El Ordenamiento jurídico español incorpora el reconocimiento de la necesidad de protección de las personas ante el tratamiento automatizado de sus datos en la Constitución Española (C.E.) del año 1978, mediante la exigencia de limitación legal del uso de la informática, para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos (art. 18.4).

La inclusión del artículo 18 de la C.E. entre los derechos fundamentales de las personas ha permitido reforzar la protección jurídica de las mismas ante tratamientos automatizados de sus datos, facultándolas para acudir al Defensor del Pueblo para supervisar la actividad de la Administración relacionada con dichos tratamientos (art. 54 de la C.E.), recabar la tutela del derecho a su intimidad ante los tribunales ordinarios mediante un procedimiento basado en los principios de preferencia y sumariedad y en su caso, ante el Tribunal Constitucional, a través del recurso de amparo (art. 53.2 de la C.E.), y exigir que la interpretación de la legislación sobre protección de datos se realice de conformidad con la Declaración Universal de Derechos Humanos y los Tratados y Acuerdos internacionales que sobre las mismas materias hayan sido ratificados por España (art. 10.2 de la C.E.).

La protección de la intimidad de los ciudadanos, se vio reforzada por la Ley 6/78, de 2 de diciembre, de Protección jurisdiccional de los derechos fundamentales de las personas y, posteriormente, por las Leyes Orgánicas 1/82, de 5 de mayo, y 3/85, de 29 de mayo, de Protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, que regularon transitoriamente la protección jurídica de los ciudadanos ante el tratamiento automatizado de sus datos.

En el ámbito de la salud complementan esta regulación los preceptos que hacen referencia al tratamiento automatizado de datos reflejados en la Ley Orgánica 3/86, de 14 de abril, de Medidas especiales en materia de Salud Pública, y las Leyes 14/86, de 25 de abril, General de Sanidad, y 25/90, de 20 de diciembre, del Medicamento.

En la C.E. se establecen asimismo los derechos de los ciudadanos a no declarar sobre la ideología, religión o creencias personales (art. 10), y a acceder a los archivos y registros administrativos, salvo en los casos que dicho acceso afecte a la seguridad y defensa del Estado, la averiguación de los delitos ó la intimidad de las personas (art. 105).

Entre los Acuerdos internacionales sobre protección de datos ratificados por España cabe destacar el Convenio Europeo de 4 de noviembre de 1950, para la protección de los derechos humanos y de las libertades fundamentales, ratificado el 26 de septiembre de 1979, y el Convenio del Consejo de Europa de 28 de enero de 1981, hecho en Estrasburgo, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, ratificado el 27 de enero de 1984, que establecieron las directrices del posterior desarrollo legislativo español.

Por su parte la Unión Europea ha dictado las Directivas 95/46/CE, de 24 de octubre de 1995, sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y 97/66/CE, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, que obliga a los Estados Miembros a armonizar sus leyes sobre protección de datos nominativos, con lo dictaminado en dicha Directiva, en el plazo máximo de tres años. Asimismo en relación con el flujo de datos nominativos entre las instituciones de la Unión Europea ha aprobado el Reglamento 45/2001, de 18 de diciembre del 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y lo organismos comunitarios y a la libre circulación de estos datos.

Como consecuencia de los Acuerdos de Schengen, se elaboró y aprobó la Ley Orgánica 5/92 de 29 de octubre de regulación del tratamiento automatizado de datos de carácter personal (LORTAD) que, en lo referente al tratamiento de datos personales, configuraba el marco normativo español de la citada protección.

En la actualidad la LORTAD ha sido derogada, siendo sustituida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal LOPD que, con las limitaciones establecidas por la Sentencia del Tribunal Constitucional 292/2000, de fecha 30 de noviembre del 2000, que anula parte del apartado 1º del artículo 21, parte del apartado 1º del artículo 24, y el apartado 2º de dicho artículo, rige en la actualidad la materia.

El contenido de la LOPD, pone de manifiesto la intencionalidad de los legisladores españoles de adaptar la protección que otorga nuestro Ordenamiento jurídico a los ciudadanos ante el tratamiento automatizado de sus datos, a las directrices emanadas de los desarrollos del Derecho internacional y del Derecho comparado, configurando para ello los aspectos jurídicamente relevantes relacionados con los procesos automatizados de tratamiento de información nominativa.

Las estipulaciones contenidas en la misma afectan tanto a los agentes tradicionales del proceso informativo automatizado (creadores de los archivos y productores, distribuidores y receptores de la información nominativa), como a las personas físicas o jurídicas que por cuenta de terceros prestan servicios de tratamientos automatizados de datos de carácter personal, y muy especialmente a los ciudadanos concernidos por dichos datos.

Asimismo deberá tenerse en cuenta, la regulación del Código Penal, que determina, en el Capítulo I del Título X del Libro II (artículos 197 a 201) los delitos contra la intimidad, el derecho a la propia imagen, el descubrimiento o revelación de secretos y la vulneración del secreto profesional, relacionados con tratamientos o utilizaciones ilícitos de datos personales.

sumario

4.- Finalidad de los sistemas de información sanitaria.

La incorporación de los procesos informativos, que se producen a lo largo de la actividad sanitaria, a sistemas más o menos integrados de gestión automatizada de información documentada, obliga a extremar las precauciones tendentes a garantizar el objeto y finalidad de los mismos y en especial a la preservación de la confidencialidad de aquella información que pudiera poner de manifiesto aspectos personales, a fin de garantizar la intimidad de las personas.

Si bien dentro del planteamiento de cualquier sistema de información sanitaria cabe establecer objetivos de diversa índole (asistenciales, de docencia o investigación, de gestión económica o funcional, etc.), no hay que olvidar que su finalidad básica debe ser la de facilitar la asistencia sanitaria a las personas concretas que, por una u otra causa, hayan sido objeto de las prestaciones realizadas en el marco de su actividad asistencial, por la organización o centro sanitario que aporta los datos incorporados al sistema.

Este principio básico, de gestión de la información en beneficio de las personas asistidas, deber ser el elemento decisorio en la mayoría de conflictos que pudieran surgir entre la posible colisión del derecho fundamental a la protección de su intimidad y otros derechos o intereses de terceros.

Tan solo ante determinadas circunstancias, que deben estar reguladas explícitamente en las leyes, podría limitarse la aplicación estricta de este principio, estableciendo las excepciones al mismo, derivadas de la necesidad de protección de derechos de similar enjundia (protección de la vida o salud del propio paciente o de terceras personas, salud pública, etc.), previa estipulación de mecanismos que reduzcan al mínimo la posibilidad de injerencias o divulgación de aquellos aspectos íntimos que la persona asistida no desee que sean dados a conocer.

Entre los datos personales almacenados en los sistemas de información, hay que diferenciar, en razón del sujeto, los aportados por la persona asistida y los suministrados por el resto de personas (familiares, allegados, médicos, enfermeros, celadores, etc.), y en razón del objeto, entre la aportación de datos u opiniones sobre la persona que recibe la prestación asistencial y las referencias a terceras personas.

Los sistemas de información almacenan documentos, es decir información incorporada en determinados soportes (papel, radiografías, fotos, discos de ordenador, etc.), y si a efectos jurídicos puede tener cierta relevancia el tipo de soporte como elemento de prueba de su originalidad, integridad o modificabilidad, a efectos asistenciales lo verdaderamente importante es la utilidad de la información contenida en los mismos.

No hay que olvidar que junto a esta información documental, en los procesos informativos asistenciales se produce otro tipo de información no documentada, la transmitida de forma oral, que si bien tiene una importante relevancia a efectos terapéuticos, tiene una menor trascendencia en cuanto a la conservación de la misma a lo largo del tiempo y por ende en cuanto a su posible inferencia futura en esferas personales o familiares de intimidad.

Respecto al contenido de la información incorporada a los sistemas de información sanitarios, hay que tener presente que, dada la variedad de necesidades y finalidad básica de los mismos, la inclusión de datos personales debe hacerse en forma diferenciada, segregando la información asistencial del resto de información (administrativa, económica, etc.), evitando incluir, en cada bloque, información no procedente a tenor de su finalidad.

sumario

5.- Obtención de información relacionada con la salud.

La obtención y recopilación de la información ha de realizarse en una forma idónea y adecuada a su finalidad, para lo cual deberán tenerse en cuenta los siguientes aspectos:

En cuanto a la calidad de los datos, estos deberán ser adecuados, pertinentes, no excesivos en relación con la finalidad asistencial perseguida, y responderán con veracidad a la situación real de la persona concernida tal y como exige la LOPD.

La aplicación de este corpus legal, tiene como objeto la protección de la intimidad de las personas, en cuanto al tratamiento de sus datos.

Conviene indicar que nada impide al personal sanitario, dialogar en forma distendida, con aquellas personas que puedan aportar información relevante sobre la causa de la prestación asistencial (pacientes, familiares, allegados, etc.), sino más bien al contrario.

Sería incluso recomendable inquirir sobre aspectos no sustanciales, con objeto de crear un clima de confianza que permita mejorar los cauces de comunicación y la obtención de un mayor volumen de información de interés para el diagnóstico o la toma de decisiones relacionadas con la prestación asistencial, y garantizar la certeza o veracidad de su contenido.

Es, en el momento de incorporar la información así obtenida al documento que ha de integrarse en el sistema informativo, cuando hay que sopesar la posible utilidad futura de dicha información en beneficio de la asistencia a la persona causa de la relación asistencial, y en función de la misma incluir o no en los correspondientes documentos las partes de la información, transmitida oralmente, de interés para dilucidar el posible tratamiento.

Cuando, por la relevancia de la información, esta debiera ser integrada en el sistema informativo sanitario, deberá informarse al cedente sobre dicha circunstancia, a fin de obtener de éste el consentimiento para la transcripción documentada de sus informes u opiniones. Esto cobra especial importancia cuando estos puedan hacer referencia a hechos o circunstancias integrantes de su propia intimidad o de la intimidad de terceros.

Entre la información, que por imperativo legal, debe suministrarse al cedente de datos íntimos o personales, cuando éste no sea la persona asistida, se encuentra la de advertirle de la finalidad de la recogida de dichos datos y los posibles destinatarios de la información, lo que obliga a su previa determinación, a fin de obtener el preceptivo consentimiento inequívoco y responsable del informador.

El establecimiento previo de la finalidad y posible utilización de la información documentada por terceras personas, debe servir asimismo al personal sanitario como elemento determinante del alcance de las anotaciones que, en función de su actividad, incorporan a los documentos del sistema de información.

sumario

6.- Almacenamiento y gestión de la información relacionada con la salud.

El almacenamiento, tratamiento y gestión de la información asistencial, debe realizarse a tenor de su finalidad y con las medidas de seguridad adecuadas para evitar accesos o usos no autorizados, encontrándose entre las mismas, a tenor de lo especificado en el Real Decreto 994/1999, de 11 de junio, que aprueba el Reglamento de Medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, las siguientes:

Elaboración de un documento de seguridad, de obligado cumplimiento para el personal con acceso a los datos incorporados al sistema de información, que especifique los documentos protegidos, las medidas tendentes a garantizar el nivel de seguridad de los mismos, sus funciones y obligaciones, y los procedimientos de gestión de incidencias y realización de copias de respaldo de los documentos.

Este documento deberá constituir un elemento sustancial de sensibilización del personal sobre la necesidad de proteger la confidencialidad de los datos de los pacientes, sirviendo sus directrices como elemento regulador de esta faceta del comportamiento éticoprofesional.

Designación de un responsable de la seguridad de los ficheros constitutivos del sistema de información encargado de controlar el cumplimiento de las medidas de seguridad.

Especificación de funciones de cada una de las personas autorizadas al acceso de datos nominativos relacionados con la salud e información detallada a las mismas sobre las obligaciones derivadas de dicho acceso.

Elaboración y llevanza de un registro de anomalías que afecten o puedan afectar a la seguridad de los datos nominativos.

Control de acceso e identificación de los usuarios que accedan al sistema, verificando que tengan autorización para utilizar la información obtenida del mismo para el desarrollo de sus funciones y establecimiento de mecanismos que impidan el acceso a recursos diferentes de los autorizados.

Almacenamiento, previo inventario, de los soportes que contengan información de carácter personal en lugares de acceso restringido al personal autorizado para su utilización; elaboración y control de copias de respaldo de los soportes informatizados que contengan dicha información; y transmisión de soportes o de información por vía telemática, cuando así fuere necesario, previo cifrado o implementación de cualquier otro mecanismo técnico que garantice que dicha información no sea inteligible por terceros no autorizados.

Realización de auditorías informáticas periódicas que permitan evaluar la adecuación de las medidas de seguridad, identificar las deficiencias del sistema y recomendar medidas correctoras.

Las funciones de custodia y conservación de la información nominativa deberán ser encomendadas a profesionales sujetos al deber de guardar secreto profesional, a fin de preservar la confidencialidad de los datos personales y con ello el derecho a la intimidad de las personas concernidas por los mismos.

sumario

7.- Destinatarios de la información relacionada con la salud.

Los destinatarios por antonomasia de la información sanitaria son los componentes del equipo asistencial, que precisa de dicha información para el diagnóstico o toma de decisiones relacionadas con sus pacientes.

Respecto a estos profesionales, el acceso a la información del sistema debe quedar restringido a los datos que precisen para el correcto cumplimiento de sus funciones, debiendo mantener la confidencialidad sobre los mismos so pena de incurrir en el delito de revelación de secretos.

Esta confidencialidad se presenta como un derecho de las personas asistidas y una obligación de los profesionales sanitarios viéndose reforzada, junto al deber de guardar secreto profesional, por las obligaciones de sigilo, reserva y custodia de la información.

Si en el transcurso de su actividad, llegase al conocimiento de cualquier profesional sanitario cualquier dato, contenido en el sistema de información, ajeno a su competencia funcional, se extenderá sobre el mismo el deber de secreto, incurriendo en causa de responsabilidad si lo divulgase sin consentimiento expreso de la persona concernida.

Esta circunstancia obliga a las organizaciones o centros asistenciales, a sensibilizar y formar a sus trabajadores o personas asociadas en cuanto a la obligación de confidencialidad que sobre ellos recae, evitando que, por desidia o ignorancia de éstos, pudiera vulnerarse el derecho a la intimidad de las personas concernidas por la información que pasa por sus manos en razón de su actividad.

Otro posible destinatario de los datos almacenados en el sistema de información es la persona que recibe el tratamiento asistencial.

Cualquier persona que reciba una prestación asistencial que origine la entrada de sus datos en el sistema de información de la organización o centro sanitario, tendrá derecho a conocer tanto los datos por ella suministrados como cualquier otros referentes a su persona, emitidos por los profesionales a los que ha sido encomendado su tratamiento y/o cuidado, que pudieran ser de su interés a efectos de ejercer su derecho a someterse o evitar tratamientos sanitarios con pleno conocimiento de causa.

La titularidad de los datos que figuran en el sistema de información la ostenta normalmente el centro u organización asistencial. La persona asistida tiene tan solo un derecho de acceso a las partes de su historial que no estén protegidos por el derecho a la intimidad de terceros (familiares, allegados, etc.), a pesar de que la finalidad de su inclusión esté condicionada al tratamiento asistencial, a no ser que éstos previamente hubieran consentido, en forma explícita, sobre la posible cesión de dichos datos al paciente.

El derecho a la información que tiene la persona asistida cobra especial importancia en el momento de serle solicitado su consentimiento informado. Hay que señalar que para cumplir, no ya con la letra del precepto legal que lo exige (artículo 10.6 de la Ley 14/1986, de 25 de abril, General de Sanidad), sino con su espíritu y finalidad, es preciso que el paciente este en disposición de conocer todos aquellos datos que pudieran tener incidencia en el ejercicio de su libre elección de opciones, con conocimiento de causa, en forma adecuada a tenor de sus circunstancias.

En cuanto al interés del resto de personas, físicas o jurídicas, por conocer los datos personales relacionados con la asistencia sanitaria, la aportación de las mismas deberá quedar limitado a tenor de lo siguiente:

Si la persona está interesada en conocer los datos por ella suministrados, tendrá el derecho de acceso a dicha información y podrá ejercer sobre la misma su derecho de rectificación, que no de su cancelación, si dicha información se hubiera tenido en cuenta en la toma de decisiones terapéuticas sobre el paciente (a efectos de prevenir posibles reclamaciones de error en el diagnóstico o tratamiento, con las subsiguientes responsabilidades legales).

Cualquier acceso a otras partes de la información sanitaria deberá quedar condicionado a la obtención de la autorización de la persona concernida, o si esta no estuviera capacitada para dar su consentimiento, por sus representantes legales o autoridad judicial.

Si la persona solicitante de la información estuviere legalmente autorizada para obtener unos determinados datos sanitarios (instituciones encargadas de estudios epidemiológicos, planificación y evaluación sanitaria, centros de investigación sobre salud pública, etc.), éstos deberán ser suministrados con el carácter de confidencial bajo la permanente custodia de profesionales sujetos a obligación de secreto profesional, o sin tal carácter, siempre y cuando previamente se haya disociado el nombre y circunstancias del paciente, de forma tal que el contenido de los datos no permita determinar la persona a que hacen referencia ni, por ende, inferir en su esfera de intimidad personal o familiar.

Cuando sea la autoridad judicial la solicitante de la información, su petición deberá ir acompañar de las motivaciones de la misma delimitando los documentos a aportar, lo que deberá ser tenido en cuenta por el responsable del sistema. Este deberá notificar de la solicitud y su alcance al paciente, con objeto de obtener su consentimiento para la cesión.

En caso de no obtener el consentimiento del paciente, el responsable del sistema deberá informar de este hecho y sus causas al equipo sanitario encargado de la prestación asistencial y en su caso al comité de bioética del centro u organización asistencial, a fin de que estos, en forma motivada, puedan exponer sus puntos de vista sobre la pertinencia o no de remitir los documentos solicitados.

Si en esta segunda ronda de consulta obtuviese una nueva negativa motivada respecto a la entrega de los documentos, el responsable deberá dirigirse al juez planteando, como cuestión previa, la resolución de las objeciones recibidas e indicando las causas de las mismas para que éste, a la vista de los razonamientos aportados, pueda reconsiderar su petición o precisar el tipo de documentos que ineludiblemente precisa para tomar en consideración, en una forma acorde con los principios éticos que deben regir toda cesión de datos de naturaleza sanitaria, dado su carácter de extrema sensibilidad.

sumario

8.- Derechos de las personas concernidas.

En el Ordenamiento jurídico español, inicialmente por medio de la LORTAD y en la actualidad por la LOPD, se otorga, a las personas concernidas por los datos almacenados en ficheros automatizados, una explícita serie de derechos a fin de garantizar su efectiva protección ante eventuales atentados contra su intimidad derivados de la indebida utilización de dichos ficheros, entre los que se encuentran los siguientes

a) La autodeterminación informativa de los datos personales, entendida ésta como el derecho individualizado a decidir cuales de ellos pueden ser almacenados, tratados o difundidos. La aplicación de este derecho obliga a que, únicamente, se introduzcan en ficheros automatizados los datos nominativos que sean exigibles legalmente y los que, las personas concernidas, voluntaria y expresamente, autoricen a que sean tratados en dichos ficheros.

Para ciertos supuestos se establece una presunción de la otorgación tácita del consentimiento, como así ocurre cuando los datos recopilados se obtienen, de una relación contractual, para el cumplimiento de las obligaciones derivadas de la misma, tal y como ocurre con la mayoría de los datos aportados por los pacientes, dado el lógico conocimiento que los implicados deben tener sobre los datos suministrados y sobre las aplicaciones a que los mismos van a ser sometidos, en función de la finalidad perseguida con la facilitación de los mismos.

La libertad de otorgar el consentimiento ó autorización para el tratamiento automatizado de sus datos, ó de denegación del mismo, es por tanto el elemento básico del ejercicio del derecho a la autodeterminación informativa que solo cede ante la defensa de otros derechos dignos de mayor protección.

Este consentimiento, otorgado voluntariamente, podrá ser revocado en cualquier momento, con causa justificada, por las personas concernidas, debiendo, en dicho supuesto, cancelarse los datos existentes sobre las mismas, excepto si estos datos pudieran serles obligatoriamente exigidos.

La defensa de la Salud Pública obliga sin embargo a establecer una serie de habilitaciones especiales para la recogida y tratamiento de datos relativos a la salud en favor exclusivo de la Administración sanitaria, los Centros sanitarios privados y los profesionales de la Sanidad, entre las que se encuentran las de:

• no precisar del consentimiento previo de la persona concernida para procesar los datos de salud incluidos en su historial clínicosanitario o para la cesión de los mismos con objeto de solucionar una urgencia o realizar estudios epidemiológicos en los términos establecidos en la Ley General de Sanidad;
• autorizar el tratamiento informático de los datos incluidos en las recetas salvando siempre la confidencialidad de la asistencia sanitaria y el secreto estadístico;
• permitir recabar, tratar y ceder datos de salud sobre personas o grupos de personas afectados por situaciones sanitarias concretas derivadas de la existencia de un peligro para la salud, debido a las condiciones sanitarias en que desarrollan su actividad o a epidemias motivadas por enfermedades transmisibles;
• e identificar temporalmente grupos de riesgo cuando por causa de penurias de un medicamento o producto sanitario se precise condicionar su prescripción médica.

b) La obtención de puntual información sobre la existencia de todos aquellos ficheros automatizados, con exclusión de los utilizados en forma personal y privada por las personas físicas, que contengan sus datos personales, ya que difícilmente podrían ejercerse la mayoría de los derechos reseñados en la legislación sobre regulación del tratamiento automatizado de datos, sin dicho conocimiento.

Junto a esta información, las personas concernidas ostentan el derecho a recibir una información complementaria (suficiente, precisa e inequívoca) sobre el lugar de ubicación de los ficheros, el nombre y dirección de los titulares de los mismos, la finalidad perseguida con su producción, la obligatoriedad o voluntariedad de aportar datos para su inclusión en los citados ficheros, y las posibles cesiones de los datos almacenados a terceras personas con las excepciones legalmente establecidas, entre las que cabe reseñar las cesiones de datos relacionados con la salud necesarios para solucionar una urgencia o para efectuar estudios epidemiológicos.

Ley 14/86 de 25 de abril, General de Sanidad. Art. 8.1. "Se considerará como actividad fundamental del sistema sanitario la realización de los estudios epidemiológicos necesarios para orientar con mayor eficacia la prevención de los riesgos para la salud, así como la planificación y evaluación sanitaria, debiendo tener como base un sistema organizado de información sanitaria, vigilancia y acción epidemiológica".

c) La posibilidad de acceso de los ciudadanos a los ficheros automatizados en los que se encuentren almacenados sus datos, a fin de obtener un cabal conocimiento del contenido particularizado de los que a ellos se refieran y proceder, si así lo desean a promover su rectificación ó cancelación cuando ello proceda.

El ejercicio de este derecho, en toda su amplitud, obliga a los titulares de los ficheros nominativos a llevar un control exhaustivo de las cesiones realizadas de datos personales a fin de garantizar el control de los datos cedidos, incluidos en los ficheros de los cesionarios, permitiendo que sean a su vez modificados o anulados.

Existen unas específicas limitaciones de los antedichos derechos de información, acceso, rectificación y cancelación, derivadas de las necesidades de las investigaciones realizadas por las Administraciones Públicas.

Ley 14/86 de 25 de abril, General de Sanidad. Art. 61: "En cada área de Salud debe procurarse la máxima integración de la información relativa a cada paciente, por lo que el principio de la historia clínicosanitaria única por cada uno deberá mantenerse, al menos, dentro de los límites de cada institución asistencial. Estará a disposición de los enfermos y de los facultativos que directamente estén implicados en el diagnóstico y el tratamiento del enfermo, así como a efectos de inspección médica o para fines científicos, debiendo quedar plenamente garantizados el derecho del enfermo a su intimidad personal y familiar y el deber de guardar el secreto por quien, en virtud de sus competencias, tenga acceso a la historia clínica. Los poderes públicos adoptarán las medidas precisas para garantizar dichos derechos y deberes".

d) La exigencia de calidad de los datos nominativos, que implica que únicamente se sometan a tratamientos automatizados los datos personales estrictamente necesarios para cumplir con la finalidad del fichero, de que éstos sean permanentemente puestos al día y cancelados cuando dejen de ser necesarios o pertinentes, y de que se proceda a la disociación de los mismos, en una forma tal que no puedan ser puestos posteriormente en relación con la persona a que se refieran, en forma previa a su tratamiento con fines de investigación científica o médica, o con actividades análogas.

Este principio obliga asimismo a informar a los cedentes de los datos, en forma previa a su obtención y tratamiento, sobre la obligatoriedad o voluntariedad de facilitarlos y sobre las consecuencias de su aportación o denegación, y a evitar los cruces de datos o tratamiento sobre los mismos destinados a una finalidad diferente de la indicada en el momento de su recopilación, no permitiéndose su utilización, cesión ni tan siquiera conservación para una finalidad distinta de la inicialmente estipulada.

Respecto al carácter de los datos relativos a la salud deberá tenerse en cuenta que por sus características inciden en uno de los ámbitos más íntimos de las personas concernidas, por lo que deben extremarse las medidas tendentes a su protección, evitando que el conocimiento de los mismos pueda llegar a terceras personas no autorizadas, vulnerando el derecho a la intimidad personal o familiar del cedente. Esta circunstancia obliga a los profesionales sanitarios a poner de manifiesto una especial sensibilidad respecto a la importancia del control de dichos datos, evitando que, por un desconocimiento negligente de sus obligaciones legales a este respecto, pudiera provocarse un daño significativo a las personas concernidas por los datos que se encuentran en su poder.

e) El reconocimiento de la potestad de oposición, por razones legítimas propias de la situación particularizada del interesado, al tratamiento de los datos que a el se refieran.

f) La obligación de mantener el secreto profesional respecto a la información suministrada por la persona concernida al profesional sanitario, lo que implica que solo podrá autorizarse el acceso al total de la información sanitaria a los miembros del colectivo médico, limitándose al resto del personal únicamente el acceso a aquella información que precisen para realizar las tareas concretas que se les hayan encomendado.

Ley 14/86, de 25 de abril, General de Sanidad. Artículo 10.3 referente a los derechos de los pacientes "A la confidencialidad de toda la información relacionada con su proceso y con su estancia en instituciones sanitarias públicas y privadas que colaboren con el sistema público".

Código Penal, Art. 199: "1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio o de sus relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa de seis a doce meses. 2. El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años".

Debe asimismo tenerse en cuenta que a dicha relación le es aplicable lo especificado en los códigos de deontología profesional.

Juramento de Hipócrates: "Y si en mi práctica médica, o aun fuera de ella, viviese u oyere, con respeto a la vida de otros hombres, algo que jamás deba ser revelado al exterior, me callaré considerando como secreto todo lo de este tipo".

Código de Deontología médica .

CAPÍTULO III. RELACIONES DEL MÉDICO CON SUS PACIENTES. Art. 8.2: "El médico actuará siempre con corrección, respetando con delicadeza la intimidad de su paciente". Art. 11: "1. Los pacientes tienen derecho a recibir información sobre el diagnóstico, pronóstico y posibilidades terapéuticas de su enfermedad; y el médico debe esforzarse en facilitársela con las palabras más adecuadas. 2. Cuando las medidas propuestas supongan un riesgo importante para el paciente, el médico proporcionará información suficiente y ponderada, a fin de obtener el consentimiento imprescindible para practicarlas. ......4. En principio, el médico comunicará al paciente el diagnóstico de su enfermedad, y le informará con delicadeza, circunspección y sentido de responsabilidad del pronostico más probable. Lo hará también al familiar o allegado más íntimo o a otra persona que el paciente haya designado para tal fin. 5. En beneficio del paciente puede ser oportuno no comunicarle inmediatamente un pronóstico muy grave. Aunque esta actitud debe considerarse excepcional con el fin de salvaguardar el derecho del paciente a decidir sobre su futuro". Art. 15: "1. El acto médico quedará registrado en la correspondiente historia o ficha clínica. El médico tiene el deber, y también el derecho, de redactarla. 2. El médico está obligado a conservar los protocolos clínicos y los elementos materiales de diagnóstico. En caso de no continuar con su conservación por transcurso del tiempo, previo conocimiento del paciente, podrá destruir el material citado, sin perjuicio de lo que disponga la legislación especial. 3. Las historias clínicas se redactan y conservan para facilitar la asistencia del paciente. Se prohibe cualquier otra finalidad, a no ser que se cumplan las reglas del secreto médico y se cuente con la autorización del médico y del paciente. 4. El análisis científico y estadístico de los datos contenidos en las historias y la presentación de algunos casos concretos pueden proporcionar informaciones muy valiosas, por lo que su publicación es autorizable desde el punto de vista deontológico con tal que se respete el derecho a la intimidad de los pacientes. 5. El médico esta obligado, a solicitud y en beneficio del enfermo, a proporcionar a otro colega los datos necesarios para completar el diagnóstico así como a facilitarle el examen de las pruebas realizadas.

CAPÍTULO IV. SECRETO PROFESIONAL DEL MÉDICO. Art. 16. "1. El secreto del médico es inherente al ejercicio de la profesión y se establece como un derecho del paciente para su seguridad. 2. El secreto profesional obliga a todos los médicos cualquiera que sea la modalidad de su ejercicio. 3. El médico guardará secreto de todo lo que el paciente le haya confiado y de lo que haya conocido en su ejercicio profesional. 4. La muerte del enfermo no exime al médico del deber de secreto". Art. 17: "1. El médico tiene el deber de exigir a sus colaboradores absoluta discreción y observancia escrupulosa del secreto profesional. Ha de hacerles saber que ellos también están obligados a guardarlo. 2. En el ejercicio de la medicina en equipo, cada médico es responsable de la totalidad del secreto. Los directivos de la institución tienen el deber de poner todos los medios necesarios para que esto sea posible". Art. 18: "Con discreción, exclusivamente ante quien tenga que hacerlo y en sus justos y restringidos límites, el médico revelará el secreto en los siguientes casos: 1. Por imperativo legal. Si bien en sus declaraciones ante los tribunales de justicia deberá apreciar si, a pesar de todo, el secreto profesional le obliga a reservar ciertos datos. Si fuera necesario, pedirá asesoramiento al Colegio. 2. Cuando el médico se vea injustamente perjudicado por causa del mantenimiento del secreto de un paciente y éste sea el autor voluntario del perjuicio. 3. Si con el silencio se diera lugar a un perjuicio al propio paciente u otras personas; o un peligro colectivo. 4. En las enfermedades de declaración obligatoria. 5. Cuando el médico comparezca como acusado ante el Colegio o sea llamado a testimoniar en materia disciplinaria. No obstante, tendrá derecho a no revelar las confidencias del paciente". Art. 19: "1. Los sistemas de informatización médica no comprometerán el derecho del paciente a la intimidad. 2. Todo banco de datos que ha sido extraído de historias clínicas estará bajo la responsabilidad de un médico. 3. Un banco de datos médicos no debe conectarse a una red informática no médica". Art. 20: "Cuando un médico cesa en su trabajo privado su archivo podrá ser transferido al colega que le suceda, salvo que los pacientes manifiesten su voluntad en contra. Cuando no tenga lugar tal sucesión el archivo deberá ser destruido, sin perjuicio de lo dispuesto en el artículo 16.2 de esta Código".

CAPÍTULO VI. REPRODUCCIÓN, REPETO A LA VIDA Y A LA DIGNIDAD DE LA PERSONA. Art. 30 "..... 2. El médico que conociere que cualquier persona y más aún si es menor o incapacitado, para cuya atención ha sido requerido, es objeto de malos tratos, deberá poner los medios necesarios para protegerlo y ponerlo en conocimiento de la autoridad competente".

Esta obligación sólo en muy aislados casos y por las circunstancias explícitamente reseñadas en la ley podrá decaer ante la protección de otros derechos de mayor enjundia.

En razón de la relación de cuasidependencia, o dependencia absoluta, establecida por las especiales circunstancias en que se enmarca la relación entre la persona concernida y el personal sanitario, derivada de la necesidad de acudir, en la mayoría de los casos, dicha persona, a los servicios de los segundos, se establece una especial obligación de extremar el cuidado del tratamiento, control y posterior utilización de la información obtenida en dichas circunstancias, dada la merma de la capacidad del consentimiento requerido.

g) La prevención administrativa ejercida por las Agencias de Protección de Datos nacional y autonómicas, y la protección jurisdiccional de las personas afectadas, cuando se produzca un daño, material ó moral, provocado por la indebida utilización de tratamientos automatizados de sus datos. Éstas podrán solicitar, de los titulares, productores, distribuidores ó responsables de los ficheros automatizados ocasionantes del mismo, el resarcimiento del daño causado y, caso de denegárseles dicho resarcimiento, el derecho a solicitar la tutela de los tribunales correspondientes a fin de obtener judicialmente una sentencia que establezca el quantum de la indemnización por el daño sufrido.

sumario

9.- Régimen de la producción y distribución de ficheros con datos sobre salud.

En forma previa a la producción de ficheros susceptibles de almacenar datos sanitarios, los titulares de los mismos deberán delimitar, dejando constancia documentada, su estructura, el tipo de datos que se pretenden recopilar, el procedimiento de recogida de los mismos, la finalidad perseguida con su creación, los usos a los que el fichero vaya a destinarse, las cesiones que se prevean hacer de los datos almacenados, las medidas de seguridad a adoptar sobre su contenido y el nombre de las personas y órganos responsables de su utilización.

Dichas especificaciones habrán de ser obligatoriamente notificadas a la Agencia de Protección de Datos y anotadas en el Registro General de Protección de Datos dependiente de la misma, en la forma que reglamentariamente se determina.

Para los ficheros de las Administraciones Públicas, nuestro Ordenamiento jurídico exige además que esos requisitos se establezcan en una disposición general publicada en el B.O.E ó en el Diario Oficial correspondiente.

Los titulares de los ficheros automatizados antedichos, y el personal médico sanitario, deberán asimismo garantizar la seguridad de los datos que obren en su poder (responsabilizándose de la actividad desarrollada por las personas encargadas de gestionar el fichero y de las medidas de seguridad adoptadas en relación con los equipos, locales y sistema de control de acceso), prever los medios de actualización de dichos datos, y guardar secreto sobre los datos considerados como especialmente sensibles (religión, creencias, origen racial, salud y vida sexual).

La producción de los ficheros, una vez cumplimentados los citados requisitos previos, podrá realizarse recogiendo únicamente los datos de carácter sanitario adecuados, pertinentes y necesarios en relación con la finalidad específica del fichero, que deberá ser acorde con la actividad u objeto legítimo del titular del mismo.

Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos, obligando al productor del fichero a controlar su veracidad y exactitud y a mantener su puesta al día, completando y sustituyendo los incompletos o inexactos y cancelando los innecesarios.

Sobre los productores de los ficheros automatizados sanitarios recae igualmente la obligación de obtener el consentimiento previo, no viciado, de los pacientes y personas concernidas, en relación con el tratamiento de sus datos personales para la finalidad prevista y de advertirles sobre la posibilidad de su cesión a terceras personas identificadas o identificables salvo en los casos en los que legalmente se les exime de dicha obligación (tratamiento de datos para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias, o de datos sobre personas vinculadas por una relación jurídica que sean necesarios para el mantenimiento o cumplimiento de dicha relación).

A efectos de garantizar la libertad de concesión o denegación de dicho consentimiento, el personal sanitario deberá informar suficientemente a las personas concernidas, de la existencia del fichero y de sus derechos al conocimiento de la finalidad perseguida con su producción, de los posibles destinatarios de la información almacenada en el mismo y del nombre y dirección del titular del fichero. Asimismo les deberá informar sobre sus derechos de acceso a los datos que les conciernan que se encuentren almacenados en los ficheros, y de rectificación y cancelación de los mismos cuando esto proceda.

Los datos obtenidos por el personal sanitario, deberán utilizarse exclusivamente para la finalidad prevista, no permitiéndose su utilización, cesión ni tan siquiera conservación para una finalidad distinta a la inicialmente estipulada.

Cuando el titular del fichero encomiende la producción del mismo a terceras personas ajenas al ámbito de su potestad directiva u organizadora, deberá indicar nítidamente, en la estipulación de las correspondientes relaciones contractuales con las mismas, el procedimiento y tipo de datos a recopilar, la finalidad de la recopilación, y las obligaciones recíprocas de las partes contratantes, siendo conveniente especificar en forma precisa la obligación de guardar secreto profesional respecto a los datos obtenidos, obligación que subsistirá aún después de finalizadas las relaciones contractuales.

Previo a la distribución de la información nominativa almacenada en ficheros automatizados, deberá estipularse nítidamente, cuando no coincidan en la misma persona (física o jurídica) la titularidad del fichero y la titularidad de los servicios de distribución del mismo, las específicas obligaciones de las partes relacionadas con la difusión de dicha información.

El titular del fichero asumirá las obligaciones relacionadas con su contenido, responsabilizándose de la licitud de la recopilación de datos, de su exactitud, puesta al día, adecuación y pertinencia, de la obtención del consentimiento de las personas afectadas y de la cumplimentación de los trámites administrativos de notificación e inscripción del fichero en el correspondiente Registro y, el distribuidor, las obligaciones relacionadas con la gestión del fichero, responsabilizándose del control de acceso al mismo de las personas autorizadas a utilizarlo, de informar a las personas concernidas sobre la primera cesión de sus datos, así como de la seguridad del fichero, de los soportes lógicos y físicos destinados a su tratamiento y almacenaje y del local donde dicho fichero esté ubicado.

Sobre el distribuidor recae igualmente la obligación de llevar un exhaustivo control de las cesiones de datos que se realicen, a fin de poder notificar las rectificaciones o cancelaciones, que se efectúen con posterioridad a la transmisión de los mismos, a los cesionarios de dichos datos.

Los receptores de la información que contenga datos sanitarios, tratados en forma automática, deberán únicamente emplearlos para una finalidad acorde con los objetivos legítimos del titular del fichero, siendo de aplicación la legislación sobre regulación del tratamiento automatizado de datos a cualquier uso posterior, incluso no automatizado, que los receptores hagan de dichos datos, asumiendo, caso de producirse ulteriores cesiones de la información, el papel de productores o distribuidores de información nominativa, con las exigencias legales aplicables a los mismos.

En la legislación sobre regulación del tratamiento automatizado de datos nominativos se prevé la posibilidad de realizar, mediante acuerdos sectoriales o decisiones de empresa, la formulación de Códigos tipo, de carácter deontológico y circunscritos al ámbito sectorial del acuerdo, en los que podrán establecerse las condiciones generales, obligaciones, derechos y garantías exigibles a los implicados en el tratamiento y uso automatizado de la información personal. Estos Códigos deberán ser preceptivamente supervisados por la Agencia de Protección de Datos.

La insuficiente protección jurídica de las personas, en relación con el tratamiento automatizado de sus datos, otorgada por los Ordenamientos jurídicos de determinados países a tenor de lo estipulado en la LOPD y en los Acuerdos y Convenios internacionales sobre la materia, obliga a los distribuidores de información sanitaria, a impedir el acceso a dicha información desde esos países, salvo en las ocasiones en que el Director de la Agencia de Protección de Datos así lo haya expresamente autorizado, con las excepciones de la transmisión de información destinada al auxilio judicial internacional, al intercambio de datos de carácter médico entre facultativos cuando así lo exija el tratamiento del afectado ó para investigaciones sobre brotes epidémicos.

En el Título VII de la LOPD (artículos 43 a 49) se establece la responsabilidad derivada del incumplimiento de las anteriores obligaciones estipulándose una tipificación de infracciones y sus correlativas sanciones, dejando la regulación del procedimiento sancionador para un posterior desarrollo reglamentario.

La Directiva 95/46/CE, de 24 de octubre, sobre protección de las personas ante el tratamiento de sus datos nominativos, en su Capítulo III establece asimismo, junto a la responsabilidad derivada de los tratamientos ilícitos de datos y el régimen sancionador, el control administrativo y jurisdiccional de dicha responsabilidad, lo que otorga a las personas concernidas el derecho a las acciones judiciales establecidas como protección de su intimidad y dignidad.

Por su parte el Código de Deontología Médica incide en la responsabilidad profesional, al indicar en su artículo 2.2. la aplicación de las medidas disciplinarias, previstas en los Estatutos de la Organización Médica Colegial, ante los incumplimiento de los deberes deontológicos.

sumario

10.- Protección y control de ficheros nominativos con datos sobre salud.

La tutela administrativa de protección de los anteriores derechos está encomendada a un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad de obrar, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones, denominado Agencia de Protección de Datos, que tiene como finalidad el velar por el cumplimiento de la legislación sobre regulación del tratamiento automatizado de datos nominativos.

Como Órgano integrado en dicha Agencia, se ha constituido el Registro General de Protección de Datos, en el cual deberán inscribirse, en la forma que reglamentariamente se determine, la totalidad de archivos informatizados, tanto de titularidad pública como de titularidad privada, que almacenen este tipo de información, los Códigos tipo sectoriales y las Autorizaciones del Director de la Agencia relacionadas con el flujo internacional de datos.

Para poder ejercer su labor protectora, la LOPD otorga a la Agencia las potestades administrativas inspectora y sancionadora facultándola para inspeccionar los ficheros automatizados que almacenen información personal, imponer sanciones pecuniarias (que pueden llegar a los 100 millones de pesetas), ordenar el cese de los tratamientos y la cancelación de los ficheros que incumplan con las especificaciones legales, proceder a la inmovilización de los mismos en los supuestos de que se atente gravemente contra el ejercicio de los derechos de los ciudadanos, e iniciar los procedimientos disciplinarios correspondientes a las infracciones cometidas por funcionarios relacionados con la utilización de ficheros de la Administración Pública.

Junto a estas potestades, la Agencia de Protección de Datos ostenta las funciones controladora y registral de los Códigos Tipo elaborados mediante acuerdos sectoriales ó decisiones de los responsables de los ficheros de titularidad privada.

Respecto a los ficheros cuya titularidad o responsabilidad corresponda a las Comunidades Autónomas, las funciones y potestades de la Agencia de Protección de datos deberán ser ejercidas por los órganos correspondientes de cada Comunidad.

El Defensor del Pueblo y los órganos análogos de las diferentes Comunidades Autónomas deberán asimismo contribuir, en el ámbito de sus competencias, a supervisar la actividad de los titulares y responsables de los ficheros de las Administraciones Públicas.

Junto a este control administrativo, el Ordenamiento jurídico español establece el control jurisdiccional de la actividad realizada por los responsables de los ficheros, encomendado, previa la interposición de las correspondientes demandas, a los jueces y tribunales del orden Civil, Contencioso administrativo ó Penal, a fin de garantizar la protección de los derechos legalmente establecidos ó el resarcimiento de las lesiones provocadas como consecuencia de la utilización ilícita o negligente de ficheros automatizados que contengan datos de carácter personal.

En lo que respecta a la protección de los derechos fundamentales, junto a los antedichos órganos administrativos y jurisdiccionales, es el Tribunal Constitucional, en última instancia, el garante de las mismas, siendo significativa la ya consolidada línea jurisprudencial que reconoce la libertad informática, entendida ésta como el derecho a la autodeterminación informativa, como un derecho fundamental relacionado con la dignidad de la persona y su intimidad, que merece, por las posibilidades de intromisión de la informática en lo que respecta al tratamiento de datos nominativos, de una especial protección (Sentencias 254/1993, de 20 de julio; 143/1994, de 9 de mayo; 11/1998, de 13 de enero; 94/1998, de 4 de mayo; 290/2000, de 30 de noviembre; y 292/2000 de 30 de noviembre).

sumario

11.- Controversias específicas relacionadas con datos sobre salud.

11.1- La historia clínica.

Tal y como anteriormente se ha indicado, los sistemas de información sanitaria buscan integrar al máximo la información relacionada con las personas objeto de asistencia.

La historia clínica, en ese contexto, se configura como el elemento básico que aglutina, en forma personalizada, la información sobre cada paciente.

Si bien en numerosas definiciones de la "Historia clínica" ésta se describe como el "documento" que contiene o al que se incorpora toda la información relacionada con la asistencia sanitaria al paciente, la realidad es que la "Historia clínica" constituye un archivo de documentos al que progresivamente se van incorporando aquellos que contengan información de previsible interés para su salud.

La finalidad de este archivo personalizado, es la de facilitar la asistencia sanitaria, aportando una información lo más veraz, exacta y actualizada posible del estado de salud de la persona concernida, a efectos de su utilización, en beneficio de la misma, por los profesionales de los equipos asistenciales a los que en un momento dado dicha persona pudiera acudir.

El contenido de la Historia clínica, que depende en gran medida de las relaciones entre la persona asistida y los servicios sanitarios, esta constituido por una serie de documentos que pueden tener los siguientes contenidos:

• datos meramente administrativos,
• opiniones del paciente, o terceras personas, sobre las causas que le han llevado a solicitar la prestación asistencial,
• antecedentes y datos complementarios, que pudieran ser de interés, relacionados con el paciente y su entorno social, recogidos por el equipo de salud,
• exploraciones físicas a que es sometido el paciente por el personal médico,
• informes clínicos o quirúrgicos,
• análisis de la evolución del paciente en los sucesivos tratamientos a los que haya sido sometido,
• ordenes médicas e informes de enfermería,
• otorgamiento del consentimiento informado,
• informe de alta,
• cualquier otro documento de previsible interés para la atención sanitaria del paciente.

Iª) Por una parte deben establecerse los criterios para incluir en la Historia clínica aquellos documentos que, aun siendo de interés para la asistencia del paciente, no sea legalmente exigible su incorporación.

Cuando estos documentos pongan de manifiesto datos u opiniones de terceras personas, ajenas al mismo, éstas deberán ser informadas de la inclusión de dicha información en la Historia clínica.

Deberá asimismo recabarse su autorización para dicha inclusión, siempre que la misma figure vinculada al cedente, previa información de las posibles futuras cesiones de los datos aportados, a fin de obtener su consentimiento. En caso de no ser otorgado este, el documento se catalogará como secreto, permitiendo el acceso al mismo tan solo al personal asistencial sujeto al deber de secreto profesional.

IIª) Por otra parte, debe establecerse, en forma clara y determinada individualmente para cada documento integrado en la Historia clínica, la posibilidad de acceso a la información total o parcial contenida en los mismos por aquellas personas (físicas o jurídicas) que por una u otra causa pudieran solicitar el conocimiento de su contenido, ya sean componentes del equipo asistencial, el propio paciente, familiares o allegados, o terceras personas relacionadas con el paciente por alguna causa o circunstancia (aseguradoras, empleadores, personas relacionadas por algún suceso o siniestro, administración pública, poder judicial, etc.).

La interrelación entre estas dos facetas permitirá determinar los límites de la difusión de la información contenida en los documentos que conforman la Historia clínica, ponderar la utilidad y riesgos de incorporar o no determinadas anotaciones y realizar los actos de incorporación y extracción de dicha información, en una forma responsable, pertinente y adecuada, tanto para la finalidad perseguida por la constitución de la Historia clínica como para la garantía de protección de la intimidad de las personas concernidas por la información.

sumario

11.2- La exploración genética.

Los datos recopilados de análisis genéticos, a personas determinadas, permiten aventurar, con un cierto grado de fiabilidad, la denominada salud genética de las mismas, facilitando la prevención de posibles futuras enfermedades físicas o mentales.

Junto a esta indudable ventaja, la información obtenida de estas pruebas presenta cuatro características básicas, que pueden poner en cuestión los beneficios de su conocimiento: 1) la íntima relación entre los datos genéticos y la persona a la que hacen referencia (huella genética), 2) el mantenimiento inalterable de dicha información a lo largo de toda la vida de la persona, 3) su interrelación con la estructura genética de terceras personas (familiares), y 4) su eficacia para determinar la proclividad a contraer determinadas enfermedades, tanto por el sujeto, como por su descendencia.

El conocimiento y difusión no autorizada de los resultados de las exploraciones genéticas pueden acarrear, en virtud de las antedichas características, problemas de discriminación social, laboral, etc. También puede provocar graves enfrentamientos familiares, cuando la divulgación de los datos entren en conflicto con aspectos de la intimidad que otros integrantes de la familia deseasen que se mantuviesen en secreto, lo que debe tenerse muy presente a fin de no vulnerar derechos fundamentales dignos de una especial protección jurídica.

Estas particularidades obligan a extremar los cuidados de confidencialidad de este tipo específico de datos. Es necesario garantizar que, al igual que para someterse a cualquier exploración genética se exige la previa obtención del consentimiento libre y completamente informado, para cualquier acceso a estos datos se requerirá preceptivamente una similar autorización explícita, y por escrito, de la persona concernida, a fin de respetar escrupulosamente el deber de secreto que conlleva la obtención de este tipo de datos.

En dicho escrito deberá reflejarse, en forma inequívoca, tanto la persona o personas autorizadas para acceder a los datos como la finalidad de la utilización de los mismos. Se entenderá como acto ilícito y contrario al secreto profesional, cualquier otra cesión, así como la utilización de dicha información para una finalidad distinta a la expresamente autorizada. Quedarán a salvo las presunciones legales que, por la negativa a aportar dichos datos por parte de la persona concernida, pudieran establecerse en perjuicio de la misma.

sumario

11.3- Las enfermedades transmisibles con especial referencia al virus de la inmunodeficiencia humana (VIH) y síndrome de inmunodeficiencia adquirida (SIDA).

La información relacionada con las enfermedades infecto-contagiosas incide en diferentes facetas personales y sociales que conviene analizar por separado.

Por un lado, la seguridad de la salud pública exige el control global de las enfermedades transmisibles y el establecimiento de medias precautorias de carácter coercitivo o meramente restrictivo, por la cual, partiendo de estudios continuos y metódicos, basados en recogida de datos obligatorios sobre aparición y distribución de enfermedades o brotes epidémicos en diferentes zonas, los sistemas de vigilancia epidemiológica y promoción de la salud pretenden establecer un sistema ágil de medidas de control, tendente a mejorar la salud pública y prevenir las enfermedades, previa identificación de los factores de riesgo que originan su aparición y/o propagación.

Por otro, la protección de los derechos fundamentales de las personas puede poner de manifiesto, respecto a la repercusión de la afección de su salud por determinadas enfermedades, un posible conflicto de diferentes derechos dignos de protección, debiéndose ponderar la primacía de unos frente otros en función de aspectos ético-jurídicos de difícil concreción.

Frente al derecho a la protección de la salud de las personas y en especial de las de aquellas que corran un mayor riesgo de contraer una determinada enfermedad, se encuentra el derecho de protección física y mental del propio enfermo, ante su estado carencial de salud y posibles violaciones de su intimidad o previsibles comportamientos discriminatorios promovidos por razón de su enfermedad.

En cuanto al primer aspecto reseñado podemos poner de manifiesto la actividad de los poderes públicos en cuanto a su regulación normativa, tal y como queda patente entre otros por la publicación del Real Decreto 2210/95, de 28 de diciembre, por el que se crea la Red Nacional de Vigilancia Epidemiológica, y en el ámbito autonómico por las diferentes normas reguladoras de esta materia (Decreto 184/1996, de 19 de diciembre, por el que se crea la Red de Vigilancia epidemiológica de la Comunidad de Madrid, Orden 9/1997, de 15 de enero, para el desarrollo del Decreto 184/1996, en lo que se refiera a las enfermedades de declaración obligatoria, a las situaciones epidémicas y brotes y al síndrome de inmunodeficiencia adquirida SIDA e infección por virus de la inmunodeficiencia humana VIH, etc.).

Dada la finalidad de los estudios epidemiológicos, los análisis estadísticos de la aparición y propagación de las diferentes enfermedades y brotes no precisan de una identificación personalizada de las personas afectadas. De este modo la confidencialidad de sus datos personales queda protegida con la disociación de éstos respecto al estudio en cuestión.

Esta disociación de datos, en ciertos casos provoca una desviación de los resultados obtenidos, tal y como se pone de manifiesto en los informes sobre vigilancia epidemiológica del SIDA/VIH publicados en el Boletín Epidemiológico de la Comunidad de Madrid, que indican que dado el carácter anónimo de la notificación (en relación con la vigilancia de la infección por VIH), es difícil controlar las duplicidades de datos sobre un mismo enfermo, originadas por la repetición en los hospitales de las pruebas realizadas previamente en centros extra-hospitalarios, aun dentro de los mismos laboratorios.

Sin embargo este tipo de desviaciones, que pueden asimismo evaluarse numéricamente, no son causa suficiente para facilitar el acceso a aquellos datos nominativos cuya difusión podría afectar negativamente al derecho de autodeterminación informativa que poseen las personas concernidas por los mismos.

En cuanto al segundo aspecto, y haciendo especial referencia a la infección del VIH, queremos resaltar la colisión de derechos surgida en uno de los sectores potencialmente más necesitados de protección, el de los niños.

Este sector es especialmente sensible a la propagación de contagios, sobre todo entre los más pequeños, derivada de la dificultad de autocontrol de los menores, y a la desprotección de la intimidad y derecho a la no discriminación, dados los efectos sobre su estabilidad psíquica y/o emocional, que los tratos innecesariamente aislacionistas podrían provocar en perjuicio de su salud mental, acceso a la educación y la cultura y libre e igualitario desarrollo de su personalidad.

Ciertamente los médicos que, en razón de su actividad, tengan conocimiento de pacientes (niños para el caso que ahora comentamos) con VIH, deben comunicárselo, además de a las autoridades sanitarias pertinentes, mediante los modelos oficiales elaborados al efecto para la notificación de enfermedades de declaración obligatoria, a los padres, tutores o responsables del menor.

Esta comunicación debería ir acompañada de indicaciones expresas sobre su deber de adoptar las medidas preventivas pertinentes que deberán tender tanto a la protección del niño afectado dada su mayor propensión a contraer determinadas enfermedades, como a evitar el contagio de las personas de su entorno.

Entre las primeras medidas a adoptar, relacionadas con el cuidado del portador del VIH y la posible propagación del mismo, deberán tomarse en consideración las de informar a las personas del entorno más próximo del niño (familiares y allegados) así como a los responsables de los lugares frecuentados habitualmente por el menor (colegio, colonia de vacaciones, espacios deportivos, etc.), por la beneficiosa incidencia que una cooperación de éstos pudiera tener para la estabilidad física y mental del afectado, y para extremar el cuidado de las personas sobre las que pudiera existir un mayor riesgo de contagio.

A fin de asumir, en forma compartida y solidaria, los efectos del VIH, deberán establecerse los mecanismos sociales pertinentes de ayuda a las personas afectadas, con una implicación directa de los poderes públicos mediante la creación de órganos administrativos específicos (tales como la Comisión de SIDA infantil constituida en la Comunidad Autónoma Vasca, u órganos similares).

La misión de estos órganos debería ser, en forma general, incidir en la sensibilización del problema. Para ello sería necesario informar adecuadamente sobre las formas de propagación del VIH y las medidas a adoptar para evitar la misma, así como desdramatizar la situación poniendo de manifiesto que es un problema que precisa de la colaboración de todos.

Es fundamental asimismo ayudar a la integración social de los afectados, poniendo medios a su servicio para lograr una transmisión más precisa de información, por medio de personal sanitario cualificado, a personas y entidades que precisen de ella en razón de las necesidades tanto del niño como de las personas de su entorno que pudieran correr un mayor riesgo de contagio.

Junto a estas medidas de información y sensibilización social, estos órganos deberían poder actuar enérgicamente cuando detectasen comportamientos discriminatorios y/o situaciones de aislamiento de las personas con VIH, otorgándoles potestad para promover la imposición de sanciones administrativas, como último recurso, contra los responsables de centros docentes o entidades similares, que no fomentasen la integración o que no interviniesen ante conductas discriminatorias, todo ello a fin de promover una respuesta social efectiva y solidaria para con los afectados.

A efectos de prueba, sería aconsejable que, en la historia clínica del paciente, quedara reflejada la fecha y alcance de la comunicación de las medidas preventivas a adoptar por los padres o tutores, en un documento similar al del consentimiento informado, documento que deberá firmar la persona que recibe la información.

La revelación de la existencia de este documento, al que solo podrían tener acceso los responsables de la asistencia médica del enfermo, solo podría ser efectuada en el marco de un procedimiento judicial y con el único objetivo de servir defensa del equipo asistencial.

Tan solo en el caso en que, por cualesquiera cauces, llegase al conocimiento del equipo asistencial que el entorno del niño pudiera verse sometido, sin control alguno, a un alto riesgo de contagio, los facultativos responsables de su asistencia deberán actuar en consecuencia y decidir las medidas a adoptar, entre las que pueden plantearse las siguientes:

a) la forma, límites y alcance de la información a suministrar a los antedichos órganos administrativos especializados en la lucha contra el SIDA/VIH, si estos existiesen, y/o a los responsables de los lugares en los que exista dicho riesgo incontrolado, para que adopten las medidas pertinentes, y

b) el levantamiento total o parcial del secreto profesional de los datos personales del afectado,

debiendo para ello calibrar las consecuencias de su decisión en función del riesgo potencial de contagio a terceras personas, de las circunstancias y comportamiento específico del enfermo y de la trascendencia que para él pudiera tener la difusión de dicha información, teniendo siempre presente que el deber de secreto profesional solo debe ser relevado ante excepcionales circunstancias, en la medida estrictamente necesaria para su efectividad y con las máximas precauciones, todo ello en virtud de la especial relación establecida entre los pacientes y los profesionales de la salud.

Igual comportamiento debería mantener el facultativo en aquellos otros casos de colisión de derechos en los que, asimismo, pudiera plantearse la duda sobre la prevalencia del derecho a la intimidad del enfermo frente a otros derechos de terceros (pareja que conviva maritalmente o de hecho con la persona afectada, personal sanitario que atiende al enfermo, etc.).

Por su parte, los receptores de la información sobre la persona afectada, ya provenga ésta del padre, del médico, del organismo especializado de la administración, o de cualquier otra persona, deberán guardar secreto sobre este hecho, debiendo en todo momento promover tanto la seguridad de los compañeros del enfermo como la protección de los derechos de éste a no ser discriminado, junto con la promoción de los derechos, de todos ellos sin distinción, a la educación, el deporte y el libre desarrollo personal.

Asimismo las instituciones públicas y la sociedad en su conjunto, deberán en forma global, promover la solidaridad con las personas afectadas, evitando la discriminación de las mismas en razón de su enfermedad e impulsar la adopción de medidas educativas y de precaución generalizadas.

sumario

12.- Conclusiones.

Como ya se ha indicado, la consolidación de las nuevas tecnologías de la información y su aplicación al ámbito sanitario aporta una nueva perspectiva de la incidencia de la automatización de los datos de los pacientes ya que, junto a las múltiples ventajas del acopio de información puntual sobre los procesos y tratamientos a que deben ser sometidos, no cabe ignorar los riesgos derivados de posibles vulneraciones de su intimidad personal y familiar.

El desarrollo legislativo nacional e internacional sobre protección de la intimidad ante el tratamiento automatizado de datos extremadamente sensibles, debe hacer tomar conciencia, a los profesionales del sector sanitario, de la importancia de este fenómeno y de la necesidad de tener en cuenta, junto a los cuidados de la salud de sus pacientes, de su obligación de actuar en una forma extremadamente diligente en cuanto al almacenamiento, mantenimiento o cesión de los datos que obren en su poder, derivados de la relación asistencial.

Dicha obligación, inherente a todos aquellos que, en uno u otro momento, puedan estar habilitados para acceder a la información médico-sanitaria, implica una actitud comprometida con la seguridad de los datos y la protección de los mismos en beneficio de las personas concernidas, evitando que actuaciones negligentes o meramente pasivas puedan dar lugar a vulneraciones de los derechos fundamentales de los pacientes a la protección de su intimidad, imagen o dignidad.

sumario

13.- Bibliografía.

- AA.VVInformación y Documentación clínica. Actas del seminario conjunto sobre información y documentación clínica celebrado en Madrid los días 22 y 23 de septiembre de 1997. Consejo General del Poder Judicial y Ministerio de Sanidad y Consumo. Volúmenes I y II. Madrid 1997.

- AA.VV.: Información y Documentación clínica. Documento final del Grupo de expertos de fecha 26 de noviembre de 1997. Ministerio de Sanidad y Consumo. Madrid, 1998.

- Álvarez-Cienfuegos, José María: La libertad informática, un nuevo derecho fundamental en nuestra Constitución. La Ley. número 5230 (22/enero/2001), págs. 1-5

- Álvarez Cienfuegos, José María: Legislación aplicada a datos sanitarios. Seminario "Protección de datos en el ámbito de la Salud". Madrid 4 de julio de 1996.

- Álvarez-Cienfuegos Suárez, José María: El derecho a la intimidad personal, la libre difusión de la información y el control del estado sobre los bancos de datos. Actualidad Administrativa, nº 37 año 1991, págs. 457 y ss.

- Carrascosa López, Valentín: La LORTAD: una necesidad en el panorama legislativo español. Informática y Derecho, nº 6-7 año 1994, págs. 11-81.

- Consejo General de los Colegios Oficiales de Médicos: Código de Deontología Médica.1990.

- Convenio 108, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo, e Instrumento de ratificación de 27 de enero de 1984, por parte de España.

- Davara Rodríguez, Miguel Ángel: De las Autopistas de la Información a la Sociedad Virtual. Edit. Aranzadi. Pamplona 1996.

- Davara Rodríguez, Miguel Ángel: Derecho Informático. Edit. Aranzadi. Pamplona 1993.

- Del Peso Navarro, Emilio y Ramos González, Miguel Ángel: Confidencialidad y seguridad de la información: La LORTAD y sus implicaciones socioeconómicas. Edit. Díaz de Santos. Madrid 1994.

- Del Peso Navarro, Emilio: La seguridad de los datos automatizados de carácter médico. I Congreso Nacional de Informática de la Salud. Madrid 1995.

- Directiva 95/46/CE de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

- Directiva 97/66/CE, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones

- Gayo Santa Cecilia, Mª Eugenia: Garantías del ciudadano ante la LORTAD: Posibles vías de defensa y protección de sus derechos fundamentales. III Congreso Iberoamericano de Informática y Derecho. Nuevas Tecnologías y libertades. Mérida (España). Septiembre de 1992, editado en soporte informático (disquete).

- Gracia Guillén, Diego: Responsabilidad ética y responsabilidad jurídica del personal sanitario. Jornadas sobre los derechos de los pacientes. Madrid 10 a 14 de diciembre de 1990. Insalud, págs. 115-130.

- Gracieta Royo, Luis Pedro y Ibarra García, Nuria: La confidencialidad de la historia clínica: una aportación desde de perspectiva del contrato de seguro. La Ley, 2000-3.

- Heredero Higueras, Manuel: La Ley Orgánica 5/1992, de regulación del tratamiento automatizado de los datos de carácter personal. Comentario y textos. Edit. Tecnos. Madrid 1996.

- Heredero Higueras, Manuel: La protección de los datos personales registrados en soportes informáticos. Actualidad informática Aranzadi, núm. 2. Enero de 1992. págs. 1-3.

- Jareño Leal, Ángeles y Doval Pais, Antonio: Revelación de datos personales, intimidad e informática. La Ley, 1999-4.

- Ley 14/1986, de 25 de abril, General de Sanidad.

- Ley 25/1990, de 20 de diciembre, del Medicamento.

- Ley Orgánica 3/1986, de 14 de abril, de Medidas especiales en materia de Salud Pública.

- Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de datos de carácter personal.

- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter Personal.

- López González, Ramiro A.: Perspectivas de protección de datos desde el Sector Sanitario. Seminario "Protección de datos en el ámbito de la Salud". Madrid 4 de julio de 1996.

- Martín Bernal, José M. y Martín García, Mª Pilar: Intimidad y libertades. III Congreso Iberoamericano de Informática y Derecho. Nuevas Tecnologías y libertades. Mérida (España). Septiembre de 1992, editado en soporte informático (disquete).

- Martín Pallín, José Antonio: La necesidad de regular jurídicamente la tecnología informática. Otrosí informativo. Febrero de 1993. págs. 16-17.

- Morales Prats, Fermín. Confidencialidad, intimidad e informática: La protección de los datos del paciente. Perspectiva jurídico-penal. Jornadas sobre los derechos de los pacientes. Madrid 10 a 14 de diciembre de 1990. Insalud, págs. 131-170.

- Orozco Pardo, Guillermo: Consideraciones sobre los derechos de acceso y rectificación en el proyecto de Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter personal. III Congreso Iberoamericano de Informática y Derecho. Nuevas Tecnologías y libertades. Mérida (España). Septiembre de 1992.

- Orozco Pardo, Guillermo: Los derechos de las personas en la LORTAD. Informática y Derecho, nº 6-7 año 1994, págs. 151-201.

- Páez Mañá, Jorge: La producción y distribución de bases de datos nominativos. VI Encuentro sobre Informática y Derecho. Universidad Pontificia de Comillas. Madrid. Mayo de 1992.

- Pérez Luño, Antonio Enrique: Del habeas corpus al habeas data. Encuentros sobre Informática y Derecho 1990-1991. Edit. Aranzadi. Pamplona 1992. Págs. 171-179.

- Peso Navarro, Emilio y Miguel Ángel Ramos González LORTAD: El Reglamento de la Seguridad. Díaz de Santos. Madrid, 1999.

- Peso Navarro, Emilio del: Manual de Outsourcing Informático . Díaz de Santos, Madrid, 2000.

- Peso Navarro, Emilio: Ley de Protección de datos. la nueva LORTAD. Díaz de Santos. Madrid, 2000.

- Peso Navarro, Emilio: La seguridad de los datos automatizados de carácter médico. Segundo Congreso Internacional de Informática y Derecho, celebrado en Mérida los días 24 a 28 de abril de 1995. Publicada y distribuida en forma de fichero automatizado, en discos flexibles de ordenador, por la UNED. Págs. 1-10.

- Piattini, Mario y Peso, Emilio del: Auditoría Informática. Un enfoque práctico. RA-MA, Madrid, 2001. 2ª edición.

- Reglamento 45/2001, del Parlamento europeo y del Consejo, de 18 de diciembre del 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y lo organismos comunitarios y a la libre circulación de estos datos

- Réglementation applicable aux banques de données médicales automatisées (Recommendation nº R(81) 1 et exposé des motifs) (1981).

- Romeo Casabona, Carlos María: Configuración sistemática de los derechos de los pacientes en el ámbito del derecho español. Jornadas sobre los derechos de los pacientes. Madrid 1990, págs. 171-198.

- Sánchez Bravo, Álvaro A.: La protección del derecho a la libertad informática en la Unión Europea. Universidad de Sevilla. 1998.

sumario