motivo de análisis y debate por el OSE. El proceso resultará en dos productos específicos: un foro de debate y una publicación, ambos destinados a los profesionales sanitarios para sensibilizar, informar y crear opinión sobre el tema.

Para ello hemos: • Revisado la normativa Europa • Identificado “puntos o situaciones vulnerables” de la práctica sanitaria en la que interviene la protección de datos. • Contado con un experto en leyes y especialmente en la de protección de datos, encargado de resumir en un artículo el estado de la cuestión y presentarlo al panel. • Formado un panel de profesionales sanitarios que leyeron críticamento el documento inicial y asistieron a una jornada de trabajo en la que se discutió. El resultado de este proceso de trabajo es la presente publicación. En ella se aborda: • La aplicación de la Ley Orgánica de Protección de Datos a diversas situaciones que se presentan en el ámbito sanitario. • Una revisión de la evolución histórica de la protección de datos • Una revisión de la normativa comunitaria sobre protección de datos. •Un glosario con los términos más complejos utilizados en el texto. Sin perder el rigor científico imprescindible en cualquier revisión de este tipo, se ha buscado una presentación de los contenidos que resulte relativamente fácil para un público profano. Con afán didáctico la exposición y análisis de los aspectos legales se acompaña de explicaciones de cómo éstos influyen o se aplican el el contexto sanitario o cuál debe ser el comportamiento de el/la profesional en situaciones concretas. Esperamos que sirva para que los profesionales sanitarios (médicos, enfermeros, auxiliares, trabajadores sociales, veterinarios, farmaéuticos, abogados, documentalistas, etc.) que ejerzan como clínicos, gestores, investigadores o docentes, conozcan las obligaciones que el derecho de las personas a la protección de datos les impone en el desarrollo de su trabajo al manejar datos de salud. También para que se mejoren y agilicen muchos trámites, necesarios para el correcto funcionamiento de los ficheros de datos de salud, pero que en ocasiones lastran la actividad profesional o vulneran la ley.

Inés García-Sánchez Directora del Observatorio de Salud en Europa Escuela Andaluza de Salud Pública Granada, octubre 2008

NOTA DE LAS EDITORAS: En este documento se emplea el masculino como genérico porque el uso de “lenguaje no sexista” hacía muy complicada su lectura; además, gran parte de la normativa relativa a protección de datos está enunciada en masculino, por tanto las referencias debían respetar ese estilo. Sin embargo, es importante no olvidar, que el derecho a la protección de datos de salud afecta tanto a hombres como mujeres, y en algunos casos las patologías o procesos sólo afectan a la mujer.

CÓMO UTILIZAR MEJOR ESTE CUADERNO El texto del documento se estructura en siete apartados: 1. 2. 3. 4. 5. 6. 7.

Protección de datos en el ámbito de la salud Situaciones especiales En resumen: ideas clave Anexos Bibliografía Glosario Normativa Europea

En el apartado 1 se examinan las cuestiones más relevantes referidas al derecho fundamental a la protección de datos en el ámbito sanitario. Se analizan, entre otras cuestiones, el concepto de dato de salud, los principios para la recogida y tratamiento de datos de salud, las medidas de seguridad, el derecho de acceso a la documentación clínica en varios supuestos, el “derecho a no saber”. Se especifica cómo aplicar la ley en situaciones diferentes como menores, fallecidos, representantes legales del interesado etc. En el apartado 2 se revisa la LOPD desde la perspectiva de su aplicación en situaciones específicas en el mundo sanitario como la genética, los ensayos clínicos con medicamentos, la atención en situaciones de emergencia, la presentación de datos de salud en congresos y la salud pública. En el apartado 3 se han recogido a modo de resumen las ideas clave de los conceptos y situaciones fundamentales revisados en el texto principal. Se pretende que sea una guía de consulta rápida para resolver dudas o recordar ideas fundamentales. En apartado 4 se incluyen como anexos: • La evolución histórica de la protección de datos • Las principales características del derecho español sobre la protección de datos de carácter personal. • Un modelo de cláusula informativa para uso por los responsables de ficheros públicos o privados. • Consentimiento en menores según la normativa de autonomía del paciente En el apartado 5 un glosario incluye por orden alfabético, utilizado voces que resulten familiares en el contexto sanitario, una síntesis de los términos o conceptos más complejos o frecuentes que se le pueden plantear al profesional sanitario en relación con la protección de datos de carácter personal. No obstante para tener una visión exacta y completa de los diferentes asuntos es necesario leer en profundidad el texto fundamental. El apartado 6 recoge la bibliografía utilizada para el estudio. En el apartado 7 sobre normativa de la UE, se recoge una síntesis de la principal normativa comunitaria relacionada con protección de datos

LA PROTECCIÓN DE DATOS Y SU REPERCUSIÓN EN EL MUNDO SANITARIO Álvaro Canales Gil, Interventor Delegado del Ministerio de Defensa

PROTECCIÓN DE DATOS EN EL ÁMBITO DE LA SALUD INTRODUCCIÓN El derecho fundamental a la protección de datos de carácter personal no es reconocido como tal en todos los países. Sin embargo, hay una cuestión que cada vez despierta mayor unanimidad: resulta preciso proteger a la persona respecto al desarrollo exponencial de las tecnologías de la información y las telecomunicaciones, porque la posibilidad de un tratamiento cada vez más eficaz de sus datos no puede convertirse en un fin en sí mismo y realizarse al margen de su consentimiento. Actualmente aparecen, casi a diario, nuevos retos a la protección de datos personales. La telemedicina, el uso de sistemas de radiofrecuencias, la cada vez más potente y funcional telefonía móvil, por poner solamente tres ejemplos, son nuevos riesgos que, utilizados sin las debidas garantías, pueden invadir seriamente la esfera más íntima del individuo. Al igual que hoy, en el pasado hubo reacciones frente al uso abusivo e invasivo de lo que tradicionalmente se conocía como “la informática” sobre la esfera de la privacidad de la persona. La citada reacción reviste caracteres más preocupantes si la invasión de la privacidad del individuo atañe a los datos personales que afectan a su esfera más íntima. En este caso, se encuentran los datos que conciernen a la salud de los ciudadanos. Es tan sensible esta esfera de los datos sanitarios que el paciente tiene incluso el “derecho a no saber” en relación con una determinada patología. En el presente trabajo se pasará examen a las cuestiones más relevantes referidas a este derecho en el ámbito sanitario. Se analizarán, entre otras cuestiones, el concepto de dato de salud, el principio de consentimiento para la recogida y tratamiento de datos de salud, las medidas de seguridad aplicables, las obligaciones de custodia y conservación de las historias clínicas, el derecho de acceso a éstas y sus limitaciones, el posible acceso a la documentación clínica sin consentimiento del paciente e, incluso, en el caso de que hubiese fallecido, el deber de secreto de los profesionales sanitarios, y el “derecho a no saber” que reconoce la legislación a todo paciente. La evolución del concepto y de las principales características del derecho a la protección de datos de carácter personal se incluye como Anexos. Asimismo, se pondrá especial énfasis en señalar las principales diferencias y complementariedades entre algunos términos que el legislador emplea en relación con el derecho a la información asistencial y al derecho fundamental a la protección de los datos de salud. Dentro de las primeras, el asunto más relevante será el dedicado a analizar la diferencia entre el derecho al “consentimiento informado”, propio de las leyes que regulan la autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica, y el principio de consentimiento propio del derecho fundamental citado. Se examinarán algunas de las complementariedades entre las normativas reguladoras del derecho a la protección de datos y del derecho a la información sanitaria y atención al paciente, como por ejemplo la relativa al derecho de acceso a la historia clínica. No se rehuirá el tema de los avances en materia genética, que tanta presencia han tenido en los medios de comunicación durante los últimos años. Los adelantos en investigación genética han abierto un debate de gran interés, y a la vez bastante inquietante, sobre sus posibles utilizaciones. Temas como la exigencia de que, antes de suscribir una póliza de seguro de vida o de enfermedad o de contratar a un trabajador, la entidad de seguros o el empresario puedan obligar a la persona a someterse a un análisis de esa naturaleza ya se han puesto encima de la mesa. Se trata de incorporar

1

las funcionalidades de los avances en esta materia al servicio del mercado. Aquí el derecho fundamental a la protección de datos tiene mucho que decir. Este entorno concreto no puede, ni debe, sustituir a las voces provenientes del mundo científico, de la bioética y de otras ciencias que han levantado sus críticas ante estas iniciativas. Sin embargo, desde el ámbito jurídico, deberá ser el legislador comunitario o nacional, o ambos, los que deban decidir si, a la luz de los principios de la normativa de protección de datos, la recogida de los mismos es adecuada, pertinente y no excesiva en relación con la finalidad que se persigue. Si es así, o si el interesado lo consiente, será posible implementar tal posibilidad. Por el contrario, si no es así, dicho tratamiento será ilegal y no deberá ser realizado. La experiencia ha demostrado que, en la mayor parte de las ocasiones, cuando los profesionales sanitarios han vulnerado el derecho a la protección de datos, lo han hecho ignorando la existencia de dicho derecho fundamental y movidos por un encomiable pero peligroso voluntarismo orientado a procurar una adecuada asistencia sanitaria de sus pacientes. Es de desear que el presente trabajo sirva para que los profesionales sanitarios, por un lado, conozcan las obligaciones que el derecho fundamental a la protección de datos les impone en el tratamiento de los datos de salud y, por otro, diferencien dichas obligaciones de las que se derivan también para ellos del derecho a la información sanitaria y atención al paciente.

CONCEPTO DE “DATO DE SALUD” A pesar de la claridad con la que la Ley Orgánica de Protección de Datos de caracter personal (en lo sucesivo LOPD) (art. 7.3) incardina los datos de salud dentro de los “datos especialmente protegidos”, ni en dicha norma ni en la legislación sectorial sanitaria se encuentra una definición de lo que se ha de entender como “datos de carácter personal relacionados con la salud”. Únicamente se recoge desde el 19 de abril de 2008, fecha en que se produce la entrada en vigor del Reglamento de la Ley Orgánica de Protección de Datos de caracter personal (en lo sucesivo RLOPD), en cuyo artículo 5.1.g se incluye una definición de datos de carácter personal relacionados con la salud: “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética”. En dicho precepto se ha recogido el común denominador de las diferentes definiciones que se habían acuñado en las normas internacionales5 y que, ya desde mediados del siglo pasado, habían señalado que el “dato de salud” debía ser objeto de especial protección. En este sentido, la Recomendación n.º R (97) 5, de 13 de febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados miembros, sobre Protección de Datos Médicos, señalaba que la expresión “datos médicos” “abarca todos los datos de carácter personal relativos a la salud de una persona, y comprende los datos que manifiesta y estrechamente se relacionen con la salud y las informaciones genéticas”. Además de las definiciones normativas señaladas, que formularon un concepto extensivo del concepto de “dato de salud”, el Tribunal de Justicia de las Comunidades Europeas tuvo oportunidad de pronunciarse sobre este concepto en la Sentencia de 6 de noviembre de 20031 . Por tanto, el concepto de dato de salud ha de entenderse, como expresa el RLOPD y la OMS, en sentido amplio 2. En la tabla 1 se enumeran situaciones en las que se generan datos de salud.

2

Tabla 1: Datos de salud

LA PROTECCIÓN DE DATOS DE SALUD 1. ámbito de aplicación La normativa de protección de datos únicamente se extiende respecto de datos relativos a personas físicas identificadas o identificables (arts. 3.a. de la LOPD y 2 y 5.1.f. del RLOPD) Las personas fallecidas no tienen derecho a la protección de datos de carácter personal, ya que, a tenor del artículo 32 del Código Civil, “la personalidad civil se extingue por la muerte de las personas”. En relación con esta consideración, es preciso puntualizar lo siguiente, que puede tener directa aplicación al ámbito sanitario: • “Las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos” (art. 2.4 del RLOPD). • La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP), establece un régimen especial de acceso a la historia clínica de los pacientes fallecidos al establecer que “los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica (...) a las personas vinculadas (...) por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite” (Artículo 18.4.). Las personas jurídicas no poseen derecho a la protección de datos de carácter personal. NOTA: Ver anexo II para ampliar información

3

2. sujetos obligados Los artículos 3, apartados d) y g), de la LOPD y 5.1, apartados q) e i), del RLOPD señalan, como sujetos obligados en el derecho fundamental a la protección de datos, al responsable del fichero o tratamiento y al encargado de tratamiento. El primero por ser la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”; el encargado de tratamiento porque es “la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio” (art. 5.1.i RLOPD). En el ámbito de los datos de salud, sería el caso del promotor (responsable del fichero) y del monitor (encargado de tratamiento) en el entorno del desarrollo de un ensayo clínico con medicamentos.

3. situación en el ámbito sanitario En el ámbito sanitario confluye la aplicación de leyes que imponen determinadas obligaciones a los profesionales sanitarios. Entre ellas, la LOPD 15/1999, de 13 de diciembre, presenta unas claras especialidades sobre el resto de normas en cuanto que establece dos tipos de obligaciones, unas “positivas de hacer” y otras “negativas”. Dichas obligaciones se formulan en la LOPD de la siguiente manera: Las obligaciones “positivas de hacer” se concretan en una serie de actuaciones que se han de implementar por parte de los responsables de los ficheros o tratamientos (tanto si son centros sanitarios, públicos o privados, como si se trata de personal sanitario que ejerce la profesión a título individual). En unos casos, se habrá de actuar antes de la creación del fichero y, en otros, a lo largo del proceso del tratamiento de los datos relativos a la salud de los interesados. Dentro de las obligaciones que hay que desarrollar antes de la creación del fichero, se encuentra la relativa a la obligación de notificación a la Agencia Española de Protección de Datos o a las agencias de protección de datos autonómicas3, en el caso de que dicha notificación afecte a ficheros que sean competencia de esas autoridades de control. La notificación de los ficheros solamente encierra, en el caso español, una manifestación de voluntad del responsable del fichero o del tratamiento de naturaleza meramente declarativa. Es decir, antes de proceder a su inscripción en el Registro General correspondiente, las autoridades reguladoras en materia de protección de datos no proceden a comprobar materialmente los extremos que se declaran4, pero se ha de haber desplegado una serie de actuaciones a fin de concretar los siguientes aspectos: • Denominación del fichero. • Identificación del responsable del fichero. • Finalidades y usos previstos para los datos. • Sistema de tratamiento empleado en su organización. • Indicación del nivel de medidas de seguridad exigibles e implementación de las mismas. • Colectivo de personas sobre el que se obtienen los datos. • Procedimiento de recogida de los datos. • Categoría o categorías de los datos.

4

• Servicio o unidad ante el que pueden ejercitarse los derechos de acceso, rectificación, cancelación y oposición. • Cesiones de datos previstas a terceros. • Transferencias internacionales de datos previstas5 . • En su caso, la identificación del encargado o subencargado del tratamiento. De entre las señaladas, aunque todas ellas son igualmente exigibles, la que reviste mayor trascendencia, por la naturaleza especialmente protegida de los datos de salud, es la relativa a las medidas de seguridad que se han de implementar. En este sentido, la LOPD (art. 9) se refiere a las necesarias medidas de seguridad que han de instaurar las personas responsables del fichero o tratamiento y, en su caso, encargadas o subencargadas de tratamiento (arts. 20 y 21 del Reglamento de desarrollo de la LOPD —vid. ref. infra—) para evitar que terceras personas no autorizadas accedan a los datos de salud, remitiéndose a la vía reglamentaria a fin de fijar los requisitos y condiciones que deban reunir los ficheros y quienes intervengan en el tratamiento de los datos a que se refiere el artículo 7 de la citada LOPD. El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el RLOPD 15/1999, de 13 de diciembre, de protección de datos de carácter personal establece que deberán implementarse las medidas de seguridad de nivel alto para los ficheros o tratamientos de datos concernientes a la salud (art. 81.3), sin perjuicio de que se pueden aplicar las de nivel básico en los siguientes casos: • Cuando “los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros”, o cuando “se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad” (art. 81.5). •Cuando los datos de salud se refieran “exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos” (art. 81.6). Las obligaciones “negativas” se refieren a situaciones en las que el responsable del fichero o del tratamiento, o los profesionales sanitarios que como usuarios tratan datos de salud de pacientes, se han de abstener de actuar si ello conlleva la conculcación de los principios que inspiran el sistema jurídico que garantiza el respeto del derecho fundamental a la protección de datos. En este sentido, los responsables deben actuar, en todo momento, dentro del ámbito del consentimiento expreso otorgado por las personas titulares de los datos de salud, o de la habilitación legal que les permite tratarlos sin el consentimiento de éstas. En relación con dichos datos, la LOPD, a tenor del principio de consentimiento, ha procedido a incluirlos dentro de una regulación especial, más garantista, que los califica como “datos especialmente protegidos” por afectar a las esferas más íntimas de la persona. Cuando un dato posee tal naturaleza, según los términos previstos en el artículo 7 de la citada LOPD, su regulación se hace más exigente, ya que su recogida y tratamiento se rodean de un grupo adicional de garantías y cautelas, que se refieren, primordialmente, a los requisitos para obtener el consentimiento de la persona, a las medidas de seguridad aplicables para la conservación y el tratamiento de dichos datos. Junto a la LOPD existen otras leyes, “las de autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica”6, que disciplinan también parte del quehacer diario de los profesionales sanitarios. En la mayoría de las ocasiones, siguiendo la terminología ya utilizada para la LOPD, las obligaciones que estas normas imponen son de naturaleza “negativa de

5

no hacer”, es decir, de prohibición de determinados comportamientos por parte de los profesionales. Por ejemplo, en cuanto al “deber de secreto” en relación con los datos de salud que conozcan en razón de sus cometidos asistenciales. En otros casos, aunque existe una obligación “positiva de hacer”, por la que el profesional está obligado a un comportamiento activo ante el paciente, éste se circunscribe al ámbito de la estricta relación profesional entre ambos, trascendiendo solamente al ámbito de la protección de datos desde el punto de vista de integrar la documentación escrita, que en su caso haya que formalizar, dentro de la historia clínica del paciente. Por ejemplo, al derecho del paciente a recibir una información precisa, clara y completa sobre la que fundar su “consentimiento informado” para someterse a cualquier procedimiento diagnóstico o terapéutico. Por último, es preciso señalar que cada una de las leyes sectoriales sanitarias que disciplinan la autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica, tienen el rango de ley ordinaria y, como tales, establecen en sus respectivos articulados, porque no podría ser de otra manera a tenor del principio de jerarquía normativa, que lo señalado en las mismas respecto del acceso y conservación a la documentación clínica se rige por lo previsto en la LOPD.

PRINCIPIOS GENERALES 1. principio de información De acuerdo con el citado principio, que se recoge en la normativa de protección de datos, al responsable del fichero o tratamiento le corresponde, como regla general en el momento previo a la recogida de los datos, el deber de informar a la persona interesada de los extremos a los que se refiere el artículo 5.1 de la LOPD. En el caso de los datos de salud, por su especial naturaleza de datos especialmente protegidos (art. 7 LOPD) dicho deber tiene que ser observado, si cabe, aún con más rigor. El responsable del fichero o del tratamiento habrá de informar, según el artículo 5.1, a los pacientes sobre los siguientes extremos: • “De la existencia de un fichero o tratamiento de datos de carácter personal” relativos a su salud, “de la finalidad de la recogida de éstos y de los destinatarios de la información”. • “De la identidad y dirección del responsable del fichero o tratamiento o, en su caso, de su representante”. • “Del carácter obligatorio o facultativo de su respuesta a las preguntas que, en su caso, les sean planteadas”. • “De las consecuencias de la obtención de los datos o de la negativa a suministrarlos”. • “De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición”. (En los últimos tres supuestos no será necesaria esta información si su contenido se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban). Como regla general, el responsable del fichero o del tratamiento solamente podrá tratar los datos de pacientes si ha obtenido previamente su consentimiento expreso. que se fundamentará en los términos con relación a los cuales se haya practicado el preceptivo deber de información. No obstante, el cumplimiento del deber de información es de tal naturaleza que es precisa su

6

observancia incluso cuando se traten datos sin necesidad de haber contado con el previo consentimiento del paciente. De acuerdo con lo señalado, la índole del deber de información hace que no baste con informar al paciente solamente de los extremos a los que se refiere una prueba concreta, obviando los términos contemplados en la LOPD. Sería, por ejemplo, el caso de un centro de transfusión de sangre en cuyas hojas de donación se informara de los extremos a los que ésta se refiera pero en las que no se hubiera incluido la información prevista en el artículo 5.1 de la LOPD7. El caso de los servicios sanitarios de emergencia presenta unas particularidades dignas de ser comentadas. En tales casos, por un lado, resulta contraindicado ralentizar la intervención asistencial por la práctica del deber de información y, por otro, es bastante frecuente que, por el estado en que se encuentra el paciente, los primeros datos sean facilitados por otra persona. Ambos supuestos deben ser abordados desde la lógica perspectiva de que se trata de casos en los que está en juego la vida del paciente. Para tales casos, como luego se analizará, el legislador ha previsto que los datos de los pacientes puedan ser tratados sin necesidad de contar con su consentimiento. A tal fin, prevé que no será preciso contar con el previo consentimiento del interesado cuando el tratamiento sea necesario para salvaguardar el interés vital de la persona afectada en el supuesto de que la misma esté físicamente incapacitada para prestarlo (arts. 6.2 y 7.6, párrafo segundo, de la LOPD y 10.3.c del RLOPD). Lo que ocurre es que, con posterioridad al momento que motiva la asistencia de emergencia, será necesario facilitar al paciente el principio de información, a cuyo fin deberá utilizarse el medio que mejor se adapte a la naturaleza de la asistencia facilitada; por ejemplo, la inclusión de una cláusula informativa en los informes de urgencia. La prueba del cumplimiento del deber de información corresponde siempre a la persona responsable del fichero o tratamiento, motivo por el cual la misma no podría obtenerse a través de una mera información verbal. Por lo tanto, elcumplimientto del deber ha de practicarse mediante clausulas informativas o colocación de carteles del siguiente modo: • Por medio de una cláusula informativa, claramente legible e inteligible (art. 5.2 LOPD), que se incluirá en los impresos previstos para la recogida de los datos, cuando los datos de salud se recogen de las propias personas interesadas. Lo congruente, en beneficio del principio de seguridad jurídica, sería que el responsable del fichero o tratamiento pudiera probar que la persona interesada ha quedado informada de los términos a que se refiere la LOPD (art. 5.1) mediante la estampación de su firma. El RLOPD (art. 18.2) prevé que los justificantes de haber practicado el deber de información, que constituirán la prueba de que el responsable del fichero o tratamiento cuenta con el consentimiento expreso del paciente para tratar sus datos de acuerdo con las finalidades de las cuales le haya informado, pueden conservarse almacenados en soportes informáticos o telemáticos debidamente escaneados, siempre que se garantice que en dicha automatización no se ha podido alterar el contenido original. • A través de la colocación de carteles en tablones informativos, tanto si los datos de salud se recogen de los pacientes como si no es así. Los carteles anunciadores deberán cumplir con las siguientes condiciones: 1- Que la información facilitada cumpla lo señalado en el artículo 5.1 de la LOPD y tenga en cuenta en especial lo señalado, en la normativa sobre autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica, en relación con los supuestos en los que podrá accederse a los datos de salud contenidos en la historia clínica. 2- En el cartel anunciador podrán hacerse referencias genéricas a ciertas finalidades, tales

7

como las de “gestión adecuada de los servicios sanitarios” o de “investigación científica”, lo cual no exime a la persona responsable del fichero o tratamiento de sus obligaciones inherentes al tratamiento de los datos de salud en tales casos. En el caso de “gestión adecuada de los servicios sanitarios”, los datos a tratar serán, en función del principio de proporcionalidad, los estrictamente indispensables para el ejercicio de las funciones de administración. En la finalidad referente a la “investigación científica”, los datos serán previamente sometidos a un procedimiento de disociación, de modo que se garantice el anonimato de la persona interesada, salvo que por excepción la Agencia Española de Protección de Datos (AEPD) u otra autoridad de control a nivel autonómico autoricen el mantenimiento íntegro de tales datos (art. 9.2 RLOPD). 3- Que el contenido y el formato permitan que los interesados puedan acceder con claridad a la información que se les facilita. 4- Que resulten claramente visibles por parte de las personas interesadas, quedando así garantizado que han podido tener perfecto conocimiento de la información exigible.

2. principio de consentimiento De acuerdo con lo señalado, el tratamiento de datos personales se basa en el consentimiento del afectado, salvo que una ley lo excepcione o que los datos tratados procedan de fuentes accesibles al público. Los artículos 3.h) de la LOPD y 5.1.d) del RLOPD entienden por consentimiento del interesado “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

consentimiento expreso La LOPD (art. 7.3) requiere que los datos de salud, al pertenecer al grupo de los datos especialmente protegidos, sean “recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente”. Es decir, como principio general, cabe afirmar que los datos de salud solamente podrán ser tratados cuando el interesado consienta expresamente8 , salvo que la ley, bien la propia LOPD9 u otra ley sectorial10 , en atención a un bien jurídico prevalente, autorice dicho tratamiento sin necesidad de haber contado previamente con su consentimiento. En cuanto a la naturaleza jurídica del consentimiento necesario para el tratamiento de los datos de salud, es preciso observar que en la misma se exige que sea expreso (art. 7.3) e inequívoco, específico e informado (art. 3.h), resultando de capital importancia esto último, sin lo que difícilmente la declaración de voluntad podrá llegar a ser inequívoca y específica, (a diferencia de lo que se prevé en la LOPD —art. 7.2— para los datos referentes a ideología, afiliación sindical, religión y creencias, que dispone que para tales datos el consentimiento ha de ser emitido de forma expresa y por escrito). No obstante, existen determinados casos en los que el legislador ha señalado que es preciso contar con el consentimiento expreso y por escrito de la persona interesada para el tratamiento o la cesión de los datos de salud11.

8

Como es fácil deducir, la principal dificultad consistirá en identificar cuándo se puede deducir el consentimiento “expreso” de la persona interesada, aunque éste no conste por escrito. Para abordar esta cuestión es evidente que será necesario analizar caso a caso, toda vez que ese consentimiento expreso habrá de sustentarse, sobre el deber de información y sobre la apreciación de determinadas actitudes del paciente de las que se pueda deducir razonablemente que su verdadera voluntad fue acceder al tratamiento o a la cesión de sus datos de salud. Por lo tanto, la posibilidad de admitir un consentimiento expreso, que no conste por escrito, para el tratamiento o la cesión de los datos de salud, deberá subordinarse en cada supuesto a la concurrencia de las siguientes condiciones: 1- Deberá haberse facilitado, por parte del responsable del fichero o tratamiento, una adecuada información sobre la finalidad determinada, explícita y legítima respecto de la cual serán tratados los datos de salud (art. 4.1 LOPD). 2- Deberá deducirse una clara voluntad libre, informada y, por lo tanto, inequívoca y específica del paciente, que ha de haberse prestado previo el conocimiento de una concreta información entre la que necesariamente ha de constar la finalidad. De lo contrario, el consentimiento será considerado nulo de pleno derecho, es decir, se tendrá como no prestado (arts. 11.3 LOPD y 12.2 RLOPD). Siempre recaerá sobre el responsable del fichero o del tratamiento la carga de la prueba de demostrar que ha practicado debidamente el deber de información y que, por tanto, contaba con el consentimiento expreso de la persona interesada para tratar sus datos de salud (art. 12.3 RLOPD), salvo en los supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en la LOPD o en otras leyes. Por este motivo es tan importante que conserven los comprobantes a través de los cuales se haya practicado el deber de información a los pacientes (arts. 5.1 y 18.2 LOPD). De tal manera es esencial dicho requisito que, si un responsable de un fichero o tratamiento decidiera tratar dichos datos de salud para una finalidad distinta12, debería obtener previamente el consentimiento expreso del interesado13.

consentimiento en el caso de menores En el caso de los menores de edad14, la obtención del consentimiento expreso en materia de protección de datos, previa implementación de un procedimiento que garantice que se ha comprobado de modo efectivo la edad del menor, se efectuará de la siguiente manera:

En el anexo IV pueden consultarse las normas de consentimiento informado en menores según la normativa de autonomia del paciente

9

excepciones al principio de consentimiento Desde el punto de vista de la normativa de protección de datos y de la legislación sectorial sanitaria que la complementa, solamente no será necesaria la previa obtención del consentimiento del paciente para tratar o ceder sus datos de salud cuando una norma con rango de ley, en atención a un bien jurídico prevalente, así lo recoja expresamente150. Como punto de partida, es preciso recordar que la regla general es la contenida en el artículo 7.3 de la LOPD, es decir, que el tratamiento de los datos de salud solamente puede hacerse por un responsable de fichero o de tratamiento cuando su titular haya prestado consentimiento expreso, inequívoco, específico e informado para ello. Por tanto, la posibilidad prevista en el artículo 7.6 de la LOPD es solamente una excepción a la citada regla general y que, como tal, ha de ser aplicada de acuerdo con los siguientes principios16: • Las excepciones a la regla general de exigencia del consentimiento expreso para tratar los datos de salud han de ser interpretadas de modo restrictivo17, por lo que no cabe admitir otros supuestos distintos a los que aparecen expresamente contemplados en la norma. • Dichos supuestos se refieren, exclusivamente, a la situación de salvaguardar el interés vital, a la prevención, el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios. • Por lo tanto, cuando se tratan los datos de salud sin el consentimiento de su titular para otra finalidad distinta18 no puede hablarse de prestación de servicios sanitarios en los términos exigidos en la LOPD, y ello aunque intervengan facultativos sometidos a secreto profesional. Por ello, para realizar dicho tratamiento, se precisa el consentimiento expreso de la persona interesada. Los supuestos en los cuales el legislador19 ha entendido que es posible usar los datos de salud de los pacientes, sin necesidad de tener que contar con su previo consentimiento expreso, se refieren tanto al tratamiento como a la cesión de los datos de salud.

1. Respecto al tratamiento de los datos de salud • Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de competencias atribuidas por una norma con rango de ley o de derecho comunitario (arts. 6.2 y 21 LOPD y 10.3.a RLOPD). Pueden citarse los siguientes supuestos: - Con el fin de controlar enfermedades transmisibles, la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, habilita, en su artículo tercero, a la autoridad sanitaria para que, además de realizar las actuaciones preventivas generales, pueda “adoptar las medidas oportunas para el control de los enfermos” y “de las personas que estén o hayan estado en contacto con los mismos”. - La Ley 14/2007, de 3 julio, de Investigación biomédica (LIB), establece, en su artículo 58.2, que “de forma excepcional podrán tratarse muestras biológicas” que no hayan sido obtenidas con fines de investigación biomédica para otra finalidad, codificadas o identificadas, “sin el consentimiento del sujeto fuente”, cuando no sea posible o represente un esfuerzo no razonable, siempre que se cuente con “el dictamen favorable del Comité de Ética de la Investigación correspondiente”.

10

• Cuando se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o por la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento (arts. 6.2 y 11.2.c de la LOPD, y 10.3.b del RLOPD); por ejemplo, en el caso de afiliación obligatoria a la Seguridad Social o en el de suscripción voluntaria de un seguro de asistencia sanitaria privada. • Para salvaguardar el interés vital del afectado, o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento (arts. 6.2, y 7.6, párrafo segundo, de la LOPD y 10.3.c del RLOPD; por ejemplo, sería el caso de los servicios sanitarios prestados en caso de emergencia). • Para acceder a la historia clínica del paciente desde otro centro en el cual estuviese recibiendo asistencia sanitaria, se deberá facilitar el acceso cuando sea solicitada por el facultativo responsable de esa asistencia, pero siempre que cuente con la autorización expresa del paciente. No obstante, la excepción al principio general de consentimiento expreso del paciente se producirá solamente si la asistencia se realiza en una situación de urgencia, en la que no pueda prestar su consentimiento, en cuyo caso se podrá facilitar el acceso a la historia clínica bajo la responsabilidad del profesional sanitario que le atiende, que habrá de justificar debidamente la necesidad que requiere el uso de dicha documentación. En el supuesto de que el acceso a la historia clínica del paciente se haya de facilitar para salvaguardar el interés vital de otra persona, el responsable del fichero deberá adoptar las medidas precisas para que se garantice el anonimato del propio paciente (procedimiento de disociación) (arts. 3.f y 11.6 LOPD y 5.1.p RLOPD). • Para la prevención, el diagnóstico médico, o la prestación de asistencia sanitaria o tratamientos médicos, siempre que dicho tratamiento se realice por un profesional sanitario sujeto al secreto profesional (art. 7.6, párrafo primero, de la LOPD). En este sentido, la legislación sanitaria establece que podrán acceder a la historia clínica del paciente los profesionales sanitarios que realizan el diagnóstico o el tratamiento, como instrumento fundamental para su adecuada asistencia20. De este modo, si el profesional sanitario, por el motivo que fuera, accede injustificadamente a datos de otros pacientes estará vulnerando, bajo su total responsabilidad, la citada normativa con la deducción de las consecuencias de índole penal21, laboral22 o administrativa23 que en cada caso procedan. • Para la gestión de servicios sanitarios, siempre que dicho tratamiento se realice por una persona sujeta a la obligación de secreto en relación con los datos que conozca por razón de sus cometidos24. Aquí se encontraría incluido el caso del personal, sanitario o no sanitario25, que ejerza funciones de inspección, evaluación, acreditación y planificación de los servicios sanitarios26. Respecto a los supuestos anteriores, la verdadera dificultad estriba en delimitar el ámbito de aplicación de dichas excepciones que, a priori, permiten que los datos se traten sin consentimiento de la persona interesada (normalmente, las entidades o el personal sanitario que ejerce la profesión a título individual, a quienes se les imputa un tratamiento de datos de salud sin consentimiento, esgrimen como habilitación para su actuación alguno de los citados supuestos).

11

En el siguiente cuadro se resume la información sobre el deber de secreto y en la tabla se recoge la regulación de la LAP en las CC.AA.. Las no citadas no han procedido a desarrollar las leyes autonómicas por lo que se rigen por lo señalado en la LAP.

2. Respecto a la cesión de los datos de salud (art. 11.2.f LOPD) Cuando lo autorice una norma con rango de ley o de derecho comunitario (arts. 11.2.a LOPD y 10.2.a RLOPD). En este sentido, pueden señalarse los siguientes casos: • En caso de enfermedad contagiosa comunicarlo a las personas que conviven con el paciente, en el ámbito familiar o laboral, cuando éste se niega a comunicárselo o a dar su consentimiento para que los profesionales sanitarios lo hagan en su nombre. La Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, dispone, en su artículo tercero, que la autoridad sanitaria podrá, con el fin de controlar las enfermedades transmisibles, adoptar medidas no sólo “para el control de los enfermos” sino también “de las personas que estén o hayan estado en contacto con los mismos”. Por tanto, la autoridad sanitaria podría, motivando debidamente las razones de riesgo para su salud, comunicar dicha enfermedad, eso sí, ciñendo su difusión al ámbito y a los datos que fueran pertinentes en función de la finalidad que se persigue. • En caso de accidente de circulación, los centros sanitarios públicos están habilitados para comunicar los datos de salud a las compañías de seguros en caso de que se produjera una asistencia sanitaria como consecuencia de un accidente de circulación, ya que la legislación de Sanidad y Seguridad Social permite tal cesión en el caso de seguro de responsabilidad civil por el uso de vehículos a motor27. En todo caso, en virtud del principio de proporcionalidad en el tratamiento de los datos, deberán comunicarse a la entidad aseguradora únicamente aquellos que resulten imprescindibles para la facturación del gasto sanitario (art. 4.1 LOPD).

12

• Cuando responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos (arts. 11.2.c LOPD y 10.4.a RLOPD). Por ejemplo, el caso de afiliación obligatoria a la Seguridad Social o el de la suscripción voluntaria de un seguro de asistencia sanitaria privada. En tal sentido, las instituciones y los centros sanitarios, así como los profesionales sanitarios o no sanitarios correspondientes, podrán proceder al tratamiento de datos de salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con la legislación estatal o autonómica sobre sanidad. En relación con personal no sanitario, por ejemplo los auxiliares administrativos podrán acceder a los datos de salud de los pacientes y, en su caso, comunicarlos, pero solamente cuando sea necesario para desarrollar las funciones que tuviesen encomendadas (arts. 7.6 y 8 LOPD y 16.4 LAP). • Cuando sea necesaria para solucionar una urgencia que requiera acceder a un fichero. En este caso, cuando la situación se refiera a otra persona distinta de la titular de los datos, el responsable del fichero o tratamiento tiene la obligación de preservar los mismos aplicando un proceso de disociación, salvo que éste autorice lo contrario (art. 11.2.f LOPD). • Cuando sea precisa para realizar estudios epidemiológicos, en los términos previstos en la legislación sobre sanidad estatal o autonómica, se podrá acceder a la historia clínica de un paciente. (ver apartado “Situaciones especiales”) • Cesión entre Administraciones públicas con fines históricos, científicos o estadísticos28. En este sentido, la normativa sanitaria establece que, cuando se deba a fines de salud pública, de investigación o de docencia, el acceso a la historia clínica del paciente se realizará, en general, preservando su anonimato (proceso de disociación), salvo que el propio paciente consienta que sean conocidos por terceros (art. 16.3 LAP). • Cesión entre Administraciones públicas cuando los datos hayan sido recogidos o elaborados por una Administración pública con destino a otra (art. 10.4.c RLOPD). • Cesión entre Administraciones públicas “para el ejercicio de competencias idénticas o que versen sobre las mismas materias” (art. 10.4.c RLOPD). • Cuando la comunicación sea practicada a instancia de jueces o tribunales en el ejercicio de las funciones que legalmente tienen atribuidas (art. 11.2.d LOPD). A tal efecto, bastará con que la autoridad judicial lo solicite en la correspondiente resolución. Sobre este caso, se deberá dar acceso a la historia clínica del paciente en los términos en los que se haya manifestado el juez o tribunal correspondiente (art. 16.3 LAP); de lo contrario, se corre el riesgo de contradecir el artículo 118 de la Constitución29. Sin embargo, el responsable de la custodia clínica deberá ceñir el acceso a lo solicitado por la autoridad judicial de modo que, salvo que lo que se solicite sea toda la historia clínica, no será adecuado que, ante una petición de información parcial, se atienda el requerimiento remitiendo la totalidad de la información contenida en dicha historia clínica. En caso de duda sobre los términos de la resolución judicial, el responsable deberá pedir aclaración sobre el contenido concreto de la historia clínica que se está solicitando. • Cuando se produzca a través de medios electrónicos (en tal caso, los datos de salud deberán viajar cifrados o encriptados (art. 104 RLOPD), entre organismos, centros y servicios del SNS37 para la atención sanitaria de las personas30. En este sentido, se deberá dar acceso a la historia clínica, siempre que el profesional sanitario así lo requiera, con motivo de que el paciente se encuentre recibiendo asistencia en otro centro31.

13

• Datos de salud recogidos y tratados por profesionales sanitarios que presten servicios en instituciones penitenciarias, es un caso bastante peculiar, que muchas veces pasa desapercibido, ha de tenerse en cuenta lo siguiente: - Los servicios de salud penitenciaria son establecimientos sanitarios incorporados al SNS32. - El personal sanitario penitenciario podría acceder a los datos de la historia clínica del paciente que obrasen en las bases de datos centralizadas que fueran mantenidas por el correspondiente servicio autonómico de salud, sin necesidad de contar con su consentimiento, a fin de realizar un adecuado diagnóstico y tratamiento de los internos que hubiesen de ser tratados en los mismos (arts. 7.6 y 8 LOPD y 16.1 LAP). - Con el fin de evitar que aquellas personas que tienen habilitación para acceder a la historia clínica del paciente pudieran conocer que ha sido tratado en un servicio de salud penitenciaria y, en su consecuencia, saber que ha tenido la condición de interno, incluso una vez hubiesen sido cancelados sus antecedentes penales, debería darse instrucciones al personal que ha intervenido en el proceso asistencial para que no indicaran que se encuentra adscrito a un determinado servicio de salud penitenciaria. De este modo se aplicaría el principio de proporcionalidad (art. 14.1 LAP), que se refiere a que la historia clínica contenga “la identificación de los médicos y de los demás profesionales que han intervenido” en los procesos asistenciales de cada paciente, sin que ello implicara el mantenimiento del dato referido a la condición de interno del paciente.

3. principios de finalidad y calidad Los principios de finalidad y calidad de los datos personales resulta plenamente aplicable a los datos relativos a la salud. De esta manera, los datos: Respecto al deber de información, podrán recogerse y tratarse siempre que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Respecto al principio de consentimiento, los datos podrán haber sido recogidos con el consentimiento expreso y, en su caso, escrito del paciente, o haber sido tratados por el responsable de un fichero o tratamiento sin necesidad de contar con su consentimiento por venir así habilitado en una norma legal o de derecho comunitario. En ambos casos, el responsable del fichero o tratamiento no podrá tratar los datos fuera de las finalidades recogidas en los términos a que se refiere el consentimiento expreso o la correspondiente habilitación normativa. Si los datos fueron recogidos del paciente y se quieren utilizar para una finalidad distinta a las que se recogieron en el deber de información, el responsable del fichero o tratamiento ha de obtener de nuevo el consentimiento para poder utilizar los datos de salud para dicho uso. En el caso de que procediera la comunicación de datos, el responsable del fichero o tratamiento, o el profesional sanitario, deberá facilitar solamente la información relativa a los datos de salud que fuera adecuada, pertinente y no excesiva en relación con la finalidad que legitima tal cesión. En consecuencia, lo ideal sería que el profesional sanitario reflexionara, como si de su propia documentación clínica se tratara, sobre qué parte de la misma sería necesario facilitar en cada caso concreto, de modo que se tratasen o cediesen solamente los datos estrictamente necesarios en

14

función de los fines que están recogidos en el consentimiento expreso y, en su caso, escrito que hubiera prestado el paciente o en cada una de las habilitaciones legales que resulten aplicables. Deberán responder, con veracidad, a la situación actual de su titular, en este sentido, los profesionales sanitarios solamente deberán anotar en la historia clínica del paciente las informaciones relativas a la salud que fueran adecuadas, pertinentes y no excesivas en función de la asistencia sanitaria que se le hubiera prestado33. Por lo que se refiere a los plazos de conservación de las historias clínicas, la normativa estatal y la de algunas CC.AA. que han desarrollado este asunto los regulan de manera distinta.

En todo caso, tanto si se trata de una cancelación motivada por el transcurso de los plazos de conservación de las historias clínicas como si se debe a que los datos de salud han dejado de ser necesarios para la finalidad determinada, explícita y legítima que motivó su recogida, los mismos deberán ser cancelados de modo que, en todo caso, se evite que ninguna tercera persona pueda acceder a dichos datos. A tal fin, resulta cada vez más preciso que los responsables de ficheros o tratamientos tomen conciencia de la necesidad de contratar servicios de recogida y destrucción de documentación en soporte papel o de soportes informáticos en los que se contengan datos de carácter personal.

15

4. principio de seguridad circunstancias para su aplicación Ya se ha señalado que, aunque los datos de salud están especialmente protegidos y sometidos a medidas de seguridad de nivel alto, sin embargo será posible la aplicación de medidas de seguridad de nivel básico en determinados casos. El RLOPD incorpora esta importantísima novedad que, sin duda, va a facilitar el tratamiento de los datos de salud, porque define las medidas de seguridad que deben aplicarse en los casos en que en los ficheros se incluyesen datos especialmente protegidos pero cuyo tratamiento tuviese relación con la gestión de pagos o con el cumplimiento de deberes públicos. De este modo se superaba el principio general de que un dato de salud, por ser especialmente protegido, elevaba el nivel de seguridad de todo el fichero, por lo que debían adoptarse necesariamente las medidas de nivel alto. Pues bien, a partir de la entrada en vigor del RLOPD el 19 de abril de 2008, la situación cambia notablemente. Por lo tanto, ha de deducirse una nueva conclusión, los datos de salud, dependiendo de las circunstancias que rodeen su tratamiento, exigirán la aplicación de distintos niveles de medidas de seguridad recogidos en la normativa de protección de datos: • En general, se aplicarán las medidas de nivel alto (art. 81.3.a RLOPD). • Excepcionalmente, se aplicarán las medidas de nivel básico en los siguientes casos: - Cuando los datos de salud se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros (art. 81.5.a RLOPD). - Cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad (art. 81.5.b RLOPD). Por ejemplo, un fichero en el que se recogiese simplemente el dato de que una persona es fumadora, sin más referencia ni a sus hábitos de consumo de tabaco ni a otros que permitieran determinarlo. - Cuando los datos de salud se refieran exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos (art. 81.6 RLOPD). Por ejemplo, el dato de discapacidad que motivase la necesidad de adaptar el mobiliario del puesto de trabajo de una determinada persona.

aspectos a considerar por el profesional sanitario Respecto a las medidas de seguridad, son muchos los extremos que merecerían atención, pero ello excede en mucho al objeto del presente trabajo. Destacamos que hay medidas de seguridad aplicables a la documentación clínica, por las que se han llegado a presentar denuncias por presunto incumplimiento de la LOPD. Se comenta a continuación los aspectos más significativos desde el punto de vista de la utilidad para el profesional sanitario. • Deberá cumplir el correspondiente documento de seguridad, que deberá ser elaborado por el responsable del fichero o tratamiento y que habrá de recoger las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios en relación con el tratamiento de los datos de salud incluidos en los ficheros.

16

• Deberá tener acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. A tal efecto, el responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y de los accesos autorizados para cada uno de ellos. • Velará por que el sistema de identificación y autenticación con el que accedan a los ficheros no sea conocido por terceras personas. Esta obligación es aún más importante en el caso general de que el fichero con datos de salud tenga que respetar el nivel de medidas de seguridad de nivel alto. En este supuesto se guarda la trazabilidad de los accesos de modo que se permite identificar quién fue el usuario que practicó el registro accedido y con qué finalidad. El usuario será entonces el responsable de demostrar que el acceso fue necesario para desarrollar las funciones que tuviera encomendadas. • La normativa sanitaria que regula la autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica, establece que son de aplicación a la documentación clínica las medidas técnicas de seguridad establecidas en la normativa de protección de datos para la conservación de los ficheros que contienen datos de carácter personal (art. 17.6 LAP). Dichas medidas permitirán no sólo evaluar que los datos no se han destruido, sino que, aun conservándose durante largos períodos de tiempo, se han utilizado únicamente para las finalidades que legalmente las justifican y para comprobar si se han producido accesos no autorizados. • Es frecuente que determinadas pruebas se remitan desde el centro sanitario a un laboratorio de análisis clínicos. Cuando se produzca esta situación, el documento de seguridad del centro sanitario deberá recoger que la identificación del paciente habrá de realizarse de modo disociado, de tal manera que, si se extravían, una tercera persona que las halle no pueda identificar a quién pertenecen. • Cada vez resulta más habitual que determinados centros sanitarios procedan a la externalización de determinados servicios. Es importante destacar que cuando los centros sanitarios lo único que hacen es facilitar sus instalaciones para la prestación asistencial sanitaria, no existe una cesión de datos a la sociedad contratista que presta el servicio, ya que los datos de los pacientes quedan bajo la responsabilidad de dicha sociedad34. • En los casos de externalización, se distinguen en materia de protección de datos, las siguientes situaciones: - Si la clínica privada concertada actúa como encargada de tratamiento del responsable sanitario público, realizará su labor asistencial accediendo a los ficheros públicos de éste. - Si la clínica privada concertada no actúa como encargada de tratamiento del responsable sanitario público, en cuyo caso éste habrá de valorar qué datos resultan adecuados, pertinentes y no excesivos en relación a la asistencia sanitaria que se ha de prestar al paciente. En este supuesto, la clínica privada concertada recogerá del paciente los datos de salud que estime necesarios, los incluirá en sus ficheros y deberá cumplir el deber de información que le incumbe”. • Existen empresas que se dedican a arrendar consultas con el fin de que los profesionales sanitarios que lo deseen puedan ejercer su actividad compartiendo una serie de servicios que son comunes. En estos casos, los responsables de las historias clínicas serán los profesionales que ejercen a título individual, sin que el centro tenga nada que ver con relación a la documentación (art. 17.5 LAP).

17

• Si los profesionales sanitarios mantienen una relación de dependencia (laboral o mercantil) con un centro sanitario, los pacientes serán del centro y no de cada uno de los facultativos, por lo que corresponde al centro el tratamiento y custodia de las historias clínicas de sus pacientes. En consecuencia, la custodia de las historias clínicas estará bajo la responsabilidad de la dirección del centro sanitario y no del profesional que presta la asistencia sanitaria, quien, sin embargo, deberá respetar las obligaciones que le impone el documento de seguridad del centro (art. 17.1 y 4 LAP). • Cuando un paciente ingresa para ser operado en un centro sanitario y, como cada vez es más frecuente, trae consigo las pruebas del preoperatorio que entrega al servicio en el que ha de ser intervenido, la custodia de dicha documentación pasa a estar bajo la responsabilidad de dicho centro. A tal fin, éste deberá establecer un protocolo que garantice la seguridad de los datos contenidos en documentación, y que asegure que, cuando se produce el alta, dicha documentación no se integra en la historia clínica, la misma ha sido devuelta al paciente35.

DERECHOS DE LAS PERSONAS INTERESADAS 1. derecho de acceso a la historia clínica El derecho de acceso regulado en la LOPD, cuando se refiere a la historia clínica se encuentra particularmente influido por la regulación que realiza la LAP (art. 18), motivo por el que debe prestarsele especial atención. Contenido. Atendiendo al contenido que en cada caso sea exigible respecto a la historia clínica, a tenor de lo previsto en la LAP y en el resto de normativa autonómica que regula la autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica, la LAP, regula el derecho de acceso de la siguiente manera: 1. Respecto del derecho de acceso a toda la información que posea el responsable de la custodia clínica, de tal modo que, si se tratan datos de salud que no figuran en la historia clínica, al atender su ejercicio habrá de incluir dichos datos en la información que se facilite. 2. Si el interesado solicita conocer el acceso a los medicamentos que se le han suministrado, habrá de facilitarle dicha información, ya que no se encuentra incluida en las excepciones al deber de informar que se establecen en la LAP (art. 18.3). 3. En relación con el derecho a obtener copia de los datos que figuran en su historia clínica, se pueden plantear las siguientes situaciones: a- Que las copias de las mencionadas pruebas no figuren en la historia clínica, pero sí los informes derivados de las mismas. En este caso, solamente si el contenido mínimo de la historia clínica hace referencia a los citados informes, bastará con facilitar el acceso respecto de éstos para entender perfectamente atendido el derecho de acceso a la historia clínica. b- Que el contenido mínimo de la historia clínica se refiera no solamente a los citados informes, sino también a las copias de las pruebas en las que se sustenta, en cuyo caso habría, primero, que completar la historia clínica para, después, proceder a atender el derecho de acceso.

18

c- Que el titular de los datos de salud solicite en el ejercicio del derecho de acceso que se le entregue la documentación original que obra incluida en su historia clínica. El derecho de acceso se atenderá correctamente facilitando la copia que figure en su historia clínica, siempre que sea posible. Si no es así, bastará con que se practique el mismo de modo gratuito y que se asegure la comunicación escrita si el interesado la exige (art. 28 RLOPD). Legitimación. La regulación del derecho de acceso desde el punto de vista de la protección de datos se encuentra recogida en la LOPD y en su normativa de desarrollo; sin embargo, cuando se trata de datos de salud, sus previsiones deben integrarse con las de la LAP y con las especialidades previstas en la normativa autonómica. Desde el punto de vista de la legitimación para el ejercicio del derecho de acceso, los datos de salud incluidos en la historia clínica pertenecen al paciente. Por este motivo y, como regla general, será la única persona legitimada para poder acceder a dichos datos, bien por sí misma o a través de representante. Salvo que se trate de alguno de los supuestos que permiten, con la habilitación legal suficiente, que los datos sean tratados o cedidos sin necesidad de tener que contar con el previo consentimiento de su titular. Para ejercitar con legitimación el derecho de acceso en el ámbito sanitario, habrá que distinguir los siguientes supuestos: 1. Derecho de acceso ejercitado por el propio interesado (art. 18.3 LAP). No tiene carácter ilimitado, sino que ha de respetar las siguientes reglas: a- Podrá ser ejercitado por el paciente o quien actúe en su representación, debidamente acreditada. b- No puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en la historia clínica recogidos en interés terapéutico del paciente. c- No podrá ejercerse en contra de la voluntad del profesional sanitario, que puede oponerse a que se dé acceso a las anotaciones subjetivas que puedan obrar en la historia clínica del paciente. En este sentido, conviene aclarar dos cuestiones: • El derecho de acceso comprende la obligación de darle a conocer la existencia o no de anotaciones subjetivas. • La titularidad del derecho de oposición al acceso a las anotaciones subjetivas corresponde a los profesionales sanitarios que hubiesen participado en su elaboración. Por tanto, habrán de ser estos profesionales los que lo ejerzan y no las entidades en las que pudieran prestar sus servicios. 2. Derecho de acceso ejercitado por alguna persona distinta al interesado, en cuyo caso es preciso distinguir los siguientes casos: a- Que el interesado sobreviva: • Derecho de acceso es planteado por una persona que actúa como representante legal suyo (art. 18.2 LAP): en tal supuesto se facilitará el acceso a dicho representante legal siempre que en el poder se contemple específicamente un apoderamiento específico para tal finalidad. En este caso, también habrá de consultar al profesional sanitario que hubiera cumplimentado el apartado de anotaciones subjetivas de la historia clínica del paciente, para verificar si ejercita el derecho de oposición frente al citado acceso.

19

• Derecho de acceso es planteado por una persona que no actúa como representante legal suyo: el acceso debe ser denegado sin más trámites. b- Que el interesado hubiese fallecido: • Derecho de acceso es planteado por una persona que pudiese demostrar que tuvo una relación familiar o de hecho: solamente se podrá facilitar el acceso si la persona fallecida no hubiese dejado por escrito su voluntad de que no se permitiera el acceso a su historia clínica. En cualquier caso el acceso de un tercero a la historia clínica de la persona fallecida por motivo de un riesgo para su salud se facilitará, pero en relación con los datos que fueran pertinentes. Si, no obstante, se necesita acceder a la documentación clínica pora atender una urgencia de una tercera persona, se podrá realizar a pesar de existir prohibición expresa al efecto, siempre que se tomen medidas para asegurar el anonimato del paciente fallecido (proceso de disociación). Lo señalado con anterioridad no es impedimento para que, antes de facilitar el acceso, el responsable de la custodia de la historia clínica deba solicitar del profesional sanitario que atendió a la persona fallecida si ejercita o no su derecho de oposición al acceso a las anotaciones subjetivas que pudieran existir en la misma. En todo caso, el acceso se practicará con respeto a la intimidad del fallecido y al principio de proporcionalidad, de modo que se facilite solamente respecto de los datos que sean pertinentes en función de la finalidad que se persiga. • Derecho de acceso es planteado por una persona que no pudiese probar que había mantenido con el interesado una relación familiar o de hecho: no se podrá facilitar dicho acceso.

Problemas. Respecto al derecho de acceso a la historia clínica 1. La posible cesión de los datos, contenidos en las historias clínicas de un profesional sanitario que ejerce a título individual36, que cesa en la prestación de la asistencia sanitaria a sus pacientes. Por ejemplo, en caso de fallecimiento o de jubilación: a. En caso de jubilación: - Como regla general, deberá conservar las historias clínicas durante los plazos previstos en la normativa aplicable, nacional o autonómica, con el fin de salvaguardar la vida y la integridad física del titular de los datos. - En este caso cabe la posibilidad de preguntarse si el profesional sanitario jubilado, podría comunicar los datos recogidos en las historias clínicas a otro facultativo de la misma especialidad. En tal supuesto, de la normativa aplicable (arts. 17.1 y 18.1 LAP) se desprende que solamente dichos datos podrían ser comunicados a otros facultativos cuando éstos fueran a realizar una actividad de diagnóstico o tratamiento del titular de los datos, o cuando fuera el paciente quien solicitara expresamente al anterior profesional sanitario que procediera a transmitir su historia clínica a su nuevo o nueva médico. Pasaría a ser el nuevo médico quien ha de cumplir el deber de conservación que hasta entonces pendía sobre el anterior.

20

b. En caso de fallecimiento: En el caso de que el profesional sanitario hubiese cesado en la actividad asistencial por fallecimiento, existe un asunto para el que no encontramos solución en la normativa vigente: responder a la cuestión de qué ocurriría con el deber de conservación que habría de ser respetado por personas que no son profesionales sanitarios, como podría ser el caso del cónyuge o los hijos del profesional sanitario fallecido. A este respecto, nada dice el legislador en relación con que pudieran ser los colegios profesionales de médicos o los centros sanitarios públicos de referencia de los pacientes titulares de las historias clínicas los que a instancia de los familiares del profesional sanitario fallecido debieran hacerse cargo de las mismas. Sobre este particular se han planteado dos posibles soluciones: - La primera, a priori la más lógica, sería que fuese el SNS el que se hiciera cargo de las mismas, fundamentalmente porque el concepto de historia clínica única abarca el conjunto de documentos relativos a los procesos asistenciales de cada paciente (arts. 14.1 LAP y 61 LGS). - Otra posible solución consistiría en que el colegio profesional al que perteneciera el profesional sanitario contratase con una entidad la prestación de un servicio adicional mediante el cual, al conocerse el fallecimiento de uno de sus colegiados, se pusiera en contacto con sus pacientes para comunicarles el óbito de su médico y plantearles la posibilidad de que, si así lo estimaran conveniente, solicitasen que su historia clínica pasara a ser gestionada por otro colegiado en activo. 2. El caso de un profesional sanitario que presta servicios en una determinada institución sanitaria y que va a pasar a prestar asistencia sanitaria en otra institución sanitaria o en su propia consulta particular. Cuando algunos profesionales sanitarios comunican a sus pacientes esta circunstancia y éstos les manifiestan su deseo de que los siga tratando en el futuro, cada vez que atienden a dichos pacientes rescatan de sus historias clínicas determinada documentación clínica que estiman de interés, con el fin de incorporarla a la historia clínica que les abrirá en la nueva institución o en su propia consulta. Esta conducta, además de contraria a la normativa vigente, es absolutamente improcedente, porque es posible lograr el mismo objetivo sin vulnerar ningún precepto. El paciente que desea que el médico anterior siga tratándolo deberá ejercitar el derecho de acceso a su historia clínica, solicitando una copia, ante el responsable del fichero de la institución anterior, derecho que éste tiene obligación de atender. Obtenida dicha copia, la entregará en la nueva institución o a la consulta privada en la que ahora será atendido, y quedará integrada en la nueva historia clínica que se le abra. 3. En el caso de la minoría de edad (art. 13 RLOPD), se puede plantear el asunto de en qué casos pueden los titulares de la patria potestad estar habilitados para acceder a la historia clínica del menor. Este asunto guarda relación directa con el de la capacidad que tienen los menores de edad para prestar consentimiento en materia de protección de datos, y que ya ha sido tratado anteriormente (art. 13 RLOPD). En este sentido, es preciso recordar que el artículo 162.1 del Código Civil exceptúa de la representación legal del titular de la patria potestad “los actos referidos a derechos de la personalidad u otros que el hijo, de acuerdo con las leyes y con sus condiciones de madurez, pueda realizar por sí mismo”. Por ello, dado que el ejercicio del derecho de acceso es una manifestación de un acto referido a derechos de la personalidad, cabe la diferenciación de los siguientes supuestos: a- Si es mayor de catorce años tiene capacidad suficiente para celebrar determinados negocios

21

jurídicos a tenor del Código Civil 47 , tales como la adquisición de la nacionalidad por derecho de opción o de residencia o la capacidad para testar salvo en el testamento ológrafo, al disponer de madurez suficiente para ejercitar el derecho de acceso no es necesario que exista representación legal por parte de los titulares de la patria potestad. Si los padres de un mayor de catorce años pretenden el acceso a la información contenida en la historia clínica de su hijo, deberá ser rechazado. Se exceptúan de esta regla los siguientes casos: • Cuando el acceso fuese solicitado con el consentimiento del menor. • Cuando el menor hubiese otorgado apoderamiento para ello. • Cuando el menor se encontrase previamente incapacitado. b. Cuando el menor no supere los catorce años, por las mismas razones expuestas en al apartado anterior y porque no se considera que tenga madurez suficiente, el acceso a los datos existentes en su historia clínica corresponderá a los titulares de la patria potestad, sin necesidad de exigir previamente que el menor hubiera conferido representación suficiente para ello. En casos en los que los padres vivan separados, el artículo 159 del Código Civil establece que “si los padres viven separados y no decidieren de común acuerdo, el Juez decidirá, siempre en beneficio de los hijos, al cuidado de qué progenitor quedarán los hijos menores de edad”. Por consiguiente, en tanto no exista una resolución judicial que excluya del ejercicio de la patria potestad a uno de los progenitores, ambos seguirían encontrándose habilitados para acceder a la historia clínica de sus hijos menores de catorce años. El resto de los familiares solamente podrían obtener el acceso a los datos del menor en caso de ostentar su tutela, a tenor del artículo 269 del Código Civil.

derecho de rectificación Tanto el derecho de rectificación como el de cancelación sobre la historia clínica no se encuentran regulados en la LAP, que se refiere solamente al derecho de acceso. El paciente puede ejercitar tales derecho de rectificación al amparo de lo dispuesto en la LOPD, siendo sus preceptos de directa aplicación al tratamiento de datos de carácter personal inexactos o incompletos contenidos en las historias clínicas. El paciente puede instar la rectificación de la información contenida en la historia clínica cuando se encuentre avalada por la participación de un profesional sanitario. Para que tal rectificación deba practicarse, ha de estar avalada por la existencia de un informe diferente emitido por otro profesional sanitario37. Ello conlleva la necesidad de instar los procedimientos que la normativa de aplicación contemple para la revisión de los diagnósticos médicos por error en su determinación, agravación o mejoría, con aportación de las pruebas adecuadas al efecto que los propios facultativos hayan resuelto que son precisas. Podría ser el caso de la existencia de un contrainforme médico que contradijera lo recogido en otro informe sobre la misma patología y que se encontrara incluido en la historia clínica.

derecho de cancelación Se rige por la LOPD, la historia clínica deberá incorporar la información necesaria para el adecuado tratamiento y diagnóstico de los pacientes, quedando así delimitada la naturaleza de la información que la misma podrá contener.

22

Por ejemplo, el dato de que una paciente ingresada en el servicio de urgencias a consecuencia de un accidente de tráfico no llevaba puesto el cinturón de seguridad debería ser cancelado, ya que, en principio, el mismo no sería necesario para facilitar la asistencia sanitaria ni para permitir el conocimiento veraz y actualizado de su estado de salud. Por lo tanto, el principal problema en relación con el derecho de cancelación de la historia clínica, surge de la aplicación del principio de finalidad de la naturaleza de la información a la que la cancelación solicitada se refiere, dado que pueden estar incluidos en la historia clínica datos que no tienen un carácter asistencial o que no son datos de salud en sentido estricto. Solamente debería almacenarse la información relevante. La recogida de datos debería limitarse a aquellas informaciones que fueran adecuadas, pertinentes y no excesivas con relación a los fines para los que se recaben y para los que se traten posteriormente38.

NOTA: en el anexo II se puede consultar más información sobre el derecho fundamental a la protección de datos en el derecho español.

23

SITUACIONES ESPECIALES TRATAMIENTO DE DATOS GENÉTICOS La expresión “datos genéticos” se refiere a todos los datos, de cualquier tipo, relacionados con los caracteres hereditarios de un individuo o que, vinculados a dichos caracteres, compongan el patrimonio “de un grupo de individuos emparentados”39. Los datos genéticos son datos personales relativos a la salud. Y lo son tanto si los efectos del análisis de ADN son “codificantes o expresivos” como “no codificantes”, ya que, si bien es posible que del resultado del análisis no se deriven directamente datos de salud, dichos resultados vienen a conformar la huella genética de una persona y, por tanto, se encuentran directamente relacionados con su salud. En relación con estos datos es preciso señalar los siguientes aspectos y pautas de actuación:40

• “El sujeto fuente será informado de los datos genéticos de carácter personal que se obtengan del análisis genético según los términos en que manifestó su voluntad”. (art. 49.1 de la LIB) • Si ha “ejercido el derecho a no ser informado sobre los resultados de un análisis genético sólo se suministrará la información que sea necesaria para el seguimiento del tratamiento prescrito por el médico y aceptado por el paciente”. (art. 49.2 de la LIB) • En general, es obligado respetar estrictamente el deber de secreto de modo que ninguna tercera persona, aunque fuese la familia más allegada, pueda conocer, por el centro o por el profesional sanitario, que se ha llevado a cabo un análisis de carácter genético. • En el caso de que, a la vista de los resultados obtenidos en la prueba genética, se conociese que en una familia biológica existen portadores de un gen responsable de una enfermedad incurable, el centro sanitario o el profesional sanitario no deberá dirigirse de oficio a los otros miembros de su familia biológica con el fin de proponerles la realización de pruebas genéticas. Por dos motivos: porque no cuentan con el consentimiento del interesado y porque los familiares tienen el “derecho a no saber”, sobre todo en casos en los que el perfil genético que se les quiere comunicar hace referencia al posible desarrollo de una enfermedad para la que no existe hoy curación. • Solamente en virtud de habilitación legal es posible informar a la familia biológica del sujeto fuente sin necesidad de contar con el consentimiento de éste. A tal fin, se prevé que, cuando la información de los resultados de un análisis genético “sea necesaria para evitar un grave perjuicio para la salud de sus familiares biológicos, se podrá informar a los afectados o a su representante legalmente autorizado. En todo caso, la comunicación se limitará exclusivamente a los datos necesarios para estas finalidades”. (art. 49.2, inciso final, de la LIB) • En el caso, por ejemplo, de que se recojan en un fichero datos de vestigios hallados en el

24

escenario de un determinado hecho y que no se sabe a qué personas pertenecen, no es un fichero relativo a datos de una persona identificada ni identificable, por lo que, en principio, no se le aplicaría la LOPD. Sin embargo, en el momento en que se identifique al titular de alguna de las muestras recogidas, esos datos sí pasarían a ser de carácter personal. • Los datos genéticos que se incluyan en un fichero de carácter personal procederán de pruebas realizadas voluntariamente por los interesados o de personas desaparecidas. El objetivo del tratamiento en este último caso será asociar la muestra genética con la persona desaparecida a fin de lograr su identificación. • La humanidad no debe reducirse sólo a características genéticas, a su mapa genético, que, en cualquier caso, no constituyen la explicación universal definitiva de la vida humana. Por tanto, una de las primeras garantías que condicionan la utilización de los datos genéticos debe ser evitar asignar a estos datos un valor explicativo universal. • Los datos genéticos han de recogerse para finalidades determinadas, explícitas y legítimas, y no tratarse posteriormente de modo incompatible con los fines para los cuales fueron recogidos. • Los datos han de ser adecuados, pertinentes y no excesivos en relación con los fines para los que se recaben y para los que se traten posteriormente. Por ejemplo, se declaró desproporcionada la intención de crear un fichero con muestras genéticas para identificar a los recién nacidos por medio de pruebas de ADN, ya que puede conseguirse el mismo resultado de identificación madrehijo con otros medios, como la utilización de pulseras de identidad o la toma de huellas plantares. • Hasta la fecha no se han obtenido datos concluyentes sobre la pertinencia y fiabilidad de pruebas genéticas en el mundo laboral, por lo que su valor predictivo sigue siendo dudoso. No cabe permitir la discriminación de las personas sobre una información que desvela un gran margen de probabilidad y, además, cuando para el desarrollo de futuras enfermedades influyen otros factores externos, como los medioambientales. • Lo mismo cabe señalar respecto a la utilización de los datos genéticos en el ámbito de los seguros. Solamente podrá autorizarse en casos excepcionales explícitamente previstos por la ley. De lo contrario, la utilización de los datos genéticos podría generar una discriminación contra el asegurado, o los miembros de su familia biológica, ya que tendrían que abonar primas desorbitadas o resultar no asegurables sobre la base de un riesgo de enfermedad que cabe la posibilidad de que nunca se declarara. • Por lo que se refiere a la recogida y registro de datos genéticos con fines de investigación, lo que se conoce con el nombre de biobancos, y, en especial, a los principios de información, consentimiento y calidad, lo más adecuado sería, como regla general, establecer la obligación de aplicar prácticas de anonimización, salvo en lo relativo al desarrollo de ensayos clínicos (en los que promotor e investigador deben conocer en determinadas circunstancias la identidad). Los avances en materia de investigación genética han abierto un debate sobre sus posibles utilidades muy interesante, pero que genera, a la vez, bastante inquietud. Por este motivo, todos los instrumentos internacionales recientemente publicados se han decantado por prohibir de hecho cualquier discriminación entre personas físicas basada en datos genéticos41. Llegaron a producirse casos en los que algunas personas decidían no someterse a “pruebas genéticas de diagnóstico” que, por lo tanto, eran necesarias para aclarar las causas de una enfermedad con manifiestos síntomas clínicos, porque temían que sus empleadores y las compañías de seguros pudieran acceder a las mismas. Fue la reiteración de este temor en los ciudadanos lo que

25

provocó que en los Estados Unidos se adoptara la Genetic Information Nondiscrimination Act (GINA, Ley federal de No Discriminación por la Información Genética). El asunto venía provocado por que habían surgido algunas voces muy interesadas en aprobar la posibilidad de que, antes de suscribir una póliza de seguro (de vida o de enfermedad) o de contratar a un trabajador, la entidad de seguros o el empresario pudieran obligar a la persona a someterse a un análisis de esa naturaleza. El mercado reclamaba interesadamente incorporar a su negocio las funcionalidades de los avances en esta materia.

TRATAMIENTO DE DATOS EN ENSAYOS CLÍNICOS CON MEDICAMENTOS El genoma humano está compuesto por nucleótidos de los que prácticamente su totalidad están situados de la misma manera en el ser humano. Ello permite afirmar nuestra identidad como especie biológica independiente. En torno al uno por ciento de los nucleótidos presentan un poliformismo genético que motiva la necesidad de estudiar la propensión a padecer determinadas enfermedades y de analizar la respuesta a la administración de determinados medicamentos. La Farmacogenética analiza los aspectos genéticos relacionados con la variabilidad de la respuesta a los medicamentos en individuos o poblaciones. La Farmacogenómica se ocupa del estudio sistemático de todo el genoma en relación con el proceso de descubrimiento y desarrollo de nuevos medicamentos. En cualquiera de las dos disciplinas, se desarrollan los ensayos clínicos con medicamentos que tienen una importante implicación con la protección de datos de carácter personal. La norma que los regula es el Real Decreto 223/2004, de 6 de febrero, el cual prevé que en su desarrollo intervengan, además del sujeto que decide someterse al ensayo clínico, los siguientes agentes: • Promotor: individuo, empresa, institución u organización que será responsable del inicio, gestión y/o financiación del ensayo clínico. Desde el punto de vista de la LOPD actuará como responsable del fichero, ya que decidirá sobre la finalidad, contenido y uso del tratamiento. • Monitor: profesional elegido por el promotor para el seguimiento directo de la realización del ensayo, sirviendo de vínculo entre aquél y el investigador o equipo de investigación. A tenor de la LOPD será un encargado de tratamiento que actuará bajo las instrucciones del promotor. • La organización de investigación por contrato: persona física o jurídica contratada por el promotor para realizar funciones o deberes de éste en relación con el ensayo clínico. Su papel, desde el punto de vista de la protección de datos, será el de un encargado de tratamiento. • Investigador o equipo de investigación, dirigido por un profesional sanitario que actuará como investigador principal, que será el médico o la persona que ejerce una profesión reconocida para llevar a cabo investigaciones en el seno de un centro sanitario, en razón de su formación científica y de su experiencia en la atención sanitaria requerida. Su responsabilidad es la realización práctica del ensayo y, desde el punto de vista de la LOPD, el centro sanitario en el que se desarrolle el ensayo clínico asumirá el papel de responsable del fichero. • Comité Ético de Investigación Clínica que se configura como el organismo independiente, formado por profesionales sanitarios y miembros no sanitarios, encargado de velar por la protección de los derechos, seguridad y bienestar de las personas que participan en el ensayo. Su papel, en virtud de habilitación legal a tenor de la LOPD, será el de un usuario, que podrá entrar a conocer los datos sin necesidad de contar con el consentimiento de los sujetos del ensayo clínico.

26

De acuerdo con este esquema, la posición habitual de un profesional sanitario será la de investigador, recayendo en él, a tenor de la normativa de protección de datos, las siguientes funciones: • La recogida del consentimiento del sujeto, tanto del “consentimiento informado”, propio de la normativa de autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, como del “consentimiento expreso, inequívoco, específico e informado” exigido por la LOPD. En relación con este último, aparte de los extremos generales a que se ha de referir el deber de información (art. 5.1 LOPD), en los ensayos clínicos resulta habitual que los datos se recaben en varios países a la vez y que la información haya de ser objeto de transferencia internacional de datos al promotor, que puede estar en un país que cuente o no con un nivel adecuado de protección. Extremos como éste deberán ser objeto de consentimiento expreso por parte de las personas que deciden participar en el ensayo clínico. • Creación, notificación y registro del fichero en el que se recogerán los datos correspondientes a las personas que van a participar en el ensayo clínico. La previsión del entorno global del desarrollo del ensayo clínico, en el que lo normal suele ser que se produzcan transferencias internacionales de datos, deberá incluirse en la notificación de los ficheros que el investigador remita al registro de protección de datos que corresponda42 . • Asunción de la responsabilidad de la veracidad de los datos que transmite al promotor. • Cumplimiento del deber de confidencialidad en la información que se refiera a las personas que participan en el ensayo. Desde el punto de vista del investigador, no cabe duda de que existe un fichero con datos personales. Ahora bien, existen dudas sobre si, al tener que transmitir la información al promotor y al monitor de manera disociada, solamente existe el citado fichero, no resultando de aplicación la LOPD al fichero del promotor, al no contener datos relativos a personas identificadas o identificables. Respecto de este asunto, y sin perjuicio de que cada ensayo clínico deba ser analizado en particular, puede afirmarse que las funciones que se encomiendan al promotor le han de permitir, en determinadas circunstancias, llegar a conocer la identidad de los sujetos sometidos al ensayo clínico. Por ejemplo, al promotor le corresponde la responsabilidad de comunicar a las autoridades sanitarias, a los investigadores y al Comité Ético de Investigación Clínica las sospechas de reacciones adversas graves e inesperadas. Por lo tanto, en estos casos resulta obligado identificar a los sujetos sometidos al ensayo clínico en cuyo caso el fichero del cual es responsable el promotor estará sometido a la LOPD. Asimismo, la necesidad de contar con la identificación de las personas sometidas al ensayo puede venir motivada por la contratación de un seguro de responsabilidad civil que responda de los daños y perjuicios que pudieran padecer dichas personas por actividades del promotor, del monitor, del investigador principal y de sus colaboradores, o, en su caso, del hospital o centro donde se lleva a cabo el ensayo.

SERVICIOS SANITARIOS DE EMERGENCIA El caso de los servicios sanitarios de emergencia presenta unas particularidades dignas de ser comentadas cuanto a la exigencia de que, en general, el citado deber de información se haya de practicar en el momento previo a la recogida de los datos. En tales casos, por un lado, resulta contraindicado ralentizar la intervención asistencial por la práctica del deber de información y, por otro, es bastante frecuente que, por el estado en que se encuentra el paciente, los primeros datos

27

sean facilitados por otra persona. Ambos supuestos deben ser abordados desde la lógica perspectiva de que se trata de casos en los que está en juego la propia vida del paciente. Para tales casos, el legislador ha previsto que los datos de los pacientes puedan ser tratados sin necesidad de contar con su consentimiento. A tal fin, prevé que no será preciso contar con el previo consentimiento del interesado cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado en el supuesto de que el mismo esté físicamente incapacitado para prestarlo (arts. 6.2 y 7.6, párrafo segundo, LOPD y 10.3.c RLOPD). Lo que ocurre es que, con posterioridad al momento que motiva la asistencia de emergencia, será necesario facilitar al paciente el principio de información, a cuyo fin deberá utilizarse el medio que mejor se adapte a la naturaleza de la asistencia facilitada; así, por ejemplo, la inclusión de una cláusula informativa en los informes de urgencia.

PRESENTACIÓN EN CONGRESOS En este sentido se pronuncia la LIB, en su artículo 5.5: para el caso de que no fuera posible publicar los resultados de una investigación sin identificar a la persona que participó en la misma o que aportó muestras biológicas, tales resultados sólo podrán ser publicados cuando haya mediado el consentimiento previo y expreso de aquélla. Es el caso, de la grabación de unas imágenes con el fin de ilustrar una comunicación que se presente a un congreso sobre salud. La misma Ley, respecto a los resultados de un análisis genético, establece que, si no es posible publicar los resultados de una investigación sin identificar a los sujetos fuente, tales resultados sólo podrán ser publicados con su consentimiento. Como ejemplo, el artículo 58.2 de la LIB establece que será necesario contar con el consentimiento del sujeto fuente cuando se pretendan utilizar con fines de investigación biomédica muestras biológicas que hayan sido obtenidas con una finalidad distinta, se proceda o no a su anonimización.

SALUD PÚBLICA La comunicación de los datos de salud se realizará, como regla general, por el responsable del fichero o tratamiento de manera que se preserve el anonimato del paciente, de modo que se separen los datos de identificación personal de los de carácter clínico-asistencial (proceso de disociación), salvo que el propio paciente consienta expresamente no separarlos. De acuerdo con lo señalado y como excepción, si además de las actuaciones preventivas generales se hiciera preciso hacer un seguimiento individualizado a determinados enfermos o a las personas que estén o hayan estado en contacto con los mismos con el fin de controlar las enfermedades transmisibles, dicha actuación se podría llevar a cabo sin necesidad de disociar los datos porque la Ley Orgánica 3/1986 así lo habilita expresamente. En todo caso, la autoridad sanitaria deberá motivar las razones de riesgo para su salud, y ceñir la comunicación de los datos a los estrictamente pertinentes en relación a la finalidad que se persigue. Cuando sea precisa la cesión de datos para realizar estudios epidemiológicos, en los términos previstos en la legislación sobre sanidad estatal o autonómica, se podrá acceder a la historia clínica de un paciente:

28

• Desde el punto de vista del marco jurídico general, la Ley General de Sanidad considera como actividad fundamental del sistema sanitario la realización de los estudios epidemiológicos necesarios para orientar con mayor eficacia la prevención de los riesgos para la salud (art.8.1 de la LGS). A tal fin, “las Administraciones Públicas, a través de sus Servicios de Salud y de los Órganos competentes en cada caso, desarrollarán (...) programas de atención a grupos de población de mayor riesgo y programas específicos de protección frente a factores de riesgo, así como los programas de prevención de las deficiencias, tanto congénitas como adquiridas” (art. 18.5 de la LGS). Para la consecución de dichos objetivos, “las Administraciones Sanitarias, de acuerdo con sus competencias, crearán los Registros y elaborarán los análisis de información necesarios para el conocimiento de las distintas situaciones de las que puedan derivarse acciones de intervención de la autoridad sanitaria” (art. 23 de la LGS ). • La comunicación de los datos de salud se realizará, como regla general, por el responsable del fichero o tratamiento de manera que se preserve el anonimato del paciente, de modo que se separen los datos de identificación personal de los de carácter clínico-asistencial (proceso de disociación), salvo que el propio paciente consienta expresamente en no separarlos43. Este último sería el caso de los datos de salud derivados de un análisis genético que se quisiera utilizar para fines epidemiológicos (art. 50.2 de la LIB). • De acuerdo con lo señalado y como excepción, si además de las actuaciones preventivas generales se hiciera preciso hacer un seguimiento individualizado a determinados enfermos, o a las personas que estén o hayan estado en contacto con los mismos, con el fin de controlar las enfermedades transmisibles, dicha actuación se podría llevar a cabo, como ya se ha señalado, sin necesidad de disociar los datos, porque la Ley Orgánica 3/1986 así lo habilita expresamente. En todo caso, la autoridad sanitaria deberá motivar las razones de riesgo para su salud, y ceñir la comunicación de los datos a los estrictamente pertinentes en relación con la finalidad que se persigue.

29

REFERENCIAS 1- Caso Bodil Lindqvist, que resolvió una decisión prejudicial sobre interpretación de la Directiva 95/46/CEE planteada por el tribunal sueco encargado de juzgar los hechos relatados en la citada sentencia. 2- Red Iberoamericana de Protección de Datos, Documento del Grupo de Trabajo sobre el tratamiento de datos de salud en relación con la historia clínica, que, reunido en Santa Cruz de la Sierra (Bolivia) los días 3 a 5 de mayo de 2006, señaló: “Cabe concluir, en consecuencia, que el concepto de dato de salud presenta una gran amplitud y que la interpretación del mismo debe realizarse con un criterio expansivo y no restrictivo, con el fin de otorgarle el máximo nivel de protección”. 3- Decreto 40/2004, de 18 marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos de la Comunidad de Madrid. Decreto 48/2003, de 20 febrero, por el que se aprueba el Estatuto de la Agencia Catalana de Protección de Datos. Ley 2/2004, de 25 febrero, de regulación de Ficheros de Datos de Carácter Personal de Titularidad Pública y de creación de la Agencia Vasca de Protección de Datos. 4- A diferencia del caso portugués, en el que la Comisión Nacional de Protección de Datos procede a comprobar los extremos declarados por el responsable antes de dar el visto bueno e inscribir el fichero en el registro correspondiente. 5- No tendrán el carácter de transferencias internacionales de datos aquellas que tengan como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado (Decisión de la Comisión de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa al nivel de protección adecuado de los datos personales en Suiza, [notificada con el número C(2000) 2304] (2000/518/CE): Decisión de la Comisión de 20 de diciembre de 2001 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la Ley Canadiense Personal Information and Electronic Documents Act [notificada con el número C(2001) 4539] (2002/2/CE): Decisión de la Comisión de 30 de junio de 2003, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina, Diario Oficial de la Unión Europea L 168/19, de 5 de julio de 2003: Decisión de la Comisión de 21 de noviembre de 2003, relativa al carácter adecuado de la protección de los datos personales en Guernsey, Diario Oficial de la Unión Europea L 308/27, de 25 de noviembre de 2003: Decisión de la Comisión de 28 de abril de 2004, relativa al carácter adecuado de la protección de los datos personales en la Isla de Mann [notificada con el número C(2004) 1556] (2004/411/CE). 6- Utilizamos el título que emplea la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, aunque existen diferentes normas autonómicas que se refieren, por ejemplo, a los “derechos y deberes de las personas en relación con la salud” en la Ley de Castilla y León 8/2003, de 8 de abril, a la “Información sanitaria y autonomía del paciente” en la Ley de Extremadura 3/2005, de 8 de julio, o al “consentimiento informado y de la historia clínica de los pacientes” en la Ley de Galicia 3/2001, de 28 de mayo. 7- Sentencia de la Audiencia Nacional de 22 de octubre de 2001. En tal caso, el deber de información subsiste por las siguientes razones: 1.– Porque la regulación del derecho de información a la recogida de datos es un derecho esencial (ya que es el que permite llevar a cabo el ejercicio de los

30

derechos de acceso, rectificación, cancelación y oposición recogidos en la LOPD, y porque así lo valora la LOPD al pormenorizar su contenido, y establecer la exigencia de que el mismo sea “expreso, preciso e inequívoco”). 2.– Porque no se puede amparar su exclusión en el artículo 5.3 de la LOPD, pues el contenido de la información ni se deduce “claramente de la naturaleza de los datos personales que se solicitan” ni de las “circunstancias en que se recaban”, referidas al momento de prestar consentimiento para efectuar una donación voluntaria de sangre, previa e inmediata a la extracción. 3.– Porque no cabe entender aplicable la excepción al deber de informar en base al artículo 8 de la LOPD, ya que contempla el supuesto de las personas que acudan o hayan de ser tratadas en las instituciones, los centros sanitarios públicos y privados y por los profesionales correspondientes, por lo que ha de interpretarse en consecuencia como la persona que acude en búsqueda de respuesta a problemas de salud, o determinación de su estado bajo este prisma. No es esta nota la que se da en la persona que acude a donar su sangre en aras, por ejemplo, de principios de solidaridad y altruismo. 4.– Porque, para finalizar, no es válido argumentar que se trate de una función propia de la Sanidad Pública lograr las necesarias donaciones con las mayores garantías, ya que el cumplimiento de la obligación de informar en nada merma la necesaria iniciativa a favor de la donación de sangre. 8- Por ejemplo, el artículo 70.2 de la Ley 14/2007, de 3 julio, de Investigación biomédica (en adelante LIB), establece que “las muestras biológicas que se incorporen a biobancos podrán utilizarse para cualquier investigación biomédica, en los términos que prescribe esta Ley, siempre que el sujeto fuente o, en su caso, sus representantes legales hayan prestado su consentimiento en estos términos”. Asimismo a título de ejemplo, para que los centros, y los profesionales sanitarios que ejercen a título particular, pudieran ceder los datos de salud de las personas aseguradas a las compañías de seguros en caso de seguro de enfermedad o asistencia sanitaria, deberán verificar si el interesado prestó su consentimiento expreso en el momento de suscribir con la entidad aseguradora la correspondiente póliza o su prórroga (art. 5.1 LOPD y ver epígrafe 3 del Anexo II al presente trabajo) y, en la realización del acto médico, de informar a la persona asegurada de que los datos relacionados con dicha actuación serán comunicados a la entidad con la que tenga concertado el correspondiente seguro de asistencia sanitaria (ver apartado 3.1 del Anexo II a este trabajo). En todo caso, es preciso señalar que en la comunicación de los datos se deberá respetar el principio de proporcionalidad (art. 4.1 LOPD), de modo que no podrán ser comunicados, ni solicitados por la entidad aseguradora, más datos que los que resulten adecuados, pertinentes y no excesivos para determinar el importe de la asistencia sanitaria que habrá de ser satisfecha por la aseguradora en virtud del contrato de seguro de asistencia médica. 9- En el caso citado en epígrafe anterior, relativo a la prestación de servicios sanitarios de emergencia, a tenor de lo previsto en los artículos 6.2 y 7.6, párrafo segundo, de la LOPD y 10.3.d del RLOPD. 10- Por ejemplo, como más adelante se verá, algunos casos previstos en la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, o en la LIB. 11- Así, la LIB, en su artículo 5.2, cuando se refiere a la cesión de datos de carácter personal que resulten de la actividad de investigación biomédica “a terceros ajenos a la actuación médicoasistencial o a una investigación biomédica”. También en el artículo 48 para la realización de un análisis genético, de un cribado genético o “de análisis genéticos sobre preembriones in vivo y sobre embriones y fetos en el útero”. En el artículo 4.c) de la Ley 30/1979, de 27 octubre, sobre extracción y trasplante de órganos, se establece la necesidad de “que el donante otorgue su consentimiento de forma expresa, libre y consciente, debiendo manifestarlo, por escrito, ante la autoridad pública que reglamentariamente se determine, tras las explicaciones del Médico que ha de efectuar la extracción”, sin que pueda efectuarse “sin la firma previa” del documento de cesión del órgano. El artículo 6.1 de la Ley 14/2006, de 26 mayo, sobre técnicas de reproducción humana asistida,

31

establece que las mujeres receptoras o usuarias de dichas técnicas deberán haber prestado su previo consentimiento por “escrito a su utilización de manera libre, consciente y expresa”. 12- Por ejemplo, la grabación de unas imágenes con el fin de ilustrar una comunicación que se presente a un congreso sobre salud. En este sentido se pronuncia la LIB, en su artículo 5.5, para el caso de que no fuera posible publicar los resultados de una investigación sin identificar a la persona que participó en la misma o que aportó muestras biológicas, tales resultados sólo podrán ser publicados cuando haya mediado el consentimiento previo y expreso de aquélla. La misma Ley, respecto a los resultados de un análisis genético, establece que, si no es posible publicar los resultados de una investigación sin identificar a los sujetos fuente, tales resultados sólo podrán ser publicados con su consentimiento. 13- Como ejemplo, el artículo 58.2 de la LIB establece que será necesario contar con “el consentimiento del sujeto fuente (...) cuando se pretendan utilizar con fines de investigación biomédica muestras biológicas que hayan sido obtenidas con una finalidad distinta, se proceda o no a su anonimización”. 14- Artículo 13 del RLOPD. Ver Documento del Grupo de Trabajo de Protección de Datos, creado al amparo del artículo 29 de la Directiva 95/46/CEE, 1/08, de 18 de febrero de 2008, sobre la protección de datos personales de los niños (Directrices generales y el caso especial de los colegios), en el que señala que “está claro que el nivel de madurez física y psicológica del niño debe tenerse en cuenta y que, a partir de cierta edad, es capaz de juzgar cuestiones que le afecten. Esto puede ser importante en casos en que el representante no está de acuerdo con el niño, pero el niño es lo suficientemente maduro para decidir en su propio interés, por ejemplo, en un contexto sexual o médico. No deben descuidarse los casos en que el interés superior del niño limita o incluso prevalece sobre el principio de representación y se le debe dar una mayor consideración”. 15- El propio Tribunal Constitucional ha insistido en ello, en la Sentencia 292/2000 (Fundamento Jurídico Undécimo), sin perder de vista el principio de reserva de ley que la Constitución consagra en relación con los “derechos y libertades” contenidos en el Capítulo II del Título I respecto al artículo 53.1 del propio texto constitucional. 16- Sentencias de la Audiencia Nacional de 12 de abril y 26 de septiembre de 2002. 17- Sentencia de la Audiencia Nacional de 26 de septiembre de 2002. 18- Como puede ser el control de absentismo laboral. Sentencia de la Audiencia Nacional de 10 de junio de 2002, en la que “la entidad hoy recurrente suscribió un contrato denominado ‘Contrato del control de absentismo’ con el Departamento de Medio Ambiente de la Generalidad de Cataluña, y de acuerdo con el pliego de prescripciones técnicas, el mismo tenía por objeto ‘fijar las características de los trabajos cuya finalidad consiste en la realización de un seguimiento exhaustivo y cuidadoso de las bajas por incapacidad laboral transitoria, facilitando al personal el apoyo necesario, a fin de evitar las ausencias en los puestos de trabajo’ ”. “La prestación del servicio médico realizado por los facultativos de ... no tiene por objeto ni la mejora, ni la prevención de la salud de las personas a quienes examina y cuyos datos incorpora al fichero, es decir, no realiza una prestación necesaria para su salud, ni tampoco para el tratamiento médico a que pudieran estar sometidos, ni para la investigación científica o el desarrollo de la medicina, sino que la prestación únicamente está al servicio de los intereses del arrendador que, a través de ese mecanismo, pretende evitar el absentismo en el trabajo”. En el mismo sentido, Sentencias de 15 de julio y 2 de diciembre de 2002 en el caso de sendos contratos suscritos por la Entidad Pública Empresarial Correos y Telégrafos con la misma finalidad. En el mismo sentido, Sentencias de 2 de marzo y de 5 de abril de 2006.

32

19- Recogidos en la LOPD y que el resto de leyes sobre autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica han de respetar. 20- Artículo 16.1 de la LAP y, por ejemplo, artículo 13.1 del Decreto 101/2005, de 22 de diciembre, de la Comunidad Autónoma de Castilla y León, por el que se regula la historia clínica. 21- Artículos 197 a 201 del Código Penal. 22- Artículo 5.a del Real Decreto Legislativo 1/1995, de 24 marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, que establece que es deber de los trabajadores “cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia”. 23- Comisión de una infracción muy grave de la normativa de protección de datos (arts. 44.4.c de la LOPD, en el caso de tratamiento de datos de salud, y 44.4.g, también de la LOPD, para el supuesto de la vulneración del deber de secreto). 24- Comisión de una infracción muy grave de la normativa de protección de datos (art. 44.4.g de la LOPD, para el supuesto de la vulneración del deber de secreto). 25- En este caso se incluirán las actuaciones previas practicadas por los inspectores médicos de la Administración de la Seguridad Social que requieran el acceso a la historia clínica. 26- Artículo 16.4 de la LAP y, por ejemplo, artículo 17.3 del Decreto 101/2005, de 22 de noviembre, de la Comunidad Autónoma de Castilla y León, por el que se regula la historia clínica. 27- Artículos 16.3 y 83 de la Ley 14/1986, de 25 de abril, General de Sanidad, disposición adicional vigesimosegunda del Texto Refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 1/1994, de 20 de junio, y artículo 1 del Real Decreto Legislativo 8/2004, de 29 de octubre, por el que se aprueba el texto refundido de la Ley sobre responsabilidad civil y seguro en la circulación de vehículos a motor. 28- A tenor del artículo 9.1 del RLOPD, para la determinación de los fines a los que se refiere el párrafo anterior se estará a la legislación que en cada caso resulte aplicable y, en particular, a lo dispuesto en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, la Ley 16/1985, de 25 junio, del Patrimonio Histórico Español, y la Ley 13/1986, de 14 de abril, de Fomento y Coordinación General de la Investigación Científica y Técnica, y sus respectivas disposiciones de desarrollo, así como a la normativa autonómica en estas materias. 29- “Es obligado cumplir las sentencias y demás resoluciones firmes de los Jueces y Tribunales, así como prestar la colaboración requerida por éstos en el curso del proceso y en la ejecución de lo resuelto”. 30- Capítulo V de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud. 31- Artículo 13.3, párrafo primero, del Decreto 101/2005, de 22 de noviembre, de la Comunidad Autónoma de Castilla y León, por el que se regula la historia clínica. 32- Disposición adicional sexta de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.

33

33- En referencia a dicha cuestión, no deberían reflejarse en la historia clínica de un paciente que es atendido en un servicio de urgencias como consecuencia de un accidente de circulación que no llevaba puesto el cinturón de seguridad, salvo que dicho dato fuese necesario para facilitar la asistencia sanitaria o para permitir el conocimiento veraz y actualizado de su estado de salud. Lo mismo ocurriría en el supuesto de que un recluso fuese atendido en un servicio de salud penitenciaria, en cuyo caso resultaría excesivo reflejar su situación de interno, toda vez que dicho dato acompañaría a dicho paciente hasta que consiguiese su cancelación, máxime cuando dichos servicios se integran en el SNS. 34- Sentencia de la Audiencia Nacional de 4 de julio de 2007. 35- En la Sentencia de la Audiencia Nacional de 27 de enero de 2006, se aborda un tema similar en el que una empresa de análisis clínicos es sancionada por no haber podido demostrar que disponía de un protocolo de entrega a los pacientes. Se trataba de un caso en el que la denunciante se hizo una analítica de sangre en la empresa actora y allí le entregaron un resguardo original para que recogiera el informe de su resultado. Sin embargo, dicho informe fue entregado sin su consentimiento a su hermano, y sin haber retirado ese resguardo de recogida, ya que el mismo seguía en su poder. Aunque la empresa ha reconocido que entregó esos datos a una persona, y que sólo podía ser la interesada, porque exigía la presentación del DNI, sin embargo no ha podido acreditarlo. 36- Se plantea este supuesto solamente porque, en el caso de un profesional sanitario que preste servicios en un centro sanitario, las historias clínicas quedarán bajo su entera responsabilidad en la gestión y en la custodia de la documentación asistencial, a tenor del artículo 17 de la LAP. 37- Decreto 180/2005, de 2 de noviembre (Castilla-La Mancha), Decreto 125/2007, de 5 de junio (Cataluña), y Decreto 149/2007, de 18 de septiembre (País Vasco), por los que se regula el ejercicio del derecho a obtener una segunda opinión médica. 38- Ver Grupo de Autoridades de Protección de Datos, creado por el artículo 29 de la Directiva 95/46/CE, documento de trabajo sobre el tratamiento de datos personales relativos a la salud en los historiales médicos electrónicos (documento WP131), adoptado el 15 de febrero de 2007. 39- Recomendación n.º R (97) 5, de 13 de febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados miembros sobre Protección de Datos Médicos. 40- Documento de trabajo grupo del artículo 29 de la Directiva 95/46/CEE de protección de datos sobre datos genéticos, adoptado el 17 de marzo de 2004. 41- Carta de los Derechos Fundamentales de la Unión Europea, en su artículo 21; Convenio sobre los Derechos Humanos y la Biomedicina adoptado en Oviedo el 4 de abril de 1997, en su artículo 11, y Declaración Universal sobre el Genoma Humano y los Derechos Humanos de la UNESCO de 16 de noviembre de 1999, en su artículo 6. 42- Registro General de Protección de Datos en el ámbito de la Agencia Española de Protección de Datos, o los registros de los órganos de control en materia de protección de datos que se hayan creado en las CC.AA. 43- Artículo 16.3 de la LAP y, por ejemplo, artículo 17.2 del Decreto 101/2005, de 22 de noviembre, de la Comunidad Autónoma de Castilla y León, por el que se regula la historia clínica.

34

A MODO DE RESUMEN. IDEAS CLAVE datos de caracter personal Son datos de carácter personal los referidos a cualquier información concerniente a personas físicas identificadas o identificables, tales como las informaciones numéricas, alfabéticas, gráficas, fotográficas, acústicas o de cualquier otro tipo. Los profesionales sanitarios deberán tener presente que son datos de carácter personal cuantas informaciones se refieran a las personas que hayan sido sometidas a asistencia sanitaria, aunque de las mismas no se pueda llegar a identificar plena y directamente a su titular. (por ejemplo, será dato de carácter personal el número de afiliación al SNS). Cuando los profesionales deseen grabar y difundir imágenes de los pacientes, deberán contar con su consentimiento y, caso de ser menores de edad, de sus padres, tutores o representantes, tanto para la recogida como para su utilización en sesiones clínicas, publicaciones u otro tipo de comunicaciones profesionales.

obligaciones de los responsables de ficheros o tratamientos en el uso de los datos personales Los responsables de ficheros o tratamientos no deberán iniciar la recogida y tratamiento de datos de carácter personal sin haber implementado las “obligaciones positivas de hacer” a las que se refiere la normativa de protección de datos relativas a la necesaria declaración e inscripción de los ficheros en el registro que corresponda, a la implementación de las medidas de seguridad que procedan, y a la realización del deber de información del que se deducirán los términos del consentimiento expreso para el tratamiento de los datos. Al acceder como usuarios al tratamiento de datos de salud habrán de ajustarse a los términos previstos en el consentimiento expreso prestado por los pacientes, a la finalidad recogida en la ley o en la norma de derecho comunitario que exonera de la obtención del mismo, y a la normativa de PD de carácter personal. No deberán tratar los datos de los pacientes para otros usos o finalidades distintos a los previstos en los títulos que habilitan en cada caso su tratamiento. Los responsables de ficheros o tratamientos y profesionales sanitarios que actúen conculcando alguna de las recomendaciones anteriores vulnerarán la normativa de PD e incurrirán en las infracciones que, en cada caso, procedan.

concepto de dato de salud Se entiende por dato de salud toda información referida a afecciones o enfermedades, a estados de completo bienestar tanto físico como psíquico, así como a cualquier otro aspecto que afecte o pueda

35

afectar, directa o indirectamente, a la salud de una persona física identificada o identificable o, incluso, fallecida. Los responsables de ficheros o tratamientos y profesionales sanitarios que como usuarios accedan al tratamiento de datos de los pacientes a quienes atienden deberán tener presente que cualquier información que afecte o pueda afectar a la salud de una persona identificada o identificable, viva o fallecida, constituirá un dato de salud.

se consideran datos de salud Las patologías, las pruebas que expresen un estado de salud bueno o malo, de la persona sana o enferma incluso si ha fallecido, y aquellos que se refieran por ejemplo, a datos de carácter psicológico o psiquiátrico, estudios genéticos (material embrionario o fetal o cualquier otra muestra biológica que pueda contener información genética del sujeto fuente), situaciones de abuso de alcohol o relativas al consumo de drogas, valoración de discapacidades e invalidez, donación y recepción de ovocitos, espermatozoides, gametos, preembriones en procesos de reproducción asistida, donación y utilización de células, tejidos u órganos para fines de investigación biomédica y procesos de extracción y trasplante de órganos.

naturaleza de los datos de salud Los datos de salud son datos de carácter personal especialmente protegidos porque, junto con los relativos a la ideología, afiliación sindical, religión, creencias, origen racial y vida sexual, afectan a la esfera más íntima de la persona. Los ficheros o tratamientos en los que se recojan y traten datos de salud habrán de cumplir, en general, las medidas de seguridad de nivel alto. El responsable del fichero o tratamiento para tratar datos de salud tendrá que haber obtenido el previo consentimiento expreso del paciente, salvo que una ley o una norma de derecho comunitario excepcione la obtención de dicho consentimiento. (por ejemplo, en el caso de control de enfermedades transmisibles) Los responsables de ficheros o tratamientos no deberán tratar datos de salud para una finalidad distinta a las recogidas en el consentimiento expreso facilitado por el paciente, o en la habilitación legal que exonera de la prestación del mismo. Solamente en determinados casos será preciso que el consentimiento expreso sea prestado por escrito.

deber de información En general, quienes son responsables de ficheros o tratamientos tienen la obligación de practicar el deber de información al paciente en el momento previo a la recogida de los datos de salud. Sin embargo, deberán implementar el deber de información con posterioridad al momento de la

36

recogida de los datos de salud cuando exista habilitación legal para tratar los datos sin necesidad de contar con el previo consentimiento del paciente (por ejemplo, en el caso de los servicios de emergencia). El deber de información ha de implementarse, tanto si el tratamiento de los datos de salud se basa en el consentimiento expreso, y en su caso por escrito, del paciente como si se fundamenta en una habilitación legal que exonera de su previa obtención. La prueba de haber practicado el deber de información corresponde a la persona responsable del fichero o tratamiento que además fundamentará el consentimiento expreso y, en su caso, escrito sobre el deber de información practicado al paciente. El deber de información establecerá los usos y finalidades y los destinatarios de los datos de salud del paciente. Realizarán el deber de información por medio de cláusulas informativas que se incluirán en los impresos y formularios de recogida de datos o por medio de carteles que se expondrán en tablones informativos. La información deberá ser claramente legible e inteligible por parte de los pacientes.

consentimiento expreso Los datos de salud podrán ser tratados por los responsables de ficheros o tratamientos cuando cuenten con el consentimiento expreso y, en su caso, escrito de los pacientes, salvo que exista una norma legal o de derecho comunitario que posibilite el tratamiento sin necesidad de contar con dicho consentimiento. (por ejemplo, en los ámbitos de la Administración tributaria o de la Seguridad Social). Se fundamentará en el deber de información que corresponde a los responsables de ficheros o tratamientos y en las actitudes del paciente de las que puedan razonablemente deducirse que presta tal consentimiento. El consentimiento expreso se entenderá válidamente prestado cuando el deber de información se haya cumplido apropiadamente. No será posible deducir un consentimiento válido del paciente sin que conozca perfectamente los términos a los que se circunscribe. Los responsables de los ficheros o tratamientos tendrán que facilitar el deber de información de modo preciso, especialmente en relación con las finalidades para las que irán a ser tratados los datos de salud de los pacientes. No podrán tratar los datos de salud para finalidades distintas a las previstas, según los casos, en la norma legal o de derecho comunitario o en el deber de información que se facilitó al paciente. Las edades mínimas previstas en la normativa de protección de datos para otorgar el consentimiento expreso y en la normativa de atención al paciente para la prestación del “consentimiento informado” por representación son distintas. En ningún caso deben confundirse. Los responsables de los ficheros o tratamientos que decidan tratar los datos de salud para una finalidad distinta deberán obtener previamente el consentimiento expreso del paciente o, en su caso,

37

de sus padres, tutores o representantes. (Por ejemplo, para la grabación de imágenes destinadas a ilustrar una comunicación en un congreso) Los mayores de catorce años tienen, salvo que sean incapaces o se encuentren incapacitados, tienen capacidad para prestar consentimiento expreso para el tratamiento o la cesión de sus datos de salud, de tal manera que, para comunicarlos a terceras personas, aunque sean sus padres o sus tutores, se ha de contar con su consentimiento.

excepciones al tratamiento de datos de salud con el consentimiento expreso del paciente Nuestra Constitución ha establecido que la regulación de los derechos fundamentales y de las libertades públicas, entre las que se encuentra el derecho fundamental a la protección de datos de carácter personal, solamente pueda efectuarse por una norma con rango de ley. Las excepciones a la regla general de la obtención del consentimiento expreso y, en su caso, escrito para el tratamiento de los datos de salud habrán de estar recogidas en la propia LOPD, en otras leyes o en normas de derecho comunitario. Las principales excepciones, aparte de las que se pudieran recoger en una norma legal, son las siguientes: • Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias. • Cuando se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento. • Cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado, en el supuesto de que esté física o jurídicamente incapacitado para dar su consentimiento. • Cuando el tratamiento sea necesario para salvaguardar el interés vital de otra persona, en cuyo caso el responsable del fichero o tratamiento velará por que se garantice el anonimato de la propia o el propio paciente a través del establecimiento de un proceso de disociación de sus datos. • Cuando el tratamiento de los datos de salud resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. • Dentro de la gestión de servicios sanitarios, el personal sanitario que ejerza funciones de inspección, evaluación, acreditación y planificación podrá acceder a las historias clínicas exclusivamente para el ejercicio de sus competencias. Los responsables de los ficheros o tratamientos podrán tratar los datos de salud sin necesidad de contar con el consentimiento expreso y, en su caso, escrito de los pacientes, si tal excepción se recoge en una norma legal o de derecho comunitario (por ejemplo, en relación con el desarrollo de programas de control de enfermedades transmisibles).

38

Los responsables de ficheros o tratamientos podrán tratar los datos de un paciente, aunque se niegue a prestar su consentimiento, con el fin de realizar el seguimiento de enfermedades transmisibles, de prestar la adecuada asistencia sanitaria a los usuarios y usuarias del SNS en virtud de la afiliación obligatoria a la Seguridad Social, o de salvaguardar el interés vital del paciente en situaciones de urgencia. Los responsables de los ficheros o tratamientos deberán respetar la finalidad que se contemple en la habilitación legal para tratar los datos de salud sin necesidad de contar con el consentimiento del paciente. Los profesionales sanitarios, en el desarrollo de sus funciones asistenciales, deberán acceder solamente a la historia clínica de los pacientes que atiendan y únicamente a aquellos datos de salud que sean necesarios para emitir un diagnóstico y prescribir un tratamiento.

excepciones a la cesión de datos de salud con la necesidad de contar con el consentimiento expreso del paciente Nuestra Constitución establece que la regulación de los derechos fundamentales y de las libertades públicas, entre las que se encuentra el derecho fundamental a la protección de datos de carácter personal, solamente pueda efectuarse por una norma con rango de ley. Las excepciones a la regla general de la obtención del consentimiento expreso y, en su caso, escrito para la cesión de los datos de salud habrán de estar recogidas en la LOPD, en otras leyes o en normas de derecho comunitario. Los responsables de los ficheros o tratamientos deberán analizar, a la hora de ceder datos de salud sin contar con el consentimiento del paciente, si tal comunicación cuenta con la necesaria habilitación legal o de una norma de derecho comunitario. Los profesionales sanitarios deberán comunicar los datos de salud, sin necesidad de contar con el consentimiento expreso de la persona interesada, por contar con la necesaria habilitación legal, en los siguientes supuestos: • En los casos en los que se diagnostique una enfermedad contagiosa a un paciente. • Si la comunicación de los datos de salud se solicita por parte de jueces o tribunales. • A efectos de facturación a las compañías de seguros, en caso de que se hubiera producido una asistencia sanitaria como consecuencia de un accidente de circulación. La cesión de los datos de salud de un paciente para realizar una asistencia sanitaria a otro y que, por vía de excepción, no deba producirse con consentimiento, se habrá de practicar de modo disociado para que se impida conocer la identidad de la persona titular de los datos.

del deber de secreto Los profesionales sanitarios tienen el deber de guardar secreto en relación con los datos de salud a los que accedan por razón de sus cometidos asistenciales. Dicho deber subsiste, incluso, cuando hayan cesado en su relación con los responsables de los ficheros o tratamientos o con la atención asistencial a los pacientes.

39

En materia de protección de datos nunca decae la obligación, que recae sobre el responsable de un fichero o tratamiento. Si los datos han dejado de ser necesarios para la finalidad que motivó su recogida, su cancelación se ha de efectuar por algún medio que garantice que ninguna tercera persona pueda acceder a su contenido. (Por ejemplo la utilización de máquinas destructoras de papel o sistemas de destrucción automatizada de documentación). Los profesionales sanitarios no deberán divulgar la información, relativa a los datos de salud de los pacientes que hayan conocido en el desarrollo de sus cometidos asistenciales.

principio de calidad Los profesionales sanitarios solamente deberán anotar en la historia clínica las informaciones relativas a la salud que fueran adecuadas, pertinentes y no excesivas en función de la asistencia sanitaria que le hubiera prestado al paciente. Deberán abstenerse de anotar informaciones que no sean necesarias para facilitar la asistencia sanitaria o para permitir el conocimiento veraz y actualizado de su estado de salud. Los datos de salud que se incluyan en la historia clínica de un paciente deberán responder a su situación actual. Los responsables de ficheros o tratamientos velarán por que la información relativa a los datos de salud de los pacientes responda con veracidad a su situación actual, debiendo realizar las cancelaciones y rectificaciones que, en cada caso, fueran procedentes.

Tanto si se trata de una cancelación motivada por el transcurso de los plazos de conservación de las historias clínicas como si se debe a que los datos de salud han dejado de ser necesarios para la finalidad determinada, explícita y legítima que motivó su recogida, los mismos deberán ser cancelados de modo que se evite que ninguna tercera persona pueda acceder a dichos datos.

medidas de seguridad aplicables a los datos de salud Resulta básica la observancia del documento de seguridad de la organización, en el que se han de recoger las obligaciones y perfiles que corresponden a los diferentes profesionales sanitarios que tratan datos de salud para el desarrollo de sus cometidos asistenciales. Los datos de salud, por su naturaleza de datos especialmente protegidos, han de recogerse y tratarse en ficheros o tratamientos en los que se han de implementar, con carácter general, las medidas de seguridad de nivel alto. El acceso a los datos especialmente protegidos ha de permitir identificar la trazabilidad de la persona o personas que han accedido a ellos. Su transmisión por el responsable del fichero o del tratamiento será de modo encriptado o por medio de otro mecanismo, de manera que se impida el acceso de una tercera persona a dicha información. Los profesionales sanitarios deben ser conscientes de que el sistema informático en general va a identificar la calidad y rigor con el que han desarrollado sus funciones, en relación con el tratamiento de los datos de salud de los pacientes a quienes hayan atendido, basándose en el uso de

40

las claves de identificación y de autenticación por medio de contraseña que tenga atribuidas. Los responsables de ficheros o tratamientos habrán de velar por que se respeten las medidas de seguridad de nivel alto, salvo en los casos excepcionales que requieren solamente medidas de nivel básico. Excepcionalmente, se habrán de aplicar las medidas de seguridad de nivel básico en estos supuestos: • Cuando se recojan en un fichero con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. • Cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. • Cuando con motivo del cumplimiento de deberes públicos, los datos de salud se refieran exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado. Los profesionales sanitarios han de conocer y observar estrictamente las obligaciones que como usuarios les impone el documento de seguridad de la organización, comunicando las anomalías que pudieran observar al responsable del fichero o del tratamiento. Los profesionales sanitarios deberán disponer de claves de identificación y de autenticación y se responsabilizarán de no cederla a nadie, siendo, en consecuencia, los únicos responsables de su uso. No deberán en ningún caso permitir que otra persona de la organización conozca sus claves de identificación y de autenticación.( salvo el administrador del sistema informático por las funciones que le asigna el documento de seguridad) Los profesionales sanitarios y no sanitarios, cada uno en el tratamiento de los datos que sean precisos para el ejercicio de sus respectivas funciones, velarán por que, cuando abandonen transitoriamente su puesto de trabajo o acaben su jornada laboral, cierren el acceso al fichero o tratamiento para que nadie pueda entrar con las claves de otro usuario que, en todo caso, sería el responsable de un posible acceso indebido. Los resultados de pruebas diagnósticas y, en general, todos los documentos clínicos que circulan por las manos de muchas personas de la propia organización sanitaria, deberán trasladarse de modo que se salvaguarde el secreto de los datos de salud de los pacientes (por ejemplo, en sobre cerrado dirigido a la atención del profesional sanitario que prescribió la realización de una determinada prueba). No se deben facilitar datos de carácter personal, y por supuesto con mucho mayor motivo datos especialmente protegidos, por teléfono, fax o correo electrónico que no incorpore un sistema de encriptación.

principio de finalidad Los datos de salud recojidos del paciente, solamente podrán ser tratados de acuerdo con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. El tratamiento o la cesión de los datos de salud obtenidos con el consentimiento expreso del paciente se realizará en los términos previstos en el deber de información que haya realizado el responsable del fichero o tratamiento.

41

El tratamiento o la cesión de los datos de salud de un paciente sin su consentimiento, por estar habilitado por una norma legal o de derecho comunitario que considera prevalente la concurrencia de otro bien jurídico digno de protección, deberá realizarse de acuerdo con la finalidad que la motiva. En el caso de que procediera la comunicación de datos, el responsable del fichero o tratamiento, o bien el profesional sanitario, deberá facilitar solamente la información relativa a los datos de salud que fuera adecuada, pertinente y no excesiva en relación con la finalidad que legitima tal cesión. Los responsables de ficheros o tratamientos deberán incluir en el correspondiente deber de información las finalidades determinadas, explícitas y bien fundadas que legitiman la recogida de los datos de salud del paciente. En dicha tarea no deberán incluir finalidades que no tengan relación con el objeto de la recogida de la información (por ejemplo, recabar datos de salud para realizar un análisis clínico e incluir una finalidad que se refiera al tratamiento de los mismos para el envío de “publicidad relativa a productos de automoción”), ni tampoco finalidades que solamente tengan carácter instrumental (como podrían ser las que se refieren a fines de “venta a distancia” o de “marketing directo”). Cuando los responsables de ficheros o tratamientos traten datos de salud sin necesidad de contar previamente con el consentimiento expreso y, en su caso, por escrito del paciente, respetarán las finalidades recogidas en la correspondiente habilitación legal o de derecho comunitario. En tal sentido, por ejemplo, si los datos de salud se tratan por excepción sin disociar con el fin de prevenir la propagación de una enfermedad transmisible, no se deben utilizar para otra finalidad diferente ni pretender ampliar dicha excepción a todos los casos en los que de alguna manera se pretenda atajar una enfermedad contagiosa. Si se quiere utilizar los datos de salud para una finalidad diferente a la recogida en el deber de información o en la correspondiente habilitación legal o de derecho comunitario, el paciente ha de prestar su consentimiento expreso y, en su caso, escrito para dicha finalidad. Los profesionales sanitarios y no sanitarios que, para el desarrollo de sus funciones, necesiten tratar datos de los pacientes, limitarán los accesos a los datos pertinentes con relación a las finalidades que legitiman dichos accesos.

del derecho de acceso a los datos de salud Los titulares de los datos de salud mayores de catorce años, o las personas a las que les hayan facilitado representación suficiente, podrán acceder al contenido de su documentación clínica. Excepcionalmente, será posible el tratamiento o la cesión de datos de salud sin necesidad de contar con el previo consentimiento del paciente, en cuyo caso y como regla general el acceso a la historia clínica del paciente deberá realizarse de modo disociado y proporcional a la causa que habilita el mismo. El derecho de acceso no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en la historia clínica recogidos en interés terapéutico del paciente. Los responsables de ficheros o tratamientos, al facilitar el acceso a la historia clínica no incluirán datos de terceras personas recogidos en ella. Las personas fallecidas, a pesar de no ser ya titulares del derecho a la protección de datos, conservan el derecho a que sus historias clínicas no puedan ser conocidas por las personas vinculadas por

42

razones familiares o de hecho, si lo hubiesen prohibido expresamente y así consta acreditado. En estos casos, los responsables de ficheros o tratamientos no facilitarán el acceso a la historia clínica de un fallecido a personas con razones familiares o de hecho. En todo caso, el profesional sanitario es el titular del derecho de oposición al acceso al apartado de anotaciones subjetivas de la historia clínica del paciente, por lo que siempre deberá ser consultado para recabar su consentimiento antes de acordar el acceso. Los responsables de ficheros o tratamientos no facilitarán a una tercera persona el acceso a los datos de salud de los mayores de catorce años, salvo que el menor se encontrara incapacitado o hubiese otorgado la correspondiente representación legal, en cuyo caso el acceso se podrá efectuar por sus padres, tutores o representantes legales. En general, en el caso excepcional de que el acceso a la historia clínica se realice sin consentimiento de su titular, el mismo se producirá de modo disociado y proporcionado a la finalidad que lo motiva.

rectificación de los datos de salud En general, los datos de salud solamente podrán ser rectificados si resultan inexactos o incompletos. El derecho de rectificación ofrece perfiles específicos cuando se ejerce sobre la información contenida en la historia clínica, ya que el paciente puede instar la rectificación de una información que se encuentra avalada por la participación de otro profesional sanitario. Los responsables de ficheros o tratamientos velarán por el establecimiento de un procedimiento de rectificación de los datos de salud, de modo que los mismos respondan con exactitud a la situación actual del paciente. Las rectificaciones que se puedan autorizar quedarán reflejadas en el registro de incidencias del documento de seguridad.

cancelación de los datos de salud En general, los datos de salud podrán ser cancelados si resultan inadecuados o excesivos en relación con la finalidad que motiva su recogida. Los profesionales sanitarios tienen la obligación de velar por que en la documentación clínica solamente se recojan los datos de salud que tengan directa relación con la atención sanitaria prestada a cada paciente. Los responsables de ficheros o tratamientos cancelarán los datos de salud contenidos en los diferentes documentos que integran la historia clínica, de acuerdo con lo previsto en las diferentes normas que regulan los tiempos mínimos de su conservación según la normativa vigente. Los responsables de ficheros o tratamientos deberán cancelar los datos de modo que se impida que una tercera persona acceda a dicha información.

43

44

ANEXOS anexo I: el derecho fundamental a la protección de datos de caracter personal anexo II: el derecho fundamental a la protección de datos en el derecho español anexo III: modelo de cláusula informativa en el caso de recogida y/o tratamiento de datos por responsables de ficheros anexo IV: consentimiento informado en menores según la normativa de autonomía del paciente

45

46

ANEXO I: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARACTER PERSONAL Índice 1. Primeras evoluciones del concepto. 2. Formulación del derecho fundamental. 2.1. Derecho comunitario. 2.2. Derecho interno.

1. primeras evoluciones del concepto Hoy en día existe en nuestro país un marco jurídico regulador de la protección de datos personales, entre los que se incluyen lógicamente los relativos a la salud. Está constituido por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que entró en vigor el 14 de enero de 2000, salvo en lo que se refiere a ficheros preexistentes o a la aplicación de medidas de seguridad, y por su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD). Sin embargo, la formulación actual de dicho derecho ha sido fruto de una dilatada evolución que es conveniente conocer aunque sea sintéticamente. La mayoría de los expertos han coincidido en señalar que este derecho a la protección de datos tuvo su origen en la declaración formulada por Thomas M. Cooley en 1888 en relación con el derecho a no ser molestado1, sobre la cual, en 1890, Samuel D. Warren y Louis D. Brandeis fundamentaron la formulación del derecho a la privacidad2. Ese “derecho a ser dejado en paz”, a que no se conozcan los datos de un individuo si él mismo no lo consiente, resultaba lógicamente muy sugestivo desde el punto de vista del derecho a la intimidad de la persona. No obstante, hubo que esperar bastantes años para recordar dicha formulación. Fue a partir de los años sesenta del pasado siglo, momento en el que la informática comenzó a ser capaz de realizar los primeros tratamientos de datos a través de medios mecánicos, cuando las citadas formulaciones, llevadas a cabo en torno al derecho a la intimidad y a la privacidad, vieron relanzada su importancia. En la Declaración Universal de Derechos Humanos3 y en el Pacto Internacional de Derechos Civiles y Políticos4 ya se habían incluido algunos preceptos que reconocían el derecho de la persona frente a las injerencias o ataques de terceros respecto de su vida privada, su familia, su domicilio o su correspondencia, su honra o su reputación. A nivel europeo, el germen del movimiento regulatorio se llevó a cabo en el seno del Consejo de Europa y del Parlamento Europeo. El primero, en el año 1967, creó una Comisión Consultiva para estudiar las tecnologías de la información y su potencial agresividad hacia los derechos de las personas, de la que surgió un documento que, finalmente, fue aprobado por la Asamblea General del Consejo de Europa como Resolución 509 sobre “Los derechos humanos y los nuevos logros científicos y técnicos”. De dicha Resolución se derivó un proceso en virtud del cual el Consejo de Europa comenzó a profundizar en la posible injerencia de la informática en la vida privada de las personas, lo que dio lugar a las Resoluciones del Comité de Ministros de 1973, sobre la protección de las personas respecto a los bancos de datos electrónicos en el sector privado, y de 1974, sobre la protección de

47

las personas respecto a los bancos de datos electrónicos en el sector público. A partir de este momento, la preocupación del Consejo de Europa por el tema de la protección de datos de carácter personal ha sido constante. En relación con los datos de salud, ha dictado siete recomendaciones referidas a temas de candente actualidad, como, por ejemplo, los relativos a la protección de datos de carácter personal utilizados con fines de seguridad social o de empleo, o los recogidos y tratados con fines relacionados con el seguro. En la década de 1970, acontecieron los siguientes fenómenos en la formulación del derecho fundamental a la protección de datos de carácter personal: • Por un lado, algunos países comenzaron a regular el derecho a la protección de datos, aprobando las primeras leyes nacionales al respecto5. • A finales de esa década, el Parlamento Europeo aprobó una Resolución, de 8 de mayo de 1979, sobre la tutela de los derechos del individuo frente al creciente progreso técnico en el sector de la informática. Después de las primeras regulaciones nacionales y de los reconocimientos internacionales del derecho del individuo a defenderse frente a las injerencias de terceras personas en su vida privada, era preciso decantar si el derecho a la protección de datos iba a ser o no un derecho autónomo respecto del derecho a la intimidad y a la privacidad. La cuestión no tenía solamente un contenido doctrinal. De la configuración definitiva que adoptara dicho derecho dependería que el responsable de un fichero debiera o no hacer algo más que abstenerse de invadir la intimidad de la persona. Es decir, la alternativa consistiría, bien en tenerse que limitar a respetar algún asunto que la persona no quisiera que fuera divulgado a terceros, o bien que tuviera que desarrollar una serie de actuaciones, impuestas por la ley, a fin de que los datos se recogiesen, almacenaran y tratasen en un entorno seguro, en el que se respetara el poder de disposición y control de los mismos que corresponde a su titular. No obstante, no fue hasta el año 1981 cuando se produjo la aprobación de un convenio internacional que, con el paso de los años, se convirtió en el auténtico referente en el concepto del derecho a la protección de datos personales tal y como hoy lo conocemos. El 28 de enero de 1981, el Consejo de Europa, después de haber adoptado en su Asamblea General la ya citada Resolución 509, aprobó el Convenio n.º 108 del Consejo, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal6. El salto cualitativo que, respecto a las disposiciones anteriores, convirtió a este Convenio en referente obligado en materia de protección de datos radicó en que, por primera vez, recogía un conjunto de principios y garantías que cualquier legislación nacional habría de observar a la hora de regular la protección de la persona respecto al tratamiento de sus datos. Como señala Piñar, “se pretende resolver la tensión existente entre el uso cada vez más generalizado de la informática y el riesgo que el mismo puede suponer para la vida privada”7. La importancia del citado Convenio fue tal que la propia Comisión Europea dictó la Recomendación 81/679/CEE, de 29 de julio, relativa al Convenio del Consejo de Europa sobre protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, en la que, en síntesis, animaba a todos los Estados miembros a hacer un esfuerzo de acercamiento de sus legislaciones nacionales a los términos previstos en el Convenio n.º 108, con el fin de lograr una libre circulación de datos e informaciones que contribuyera a consolidar el mercado común. Para ello aconsejaba, como premisa, firmar y ratificar el mencionado Convenio. De acuerdo con la evolución señalada, no resulta difícil entender una redacción como la recogida en el artículo 18.4 de la Constitución Española de 1978, cuando dispone, en relación con el derecho

48

a la protección de datos personales, que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”8. Desde el punto de vista actual, en el que los gobiernos han apostado decididamente por que Internet se convierta en una herramienta fundamental para la transmisión del conocimiento, el citado precepto constitucional es verdaderamente sorprendente. Sin embargo, de acuerdo con lo ya señalado, hay que concluir que se trata de un precepto que fue el lógico resultado del momento histórico en que se redactó, un período en el que se sentía una gran preocupación por la posible influencia de la informática en el derecho a la intimidad personal y familiar del individuo.

2. formulación del derecho fundamental No será, sin embargo, hasta la década de 1990 cuando el derecho a la protección de datos adquiera su reconocimiento como derecho fundamental de la persona. Además, se va a dar la circunstancia de que, paralelamente, dicho atributo será reconocido tanto a nivel del Derecho comunitario como del Derecho interno español.

2.1. Derecho comunitario Durante los años noventa, el proceso de construcción europea apostó decididamente por la consolidación del mercado interior (art. 10 Tratado de la UE). En dicho objetivo, la dimensión económica de los datos de carácter personal cobraba especial importancia para la realización del citado mercado. La libre circulación de bienes, servicios, personas y capitales resultaba fundamental para acabar con las fronteras y aranceles que imponían los Estados nacionales, pero se consideraba que la libre circulación de datos personales era de capital importancia para lograr ese mercado interior comunitario. Ahora bien, esa libertad para la transmisión de datos en el seno de la Unión Europea debía contrapesarse con el respeto de un régimen jurídico que permitiera colocar a la persona titular de los datos en la situación de poder controlar su utilización por terceros, salvo que una norma legal contemplase un bien jurídico que mereciera protección superior, y, en consecuencia, autorizaba el tratamiento de los datos de la persona sin que fuera necesario contar con su previo consentimiento. Para incorporar ambos principios al Derecho comunitario europeo —por un lado, la necesidad de consolidar el mercado interior y, por otro, establecer un conjunto de principios y derechos a favor de los titulares de los datos—, el Parlamento Europeo y el Consejo aprobaron la Directiva 1995/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos9. Se trata de una Directiva que, en su Considerando 11, reconoce abiertamente que supone un desarrollo del conjunto de principios y garantías que se contemplaban en el ya citado Convenio n.º 108 del Consejo de Europa. Conviene insistir en la idea del legislador comunitario: la construcción europea pasa inevitablemente por crear el mercado interior; ahora bien, éste, que requiere la libre circulación de los datos personales, debe respetar el derecho a la intimidad de las personas. En el año 2000 se produce un enorme giro en la situación del derecho a la protección de datos personales tal como aparecía cinco años antes en la Directiva 1995/46/CE —sobre cuyo contenido no nos detendremos, ya que su análisis desborda con mucho el contenido del presente trabajo—: pasó a ser considerado, no ya como parte del derecho a la intimidad de la persona, sino como un derecho fundamental, y a ser recogido así en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea, proclamada en Niza el 7 de diciembre de 2000. El citado artículo, en su

49

apartado 1, dice escuetamente: “Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan”. Obsérvese que, a diferencia de lo señalado en la Resolución 509 de la Asamblea del Consejo de Europa, en la Resolución del Parlamento Europeo de 1979 y en el propio Convenio nº 108, ya no se relaciona el derecho a la protección de datos de carácter personal ni con la informática, ni con el derecho a la intimidad de las personas. Se reconoce, ahora sí, un derecho sustantivo, autónomo, el derecho de toda persona a proteger sus datos de carácter personal de todas las injerencias que se puedan producir. El reconocimiento del derecho fundamental a la protección de datos personales, además, no se produce de modo tácito, sino absolutamente expreso, ya que en el artículo 7 de la propia Carta se dedica una previsión específica al derecho a la vida privada y familiar. Por tanto, el derecho a la protección de datos de carácter personal que, hasta entonces, había sido formulado de la mano del derecho a la intimidad, asume en el Derecho comunitario, a partir del año 2000, el carácter de derecho fundamental europeo. Desde entonces también en el proyecto de “Tratado por el que se establece de Constitución para Europa” se recogió dicho derecho fundamental a la protección de datos de carácter personal, en sus artículos I-51 y II-68, que reiteran el contenido del citado artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.

2.2. Derecho interno Por lo que se refiere al Derecho español, el legislador aprobó, en un primer momento, la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar, y a la propia imagen, que reconduce al ámbito jurisdiccional la defensa frente a las intromisiones ilegítimas de terceros en dicho derecho, y la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD, actualmente derogada por la ya citada LOPD), que se ocupaba solamente de los tratamientos de datos automatizados. Sin embargo, a pesar de la regulación por separado de ambos derechos —por un lado, el derecho a la intimidad, recogido en la Ley Orgánica 1/1982, y, por otro, el derecho a la protección de datos personales, regulado en la Ley Orgánica 5/1992—, este último venía siendo considerado como parte de aquél a través de la formulación del “derecho a la autodeterminación informativa”. El Tribunal Constitucional, en varias sentencias (Sentencias 110/1984, 143/1994, 94/1998 y 202/1999, entre otras), relacionó el derecho a la protección de datos de carácter personal con el derecho a la intimidad y, para ello, proclamó el reconocimiento global de este derecho “que abarque su defensa frente a las intromisiones que por cualquier medio puedan realizarse en ese ámbito reservado de vida” (Sentencias 110/1984 y 254/1993). El verdadero cambio, que propició que el derecho fundamental a la protección de datos de carácter personal fuese considerado como un derecho autónomo e independiente del derecho a la intimidad, superando el concepto de “derecho a la autodeterminación informativa”, se produjo como consecuencia de la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre. Aunque resulta, por su capital importancia, imprescindible acceder al contenido íntegro de la citada Sentencia, sin embargo se destacarán ahora solamente aquellos aspectos fundamentales que han contribuido a configurar el derecho fundamental a la protección de datos de carácter personal como un derecho autónomo respecto al derecho a la intimidad de las personas. Para ello, resultan capitales las siguientes conclusiones extraídas de la citada Sentencia 292/2000: • El concepto del derecho a la protección de datos tiene un ámbito más amplio que el del derecho

50

a la intimidad. Por ello, los responsables que almacenen y traten datos de carácter personal deben cumplir, antes de proceder a su recogida, una serie de obligaciones que establece la normativa de protección de datos (Fundamento jurídico 6). • El derecho a la protección de datos conlleva un poder de control y disposición sobre los datos, lo que supone que el titular de los mismos deba saber, en todo momento, quién tiene sus datos y con qué finalidad (Fundamento jurídico 7). • La recogida y tratamiento de los datos de carácter personal se ha de fundamentar en el consentimiento de su titular, salvo que exista habilitación legal para ello (Fundamento jurídico 11).

referencias del anexo I 1- “The right to be let alone”, recogido en la obra A Treatise on the Law of Torts, or the Wrongs Which Arise Independent of Contract, Chicago, 1888 (2.ª ed.). 2- “The Right to Privacy”, Harvard Law Review, vol. IV, núm. 5, 15 de diciembre de 1890. 3- El artículo 12 señala: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”. 4- En términos prácticamente idénticos a lo señalado en la nota anterior se refiere el artículo 17 del citado Pacto. 5- A esta época se refieren la Ley de Protección de Datos de la República Federal de Alemania en 1977, la Ley de Informática, Ficheros y Libertades de la República Francesa de 1978, la Ley de Registro Privado y la Ley de Registro Público aprobadas en Dinamarca en 1978, la Ley de Protección de Datos austriaca de 1978, y la Ley sobre Utilización de Datos en Tratamientos Informáticos, aprobada por Luxemburgo en 1979. 6- Instrumento de ratificación por España de 27 de enero de 1984. 7- José Luis Piñar Mañas: “Derecho fundamental a la protección de datos personales. Algunos retos de presente y futuro”, Asamblea, revista parlamentaria de la Asamblea de Madrid, n.º 13, diciembre de 2005, págs. 21-46. 8- Este apartado 4 del artículo 18, que carece de antecedentes en el constitucionalismo histórico español, fue introducido por influencia del artículo 35 de la Constitución Portuguesa. 9- Después de esta Directiva “transversal”, se aprobaron las siguientes, que vienen a regular la protección de datos en algunos ámbitos concretos: Directiva 1997/66/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones; Directiva 1999/93/CE, por la que se establece un marco comunitario para la firma electrónica; Directiva 2000/31/CE, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior; Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.

51

52

ANEXO II: EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS EN EL DERECHO ESPAÑOL Índice 1. 2. 3.

Ámbito de aplicación Sujetos obligados Principios generales 3.1. Principio de información 3.2. Principio de consentimiento 3.3. Principio de calidad 3.4. Principio de seguridad 4. Derechos de los interesados 4.1. Introducción 4.2. Derecho de acceso 4.3. Derecho de rectificación 4.4. Derecho de cancelación 4.5. Derecho de oposición.

1. ámbito de aplicación La normativa de protección de datos únicamente se extiende respecto de datos relativos a personas físicas identificadas o identificables (arts. 3.a. de la LOPD y 2 y 5.1.f. del RLOPD). De acuerdo con lo señalado, es preciso resaltar las siguientes consideraciones: Las personas fallecidas no tienen derecho a la protección de datos de carácter personal, ya que, a tenor del artículo 32 del Código Civil, “la personalidad civil se extingue por la muerte de las personas”. En relación con esta consideración, es preciso puntualizar lo siguiente, que puede tener directa aplicación al ámbito sanitario: • “Las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos” (art. 2.4 del RLOPD). • La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP), establece un régimen especial de acceso a la historia clínica de los pacientes fallecidos al establecer que “los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica (...) a las personas vinculadas (...) por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite” (Artículo 18.4.). Más adelante se volverá sobre este asunto. Las personas jurídicas no poseen derecho a la protección de datos de carácter personal1. A diferencia del caso italiano, en España, por ejemplo, una empresa que denuncie la inclusión indebida de la misma en un fichero de morosidad no puede ser amparada por el ámbito de aplicación de la LOPD.

53

El RLOPD (art. 2, apartados 2 y 3) aclara que, cuando se traten datos de personas físicas en función de su relación con una persona jurídica en la que presten sus servicios, o cuando los datos hagan referencia a la actividad del titular en cuanto empresario individual en su calidad de comerciante, industrial o naviero, los mismos estarán excluidos del régimen de aplicación de la protección de datos de carácter personal. Para que se aplique la LOPD es preciso que exista un fichero automatizado o manual, es decir, que consista en un conjunto estructurado conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a sus datos personales (Considerando 27 de la Directiva 1995/46/CE.). Los datos de las personas físicas han de ser identificados o identificables. En relación con dicho asunto, la Directiva 1995/46/CE señala que “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona” (Considerando 26 de la Directiva 1995/46/CE). El RLOPD, en su artículo 5.1.o), establece el concepto de “persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”. De acuerdo con ello, los principios de la protección de datos no se aplicarán a aquellos datos respecto de los que no sea posible identificar al interesado. La LOPD no se aplicará a los ficheros “mantenidos por personas físicas para el ejercicio de actividades exclusivamente personales o domésticas”(art.4.a., primer párrafo, del RLOPD)2 . “Sólo se considerarán relacionados con actividades personales o domésticas los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares” (art. 4.a., segundo párrafo, del RLOPD).

2. sujetos obligados Los artículos 3, apartados d) y g), de la LOPD y 5.1, apartados q) e i), del RLOPD señalan, como sujetos obligados en el derecho fundamental a la protección de datos, al responsable del fichero o tratamiento y al encargado de tratamiento. El primero por ser la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”; el encargado de tratamiento porque es “la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio” (art. 5.1.i RLOPD). En el ámbito de los datos de salud, sería el caso del promotor (responsable del fichero) y del monitor (encargado de tratamiento) en el entorno del desarrollo de un ensayo clínico con medicamentos.

3. principios generales Como ya se ha señalado, el Convenio nº 108 del Consejo de Europa formuló, por vez primera, un conjunto de principios que deben ser respetados por parte de los responsables de ficheros que tratan datos de carácter personal, y que pasaron a ser incorporados y sistematizados en la Directiva 1995/46/CE, y de ésta a la LOPD, que la transpone al ordenamiento jurídico interno. Los citados

54

principios son el de información, el de consentimiento, el de calidad y el de seguridad. A continuación se hace una breve síntesis de cada uno de ellos.

3.1. principio de información Los artículos 5 de la LOPD y 18 del RLOPD regulan el deber de información, que incumbe a los responsables de los ficheros o tratamientos, así como el modo de acreditar su cumplimiento. Por su parte, el Tribunal Constitucional, en la citada Sentencia 292/2000, señala que dicho deber es indispensable para hacer efectiva la definición constitucional del derecho fundamental a la protección de datos personales3. De acuerdo con lo señalado con anterioridad, cabe deducir las siguientes conclusiones: Es obligatorio que los responsables de ficheros o tratamientos procedan a informar a los interesados, previamente a la recogida de sus datos y de modo expreso, preciso e inequívoco, de los extremos a que se refiere el artículo 5.1 de la LOPD 4 , ya que son elementos característicos del derecho fundamental a la protección de datos los derechos del afectado a consentir sobre la recogida y uso de sus datos personales. La especial trascendencia de cumplimentar debidamente el principio de información radica, en el caso español, en que la LOPD no ha transpuesto el artículo 7.f) de la Directiva 1995/46/CE. Este artículo dispone que “los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si (...) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del art. 1 de la presente Directiva”. Esto supone que, a tenor de la LOPD, cuando se pretenda tratar los datos para una finalidad sobre la cual no se haya informado al afectado, solamente se podrá hacer si se procede a obtener nuevamente el consentimiento del mismo. En otros países europeos, como por ejemplo Portugal 5 , la Comisión Nacional de Protección de Datos tiene la facultad de autorizar, excepcionalmente, la utilización de los datos personales para finalidades distintas a las informadas en el momento de la recogida de los mismos. Por ello, la habilitación para tratar los datos por parte del responsable, salvo que la misma le venga atribuida por una ley o que los datos se encuentren recogidos en fuentes accesibles al público, se basa siempre en los términos incluidos en la cláusula informativa que se le haya planteado a la persona afectada en el momento de consentir la recogida de sus datos. Corresponde al responsable del fichero o tratamiento la obligación de probar que ha cumplimentado el deber de informar. Para dicho fin deberá conservar los soportes originales, incluso por medios informáticos o telemáticos siempre que permitan acreditar que no se han alterado (Artículo 12.3 del RLOPD). Cuando los datos no procedan de la persona afectada, la LOPD prevé dos procedimientos para que ésta tenga conocimiento de que los mismos están siendo tratados: • Si han sido obtenidos de fuentes accesibles al público, concretamente de diarios y boletines oficiales, como en el caso de los ficheros de solvencia patrimonial y crédito creados para realizar informes sobre información de tal naturaleza (art. 29.1 LOPD), el responsable del fichero común (son los ficheros normalmente denominados de incidencias judiciales y reclamaciones de

55

organismos públicos) debe informar al interesado, en el plazo de tres meses siguientes al momento de registro de los datos, salvo que ya lo hubiera hecho con anterioridad, a tenor de lo previsto en el artículo 5.4 de la LOPD. Si no consigue informar al afectado, debe sacar sus datos de los citados ficheros. • Si han sido obtenidos de fuentes accesibles al público para su uso con fines de publicidad y prospección comercial, el responsable del fichero debe informar al afectado, en cada comunicación que le dirija, del origen de los datos, de la identidad del responsable, así como de los derechos que le asisten, entre los que se encuentra el derecho de oponerse, previa petición y sin gastos, en cuyo caso serán dados de baja los datos, cancelándose las informaciones que sobre él figuren en el citado fichero (Artículo 5.5, párrafo segundo, en relación con el artículo 30, apartados 2 y 4, de la LOPD. Artículo 45 del RLOPD).

3.2. principio de consentimiento De acuerdo con lo señalado, el tratamiento de datos personales se basa en el consentimiento del afectado, salvo que una ley lo excepcione o que los datos tratados procedan de fuentes accesibles al público. La importancia de este principio se deduce de las propias palabras del Tribunal Constitucional, que, en la ya citada Sentencia 292/2000 (Fundamento jurídico séptimo), señalaba lo siguiente: “el derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros” y que “radica en su contenido, ya que (...) atribuye a su titular un haz de facultades consistentes en diversos poderes jurídicos, cuyo ejercicio impone a terceros deberes jurídicos (...), lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales”. Los artículos 3.h) de la LOPD y 5.1.d) del RLOPD entienden por consentimiento del interesado “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Los artículos 6.1 de la LOPD y 12 del RLOPD se refieren a que, en términos generales, el consentimiento para el tratamiento de los datos habrá de ser inequívoco. Para su recogida la solicitud deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos. En todo caso, la prueba de la existencia del consentimiento del afectado corresponderá al responsable del fichero o tratamiento. En casos muy concretos (art. 7, apartados 2 y 3, de la LOPD), no vale con la recogida del consentimiento inequívoco del interesado, sino que se requiere el consentimiento expreso, para datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual, o el consentimiento expreso y por escrito, para datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. A tenor de lo señalado, y toda vez que, como ya se ha indicado, no se ha transpuesto a nuestro ordenamiento jurídico interno el mencionado artículo 7.f) de la Directiva 1995/46/CE, para el tratamiento de datos personales se requiere contar, salvo habilitación legal o que los datos tratados procedan de fuentes accesibles al público, con el consentimiento del afectado.

56

De acuerdo con lo señalado, en el supuesto general de que se requiera para el tratamiento de los datos el consentimiento inequívoco del interesado, el verdadero problema de fondo radica en delimitar cuándo cabe entenderse prestado el consentimiento tácito a los efectos previstos en los artículos 3.h) de la LOPD y 5.1.d) del RLOPD. En este sentido, el RLOPD (art. 14) trata sobre la forma de recabar el consentimiento, siendo posible concluir lo siguiente: • La deducción del consentimiento inequívoco ha de poder derivarse del contenido de una cláusula que informe de modo expreso, preciso e inequívoco, sobre las finalidades determinadas y explícitas para las que iban a tratarse dichos datos (Sentencias de la Audiencia Nacional de 13 de abril y de 30 de noviembre de 2005). En este sentido, la solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba y de las restantes condiciones que concurran. • La obtención del consentimiento inequívoco, que no deba ser expreso, permitirá remitir al afectado una cláusula de consentimiento en la que se le informa de la finalidad del tratamiento de los datos y se le señala que, de no recibir contestación en contrario en el plazo de treinta días, se entiende que presta su consentimiento tácito a la misma. En relación con dicho sistema, es preciso que tal cláusula respete, al menos, estas condiciones: - Que el medio a través del cual el responsable del fichero remita dicha cláusula al afectado permita probar que la misma no ha sido devuelta por cualquier causa. - Que el medio a través del cual el afectado puede manifestar su voluntad de no prestar su consentimiento para la nueva finalidad ha de ser lo más antiformalista posible (por ejemplo, envío de un correo electrónico o de un fax), sin que pueda suponer, en ningún caso, un ingreso económico para el responsable del fichero. El RLOPD cita a tal efecto, entre otros, el envío de un sobre prefranqueado o el establecimiento de un número telefónico gratuito. - Que la cláusula incluya una finalidad lo suficientemente concreta de modo que permita deducir, de manera explícita y determinada, el consentimiento inequívoco que presta el interesado. Por tanto, si la cláusula respeta estas condiciones, cabe deducir que el afectado prestó su consentimiento inequívoco de manera tácita. Normalmente, este sistema se usará en el caso de que se quiera incluir una nueva finalidad no prevista en la cláusula informativa establecida en el momento de la recogida de los datos. Por lo que se refiere a las excepciones al principio de consentimiento para el tratamiento de sus datos, los artículos 6.2 de la LOPD y 10, apartados 2 y 3, del RLOPD disponen lo siguiente: • Dentro de los casos de excepción del principio de consentimiento, por existir habilitación legal o por tratarse del ejercicio de las funciones propias de las Administraciones públicas en el ejercicio de sus competencias, se pueden mencionar los ámbitos fiscal6, de la Seguridad Social7 , de prevención de riesgos laborales8, o de prevención del blanqueo de capitales9. • En el supuesto del desarrollo de una relación contractual cuando el tratamiento de los datos sea necesario para su mantenimiento o cumplimiento. En relación con esta excepción, la Agencia Española de Protección de Datos suele conocer de casos en los que, o bien se trataron los datos del afectado sin que éste hubiese suscrito contrato alguno (Sentencia de la Audiencia Nacional de 18 de mayo de 2005, que ratificó la sanción impuesta en Resolución de la Agencia de 14 de marzo de 2003), o bien se hizo para alguna finalidad que no tiene que ver, directamente, con el mantenimiento o cumplimiento del citado contrato.

57

• Respecto a la excepción del consentimiento inequívoco por la vía del artículo 7.6 de la LOPD, como más adelante se abordará, la cuestión a dilucidar es hasta qué punto todas las entidades imputadas por un tratamiento sin consentimiento de datos de salud alegan que cuentan con habilitación para ello a tenor de dicho precepto. Sobre este asunto, conviene recordar que la regla general es la recogida en el artículo 7.3 de la LOPD, siendo el artículo 7.6 la excepción a dicha regla. Así lo ha manifestado la Audiencia Nacional en dos importantes Sentencias de 12 de abril y 26 de septiembre de 2002, cuando en aquélla analizó el tratamiento de datos de salud para el control del absentismo laboral.

3.3. principio de calidad Respecto del principio de calidad de los datos, regulado en el artículo 4, apartados 1 a 5, de la LOPD y en el artículo 8 del RLOPD, cabe efectuar las siguientes consideraciones: • Los datos pueden recogerse para su tratamiento siempre que sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido, de modo que existe una sutil distinción entre finalidad de la recogida y finalidad del tratamiento, pues la recogida sólo puede hacerse con fines determinados, explícitos y legítimos, y el tratamiento posterior no puede hacerse de manera incompatible con dichos fines. De este modo, y de acuerdo con el artículo 1.b) de la Directiva 1995/46/CE, si la recogida se hizo con fines determinados, “cualquier uso o tratamiento con finalidad distinta es incompatible con la primera finalidad que determinó su captura, por lo que, en este contexto, diferente e incompatible significan lo mismo” (Sentencia de la Audiencia Nacional de 2 de marzo de 2005). • Los datos del afectado deben responder, con veracidad, a la situación actual del mismo. Se trata de un precepto a través del cual se sancionan, por ejemplo, las inclusiones indebidas de los interesados en los ficheros de morosidad regulados en el artículo 29, apartados 2 y 4, de la LOPD. • Por último, es preciso señalar que, cuando los datos hayan dejado de ser necesarios para la finalidad determinada, explícita y legítima que motivó su recogida, deberán ser cancelados, pero de modo que, en todo caso, se evite que nadie diferente al afectado pueda acceder a dichos datos. Por ello, si alguno de los citados datos ya no son necesarios, deberán conservarse bloqueados, a tenor de los artículos 16.3 de la LOPD y 5.1.b) del RLOPD, a expensas de la atención de las posibles responsabilidades surgidas del tratamiento, hasta que transcurran los correspondientes plazos de prescripción. Por el contrario, si algún dato ya no se encuentra supeditado a ningún plazo de esta naturaleza, no podrá, en ningún caso, ser dejado al alcance de terceras personas, como, por ejemplo, cuando algunos responsables los depositan en la vía pública en contenedores especiales de papel para que sean posteriormente reciclados. Como consecuencia de lo señalado, en materia de protección de datos, la obligación de secreto de los datos de los afectados subsiste para el responsable del fichero sea cual sea el plazo de prescripción de las posibles responsabilidades surgidas del tratamiento. Nunca puede desentenderse de la confianza que depositó en él el titular de los datos, cuando decidió prestar su consentimiento para que los tratara en sus ficheros.

58

3.3. principio de seguridad La LOPD, en su artículo 9, se refiere a las medidas de seguridad que el responsable del fichero o el encargado del tratamiento han de implementar para que los datos personales sean gestionados en un entorno que impida “su alteración, pérdida, tratamiento o acceso no autorizado” por parte de terceras personas. El RLOPD desarrolla el citado precepto de la LOPD y distingue en su regulación entre ficheros automatizados y manuales. Establece tres niveles de seguridad en función de la naturaleza de los datos sometidos a tratamiento. Como común denominador a todos los niveles de seguridad, es preciso señalar que ha de existir el correspondiente documento de seguridad, en el que se recojan con carácter obligatorio las normas para el acceso a los sistemas de información del responsable o del encargado de tratamiento. Lo más importante es que este documento ha de ser un instrumento en continua evolución, de modo que responda, en todo momento, a las necesidades organizativas de la entidad o del profesional individual. Para ello, el registro de incidencias, el seguimiento de las claves de identificación y autenticación, así como de los controles de acceso y, muy en especial, las auditorías bienales (aplicables a partir del nivel de seguridad medio), han de contribuir a mantener actualizado el documento de seguridad. Por tanto, la cuestión a dilucidar, a mi juicio, es la siguiente: ¿pueden producirse “fugas de datos” a pesar de existir el correspondiente documento de seguridad? Indudablemente puede haberlas, y no solamente cuando exista un documento de seguridad inadecuado. En este último caso, con más razón, si el citado documento de seguridad no es capaz de describir y controlar los flujos de información necesarios para delimitar un correcto funcionamiento de la organización. Piénsese, por ejemplo, en un centro hospitalario en el que cualquiera que presta servicios en el mismo pudiese acceder al archivo de historias clínicas y consultar cualquier documento incluido en ellas. En este caso, la falta de medidas de seguridad responde a un problema organizativo, que, sin duda, de probarse daría lugar a la declaración de alguna infracción en materia de protección de datos. Sin embargo puede existir un documento de seguridad magníficamente concebido, actualizado y gestionado, y, no obstante, producirse también fugas de datos. Aquí el problema no es organizativo sino personal, motivado por que el usuario no ha atendido a sus obligaciones, bien intencionalmente, bien de una manera negligente. Respecto al primer comportamiento nada debe añadirse. Se trata de un usuario que, por una motivación externa a su tarea, decide provocar tales fugas de datos. El orden penal, laboral o estatutario, si se trata de un funcionario, establecerá, en su caso, las consecuencias de su comportamiento. El caso de la negligencia del usuario que puede provocar fugas de datos es en el que ha de ponerse especial atención para que, en la medida de lo posible, no se produzca. Para ello, el usuario ha de comprender e interiorizar (en una palabra, concienciarse) que las claves de identificación y autenticación son el único instrumento a través del cual queda a salvo la correcta ejecución de las tareas que tenga encomendadas. La no actualización de las mismas, su conocimiento por terceras personas (que no sean el responsable del fichero, el responsable de seguridad o el administrador del sistema), o el no bloqueo del terminal cuando se abandona el puesto de trabajo, pueden dar lugar a vulneraciones de la normativa de protección de datos que, además, no se pueden remediar, ya que el sistema informático identifica, sin duda alguna, cuál fue el código de usuario desde el cual se produjo el acceso indebido. Deben extremarse, por tanto, dichos controles a pesar de que esté probado que el ser humano tiene mayor inclinación a la comodidad que a la seguridad en el manejo de los sistemas de información. Por ello, conociendo todo lo señalado, el usuario debe huir, por negligencia, de cualquier

59

comportamiento que pueda causar fugas de datos personales, máxime cuando, además, también pueden concurrir en el presente supuesto consecuencias penales, laborales y estatutarias.

4. derechos de las personas interesadas 4.1. introducción La LOPD reconoce, a favor de los interesados cuyos datos están siendo tratados por los responsables de ficheros o tratamientos, una serie de derechos, de naturaleza personalísima aunque pueden ejercitarse a través de representación voluntaria (arts. 15 a 17 de la LOPD y 23 del RLOPD), con el fin de que puedan conocer, rectificar, cancelar o, en su caso, oponerse a dichos tratamientos.

4.2. derecho de acceso (art.15 de la LOPD y Capítulo II del RLOPD) “El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos” (art. 27.1 del RLOPD). En virtud del derecho de acceso, el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento. Para hacer efectivo este derecho se podrá utilizar alguno de estos sistemas (art. 28.1 del RLOPD): • Visualización en pantalla. • Escrito, copia o fotocopia remitida por correo, certificado o no (art. 15.2 de la LOPD). • Telecopia. • Correo electrónico u otros sistemas de comunicaciones electrónicas. • Cualquier otro sistema que sea adecuado a la configuración o implantación material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.

4.3. derecho de rectificación (art. 4, apartados 3 y 4, y 16.2 de la LOPD, y 31 a 33 del RLOPD) “El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos” (art. 31.1 del RLOPD).

4.4. derecho de cancelación El ejercicio del derecho de cancelación (Arts 16.3 de la LOPD y 31.2 del RLOPD) dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos (art. 16.2 de la LOPD), sin perjuicio del deber de bloqueo. En este sentido, la cancelación es el procedimiento por el que el responsable cesa en el uso de los datos. La cancelación “implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las

60

Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos” (art. 5.1.b. del RLOPD).

4.5. derecho de oposición (arts. 6.4, 17 y 30.4 de la LOPD y Capítulo IV del RLOPD) El artículo 34 del RLOPD señala: “El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos: • Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una ley no disponga lo contrario (Ver también art. 6.4 de la LOPD). • Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial (...) cualquiera que sea la empresa responsable de su creación (Ver también art. 30.4 de la LOPD). • Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal (Ver también art. 13.2 de la LOPD).

referencias del anexo II 1- Considerando 24 de la Directiva 1995/46/CEE, de 24 de octubre, del Parlamento y del Consejo, sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos: “Considerando que las legislaciones relativas a la protección de las personas jurídicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva”. 2- Sobre este asunto resulta especialmente interesante consultar la Sentencia del Tribunal de Justicia de las Comunidades Europeas de 6 de noviembre de 2003 (caso “Bodil Lindqvist”), sobre cuya doctrina no conviene ahora detenerse, por exceder al contenido y extensión del presente trabajo. 3- En su fundamento jurídico 7 señala: “En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele.” 4- “a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso,

61

rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.” 5- Artículo 6.e), en relación con el artículo 23.1.c), de la Ley [portuguesa] 67/1998, de 26 de octubre (transposición de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos). 6- Ley 58/2003, de 17 de diciembre, General Tributaria. 7- Real Decreto Legislativo 1/1994, de 20 de junio, por el que se aprueba el Texto Refundido de la Ley General de la Seguridad Social. 8- Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales. 9- Ley 19/1993, de 28 de diciembre, sobre determinadas medidas de prevención del blanqueo de capitales.

62

ANEXO III: MODELO DE CLÁUSULA INFORMATIVA EN EL CASO DE RECOGIDA Y/O TRATAMIENTO DE LOS DATOS POR RESPONSABLES DE FICHEROS para ficheros públicos De conformidad con lo dispuesto en el artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se informa de: 1. Que sus datos personales se incorporarán al fichero denominado _____ (denominación que el responsable haya dado al fichero público en el momento de declararlo ante el Registro General de Protección de Datos de la AEPD), del que es responsable _____ (organismo de que se trate), creado por Resolución de _____ (fecha de la misma), _____ (boletín o diario oficial correspondiente), y/o serán tratados con la(s) finalidad(es) de _____ (señalar la finalidad o finalidades del fichero de acuerdo con la declaración realizada ante el Registro de Protección de Datos de la AEPD). 2. Que el/los destinatario/s de sus datos personales es/son _____ (a cumplimentar solamente en el caso de que se haya previsto en la declaración del fichero la realización de cesiones de datos). 3. Que puede ejercitar sus derechos de acceso, cancelación y oposición ante el responsable del fichero. 4. Que el responsable del fichero y/o tratamiento es _____ (organismo de que se trate), ubicado en _____ (dirección completa a efectos de protección de datos).

para ficheros privados De conformidad con lo dispuesto en el artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se informa de: 1. Que sus datos personales se incorporarán al fichero denominado _____ (denominación que el responsable haya dado al fichero en el momento de declararlo ante el Registro General de Protección de Datos de la AEPD), del que es responsable _____ (nombre o razón social) y/o serán tratados con la(s) finalidad(es) de _____ (señalar la finalidad o finalidades del fichero de acuerdo con la declaración realizada ante el Registro de Protección de Datos de la AEPD). 2. Que el/los destinatario/s de sus datos personales es/son _____ (a cumplimentar solamente en el caso de que se haya previsto en la declaración del fichero la realización de cesiones de datos). 3. Que puede ejercitar sus derechos de acceso, cancelación y oposición ante el responsable del fichero. 4. Que el responsable del fichero y/o tratamiento es _____ (nombre o razón social), ubicado en _____ (dirección completa a efectos de protección de datos).

63

64

ANEXO IV: CONSENTIMIENTO INFORMADO EN MENORES SEGÚN LA NORMATIVA DE AUTONOMÍA DEL PACIENTE Las normas que se han denominado de autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, establecen una serie de reglas especiales para la prestación del “consentimiento informado” por representación en caso de minoría de edad. Dichas normas, vaya por delante, poco tienen que ver con la normativa de protección de datos de carácter persona. Así, en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (en lo sucesivo LAP) (art. 3.9.c); en la Ley 6/2002, de 15 de abril, de Salud de Aragón (art. 14.1.c); en la Ley Foral Navarra 11/2002, de 6 de mayo, de derechos del paciente a las voluntades anticipadas, a la información y a la documentación clínica (art. 8.2.b); en la Ley del Parlamento de Galicia 3/2001, de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes (art. 6.1.c), y en la Ley de la Asamblea de Extremadura 3/2005, de 8 de julio, sobre información sanitaria y autonomía del paciente (art. 25.1.c), se establece que habrá de otorgarse el “consentimiento informado” por representación, en el caso de que el menor no sea capaz ni intelectual ni emocionalmente de comprender el alcance de una intervención, distinguiendo estos supuestos1: • Si el menor no tiene cumplidos los doce años, el “consentimiento informado” se practicará ante los padres, tutores o representantes legales. • Si el menor tiene cumplidos los doce años, el “consentimiento informado” se realizará ante los padres, tutores o representantes legales que, antes de manifestarse sobre el consentimiento, escucharán la opinión del menor. • Si se trata de menores emancipados o mayores de dieciséis años, que no estuviesen incapaces o incapacitados, no cabe la prestación del “consentimiento informado” por representación. En estos casos, cuando la intervención conlleve grave riesgo, según el criterio facultativo, el padre y la madre serán informados y su opinión será tenida en cuenta para la toma de la decisión correspondiente. Lo anterior sirve de ejemplo para ratificar lo ya señalado, en el sentido de que no se deben identificar conceptos que, aunque son semánticamente análogos (consentimiento expreso, inequívoco, específico e informado, propio de la LOPD, y consentimiento informado, regulado en la LAP y demás normativa autonómica), tienen sin embargo un contenido jurídico absolutamente dispar. Se trata, eso sí, de dos consentimientos exigibles legalmente y compatibles entre sí; pero, mientras que el primero se refiere, en general, a la habilitación necesaria para el tratamiento o la cesión de los datos de salud de la persona interesada, salvo que exista habilitación legal que exonere de recabar dicho consentimiento, el segundo persigue obtener la conformidad libre, voluntaria y consciente del paciente después de que el profesional sanitario le haya informado adecuadamente sobre las alternativas y posibilidades de curación de una patología o enfermedad concreta. Sin perjuicio de lo señalado con anterioridad, la legislación aplicable establece determinados casos en los que es preciso que la persona interesada cuente con mayoría de edad. Se refieren, por ejemplo, a los supuestos de práctica de ensayos clínicos y de técnicas de reproducción humana asistida2, y de obtención de órganos procedentes de un donante vivo para su ulterior injerto o implantación en otra persona18, casos en los cuales se estará a lo dispuesto con carácter general por la legislación civil sobre mayoría de edad, así como a lo establecido en la normativa específica en esas materias3.

65

referencias del anexo IV 1-En otras normas autonómicas, sin embargo, se prevén otras soluciones jurídicas para la prestación del “consentimiento informado” que se refieren solamente, en general, a la minoría de edad. Entre ellas, se pueden destacar los casos de la Comunidad Valenciana y de Cantabria. En la primera, se establece que, si el paciente es menor de edad, el derecho corresponde a sus padres o representantes legales, los cuales deberán acreditar de forma clara e inequívoca, en virtud de la correspondiente sentencia de incapacitación y constitución de la tutela, que están legalmente habilitados para tomar decisiones que afecten al menor o al incapacitado. Solamente cuando el menor estuviese emancipado, deberá dar personalmente su consentimiento (Ley 1/2003, de 28 de enero, de la Generalitat, de Derechos e Información al Paciente de la Comunidad Valenciana, art. 9.2). Por su parte, Cantabria dispone que si el paciente, en general, es menor de edad, el “consentimiento informado” será practicado por su representante, sin perjuicio de que el menor sea consultado cuando así lo aconseje su edad y grado de madurez, y siempre valorando las posibles consecuencias negativas de la información suministrada (Ley de Cantabria 7/2002, de 10 de diciembre, de Ordenación Sanitaria de Cantabria, arts. 31.1.c y 32). 2- Artículo 5.6 de la Ley 14/2006, de 26 mayo, sobre técnicas de reproducción humana asistida. 3- Artículo 4.a de la Ley 30/1979, de 27 octubre, sobre extracción y trasplante de órganos. Ley 6/2002, de 15 de abril, de Salud de Aragón (art. 14.1.c); LAP (art. 9.4); Ley de Las Cortes de Castilla y León 8/2003, de 8 de abril, sobre derechos y deberes de la personas en relación con la salud (art. 28.4); Ley del Parlamento de Galicia 3/2005, de 7 de marzo, de modificación de la Ley 3/2001, de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes (art. 6.2); Ley de la Asamblea de Extremadura 3/2005, de 8 julio, sobre información sanitaria y autonomía del paciente (art. 15.6). Por ejemplo, a tenor del artículo 5.3 de la Ley del Parlamento Andaluz 1/2007, de 16 de marzo, por el que se regula la investigación en reproducción celular con finalidad exclusivamente terapéutica, se exige, para donar óvulos y células somáticas, mayoría de edad y plena capacidad de obrar, salvo en el caso de los menores o incapacitados, en que se requerirá el consentimiento de sus representantes legales.

66

BIBLIOGRAFÍA Aparicio Salom J. Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal. Cizur Menor (Navarra): Aranzadi; 2002. Arroyo Yanes LM. El derecho de autodeterminación informativa frente a las Administraciones Públicas (comentario a la STC 254/93, de 20 de julio) Administración de Andalucía. Revista andaluza de Administración pública 1993; n.º 16: 119-140. Canales Gil A. La potestad sancionadora de la Agencia Española de Protección de Datos. Revista Jurídica General. Boletín del Ilustre Colegio de Abogados de Madrid 2007; n.º 36. Cervera Navas L. El modelo europeo de protección de datos de carácter personal. Cuadernos de Derecho Público 2003; nº 19-20: 131-143. Agencia Española de Protección de Datos (ed.): Código de protección de datos, Las Rozas (Madrid), La Ley-Actualidad, 2005. Domínguez Luelmo A. Derecho sanitario y responsabilidad médica (comentarios a la Ley 41/2002, de 14 de noviembre, sobre derechos del paciente, información y documentación clínica). Valladolid: Lex Nova; 2003. Drummond V. Internet, privacidad y datos personales. Madrid: Ed. Reus; 2004. García Amez J. Una mirada a la protección de datos de carácter personal. Actualidad Administrativa 2006; nº 18: 2188-2201. González Murúa AR. El derecho a la intimidad, el derecho a la autodeterminación informativa y la L. O. 5/1992, del tratamiento automatizado de datos personales. Barcelona: Institut de Ciències Polítiques i Socials; 1994. Guía del derecho fundamental a la protección de datos de carácter personal. Madrid: Agencia Española de Protección de Datos; 2005. [https://www.agpd.es/upload/FOLLETO.PDF]. Guichot E. Datos personales y Administración pública. Madrid: Thomson Civitas; 2005. Jiménez Rius P. Antecedentes legislativos de la nueva Ley Orgánica de Protección de Datos de Carácter Personal. Actualidad Administrativa 2001; n.º 26: 965-1003. Linde Paniagua E. Presupuestos constitucionales de la protección de datos personales”, en Francisco Sosa Wagner (coord.): El Derecho administrativo en el umbral del siglo XXI: homenaje al profesor Dr. D. Ramón Martín Mateo. Valencia, Tirant lo Blanch, 2000: 1053-1072. Lucas Murillo de la Cueva, P. La construcción del derecho a la autodeterminación informativa. Revista de Estudios Políticos 1999; nº. 104: 35-60. El derecho a la autodeterminación informativa: la protección de los datos personales frente al uso de la informática. Madrid: Tecnos; 1991.

67

Piñar Mañas JL. Reflexiones sobre el derecho fundamental a la protección de datos personales. Actualidad Jurídica Uría Menéndez 2005; nº 12. [http://www.uria.com/esp/actualidad_juridica/n12/TribunaAbierta.pdf] Piñar Mañas JL, Canales Gil A. Legislación de protección de datos. Madrid: Iustel; 2008. Cuadernos de Derecho Público, ejemplar monográfico dedicado a “Protección de datos”; n.º 19-20; 2003. Encuentro Iberoamericano de Protección de Datos (2.º, 2003, Antigua Guatemala): Protección de datos de carácter personal en Iberoamérica; director, José Luis Piñar Mañas; coordinadores, Álvaro Canales Gil y M.ª José Blanco Antón; Valencia, Tirant lo Blanch, 2005. Rebollo Delgado L. Derechos fundamentales y protección de datos. Madrid: Dykinson; 2004. Rodríguez-Villanueva J, Gómez-Piqueras C, García-Alonso F, Avendaño C, Alsar MªJ. Estudios farmacogenéticos: guía de evaluación para Comités Éticos de Investigación Clínica. Fundamentos científicos y marco legal (I). Medicina Clínica 2003; 120 (2): 63-67. Rodríguez-Villanueva J, Gómez-Piqueras C, García-Alonso F, Avendaño C, Alsar MªJ. Estudios farmacogenéticos: guía de evaluación para Comités Éticos de Investigación Clínica. Protocolo y hoja de información al paciente (II). Medicina Clínica 2003; 120 (3): 101-107. Roig i Batalla A. La protección de las bases de datos personales: análisis de la jurisprudencia del Tribunal Constitucional. Revista Jurídica de Catalunya 2002; 101 (2): 453-468. Ruiz Carrillo A. La protección de datos de carácter personal. Barcelona: Bosch; 2001. Ruiz Miguel C. El derecho a la protección de los datos personales en la Carta de Derechos Fundamentales de la Unión Europea: análisis crítico. Revista de Derecho Comunitario Europeo 2003; año 7 nº 13: 7-43. Sánchez Bravo AA. La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal: diez consideraciones en torno a su contenido Revista de Estudios Políticos 2001; n.º 111: 201-214. Valero Torrijos J., López Pellicer, JA. Algunas consideraciones sobre el derecho a la protección de los datos personales en la actividad administrativa. Revista Vasca de Administración Pública / HerriArduralaritzako Euskal Aldizkaria 2001; n.º 59: 255-288. Veleiro Reboredo B. Protección de datos de carácter personal y Sociedad de la Información. Madrid: Boletín Oficial del Estado; 2008.

68

GLOSARIO

69

AFECTADO/A O INTERESADO/A Persona física titular de los datos que sean objeto del tratamiento (art. 3.e LOPD).

CANCELACIÓN DE DATOS DE SALUD Procedimiento en virtud del cual el responsable del fichero o tratamiento cesa en el uso de los datos de salud de un paciente.

CARTELES INFORMATIVOS Sistema de cumplimentación del deber de información, que corresponde al responsable del fichero o tratamiento, a través de la exposición de tablones informativos en los que se recogen los extremos a que se refiere el principio de información. El contenido y el formato han de permitir que los pacientes puedan acceder con claridad a la información que se les facilita, quedando así garantizado que los mismos han podido tener perfecto conocimiento de la información exigible. En casos excepcionales, cuando la información al paciente resulte imposible o exija esfuerzos desproporcionados, en consideración al número de interesados o a la antigüedad de los datos, se podrá exonerar del citado deber siempre que así fuese apreciado por la Agencia Española de Protección de Datos o por el organismo autonómico equivalente, y que resultase adecuada la cláusula informativa que se divulgue a través de las correspondientes medidas compensatorias. Estas medidas suelen consistir en la publicación de la mencionada cláusula en algún periódico de divulgación nacional, autonómica o provincial en función del ámbito al que se refiera el proceso de la recogida de los datos.

CESIÓN DE DATOS DE SALUD (ver COMUNICACIÓN DE DATOS DE SALUD) Tratamiento de datos que supone su revelación a una persona distinta del interesado.

CIFRADO DE DATOS Sistema obligado de transmisión de datos de salud, a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, de modo que se garantice que la información no sea inteligible ni manipulada por terceros. Asimismo, se cifrarán los datos de salud que se contengan en los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

CLÁUSULA INFORMATIVA La prueba del cumplimiento del citado deber corresponde siempre al responsable del fichero o tratamiento. Como regla general, se habrá de practicar por el responsable del fichero o tratamiento en el momento previo a la recogida de los datos. Comprenderá información sobre los siguientes extremos: • Existencia de un fichero o tratamiento de datos de carácter personal relativos a su salud. • Finalidad de la recogida de los datos. • En su caso, sobre los destinatarios a los que se comunicarán los datos. • Del carácter obligatorio o facultativo de facilitar la recogida de datos, salvo que de la respuesta

70

a las preguntas se deduzca claramente la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. (No será necesaria esta información si su contenido se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban). • De la identidad y dirección del responsable del fichero o tratamiento o, en su caso, de su representante.

CLAVE DE AUTENTICACIÓN Procedimiento de comprobación de la identidad de un usuario con el fin de facilitar el control de acceso a cualquier parte componente de un sistema de información.

CLAVE DE IDENTIFICACIÓN Procedimiento de reconocimiento de la identidad de un usuario que constituye la primera fase de la verificación del control de acceso a cualquier parte componente de un sistema de información. La segunda fase del citado control se completa con la petición de la correspondiente contraseña que constituye la clave de autenticación del usuario.

COMUNICACIÓN DE DATOS DE SALUD A TERCEROS Tratamiento de datos de salud que supone su revelación a una persona distinta del interesado.

CONGRESOS Los profesionales sanitarios deberán contar con el consentimiento previo de los pacientes o de sus tutores o representantes legales siempre que traten sus datos de salud en los trabajos o comunicaciones que presenten a congresos científicos.

CONSENTIMIENTO Toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen (art. 3.h LOPD).

CONSENTIMIENTO “INFORMADO” El consentimiento expreso y, en su caso, escrito a que se refiere la siguiente voz, es distinto de la obligación, que compete a los profesionales sanitarios, de obtener el “consentimiento informado” del paciente, es decir, de informarle adecuadamente sobre las alternativas y posibilidades de curación de una concreta patología o enfermedad. Ambos consentimientos, sin embargo, pueden llegar a ser compatibles.

CONSENTIMIENTO PARA EL TRATAMIENTO DE LOS DATOS DE SALUD Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales de salud que le conciernen. Los datos de salud podrán ser tratados por los responsables de ficheros o tratamientos cuando cuenten con el consentimiento expreso y, en su caso, escrito de los pacientes, salvo que exista una norma legal o de derecho comunitario que posibilite el tratamiento sin necesidad de contar con dicho consentimiento. Las edades mínimas previstas en la normativa de protección de datos para el otorgamiento del consentimiento expreso y en la normativa de atención al paciente para la prestación del “consentimiento informado” por representación son distintas por lo que en ningún caso pueden confundirse.

71

CONTRASEÑA Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso.

CONTROL DE ACCESO Mecanismo por medio del cual una vez comprobadas las claves de identificación y de autenticación de un usuario a través de la correspondiente contraseña se permite acceder a datos de salud o a cualquier parte de un sistema de información.

DATOS DE CARÁCTER PERSONAL Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

DATOS DE SALUD Informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. Se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética, entre otros. Los datos de salud son datos de carácter personal especialmente protegidos porque, junto con los relativos a la ideología, afiliación sindical, religión, creencias, origen racial y vida sexual, afectan a la esfera más íntima de la persona.

DEBER DE SECRETO El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo (art. 10 LOPD).

DERECHO DE ACCESO Derecho del paciente a obtener información sobre si sus propios datos de salud (concretos, incluidos en un determinado fichero, o la totalidad de los mismos sometidos a tratamiento), están siendo objeto de tratamiento, la finalidad del mismo que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

DERECHO DE CANCELACIÓN Derecho del paciente a que se supriman los datos de salud que resulten ser inadecuados o excesivos, es decir, que hayan sido objeto de tratamiento de modo inadecuado, no pertinente y excesivo en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

DERECHO DE RECTIFICACIÓN Derecho del paciente a que se rectifiquen los datos de salud que resulten ser inexactos o incompletos, es decir, que no sean exactos y estén puestos al día de forma que respondan con veracidad a la situación actual del paciente.

DISOCIACIÓN Se habla de procedimiento de disociación cuando se efectúa un tratamiento de datos de salud que no permiten identificar al paciente. (“datos disociados”) Cuando el paciente consienta expresamente o cuando exista habilitación legal suficiente, podrán tratarse los datos de salud sin necesidad de proceder a su disociación.

72

EMERGENCIAS ASISTENCIALES En tal supuesto, el Legislador ha previsto que los datos de los pacientes puedan ser tratados sin necesidad de contar con su consentimiento. A tal fin, prevé que no será preciso contar con el previo consentimiento del interesado cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado en el supuesto de que el mismo esté físicamente incapacitado para prestarlo. Lo que ocurre es que, con posterioridad al momento que motiva la asistencia de emergencia, será necesario facilitar al paciente el principio de información, a cuyo fin deberá utilizarse el medio que mejor se adapte a la naturaleza de la asistencia facilitada.

ENCARGADO DEL TRATAMIENTO Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente, con otros, trate datos personales por cuenta ajena del responsable del tratamiento

ENCRIPTACIÓN DE DATOS (ver CIFRADO DE DATOS) FALLECIDOS Las personas fallecidas no tienen derecho a la protección de datos de salud, ya que este derecho fundamental se reserva para las personas físicas que sobrevivan y que se sean identificadas o identificables. No obstante, en la normativa de atención al paciente subsiste la obligación, dirigida al responsable de un fichero o tratamiento, de impedir el acceso a la historia clínica a las personas vinculadas por razones familiares o de hecho, si es que el fallecido lo hubiese prohibido expresamente y así consta acreditado.

FAMILIARES Desde el punto de vista de la legitimación para el ejercicio del derecho de acceso, los datos de salud incluidos en la historia clínica pertenecen al paciente. Por este motivo y, como regla general, será el único legitimado para poder acceder a dichos datos, bien por sí mismo o a través de representante, salvo que se trate de alguno de los supuestos que permiten, con la habilitación legal suficiente, que los datos sean tratados o cedidos sin necesidad de tener que contar con el previo consentimiento de su titular. En el indicado sentido, solamente podrá realizarse sin el previo consentimiento del paciente cuando se trate de menores de catorce años, en cuyo caso se podrá dar acceso a los padres, tutores o representantes legales, o cuando sean mayores de dicha edad pero se encuentren legalmente incapacitados. Se podrá proceder al tratamiento de los datos de salud de un paciente sin necesidad de contar con su consentimiento cuando sea necesario para salvaguardar el interés vital de otra persona, en cuyo caso el responsable del fichero o tratamiento velará porque se garantice el anonimato del propio paciente a través del establecimiento de un proceso de disociación de sus datos. En el caso, por ejemplo, de datos genéticos, solamente se podrá informar a los familiares biológicos del sujeto fuente, sin necesidad de contar con su consentimiento expreso, cuando la información de los resultados de un análisis genético sea necesaria para evitar un grave perjuicio para la salud de los mismos, y siempre que la comunicación se limite exclusivamente a los datos necesarios para estas finalidades.

FICHERO Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso (art. 3.b LOPD).

73

MEDIDAS DE SEGURIDAD APLICABLES A LOS DATOS DE SALUD En general, los datos de salud, salvo que se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los pacientes sean asociados o miembros o que se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad, han de ser protegidos a través de la implementación de medidas de seguridad de nivel alto.

MENORES La obtención del consentimiento expreso en materia de protección de datos, previa implementación de un procedimiento que garantice que se ha comprobado de modo efectivo la edad del menor, se efectuará de la siguiente manera: • Si el menor es mayor de catorce años, el responsable del fichero o del tratamiento podrá obtener su consentimiento, salvo en aquellos casos en los que la Ley exija la mayoría de edad y, por tanto, se exija para su prestación la asistencia de los titulares de la patria potestad. • Si es menor de catorce años, el responsable del fichero o del tratamiento deberá requerir el consentimiento de los padres, tutores o representantes legales. En este caso, deberá articularse un procedimiento que garantice que se ha comprobado de modo efectivo la autenticidad del consentimiento prestado por éstos.

PACIENTE Persona física titular de los datos de salud que sean objeto del tratamiento.

PERFIL DE USUARIO Accesos autorizados a cada uno de los grupos de usuarios recogidos en el documento de seguridad.

PERSONA IDENTIFICABLE Toda persona cuya identidad pueda identificarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.

PROCEDIMIENTO DE DISOCIACIÓN Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable (art. 3.f LOPD).

REGISTRO DE INCIDENCIAS En los ficheros automatizados y no automatizados que contengan datos de salud deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos y un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, el usuario que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

REGISTRO DE SALIDA DE SOPORTES CON DATOS DE SALUD La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

74

RESPONSABLE DE SEGURIDAD Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

RESPONSABLE DEL FICHERO O TRATAMIENTO Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. La figura del responsable del fichero o tratamiento no se define de modo apriorístico, sino que debe ser concretada por parte de la entidad pública o privada que crea un determinado fichero en función de quién será el que decida sobre el uso y la finalidad con la que se tratan los datos personales. De este modo podría por ejemplo ser el responsable el gerente de un centro sanitario, el responsable de un área sanitaria o la misma Consejería de Salud. En este sentido los profesionales sanitarios suelen ser meros usuarios de los recursos del sistema de información del responsable del fichero. Por ello, procederán a tratar a los pacientes de acuerdo con sus cometidos, identificándose con las claves de identificación y autenticación y respondiendo de la adecuación del tratamiento de datos que efectúen. En supuestos de pacientes compartidos, por ejemplo en períodos vacacionales, o de un nuevo reparto de pacientes entre profesionales sanitarios por la apertura de un nuevo cupo, el responsable del fichero o tratamiento procederá a establecer las claves de acceso que correspondan a cada profesional sanitario en función de la nueva situación generada.

SECRETO Los profesionales sanitarios tienen el deber de guardar secreto en relación a los datos de salud a los que accedan por razón de sus cometidos asistenciales. Dicho deber subsiste, incluso, cuando hayan cesado en su relación con los responsables de los ficheros o tratamientos o con la atención asistencial a los pacientes. Respecto al responsable de un fichero o tratamiento, esta obligación nunca decae ya que, si los datos han dejado de ser necesarios para la finalidad que motivó su recogida, su cancelación se ha de efectuar por algún medio que garantice que ningún tercero pueda acceder al contenido de los mismos. No se deben facilitar datos de carácter personal, y por supuesto con mucho mayor motivo datos especialmente protegidos, por teléfono, fax o correo electrónico que no incorpore un sistema encriptación.

TRANSFERENCIA DE DATOS El transporte de los datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o cualquier otro medio convencional.

TRANSFERENCIAS INTERNACIONALES DE DATOS Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

75

TRANSMISIÓN DE DATOS DE SALUD POR MEDIOS ELECTRÓNICOS Cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en un documento, es decir, en cualquier escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada. Cuando se trate de datos de salud la información ha de transmitirse cifrada de modo que se garantice que la información no sea inteligible ni manipulada por terceros.

TRANSPORTE DE DATOS DE SALUD EN SOPORTES PORTÁTILES El transporte de datos de salud en soportes portátiles fuera de las instalaciones que están bajo el control del responsable del fichero exigirá, al igual que para su distribución de cualquier otro soporte, que se realice el cifrado de los mismos o la utilización de otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

TRATAMIENTO DE DATOS DE SALUD Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos de salud que resulten de comunicaciones, consultas, interconexiones y transferencias.

TRATAMIENTO DE DATOS DE SALUD SIN NECESIDAD DE CONTAR CON EL CONSENTIMIENTO DEL PACIENTE Al ser el derecho a la protección de datos un derecho fundamental reconocido constitucionalmente, las excepciones a la regla general, de que será preciso contar con el consentimiento del paciente para la recogida, el tratamiento o la cesión de sus datos de salud, habrá de estar expresamente contemplada en una norma con rango de ley. En unos casos se tratará de supuestos incluidos en la normativa de protección de datos y en otros casos en la legislación sectorial sanitaria que la complementa. Por lo tanto, de acuerdo con lo señalado, los supuestos en los cuales el Legislador ha entendido que es posible tratar los datos de salud de los pacientes, sin necesidad de tener que contar con su previo consentimiento expreso, se refieren tanto al tratamiento como a la cesión de los datos de salud.

TRATAMIENTO DE DATOS EN ENSAYOS CLÍNICOS Para el tratamiento de los datos de salud de los pacientes en el entorno de ensayos clínicos será preciso contar previamente con el consentimiento expreso, inequívoco, específico e informado de los mismos. Los datos se tratarán en general de modo disociado, salvo en el caso de los ficheros de los que sean responsables los promotores y los investigadores o el equipo de investigación, ya que las funciones que se les encomiendan les han de permitir, en determinadas circunstancias, llegar a conocer la identidad de los sujetos sometidos al ensayo clínico.

TRATAMIENTO DE DATOS GENÉTICOS Ninguna persona podrá ser obligada a someterse a una prueba de carácter genético, por lo que, en general, solamente se podrán tratar sus datos genéticos en los términos en los que se haya expresado el paciente a la hora de prestar el consentimiento expreso, inequívoco, específico e informado. Como excepción a la citada regla general, solamente se podrá informar a los familiares biológicos

76

del sujeto fuente, sin necesidad de contar con su consentimiento expreso, cuando la información de los resultados de un análisis genético sea necesaria para evitar un grave perjuicio para la salud de los mismos, y siempre que la comunicación se limite exclusivamente a los datos necesarios para estas finalidades.

USUARIO DE UN FICHERO O TRATAMIENTO Posición que normalmente desempeñará el profesional sanitario en relación a los datos de salud de los pacientes que trata para el desarrollo de sus cometidos asistenciales. El control de acceso, que garantizará la trazabilidad, habrá de estar definido por medio de claves de identificación y autenticación en el correspondiente documento de seguridad. Los profesionales sanitarios deberán disponer de claves de identificación y de autenticación y se responsabilizarán de no cederla a nadie siendo, en consecuencia, los únicos responsables de su uso.

77

78

NORMATIVA EUROPEA EN MATERIA DE PROTECCIÓN DE DATOS

79

INTRODUCCIÓN En la UE, la normativa relacionada con la protección de datos es amplia. Recogemos en esta revisión la normativa relacionada con la protección de datos relativa a temas de salud y servicios sanitarios, junto con otras disposiciones de caracter general (comunicaciones electrónicas, comercio electrónico, firma electrónica,...) que entendemos pueden ser de interes. Por otra parte, la protección de datos personales en el Consejo de Europa es un objetivo político y jurídico de esta organización como una manifestación más del respeto a los derechos humanos y, en esta línea, ha elaborado una extensa normativa sobre el tema. Se resume en orden cronológico inverso, el Convenio 108, marco jurídico general sobre protección de datos en el Consejo de Europa, y las recomendaciones relacionadas específicamente con el ámbito sanitario emitidas posteriormente por esta organización. Asimismo se enumeran otra serie de recomendaciones de carácter general relacionadas con la protección de datos.

NORMATIVA DE LA UE Propuesta de directiva del Parlamento Europeo y el Consejo sobre la aplicación de los derechos de los pacientes en asistencia sanitaria transfronteriza. COM (2008) 414 final Garantiza el acceso de los/as pacientes a su historial médico con independencia del EEMM en el que reciban asistencia sanitaria, de conformidad con las medidas nacionales de aplicación de las disposiciones comunitarias sobre la protección de datos personales, en particular las Directivas 95/46/CE Recomendación de la Comisión Europea de 2 de julio de 2008 sobre la interoperabilidad transfronteriza de sistemas electrónicos de registros sanitarios Con objeto de alcanzar la interoperabilidad de la e-Health en Europa antes de 2015, propone una serie de guías y recomendaciones a los EEMM para asegurar un nivel mínimo de comunicabilidad y comunicación entre sus sistemas sanitarios. Su propósito es generar un medio para que los/as profesionales de la salud puedan tener acceso a los datos de salud de pacientes (historial clínico, tratamientos médicos, datos de emergencias, etc.), sometido éste al consentimiento de la persona interesada, a la vez que se garantiza un alto nivel de protección de los datos de salud. Además, subraya la aplicación de las Directivas 95/46/CE. Dictamen del Comité Económico y Social Europeo sobre “Los derechos del Paciente” (2008/C 10/18) Aborda que debe garantizarse mediante un marco jurídico correspondiente que la recogida de datos médicos no se efectúe para fines distintos a los inicialmente previstos (relacionados con la atención sanitaria) y señala que esta vigilancia es especialmente importante en el caso de los datos almacenados en soporte electrónico y en el envío de datos entre distintos países. Resolución del Parlamento Europeo, de 23 de mayo de 2007, sobre el impacto y las consecuencias de la exclusión de los servicios sanitarios de la Directiva relativa a los servicios del mercado interior (2006/2275(INI)) En relación con la TSE, pide que ésta incluya un conjunto normalizado de datos de los/as pacientes y considera que debe ser el propio titular quien determine qué datos sanitarios deben figurar en la tarjeta. Considera conveniente completar el sistema de la TSE con un sistema de intercambio internacional de datos sobre la situación del paciente en materia de seguro. Asimismo, pide a los

80

EEMM que velen por un elevado nivel de protección de datos para los/as pacientes en relación con la colaboración transfronteriza en los servicios sanitarios con el fin de garantizar la confidencialidad de los datos médicos sensibles. Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006 sobre la conservación de los datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE Armoniza las disposiciones de los EEMM relativas a las obligaciones de los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones en relación con la conservación de determinados datos generados o tratados por los mismos, para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal y como se define en la legislación de cada EEMM. Se aplica a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o al usuario registrado. Informe del Parlamento Europeo sobre la movilidad de los pacientes y los progresos de la asistencia sanitaria en la Unión Europea (2004/2148(INI)) En relación a la puesta en marcha de la Tarjeta Sanitaria Europea (TSE), observa que debe existir un alto nivel de protección de datos respetando las disposiciones existentes en la materia y pide a la CE: • Que considere si la TSE debe ser la base para promover un planteamiento común de identificadores de pacientes y desarrollar nuevas funciones como el almacenamiento de datos médicos de urgencia. • Que, para facilitar la movilidad de pacientes, elabore una propuesta sobre el registro en la TSE de datos médicos de los/as pacientes, además de datos relativos al seguro. Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones. La salud electrónica – hacia una mejor asistencia sanitaria para los ciudadanos europeos: Plan de acción a favor de un Espacio Europeo de la Salud Electrónica. COM(2004) 356 final de 30 de abril de 2004 Establece un plan de acción de salud electrónica, reconociendo que las tecnologías de la información y la comunicación, en especial Internet, pueden ayudar a mejorar el acceso a los servicios sanitarios, y la calidad y eficacia de los mismo. Subraya la necesidad de aplicar criterios de calidad a los sitios Internet relativos a la salud; reconoce el papel que podrían desempeñar la telemedicina y la tele psiquiatría para mejorar las opciones de los pacientes y reducir sus necesidades de movilidad. Reconoce la confidencialidad y la seguridad de los datos de salud como uno de los desafíos y subraya la necesidad de cumplir la Directiva 95/46/CE. Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (L201/37) Incluye disposiciones sobre seguridad de las redes y servicios, confidencialidad de las comunicaciones, acceso a la información almacenada en equipos terminales, tratamiento de los datos de tráfico y localización, identificación de la línea de origen, guías públicas de abonados y comunicaciones comerciales no solicitadas. Dispone que los EEMM deberán garantizar la confidencialidad de la comunicación mediante normas nacionales. Directiva 2002/20/CE del Parlamento Europeo y del Consejo de 7 de marzo de 2002 relativa a la autorización de redes y servicios de comunicaciones electrónicas (Directiva autorización) Proporciona un marco jurídico para garantizar la libertad de suministrar redes y servicios de comunicaciones electrónicas mediante la armonización y simplificación de las normas y condiciones

81

de autorización para facilitar su suministro en toda la Comunidad. Directiva 2002/21/CE del Parlamento Europeo y del Consejo de 7 de marzo de 2002 relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) Establece un marco armonizado para la regulación de los servicios de comunicaciones electrónicas, las redes de comunicaciones electrónicas y los recursos y servicios asociados. Fija misiones de las autoridades nacionales de reglamentación e instaura una serie de procedimientos para garantizar la aplicación armonizada del marco regulador en toda la Comunidad. Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo de 18 de diciembre de 2000 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y organismos comunitarios y a la libre circulación de esos datos Establece las disposiciones para el tratamiento de datos personales que, sin afectar a los derechos y obligaciones de los EEMM con arreglo a las Directivas 95/46/CE y 97/66/CE, han de respetar las instituciones y organismos comunitarios (tratamiento y transmisión entre instituciones comunitarias y no comunitarias). Asimismo, crea el Supervisor Europeo de Protección de Datos como autoridad de control independiente. Para el tratamiento de datos especiales, como los datos de salud, se requerirá en algunos casos una autorización por disposiciones comunitarias. Concretamente, de los datos de salud prohíbe específicamente el tratamiento con la excepción de los casos en los que exista un consentimiento explícito de la persona interesada, y los casos en los que el tratamiento de los mismos sea necesario para salvaguardar intereses personales cuando existe incapacidad para el consentimiento. También se permite el tratamiento de los datos de salud cuando es necesario para la prevención y el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médicos, o la gestión de servicios sanitarios, siempre que se realice por un/a profesional sujeto al deber de secreto. Directiva 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000 relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) Completa el marco jurídico que garantiza la libre circulación de los servicios de la sociedad de la información entre los EEMM, sin armonizar el campo de la legislación penal en sí y afirmando el respeto de los principios relativos a la protección de datos personales. Excluye la atención médica de la definición de “servicios de la sociedad de la información” por tratarse de una actividad que no puede realizarse a distancia ni por medios electrónicos. Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica Facilita el uso de la firma electrónica y contribuye a su reconocimiento jurídico mediante el establecimiento de un marco jurídico para esta herramienta y determinados servicios de certificación para garantizar el correcto funcionamiento del mercado interior. Establece los requisitos de los certificados reconocidos, de los proveedores de servicios de certificación que los expiden y de los dispositivos seguros de creación de firma electrónica. Asimismo, emite una serie de recomendaciones para la verificación de la firma y recuerda la obligatoriedad de los EEMM de cumplir la Directiva 96/46/CE. Considera que la firma electrónica se utilizará en el sector público en el marco de las administraciones nacionales y comunitarias, y en la comunicación entre dichas administraciones y entre éstas y la ciudadanía, incluidos los servicios sanitarios y la seguridad social.

82

Directiva 95/46/EC del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31) Armoniza las legislaciones nacionales de protección de datos para facilitar la libre circulación de los datos personales en la UE, al tiempo que se protegen los derechos fundamentales y las libertades de las personas físicas. Se aplica a cualquier operación de tratamiento de datos (recopilación, almacenamiento, transmisión, etc.) que incluya datos personales, ya sean procesados por medios automatizados o formen parte de sistemas de archivo. Quedan excluidos del ámbito de su aplicación la seguridad pública, la defensa o el Derecho penal. Contiene una prohibición general del tratamiento de datos de salud, con la excepción de los casos en los que el paciente haya dado su consentimiento explícito y en los que el tratamiento sea necesario para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria o la gestión de servicios sanitarios, siempre que sea realizado por profesionales sujetos al secreto profesional. Además, proporciona a los pacientes el derecho de acceso a sus datos de salud, incluyéndose el acceso a las historias clínicas, resultados de exámenes, diagnósticos, tratamientos e intervenciones.

NORMATIVA DEL CONSEJO DE EUROPA Protocolo adicional de Convenio 108, de 8 de noviembre de 2001, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y relativo a la transferencia de datos. Refuerza la puesta en marcha y la aplicación efectiva de los principios enunciados en el Convenio mediante el abordaje de cuestiones importantes sobre el nombramiento de las autoridades de control y el flujo internacional de datos personales. Recomendación R (97) 18 relativa a la protección de datos personales recogidos y tratados con fines estadísticos. Reemplaza a la recomendación 83 (10), en la medida en que ésta se aplica a la recogida y tratamiento automatizado de datos de carácter personal para fines estadísticos. Emite una serie de recomendaciones sobre los siguientes aspectos: condiciones generales que han de regir la recogida y el tratamiento de datos personales con fines estadísticos; las circunstancias en que es lícito dicho tratamiento; la información que han de obtener las personas implicadas en todas las fases; el consentimiento y el anonimato; la recogida primaria de datos; los datos de identificación; la comunicación y los modos de proceder en el flujo transfronterizo de los datos; la seguridad de los mismos; los códigos deontológicos y las autoridades de control. Recomendación R (97) 5 del Comité de Ministros a los Estados miembros relativa a la protección de datos médicos. Sustituye a la Recomendación R (81) sobre la regulación de bancos de datos médicos automatizados, ampliando y concretando de forma considerable lo dispuesto en ésta en cuanto a seguridad y confidencialidad de los datos, haciendo alusión también a los datos genéticos y a los datos médicos relativos a niños no nacidos. Recomendación R (91) 15 del Comité de Ministros a los Estados miembros sobre cooperación europea en materia de estudios epidemiológicos en el ámbito de la salud mental. Recomienda proseguir con la reflexión iniciada por los EEMM sobre protección de datos de carácter personal utilizados con fines de investigación, con miras a determinar si la particularidad de la

83

enfermedad mental precisa normas éticas y garantías adicionales en lo referente a consentimiento de personas y confidencialidad de los datos. Recomendación R (86) 1 del Comité de Ministros a los Estados miembros relativa a la protección de los datos de carácter personal utilizados con fines de seguridad social. Recomienda a los EEMM el respeto de la privacidad de los individuos en la recogida, almacenamiento, el uso, la transferencia y la conservación de datos personales utilizados con fines de seguridad social. Entiende por “fines de seguridad social” aquellas tareas que las instituciones de seguridad social realizan para gestionar prestaciones relacionadas con la maternidad, enfermedad, discapacidad, tercera edad, supervivientes de accidentes, enfermedades y accidentes laborales, indemnizaciones por fallecimiento, desempleo y prestaciones familiares. Recomendación R (83) 10 del Comité de Ministros a los Estados miembros relativa a la protección de los datos de carácter personal utilizados con fines de investigación científica y de estadísticas. Emite recomendaciones sobre el respeto a la privacidad, el consentimiento, el uso de los datos personales, la recopilación de muestras, el acceso de la persona afectada a sus datos, y la seguridad, publicación y conservación de los datos personales en el ámbito de la investigación y la estadística. Recomienda su aplicación tanto en el ámbito público como privado, con independencia de la forma de procesamiento de los datos (manual o automática). Recomendación R (81) 1 del Comité de Ministros a los Estados miembros relativa a la reglamentación aplicable a los bancos de datos médicos automatizados. Establece una serie de recomendaciones sobre las normas mínimas que han de cumplir los bancos de datos médicos automatizados en el contexto de la relación médico-paciente y a aquellos datos que figuran en la historia clínica. Se aplica a la asistencia sanitaria y otros ámbitos como la salud pública, la investigación médica y la gestión de servicios sanitarios. Asimismo, recomienda a los EEMM que tomen las medidas necesarias para su cumplimiento y conocimiento por parte de todos los servicios, autoridades e instituciones tanto públicas como privadas que operan con bancos de datos médicos, así como a promover la sensibilización de los profesionales médicos sobre la protección de datos. Convenio nº108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Trata de armonizar los valores fundamentales del respeto a la vida privada y de la libre circulación de la información entre los pueblos sobre la base de una serie de principios como la recogida de datos, la calidad y confidencialidad de los datos sensibles, la información de la persona implicada y los derechos de acceso y rectificación. Pretende compatibilizar en todo momento la protección del derecho a la intimidad personal con la liberalización de los flujos de datos entre Estados partes, y establece que la libre circulación de los datos de carácter personal entre los Estados signatarios sólo estará prohibida en dos supuestos: cuando la protección de estos datos no sea equivalente en la otra parte y cuando la transmisión de los mismos se realice a un tercer Estado que no sea parte del Convenio. La UE forma parte de este convenio desde 1991.

otras recomendaciones del Consejo de Europa en esta materia Recomendación R (02) 9, relativa a la protección de datos personales recogidos y tratados con fines relacionados con el seguro. Recomendación R (99) 5, sobre la protección de la intimidad en Internet.

84

Recomendación R (95) 11, relativa a la relación, tratamiento, presentación y archivo de las resoluciones judiciales en los sistemas de documentación jurídica automatizados. Recomendación R (95) 4, sobre la protección de los datos de carácter personal en el ámbito de telecomunicación, especialmente en lo que se refiere a los servicios telefónicos. Recomendación R (92) 1, sobre la utilización de los análisis de ácido desoxirribonucleico (ADN) dentro del marco del sistema de justicia penal. Recomendación R (91) 10, sobre la comunicación a terceras personas de datos de carácter personal en poder de organismos públicos. Recomendación R (90) 19, relativa a la protección de los datos de carácter personal utilizados con fines de pago y otras operaciones asimiladas. Recomendación R (89) 4, sobre la recogida de datos epidemiológicos relativos a la atención sanitaria de carácter primario. Recomendación R (89) 2, sobre la protección de los datos de carácter personal utilizados con fines de empleo. Recomendación R (87) 15, dirigida a regular la utilización de datos de carácter personal en el sector de la policía. Recomendación R (85) 20, relativa a la protección de los datos de carácter personal utilizados con fines de marketing directo. Recomendación R (84) 10, sobre el registro de antecedentes penales y la rehabilitación de los condenados. Recomendación R (83) 3, relativa a la protección de los usuarios de los servicios de información jurídica. Recomendación R (81) 20, relativa a la armonización de las legislaciones en materia de exigencia de un escrito y en materia de admisibilidad de las reproducciones de documentos y de registros informáticos. Recomendación R (81) 19, sobre el acceso a la información en poder de las autoridades públicas. Recomendación R (80) 13, relativa al intercambio de informaciones jurídicas en materia de protección de datos. Recomendación R (80) 3, relativa a la enseñanza, la investigación y la formación en materia de Informática y Derecho. Recomendación R (74) 29, relativa a la protección de la vida privada de las personas físicas respecto a los bancos de datos electrónicos en el sector público.

85

Si desea recibir ejemplares de uno o varios de los Cuadernos del OSE, puede solicitarlo a

Observatorio de Salud en Europa ESCUELA ANDALUZA DE SALUD PÚBLICA Campus Universitario de Cartuja Cuesta del Observatorio, 4 18080 Granada España Mª Ángeles Cantón, Secretaria Tel: 958 027 512 [email protected] www.easp.es

86