LA PROTECCIÓN DE LOS DATOS SANITARIOS. LA HISTORIA CLÍNICA.

Transcripción

1 LA PROTECCIÓN DE LOS DATOS SANITARIOS. LA HISTORIA CLÍNICA. Prof. Asoc. Mª Mercedes Serrano Pérez Derecho Constitucional. UCLM Introducción. 2. El marco legislativo internacional y nacional de referencia. 3. El concepto de datos sobre la salud. La historia clínica. 4. El responsable del fichero en el sector de la salud. 4. El tratamiento de datos sanitarios. 4.1 La recogida de datos sobre la salud. El consentimiento informado del afectado. 4.2 La comunicación o cesión de datos sobre la salud. 5. Los principios de la protección de datos de la LOPD y sus particularidades en la Ley 41/ El principio de confidencialidad El principio de adecuación y pertinencia El principio de exactitud El principio de cancelación. 5.5 El principio de lealtad. 5.6 El principio de seguridad. 6. Los derechos de los interesados El derecho de acceso a la historia clínica Los derechos de rectificación y cancelación El derecho de oposición. 7. Bibliografía. 1. Introducción. La acumulación de información es una necesidad de las sociedades actuales en cualquiera de sus manifestaciones. La información resulta imprescindible para realizar con eficacia todas las tareas a las que se ha de dar respuesta a diario. Podríamos afirmar, sin temor a exagerar, que sin la acumulación y circulación de información las sociedades actuales se paralizarían en sus múltiples actividades. El acopio de información presenta múltiples proyecciones y en todas ellas ha de preservarse su contenido. Si la información versa sobre las personas, es decir, se refiere a datos de carácter personal ha de someterse a principios y reglas y controlarse para no provocar una lesión en los derechos de los individuos. Si esa información incorpora además revelaciones sobre la salud, es decir, se convierten en datos sobre la salud- las garantías deben extremarse. Los datos sobre la salud constituyen un elemento intrínseco y primordial en la vida de una persona. La asistencia sanitaria -tanto en atención primaria como en atención especializada, en la urgencia o en la hospitalaria- no constituye una 1

2 cuestión circunstancial, sino que forma parte de nuestra propia existencia. De una acertada, rápida y eficaz atención sanitaria depende nuestra salud y en ocasiones extremas nuestra propia vida. Por ello, la asistencia sanitaria adecuada requiere una información correcta sobre aspectos de la vida y la salud del paciente y una conservación perfecta de los mismos. Junto al interés particular de cada uno en su propia salud, ésta constituye un bien social que el Estado ha de promover y preservar mediante las campañas de prevención y vacunación o mediante la investigación. Estos aspectos sociales de la sanidad requieren también la utilización de los datos de los pacientes, uso que habrá de realizarse con los controles adecuados para no lesionar sus derechos y sus intereses. La necesidad de controlar la información que revela aspectos de la salud de una persona resulta primordial para mantener intactos en su disfrute y su ejercicio los derechos fundamentales del individuo y evitar despojar a la persona de su dignidad como ser humano. Ciertamente la asistencia sanitaria adecuada nos obliga a revelar al profesional médico datos extremadamente confidenciales, aspectos de nuestra vida que en condiciones normales no revelaríamos a nadie salvo en el supuesto de encontrarse en juego nuestra salud, razón por la cual han de ser especialmente protegidos. Por ello el respeto a los derechos de los individuos debe ser contemplado a un nivel de protección equivalente a la necesidad de preservar nuestra salud. Hablamos de prestación sanitaria, de respeto a la dignidad de la persona, de derechos, y de información acumulada y utilizada. Ciertamente aunque en el tema que nos ocupa se entrecruzan una multiplicidad de intereses y derechos como el derecho a la salud del art. 43 CE, el derecho a la intimidad personal y familiar del art. 18.1, el derecho a la vida del art. 15, el derecho a la igualdad del art, 14, etc, podemos prestar la atención constitucional exigida a todos los bienes en juego refiriéndonos al derecho a la protección de datos de carácter personal del art CE. El derecho a la protección de datos de carácter personal del art CE, según ha sido diseñado por la sentencia 292/2000, de 30 de noviembre 1, del Tribunal Constitucional de acuerdo con los textos internacionales sobre la materia, consiste en un poder de disposición y de control sobre los datos personales que le faculta para decidir sobre ellos. Ese poder de disposición se articula a través de un contenido esencial que incluye el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber 1 B.O.E. núm. 4, de 4 de enero de

3 y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva el poder de control sobre esos datos (con todo su contenido esencial) constituye un derecho fundamental que gozará por lo tanto de la más alta protección en nuestro ordenamiento. Su desarrollo se contiene en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal 2 que recoge el régimen general de la protección de los datos personales y que constituye una de las referencias legislativas a tener en cuenta. Por tanto en el tema que nos ocupa se interrelacionan un derecho fundamental y la necesidad de asistencia sanitaria para preservar la salud. Este segundo valor implicado obliga a buscar también la normativa sanitaria implicada. En este caso hablamos de la Ley 14/1986, de 25 de abril, General de Sanidad 3, de la Ley 41/2002, de 14 de noviembre, básica reguladora de los derechos del paciente y en nuestro comunidad de la Ley 8/2000, de 30 de noviembre de Ordenación Sanitaria de Castilla- La Mancha y la Ley 6/2005, de 7 de julio de 2005, sobre la Declaración de Voluntades Anticipadas en materia de la propia salud 4. Con carácter general hay que señalar que prima la asistencia sanitaria en atención al valor defendido por ella en última instancia la vida- aunque ello sin menoscabo de la protección de los derechos de la persona, es decir, que habrá que complementar una norma con otra con el fin de equilibrar los intereses en juego y lograr la protección adecuada de todos los elementos afectados. 2. El marco legislativo internacional y nacional de referencia. La exigencia de armonizar la asistencia sanitaria y la acumulación de información personal ha sido ya objeto de preocupación y de atención desde los foros más autorizados en la materia. En unos casos desde un punto de vista general y en otros desde una perspectiva mas sectorial. En el primer caso ya el Convenio 108 del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento 2 B.O.E. núm. 298, de 14 de diciembre de B.O.E. núm. 102, de 29 de abril de La Disposición derogatoria única de la Ley 41/2002 deroga los apartados 5, 6, 8, 9 y 11 del artículo 10, el apartado 4 del artículo 11 y el artículo 61 de la Ley 14/ D.O.C.M., núm. 126, de 19 de diciembre de 2000 y D.O.C.M., núm. 141, de 15 de julio de Otras normas autonómicas son la Ley 21/2000, de 29 de diciembre, Catalana sobre los derechos de información concernientes a la salud y a la autonomía del paciente, y la documentación clínica; Ley 3/2001, de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes de la Comunidad de Galicia; Ley 10/2001, de 28 de junio, de Salud de Extremadura; Ley Foral 11/2001 de la Comunidad Navarra sobre los derechos del paciente, a la información y a la documentación clínica; Ley aragonesa 6/2002, de 15 de abril de Salud y la Ley 2/2002, de 17 de abril, de Salud de la Rioja 3

4 Automatizado de Datos de Carácter Personal (ratificado por España el 27 de enero de 1984), contemplaba ya una definición de datos sanitarios. Por otra parte la Directiva 95/46, de 24 de octubre relativa a la protección de las personas físicas y en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos 5, recoge la necesidad de extremar las garantías y la protección cuando la información se refiera a datos sobre la salud. Por último la Carta Europea de Derechos Fundamentales, de 7 de diciembre de , eleva a la categoría de derecho fundamental el derecho a la protección de datos personales. De una forma más sectorial (y complementaria respecto de ésta), el Convenio sobre Derechos Humanos y Biomedicina (Convenio de Oviedo) de , relativo a los derechos humanos y a la biomedicina proclama en su art. 10 el derecho de todos al respeto a la vida privada en el ámbito de la salud y el derecho a conocer cualquier información recogida sobre su salud, es decir, cualquier dato registrado al respecto. De una forma más detallada el documento Principios Éticos de la Sanidad en la Sociedad de la Información, de 30 de julio de 1999, elaborado por el Grupo Europeo de Ética de la Ciencia y de las Nuevas Tecnologías, eleva a la Comisión Europea un informe en el que se relaciona el manejo de información personal y la prestación asistencial, siendo necesarias ambas para redundar en beneficio de la persona. Este documento señala cuatro principios básicos en el tratamiento de datos sobre la salud: - Recogida de los datos, siempre que sea posible del propio interesado (aunque también ha de contemplarse como supuesto normal en el ámbito sanitario la recogida de los datos por parte de los familiares del paciente, circunstancia olvidada por la ley 41/2002). - Control de los datos sobre la salud por parte del propio interesado, es decir, la concreción del derecho fundamental a la protección de datos en el campo de la salud, controlando y disponiendo de los propios datos. - El derecho de oposición al uso de los datos personales siempre cuando la finalidad del uso no corresponde con la de la recogida. - Justificación de la utilización de los datos personales en la proyección social de la salud. 5 D.O.L. núm. 281, de 23 de noviembre de D.O.C.E. núm. 364, de 18 de diciembre de B.O.E. núm. 251, de 20 de octubre de El Convenio es de aplicación directa en España desde el 1 de enero del

5 En el ámbito interno, además de la Ley Orgánica 15/1999 y de la Ley 41/2002, hay que referirse a la Ley General sanitaria donde se contienen los grandes principios fundamentales a respetar en el ámbito sanitario. En concreto los arts. 10 y 11 en lo no derogado por la Ley 41/2002 hacen referencia a la dignidad de la persona, la libertad individual, el respeto al derecho a la intimidad del paciente y a la garantía de la confidencialidad respecto de la información personal utilizada. Los grandes principios de la Ley General de Sanidad (dado la fecha de su elaboración no tiene todavía la capacidad de proyección sobre las nuevas tecnologías) han sido reelaborados con la irrupción de la Sociedad de la Información y son los que quedan actualizados en las leyes citadas. En el ámbito de nuestra Comunidad la Ley 8/2000, de Ordenación Sanitaria reconoce en el art. 4.a) el derecho de la persona al respeto a su personalidad, dignidad humana e intimidad, sin ningún tipo de discriminación. Por tanto, en materia de protección de datos sanitarios habrá que prestar atención a la Ley Orgánica 15/1999 que regula las reglas generales de los tratamientos de datos, sin atender a especificidades y a la Ley 41/2002, que además de regular cuestiones puramente sanitarias especifica para el campo sanitario la legislación general de protección de datos contenida en la Ley Orgánica. Ambas constituyen el marco normativo interno de los datos sobre la salud y su tratamiento. El instrumento sanitario en el que convergen todos los elementos citados anteriormente, esto es, datos sanitarios, derechos y prestación asistencial- es la HISTORIA CLÍNICA 8 documento informativo excepcional regulado por la Ley 41/2002 y sobre el que recaerá parte de nuestra exposición. El ámbito de aplicación de la Ley art es la regulación de los derechos y obligaciones de los pacientes, usuarios y profesionales, así como de los centros y servicios sanitarios, públicos y privados, en materia de autonomía del paciente y de información y documentación clínica. Es decir, la ley contiene los derechos y obligaciones de la persona desde el punto de vista de su condición de paciente interesado en recibir prestación sanitaria- pero desde el punto de vista de la condición de interesado en la protección de los datos que forman parte de su 8 Sobre la historia clínica se puede leer SÁNCHEZ CARO, J., ABELLÁN, F., La historia clínica, Fundación Salud, 2000; SANCHEZ CARO, Javier y Jesús, El médico y la intimidad, Díaz de Santos, Madrid

6 historial clínico. En este segundo sentido y según el art. 2.1 de la Ley la dignidad de la persona humana, el respeto a la autonomía de su voluntad y a su intimidad orientarán toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la información y la documentación clínica, criterios que habrá que tener presentes en todo tratamiento de datos sanitarios y que la Ley va desarrollando posteriormente. 3. El concepto de datos sobre la salud. La historia clínica. Para centrar el tema es preciso delimitar el concepto de datos sanitarios y aludir también a algunos conceptos más que son característicos de la materia protección de datos y con los que hay que familiarizarse. La Ley 15/1999 no contiene una definición de datos sanitarios. Si la tiene sobre los datos personales que es cualquier información concerniente a personas físicas identificadas o identificables. La Ley Orgánica reserva mas adelante la calificación de datos sensibles para los datos referidos a materia especialmente delicada y, por lo que ahora nos interesa, a la salud. Las reglas para los datos sensibles aparecen respecto de las reglas generales expresadas de forma más rigurosa en lo que se refiere a su recogida, su custodia y su posible cesión. La definición de datos sobre la salud hay que encontrarla en los textos internacionales. El considerando 45 del Convenio 108 del Consejo de Europa de 28 de enero de 1981 ya definía los datos relativos a la salud como las informaciones concernientes a la salud pasada, presente y futura, física o mental de un individuo, igualmente incluía en estos datos las informaciones relativas al abuso de alcohol o al consumo de drogas. Por su parte, la Recomendación Nº R(97)5, de 13 de febrero de 1997, del Comité de Ministros del Consejo de Europa incluye dentro de los datos médicos los relativos a la salud de una persona, así como a las informaciones genéticas. Por otro lado la Recomendación Nº R(91)15, relativa a los estudios epidemiológicos en el ámbito de la salud mental alude a la necesidad de establecer las garantías precisas para proteger los datos reveladores de este tipo de perturbación. Por su parte la Directiva 95/46 que tampoco contiene una definición de datos sobre la salud, se refiere a ellos en el art. 8 como datos con especial protección 9. Conviene aclarar antes de entrar a fondo en el concepto de datos sobre la salud que las diferentes expresiones utilizadas no responden a ninguna diferencia apreciable en cuanto al contenido, al 9 También el art. 6 del Convenio 108 del Consejo de Europa prohíbe el tratamiento de los datos sobre la salud entre otros- a menos que el derecho interno prevea las garantía apropiadas para ello. 6

7 contrario, a mi modo de ver, aluden a realidades semejantes. En efecto, tanto las Recomendaciones del Consejo de Europa como la Directiva en su considerando 42 emplea la expresión datos médicos, aunque en el considerando 33 de la Directiva habla de datos y fines relacionados con la salud. Todas ellas como decimos se enmarcan dentro de un concepto amplio de datos sobre la salud, datos médicos o datos sanitarios, y que de acuerdo con los contenidos aportados por todos los textos comentados podemos definir en cualquiera de sus versiones como las informaciones que se refieren a la salud pasada, presente o futura, en personas sanas o enfermas, con enfermedades de carácter físico o psicológico, y que incluye la adicción al alcohol o a las drogas. También forma parte de los datos sobre la salud la información de datos genéticos 10. Siguiendo con esta visión amplia de los datos sobre la salud incluimos también las informaciones relacionadas con el cuerpo humano, la sexualidad, la raza, el código genético, los antecedentes familiares, los hábitos de vida, de alimentación y consumo 11, los trastornos mentales, las enfermedades, las adicciones, es decir, todo aquello que en un contexto sanitario pudiera afectar a la salud presente, pasada o futura de una persona. Dado que las expresiones aludidas no aportan matices diferenciadores se emplearán indistintamente, aunque mi preferencia se inclina por la expresión datos sobre la salud. Junto al concepto de datos sobre la salud resultan necesarios también introducir otros conceptos más propios de la protección de datos pero que adquieren características propias en el ámbito sanitario. La Ley 15/1999 los recoge y es preciso referirse a ellos. La Ley Orgánica define en el art. 3 c) tratamiento de datos como todas las operaciones que se pueden realizar con los datos, con independencia de su carácter informatizado o manual y se pueden referir a recogida, grabación, conservación, elaboración, modificación, bloqueo, cancelación, y cesiones. Es decir, el concepto de tratamiento es omnicomprensivo en el contexto de la protección de datos ya que incluye todas las actividades que se pueden realizar con los datos. Por su parte fichero es la organización de datos de carácter personal con independencia de la forma de creación, almacenamiento, organización y acceso. Es decir es el elemento físico que recoge, almacena y mantiene en orden las informaciones personales. 10 APDCM, Guía de protección de datos personales para Servicios Sanitarios Públicos, Thomson- Cívitas, Madrid, 2004, pág J. SÁNCHEZ-CARO Y F. ABELLÁN, Datos de salud y datos genéticos. Su protección en la Unión Europea y en España, Ed. Comares, Granda 2004, pág

8 Hay un tipo de fichero en relación con los datos sanitarios que es fácilmente identificable y que constituye un fichero personal, que almacena datos individuales e incluye las aportaciones de los diferentes profesionales que trabajan la medicina en equipo. Este fichero es la historia clínica, que se convierte por ello en el epicentro del interés de un individuo. Junto a ello no podemos obviar el interés universal o social que adquieren las informaciones sobre la salud que incorpora la historia clínica derivado de su valor científico y las aportaciones subjetivas de los profesionales que intervienen en su elaboración. Ambos intereses están también reflejados en la Ley 41/2002. La definición de la historia clínica se contiene en los arts. 3 y 14 de la Ley 41/2002. Según el art. 3 la historia clínica es el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial 12. La definición de lo que es la historia clínica se completa en el art. 14 donde se hace referencia además a la identificación de los profesionales que atienden al paciente y se alude a la necesidad de la integración de la documentación clínica de cada paciente al menos en el ámbito de cada centro, criterio que modifica el art. 61 de la Ley General de Sanidad que aludía a la integración en todo el Sistema de Salud. La historia clínica es, por lo tanto, al margen de su valor como elemento médico, el almacén de informaciones sobre la salud de una persona y, como de acuerdo, con la definición de la ley 15/1999 constituye un fichero, habrá de resguardar los datos contenidos en la historia clínica y cumplir las prescripciones de la Ley 41/2002. La importancia de la historia clínica como fichero individual de datos sobre la salud es compatible con su valor social y universal que se satisface con el derecho de acceso a la utilización de la información sobre la salud que recoge la historia clínica y lo desarrollaremos más adelante. La historia clínica no es el único fichero sobre la salud que existe. Lo hemos identificado como el fichero de carácter personalizado, único para cada persona y que a diferencia de otros ficheros que recaban datos sanitarios en los que podemos o no constar hay una historia clínica para cada uno de nosotros. Pero en el ámbito de la salud 12 LAÍN ENTRALGO, P., identifica el contenido de la historia clínica con un relato biográfico y la propia enfermedad padecida como el reflejo de la manera de vivir de una persona, La historia clínica (historia y teoría del relato patográfico, 3ª ed, Madrid, Ed. Triacastela, 1998, pags. 659 y ss. 8

9 la creación de ficheros es mucho más ambiciosa y es una tendencia creciente en el ámbito sanitario El responsable del fichero en el sector de la salud. Según el art. 3 d) de la LOPD responsable del fichero o tratamiento es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. La figura del responsable en un tratamiento de datos es esencial para la protección del derecho del interesado pues sobre él recaen funciones fundamentales como la declaración de los ficheros sanitarios, el ejercicio ante él de los derechos de acceso, rectificación y cancelación, el cuidado sobre el estado de los datos en él contenidos, etc. En el terreno sanitario la figura del responsable del fichero o tratamiento de datos que es la historia clínica sobre la salud resulta claramente identificada tras la aprobación de la Ley 41/2002, desde un doble aspecto. En primer lugar existe una responsabilidad individualizada de la historia clínica en el preciso momento de su utilización corresponde al profesional médico que atiende al paciente pues según el art la cumplimentación de la historia clínica, en los aspectos relacionados con la asistencia directa al paciente, será responsabilidad de los profesionales que intervengan en ella. Junto a ello el art de la Ley 41/2002, los profesionales sanitarios tienen el deber de cooperar en la creación y el mantenimiento de una documentación clínica ordenada y secuencial del proceso de asistencia de los pacientes. Ahora bien, la gestión de la historia clínica, según dice el art. 17.4, se realiza a través de la unidad de admisión y documentación clínica, encargada de integrar en un solo archivo las historias clínicas. La custodia de dichas historias clínicas estará bajo la responsabilidad de la dirección de centro sanitario. Por 13 Por citar los ejemplos de ficheros creados en la Comunidad de Castilla-La Mancha la Orden de , por la que se crean diversos ficheros con datos de carácter personal (enfermedades de declaración obligatoria; de vigilancia de la infección por el virus de inmunodeficiencia humana; registro de población de cáncer, registro regional de sida, registro de interrupciones voluntarias de embarazo; Orden de , por la que se crea el fichero sistema informático de vacunas; Orden de , por la que se crea el fichero de drogodependientes; Ley 24/2002,de 5 de diciembre, de Garantías en la Atención Sanitaria Especializada, que crea el fichero automatizado de pacientes en lista de espera; Orden de , de creación del fichero automatizado del registro de paciente en lista de espera; Decreto 8/2003, de , del Registro de pacientes en lista de espera de Castilla-La Mancha; Orden de , de creación del fichero automatizado del programa de detección precoz del Cáncer de Mama; Orden de , de creación del fichero automatizado de datos del Registro de Enfermos Renales de Castilla-La Mancha en Tratamiento Sustitutivo; Orden de , por la que se desarrolla el registro de hemovigilancia de Castilla-La Mancha y se crea su fichero automatizado de datos; Orden de , por la que se desarrolla el registro de donantes de sangre de Castilla-La Mancha y se crea su fichero automatizado de datos; La Ley 6/2005, de 7 de julio de 2005, sobre la Declaración de Voluntades Anticipadas en materia de la propia salud, que crea en el art. 9 el Registro de voluntades anticipadas. 9

10 otro lado, el art se refiere a los profesionales sanitarios que desarrollen su actividad de manera individual siendo responsables de la gestión y de la custodia de la documentación asistencial que generen. Es decir, se trata de una responsabilidad compartida entre el responsable individualizado que en la prestación asistencial concreta atiende al paciente y de la dirección del centro sanitario en lo que se refiere a la conservación y custodia de las mismas, aunque estas últimas funciones recaen en el profesional que trabaja de manera individual. Es preciso recordar las diferencias existentes entre el responsable de un fichero privado y el responsable de un fichero público, diferencias que se trasladan a los ficheros de la sanidad pública y a los ficheros de la sanidad privada. Los ficheros de la sanidad pública están sometidos a un régimen más riguroso en cuanto a su creación, modificación y supresión. En efecto para la creación, modificación y supresión de ficheros públicos se exige una disposición de carácter general y su publicación en el Diario Oficial correspondiente, según el art. 20 de la LOPD, mientras que los ficheros de centros sanitarios privados se pueden crear mediante la notificación previa a la Agencia Española de Protección de Datos, según el art. 25 de la LOPD. El contenido que ha de incluir la disposición de creación del fichero es una manera de conocer las particularidades del fichero y una garantía para los interesados acerca de los datos por él almacenados extremos que, a priori, se desconocen en un fichero privado. En concreto la finalidad del fichero permite valorar la adecuación y pertinencia de los datos, los ciudadanos sobre los que se pretenden recabar los datos, lo cual identifica previamente a los interesados, el procedimiento de recogida de los datos que permitirá saber si su recogida ser realiza por medios fraudulentos o ilícitos; la estructura del fichero y los tipos de datos que se incluirán; las cesiones previstas, los órganos de la Administración responsables del fichero; los servicios ante los cuales se pueden ejercitar los derechos de acceso, rectificación y cancelación lo cual permite al interesado identificar el órgano al que dirigir las reclamaciones y las medidas de seguridad que ha de incorporar el fichero en atención al tipo de datos. 10

11 4. El tratamiento de los datos sanitarios. 4.1 La recogida de datos sobre la salud. El consentimiento informado del afectado. Los datos sobre la salud son datos especialmente protegidos por lo que según el art. 7.3 de la LOPD solo podrán ser recabados, tratados y cedidos cuando así lo disponga una ley o el afectado consienta expresamente. Es decir, los datos sobre la salud serán objeto de tratamiento si se consiente en ello o sin necesidad de consentimiento su tratamiento está previsto en una Ley. Ahora bien, el art. 6 establece con carácter general el consentimiento inequívoco de la persona para el tratamiento de datos personales excepto que el tratamiento tenga por finalidad proteger un interés vital del interesado en los términos del art. 7.6 de la LOPD, es decir, cuando el tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios siempre que dicho tratamiento de datos se realice por un profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. En estos mismos supuestos se permite también el tratamiento de datos referidos a la ideología, afiliación sindical, religión, creencias, origen racial, la salud y la vida sexual, es decir, todo el conjunto de datos sensibles del art. 7.3 antes citado. Por ordenar un poco la LOPD que en este tema resulta algo confusa. El tratamiento de datos de carácter personal requiere el previo consentimiento del interesado, salvo que la ley disponga otra cosa, primer caso. Como estamos en el supuesto de datos sobre la salud las garantías para su tratamiento han de cuidarse especialmente, por ello y segundo caso, cuando se trate de datos sobre la salud, por gozar de la calificación de especialmente protegidos, solo se tratarán en dos situaciones: cuando por razones de interés general así los disponga una ley o el interesado consienta esta vez expresamente (art. 7.3 LOPD). En el caso de la prestación asistencial parece lógico que el propio interesado consienta el tratamiento de sus datos en función de la contraprestación sanitaria que recibirá, mientras que la garantía de una Ley (entiendo que prevé su tratamiento al margen de la prestación del consentimiento) se revela como una garantía suficiente para asegurar la protección de estos datos. Ahora bien, y tercer caso, tanto para los datos de carácter personal como para todos los datos sensibles se permite el tratamiento de datos al margen de las condiciones generales, esto es al margen del consentimiento, -art. 7.6 de la LOPD- cuando por razones de diagnóstico 11

12 médico, prestación sanitaria o de gestión de servicios sanitarios realizados por un profesional de la medicina o equivalente pero obligado igualmente por el secreto profesional. En este último caso llama la atención que se permita el tratamiento de datos sobre la salud al margen del consentimiento por una persona sujeta asimismo a una obligación equivalente de secreto 14. Ahora bien, para añadir más confusión al tema de las condiciones de la recogida de datos sobre la salud y del consentimiento el art. 8 de la LOPD permite a las instituciones y los centros sanitarios públicos y privados y a los profesionales correspondientes el tratamiento de datos sobre la salud de las personas que a ellos acudan o deban de ser tratados en los mismos, se acuerdo con lo que indique la legislación sanitaria estatal o autonómica sobre la materia. El art. 8 parece referirse a varias cuestiones. Por una parte está identificando a los sujetos que pueden llevar a cabo el tratamiento de datos sobre la salud 15 (aunque esto ya está contemplado en la excepción del art. 7.6 de la LOPD para todos los datos sensibles incluidos los sanitarios, pues al contemplar los supuestos sanitarios en que cabe el tratamiento de estos datos limita su utilización a los profesionales sanitarios) Aunque la interpretación del precepto no es pacífica parece ser que el artículo permite la recogida de datos sanitarios en el supuesto citado sin que sea necesario que medie el consentimiento del interesado, entendiendo que la presencia del interesado en estos centros persiguiendo una finalidad de asistencia sanitaria y consintiendo en ello se extiende también al tratamiento de datos sanitarios 16. Esta interpretación parece guardar coherencia con la excepción que para el consentimiento se contempla en el art. 6.2 de la LOPD en relación con los datos de carácter personal cuando sean tratados por las Administraciones Públicas en el ámbito de sus competencias, entendiendo como Administración Pública la sanitaria y sus competencias las relacionadas con la necesidad de prestar atención sanitaria a la población. El problema de esta interpretación es que no permite incluir el tratamiento de los datos sobre la salud por parte de los centros sanitarios privados que sí aparecen contemplados, por contra en el art. 8 de la LOPD. En nuestra opinión la cuestión tampoco se soluciona con la remisión a la legislación sanitaria estatal y autonómica pues, al menos la estatal no regula de forma particular el consentimiento para el tratamiento de datos sanitarios. Lo más lógico parece entender que se pueden recabar 14 Persona que no está determinada pero podrían ser las que aparecen en el art. 16 de la Ley 41/2002, SÁNCHEZ CARO, Javier y ABELLÁN, Fernando, Datos sobre salud y..., ob., cit., pág Así lo afirma LUCAS MURILLO DE LA CUEVA, Pablo, La publicidad de los archivos judiciales y la confidencialidad de los datos sanitarios, VII Congreso Nacional de Derecho Sanitario, Madrid, octubre de 2000, Fund. Mapfre Medicina, 2001, pá.g SÁNCHEZ CARO, J Y ABELLÁN, F., Datos sobre salud, ob. cit., pág

13 datos sanitarios al margen del consentimiento entendiendo la presencia del interesado en los centros sanitarios asume como necesaria y, por tanto, participa de un consentimiento implícito, la entrega de los datos precisos para cumplir con la prestación asistencial. La finalidad de la prestación asistencial acaba imponiéndose a todas las demás. Lo que parece fuera de toda duda es la obligación en cualquier caso de satisfacer el derecho a la información del interesado con el fin de conocer todos los derechos que le asisten en materia de protección de datos y poder continuar ejerciendo el dominio sobre los mismos. Con todos los supuestos de la prestación del consentimiento podemos concluir algo que ya señalábamos al principio y es que los argumentos sanitarios acaban imponiéndose en razón de su propia finalidad, aunque con la observancia de todos los derechos de la persona. Eso significa que, por una parte, podría entenderse que el art. 8 habilita el tratamiento de datos sobre la salud en los centros públicos y privados y ese contexto legitima el tratamiento sin que se precise la prestación del consentimiento salvaguardada la voluntad de consentir del paciente por su acercamiento voluntario a recibir prestación sanitaria. Por otra parte se aplicarían las reglas de la prestación del consentimiento expreso y por escrito del art. 7.3 de la LOPD cuando se recojan datos sobre la salud fuera del contexto de la prestación sanitaria y deban por ello también extremarse sus garantías 17. Por lo que respecta al art. 7.6 los supuestos en los que se pueden recabar datos sobre la salud prescindiendo del consentimiento son interpretados de manera tan amplia que podemos afirmar que prácticamente toda actuación en el ámbito de la sanidad por los profesionales correspondientes se encuentra amparada por este artículo con lo que no se precisa el consentimiento expreso. Para completar las condiciones del consentimiento hay que referirse al art. 3 donde se define como toda manifestación de voluntad libre, inequívoca, e informada mediante la que el interesado consiente el tratamiento de datos personales que le conciernen. Por parte de la Ley 41/2002 hay que señalar que al aludir en el art. 2.2 a la necesidad de recabar el previo consentimiento para proceder a toda actuación en el ámbito de la sanidad sin especificar nada más puede quedar incluido también el tratamiento de datos sobre la salud. Si embargo, la definición en el art. 3 de 17 Piénsese en la recogida de datos sobre la salud que pueden realizar las compañías de seguros, o las empresas para realizar una selección de personal, etc. 13

14 consentimiento parece centrarlo a mi modo de ver más en un tratamiento sanitario que en un tratamiento de datos sobre la salud 18, De acuerdo con la definición vista de tratamiento el primer momento del mismo es la recogida de los datos y esta es la primera operación para la que debe solicitarse el consentimiento. Como la manifestación de voluntad que refleja el consentimiento, por definición, ha de ser informada habrá que establecer una conexión directa entre la recogida de datos personales con consentimiento del titular y la información pertinente, esto es, entre los arts sobre el consentimiento y el 5, sobre el derecho de información, todos ellos de la LOPD. Pues bien el art. 5 de la LOPD establece con carácter general los aspectos acerca de los que hay que informar al interesado-paciente; entre los que se encuentran la existencia de un fichero, la finalidad de la recogida de esos datos y los destinatarios de la información, del carácter obligatorio o no de las respuestas a las preguntas planteadas, de las consecuencias de la obtención de los datos o la negativa a suministrarlos, de la posibilidad del ejercicio de los derechos de acceso, rectificación y cancelación y de la identidad y dirección del responsable del tratamiento. Bien en algunos de esos casos y dado que la prestación asistencial es un conjunto de asistencias resulta obvia la información y además un riguroso cumplimiento de la ley podría obstaculizar y ralentizar el tratamiento del paciente con lo que el motivo principal de salvaguardar la salud del paciente que justifica la recogida de datos perdería su finalidad principal. Además, el propio art. 5 exime de la obligación de informar en algunos de sus apartados cuando si del contexto o por la naturaleza de los datos solicitados se deduce claramente la necesidad de su recogida. Pero en una explicación lineal y lógica de la ley y dando respuesta en el terreno de la sanidad a la necesidad de la información tendríamos que informar sobre la existencia de la historia clínica como fichero de datos sobre la salud, la finalidad de la recogida resulta obvia y está señalada en el art de la Ley 41/2002 y es facilitar la asistencia sanitaria, y los destinatarios de la información. 4.2 La cesión o comunicación de datos sobre la salud. 18 El art. 3 de la Ley 41/2002 define el consentimiento informado como la conformidad libre, voluntaria y consciente de un paciente, manifestada en el pleno uso de sus facultades después de recibir la información adecuada, para que tenga lugar una actuación que afecta a su salud. La regulación más detallada del consentimiento que a continuación efectúan los arts. 8, 9 y 10 centrándolo en el ámbito de la salud parece reforzar esta opinión. 14

15 Queda un último apartado en relación con la prestación del consentimiento. La cesión aparece definida en el art. 3.i) de la LOD como toda revelación de datos realizada a una persona distinta del interesado. El art. 11 de la LOPD relativo a la cesión de datos señala que los datos de carácter personal solo podrán comunicarse a un tercero para el cumplimiento de fines directamente relacionados con las funciones del cedente y del cesionario, con el previo consentimiento de la persona. La prestación del consentimiento se excepciona en determinados supuestos, en concreto cuando la comunicación deba efectuarse a los jueces y tribunales, o para los datos sanitarios cuando sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación estatal o autonómica, o cuando se realice entre Administraciones Públicas para fines históricos, estadísticos o científicos. Es decir, la cesión de datos sobre la salud al margen del consentimiento está prevista expresamente en los casos en que medie un interés particular que será el interés del paciente en recibir asistencia sanitaria o en caso de existir un interés social o universal centrado en los estudios epidemiológicos, aunque también pueden cederse datos sobre la salud al margen del consentimiento en los otros dos supuestos generales. La Ley 41/2002 recoge en el art. 16 diversos supuestos de cesión de datos sobre la salud como una forma de acceso a la historia clínica por parte de sujetos distintos del interesado. En principio, el acceso de los profesionales que atienden al paciente a la historia clínica del art. no puede contemplarse como una cesión de datos pues el conocimiento de los datos sobre la salud contenidos en la historia clínica forma parte de la finalidad asistencial de ésta. Tampoco a mi juicio el acceso del respeto del personal sanitario a la historia clínica. Si constituye una cesión según el art el acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, que se rige por lo dispuesto en la Ley de protección de datos y en la Ley General de Sanidad. En este caso se preservará el anonimato de los interesados separando la identificación personal del paciente de la información aportada salvo en los supuestos de investigación judicial en los que se considere imprescindible mantener los datos perfectamente identificados. La cesión con fines epidemiológicos, de salud pública o de investigación parece primar el interés universal que conlleva toda historia clínica y que motiva en este caso la entrega de datos sobre la salud aunque con la misma obligación de mantener el anonimato de los interesados. La cesión analizada se completa con la obligación de conservar la documentación clínica a efectos judiciales, epidemiológicos, de investigación o de 15

16 organización y funcionamiento del Sistema Nacional de Salud, tal y como recoge el art de la Ley 41/2002. Queda algún supuesto más de cesión o comunicación de datos especialmente importante y que la Ley 41/2002 no ha previsto por lo que habrá que estar a las disposiciones de la Ley 15/1999, como por ejemplo la cesión de datos sobre la salud a las Fuerzas y Cuerpos de Seguridad del Estado. El art de la LOPD permite el tratamiento de datos de salud y del resto de los datos de los arts. 7.2 y 7.3 LOPD exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de la legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales. En realidad el precepto permite la cesión de datos sobre la salud tanto de los ficheros públicos como privados a las fuerzas y cuerpos de seguridad del Estado. En este sentido parece aconsejable un control judicial tal y como recomienda la Agencia de la Comunidad de Madrid a través de la Recomendación 2/2004, con el fin de mantener protegidos los derechos del interesado. Por último un caso de cesión sin consentimiento del interesado se contempla en el art de la LOPD que permite la cesión de datos entre Administraciones Públicas que desarrollen idénticas competencias sobre las mismas materias, caso de cesiones entre diferentes centros de salud u hospitales, tanto dentro de una Comunidad Autónoma o entre diferentes comunidades, o entre las Consejerías de Sanidad y los centros de salud. 5. Los principios de la protección de datos de la LOPD y sus particularidades en la Ley 41/ El principio de confidencialidad. Probablemente si tuviéramos que destacar un principio fundamental del tratamiento de los datos sobre la salud correspondería ese honor al principio de confidencialidad que ha sido destacado especialmente en el documento sobre los Principios Éticos de la Sanidad en la Sociedad de la Información relacionándolo con el consentimiento informado del interesado para el tratamiento de los datos sobre la salud, estableciendo la confidencialidad como el elemento esencial que le convence para la 16

17 entrega de datos tan sensibles como los datos sobre la salud. En realidad la confidencialidad se basa en una confianza personal con el médico y en una confianza en sus posibilidades de tratamiento Junto a ello la confidencialidad se preserva limitando el acceso a los datos solamente a los profesionales que realizan el tratamiento médico y los terceros legítimamente autorizados para ello y fijando las características del secreto médico. Es decir, refuerzan el principio de confidencialidad los siguientes elementos: el consentimiento para el tratamiento de datos sobre la salud que ya se convierte en un elemento vertebrador del mismo, la limitación personal al acceso para preservar la confidencialidad y la obligación de guardar el secreto médico como particularidad del secreto profesional en el ámbito sanitario. Pues bien la LOPD regula en su art. 10 el secreto profesional del responsable del tratamiento y de todos los que intervengan en él, subsistiendo esta obligación aun después de finalizada su relación con ellos. La Ley 41/2002 alude en varios momentos a la confidencialidad de los datos, a la limitación al acceso para preservarla y al secreto médico. En primer lugar el art. 2.7 eleva a principio básico de la Ley la necesidad de guardar la reserva debida para la persona que elabore o tenga acceso a la información y a la documentación clínica, lo cual amplía la obligación de secreto para toda persona relacionada con la historia clínica. En segundo lugar, la confidencialidad de los datos vertebra el derecho a la intimidad del art. 7.1, según el cual toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley, obligando a los centros, en el apartado segundo al centro sanitario a adoptar las medidas necesarias para garantizar la confidencialidad y el procedimiento legal de acceso. También todo el art. 16 regula el acceso a la historia clínica por parte de todo el personal interesado en ella auque desde distintas perspectivas y el art obliga a cada centro a que establezca los métodos que posibiliten el acceso a la historia clínica por los profesionales que le asisten. Más adelante el art vuelve a incidir en el secreto profesional al que se somete el personal que accede a la historia clínica en el ejercicio de sus funciones. Por su parte la Ley 8/2000, de Castilla-La Mancha reconoce en su art. 4.1.f) que el interesado tiene derecho a la confidencialidad de toda la información relacionada con su proceso y estancia en centros sanitarios públicos y privados. 17

18 5.2. El principio de adecuación y pertinencia. Los apartados del art. 4 de la LOPD recogen los principios de la calidad de los datos que en el sector de la sanidad requieren algunas matizaciones que ha efectuado la Ley 41/2002: En primer lugar el art. 4.1 de la LOPD exige que los datos sean adecuados, pertinentes y no excesivos en relación con las finalidades para las que se hayan recabado. La recogida y el tratamiento de datos sanitarios persiguen una finalidad principal muy clara plasmada en la propia finalidad de la historia clínica que es según el art de la Ley 41 garantizar una asistencia adecuada al paciente. Esta finalidad determina a su vez la pertinencia y adecuación de los datos que recoja. Así lo señala el art. 15 cuyo apartado 2 reincide en el fin principal de la historia clínica que es facilitar la asistencia sanitaria para lo cual según el apartado primero incorporará la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente. La legislación sanitaria añade a la pertinencia y adecuación de los datos el calificativo de trascendental que refuerza la relación y la conservación de los mismos con las funciones que motivan su recogida y su mantenimiento, característica que será valorada por el profesional de la medicina. Ahora bien, con independencia de la valoración que realice el profesional médico respecto de la información trascendental para la asistencia sanitaria la ley recoge un contenido mínimo 19 referido a: - La documentación referida a la hoja clínico-estadística. - La autorización de ingreso - El informe de urgencia - La anamnesis y la exploración física. - La evolución - Las órdenes médicas. - La hoja de interconsulta. - Los informes de exploración complementaria. - El consentimiento informado. - El informe de anestesia. 19 Para CRIADO DEL RIO, Mª Teresa, el contenido de la historia clínica debe ser completo, ordenado y actualizado, inteligible, respetuoso, rectificado y aclarado, vera y en el soporte documental adecuado, Aspectos médico-legales de la historia clínica, Colex, 1999, pág. 51 y ss. 18

19 - El informe de quirófano o de registro del parto. - El informe de anatomía patológica. - La evolución y planificación de cuidados de enfermería. - La aplicación terapéutica de enfermería. Por otro lado cualquier otro fichero que recoja datos sanitarios podrá ser objeto de valoración la pertinencia de los datos recogidos en función de su finalidad manifestada ya en la disposición de creación del fichero, siendo este extremo una garantía para el interesado que podrá valorar el cumplimiento del art. 4.1 y 4.2 de la LOPD El principio de exactitud El art. 4.3 de la LOPD señala que los datos han de ser exactos y puestos al día de forma que respondan con veracidad a la situación real del interesado, obligación que en el terreno de la sanidad resulta especialmente importante en atención al interés vital que tiene el interesado en adecuar las informaciones incluidas en su historia clínica con su realidad. Recuérdese que el interesado tiene el deber antes mencionada de aportar datos de forma verdadera y leal. Esa necesidad de mantener los datos de forma actualizada cobra especial interés en el apartado siguiente del precepto que señala la obligación que corresponde al responsable del fichero acerca de la rectificación, cancelación y sustitución de los datos incompletos o inexactos por los correctos. La Ley 41/2002 se refiere en varios de sus preceptos a la necesidad de mantener los datos en buen estado. El art alude a la obligación de cada centro de archivar las historias clínicas con independencia del soporte para que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información. Corresponderá a las Administraciones Sanitarias, según el art. 14.3, establecer los mecanismos que garanticen la autenticidad del contenido de la historia clínica y los cambios operados en ella. Por otro lado, en el art atribuye el cuidado de la documentación clínica a los centros sanitarios para su correcto mantenimiento y su seguridad, el art habla de la responsabilidad de los profesionales sanitarios en orden a la creación y mantenimiento de una documentación clínica ordenada y secuencial del proceso asistencial de los pacientes, mientras que el art responsabiliza de todo ello a los profesionales sanitarios que trabajen de manera individual. 19

20 5.4. El principio de cancelación. El art. 4.5 de la LOPD recoge la cancelación de los datos cuando hayan dejado de ser necesarios o pertinentes en relación con la finalidad para la que se recogieron. La conexión entre el mantenimiento de los datos y su finalidad presenta en el ámbito sanitario alguna peculiaridad pues es posible que sea preciso mantener los datos sanitarios en caso de tratamientos médicos prolongados o enfermedades crónicas en las que nunca llega a romperse la conexión entre la finalidad y el mantenimiento del dato. Pues bien el art. 17 de la Ley 41/2002 habla de la obligación de los centros sanitarios de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en soporte original, por el periodo necesario en cada caso y establece un periodo mínimo de 5 años desde el momento del alta del paciente. La excepción a la cancelación de los datos sanitarios la constituye su conservación a efectos judiciales, por razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud. En estos casos y dentro de lo posible se evita la relación de los datos con las personas afectadas, según dice el art El principio de lealtad. La información sanitaria, de acuerdo con el art. 4.7 de la LOPD, no puede recogerse de forma desleal, fraudulenta o ilícita, criterio de legalidad que se extiende obviamente a la recogida de cualquier tipo de dato El principio de seguridad. El principio de seguridad es una garantía de la integridad de la información, de la disponibilidad de la misma y de su confidencialidad. Constituye un elemento importante en orden a preservar el derecho a la protección de datos personales. La LOPD regula en el art. 9 el principio de seguridad. Por su parte la Ley 41/2002 realiza una completa regulación de la seguridad de las historias clínicas recogiéndola como un deber para los centros art. 14.2, resaltando la obligación para las administraciones sanitarias en el art de establecer los mecanismos que garanticen la autenticidad de las historias clínicas y obligando a los centros en el art, 17 a conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad. El art remite especialmente en materia de seguridad al Reglamento de Medidas de Seguridad 994/1999, de 11 de junio, que prevé para los datos sobre la salud y en general 20