IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Artículos y Textos Legales >
  2. Artículos >
  3. Los datos Farmacéuticos y Médicos

Artículos - Protección de Datos de Carácter Personal

Los datos Farmacéuticos y Médicos

Ana Marzo Portera

1. INTRODUCCIÓN

Los datos médicos y farmacéuticos, dado que en mi larga trayectoria profesional asesorando acerca del cumplimiento de la Ley de Protección de Datos -la anterior LORTAD- tanto médicos como farmacéuticos han sido uno de los colectivos más escépticos acerca de la necesidad, desde sus actividades profesionales, del cumplimiento de esta Norma.

Y es que, todavía no existe en nuestra comunidad una concienciación por parte de los sectores médico y farmacéutico de la necesidad de cumplir la Legislación en materia de protección de datos en el ámbito de sus actividades, y ello es motivado a que tradicionalmente estos sectores, fundamentalmente el médico, han venido siendo los portadores de la obligación de guardar el llamado sigilo profesional. Desde este punto de vista, en la actualidad, casi la mayoría de los profesionales de estos sectores actúan al margen del cumplimiento de la Legislación vigente en materia de protección de datos puesto que en su opinión, las obligaciones que impone la Ley y sus normas complementarias quedan salvaguardadas con el cumplimiento de su propio deber de secreto profesional. En este sentido no hay más que observar cuántos de los médicos que nos asisten en sus consultas, nos informan del tratamiento de nuestros datos en un ordenador, o cuántas de las farmacias en las que habitualmente compramos medicamentos y que guarda nuestros datos para la elaboración de la factura mensual por las compras realizadas nos informan de nuestros derechos de acceso, rectificación, cancelación y oposición.

Y podríamos mencionar una lista de infracciones de la ley de protección de datos que sin duda pueden asignarse respecto de estos colectivos, incluyendo la implantación de las medidas de seguridad exigidas por el Reglamento 994/99. Y ello es así por cuanto, estos profesionales en ocasiones ignoran las normas y en otras ocasiones parten de la errónea creencia de que la ley solo debe aplicarse respecto de las grandes plataformas sanitarias, pero no en consultas o farmacias que en ocasiones no dejan de ser un negocio semifamiliar, en el cual además, el personal que en ellos presta sus servicios es contratado sobre la base de la confianza mutua, esto es, un familiar atiende la gestión de pacientes en la consulta del médico en su propio domicilio o es contratado como mancebo en la farmacia.

Pero estos colectivos y en mi opinión, desde sus propios colegios profesionales, deberían ser informados y conocedores de la Legislación en materia de protección de datos personales, la cual les convierte en la mayor parte de las ocasiones en responsables ante la ley del cumplimiento de la misma, no solo en cuanto a las obligaciones de custodia y secreto profesional (que responderían al deber de secreto y confidencialidad de la información exigido por la Ley de Protección de Datos) sino también respecto de las obligaciones "de hacer" como informar a las personas de la tenencia de sus datos, gestionar sus derechos de acceso, rectificación y cancelación, solicitar el consentimiento para el tratamiento de sus datos cuando sea preciso por la ley, inscribir los ficheros en la Agencia de Protección de Datos e implantar las medidas de seguridad del Reglamento 994/99, incluyendo la elaboración del documento de seguridad.

Éstas y otras obligaciones, desde luego y sin ánimo de desprestigiar a estos sectores, evidentemente no son cumplidas en la mayor parte de las ocasiones ni por las farmacias, ni por las consultas médicas, teniendo en cuenta si lo pensamos bien, que en sus sistemas se almacenan datos de la más profunda intimidad y privacidad de las personas.

Y por entrar ya en materia hemos de abrir la exposición definiendo para que no haya lugar a dudas, que debe entenderse por dato de carácter personal, partiendo de la base de que en las Oficinas de Farmacia y Consultas de Médicos, es frecuente la recogida y tratamiento de datos personales, entendiendo por tales, según lo dispuesto en el artículo 3 a de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), "cualquier información concerniente a personas físicas identificadas identificables" En algunos supuestos esto responde a una obligación impuesta por la Ley, mientras que en otros casos son proporcionados voluntariamente por los clientes para una mejora del servicio, o bien su tratamiento viene dado por la existencia de una relación negocial o laboral.

En virtud de los datos tratados, y por lo que nos interesa a efectos de las obligaciones que se derivan para el farmacéutico o el médico en materia de protección de datos, podemos clasificarlos en:

Datos de especialmente protegidos y datos ordinarios

Determinados datos son considerados como datos sensibles, ya que, dada la información a la que se refieren, un uso inadecuado de los mismos podría acarrear consecuencias más perjudiciales para los afectados, que otro tipo de datos.

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) los denomina datos especialmente protegidos. Esta especial protección se concreta básicamente en una limitación de los supuestos en los que se permite su tratamiento, exigiendo un consentimiento más cualificado de los interesados y unas mayores medidas de seguridad.

Se consideran datos especialmente protegidos, los que revelen la ideología, afiliación sindical, religión y creencias; así como los que hagan referencia al origen racial, a la salud y a la vida sexual. Entre éstos, serán los datos relativos a la salud los que más frecuentemente serán tratados en las Oficinas de Farmacia.

No se recoge en la LOPD ninguna definición de qué se entiende por datos de salud, aunque sin embargo es evidente que aquellos datos que "hagan referencia" a la salud de las personas, dentro de los cuales podrían encuadrarse los relativos al tratamiento médico, deben ser considerados como tales.

Datos tratados voluntariamente y datos tratados por imposición legal

En la mayoría de las ocasiones, los datos tratados por los farmacéuticos y médicos son proporcionados voluntariamente por los clientes o pacientes, porque ello les permite obtener un mejor servicio; así ocurre en muchas ocasiones con respecto al tratamiento y diagnóstico de enfermedades.

2. EL RESPONSABLE DEL FICHERO

Se entiende por responsable del fichero "la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento" (Artículo 3.d LOPD). Es por tanto que el responsable de la información será en la mayor parte de las ocasiones la Farmacia y en el caso de las consultas médicas evidentemente la persona del médico salvo que éste actúe profesionalmente a través de una persona jurídica. Lo cual si acaso agrava aún más si cabe la situación de estos colectivos que, en caso de incumplimiento de la Legislación vigente y existencia de una sanción administrativa, responderá de la misma el médico con su propio patrimonio personal y recordemos que las multas pueden llegar hasta los cien millones de pesetas.

3. INSCRIPCIÓN DEL FICHERO

Previamente a la creación del fichero, el farmacéutico y el médico deberán notificarlo a la Agencia de Protección de datos, a través de la cumplimentación de los formularios de notificación establecidos al efecto por la Agencia.

Si la notificación realizada se ajusta a los requisitos exigidos por la Ley, el Registro General de Protección de Datos inscribirá de oficio el fichero; en caso contrario, solicitará al responsable del tratamiento que se completen los datos que faltan o que se proceda a su subsanación.

En cualquier caso, si transcurrido un mes desde la notificación, la Agencia no ha resuelto nada al respecto, el fichero se considerará inscrito a todos los efectos.

La inscripción realizada es meramente declarativa y no subsana las ilicitudes del fichero ni supone el cumplimiento de las obligaciones establecidas en la Ley.

El responsable del fichero deberá comunicar a la Agencia de Protección de Datos las modificaciones que se produzcan en cuanto a la finalidad del fichero, su responsable y la dirección de su ubicación.

4. RECOGIDA DE DATOS

El derecho a la información es uno de los principios fundamentales que rigen la legislación sobre protección de datos. Los interesados deben conocer distintos aspectos sobre el tratamiento al que van a ser sometidos sus datos, sobre el responsable del fichero, sobre los derechos que le son propios, etc. La información se proporcionará a los interesados en dos momentos distintos en función de la fuente de recogida de los datos:

§Cuando los datos son recabados del propio interesado, se les deberá informar, previamente a la solicitud de los mismos, de modo expreso, preciso e inequívoco:

  • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Si los datos se recogen a través de cuestionarios o impresos, la información anterior deberá figurar en los mismos de forma claramente legible.

§Cuando los datos no han sido recabados del interesado se le deberá informar, en el plazo de tres meses desde el registro de los mismos:

  • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los datos y de los destinatarios de la información.
  • Del contenido del tratamiento.
  • De la procedencia de los datos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante legal.

No obstante, cuando los interesados ya hubieran sido informados con anterioridad, de lo dispuesto anteriormente, no es necesario que el responsable del fichero realice una nueva comunicación a tal efecto. Del mismo modo, no es necesario proporcionar esta información cuando así lo disponga una ley, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o cuando el tratamiento tenga fines históricos, estadísticos o científicos.

5. EL CONSENTIMIENTO

El consentimiento de los afectados para el tratamiento de sus datos, es el supuesto general que autoriza al responsable del fichero a tratar esos datos.

En función del tipo de datos objeto del tratamiento, el consentimiento exigido será más o menos cualificado

Así, cuando estamos ante datos no especialmente protegidos, el consentimiento deberá ser inequívoco; mientras que cuando se trate de datos relativos al origen racial, a la salud y a la vida sexual, debe tratarse de un consentimiento expreso.

Excepcionesal consentimiento

No obstante lo dispuesto anteriormente, en determinadas ocasiones es posible que se realice un tratamiento de datos, sin que el interesado haya dado su consentimiento. Nuevamente aquí debemos distinguir en función de sí los datos hacen referencia a la salud o si se estamos ante datos que no están especialmente protegidos.

  • Datos relativos a la salud:

    Los datos personales relativos a la salud, sólo pueden ser recabados, tratados y cedidos, además de cuando el interesado lo consienta expresamente, en los siguientes supuestos:

    • cuando por razones de interés general lo disponga una ley.
    • cuando el tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que este tratamiento se realice por un profesional sanitario sujeto al secreto profesional o por una persona sujeta a una obligación equivalente de secreto.
    • cuando el tratamiento sea necesario para salvaguardar el interés vital del interesado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

Teniendo en cuenta los datos usualmente tratados en las Oficinas de Farmacia, los supuestos legales que permiten su tratamiento serán, principalmente, que una ley así lo disponga por razones de interés eneral, o que el interesado consienta expresamente este tratamiento.

Cuando los datos tratados no están especialmente protegidos, no es necesario el consentimiento en los siguientes supuestos:

  • cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias,
  • cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento,
  • cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado, cuando el afectado esté física o jurídicamente incapacitado para dar su consentimiento,
  • cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades del interesado.

6. CESIONES DE DATOS

Los datos recogidos en las Oficinas de Farmacia o en las Consultas Médicas en ocasiones son cedidos a otras personas o entidades. En estos casos estamos ante una situación definida por la LOPD como "toda eevelación de datos realizada a una persona distinta del interesado".

Los datos de carácter personal, sólo pueden ser cedidos para el cumplimiento de las funciones legítimas de cedente y cesionario, y siempre que se haya obtenido el previo consentimiento de los afectados, consentimiento que al tratarse de datos relativos a la salud deberá de ser expreso. No obstante, cuando la cesión venga impuesta por una ley, como sucede en el punto a), no es necesario este consentimiento.

Para que el consentimiento otorgado para la cesión sea válido, se deberá haber informado a los interesados de la finalidad a la que se destinarán los datos o el tipo de actividad de aquél a quien se pretenden comunicar. Igualmente, en el momento en que se efectúe la primera cesión, el farmacéutico deberá informar de ello a los interesados, indicando la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.

7. MEDIDAS DE SEGURIDAD

El responsable del fichero debe adoptar una serie de medidas de seguridad para evitar la alteración de los datos, su pérdida, tratamiento o acceso no autorizado.

Estas medidas se clasifican en tres niveles, en función del tipo de datos objeto de tratamiento.

Medidas de nivel básico: deben ser adoptadas por todos los ficheros que contengan datos personales.

Medidas de nivel medio: corresponden a los ficheros que contengan datos relativos a la comisión de infracciones penales, o administrativas, Hacienda Pública, servicios financieros y los relativos a la prestación de servicios sobre solvencia patrimonial y crédito, sí como aquellos ficheros que contengan un conjunto de datos que permitan obtener una evaluación de la personalidad del individuo.

Medidas de nivel alto: deberán ser adoptadas por los ficheros que contengan entre otros, datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin consentimiento de las personas afectadas.

Por lo que ahora nos interesa, y en función de los datos que comúnmente son tratados en las Oficinas de Farmacia y Consultas Médicas, procederemos al estudio de las medidas de nivel básico y medio. Sin embargo, y puesto que se trata de medidas superpuestas, los ficheros que tengan que cumplir con las de nivel alto, deberán reunir también las de nivel bajo y medio.

Medidas de nivel básico

En primer lugar, el responsable del fichero debe elaborar un documento en el que se contendrá toda la normativa de seguridad y que será de obligado cumplimiento para el personal con acceso a los datos, y que debe contener, como mínimo, los siguientes aspectos:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido.
  • Funciones y obligaciones del personal.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

Funciones y obligaciones del personal. El responsable del fichero, debe informar al personal de las medidas de seguridad que les afecten de conformidad con las funciones que desarrollen, debiendo estar claramente definidas y documentadas.

Registro de incidencias. Se establecerá un procedimiento de notificación y gestión de las incidencias que pudieran afectar a la seguridad de los datos tratados en los ficheros, en el que se contendrá un registro donde se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se comunica y los efectos que se hayan derivado de la misma.

El responsable del fichero elaborará una relación de usuarios que tengan acceso autorizado al sistema de información, estableciendo mecanismos de identificación y autenticación para dicho acceso, como puede ser el empleo de contraseñas.

Los usuarios únicamente tendrán acceso a aquellos datos que sean necesarios para el desarrollo de sus funciones.

Gestión de soportes. Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen y deberán ser inventariados y almacenados en un lugar con acceso restringido.

Copias de respaldo y recuperación. Realizar semanalmente, salvo que en este periodo no se produzca ninguna actualización de los datos, copias de respaldo de los datos objeto de tratamiento y establecer un procedimiento de recuperación de datos. Ambos procedimientos deberán garantizar la reconstrucción de los datos en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Medidas de seguridad en el tratamiento de datos de salud

  • Responsable de seguridad. El responsable del fichero designará a una o varias personas encargadas de coordinar y controlar las medidas de seguridad.
  • Documento de seguridad. En este documento se deberá consignar, además de la información establecida en el apartado anterior para las medidas de nivel básico, la identificación del responsable de seguridad, los controles periódicos que deban realizarse para verificar el cumplimiento de las medidas que se hayan establecido en dicho documento, así como las que hayan de adoptarse en la reutilización o desechado de soportes que impidan la recuperación posterior de la información.
  • Registro de accesos. De cada acceso debe guardarse la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si éste ha sido denegado o autorizado, guardándose en este caso, la información que permita identificar el registro accedido
  • Control de acceso físico. Únicamente el personal que haya sido autorizado para ello en el documento de seguridad, tendrá acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.
  • Copias de respaldo y recuperación. Se conservará en un lugar diferente de aquél en el que se encuentren los equipos informáticos, una copia de respaldo y de los procedimientos de recuperación de los datos.
  • Registro de incidencias. En este registro deberá consignarse, además de lo dispuesto en las medidas de nivel básico, los procedimientos que se hayan realizado de recuperación de datos, indicando la persona que realizó el proceso, los datos que han sido restaurados y, en su caso, los datos que haya sido necesario grabar manualmente.
  • Auditoria. Cada dos años, los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoria interna o externa para verificar el cumplimiento de las medidas de seguridad.
  • Gestión de soportes. Se establecerá un sistema de registro de entrada y de salida de soportes informáticos que permita conocer el tipo de soporte, la fecha y hora, así como el emisor o destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción o de la entrega.

En el caso de que los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.

Si se produce una transmisión de datos a través de redes de telecomunicaciones, deberán cifrarse los datos que vayan a ser transmitidos o bien utilizar cualquier otro sistema que garantice que la información no sea inteligible ni manipulada por terceros. Las mismas medidas deberán adoptarse cuando se realice una distribución de soportes que contengan datos de carácter personal.

8. OTRAS OBLIGACIONES DEL RESPONSABLE DEL FICHERO

Calidad de los datos

Los datos deberán ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas para las que se hayan obtenido. Es decir, solamente se podrán tratar aquellos datos que resulten necesarios para el cumplimiento de la finalidad para la que se hayan obtenido y de la que se deberá haber informado a los interesados. no pudiendo ser usados los datos para finalidades incompatibles, no considerándose incompatible el tratamiento posterior con fines históricos, estadísticos o científicos.

El responsable del fichero deberá mantener los datos actualizados. Si los datos resultaren inexactos o incompletos, el responsable del fichero deberá cancelarlos y sustituirlos de oficio por los correspondientes datos rectificados o completados.

Derechos de los afectados

Los interesados podrán ejercitar los derechos de acceso rectificación y cancelación de sus datos.

El responsable del fichero, deberá permitir el acceso de los interesados a sus datos, proporcionándoles información sobre los datos personales sometidos a tratamiento, el origen de los mismos y las comunicaciones que se hayan realizado o que se prevean realizar así como los usos y finalidades para los que se almacenaron.

En cuanto a los derechos de rectificación y cancelación, el responsable del fichero deberá hacerlos efectivos, rectificando o, en su caso, cancelando los datos inexactos, incompletos, inadecuados o excesivos en el plazo de cinco días desde la recepción de la solicitud.

Además las personas tendrán derecho a ejercitar su derecho de oposición al tratamiento de los datos, en los casos en que así lo establezca la Ley.

Deber de secreto

Finalmente el Responsable del fichero está obligado al secreto profesional, respecto de los datos personales y al deber de guardarlos. La misma obligación corresponde a quienes intervengan en cualquier fase del tratamiento; obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el encargado del tratamiento.