Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

La Confidencialidad de la Información Sanitaria, Instrumentos de

Anuncio 
La Confidencialidad de la Información Sanitaria, Instrumentos de
Protección y Garantía
Jesús Rubí Navarrete
Subdirector de la Agencia Nacional de Protección de Datos
El tema del tratamiento de los datos de salud es un tema
extraordinariamente complejo y abierto. Voy a tratar de plantear
cómo está conformada la regulación de los datos de salud en la Ley
de Protección de Datos, y también, hacer referencia a algunas
regulaciones sectoriales, que son muy importantes desde el punto
de vista de la protección de datos en esta materia. Al hilo de este
análisis de distintas normas, les pondré de manifiesto las
experiencias prácticas, los casos prácticos o los problemas que más
habitualmente nos hemos encontrado para el tratamiento de los
datos personales en las actividades de la Agencia. Intentaré,
también,
hacer una referencia a un elemento que también
considero muy importante, como es la posibilidad de utilizar
instrumentos de autorregulación: Códigos tipo, códigos éticos, o
códigos de conducta para complementar, facilitar y para
estandarizar los sistemas de protección. Hay ya algunos códigos de
conducta en instituciones sanitarias, notificados e inscritos en la
Agencia de Protección de Datos, y quiero hacer una referencia a
ellos, porque pueden ser un instrumento práctico, muy útil para
llegar a un sistema de garantías adecuado.
El primer problema que se plantea con los datos de salud es
que no hay, ni en la Ley de Protección de Datos, ni tampoco en la
normativa sectorial sanitaria, un concepto de qué son los datos de
salud, lo cual plantea un problema inicial, que es el saber a qué nos
estamos refiriendo. La delimitación, desde el punto de vista de la
protección de datos, de qué son datos de salud, ha sido abordada
recientemente en una resolución del Director de la Agencia de
Protección de Datos, del año 2003, en la cual, en el ámbito de un
procedimiento administrativo sancionador, se planteaba si los datos
relacionados con la minusvalía o con la discapacidad, en la gestión
de recursos humanos, se podían considerar o no datos de salud. Al
resolver ese procedimiento, el Director de la Agencia de Protección
de Datos ha venido a perfilar qué debe entenderse por datos de
salud.
En esta resolución, se parte de los criterios interpretativos del
art. 3.1 del Código Civil, del concepto de salud del Diccionario de la
Lengua, y partiendo de estas premisas se entronca con la
configuración de los datos de salud que hacen algunos convenios
internacionales, en particular el Convenio 108 del Consejo de
Europa. En la Memoria explicativa de este Convenio, en el apartado
45, se señala que los datos de salud son todas las informaciones
concernientes a la salud, pasada, presente y futura, física o mental,
de un individuo de buena salud, enfermo o fallecido y, añade, que
también tienen que considerarse datos de salud los abusos del
alcohol o del consumo de drogas.
Esta configuración de los datos de salud, que parte del
apartado 45 de la Memoria explicativa del Convenio 108 ha sido,
posteriormente, perfilada, por la recomendación R. 97.5, del Comité
de Ministros del Consejo de Europa, de 13 de febrero del año 97,
que trata de los datos médicos, señalando que son datos médicos
todos los datos de carácter personal, relativos a la salud de una
persona, así como los datos manifiesta y estrechamente
relacionados con la salud y las informaciones genéticas. Hace
referencia también, confirmando las previsiones del apartado 45 –al
que antes me he referido- a que los datos de salud se deben
considerar desde una perspectiva temporal, entendiendo que son
datos de salud, tanto cuando se refieren a, una pérdida
momentánea de la salud
como cuando tienen un carácter
permanente. Así la resolución, afirma que los datos de discapacidad
estarían incluidos dentro del concepto de datos de salud, de la Ley
Orgánica de Protección de Datos.
Como ha señalado el Moderador, los datos de salud, en la Ley
Orgánica de Protección de Datos, tienen una caracterización
especial, junto con otros, como los de ideología, afiliación sindical,
religión, creencias, origen racial, vida sexual o datos relativos a
infracciones administrativas y penales, de datos sensibles o datos
especialmente protegidos. El sistema de protección de estos datos
especialmente protegidos, en el caso concreto de los datos de
salud, se basa en la exigencia de un consentimiento reforzado para
el tratamiento de esos datos.
La Ley de Protección de Datos y la Sentencia del Tribunal
Constitucional, 292/2000, de 30 de noviembre, que ha venido a
perfilar el contenido de derecho fundamental a la protección de
datos, parten de un principio básico: los datos hay que recabarlos y
tratarlos con el consentimiento de los afectados. En el caso de los
datos de salud, ese consentimiento no puede ser un consentimiento
tácito, sino que tiene que ser un consentimiento expreso. La Ley no
señala, a diferencia de lo que sucede con otros datos
especialmente protegidos, como la ideología o las creencias
religiosas, que ese consentimiento expreso sea además escrito.
Pero la experiencia práctica de la Agencia ha acreditado, que
aunque la Ley no prevea que el consentimiento expreso para tratar
de salud tenga que ser escrito, en la práctica viene a ser
imprescindible que sea así.
Porque los problemas de prueba que se plantean para poder
acreditar que el consentimiento para el tratamiento de los datos de
salud y para qué finalidades se pueden tratar esos datos presentan
grandes dificultades.
Hay muchas veces en las que sucede que una persona está
yendo a una institución sanitaria o a un médico, a un profesional de
la sanidad, y se somete voluntariamente a esos reconocimientos.
Es evidente que hay un consentimiento para el tratamiento de esos
datos. Esto, que parece evidente, desde el punto de vista de la
perspectiva de la Ley de Protección de datos sería insuficiente,
porque la Ley obliga a que se consienta, no sólo a que se traten los
datos, sino para qué se van a tratar, y si no hay una información
sobre para qué se van a tratar o a quién se van a ceder, en su caso,
o quién va a poder acceder a esos datos, o quién es el responsable
del tratamiento de esos datos, no se cumple con el sistema de
garantías de la Ley, y el mero hecho de acudir a una consulta,
aunque sea de una manera reiterada, no pone de manifiesto que la
persona consienta expresamente sobre todo ese abanico de
tratamientos. Por tanto, en la práctica es prudente obtenerlo por
escrito.
No obstante, esta regla de consentimiento expreso tiene
también exenciones. Es posible tratar datos de salud cuando existe
una habilitación legal para realizar ese tratamiento sin el
consentimiento de los afectados, lo cual en el caso de los datos de
salud, no es infrecuente.
La Sentencia del Tribunal Constitucional, 292/2000, ha
establecido, de una manera muy nítida, el límite de las
habilitaciones para el tratamiento de datos de salud. Esta Sentencia
del Tribunal Constitucional señala que cabe la posibilidad de limitar
un derecho fundamental en atención a otros derechos o bienes
constitucionalmente protegidos, pero esas limitaciones tienen que
contemplarse en una norma con rango formal de ley. No es posible,
un desapoderamiento de las atribuciones del legislador para
establecer esas limitaciones; por tanto, no son admisibles
limitaciones que estén basadas exclusivamente en normas de rango
inferior. Las normas reglamentarias podrán matizar o concretar esa
limitación prevista en la ley, pero si no existe una norma con rango
de ley formal no es posible el tratamiento de los datos sin el
consentimiento del afectado.
¿Cómo debe interpretarse esta exigencia o esta habilitación
legal para poder tratar datos de salud sin consentimiento?. No es
necesario, que las leyes incluyan un inciso específico en el que se
establezca que para el tratamiento de estos datos no será necesario
el consentimiento del afectado, Es necesario que haya una norma
con rango formal de ley que tenga un grado de concreción
suficiente sobre a qué se refiere esa limitación establecida
legalmente. Por ejemplo: si existe una habilitación para que los
datos de salud puedan ser tratados por la inspección sanitaria o
puedan ser tratados a efectos epidemiológicos, existe un grado de
concreción suficiente. Se sabe lo qué es la inspección sanitaria, o
qué son los tratamientos epidemiológicos, de forma que al habilitar
el tratamiento para esos fines no es necesario que se añadan
cláusulas específicas previendo que se hará sin el consentimiento
del afectado.
Hay algunas normas, como las tributarias en las que se
establece expresamente, el tratamiento de datos se realizará sin el
consentimiento del afectado. En el caso del tratamiento de datos de
salud no es así, entre otras cosas, porque existe una normativa
sectorial sanitaria que es anterior a la Ley Orgánica de Protección
de Datos, y sería absurdo exigir a que se introdujera una
modificación exclusivamente para permitir expresamente el
tratamiento. Basta con que haya una regulación legal y que tenga
un grado de concreción suficiente.
En el tratamiento de los datos de salud –como les decía al
principio- hay un aspecto muy importante, que consiste en que no
sólo hay que atender a las previsiones de la Ley Orgánica de
Protección de Datos, sino también a conjunto de la normativa
sectorial, que es extraordinariamente amplia. Y hay que atender a
esa normativa, precisamente porque puede contener habilitaciones
legales para el tratamiento, de datos de salud, con determinadas
finalidades. Sin ánimo de ser exhaustivo, citaría a título
ejemplificativo, la Ley 14/1996, General de Sanidad, la Ley 25/1990,
del Medicamento, la Ley 41/2002, de Autonomía del Paciente y de
Acceso a la Documentación Clínica; otras regulaciones sectoriales,
como la Ley 31/1995, de Prevención de Riesgos Laborales, la Ley
30/1995, de Ordenación y Supervisión del Seguro Privado, la Ley
de Contratos de Seguro, la Ley General de Seguridad Social, y la
normativa autonómica, que es bastante extensa en la regulación de
tratamiento de datos de salud.
La propia Ley Orgánica de Protección de Datos contiene
algunas previsiones adicionales y algunas habilitaciones para el
tratamiento de datos de salud, que están recogidas
fundamentalmente en los arts. 7.6/48 de la Ley. En el art.8 recoge
una previsión de que el tratamiento de los datos de aquellas
personas que acudan a instituciones sanitarias se podrán realizar,
de conformidad con la normativa general o autonómica que regule
esa materia. El art.7.6 de la Ley Orgánica de Protección de Datos,
por el contrario, es un artículo polémico, porque establece una
excepción, que si se interpreta expansivamente podría dar lugar a
unas habilitaciones generales muy amplias en el tratamiento de
datos de salud. El art.7.6 de la Ley, establece que podrán ser objeto
de tratamiento los datos, de salud, cuando dicho tratamiento resulta
necesario para la prevención o para el diagnóstico médico, la
prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, siempre que dicho tratamiento de
datos se realice por un profesional sanitario sujeto al secreto
profesional o por otra persona, sujeta, asimismo, a una obligación
equivalente de secreto.
El criterio que se ha mantenido en las resoluciones de la
Agencia, es que este artículo tiene un elemento interpretativo
importante, al exigir que el tratamiento tenga que ser necesario para
una finalidad relacionada con la salud.. Por tanto, habrá que realizar
un análisis exhaustivo de hasta qué punto el tratamiento que se
está realizando es necesario o no para esa finalidad. Además, es
necesario también, como señala el precepto, que en ese
tratamiento intervenga un profesional sanitario o un tercero con una
obligación equivalente de secreto, al secreto profesional de los
profesionales sanitarios.
La Audiencia Nacional en una Sentencia, de 26 de septiembre
del año 2002, ha señalado algún criterio interpretativo relevante,
respecto del art.7.6, de la Ley de Protección de Datos. El caso se
refería a que a una empresa especializada a la que se le encargaba
el tratamiento de datos de salud de los empleados para el control
del absentismo laboral. Era un encargo que tenía una naturaleza
más ambigua, al incluir el velar o promover la salud de los
empleados y controlar el absentismo laboral. En las inspecciones
que se realizaron se apreció que el tratamiento
iba
fundamentalmente dirigido al control del absentismo laboral. Se
declaró una infracción de la Ley de Protección de Datos, se impuso
una sanción a la empresa, que recurrió a los tribunales, y la
Audiencia Nacional en su Sentencia viene a señalar que el
legislador, en el caso de los datos de salud, ha reforzado las
garantías y las exigencias de consentimiento, dado que exige un
consentimiento expreso. Por tanto, cualquier excepción, como es,
por ejemplo, la del art.7.6 de la Ley tiene que ser objeto de una
interpretación restrictiva; es una limitación, respecto de un
consentimiento reforzado, por lo que debe interpretarse de una
manera restrictiva. Por ello la Sentencia concluye que, aunque se
ha realizado un tratamiento de datos de salud, y aunque ese
tratamiento lo han realizado profesionales sanitarios sometidos al
deber de secreto profesional, en la medida en que esos datos no se
han tratado para los fines que habilita este precepto, que es el de
velar por la protección de la salud, sino que se han utilizado para
una finalidad distinta, como es para controlar el absentismo laboral,
no puede ampararse en las previsiones del art. 7.6 de la Ley
Orgánica de Protección de Datos.
En este mismo sentido cabe citar, aunque no referida a la Ley
Orgánica de Protección sino a la resolución de un recurso de
amparo, una Sentencia del Tribunal Constitucional, la Sentencia
292/1999, de 8 de noviembre, que coincide o sostiene también esta
misma tesis.
Entrando, en el análisis de la legislación sectorial, una de las
normas más importantes en este momento es la regulación de la
Ley 41/2002, de 14 de noviembre, de Autonomía del Paciente y
Derechos y Obligaciones en materia de Información y
Documentación Clínica. Esta norma, que tiene su origen en una
iniciativa parlamentaria, suscrita por todos los grupos
parlamentarios en el Senado, ha venido a establecer, con cierta
nitidez, cómo debe ser el tratamiento de los datos de la historia
clínica. La Ley empieza recogiendo los principios básicos en esta
materia. De ellos me interesa recalcar fundamentalmente dos. El
art. 2.5, en el que se impone al paciente y a los usuarios la
obligación de facilitar datos sobre su estado físico o su salud, de
forma leal y verdadera, y de colaborar en la obtención de esos
datos. Estamos, por tanto, en presencia de un supuesto en el que
hay una obligación legal específica, que se impone a los pacientes y
a los usuarios de servicios de salud, de facilitar esta información.
No cabe la negativa a facilitar esa información o a no colaborar en
su obtención. También creo que es importante el art. 2.7, de la
norma, en el que se reitera, de una manera pedagógica o específica
en la regulación de este sector, que las personas que elaboren o
tengan acceso a la información y documentación clínica tienen el
deber de guardar secreto sobre esa información.
La parte que a mi juicio es más relevante, desde el punto de
vista de la protección de datos en esta norma, es la regulación de la
historia clínica. La Ley define qué es la historia clínica y exige que la
historia clínica se archive, garantizando su seguridad y la posibilidad
de recuperar la información. En esta regulación hay un aspecto
particularmente importante, referido al contenido de la historia
clínica y a la finalidad de la historia clínica. Según esta Ley, la
historia clínica debe recoger la información necesaria para el
conocimiento veraz y actualizado del estado de salud.
Estas previsiones sobre la historia clínica se deben completar
con las recogidas en la Ley General de Sanidad, en particular en el
art. 61, sobre el nivel de integración de la historia clínica. También
señala que la finalidad principal de la historia clínica es la de facilitar
la asistencia sanitaria.
La delimitación de la finalidad, desde el punto de vista de la
protección de datos, es un elemento capital. La delimitación legal de
la finalidad, en este caso facilitar la asistencia sanitaria, es el punto
de referencia que permitirá analizar en todo momento si los accesos
y los usos que se está haciendo de esa información son correctos o
incorrectos, y si se está produciendo, una vulneración de principio
básico de finalidad, recogido en el art. 4 de la Ley Orgánica de
Protección de Datos. La Ley también regula la cumplimentación de
la historia clínica, que es responsabilidad de los profesionales que
intervengan.
Al hacer referencia en esta norma a los usos de la historia
clínica se vuelve a reiterar, que la finalidad de la historia clínica es
la de garantizar una adecuada asistencia al paciente, y a partir de
este criterio se establece una regulación, que viene a delimitar
quiénes pueden acceder a la historia clínica, el paciente o terceros
distintos del paciente, y en qué condiciones se pueden producir
esos accesos.
En primer lugar, se permite el acceso a la historia clínica a los
profesionales que realizan el diagnóstico o el tratamiento del
paciente. Es decir, en una institución sanitaria y respecto de los
datos de salud de una determinada persona, no es posible que
cualquier profesional sanitario, que preste sus servicios en esa
institución, pueda acceder a la historia clínica del paciente. Hay un
elemento delimitador de la habilitación para ese acceso, que
consiste en que ese profesional sanitario tenga que realizar un
diagnóstico o tenga que intervenir en el tratamiento del paciente. El
concepto de tratamiento, tiene un nivel de amplitud relativamente
amplio, pero nada en materia de protección de datos es tan elástico
que permita cualquier acceso a la información.
Nos hemos encontrado casos concretos en los cuales, dentro
de una institución sanitaria, se han producido accesos por parte de
terceras personas que prestaban sus servicios en ella, pero que no
estaban habilitados por la finalidad de realizar el diagnóstico o
intervenir en el tratamiento, y que han dado lugar, a las
correspondientes declaraciones de infracción. Ha llegado a haber
casos, de personas que prestan sus servicios en una institución,
que tienen una relación familiar o de amistad con una tercera
persona y que, como prestan sus servicios en esa institución,
solicitan información clínica de un tercero, por ejemplo, el cónyuge o
la cónyuge de esa persona, para facilitar esa información, a fin de
que en un proceso de separación, de divorcio, o de inhabilitación,
pueda ser utilizada. Este tipo de conductas están prohibidas por la
normativa de protección de datos.
La Ley permite también, en cuanto al acceso por terceros, que
esa información se pueda utilizar con fines judiciales. La propia Ley
Orgánica de Protección de Datos contiene una mención expresa, de
que cualquier dato que solicite un órgano jurisdiccional se debe de
comunicar Así mismo permite el tratamiento con fines
epidemiológicos, de salud pública y de investigación o docencia.
En este ámbito debe tenerse en cuenta una matización de la
habilitación para tratamiento de los datos, no tanto con fines
judiciales, sino epidemiológicos, de salud pública, de investigación y
docencia. Desde el punto de vista de la normativa de protección de
datos no es posible interpretar estos conceptos al libre albedrío de
cada uno. Aquí, igual que sucede con el tratamiento de los datos
con fines estadísticos, hay que acudir a las normas interpretativas
de la regulación sectorial: son fines epidemiológicos los que la
normativa sanitaria considere como tales, no los que cada cual
considere como tratamiento epidemiológico, por poner un ejemplo.
También puede acceder, según esta regulación, el personal
de administración y gestión. Pero la Ley aclara, que sólo podrán
acceder en los relacionados con sus funciones. Es decir, el personal
de administración y gestión que, lógicamente, tiene que acceder a
este tipo de datos, no tiene por qué tener un acceso completo y
exhaustivo a toda la información clínica, sino sólo a aquellos datos
que tengan relación con sus funciones.
Asimismo está habilitado el personal de inspección, de
evaluación, acreditación y planificación, en cumplimiento de las
funciones de comprobación de la calidad de la asistencia que tienen
encomendadas. Son conceptos con escaso nivel de concreción.
Pero en la experiencia práctica de las inspecciones, sí es posible,
con un grado de certeza razonable, acreditar aquellos supuestos en
los que en los accesos realizados para comprobar la calidad de la
asistencia sanitaria, se han excedido de una manera clara de la
habilitación legal. Hay fronteras dudosas, y, lógicamente, habrá que
atender los criterios, las buenas prácticas y los códigos de los
profesionales. Pero, también es cierto que hay determinados
supuestos, que permiten apreciar que se está al margen de lo que
son estas habilitaciones legales. En todos estos casos de acceso
realizado por terceros se reitera la obligación de guardar secreto.
Hay un segundo acceso, que es el que puede realizar el
propio paciente o su representante. La Ley reconoce al paciente el
derecho de acceso a la documentación y a obtener copia de los
documentos que integran la historia clínica. Estamos asistiendo, en
la experiencia de la Agencia de Protección de Datos, a un número
cada vez más frecuente de ejercicio de uno de los derechos
previsto en la Ley, como es el derecho de acceso a documentación
clínica.
El hecho de que haya un número creciente de reclamaciones
pone de manifiesto que los responsables de las instituciones
sanitarias quizá no tienen un conocimiento o una conciencia
suficiente de esta obligación o de este derecho del paciente, que es
una manifestación concreta del derecho de acceso, regulado en la
Ley de Protección de Datos, y no se facilita la información, o la
información, no se facilita completa.
También hay casos en los cuales los propios pacientes tienen
pretensiones que van más allá de lo que habilita la Ley. Por
ejemplo, el de una persona, que además quiere ejercitar el derecho
de cancelación y que desaparezca por tanto la información clínica.
En este segundo aspecto no es posible estimar su derecho porque
hay unas obligaciones legales de conservación de la información.
La Ley de Protección de Datos y sus normas de desarrollo, en
particular el Real Decreto 1.332/1994 cuando se ejerce el derecho
de acceso, atribuyen más garantías al titular de los datos que al
responsable del tratamiento de esos datos. Y, por eso, la norma
establece que el que ejerce el derecho es el que puede optar por
cuál es el procedimiento para el acceso a la información:
visualizarlo en pantalla, exigir una copia, u otros supuestos que
están en ese reglamento. La regla general es que la forma de
acceder a la información depende más o es más un derecho del
afectado que un derecho del responsable y, por tanto, el
responsable no puede imponer al afectado una determinada
modalidad, salvo que desde el punto de vista técnico la única
solución técnica posible sea la que ofrezca la institución sanitaria.
Este acceso por parte del paciente tiene, no obstante, límites, no
siendo posible acceder cuando puede haber un perjuicio a la
confidencialidad de datos terapéuticos de terceros.
Y hay otro límite importante, que se ha explicitado en la Ley,
consistente en que acceso a la historia clínica es un acceso a la
información objetiva, no a las valoraciones subjetivas de los
profesionales sanitarios.
Finalmente, la Ley regula también el acceso a los datos de los
fallecidos. Desde el punto de vista de la protección de datos hay
resoluciones que señalan que es que el derecho a la protección de
datos es un derecho que se extingue por la muerte, porque la
muerte extingue la personalidad. Por el contrario, esta Ley
establece una regulación específica, que permite acceder a las
personas vinculadas por razones familiares o de hecho, salvo
condición expresa que haya manifestado el fallecido. El acceso
tiene que estar motivado por un riesgo de salud y limitado a los
datos pertinentes para obtener información sobre ese riesgo de
salud. Tiene los mismo límites antes citados sobre las anotaciones
subjetivas de los profesionales sobre los datos que puedan
perjudicar a la intimidad de terceros.
Estos son a mi juicio, los aspectos que más relevantes de la
Ley 41/2002, relacionados con la historia clínica y sus conexiones
con los principios de protección de datos. Hay un ultimo aspecto,
que querría comentar, relativo a la conservación o la custodia de la
documentación clínica.
En esta materia hemos apreciado, porque ha habido
bastantes reclamaciones, la intervención, cada vez más frecuente,
de empresas especializadas en el tratamiento documental, que son
las que en definitiva vienen a prestar este servicio a las instituciones
sanitarias; es decir, son servicios que se externalizan a terceros. La
Ley de Protección de Datos, a estos efectos, distingue entre dos
figuras: una, la que llama el responsable del fichero o del
tratamiento, que es el que decide sobre el destino, el uso, la
finalidad de los datos, y otra denominada encargado del
tratamiento, que es aquel que presta un servicio al responsable y
que supone o implica el acceso a información de terceras personas.
Ley, en su art.12, aunque desde el punto de vista material
exista un acceso a la información de terceros, establece una ficción
jurídica, de forma que con determinadas garantías, cuando se
produce ese acceso por parte del que presta el servicio, no hay una
cesión de datos, ni comunicación de datos. Hay cobertura jurídica
para ese acceso. No obstante, la Ley establece un sistema de
garantías para tratar de conseguir que el acceso a la información
cuando se presta un servicio tenga el mismo sistema de protección
como si el tratamiento de la información lo estuviera realizando el
propio responsable.
En primer lugar, el objeto de la prestación. El objeto de la
prestación es básico, porque –como les decía antes- conecta
directamente con el principio de finalidad en materia de protección
de datos, y sólo podrán realizarse aquellos tratamientos que
respondan a una finalidad adecuada para el objeto de esa
prestación. Tiene que incorporarse, además, la advertencia expresa
al que presta el servicio de que sólo podrá tratar los datos para esa
finalidad y no para finalidades distintas; tiene que advertirse,
también, que el que presta el servicio no podrá ceder los datos a
terceros; y que cuando termine la prestación del servicio, que puede
ser en principio indefinida, deberá destruir la información o
devolverla al responsable del fichero. Finalmente tiene que
incorporarse la exigencia, de que el que presta el servicio debe
cumplir las mismas medidas de seguridad que fueran exigibles al
responsable del fichero, es decir, en el caso de datos de salud, las
medidas de seguridad de nivel básico, medio y alto, establecidas en
el Reglamento de Medidas de Seguridad –que luego comentaré.
En el caso de las empresas especializadas en el tratamiento
de información clínica la regla general en todas las denuncias que
hemos conocido es que están adecuadamente documentadas estas
relaciones a través de un contrato.
Ha habido un caso, en el cual hubo un problema, desde el
punto de vista de la protección de datos: fue un caso, en el cual una
empresa especializada en el tratamiento de esta documentación
clínica, ofreció, verbalmente, sin ninguna constancia, a alguien
responsable en la institución sanitaria, el hacer unas pruebas de
digitalización de esa información clínica, por si posteriormente el
hospital podía tener interés en que se realizara un proceso
exhaustivo y completo de digitalización de esa información. Eso es
perfectamente posible, siempre que se modifique el contrato o se
amplíe el servicio que se va a prestar; pero no cabe utilizar a su
disposición para realizar pruebas, al margen del contrato que esté
firmado, ya que supone salir de amparo del art.12 de la Ley e
incurrir en un ilícito en materia de protección de datos.
En lo que se refiere a otras regulaciones sectoriales, que han
dado lugar a un número significativo de problemas de aplicación de
la Ley de Protección de Datos, voy a circunscribirme a tres bloques,
de una manera sintética: el control del absentismo laboral, el
tratamiento de datos en el ámbito de la Ley de Prevención de
Riesgos Laborales, y algunos tratamientos de datos de salud por
parte de entidades aseguradoras.
En lo que se refiere al absentismo laboral, el Estatuto de los
Trabajadores habilita para que el empresario pueda realizar un
control del absentismo laboral. Pero esa habilitación al empresario
no significa, en modo alguno, que pueda acceder a datos del
diagnóstico. El empresario tiene otros instrumentos como la
posibilidad de limitar o incluso de suspender el pago de
prestaciones económicas cuando las personas voluntariamente no
se prestan a la realización de las pruebas a los reconocimientos que
son necesarios para poder controlar el absentismo. Como tiene
instrumentos alternativos no es posible entender que porque haya
una habilitación para controlar el absentismo esa habilitación
suponga que pueda acceder a los datos de salud. En este ámbito
también es frecuente que intervengan empresas especializadas, lo
cual es posible siempre que se cumplan las previsiones de la Ley
Orgánica de Protección de Datos; es decir, que haya una prestación
de servicios, conforme con el art.12, y que el tratamiento de los
datos y la comunicación de los datos sea consentida por los
trabajadores. En estos casos, el empresario facilita los datos
identificativos, datos de alta y de baja del trabajador ni siquiera si la
causa es enfermedad común, accidente laboral o maternidad. Las
empresas, a través de profesionales habilitados, pueden hacer esos
reconocimientos, pero la utilización de los datos, con esta finalidad,
tiene que contar con el consentimiento de los afectados. Si no es
así pues se produce una infracción de la Ley de Protección de
Datos.
El tratamiento de los datos en la Ley 31/1995, de Prevención
de Riesgos Laborales es un tratamiento que está muy nítidamente
regulado. El tratamiento de los datos, en el ámbito de la legislación
de riesgos laborales, tiene una primera finalidad, que es velar por la
salud de los trabajadores. Es una regulación que exige respeto a la
intimidad personal y familiar, impone que los datos no puedan
utilizarse con fines discriminatorios en perjuicio del trabajador y,
además, el acceso a la información está limitado al personal
sanitario y a las autoridades sanitarias. Hay algunos supuestos
excepcionales, en los que por razones de interés público se
exceptúa este consentimiento, como es la posibilidad de que el
empresario o las organizaciones sindicales accedan en aquellos
casos en los que puede haber un indicio de un problema de salud
colectivo, sin el consentimiento del trabajador. Sólo puede acceder
el personal sanitario, y por tanto, esta información no puede ser
accesible a los servicios o a los departamentos de gestión de
recursos humanos. Y es prudente, que cuando se remite esta
información, si estos servicios se prestan externalizadamente, que
la misma vaya directamente del que está prestando el servicio, en
su caso, a los profesionales sanitarios de la entidad, sin que esos
documentos, aunque vayan en sobre cerrado pasen por el
departamento de recursos humanos, porque en la mayor parte de
los casos en los que hemos detectado algún problema es porque
voluntaria o involuntariamente, se abre y se accede a esa
documentación.
Hay una situación también frecuente, en la cual las empresas
confunden las habilitaciones legales. Esta confusión de finalidades,
ha dado lugar a declaraciones de infracción, porque desde el punto
de vista de la empresa se entiende, que como existen varias
habilitaciones unas veces la información se usa para una finalidad y
otras veces para otra distinta, cuando las habilitaciones legales son
absolutamente nítidas y diferenciadas.
En el caso de la actividad aseguradora, una resolución muy
reciente, de 11 de agosto del año 2003, ha abordado uno de los
supuestos más delicados del tratamiento de datos de salud, en el
ámbito de la actividad aseguradora como es el tratamiento de datos
de salud en los seguros de responsabilidad civil que presentan unas
características particulares. En el caso de los seguros de
responsabilidad civil, si se produce un siniestro, hay una víctima,
que es un tercero, que no tiene ni ha tenido antes ninguna relación
contractual, ni con el asegurado o el tomador del seguro, ni
tampoco con la entidad aseguradora y, la entidad aseguradora tiene
necesariamente que hacerse cargo no sólo de las indemnizaciones,
sino también de la asistencia sanitaria. En, el caso de que esas
víctimas hayan sido tratadas inicialmente, por ejemplo, en un
servicio público de salud, las entidades gestoras de ese servicio
tienen, conforme a la Ley General de Seguridad Social y conforme a
la Ley General de Sanidad, la obligación de obtener el reintegro de
esos costes, que son ingresos de esa institución. En estos
supuestos, se plantea el problema de, hasta qué punto se pueden
tratar los datos de la víctima o puede conocer los datos de la
víctima la entidad aseguradora, con o sin consentimiento de esa
persona.
En el caso, que comento había intervenido un perito de la
compañía aseguradora que suministro cierta información a la
aseguradora para un pago, por lo menos inicial, de las
indemnizaciones, y para asumir el coste de la asistencia sanitaria.
La denuncia consistía, por parte de la víctima, en la cesión de datos
sin consentimiento.
En esa resolución del Director de la Agencia, se afirma que el
tratamiento de los datos de salud, en los seguros de
responsabilidad civil, en particular, en este caso en el seguro de
responsabilidad civil de vehículos automóviles, que tiene una
regulación específica, se entiende que el tratamiento de datos de
salud está habilitado legalmente sin el consentimiento del afectado.
Y se llega a esta conclusión. – muy sintéticamente - por las
siguientes razones: en primer lugar, porque la Ley de Contrato de
Seguro impone a las compañías aseguradoras la obligación legal de
abonar una cierta indemnización, una indemnización inicial, en un
determinado plazo, para lo que la propia Ley exige que sea acorde
o conforme con la información relacionada con el siniestro o con las
secuelas que pueda tener la víctima.
Por otra parte, la Ley de Ordenación y Supervisión del Seguro
Privado, contempla el régimen financiero de las entidades
aseguradoras, y les obliga a tener unas previsiones técnicas de
todos aquellos siniestros a los que tienen que atender, en particular
la provisión de prestaciones. Para poder calcular la provisión de
prestaciones es imprescindible tener información sobre qué es lo
que debe proveerse, porque en caso contrario la provisión no
responderá a los requisitos de la Ley. Además, la Ley impone a la
entidad aseguradora la obligación, no sólo de provisionar
técnicamente los siniestros, sino de disponer de toda la información
necesaria para que pueda conocerse por parte de la Inspección de
seguros, si están provisionados correcta o incorrectamente esos
siniestros. Por tanto, hay una obligación legal de indemnizar en un
determinado plazo, y hay unas obligaciones legales de constituir
provisiones técnicas y de tener información que las justifique a
disposición de los inspectores de seguros, pudiendo incurrir en una
infracción, en materia de seguros. El cumplimiento de todas esas
obligaciones exige que la entidad aseguradora tenga que disponer
de esa información, si bien, esta habilitación legal -vuelvo a insistirdebe ser conforme a la finalidad que la habilita. Por tanto, el resto
de los principios de la Ley: (la información previa, las medidas de
seguridad, la calidad de datos, el que los datos sean adecuados,
pertinentes y no excesivos, etc.), deben cumplirse aunque exista
aquella habilitación legal.
Otro tema que presenta algunas peculiaridades, es el
relacionado con los ensayos clínicos. En el caso de los ensayos
clínicos se pone de manifiesto una situación muy frecuente en
materia de protección de datos y muy particularmente, en el
tratamiento de datos de salud, como es la concurrencia de una
norma como la Ley Orgánica de Protección de Datos, con
normativas sectoriales, que, a veces no tienen una sistemática
adecuada o, producen situaciones, en la que el obligado por la
norma conoce la normativa sectorial pero ignora la normativa de
protección de datos, que un caso paradigmático es el de los
ensayos clínicos. Los ensayos clínicos tienen una regulación
detallada en el Título III de la Ley 25/1990, del Medicamento, y
tienen además un desarrollo reglamentario específico en el Real
Decreto 561/1993 que establece los requisitos para la realización de
ensayos clínicos. El Real Decreto 561/1993 ha sido derogado por
el Real Decreto 223/2004 de 6 de febrero, por el que regulan los
ensayos clínicos con medicamentos.
En lo que se refiere a los ensayos clínicos, me querría referir a
dos cuestiones: la primera relativa a los sujetos intervinientes en el
ensayo clínico. Esta normativa contempla que pueden coexistir la
figura del promotor, del monitor y del investigador. Desde el punto
de vista de la protección de datos las relaciones de unos y otros se
configuraran habitualmente de una forma independiente de forma
que el investigador sea responsable de determinados tratamientos y
el promotor sea responsable de otros tratamientos, en cuyo caso
tienen que existir cláusulas informativas y de consentimiento
suficientes que permitan esa comunicación de la información.
El segundo aspecto al que me quería referir, en relación con
los ensayos clínicos, es al tema del consentimiento que obliga a
interpretar sistemáticamente una y otra norma. El Real Decreto
incorpora un modelo oficial de prestación del consentimiento; pero
es un modelo oficial que está contemplado desde el punto de vista
exclusivamente sanitario. Es un modelo oficial que trata de que la
persona que se va a someter al ensayo clínico sea consciente de
los riesgos que puede asumir para su salud; sea consciente a la
vista de esos riesgos, si presta o no su consentimiento, y le advierte
expresamente de la posibilidad de revocar ese consentimiento,
respecto del futuro aunque no sobre la información que haya sido
tratada anteriormente.
Sin embargo, ese modelo de consentimiento no cumple con
previsiones que son exigibles desde el punto de vista de la Ley de
Protección de Datos. Porque, cuando se realizan ensayos clínicos
lo más habitual en la generalidad de los casos, es que se produzcan
cesiones de datos, ya que normalmente, los promotores de este
tipo de ensayos son los laboratorios farmacéuticos, que promueven,
incluso a nivel mundial, este tipo de ensayos. La información o el
consentimiento, respecto de esa cesión de datos, no está incluida
en el modelo oficial.. Además, es frecuente, que se puedan producir
transferencias internacionales de datos, a países de la Unión
Europea, que tienen un sistema de protección equivalente y con
cuyas autoridades de control podemos colaborar, o también a
terceros países que no tienen un nivel de protección equivalente, en
cuyo caso las transferencias internacionales deben sujetarse a un
régimen de garantías para poder ser lícitas.
Por tanto, en esta materia, no basta con cumplimentar el
modelo oficial, incorporado al Reglamento, sino que hay que incluir
cláusulas adicionales, que, habiliten el tratamiento de los datos.
Existen también en la propia Ley accesos habilitados como son los
del Comité Ético, la inspección sanitaria o el de la Dirección General
de Farmacia, si se producen acontecimientos adversos; o la
comunicación y la realización de transferencias internacionales a
organizaciones de ámbito europeo pueden estar habilitadas
normativamente en esta legislación específica, o en convenios
internacionales incorporados a nuestro Derecho interno, que
posibiliten este flujo de información.
Por último
quiero hacer referencia al tema de la
autorregulación. La Ley de Protección de Datos, en su artículo 32
contempla expresamente la posibilidad de autorregulación, a través
de códigos tipo. Los códigos tipo son códigos de conducta, de
deontología profesional, que pueden utilizarse para aplicar o
garantizar la normativa de protección de datos. Los códigos de
conducta, pueden notificarse e inscribirse en el Registro General de
Protección de Datos. Estos códigos tipo deberían que tener lo que
podemos denominar, “valor añadido”, ¿En qué puede consistir el
valor añadido?. El valor añadido puede consistir, bien en establecer
un sistema de garantías, más allá de lo exigible legalmente (y hay
algunos códigos tipo que responden a esa tipología), o bien adaptar
la normativa de protección de datos a las peculiaridades específicas
de un sector, de forma que el código tipo cumple una función
pedagógica que facilita el cumplimiento de la Ley.
Hay algunos sectores, en los cuales esa función pedagógica
es muy importante: uno de ellos, es el tratamiento de datos en el
sector sanitario. Hay, algún código tipo ya inscritos, por parte de
instituciones sanitarias de Cataluña exista ya.
El código tipo debería que empezar partiendo del análisis de
los puntos críticos que tiene un sector en el tratamiento de datos
personales. Por ejemplo, en el ámbito sanitario hay que hacer una
reflexión sobre cuál es el primer punto crítico específico del
tratamiento de las cosas en ese sector. Así cuando un paciente
llega al servicio admisión, se le puede ofrecer información sobre
aspectos muy variados para que decida la que puede suministrarse
el hecho de que está efectivamente ingresado en esa institución o
que no lo está, el que se pueda facilitar información sobre si está
ingresado, pero no en qué servicio está ingresado, porque eso
puede permitir obtener información adicional. Es decir, hay que ir
haciendo un repaso de todos los tratamientos de datos que se
producen en ese sector, analizar los puntos que son críticos, y tratar
de buscar soluciones específicas, adaptadas a esa situación, en las
previsiones de la Ley.
Los códigos tipo, además, tienen que ofrecer soluciones al
particular porque el último destinatario del código tipo es el
ciudadano. Al responsable del fichero le son de utilidad porque
permite estandarizar su conducta, pero el último destinatario es el
afectado. Por tanto, tiene que tener una terminología comprensible;
no es necesario que un código tipo reproduzca sistemáticamente
conceptos o términos legales. Si incluye términos legales debe
añadir ejemplos para que la persona sepa a qué se está
comprometiendo cuando entra en el entorno de instituciones que
están adheridas a un código tipo. Además, el código tipo tiene que
tener mecanismos internos de control y mecanismos reparadores.
Estos mecanismos reparadores en los códigos tipo para los casos
en que se produzca un incumplimiento del código, muchas veces
tienen una naturaleza, no económica, como, por ejemplo, la
amonestación, o el comprometerse a hacer público los
incumplimientos que se han producido.
Aunque no tengan ese valor económico, son previsiones muy
importantes. Porque, por ejemplo, si una institución sanitaria, se
adhiere a un código tipo, que normalmente va acompañado de un
sello de calidad que acredite que se cumplen con rigor las
previsiones de la Ley Orgánica de Protección de Datos, y en un
momento determinado, se aprecia un incumplimiento, estando está
previsto que se puede hacer público ese cumplimiento, la imagen
de esa institución sanitaria puede sufrir un deterioro tan importante,
que quizás tenga consecuencias más graves que la del mero
hecho de imponer una multa. Por eso, en este tipo de códigos,
normalmente “las sanciones” internas que se prevén, suelen ser
de esta naturaleza.
Documentos relacionados
derechos y compromisos de los pacientes
derechos y compromisos de los pacientes
Declaración de consentimiento Por la presente, estoy conforme con
Declaración de consentimiento Por la presente, estoy conforme con
Enmienda 2015
Enmienda 2015
Codex Iuris Canonici, 1057
Codex Iuris Canonici, 1057
Estadística Comité de Bioética 2015
Estadística Comité de Bioética 2015
seguro de automóvil. su vigencia queda demostrada si la
seguro de automóvil. su vigencia queda demostrada si la
REVOCATION OF PARENTAL CONSENT FOR PLACEMENT
REVOCATION OF PARENTAL CONSENT FOR PLACEMENT
Articulo 1.262 del Código Civil
Articulo 1.262 del Código Civil
VICIOS DE CONSENTIMIENTO. El error, el dolo, la intimidación o la
VICIOS DE CONSENTIMIENTO. El error, el dolo, la intimidación o la
Descargar
Anuncio
Anuncio