El tratamiento de los datos relativos a la salud

El abogado Carlos Garmendia, especializado en las áreas de Derecho de Empresa y Derecho de Nueva Economía, habla en este artículo sobre la evolución que ha sufrido en los últimos años, con la llegada de las nuevas tecnologías, el tratamiento de los datos relativos a la salud, así como cuáles han sido los cambios que han acontecido en el marco legal de dichos datos.

En la sociedad actual la tecnología ha llegado a ocupar campos que hasta el momento no le eran propios, entre ellos, el del tratamiento de la información en el ámbito sanitario. Circunstancia ésta que ha permitido, entre otras cosas, la aparición del historial clínico informatizado o la tarjeta sanitaria digital.

Todas estas innovaciones, sin embargo, no pueden suceder sin más, ya que operan sobre una realidad protegida como derecho fundamental: los datos personales de los pacientes. Los cuales, por definición legal, se configuran como especialmente protegidos.

De este modo el marco legal en referencia al tratamiento de los datos relativos a la salud viene definido, principalmente, por la Ley Orgánica 15/1999 de protección de datos de carácter personal; y por la Ley 41/2002, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Ninguna de las dos normas citadas ofrece una definición de lo que debe entenderse por dato de salud, sin embargo, de la lectura de las mismas podemos concluir que se entienden por tales las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo; quedando incluidas en el concepto las informaciones referentes al abuso del alcohol o al consumo de drogas. De este modo, cualquier fichero que pueda incluir datos de este tipo y que sea objeto de tratamiento informatizado, será considerado como un fichero especialmente protegido a la luz de la legislación vigente; y sobre el mismo deberán tomarse importantes cautelas de un modo necesario.

De la «historia clínica» a la «historia clínica digital»

Dichos datos de salud de los pacientes son incorporados a lo que se ha venido a conocer como la «historia clínica» -y que ahora en la mayor parte de los casos se trata de un documento digital, configurando lo que se denomina «historia clínica digital» o «historia clínica informatizada»-. El artículo 14.1 de la ya citada Ley 41/2002 define la historia clínica como el conjunto de documentos relativos a los procesos asistenciales de cada paciente, siendo su finalidad, según el artículo 15.2, facilitar la asistencia sanitaria. Por lo tanto, es posible el tratamiento de los datos médicos que se relacionen con la finalidad determinada, explícita y legítima de asegurar, a través del estudio de la evolución médica del paciente, una adecuada asistencia sanitaria al mismo.

Sin embargo, el hecho de que exista una autorización al tratamiento de los datos de salud de los pacientes para ser integrados en el historial clínico, ello no quiere decir que dicho tratamiento se pueda llevar a cabo libremente; sino que aparece sometido a una serie de principios y requisitos, con cuya infracción se estaría incurriendo en responsabilidad. De esta forma, y como en cualquier otro ámbito, el tratamiento de los datos de salud en la historia clínica está sometido a los principios de «proporcionalidad en el tratamiento», «contenido mínimo», «finalidad» y «conservación ajustada a la finalidad». Y también, como en cualquier otra base de datos que incorpora datos sensibles, la historia clínica está sometida a las limitaciones en cuanto a acceso, comunicación y cesión de los datos que se reflejan en la LOPD; así como con respecto a la misma se debe establecer un adecuado sistema de acceso, modificación y supresión, en su caso.

El responsable del fichero

Y todo lo anterior queda bajo la responsabilidad directa del responsable del fichero. La definición de este responsable ha sido una cuestión muy debatida por el sector médico-sanitario, y a la que la Ley 41/2002 ha dado respuesta. De este modo, el artículo 17. 4 de la citada Ley establece que la gestión y custodia del historial estarán bajo la responsabilidad del centro sanitario correspondiente o, según el artículo 17.5, de los profesionales que, en su caso, desarrollen su actividad de manera individual. Además, el artículo 18 encomienda a los centros sanitarios la adopción de las reglas que regulen el ejercicio por el paciente de su derecho de acceso, como consecuencia de que son estos centros los que resultan responsables del tratamiento.

Por último, hay que tener en cuenta que el artículo 37 LOPD atribuye a la Agencia Española de Protección de Datos el ejercicio de la potestad sancionadora, la cual se ejercitará conforme a los términos establecidos en el Título VII de la Ley. Se puede decir a este respecto que las posibilidades de reacción frente al incumplimiento que la Ley otorga a la Agencia Española de Protección de Datos son especialmente contundentes y rigurosas.

De este modo, el repertorio de infracciones legalmente tipificadas es muy amplio y se corresponde con la variedad de comportamientos obligados o prohibidos que aparecen en los diversos artículos de la Ley. Por su parte, las sanciones son notablemente rigurosas, como contrapartida a los derechos protegidos por la norma (privacidad, intimidad, honor y demás libertades protegidas).