Talía Besga Basterra, Abogada especialista en Nuevas Tecnologías. Despacho Garmendia Abogados.
¿Cuál es el planteamiento y la problemática actual en torno a la protección de datos personales en el sector sanitario?
La Ley Orgánica de Protección de Datos de Carácter Personal (en adelante LOPD), regula la protección de los datos de carácter personal y el posterior tratamiento que pueda hacerse de los mismos. Ésta ley define el concepto de dato de carácter personal como cualquier información concerniente a una persona física identificada o identificable. Está claro que los datos sanitarios son datos de carácter personal y por lo tanto el tratamiento de los mismos queda bajo el ámbito de protección de la LOPD.
La referencia a este tipo de datos aparece en la LOPD en el artículo 7, tratamiento de datos de carácter personal especialmente protegidos, y en el artículo 8 pero no aparece en la Ley la definición exacta de los mismos. Es la Recomendación de 13 de Febrero de 1997, del Comité de Ministros del Consejo sobre Protección de Datos Médicos, la que da una definición general de «dato médico» definiéndolo como todo dato personal relativo a la salud de un individuo.
No sólo la LOPD regula el tratamiento de datos sanitarios, la Ley 14/1986 General de Sanidad establece en su artículo 10.3 el derecho del ciudadano a la confidencialidad de sus datos y en el artículo 23 recoge la potestad de la Administración sanitaria para crear registros. Estos registros deberán adoptar las medidas técnicas y organizativas que establece el Real Decreto 994/1999 antes del 26 de junio de este mismo año (Resolución de 22 de junio de 2001 en virtud de la cual se amplia el plazo para adaptar los ficheros de nivel alto a la normativa).
Definido el concepto de dato sanitario como dato relativo a la salud del interesado (paciente/persona física titular de los datos) es necesario tener en cuenta que este tipo de datos sólo pueden ser recabados cuando expresamente lo determine una ley o el afectado lo consienta de manera expresa (artículo 7 LOPD). Sin embargo las instituciones y los centros sanitarios públicos y privados podrán proceder al tratamiento de este tipo de datos sujetándose siempre a la legislación estatal o autonómica sanitaria específica.
En cuanto a la legislación autonómica existente relativa a los datos sanitarios destaca la Ley del Parlamento Catalán de 21 de diciembre de 2000, sobre los «derechos de información concerniente a la salud y a la autonomía del paciente y a la documentación clínica» y la Ley de la Comunidad Autónoma de Galicia 3/2001, de 28 de mayo, «reguladora del consentimiento informado y de la historia clínica de los pacientes». Ambas recogen el derecho del paciente a conocer toda la información sobre su salud, a que esta información sea verídica y comprensible y el derecho de toda persona a que se respete la confidencialidad de los datos referentes a su salud.
Las historias clínicas, como conjunto de documentos relativos a la evolución médica del paciente, son el objeto principal sobre el cual versa la legislación relativa a la protección de datos sanitarios. Los historiales clínicos incluyen datos identificativos del paciente, datos de identificación del centro sanitario, datos clínicos, diagnósticos y consentimiento escrito del paciente. Centros sanitarios y hospitales, clínicas privadas y laboratorios son los que tratan este tipo de datos y en consecuencia los que deben garantizar al paciente los derechos que la LOPD otorga al interesado/paciente. Un campo que no escapa al cumplimiento con la normativa es el de la docencia. Es habitual que el médico utilice como material didáctico fotos e historiales clínicos de sus pacientes. En este caso también se debe contar con el consentimiento del paciente ya que cabe la posibilidad de que el paciente dé al médico sus datos para que éste los utilice únicamente para fines médicos y no para emplearlos con fines de investigación o para la docencia. Además de los centros médicos las empresas que guarden en sus ficheros datos de salud de sus trabajadores (datos provenientes de altas o bajas médicas, datos derivados de chequeos médicos) deberán también cumplir con la LOPD.
En el momento de la recogida de los datos el médico debe cumplir con determinadas formalidades informando de forma expresa, precisa e inequívoca al paciente de:
– La existencia de un fichero, de la finalidad de la recogida de los datos y de los destinatarios de la información, ya que en ningún caso sería posible la recogida de datos con fines exclusivamente médicos si, por ejemplo, con posterioridad esos datos van a emplearse para hacer publicidad sobre la inauguración de una nueva clínica médica.
– La identidad y dirección del responsable del fichero.
– Del carácter obligatorio o facultativo de las respuestas a las preguntas.
– Y de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Es decir, el paciente tiene derecho a acceder a la historia clínica y a obtener una copia de los datos de la misma.
Tiene también un derecho de rectificación y cancelación en el caso de que el paciente desee que sus datos sean rectificados o cancelados.
La LOPD reconoce en su artículo 4 el principio de calidad de los datos, lo que supone que los datos recogidos deben ser:
– Adecuados, pertinentes y no excesivos en relación al ámbito y al fin. Esto se traduce en la total inadecuación de datos relativos a afinidades literarias en una historia clínica.
– Los datos deben recabarse de forma lícita informando al interesado sobre la finalidad de la recogida.
– Además deben ser exactos y actualizados y serán cancelados cuando dejen de ser necesarios. En este punto existe a mi entender una laguna legal ya que según la» Proposición de Ley sobre derechos de información concernientes a la salud y a la autonomía del paciente y a la documentación clínica» los datos de un paciente deben conservarse durante un tiempo mínimo de 20 años después de su muerte existiendo la posibilidad de seleccionar y destruir documentos no relevantes para la asistencia, transcurridos 10 años desde la última atención al paciente. La problemática que se plantea es ¿qué plazo legal prima en caso de que exista una regulación autonómica diferente a la estatal? Considero que determinados datos como bien determina esta proposición, por ejemplo, registro de partos u hojas de consentimiento informado, deben guardarse pero quizá otro tipo de datos deban permanecer en un fichero siempre y cuando no se permita la identificación del paciente.
La cesión o comunicación de datos está prevista en la LOPD en su artículo 11. La Ley prevé la cesión de datos de carácter personal relativos a la salud, cuando ésta sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar estudios epistemológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. Fuera de estos casos cualquier cesión de datos de salud deberá contar con el consentimiento expreso del interesado.
En este punto conviene resaltar la importancia de los servicios de outsourcing, es decir, la posibilidad de que personas ajenas a un hospital, clínica o centro de salud puedan tener acceso a las bases de datos. Es un caso habitual si pensamos en empresas dedicadas a gestión de la información o aquellas que velan por la seguridad de los sistemas. En este caso el responsable del fichero deberá tener en cuenta el artículo 12 de la LOPD (acceso a datos por cuenta de terceros) y cumplir determinados requisitos como:
– Recoger en un contrato escrito la regulación del tratamiento de datos por cuenta del tercero.
– Establecer que el encargado del tratamiento (empresa que lleva a cabo los servicios de outsourcing) únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los utilizará con fines diferentes a los determinados en el contrato, ni los comunicará a otras personas.
– Debe quedar claro que el encargado del tratamiento debe cumplir con las mismas medidas de seguridad con que cumpla el responsable del fichero. En el caso de ficheros que contengan datos de salud, ya que el responsable del fichero debe contar con las medidas de nivel alto, el encargado del tratamiento deberá adoptar esas mismas medidas.
– Una vez cumplido el contrato, el encargado del tratamiento deberá destruir los datos o devolverlos al responsable del fichero así como los soportes o documentos en que conste algún dato. Si el encargado del tratamiento utilizara los datos con finalidades distintas a las contempladas en el contrato, será considerado responsable del dichero debiendo hacer frente a las infracciones que de ello se derivan.
Cualquier fichero que contenga datos de salud debe cumplir con las medidas de seguridad de nivel alto (artículo 20 y ss del Real Decreto 994/1999), es decir, además de cumplir las medidas de seguridad de los niveles básico y medio (documento de seguridad, registro de incidencias, identificación/autenticación, controles de acceso, copias de respaldo y recuperación, responsable de seguridad, controles de acceso físico) debe contar con un registro de accesos, es decir no todo el personal debe tener acceso a todo el fichero, debe contar con un cifrado de telecomunicaciones y realizar auditorias como mínimo bianuales.
La Agencia de Protección de Datos, órgano cuya función principal es velar por el cumplimiento de la normativa sobre protección de datos, impuso durante el pasado año multas por importe de 2.000 millones de pesetas a responsables de ficheros de titularidad privada. Está claro que en esta cifra no se incluyen infracciones cometidas por responsables de ficheros con datos de salud, ya que el plazo para cumplir con los requisitos normativos termina en junio de este año, pero esta cifra indica la total necesidad de cumplimiento con la normativa en materia de protección de datos por parte de todos aquellos que dispongan de datos de salud garantizando siempre una custodia activa y diligente del historial clínico.
La poca concienciación que existe entorno a este tema, la consideración de la «seguridad como un asunto no prioritario» y la necesidad de conocimientos técnicos y jurídicos hacen que no siempre se cumpla con la legalidad vigente. Estos aspectos son los que deben tenerse en cuenta para el correcto cumplimiento con la normativa existente sobre datos de salud.
Disculpa, debes iniciar sesión para escribir un comentario.