Estamos en: 

1. Artículos y Textos Legales >
2. Artículos >
3. La Regulación del dato personal de salud

1.- Introducción

Ha de establecerse con carácter previo lo que debe entenderse comprendido dentro de la denominación de dato sanitario, ya que, del concepto más o menos amplio que se de al mismo, lógicamente quedará afectado su campo de aplicación. Pues bien, cuando me refiero al dato sanitario no sólo estoy aludiendo al dato clínico sino también a cualquier otro dato aunque su finalidad no sea el proporcionar directamente la salud al titular del mismo. Es decir, quedarán comprendidos los datos de salud propiamente dichos, junto a aquéllos que, sin referirse directamente a la misma, cooperan de forma más o menos mediata a su consecución. Esta definición amplia del dato de salud supone que deban quedar incluidas las informaciones de naturaleza administrativa o social que, siendo conexas, pudieran guardar relación con el dato de salud en sentido estricto. De este modo, se incluirá al dato administrativo de salud, necesario para un correcto funcionamiento de los servicios sanitarios, al dato que sea imprescindible para efectuar estudios de naturaleza epidemiológica e igualmente al dato estadístico en la medida que su tratamiento no exija el  previo anonimato.

Por otro lado, el tratamiento abarcará tanto la utilización del dato de salud en beneficio de su titular como el tratamiento del mismo en beneficio de tercero. En este aspecto, la  Directiva, cuando se refiere a los principios relativos a la legitimación del tratamiento de datos, incluye tanto  la protección del interés vital del interesado como el hecho de que  sea necesario para el cumplimiento de una misión de interés público (apartados d) y e) del art. 7 de la misma).

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, (en adelante L. O.) no contribuye precisamente a la delimitación de lo que deba ser el dato de salud ya que, por un lado, después de referirse al mismo (apartado 3 del artículo 7), alude a la necesidad del tratamiento cuando resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios (apartado 6 del citado precepto) y a que el tratamiento sea necesario para salvaguardar el interés vital del afectado o de un tercero, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento (párrafo segundo del mismo apartado). La cuestión se complica, además, cuando examinamos el contenido del artículo 8 de la L. O., en el que, bajo la denominación de "datos relativos a la salud", parece dar a entender que solamente tienen dicha condición los tratados por instituciones y centros sanitarios públicos y privados y los profesionales correspondientes, respecto de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o que hayan de ser tratados en los mismos, de acuerdo con la legislación estatal o autonómica sobre sanidad. Contradicción que debe entenderse  más aparente que real y que, desde luego, desaparece si consideramos el contenido del artículo 7 como dato propiamente de salud y al del artículo 8 como dato sanitario, esto es, dato de salud tratado en establecimiento o institución sanitaria.

2.- Requisitos exigidos en la recogida del dato de salud.

El artículo 7.3 de la L. O. establece que los datos de salud "...sólo podrán ser recabados...  cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente". Son dos, por tanto, los supuestos que el legislador establece respecto de la recogida de los datos personales: por un lado, las razones de interés general recogidas en una Ley, por otro, el consentimiento del interesado explicitado de forma expresa. Respecto de este último, deberá tenerse en cuenta que el artículo 3 de la L. O. lo define en su apartado h) como "toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen". A esta modalidad genérica de prestación del consentimiento la Ley introduce la exigencia de que el mismo sea expreso, dicho término habrá que considerar comprende, no tanto la exteriorización inequívoca, pues ésta ya se halla comprendida en la definición del artículo 3, sino la de que se efectúe de manera verbal o escrita, aún cuando esta última modalidad sea la prevista por el legislador para la recogida y tratamiento de los datos a los que se refiere el artículo 7.2 de la L.O. Es claro que el contenido del precepto excluye la prestación del consentimiento de manera tácita o presunta, es decir, cuando la manifestación de voluntad que toda emisión del consentimiento supone se infiera o deduzca a través de un determinado comportamiento del sujeto.

La otra manera prevista en la Ley de recogida del dato de salud para su posterior tratamiento es la establecida o permitida por una Ley por razones de interés general. A ella se refiere tanto el apartado 3 del artículo 7 como el apartado 6 del mismo precepto. La inclusión de este último no puede entenderse equivalente a las razones de interés general a que se refiere el apartado 3, sino como supuestos que funcionan o pueden funcionar independientemente el uno del otro. Las razones de interés general pueden ser muchas y variadas y desde luego no ser coincidentes con las enumeradas en el apartado 6. Las del apartado 3 son de naturaleza genérica o indeterminada, es decir, cualquiera que el legislador entienda como necesaria por responder a esa necesidad de interés general; las del apartado 6 son causas tasadas, específicas, lo que supone que, fuera de ellas, no puede ser tenida en cuenta ninguna otra.

El contenido del artículo 7 de la L. O. no va dejar de producir discrepancias. Es cierto que tal como viene redactado la aplicación del mismo parece venir referida al tratamiento de los datos personales ("...cuando dicho tratamiento resulte necesario"), pero tal afirmación sería más aparente que real ya que todo tratamiento exigirá ineludiblemente la previa recogida del dato personal de salud, con lo que existirá una plena identificación entre ambos apartados. Entrando en el examen de su concreto contenido, el mismo debe ser objeto de crítica: en el mismo no sólo se utilizan términos equivalentes o muy parecidos, sino que además se utilizan otros que suponen la apertura de una brecha muy importante en el tratamiento del dato de salud. Me refiero, por una parte, a la reunión de términos tales  como "prevención", "diagnóstico médico", "asistencia sanitaria" o "tratamientos médicos", que van dirigidos en su inmensa mayoría, cuando no en su totalidad, a la salud en sentido amplio de una persona o una colectividad; por otra, porque la expresión "gestión de servicios sanitarios", de índole fundamentalmente administrativa, no justifica, a pesar de su importancia actual, una rebaja en la protección del dato de salud. Debe señalarse además que la crítica no dejará de tener sentido por el hecho de que todas las operaciones antes enumeradas deban llevarse a cabo por "un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto", ya que en este supuesto se estaría cambiando el criterio rector de la protección del dato personal, de salud, bastando la existencia de la obligación o del deber de guardar secreto para poder acceder a la recogida o al tratamiento del mismo.

Por el contrario, merece crítica favorable el último apartado del artículo 7 de la L. O. relativo al tratamiento de datos de esta naturaleza "cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento". La finalidad del apartado es clara: la vida es un bien jurídico de mayor intensidad que el de la intimidad, por lo que debe predominar en aquellas situaciones de conflicto entre ambos.

En el artículo 8 se contienen unas reglas específicas para el tratamiento de los datos de salud. En él se establece que "sin perjuicio de lo que dispone el artículo 11 respecto de la cesión, las instituciones  y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación autonómica o estatal sobre sanidad". La referencia que en el mismo se efectúa al artículo 11 de la L. O. no debe llevarnos a la confusión de que nos hallamos ante otro supuesto de cesión regulado al margen del citado precepto, pues la expresión va referida al tratamiento del dato personal. No se comprende muy bien la razón de la inclusión del contenido del mismo como precepto separado y no como un apartado más del artículo anterior, pero, al margen de ello, el precepto merece una crítica desfavorable por una serie de razones. Así, en primer lugar, por la coincidencia sustancial de su contenido con el  del artículo precedente, pues los conceptos de diagnóstico médico, prevención o asistencia sanitaria parecen desde luego englobar las operaciones que puedan realizarse respecto de los que acudan o hayan de ser tratados en los centros sanitarios públicos y privados; en segundo término, porque el artículo anterior ya contemplaba expresamente el tratamiento del dato sanitario, como se demuestra por la referencia concreta que se efectúa al "profesional sanitario sujeto al secreto profesional", por lo que no parece que fuera necesario  la referencia a los "profesionales correspondientes" que se lleva a cabo en el artículo 8 y, por último, porque siendo la materia objeto de regulación la del tratamiento del dato de carácter personal de salud, no se comprende bien que se incluya a "las instituciones" como sujetos activos de dicho tratamiento, sobre todo cuando después se refiere a los centros sanitarios públicos y privados y por tanto no puede pensarse que aquel término se refiera a éstos.

A favor de la actual redacción, comprensiva de las "instituciones", podría argumentarse que éstas siempre vienen obligadas a tratar el dato sanitario, pero tal justificación carecerá de sentido por cuanto que las operaciones que las mismas realizarán del dato personal de salud siempre habrán debido ir precedidas de una cesión, e incluso, si el tratamiento se refiriera a finalidades estadísticas, tampoco se justificaría su inclusión ya que dicha operación deberá siempre efectuarse con posterioridad a las tareas propias de un procedimiento de disociación.

La remisión expresa que el precepto efectúa a "la legislación estatal o autonómica sobre sanidad" plantea serios problemas. Así, no se entiende bien que, en materia de derechos fundamentales, como es el de la protección de la intimidad frente al tratamiento informatizado de los datos personales, artículo 18. 4 de la C. E., se legisle mediante remisiones a legislaciones que existan en el momento de la remisión o que puedan existir en el futuro y que las leyes a cuyo favor se efectúa la remisión no sólo no sean orgánicas sino que, incluso puedan ser autonómicas. La consecuencia que de ello se deriva es la de introducir un ámbito de gran amplitud en el tratamiento del dato personal sanitario con las consecuencias negativas que ello comporta respecto de la defensa de la intimidad pues, a falta de un único criterio, podrán tenerse en cuenta multitud de ellos  haciendo que la regulación de la materia carezca de la necesaria uniformidad. Además, si se efectúa un mínimo estudio de las leyes estatales y autonómicas en materia de sanidad, se observará que de las mismas no puede obtenerse ningún criterio aplicable, dado que no contienen legislación específica sobre la intimidad y sí simples referencias, que incluso podrían calificarse como cláusulas de estilo a la misma (que se trata conjuntamente con el respeto a su personalidad y a la dignidad humana) y a la confidencialidad (en cuanto impone la obligación de no revelar los datos a cuyo conocimiento haya tenido acceso). Fuera de dichas materias, no existe regulación por lo que la remisión se antoja inútil y carente de toda eficacia.

3.- ¿Quién puede acceder a ellos?

En cuanto al derecho de acceso, debo señalar que la Directiva lo configura (considerando 40 de su Exposición de Motivos) como un derecho que debe ser reconocido a cualquier persona para que, con relación a los datos que le conciernan y que sean objeto de tratamiento, pueda cerciorarse, en particular, de su exactitud y de la licitud del mismo; reconociéndose, además, que, si bien el mismo no puede menoscabar el secreto de los negocios ni la propiedad intelectual y en particular el derecho de autor que proteja el programa informático, esto no puede suponer que se deniegue cualquier información al interesado.

Dicho derecho no se configura como absoluto, ya que, conforme a los considerandos 42 y 43 de la Directiva, " los Estados miembros podrán limitar los derechos de acceso..." o "podrán imponer restricciones a los derechos de acceso...". Resulta curioso que la propia Directiva, a título de ejemplo, cite como un supuesto de limitación de ese derecho al hecho de precisar  "... que el acceso  a los datos de carácter médico únicamente pueda obtenerse a través de un profesional de la medicina"; los supuestos de restricción son de carácter más variado aludiendo a los sectores relativos a la seguridad pública, los intereses económicos o financieros y la represión penal.

El derecho de acceso aparece regulado en concreto en el artículo 12 de la Directiva al establecer que los estados miembros  garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

• La confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, así como la información por lo menos de los fines de los tratamientos, las categorías de los datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos.
• La comunicación, en forma inteligible, de los datos objeto de los tratamientos, así como toda información disponible sobre el origen de los datos.
• El conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado.

En cuanto a la forma de llevar a cabo el mismo, la Directiva dispone que deberá efectuarse "libremente, sin restricciones y con una periodicidad razonable y sin gastos excesivos". Por último, debe señalarse que el derecho de acceso también se reconoce en los casos de las decisiones automatizadas, en los supuestos del artículo 15 apartado 1, en cuanto a la lógica de las evaluaciones efectuadas.

En sentido contrario a lo que la L. O. regula para el derecho de oposición, la misma sí contiene una auténtica regulación del denominado derecho de acceso. El artículo 15 establece no sólo el contenido de ese derecho, conforme a lo dispuesto en el apartado número 1 del mismo, sino la determinación de la forma en que puede llevarse a efecto, conforme a su apartado segundo, e incluso el período de tiempo en que puede repetirse, conforme a su apartado tercero. En cuanto al derecho, debe decirse que se concreta en la solicitud y en la obtención de la información, de forma gratuita, de sus datos de carácter personal sometidos a tratamiento, tanto de su origen como de las comunicaciones realizadas o que se prevean realizar. En cuanto a la forma, se admiten una diversidad de medios, que el precepto enumera, pero que tienen todos el denominador común de la exigencia de que la información se suministre en forma legible e inteligible, sin utilizar códigos o claves que requieran el uso de dispositivos mecánicos excesivos. En cuanto al intervalo de su ejercicio, se dispone que lo sea en períodos no inferiores a doce meses o en tiempo inferior  siempre que se acredite un interés legítimo al efecto.

Es claro que esta teoría general del contenido y ejercicio del derecho de acceso tiene en la L. O. sus excepciones (conforme al artículo 23 de la misma), pero también lo es que, dentro de las contempladas en dicho precepto, no puede incluirse al dato de salud tratado en dependencias sanitarias. Por tanto, así como puede hablarse de que ese dato puede tener un tratamiento excepcional respecto de lo establecido con carácter general en la recogida (derecho de información al afectado, que se excluye cuando la misma impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas) también podría afirmarse que el contenido del derecho de acceso puede ser exceptuado en los supuestos del artículo 24. 2 de la L. O., es decir, que cuando efectuada la ponderación de los intereses en presencia, resulte que el derecho del afectado haya de ceder ante razones de interés público o ante intereses de terceros más dignos de protección, pero esta excepción no parece que pueda ser de aplicación al dato sanitario de una manera general.

Volviendo al tema de las limitaciones y restricciones del derecho de  acceso en relación con el dato sanitario, en línea con lo establecido por la Directiva a la que hacía alusión con anterioridad, podría hablarse de limitación del derecho de acceso desde la óptica de quien viene obligado a facilitarlo, en el sentido de que el mismo pueda o deba ser ejercido no por cualquier persona sino solamente por aquélla que reúna unas determinadas condiciones. Me refiero al posible establecimiento de la exigencia de que sea un profesional de la medicina el que físicamente resuelva, o, al menos supervise, las autorizaciones o negativas que pudieran acordarse en esta materia. La justificación de dicha medida parecería en principio sencilla y giraría sobre la especial naturaleza del dato sanitario que parece imponer unas determinadas exigencias con la finalidad de evitar que el ejercicio de un derecho (el de acceso) no termine ocasionando una vulneración de la intimidad. Respecto de las restricciones, debe señalarse que las que se establecen en el artículo 24.2 de la L. O. no parece que en principio puedan ser de aplicación a los titulares de datos de salud que obren en ficheros sanitarios, por ser muy difícil que exista una ponderación de intereses de la que resulte que el derecho del afectado debiera ceder ante razones de interés público o de terceros más dignos de protección.

4.- La cesión del dato sanitario

El problema de la cesión del dato sanitario, que en la L. O. se denomina comunicación del mismo, no debería, en principio, comportar ningún problema diferente a los que puedan suscitar el resto de las categorías de datos especialmente protegidos. Así, en aplicación de la doctrina general en materia de protección de datos personales, podría decirse que si para la cesión del dato de protección común u ordinaria es preciso que medie el consentimiento del interesado (artículo 11.1) o que la cesión esté autorizada por una Ley (artículo 11.2 a) o que el dato se haya recogido de fuentes accesibles al público (artículo 11.2 b), respecto del dato de salud deberá mediar el consentimiento expreso del titular del dato o razones de interés general acogidas por una Ley (artículo 7. 3 de la L. O.). Ahora bien, siendo cierto lo hasta aquí manifestado, también lo es que la comunicación o cesión de datos tiene una regulación específica tratándose del dato de salud ya que, al igual que existe una regulación especial del tratamiento del dato de salud frente a las otras dos categorías de datos especialmente protegidos (origen racial y vida sexual), regulación que se plasma en las especialidades antes comentadas, origen del contenido del artículo 7. 6 y del artículo 8, ambos de la L. O., la comunicación del dato sanitario tiene unas especialidades de las que carecen los otros. Me estoy refiriendo en concreto al apartado f) del artículo 11 de la L. O., que exime del consentimiento expreso en aquellos supuestos en que la comunicación del dato relativo a la salud "sea necesaria  para solucionar una urgencia  que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica".

Conviene efectuar una interpretación del contenido del citado apartado, en el sentido, como norma limitativa que es, de averiguar su alcance real. Así, debe mantenerse que la exención del consentimiento expreso por parte del titular del dato personal sanitario no se producirá en todo supuesto de concurrencia  de una urgencia, sino cuando aquélla exija para su solución el acceso a un fichero. Ahora bien, dicha conclusión, con ser cierta, no deja, por otro lado, de ser inoperante, ya que si la urgencia no requiere el acceso al fichero sobrará el contenido de este apartado, y también todo el contenido de la L. O. por falta del supuesto fáctico para la aplicación de la misma. Si la urgencia no requiere el acceso al fichero, no existe peligro de vulneración de la intimidad a través de la informática, que era la finalidad contemplada por el artículo 18. 4 de la C. E.

5.- La utilización de los datos de salud en los trabajos de investigación.

El supuesto de la realización de estudios epidemiológicos, al que también se refiere el citado apartado, comporta una precisión de lo ya establecido en el artículo 7.3 de la L. O., (cuando por razones de interés general así lo disponga una Ley), bastando por tanto que la legislación sobre sanidad estatal o autonómica así lo establezca. El problema puede surgir respecto de la expresión "... en los términos establecidos  en la legislación..." en aquellos casos en que la norma o normas en cuyo favor se efectúa la remisión no contengan ninguna disposición en esta materia, que será lo más frecuente, ya que si contiene disposiciones de esta naturaleza el mandato de dicho apartado se revelará inoperante al estar ya previsto dicho supuesto en las razones de interés general  del artículo 7.3 de la L. O.

La inclusión de la referencia a los estudios epidemiológicos  puede obedecer a la insuficiencia de la regulación legal anterior (artículo 11. f. de la  L. O. 5/1992) ya que, aún cuando efectuaba una remisión expresa al artículo 8 de la Ley 14/1986, de 25 de abril, General de Sanidad, el contenido del mismo era notoriamente insuficiente, según puso de manifiesto la práctica. El contenido del precepto en vigor tampoco, a mi juicio, va a solucionar el problema por la inexistencia de regulación antes apuntada.

Es curioso observar que mientras la Directiva comunitaria  contiene idénticas salvedades, respecto a la no necesidad del consentimiento del afectado cuando se trata del tratamiento de los datos personales (así se reproducen los conceptos de interés vital, diagnóstico médico, prestación de asistencia sanitaria o tratamientos médicos...), nada se dice de los datos epidemiológicos. Por otra parte, la duplicidad en la que incurre la L. O., respecto de una determinada legislación habilitante por razones de interés general, no se produce en la Directiva  ya que sólo regula excepciones concretas, sin efectuar remisiones de naturaleza genérica. Debe destacarse, por último, que cuando la Directiva se ocupa de efectuar una remisión a la legislación nacional (supuesto del artículo 8. 2 a) de la misma) lo hace en sentido totalmente contrario al de la L. O., esto es, para negar que incluso la prestación del consentimiento funcione como título habilitante del tratamiento o de la cesión ("... salvo en los casos en que la legislación del Estado miembro disponga que la prohibición establecida en el apartado 1 (de no tratamiento) no pueda levantarse con el consentimiento del interesado").