 |
|
[Entrada] [Actividades]
[Revista I + S] [Solicitud de
Inscripción]
Emilio Aced Félez.
Agencia de protección de datos
Principios esenciales del tratamiento automatizado de datos clínicos
El tratamiento automatizado de datos médicos es, probablemente, el único caso en el que entran en conflicto dos derechos referidos a la misma persona: el derecho a la salud y el derecho a la vida privada o, en el aspecto de la vida privada que nos interesa, la protección de datos personales. En efecto, cuando entran en conflicto dos derechos, siempre se suele tratar de encontrar el equilibrio entre dos derechos reclamados por dos partes diferenciadas, como, por citar sólo un caso a modo de ejemplo, entre el derecho a la intimidad y la libertad de expresión.
E n cambio, cuando se trata de la salud de una persona, el derecho a mantener reservadas diversas facetas de su personalidad imodos de vida, hábitos de comportamiento, síntomas, sensaciones, medicación, etci entra en conflicto con su derecho a ser curada.
A continuación daremos un breve repaso a las condiciones bajo las cuales este dilema tiene solución y a los principios esenciales que rigen la relación entre ambos derechos.
Para ello, tendremos en cuenta tanto lo establecido en la legislación actual como lo contemplado en la Directiva 95/46/CE, que habrá de ser transpuesta a nuestro ordenamiento jurídico en los próximos meses.
Pero, antes de nada, la primera pregunta a la que debemos responder es la siguiente; ¿es necesaria la existencia de una legislación que proteja la vida privada de los ciudadanos en relación a sus datos de salud?. Para contestarla, nada mejor que examinar algunos ejemplos tomados de un país, los Estados Unidos de América, donde no existe una legislación global de estas características.
Ejemplo 1: El Medical Information Bureau es una base de datos centralizada con datos de más de 15 millones de americanos y canadienses. Más de 750 compañías de seguros la consultan antes de conceder una póliza de seguro de vida.
Ejemplo 2: Ciertos datos médi-dos de las personas pueden llegar a incorporarse a los ficheros de empresas dedicadas a la publicidad directa tras participar en reconocimientos médicos informales en farmacias, ferias médicas, centros comerciales, etc, como por ejemplo, la realización de pruebas para determinar niveles de colesterol, presión sanguínea, peso o forma general.
La información recogida puede acabar en las bases de datos de aquellos comerciantes que venden productos relacionados con las pruebas practicadas.
Ejemplo 3
: Janet fue paciente de un hospital especializado en el tratamiento del cáncer. El hospital está asociado a una Universidad. ianet recibió una solicitud de la Universidad, de la que ella jamás fue alumna y con la que nunca tuvo ninguna relación, para que, en su testamento, le donase una cantidad para continuar su labor.Los ejempios anteriores muestran bien a las claras la necesidad de salvaguardar el derecho a la vida privada de los usuarios de la sanidad, pública y privada, es decir, todos nosotros, respecto a la correcta utilización de nuestros datos personales.
LEGITIMACIÓN DEL TRATAMIENTO
En primer lugar estableceremos las condiciones bajo las que es legítimo el tratamiento automatizado de datos personales relativos a la salud de una persona, es decir, sus datos médicos.
LORTAD
Para comenzar, la Ley Orgánica 5/1992 considera a los datos médicos datos especialmente protegidos o, según son conocidos en la literatura internacional sobre protección de datos, datos sensibles (sensitive data). Ello quiere decir que al establecer las condiciones para su tratamiento, se deberán extremar las cautelas.
Comenzaremos por lo estipulado en la LORTAD.
Consentimiento expreso
La Ley Orgánica 5/1992 exige, como regla general para el tratamiento de datos médicos, el consentimiento expreso del afectado. Elio quiere decir que, para esta categoría especial de datos, no se admite el consentimiento tácito, esto es, el consentimiento por la vía de la inactividad del afectado o el que se deduce de una determinada acción del mismo (por ejemplo, el pago de un recibo presupone la conformidad con el servicio recibido o el bien compradol.
Quiere el legislador con ello reforzar la consciencia de cada ciudadano en relación con el tratamiento de datos sensibles, esto es, el conocimiento cabal de las implicaciones que se pueden derivar de la revelación a terceros de aspectos muy reservados de su vida.
Esta condición incluye el tratamiento de datos encaminados a proyectos de investigación científica y médica. El articulo 30 de la Ley Orgánica 5/1992 exige el consentimiento para poder tratar dichos datos con fines de científicos o médicos, precisión que es concordante con la que, a su vez, establece la Ley General de Sanidad en su articulo 10.4. Asimismo, la LORTAD impone que sólo podrán cederse los datos utilizados en dichos estudios en forma agregada, de tal forma que haga imposible reconocer a ningún afectado concreto.
Emilio Aced
Razones de interés general
De no mediar el consentimiento expreso, la segunda posibilidad que la Ley Orgánica 5/1 992 ofrece para el tratamiento de datos médicos se establece, también, en el artículo 7 y se concreta definitivamente en el 8: "sin perjuicio de lo que dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento automatizado de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos de acuerdo con lo dispuesto en los artículos 8, 10, 23 y 61 de la Ley 14/1986, de 25 de abril, General de Sanidad, los artículos 85.5, 96 y 98 de la Ley 25/1990, 20 de diciembre, del Medicamento y los artículos 2, 3 y 4 de la Ley Orgánica 3/1 986, de 14 de abril, de medidas especiales en materia de Salud Pública".
En el caso particular de que el tratamiento lleve aparejada una cesión de los datos médicos, se podrá proceder a la misma sin el consentimiento del afectado cuando sea necesaria para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológidos en los términos establecidos en el artículo 8 de la Ley 14/1986, de 25 de abril, General de Sanidad (que considera dichos estudios como actividad fundamental del sistema sanitario).
También se establece que no es necesario el consentimiento cuando la cesión tenga como destinatarios al Ministerio Fiscal, al Defensor del Pueblo, a los Jueces y a los Tribunales.
Deber de secreto
La LORTAD, en su articulo 10, establece para todas aquellas personas que tienen acceso, de cualquier forma, a datos de carácter personal, la obligatoriedad de guardar secreto profesional respecto de los mismos.
Como luego veremos, la Diredtiva considera el sometimiento al secreto profesional de las personas que tratan los datos médicos una de las piezas claves de la protección otorgada a los mismos.
Directiva 95/46/CE
La Directiva, en la parte dedicada a la legitimación del tratamiento de lo que ella llama categorías especiales de datos, entre los que se encuentran los datos de salud, parte de la prohibición de tratar automatizadamente dichos datos, para, a continuación, exponer en qué casos no se aplicará dicha prohibición:
· La prevención o diagnóstico médico
· La prestación de asistencia sanitaria o tratamientos médicos
· La gestión de servicios sanitarios siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional, sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.
¿Se cuida este deber de secreto lo suficiente en nuestros centros sanitarios? Estoy seguro que todos los profesionales de la medicina asegurarán que es parte indisoluble de su ejercicio profesional. Pero también es cierto que existen ciertas prácticas rutinarias que pueden comprometer el derecho a la vida privada de los pacientes de dichos centros. Baste señalar, a modo de ejemplo y con el único propósito de brindar elementos de reflexión, la escasa atención prestada en algunos centros al traslado de documentos que contienen datos médicos, al depósito de resultados de pruebas diagnósticas en casilleros en zonas de paso o la velocidad a la que corren las noticias respecto del estado de salud de personas conocidas dentro del entorno hospitalario y que son a la vez pacientes del mismo.
Volviendo de nuevo al terreno de los principios relativos a la licitud del tratamiento, la Directiva no considera incompatible el tratamiento posterior de los datos médicos:
· para fines científicos y estadísticos (articulo 6.b)
· y su conservación posterior (artículo 6.e) con garantías adecuadas que impidan, en particular, su utilización para tomar medidas o decisiones contra cualquier persona (considerando 29),
· teniéndose en cuenta que no será obligatorio suministrar al afectado la información especificada si entraña esfuerzos desproporcionados (articulo 11 y considerando 40).
Asimismo, se añade una serie de excepciones a la prohibición, como son el consentimiento explicito, el interés vital del afectado, las derivadas de obligaciones del Derecho Laboral, datos hechos manifiestamente públicos por el interesado o por razón de interés público importante, que habrá de traducirse en una regulación legal.
La LORTAD, en su artículo 1O, establece para todas aquellas personas que tienen acceso, de cualquier forma, a datos de carácter personal, la obligatoriedad de guardar secreto profesional respecto de los mismos
INFORMACIÓN AL AFECTADO
La Ley Orgánica 5/1992, en su articulo 5 establece que al afectado deberá informársele, en el momento de la recogida de los datos, de modo expreso, preciso e inequívoco de:
· la existencia de fichero automatizado
· de la identidad del responsable del fichero
· de la finalidad de la recogida
· de los destinatarios de la información
· de la obligatoriedad o no de las respuestas
· de las consecuencias de la obtención de los datos o de la negativa a suministrarlos
· de la existencia de los derechos de acceso, rectificación y cancelación
Si se utilizaran cuestionarios, deberá figurar dicha información de forma clara y legible.
No será necesaria la información cuando la misma se deduzca claramente de la naturaleza de los datos recabados o de las circunstancias de la recogida.
Por lo que respecta a la Directiva 95/46/CE, la gran diferencia estriba en que, cuando la información no proviene del interesado, se le debe proporcionar la misma información que en el caso anterior desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, salvo que resulte imposible, que exija esfuerzos desproporcionados o que el interesado ya hubiera sido informado de ello.
DERECHO DE ACCESO
Junto a la confidendialidad y el secreto profesional, el otro gran derecho del ciudadano es el de acceso a sus datos médicos informatizados. La Ley Orgánica 5/1992 establece el derecho a solicitar y obtener información de una forma clara, legible e inteligible y sin que sea necesario utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
En el caso de que se trate de ficheros públicos, se podrá denegar el acceso por razones de interés público o para defender los intereses de terceros más dignos de protección.
Pero no sólo la Ley Orgánica 5/1992 instituye el derecho de acceso a los datos médicos por parte del paciente. También la Ley General de Sanidad, en su articulo 10.5 establece el derecho del paciente a obtener información de su proceso y, en su artículo 61, dispone que la Historia Clínica estará a disposición del paciente.
Junto a la confidencialidad y el secreto profesional. El otro gran derecho del ciudadano es el de acceso a sus datos médicos informatizados. La Ley Orgánica 5/1992 establece el derecho a solicitar y obtener información de una forma clara, legible e inteligible y sin que sea necesario utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos
MEDIDAS DE SEGURIDAD
Pero para conseguir que todas las salvaguardias y garantías que hemos estado repasando, encaminadas a la realización de un tratamiento leal y legitimo de los datos médicos sean operativas en la práctica, hay un aspecto critico al que no puedo dejar de referirme.
Se trata, como ya habrán adivinado, de la implantación de medidas de seguridad, técnicas y organizativas, que son un instrumento indispensable para poder asegurar que todos los principios de protección de datos que hemos enunciado hasta aquí no se quedan en una mera declaración de intenciones o, en el mejor de los casos, en la reparación a posteriori, utilizando los instrumentos legales a nuestro alcance, de los daños causados por conductas que han violado los principios de un tratamiento legitimo de los datos médicos de los ciudadanos.
La importancia de estas medidas es tal que, la LORTAD, en su artículo 9, llega a prohibir el registro de datos personales en aquellos ficheros que no reúnan las medidas de seguridad que reglamentariamente se determinen.
El objetivo de la adopción de dichas medidas es evitar la alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, de la naturaleza de los datos a proteger y de los riesgos a que estén expuestos.
Por lo que se refiere a la Directiva, también pone un fuerte énfasis en la necesidad de que los Estados miembros establezcan la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales.
En concreto, impone que dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban proteger-se; pero deja en manos de los Estados miembros la forma en que dicha obligación debe regularse.
