Fecha última actualización: 07 de Diciembre de 2004

PROBLEMÁTICA ACTUAL EN TORNO A LA PROTECCIÓN DE DATOS PERSONALES EN EL SECTOR SANITARIO

La introducción de las nuevas tecnologías de la información en el campo de la sanidad ha generado numerosos problemas e interrogantes en la sociedad actual.

¿Se considera dato de salud el resultado de "apto" o "no apto" de un trabajador cuando se somete al reconocimiento médico anual de la empresa?

¿Una simple receta médica con el nombre de un medicamento es un dato de salud, aunque no se refleje la enfermedad concreta?

¿Las medidas de una persona como la talla del pie, o por ejemplo el color de los ojos son considerados datos de salud?

Dar respuesta a estas y otras muchas preguntas continúa siendo un reto para los juristas, que como en nuestra empresa nos dedicamos a adaptar la normativa vigente de protección de datos de carácter personal a hospitales y centros sanitarios.

La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) define el concepto de "dato de carácter personal" como cualquier información concerniente a una persona física identificada o identificable.

Sin embargo, esta norma aunque se refiere expresamente a los datos de salud considerándolos datos especialmente protegidos y limita su posibilidad de recopilación (artículos 7 y 8 del citado cuerpo normativo) no nos facilita una definición exacta de los mismos.

Por ello, el análisis del concepto de dato de salud se debe realizar atendiendo al artículo 1 de la Recomendación número 5, de 13 de febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados miembros sobre Protección de Datos Médicos, en el que se recogen una serie de definiciones entre las cuales figura el dato médico, entendiendo por tal "aquel dato relativo a la salud de un individuo comprendiendo igualmente los que tengan una clara y estrecha relación con la salud y los datos genéticos."

Otra cuestión que en el pasado fue causa de numerosos interrogantes, es la delimitación de la figura del Responsable del fichero en el ámbito sanitario. En su día se dieron argumentos muy dispares e incluso encontrados acerca de si quien debía decidir sobre la finalidad, uso y tratamiento de los datos era el médico, o por otro lado el Hospital o Centro sanitario, o incluso el mismo paciente. Afortunadamente, en la actualidad, la ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derecho y obligaciones en materia de información y documentación clínica resuelve esta cuestión, así, de su artículo 17.4 se desprende que la gestión y custodia del historial estarán bajo la responsabilidad del centro sanitario correspondiente o, según el artículo 17.5, de los profesionales que, en su caso, desarrollen su actividad de manera individual. Además, el artículo 18.1 de la ley encomienda a los centros sanitarios la adopción de las reglas que regulen el ejercicio por el paciente de su derecho de acceso, de lo que sin duda, se desprende que serán aquellos quienes ostenten la condición de Responsable del tratamiento.

El hecho de que comiencen a darse pasos significativos con la promulgación de nuevas leyes no implica necesariamente que todos los conflictos queden resueltos. Es más, no debemos obviar que el exceso de textos legales puede convertirse en un arma de doble filo para el sistema; ¿en qué sentido? en la medida en la que la diversidad de leyes que tratan los mismos aspectos y la falta de un solo texto que unifique y concilie éstos, pueda suscitar en ocasiones una ambigüedad para nada recomendable.

Un verdadero conflicto de intereses lo encontramos en la regla general del artículo 14 referente al derecho de acceso a los titulares de los datos.

En el ámbito sanitario cuando hablamos del derecho de acceso a los datos personales nos estamos refiriendo a un tipo de información peculiar como es la información clínica, donde la regla general es que la asistencia sanitaria prestada a un ciudadano sea la única razón que justifica el acceso a la misma. Cualquier otra razón de acceso a la información debe responder a un interés legítimo susceptible de protección y estar convenientemente motivada.

Las dificultades de compaginar el derecho a la intimidad de los afectados respecto a la información relativa a su salud con otros intereses generales como los estudios epidemiológicos, las situaciones de riesgo grave para la salud de la colectividad, la investigación y los ensayos clínicos es una realidad hoy en día.

Al hilo de lo comentado, un campo que no escapa al cumplimiento con la normativa es el de la docencia. Es habitual que el médico utilice como material didáctico fotos e historiales clínicos de sus pacientes. En este caso también se debe contar con el consentimiento del paciente ya que cabe la posibilidad de que éste dé al médico sus datos para que los utilice únicamente para fines médicos y no para emplearlos con fines de investigación o para la docencia.

Otra colisión de derechos que se produce en el ámbito sanitario es el derecho de cancelación reconocido por la LOPD al titular de los datos frente a la obligatoriedad de conservar las historias clínicas en virtud de la Ley 41/2002 Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica.

Así mientras que la LOPD atribuye al interesado la posibilidad de ejercitar el derecho de cancelación sobre sus datos, la Ley de Autonomía del Paciente dispone en cuanto a la conservación de la documentación clínica que los centros sanitarios tienen la obligación de conservar la documentación clínica para la debida asistencia al paciente durante el tiempo adecuado en cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.

Pero no podemos caer en el error de acotar "la vida del dato" de salud y limitarlo al contexto hospital-paciente. De hecho, necesariamente como consecuencia de esta relación muchas entidades tratan esos datos especialmente sensibles. Por ejemplo, se establecen relaciones entre los centros sanitarios y algunas empresas suministradoras de prótesis, oxigenoterapia, analítica, etc., a las que el centro sanitario debe facilitar los datos concretos de los pacientes a las que esos productos o servicios van dirigidos.

Otro ámbito en el que es frecuente que circulen datos relativos a la salud de los pacientes es el administrativo, entendiendo como tal, las actividades instrumentales o de apoyo a la atención médica.

El número de potenciales cesionarios de los datos se dispara: pagos de prestaciones a los tendrán que hacer frente aseguradoras privadas y para cuya tramitación se exigirá una puntual justificación del tratamiento médico recibido por el asegurado, relaciones con empresas de valoración de daños, etc.

Esta multiplicidad de usos requiere, dependiendo del caso concreto al que nos encontremos, una regulación como acceso, cesión y/o transferencia internacional de datos con las medidas que a cada caso corresponda. Aunque si bien es cierto, conceptuar y encajar esta relación dentro de las figuras anteriormente expuestas no está exento de problemas.

Como conclusión subrayar que la Ley Orgánica de Protección de Datos es una norma considerada insuficiente para el sector sanitario que intenta abarcar todos los sectores pero no alcanza a profundizar en cada uno de ellos. Y los comentarios de las Memorias de la Agencia Española de Protección de Datos no son suficientes para solucionar o por lo menos solventar en parte los conflictos con los que nos encontramos en la actualidad.

Sin más pretensiones, esta ha sido una aproximación, un esbozo a grandes rasgos de algunos de los numerosos problemas que se originan hoy en día en el panorama sanitario español.

 

Llanos Manzanareses Galeán

---