array:19 [
  "pii" => "13084919"
  "issn" => "00017310"
  "doi" => "10.1016/S0001-7310(06)73343-9"
  "estado" => "S300"
  "fechaPublicacion" => "2006-01-01"
  "documento" => "article"
  "subdocumento" => "fla"
  "cita" => "Actas Dermosifiliogr. 2006;97:18-30"
  "abierto" => array:3 [
    "ES" => true
    "ES2" => true
    "LATM" => true
  ]
  "gratuito" => true
  "lecturas" => array:2 [
    "total" => 5118
    "formatos" => array:3 [
      "EPUB" => 18
      "HTML" => 4269
      "PDF" => 831
    ]
  ]
  "itemSiguiente" => array:15 [
    "pii" => "13084920"
    "issn" => "00017310"
    "doi" => "10.1016/S0001-7310(06)73344-0"
    "estado" => "S300"
    "fechaPublicacion" => "2006-01-01"
    "documento" => "article"
    "subdocumento" => "fla"
    "cita" => "Actas Dermosifiliogr. 2006;97:31-4"
    "abierto" => array:3 [
      "ES" => true
      "ES2" => true
      "LATM" => true
    ]
    "gratuito" => true
    "lecturas" => array:2 [
      "total" => 6269
      "formatos" => array:3 [
        "EPUB" => 35
        "HTML" => 4925
        "PDF" => 1309
      ]
    ]
    "es" => array:12 [
      "idiomaDefecto" => true
      "titulo" => "Espiradenomas múltiples con distribución lineal"
      "tienePdf" => "es"
      "tieneTextoCompleto" => "es"
      "tieneResumen" => array:2 [
        0 => "es"
        1 => "en"
      ]
      "paginas" => array:1 [
        0 => array:2 [
          "paginaInicial" => "31"
          "paginaFinal" => "34"
        ]
      ]
      "titulosAlternativos" => array:1 [
        "en" => array:1 [
          "titulo" => "Multiple linear spiradenoma with a linear distribution."
        ]
      ]
      "contieneResumen" => array:2 [
        "es" => true
        "en" => true
      ]
      "contieneTextoCompleto" => array:1 [
        "es" => true
      ]
      "contienePdf" => array:1 [
        "es" => true
      ]
      "resumenGrafico" => array:2 [
        "original" => 0
        "multimedia" => array:8 [
          "identificador" => "fig1"
          "etiqueta" => "Fig. 1"
          "tipo" => "MULTIMEDIAFIGURA"
          "mostrarFloat" => true
          "mostrarDisplay" => false
          "copyright" => "Elsevier España"
          "figura" => array:1 [
            0 => array:4 [
              "imagen" => "103v97n01-13084920fig01.jpg"
              "Alto" => 838
              "Ancho" => 1165
              "Tamanyo" => 462375
            ]
          ]
          "descripcion" => array:1 [
            "es" => "--Imagen de la parte izquierda del tronco y brazo donde se aprecia la lesión eritematosa lineal que se extiende desde la mama hasta la muñeca izquierda y que parece corresponder a un nevo epidérmico (flechas blancas). También se puede apreciar algún nódulo azulado en antebrazo y brazo con distribución lineal (flechas negras)."
          ]
        ]
      ]
      "autores" => array:1 [
        0 => array:2 [
          "autoresLista" => "Jorge Angulo, Elena González-Guerra, Inmaculada Vargas-Machuca, Mª Carmen Fariña, Lucía Martín, Luis Requena"
          "autores" => array:6 [
            0 => array:2 [
              "nombre" => "Jorge"
              "apellidos" => "Angulo"
            ]
            1 => array:2 [
              "nombre" => "Elena"
              "apellidos" => "González-Guerra"
            ]
            2 => array:2 [
              "nombre" => "Inmaculada"
              "apellidos" => "Vargas-Machuca"
            ]
            3 => array:2 [
              "nombre" => "Mª Carmen"
              "apellidos" => "Fariña"
            ]
            4 => array:2 [
              "nombre" => "Lucía"
              "apellidos" => "Martín"
            ]
            5 => array:2 [
              "nombre" => "Luis"
              "apellidos" => "Requena"
            ]
          ]
        ]
      ]
    ]
    "idiomaDefecto" => "es"
    "EPUB" => "https://multimedia.elsevier.es/PublicationsMultimediaV1/item/epub/13084920?idApp=UINPBA000044"
    "url" => "/00017310/0000009700000001/v0_201507151252/13084920/v0_201507151253/es/main.assets"
  ]
  "itemAnterior" => array:15 [
    "pii" => "13084918"
    "issn" => "00017310"
    "doi" => "10.1016/S0001-7310(06)73342-7"
    "estado" => "S300"
    "fechaPublicacion" => "2006-01-01"
    "documento" => "article"
    "subdocumento" => "fla"
    "cita" => "Actas Dermosifiliogr. 2006;97:1-17"
    "abierto" => array:3 [
      "ES" => true
      "ES2" => true
      "LATM" => true
    ]
    "gratuito" => true
    "lecturas" => array:2 [
      "total" => 13945
      "formatos" => array:3 [
        "EPUB" => 30
        "HTML" => 11454
        "PDF" => 2461
      ]
    ]
    "es" => array:11 [
      "idiomaDefecto" => true
      "titulo" => "Terapia biológica y psoriasis"
      "tienePdf" => "es"
      "tieneTextoCompleto" => "es"
      "tieneResumen" => array:2 [
        0 => "es"
        1 => "en"
      ]
      "paginas" => array:1 [
        0 => array:2 [
          "paginaInicial" => "1"
          "paginaFinal" => "17"
        ]
      ]
      "titulosAlternativos" => array:1 [
        "en" => array:1 [
          "titulo" => "Biologic therapy and psoriasis"
        ]
      ]
      "contieneResumen" => array:2 [
        "es" => true
        "en" => true
      ]
      "contieneTextoCompleto" => array:1 [
        "es" => true
      ]
      "contienePdf" => array:1 [
        "es" => true
      ]
      "autores" => array:1 [
        0 => array:2 [
          "autoresLista" => "Reyes Gamo, José L López-Estebaranz"
          "autores" => array:2 [
            0 => array:2 [
              "nombre" => "Reyes"
              "apellidos" => "Gamo"
            ]
            1 => array:2 [
              "nombre" => "José L"
              "apellidos" => "López-Estebaranz"
            ]
          ]
        ]
      ]
    ]
    "idiomaDefecto" => "es"
    "EPUB" => "https://multimedia.elsevier.es/PublicationsMultimediaV1/item/epub/13084918?idApp=UINPBA000044"
    "url" => "/00017310/0000009700000001/v0_201507151252/13084918/v0_201507151253/es/main.assets"
  ]
  "es" => array:10 [
    "idiomaDefecto" => true
    "titulo" => "La protección de datos en la práctica privada"
    "tieneTextoCompleto" => true
    "paginas" => array:1 [
      0 => array:2 [
        "paginaInicial" => "18"
        "paginaFinal" => "30"
      ]
    ]
    "autores" => array:1 [
      0 => array:3 [
        "autoresLista" => "José Mª Dorado, Jesús Fernández-Herrera"
        "autores" => array:2 [
          0 => array:3 [
            "nombre" => "José Mª"
            "apellidos" => "Dorado"
            "referencia" => array:1 [
              0 => array:2 [
                "etiqueta" => "<span class="elsevierStyleSup">a</span>"
                "identificador" => "affa"
              ]
            ]
          ]
          1 => array:3 [
            "nombre" => "Jes&#250;s"
            "apellidos" => "Fern&#225;ndez-Herrera"
            "referencia" => array:1 [
              0 => array:2 [
                "etiqueta" => "<span class="elsevierStyleSup">b</span>"
                "identificador" => "affb"
              ]
            ]
          ]
        ]
        "afiliaciones" => array:2 [
          0 => array:3 [
            "entidad" => "Dermatólogo, práctica privada; abogado. Servicio de Dermatología. Hospital Universitario de La Princesa. Madrid. España."
            "etiqueta" => "<span class="elsevierStyleSup">a</span>"
            "identificador" => "affa"
          ]
          1 => array:3 [
            "entidad" => "efe de Sección. Servicio de Dermatología. Hospital Universitario de La Princesa. Madrid. España."
            "etiqueta" => "<span class="elsevierStyleSup">b</span>"
            "identificador" => "affb"
          ]
        ]
      ]
    ]
    "titulosAlternativos" => array:1 [
      "en" => array:1 [
        "titulo" => "Data protection in private practice&#46;"
      ]
    ]
    "textoCompleto" => "<p class="elsevierStylePara"> INTRODUCCION</p><p class="elsevierStylePara">En los &#250;ltimos a&#241;os la pr&#225;ctica de la medicina ha cambiado sustancialmente&#46; La relaci&#243;n entre m&#233;dico y paciente&#44; el n&#250;cleo m&#225;s humano de la profesi&#243;n m&#233;dica&#44; en uno de sus aspectos m&#225;s importantes&#44; la intimidad y el deber de secreto de los m&#233;dicos se desarrollan hoy en d&#237;a de una manera completamente diferente a como se hac&#237;a hace poco tiempo&#46; Los recientes cambios tecnol&#243;gicos y sociales que han dado lugar a la llamada <span class="elsevierStyleItalic"> sociedad de la informaci&#243;n y a la info&#233;tica</span> se han reflejado directamente en dicha relaci&#243;n&#46; La tecnificaci&#243;n y aplicaci&#243;n de las nuevas tecnolog&#237;as desempe&#241;an hoy en d&#237;a un papel fundamental en la pr&#225;ctica de la medicina y en la organizaci&#243;n de las instituciones sanitarias&#46; La burocratizaci&#243;n&#44; los cambios de valores y la gesti&#243;n de la asistencia sanitaria&#44; entre otros factores&#44; ha influido en un cambio de rol del paciente y del m&#233;dico&#44; llegando a modificar la relaci&#243;n entre ambos&#46; Se ha pasado de una relaci&#243;n basada en el principio &#233;tico de beneficencia o paternalismo &#40;hacer todo por el paciente pero sin el paciente&#41; a otra sustentada en el principio de autonom&#237;a&#44; cuya implicaci&#243;n en la pr&#225;ctica cl&#237;nica obliga al m&#233;dico a contar con el paciente en la toma de decisiones&#46; Esto ha dado lugar a un equilibrio en la relaci&#243;n m&#233;dico-paciente&#44; traslad&#225;ndose a &#233;ste la responsabilidad de decidir sobre la forma de abordar su propia enfermedad&#44; para lo cual es presupuesto ineludible la informaci&#243;n terap&#233;utica&#46;</p><p class="elsevierStylePara">Hasta hace poco dicha relaci&#243;n se pod&#237;a mantener aislada del entorno y del acceso a terceros con facilidad&#44; simplemente con la obligaci&#243;n del m&#233;dico de mantener el secreto profesional guardando silencio&#46; Hoy en d&#237;a la pr&#225;ctica m&#233;dica en muchos aspectos es ya telemedicina &#40;pr&#225;ctica de la medicina a distancia gracias a la cual las intervenciones&#44; el diagn&#243;stico&#44; las recomendaciones y las decisiones terap&#233;uticas se fundamentan en los datos cl&#237;nicos&#44; documentos y otras informaciones transmitidas por los sistemas de comunicaci&#243;n&#41;&#44; est&#225;tica o interactiva&#44; estando a la orden del d&#237;a&#44; por ejemplo&#44; las <span class="elsevierStyleItalic"> webs</span>  sanitarias&#46;</p><p class="elsevierStylePara">Producto de la evoluci&#243;n social es el tratamiento de los datos sanitarios&#44; consecuencia directa del desarrollo tecnol&#243;gico&#44; con evidentes ventajas para el paciente y la organizaci&#243;n sanitaria&#44; pero si no se emplea correctamente puede dar lugar a que el derecho a la intimidad sea agredido por las nuevas f&#243;rmulas de utilizaci&#243;n de su informaci&#243;n personal&#46; La autonom&#237;a del paciente frente a la obtenci&#243;n de datos sobre la salud&#44; la confidencialidad de los mismos y la seguridad en su transmisi&#243;n es una cuesti&#243;n esencial&#46; La protecci&#243;n de datos personales en el campo sanitario genera diversos problemas &#233;ticos y jur&#237;dicos que derivan del conflicto entre dicho derecho y los derechos a la salud y a la intimidad&#46; Las nuevas t&#233;cnicas de procesamiento y almacenamiento &#40;antes f&#237;sico&#44; ahora principalmente inform&#225;tico&#41; de la informaci&#243;n generan un peligro potencial para la intimidad de los pacientes cuyos datos son recogidos&#46; En el presente se est&#225;n produciendo numerosos problemas &#233;ticos y jur&#237;dicos derivados de dos derechos fundamentales referidos al paciente&#58; el derecho a la salud&#44; por un lado&#44; y los derechos a la intimidad y a la protecci&#243;n de los datos personales&#44; por el otro&#46;</p><p class="elsevierStylePara">Los profesionales sanitarios que desarrollan su actividad de manera individual y los centros sanitarios privados son responsables de la gesti&#243;n y la custodia de la documentaci&#243;n asistencial que generen&#44; debiendo proceder al tratamiento de los datos de car&#225;cter personal relativos a la salud de las personas que a ellos acudan o deban de ser tratados en los mismos de acuerdo con lo dispuesto en la legislaci&#243;n estatal o auton&#243;mica sobre sanidad&#46;</p><p class="elsevierStylePara">No es de extra&#241;ar por tanto&#44; que cada vez con m&#225;s frecuencia vayamos encontrando advertencias relacionadas con datos personales o datos de salud como por ejemplo <span class="elsevierStyleItalic">&#171;contiene documentaci&#243;n bajo secreto m&#233;dico&#46; Declinamos toda responsabilidad criminal por violaci&#243;n de los derechos constitucionales de la persona&#187;</span>&#46;</p><p class="elsevierStylePara"> NORMATIVA<span class="elsevierStyleSup">&#40;1&#41;</span></p><p class="elsevierStylePara"><span class="elsevierStyleSup"> &#40;1&#41;</span> Existen multitud de normas en el &#225;mbito internacional&#44; la Comunidad Europea y nuestro Derecho Interno relacionadas con la materia tratada en este art&#237;culo&#46; Debido a ello se ha pretendido&#44; por un lado&#44; rese&#241;ar la normativa imprescindible que se ha ido desarrollando con relaci&#243;n a los datos personales y&#44; por el otro&#44; no hacer dicha relaci&#243;n exhaustiva&#46; Como para hacer m&#237;nimamente comprensible el tema se ha seguido una relaci&#243;n en el tiempo&#44; y en las sucesivas normas rese&#241;adas aparecen expresiones cuyo alcance legal en principio es desconocido &#40;p&#46; ej&#46;&#44; fichero&#44; dato de salud&#44; cesi&#243;n de datos&#44; responsable del fichero&#44; etc&#46;&#41;&#44; m&#225;s adelante se procura aclarar su significado&#46;</p><p class="elsevierStylePara">En la Comunidad Europea se ha ido desarrollando una extensa normativa que regula el tratamiento de datos personales&#44; atendiendo a los derechos de las personas&#44; la libre circulaci&#243;n de la informaci&#243;n y la protecci&#243;n jur&#237;dica de las bases de datos&#46; La norma de referencia es la directiva 95&#47;46&#47;CE del Parlamento Europeo y del Consejo&#44; de 24 de octubre de 1995 relativa a la protecci&#243;n de personas f&#237;sicas en lo que respecta al tratamiento de datos personales y a su libre circulaci&#243;n&#46;</p><p class="elsevierStylePara">En el &#225;mbito europeo el derecho a la protecci&#243;n de datos est&#225; basado en los principios de limitaci&#243;n de objetivos&#44; proporcionalidad y calidad &#40;adecuados&#44; pertinentes y no excesivos o necesarios para el fin que se persigue&#44; exactos y puestos al d&#237;a&#41; de los datos que se recaben&#44; transparencia sobre su manejo&#44; confidencialidad y seguridad del tratamiento automatizado&#46; La reciente Constituci&#243;n Europea recoge el derecho de toda persona a la protecci&#243;n de los datos de car&#225;cter personal que le conciernan&#44; que dichos datos se traten de modo leal&#44; para fines concretos y sobre la base de consentimiento de la persona afectada o en virtud de otro fundamento leg&#237;timo previsto por la ley&#44; y el derecho de acceso a los datos recogidos y a obtener su rectificaci&#243;n&#46;</p><p class="elsevierStylePara">En la actualidad no existe en nuestro Derecho Interno una norma expresa que ampare las singularidades del tratamiento automatizado y protecci&#243;n de los datos de salud&#44; por lo que se debe acudir a la Constituci&#243;n espa&#241;ola&#44; a la doctrina del Tribunal Constitucional y a otras normas gen&#233;ricas sobre tratamiento automatizado de datos personales&#46; Las disposiciones legales b&#225;sicas de la aplicaci&#243;n en esta materia son de car&#225;cter general&#44; la Ley Org&#225;nica de Protecci&#243;n de Datos de Car&#225;cter Personal de 1999 &#40;en adelante LOPD&#41; y el Reglamento de Medidas de Seguridad de 1999 &#40;en adelante RMS&#41;&#46; En general&#44; la aplicaci&#243;n de las leyes tanto en el sector p&#250;blico como en el privado&#44; los principios de protecci&#243;n de datos en cuanto al tratamiento de los mismos&#44; as&#237; como los derechos espec&#237;ficos que concede la ley a los ciudadanos son de obligado cumplimiento para cualquier ciudadano que trate datos de car&#225;cter personal&#44; con independencia de su naturaleza p&#250;blica o privada&#46; Las diferencias que se establecen en la LOPD son b&#225;sicamente procedimentales &#40;c&#243;mo debe realizarse una determinada actuaci&#243;n o gesti&#243;n&#41;&#44; dependiendo que el responsable de tratamiento sea uno u otro tipo de entidad&#46;</p><p class="elsevierStylePara">CONSTITUCION ESPA&#209;OLA Y DOCTRINA DEL TRIBUNAL CONSTITUCIONAL</p><p class="elsevierStylePara">La protecci&#243;n de los datos sobre la salud dentro de nuestro ordenamiento jur&#237;dico nace en nuestra Constituci&#243;n&#44; y tiene su m&#225;ximo exponente en el art&#237;culo 18&#46;4&#44; en el que se se&#241;ala lo siguiente&#58; <span class="elsevierStyleItalic">&#171;la Ley limitar&#225; el uso de la inform&#225;tica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos&#187;</span>&#46;</p><p class="elsevierStylePara">El derecho fundamental<span class="elsevierStyleSup">&#40;2&#41;</span> a la intimidad personal y familiar est&#225; dirigido a proteger a la persona frente a cualquier invasi&#243;n que pueda realizarse en el &#225;mbito de su vida personal y familiar&#46; El derecho fundamental a la protecci&#243;n de datos busca garantizar a la persona un poder de disposici&#243;n o control sobre sus datos personales&#44; su uso y destino&#44; impidiendo su tr&#225;fico il&#237;cito y lesivo para su dignidad y derecho&#44; lo que atribuye a su titular una serie de facultades jur&#237;dicas para imponer a terceros la realizaci&#243;n u omisi&#243;n de determinados comportamientos&#44; como la obligaci&#243;n de informar sobre ciertos datos o rectificarlos&#44; su cancelaci&#243;n&#44; etc&#46; Es decir&#44; es un derecho que se traduce en la potestad de control sobre el uso que se hace de sus datos personales&#44; permitiendo evitar que&#44; a trav&#233;s del tratamiento de nuestros datos se pueda llegar a disponer de la informaci&#243;n sobre nosotros que afecte a nuestra intimidad y dem&#225;s derechos fundamentales y libertades p&#250;blicas&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleSup"> &#40;2&#41;</span> Derecho irrenunciable&#59; prevalece sobre otros derechos no fundamentales&#46;</p><p class="elsevierStylePara">El Tribunal Constitucional tiene reconocido el derecho a la protecci&#243;n de datos personales como un derecho o libertad fundamental dotado de entidad propia&#44; de car&#225;cter independiente&#44; aut&#243;nomo y distinto respecto del derecho general a la intimidad personal y familiar&#44; dirigido a hacer frente a las potenciales agresiones a la dignidad y a la libertad de las personas producidas por el uso ileg&#237;timo del tratamiento mecanizado de datos&#44; estableciendo que &#171;el derecho a la protecci&#243;n de datos no se reduce s&#243;lo a los datos &#237;ntimos de las personas&#44; sino a cualquier tipo de dato personal&#44; sea o no &#237;ntimo&#44; cuyo conocimiento o empleo por terceros pueda afectar a sus derechos&#44; sean o no fundamentales&#44; porque su objeto no es s&#243;lo la intimidad individual&#187;&#46;</p><p class="elsevierStylePara">Este derecho espec&#237;fico lo define como el derecho que tiene toda persona a controlar sus datos personales&#44; lo que le faculta para decidir qui&#233;n posee esos datos y para qu&#233; los va a usar&#44; pudiendo oponerse a esa posesi&#243;n o uso&#46; Para el Tribunal Constitucional los datos amparados por el derecho fundamental a la protecci&#243;n de datos son todos aquellos de car&#225;cter personal&#44; no referidos exclusivamente a los datos &#237;ntimos&#44; que identifiquen o permitan la identificaci&#243;n de la persona&#44; que pueden servir para la confecci&#243;n de su perfil ideol&#243;gico&#44; racial&#44; sexual&#44; econ&#243;mico o de cualquier otra &#237;ndole&#44; o que sirven para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo&#46;</p><p class="elsevierStylePara">La llamada <span class="elsevierStyleItalic"> libertad inform&#225;tica</span> o el tambi&#233;n denominado <span class="elsevierStyleItalic">derecho a la autodeterminaci&#243;n informativa</span> &#40;construcci&#243;n del Tribunal Constitucional Federal alem&#225;n&#41; ser&#237;a la potestad del particular de disponer y controlar la informaci&#243;n que obra sobre su persona mediante datos insertos en un programa inform&#225;tico&#44; su uso&#44; difusi&#243;n y manejo y la facultad de oponerse a que determinados datos personales sean utilizados para fines distintos del fin leg&#237;timo que justific&#243; su recogida&#46;</p><p class="elsevierStylePara">El &#250;nico l&#237;mite del derecho fundamental a la protecci&#243;n de datos son los dem&#225;s derechos constitucionales y bienes jur&#237;dicos de rango constitucional&#59; por tanto&#44; no es un derecho absoluto&#44; y se encuentran en colisi&#243;n directa con &#233;l&#44; entre otros&#44; el derecho a la vida y el derecho a la salud&#44; que priman sobre aqu&#233;l&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold">Ley 14&#47;1986&#44; de 25 de abril&#44; General de Sanidad</span></p><p class="elsevierStylePara">Recoge el deber de secreto al que est&#225;n sometidas todas las personas que acceden a los historiales cl&#237;nicos de los pacientes y el mandato a los poderes p&#250;blicos para adoptar las medidas necesarias para garantizar en dichos pacientes sus derechos a la intimidad personal y familiar&#46; Se&#241;ala el derecho a la confidencialidad de toda la informaci&#243;n relacionada con el proceso &#91;m&#233;dico&#93; y con la estancia en instituciones sanitarias p&#250;blicas y privadas que colaboren con el sistema p&#250;blico&#46; La Ley General de Sanidad &#40;en adelante LGS&#41; establec&#237;a en su art&#237;culo 61 que la historia cl&#237;nica deber&#237;a estar a disposici&#243;n de los enfermos y de los facultativos que directamente estuvieran implicados en el diagn&#243;stico y el tratamiento del enfermo&#44; as&#237; como a efectos de inspecci&#243;n m&#233;dica o para fines cient&#237;ficos&#44; y debe quedar plenamente garantizado el derecho del enfermo a su intimidad personal y familiar y el deber de guardar el secreto por quien&#44; en virtud de sus competencias&#44; tuviera acceso a la misma&#46; Aunque este art&#237;culo est&#225; derogado&#44; su contenido es recogido en t&#233;rminos similares en normas posteriores&#44; de ah&#237; su rese&#241;a&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Recomendaci&#243;n n&#46;&#186; 5&#44; de 13 de febrero de 1997&#44; del Comit&#233; de Ministros del Consejo de Europa a los Estados miembros sobre protecci&#243;n de datos m&#233;dicos</span></p><p class="elsevierStylePara">Esta norma busca un equilibrio entre la protecci&#243;n que debe ser dispensada a la intimidad de las personas&#44; lo que constituye uno de sus ejes b&#225;sicos y&#44; en el otro extremo&#44; la salud p&#250;blica&#46; Aconseja a los gobiernos de los Estados miembros la regulaci&#243;n de la recogida y procesamiento de los datos m&#233;dicos para salvaguardar la seguridad y confidencialidad de los datos personales relacionados con la salud&#44; emple&#225;ndose de acuerdo con los derechos y libertades fundamentales de las personas&#44; especialmente con el derecho a la intimidad&#46;</p><p class="elsevierStylePara">En su primer art&#237;culo se especifica qu&#233; debe entenderse por dato personal&#44; dato m&#233;dico y dato gen&#233;tico&#46; El art&#237;culo tercero restringe la recogida y el procesamiento de datos m&#233;dicos a los profesionales sanitarios&#44; individuos u &#243;rganos que trabajen en su representaci&#243;n&#46; Estos profesionales de los Estados parte del Consejo est&#225;n sometidos a estrictas normas de confidencialidad&#44; y su vulneraci&#243;n genera una sanci&#243;n penal&#46; Se permite la recogida y tratamiento de datos a otros profesionales &#40;administrador de un archivo&#41; siempre que queden sujetos a normas de confidencialidad id&#233;nticas a las que est&#225; sometido el personal sanitario&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Convenio para la protecci&#243;n de los derechos humanos y de la dignidad del ser humano con respecto a las aplicaciones de la biolog&#237;a y de la medicina hecho en Oviedo el 4 de abril de 1997</span></p><p class="elsevierStylePara">Este convenio&#44; a diferencia de otras declaraciones internacionales que le han precedido&#44; es el primer instrumento internacional con car&#225;cter jur&#237;dico vinculante para los pa&#237;ses que lo suscriben&#44; y a trav&#233;s de &#233;l se busca una armonizaci&#243;n de las legislaciones de los diversos pa&#237;ses en estas materias&#46; En &#233;l se establece un marco com&#250;n para la protecci&#243;n de los derechos humanos y la dignidad humana en la aplicaci&#243;n de la biolog&#237;a y la medicina&#44; y se reconocen varios derechos de los pacientes&#44; entre los que destacan el derecho a la informaci&#243;n&#44; el consentimiento informado y la intimidad de la informaci&#243;n relativa a la salud de las personas&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold">Real Decreto 994&#47;1999&#44; de 11 de junio&#44; por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de car&#225;cter personal</span></p><p class="elsevierStylePara">En esta norma se recoge la obligaci&#243;n de adoptar los responsables de ficheros y&#44; en su caso&#44; los encargados de tratamiento&#44; las medidas de seguridad de &#237;ndole t&#233;cnica y organizativa conducentes a garantizar la seguridad y confidencialidad de los datos personales y evitar su alteraci&#243;n&#44; p&#233;rdida&#44; tratamiento o acceso no autorizado&#46; El nivel de protecci&#243;n para los ficheros automatizados que almacenan datos relativos a la salud es el m&#225;s alto de los previstos&#44; y est&#225;n especialmente protegidos&#44; lo que constituye el grado m&#225;ximo de seguridad exigible&#46; Igualmente&#44; se precisa la elaboraci&#243;n de un documento de seguridad&#44; de obligado cumplimiento para todo el personal con acceso a los datos&#44; y en el que se deben regular todos los aspectos relacionados con la seguridad&#46;</p><p class="elsevierStylePara">Entre las medidas t&#233;cnicas que conlleva el nivel alto de protecci&#243;n aplicable a los datos sanitarios resalta el de la obligatoriedad del cifrado de dichos datos o mecanismo similar&#44; tanto en la distribuci&#243;n de los soportes inform&#225;ticos que los contienen como en su transmisi&#243;n a trav&#233;s de redes de comunicaciones&#44; con la finalidad de garantizar que la informaci&#243;n no sea inteligible ni manipulable por terceros&#46; Igualmente&#44; en relaci&#243;n con los datos sanitarios&#44; es obligado un registro de accesos&#44; en el que se debe guardar en relaci&#243;n con cada acceso&#44; la identificaci&#243;n del usuario&#44; fecha y hora en que se realiz&#243;&#44; el fichero accedido&#44; el tipo de acceso y si fue autorizado o denegado&#46; El periodo m&#237;nimo de conservaci&#243;n de los datos registrados es de 2 a&#241;os&#46;</p><p class="elsevierStylePara">La seguridad de las comunicaciones por las que circulan datos sobre salud de las personas constituye un imperativo &#233;tico&#46; La salvaguarda de la protecci&#243;n en este campo respecto a los est&#225;ndares de seguridad y control de los sistemas de informaci&#243;n&#44; requiere el uso de tecnolog&#237;a de encriptaci&#243;n y utilizaci&#243;n de redes cerradas&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold">Ley Org&#225;nica 15&#47;1999&#44; de 13 de diciembre&#44; de protecci&#243;n de datos</span></p><p class="elsevierStylePara">La Ley Org&#225;nica 5&#47;1992&#44; de 29 de octubre&#44; de Regulaci&#243;n del Tratamiento de los Datos de Car&#225;cter Personal &#40;en adelante LORTAD&#41; inicia la regulaci&#243;n de los datos personales en nuestro pa&#237;s&#44; ajust&#225;ndose tanto a las previsiones del Convenio Europeo para la protecci&#243;n de los derechos fundamentales de las personas &#40;Convenio de 4 de noviembre de 1950&#41; como al Convenio Europeo para la protecci&#243;n de las personas con respecto al tratamiento automatizado de datos de car&#225;cter personal &#40;Convenio 108 del Consejo de Europa&#44; de 28 de junio de 1981&#41;&#46;</p><p class="elsevierStylePara">La evoluci&#243;n en la regulaci&#243;n del derecho a la protecci&#243;n de datos llevar&#225; al Parlamento Europeo y al Consejo de la Uni&#243;n Europea a adoptar la directiva 95&#47;46&#47;CE&#44; antes citada&#44; cuya transposici&#243;n a la legislaci&#243;n espa&#241;ola se realizar&#225; mediante la LOPD&#46;</p><p class="elsevierStylePara">La LOPD tiene como objeto <span class="elsevierStyleItalic"> &#171;garantizar y proteger&#44; en lo concerniente al tratamiento de datos personales&#44; las libertades p&#250;blicas y los derechos fundamentales de las personas f&#237;sicas&#44; y especialmente su honor e intimidad personal y familiar&#187;</span>&#46; Su &#225;mbito de aplicaci&#243;n son ley <span class="elsevierStyleItalic"> &#171;los datos de car&#225;cter personal</span> &#40;sean o no &#237;ntimos&#41; <span class="elsevierStyleItalic">registrados en soporte f&#237;sico</span> &#40;no en sentido estricto ficheros electr&#243;nicos o inform&#225;ticos&#44; sino tambi&#233;n los recogidos en papel&#44; microfichas o cualquier otro que pueda ser objeto de utilizaci&#243;n&#41; <span class="elsevierStyleItalic">que los haga susceptibles de tratamiento&#44; y a toda modalidad de uso posterior de estos datos por los sectores p&#250;blicos y privados&#187;</span>&#46; Por tanto&#44; se aplica a cualquier tratamiento&#44; con independencia de su soporte&#46;</p><p class="elsevierStylePara">Se excluyen del &#225;mbito de aplicaci&#243;n de la ley los ficheros mantenidos por personas f&#237;sicas en el ejercicio de actividades exclusivamente personales o dom&#233;sticas&#46; Respecto a los ficheros manuales &#40;la mayor&#237;a de historias cl&#237;nicas&#41; se confiere un plazo hasta el 24 de octubre de 2007 para su automatizaci&#243;n&#46;</p><p class="elsevierStylePara">La entrada en vigor de la ley estableci&#243; importantes obligaciones a las que quedan sujetos los profesionales aut&#243;nomos y las personas jur&#237;dicas que&#44; debido a su trabajo&#44; tratan datos personales&#44; as&#237; como un r&#233;gimen severo de sanciones en caso de su incumplimiento &#40;art&#237;culo 45&#41;&#44; por lo que desde un punto de vista pr&#225;ctico&#44; cualquier profesional de la salud que trate datos de car&#225;cter personal est&#225; obligado a tomar una serie de medidas de seguridad que garanticen los derechos de los titulares de dichos datos&#46; Dicha ley es la norma principal sobre la que se articula el r&#233;gimen jur&#237;dico relacionado con la protecci&#243;n de datos de car&#225;cter personal en Espa&#241;a&#46;</p><p class="elsevierStylePara">Para aplicar y adecuarse a la LOPD&#44; las comunidades aut&#243;nomas&#44; transferidas las competencias del Instituto Nacional de la Salud&#44; los hospitales&#44; centros sanitarios privados y profesionales aut&#243;nomos se deben adecuar a su cumplimiento&#44; especialmente en su vertiente inform&#225;tica&#44; y deben garantizar la confidencialidad de los datos sanitarios frente a terceros&#46; Debido a ello&#44; la mayor&#237;a de las comunidades aut&#243;nomas han ido aprobando leyes sanitarias que regulan los tratamientos de datos sanitarios&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold">Ley 41&#47;2002&#44; de 14 de noviembre&#44; b&#225;sica reguladora de la autonom&#237;a del paciente y de derechos y obligaciones en materia de informaci&#243;n y documentaci&#243;n cl&#237;nica</span></p><p class="elsevierStylePara">Esta ley desarrolla los principios de calidad&#44; informaci&#243;n&#44; consentimiento y seguridad de los datos en el campo de la informaci&#243;n y documentaci&#243;n cl&#237;nica&#46; Para la ley <span class="elsevierStyleItalic"> &#171;toda la actividad encaminada a obtener&#44; utilizar&#44; archivar&#44; custodiar y transmitir la informaci&#243;n y documentaci&#243;n cl&#237;nica debe ser orientada por la dignidad de la persona humana&#44; el respeto a la autonom&#237;a de su voluntad y a su intimidad&#187;</span>&#46;</p><p class="elsevierStylePara">En esta norma se recoge tambi&#233;n el principio de calidad de los datos almacenados en la historia cl&#237;nica &#40;en adelante HC&#41;&#44; defini&#233;ndose&#44; igualmente&#44; su contenido m&#237;nimo&#46;</p><p class="elsevierStylePara">HISTORIA CLINICA</p><p class="elsevierStylePara">En Espa&#241;a est&#225; regulada en la LGS&#44; que incluy&#243; el derecho del paciente frente a las administraciones p&#250;blicas sanitarias a que quedara constancia por escrito de su proceso asistencial&#44; y se estableci&#243; el principio de historia cl&#237;nico-sanitaria &#250;nica en el Real Decreto 63&#47;1995 y en la proposici&#243;n de Ley 622&#47;000010&#44; <span class="elsevierStyleItalic">&#171;debiendo quedar plenamente garantizado el derecho del enfermo a su intimidad personal y familiar y el deber de guardar secreto por quien&#44; en virtud de sus competencias tenga acceso a la HC&#187;</span>&#46;</p><p class="elsevierStylePara">La HC es una <span class="elsevierStyleItalic"> &#171;prestaci&#243;n sanitaria&#187;</span> &#40;apartado 11 del art&#46; 10 de la LGS y el punto 6 del apartado 5&#46;&#186; del anexo I del RD 63&#47;95&#41; y&#44; en otro sentido&#44; seg&#250;n la LOPD&#44; un fichero de datos personales sometido a las medidas de seguridad de nivel alto si est&#225; informatizada&#46; La HC&#44; sea manual o electr&#243;nica&#44; debe recoger exclusivamente la informaci&#243;n cl&#237;nica necesaria para asegurar&#44; bajo un criterio m&#233;dico&#44; el conocimiento veraz&#44; exacto y actualizado del estado de salud del paciente&#46;</p><p class="elsevierStylePara">La Ley 41&#47;2002&#44; B&#225;sica Reguladora de la Autonom&#237;a del Paciente y de Derechos y Obligaciones en Materia de Informaci&#243;n y Documentaci&#243;n Cl&#237;nica define a la HC como el <span class="elsevierStyleItalic">&#171;conjunto de documentos que contienen los datos&#44; valoraciones e informaciones de cualquier &#237;ndole sobre la situaci&#243;n y la evoluci&#243;n cl&#237;nica de un paciente a lo largo del proceso asistencial&#187;</span>&#46; La HC <span class="elsevierStyleItalic">&#171;comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente&#44; con la identificaci&#243;n de los m&#233;dicos y de los dem&#225;s profesionales que han intervenido en ellos</span>&#46;&#46;&#46;<span class="elsevierStyleItalic">&#187;</span></p><p class="elsevierStylePara">Todo paciente tiene derecho a que quede constancia&#44; por escrito o en soporte t&#233;cnico m&#225;s adecuado&#44; de la informaci&#243;n obtenida en todos sus procesos asistenciales realizados por el servicio de salud&#44; tanto en el &#225;mbito de la atenci&#243;n primaria como de la atenci&#243;n especializada&#46; El consentimiento ser&#225; verbal por regla general y s&#243;lo se prestar&#225; por escrito en los casos de intervenci&#243;n quir&#250;rgica&#44; procedimientos diagn&#243;sticos y terap&#233;uticos invasores y&#44; en general&#44; cuando se trate de aplicaci&#243;n de procedimientos que supongan riesgos o inconvenientes de notoria y previsible repercusi&#243;n negativa sobre la salud del paciente&#44; y otros como los trasplantes&#44; la reproducci&#243;n humana asistida o los ensayos cl&#237;nicos&#46; La HC debe incorporar la informaci&#243;n que se considere transcendental para el conocimiento veraz y actualizado del estado de salud del paciente&#46;</p><p class="elsevierStylePara">Tienen acceso a la HC los profesionales sanitarios del centro que realiza el diagn&#243;stico o el tratamiento del paciente&#46; El personal de administraci&#243;n y gesti&#243;n de los centros sanitarios s&#243;lo pueden acceder a los datos de la HC relacionados con sus propias funciones&#46; Se puede acceder a ella con fines epidemiol&#243;gicos&#44; de salud p&#250;blica&#44; investigaci&#243;n o docencia&#44; preserv&#225;ndose en todos ellos los datos de identificaci&#243;n personal del paciente&#44; o con fines judiciales&#44; estando para lo que dispongan los jueces y tribunales en el proceso que d&#233; origen a su acceso&#46;</p><p class="elsevierStylePara">El paciente tiene el derecho de acceso a la documentaci&#243;n de la HC y a obtener una copia de los datos que figuren en ella&#44; obligaci&#243;n que afecta tanto al centro sanitario p&#250;blico como al privado&#46; Este derecho del paciente tiene como l&#237;mites el derecho a la confidencialidad de los datos aportados por terceros y las anotaciones personales de los m&#233;dicos que no constituyan propiamente juicios cl&#237;nicos&#44; que pueden oponer al derecho de acceso la reserva de sus observaciones&#44; apreciaciones o anotaciones subjetivas&#46;</p><p class="elsevierStylePara">La Ley de Autonom&#237;a del Paciente se&#241;ala&#58; <span class="elsevierStyleItalic">&#171;cada centro archivar&#225; las HC de sus pacientes&#44; cualesquiera sea el soporte&#44; papel&#44; audiovisual&#44; inform&#225;tico o de otro tipo en el que consten&#44; de manera que queden garantizadas su seguridad&#44; su correcta conservaci&#243;n y la recuperaci&#243;n de la informaci&#243;n&#187;</span>&#46;</p><p class="elsevierStylePara">La protecci&#243;n de la HC es esencial&#44; y lleva impl&#237;cito el deber de confidencialidad impuesto por el secreto profesional y la protecci&#243;n de datos regulada en la normativa&#46; La HC genera derechos &#40;p&#46; ej&#46;&#44; derecho de acceso a la informaci&#243;n&#41; y deberes en las instituciones&#44; los profesionales sanitarios&#44; personal administrativo y pacientes&#44; que pueden entrar en conflicto&#46; Se puede acceder a la HC con fines judiciales&#44; de inspecci&#243;n&#44; epidemiol&#243;gicos&#44; de seguridad&#44; salud p&#250;blica&#44; investigaci&#243;n o docencia&#46; El paciente tiene derecho a que los centros sanitarios establezcan un mecanismo de custodia activa y diligente de las HC&#46; La ley establece un plazo b&#225;sico de custodia&#44; y se&#241;ala que los centros sanitarios est&#225;n obligados a conservar la documentaci&#243;n cl&#237;nica en condiciones que garanticen su correcto mantenimiento y seguridad&#44; y como m&#237;nimo 5 a&#241;os desde la fecha del alta de cada proceso asistencial&#46;</p><p class="elsevierStylePara">La HC se regula&#44; adem&#225;s&#44; por autonom&#237;as&#46; As&#237;&#44; por ejemplo la normativa de las Comunidades Aut&#243;nomas del Pa&#237;s Vasco&#44; Catalu&#241;a y Galicia delimitan su contenido y los documentos que deben contener&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Propiedad&#44; conservaci&#243;n y custodia</span></p><p class="elsevierStylePara">En la consulta privada&#44; la propiedad corresponde al m&#233;dico&#44; si trabaja por cuenta propia&#44; o al centro sanitario&#46; Con relaci&#243;n a la propiedad&#44; la Ley Gallega establece que la propiedad corresponde al m&#233;dico que realiza la atenci&#243;n sanitaria&#58; <span class="elsevierStyleItalic">&#171;la entidad o facultativo propietario es responsable de la custodia de las historias cl&#237;nicas y habr&#225; de adoptar todas las medidas precisas para garantizar la confidencialidad de los datos o de la informaci&#243;n contenida en las mismas&#187;</span>&#46;</p><p class="elsevierStylePara">La conservaci&#243;n y custodia es responsabilidad del m&#233;dico que presta sus servicios por cuenta propia&#46; El periodo de conservaci&#243;n de las HC var&#237;a seg&#250;n la regulaci&#243;n de cada comunidad aut&#243;noma&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold">Acceso a la informaci&#243;n contenida en la historia cl&#237;nica</span></p><p class="elsevierStylePara">El paciente&#44; seg&#250;n el amparo que la LGS reconoce a su derecho de informaci&#243;n&#44; tiene derecho a acceder al contenido de la misma si lo solicita&#46; Este derecho no es absoluto&#44; ya que encuentra sus l&#237;mites en el derecho a la intimidad y confidencialidad de terceras personas &#40;que afecte a la intimidad del fallecido&#44; o bien las anotaciones subjetivas de los profesionales o si se perjudica a terceras personas&#41;&#46;</p><p class="elsevierStylePara">Igualmente&#44; tienen acceso a la misma los profesionales sanitarios&#44; el personal de administraci&#243;n y terceras personas &#40;finalidades epidemiol&#243;gicas&#44; de salud p&#250;blica&#44; investigaci&#243;n&#44; docencia&#44; seguridad&#44; judiciales&#41;&#44; estando sujetos al deber de secreto y de confidencialidad de los datos del paciente&#46;</p><p class="elsevierStylePara">S&#243;lo se facilitar&#225; el acceso a la HC de los pacientes fallecidos a las personas vinculadas a &#233;l&#44; por razones familiares o de hecho&#44; salvo que el fallecido lo hubiese prohibido expresamente y as&#237; se acredite&#46; El acceso de terceros motivados por riesgos para su salud se limita a los datos pertinentes&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Informatizaci&#243;n de la historia cl&#237;nica</span></p><p class="elsevierStylePara">La informatizaci&#243;n de la HC debe sustentarse en los preceptos de la LOPD&#46; La HC informatizada tiene el mismo valor jur&#237;dico que en soporte papel&#44; aunque en el caso de la informatizaci&#243;n entra en juego el art&#237;culo 18&#46;4 de la Constituci&#243;n espa&#241;ola&#44; que limita el uso de la inform&#225;tica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos&#46;</p><p class="elsevierStylePara">El art&#237;culo 4&#46;7 de la Ley 44&#47;2003&#44; de 21 de noviembre&#44; de Ordenaci&#243;n de las Profesiones Sanitarias se&#241;ala como uno de los principios del ejercicio de las profesiones sanitarias&#44; que <span class="elsevierStyleItalic"> &#171;existir&#225; formalizaci&#243;n escrita de su trabajo</span> &#40;profesionales sanitarios&#41; <span class="elsevierStyleItalic"> reflejada en una HC que deber&#225; ser com&#250;n para cada centro y &#250;nica para cada paciente atendido en &#233;l&#46; La HC tender&#225; a ser soportada en medios electr&#243;nicos y a ser compartida entre profesionales&#44; centros y niveles asistenciales&#187;</span>&#46;</p><p class="elsevierStylePara">DATO PERSONAL&#46; DATO DE SALUD&#46; DATO M&#201;DICO</p><p class="elsevierStylePara">La LOPD define el dato personal como <span class="elsevierStyleItalic">&#171;toda informaci&#243;n relativa a una persona f&#237;sica identificada o identificable&#187;</span>&#46; Por tanto&#44; es un dato de car&#225;cter personal <span class="elsevierStyleItalic">&#171;cualquier informaci&#243;n</span>  &#40;num&#233;rica&#44; alfab&#233;tica&#44; gr&#225;fica&#44; fotogr&#225;fica&#44; ac&#250;stica o de cualquier otro tipo&#41; <span class="elsevierStyleItalic"> susceptible de recogida&#44; registro&#44; tratamiento o transmisi&#243;n concerniente a una persona f&#237;sica identificada o identificable&#187;</span>&#44; es decir&#44; todos aquellos referidos a personas f&#237;sicas&#44; a partir de los cuales se puede obtener informaci&#243;n sobre los h&#225;bitos&#44; preferencias&#44; vida privada&#44; etc&#46;&#44; de los individuos&#44; como el nombre&#44; el tel&#233;fono o la direcci&#243;n del correo electr&#243;nico&#46; El elemento fundamental para determinar que se trata de un dato personal es que la informaci&#243;n&#44; combinada o por s&#237; misma&#44; permita conocer datos de una persona concreta&#44; bien por estar directamente identificada a trav&#233;s de alg&#250;n dato&#44; o porque pueda llegar a ser identificable por otro medio&#46;</p><p class="elsevierStylePara">Se considera identificable &#40;Directiva 95&#47;46&#47;CE&#41; <span class="elsevierStyleItalic">&#171;toda persona cuya identidad pueda determinarse&#44; directa o indirectamente&#44; en particular mediante un n&#250;mero de identificaci&#243;n o uno o varios elementos espec&#237;ficos&#44; caracter&#237;sticos de su identidad f&#237;sica&#44; fisiol&#243;gica&#44; ps&#237;quica&#44; econ&#243;mica&#44; cultural o social&#187;</span>&#46;</p><p class="elsevierStylePara">No est&#225; claramente determinado por la legislaci&#243;n espa&#241;ola &#40;LOPD y las normas que la desarrollan&#41; qu&#233; se considera dato de salud o dato m&#233;dico&#44; lo que se puede y no es necesario proteger&#46; En el art&#237;culo 7 de la LOPD se consideran los datos de salud &#40;pero no los define&#41; como datos especialmente protegidos&#44; al igual que los datos referentes a ideolog&#237;a&#44; afiliaci&#243;n sindical&#44; religi&#243;n&#44; creencias&#44; origen racial&#44; vida sexual&#44; infracciones penales o administrativas&#46; Dicha protecci&#243;n acarrea criterios m&#225;s estrictos en el uso&#44; tratamiento y cesi&#243;n de los datos&#44; y medidas de seguridad por adoptar en los ficheros en los que se contengan dichos datos&#46; El dato de salud es personal cuando est&#225; &#237;ntima y directamente relacionado con un ser humano en concreto&#46;</p><p class="elsevierStylePara">En la recomendaci&#243;n n&#46;&#186; 5 se califica el dato m&#233;dico como un dato personal referido a la salud de las personas f&#237;sicas&#44; y se define como <span class="elsevierStyleItalic">&#171;todos los datos de car&#225;cter personal relativos a la salud de la persona&#44; comprendiendo igualmente los que tengan una manifiesta y estrecha relaci&#243;n con la salud&#44; as&#237; como con las informaciones gen&#233;ticas&#187;</span>&#46;</p><p class="elsevierStylePara">Se puede&#44; a partir de lo anterior&#44; estimar como dato m&#233;dico cualquiera de car&#225;cter personal que est&#233; relacionado con la salud de un individuo&#46; El concepto de dato sanitario debe entenderse de forma amplia&#44; abarcando todos aquellos datos que de alguna forma&#44; directa o indirectamente&#44; se refieran a la salud de las personas o guarden relaci&#243;n con ella&#46;</p><p class="elsevierStylePara"> FICHERO</p><p class="elsevierStylePara">La LOPD define el fichero como <span class="elsevierStyleItalic">&#171;todo conjunto organizado de datos de car&#225;cter personal&#44; cualquiera que fuere la forma o modalidad de su creaci&#243;n&#44; almacenamiento&#44; organizaci&#243;n y acceso&#187;</span>&#46; No se trata s&#243;lo de ficheros integrados en sistemas inform&#225;ticos o telem&#225;ticos&#44; sino tambi&#233;n de ficheros manuales o informaci&#243;n personal recogida en soportes manuales&#44; como ficheros de fichas manuscritas o similares que pueden estar archivados en armarios&#44; cajones o estanter&#237;as&#44; siempre que los datos se encuentren estructurados u organizados por alg&#250;n criterio que permita acceder f&#225;cilmente a los datos de determinada persona&#46;</p><p class="elsevierStylePara">RESPONSABLE DEL FICHERO&#46; ENCARGADO DE TRATAMIENTO&#46; USUARIO</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Responsable del fichero o tratamiento</span></p><p class="elsevierStylePara">Seg&#250;n la LOPD&#44; responsable del fichero es la <span class="elsevierStyleItalic">&#171;persona f&#237;sica o jur&#237;dica&#44; de naturaleza p&#250;blica o privada&#44; u &#243;rgano administrativo&#44; que decide sobre la finalidad&#44; contenido y uso de tratamiento&#187;</span>&#46; El responsable del fichero es quien decide la creaci&#243;n del mismo&#44; para qu&#233; se va a utilizar y el uso que se le va a dar&#46; Est&#225; obligado a dar respuesta a los ciudadanos ante el ejercicio de sus derechos de acceso&#44; rectificaci&#243;n&#44; cancelaci&#243;n y oposici&#243;n&#46; Las obligaciones del titular del fichero se centran en tomar todas las medidas necesarias orientadas a impedir el abuso o mal empleo de la informaci&#243;n&#44; as&#237; como a hacer un tratamiento de los datos legal y leal&#46; Si el responsable del fichero es una persona o empresa privada&#44; ser&#225; aqu&#233;l sobre quien recaigan las posibles sanciones pecuniarias en caso de comisi&#243;n de infracciones a la legislaci&#243;n sobre protecci&#243;n de datos personales&#44; sin perjuicio de la responsabilidad directa del autor de la infracci&#243;n&#44; si lo hubiera&#46; Dentro del &#225;mbito de los ficheros de titularidad p&#250;blica&#44; el responsable del fichero siempre es un &#243;rgano administrativo&#46;</p><p class="elsevierStylePara">Toda persona que mantenga un archivo con datos de car&#225;cter personal est&#225; obligada&#44; entre otros deberes&#44; a&#58;</p><p class="elsevierStylePara">1&#46; Inscribir el fichero en el Registro General de Protecci&#243;n de Datos de la Agencia Espa&#241;ola de Protecci&#243;n de Datos &#40;en adelante AEPD&#41;&#46;</p><p class="elsevierStylePara">2&#46; Tratar de forma legal y leal los datos de car&#225;cter personal en todas las fases &#40;recogida&#44; utilizaci&#243;n&#44; cesi&#243;n&#44; etc&#46;&#41;&#46;</p><p class="elsevierStylePara">3&#46; Facilitar el ejercicio de los derechos al afectado&#46;</p><p class="elsevierStylePara">4&#46; Mantener el deber de secreto&#46;</p><p class="elsevierStylePara">5&#46; Adoptar las medidas de seguridad que marca la Ley&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Encargado de tratamiento</span></p><p class="elsevierStylePara">La LOPD lo concreta como la <span class="elsevierStyleItalic">&#171;persona f&#237;sica o jur&#237;dica&#44; autoridad p&#250;blica&#44; servicio o cualquier otro organismo que&#44; s&#243;lo o conjuntamente con otros&#44; trate datos personales por cuenta del responsable del tratamiento&#187;</span> &#40;p&#46; ej&#46;&#44; empresa con la que se establece una relaci&#243;n contractual para que se encargue de la destrucci&#243;n de los documentos que contienen datos de car&#225;cter personal en los archivos de un m&#233;dico&#41;&#46;</p><p class="elsevierStylePara"> USUARIO</p><p class="elsevierStylePara">Usuario es cualquier persona al servicio del responsable del fichero o encargado de tratamiento que tenga acceso a los datos de car&#225;cter personal como consecuencia de tener encomendadas tareas de utilizaci&#243;n material de datos almacenados o que se almacenen en los ficheros&#46; Est&#225; obligado al cumplimiento de las medidas de seguridad establecidas para el tratamiento de datos y sujeto al deber de secreto&#46;</p><p class="elsevierStylePara">No debe confundirse la figura legal del usuario de los datos personales o tratamiento de datos recogida en la LOPD con la del usuario de una prestaci&#243;n sanitaria&#44; que seg&#250;n la Ley de Autonom&#237;a del Paciente es <span class="elsevierStyleItalic">&#171;la persona que utiliza los servicios sanitarios de educaci&#243;n y promoci&#243;n de salud&#44; de prevenci&#243;n de enfermedades y de informaci&#243;n sanitaria&#187;</span>&#46;</p><p class="elsevierStylePara">PROCEDIMIENTO DE DISOCIACION</p><p class="elsevierStylePara">Para la LOPD es <span class="elsevierStyleItalic"> &#171;todo tratamiento de datos personales de modo que la informaci&#243;n que se obtenga no pueda asociarse a persona identificada o identificable&#187;</span>&#46; Cuando los datos personales no permiten la identificaci&#243;n de una persona concreta pierden el car&#225;cter de personales y quedan al margen de la normativa sobre protecci&#243;n de datos&#46; Igualmente&#44; la utilizaci&#243;n de este procedimiento&#44; con car&#225;cter previo al acceso y tratamiento de datos&#44; exime de la exigencia de solicitar el consentimiento del interesado para poder utilizar dichos datos en el tratamiento previsto&#46;</p><p class="elsevierStylePara">TRATAMIENTO DE DATOS DE SALUD&#46; CESION&#46; COMUNICACION</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Obtenci&#243;n y tratamiento</span></p><p class="elsevierStylePara">La LOPD recoge el marco jur&#237;dico del tratamiento de datos&#46; La ley&#44; en sentido general&#44; aumenta las garant&#237;as de los titulares de datos personales&#44; mediante el deber de informaci&#243;n previa y la necesidad de contar&#44; como norma general&#44; con el consentimiento para el tratamiento de los datos personales&#44; incluida la cesi&#243;n o comunicaci&#243;n&#46; En los casos en los que no es necesario el consentimiento del interesado&#44; &#233;ste tiene derecho a oponerse a dicho tratamiento&#46;</p><p class="elsevierStylePara">La LOPD define tratamiento de datos de car&#225;cter personal como <span class="elsevierStyleItalic">&#171;todas las operaciones y procedimientos t&#233;cnicos de car&#225;cter automatizado o no&#44; que permitan la recogida&#44; grabaci&#243;n&#44; conservaci&#243;n&#44; elaboraci&#243;n&#44; modificaci&#243;n&#44; bloqueo y cancelaci&#243;n de datos&#44; as&#237; como las cesiones de datos que resulten de comunicaciones&#44; consultas&#44; interconexiones y transferencias&#187;</span>&#46;</p><p class="elsevierStylePara">Los datos personales que hagan referencia a la salud pueden ser tratados&#44; sin necesidad del consentimiento del afectado&#44; si dicho tratamiento tiene por finalidad proteger un inter&#233;s vital del interesado como el necesario para la prevenci&#243;n o el diagn&#243;stico m&#233;dicos&#44; la prestaci&#243;n de asistencia sanitaria o tratamientos m&#233;dicos o la gesti&#243;n de servicios sanitarios&#44; siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligaci&#243;n equivalente de secreto&#46; De igual forma la ley recoge que las instituciones y los centros sanitarios p&#250;blicos y privados y los profesionales correspondientes podr&#225;n proceder al tratamiento de los datos de car&#225;cter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos&#44; de acuerdo con lo dispuesto en la legislaci&#243;n estatal o auton&#243;mica sobre sanidad&#46;</p><p class="elsevierStylePara">El art&#237;culo 25 de dicha ley permite la creaci&#243;n de ficheros de titularidad privada que contengan datos de car&#225;cter personal cuando resulte necesario para el logro de la actividad u objeto leg&#237;timos de la persona&#44; empresa o entidad titular y se respeten las garant&#237;as que la ley establece para la protecci&#243;n de las personas&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Cesi&#243;n de datos de salud</span></p><p class="elsevierStylePara">La LOPD se&#241;ala como cesi&#243;n o comunicaci&#243;n de datos <span class="elsevierStyleItalic"> &#171;toda revelaci&#243;n de datos realizada a una persona distinta del interesado</span> &#40;persona f&#237;sica titular de los datos que sean objeto del tratamiento&#41;<span class="elsevierStyleItalic">&#187;</span>&#46; Por tanto&#44; es cesi&#243;n una simple consulta que un tercero realice a estos datos&#44; aunque sea a distancia y sin creaci&#243;n de un fichero o tratamiento nuevo&#46; Aqu&#233;l a quien se comuniquen los datos de car&#225;cter personal se obliga&#44; por el solo hecho de la comunicaci&#243;n&#44; a la observancia de las disposiciones de la ley&#46;</p><p class="elsevierStylePara">La cesi&#243;n de datos de salud requiere el consentimiento previo del interesado&#44; excepto&#44; cuando dicha cesi&#243;n sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiol&#243;gicos en los t&#233;rminos establecidos en la legislaci&#243;n sobre sanidad estatal o auton&#243;mica&#46;</p><p class="elsevierStylePara">MEDIDAS DE SEGURIDAD DE LOS FICHEROS QUE CONTIENEN DATOS DE SALUD</p><p class="elsevierStylePara">La LOPD obliga al responsable del fichero y en su caso&#44; al encargado del tratamiento&#44; a adoptar las medidas necesarias para garantizar la seguridad de los datos de car&#225;cter personal&#44; evitar su alteraci&#243;n o p&#233;rdida y tratamiento o acceso no autorizado&#46; Dichas medidas las ha desarrollado el RMS&#44; reglamento de seguridad que tiene por objeto el establecimiento de medidas de &#237;ndole t&#233;cnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros automatizados&#44; los centros de tratamiento&#44; locales&#44; equipos&#44; sistemas&#44; programas y las personas que intervengan en el tratamiento automatizado de los datos de car&#225;cter personal sujetos al r&#233;gimen de la LOPD&#46;</p><p class="elsevierStylePara">El responsable del fichero es el centro sanitario&#44; instituci&#243;n&#44; consulta privada o m&#233;dico que decida sobre la finalidad del mismo&#46; Los usuarios del sistema de informaci&#243;n o personal son los facultativos y dem&#225;s personal sanitario y terceras personas que&#44; sin ser personal sanitario&#44; quedan sujetas a las mismas obligaciones de confidencialidad que los anteriores&#46;</p><p class="elsevierStylePara">Las medidas de seguridad exigibles se clasifican en tres niveles &#40;b&#225;sico&#44; medio y alto&#41;&#44; establecidos atendiendo a la naturaleza de la informaci&#243;n tratada y en relaci&#243;n con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de los datos recogidos&#46; En cuanto a los datos de salud&#44; los ficheros que los contengan deben cumplir las medidas de seguridad del nivel alto&#46; El hecho de que un determinado fichero sea temporal &#40;p&#46; ej&#46;&#44; informaci&#243;n que un m&#233;dico guarda en su ordenador personal&#41; no exime a su responsable de la obligaci&#243;n de implantar las medidas de seguridad que le corresponden atendiendo a su contenido&#46; El RMS recoge la obligaci&#243;n de borrar los ficheros una vez que los datos contenidos dejen de ser necesarios para los fines que motivaron su creaci&#243;n&#46;</p><p class="elsevierStylePara"><img src="103v97n01-13084919tab01.gif"></img></p><p class="elsevierStylePara">DOCUMENTO DE SEGURIDAD</p><p class="elsevierStylePara">El responsable del fichero que contenga datos de salud &#40;especialmente protegidos&#44; nivel m&#225;ximo de seguridad&#41; y&#44; en su caso&#44; el encargado del tratamiento&#44; deber&#225;n elaborar e implantar la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de car&#225;cter personal y a los sistemas de informaci&#243;n&#46; Dicho documento puede contener la normativa de seguridad para todos los ficheros de los que es responsable la organizaci&#243;n o bien se pueden redactar tantos documentos como ficheros se posean&#46; El documento tiene que mantenerse en todo momento actualizado&#44; adecuado a las disposiciones vigentes en materia de seguridad de datos de car&#225;cter personal y ser revisado siempre que se produzcan cambios relevantes en el sistema de informaci&#243;n o en la organizaci&#243;n del mismo&#44; y debe recoger&#44; como m&#237;nimo&#58;</p><p class="elsevierStylePara">1&#46; La identificaci&#243;n del responsable o responsables de seguridad&#46;</p><p class="elsevierStylePara">2&#46; El personal que podr&#225; tener entrada a los locales donde de encuentran ubicados los sistemas de informaci&#243;n con datos de car&#225;cter personal&#44; siendo dicho personal el &#250;nico que puede acceder a tales datos&#46;</p><p class="elsevierStylePara">3&#46; El &#225;mbito de aplicaci&#243;n del mismo&#44; con especificaci&#243;n detallada de los recursos protegidos&#46;</p><p class="elsevierStylePara">4&#46; Las medidas&#44; normas&#44; procedimientos&#44; reglas y est&#225;ndares encaminados a garantizar el grado de seguridad exigido en el RMS y los controles peri&#243;dicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento&#46;</p><p class="elsevierStylePara">5&#46; Las funciones y obligaciones del personal&#44; que deber&#225;n estar claramente definidas y documentadas&#46; El responsable del fichero debe adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias que deriven de su incumplimiento&#46;</p><p class="elsevierStylePara">6&#46; La estructura de los ficheros con datos de car&#225;cter personal y la descripci&#243;n de los sistemas de informaci&#243;n que los tratan&#46;</p><p class="elsevierStylePara">7&#46; El procedimiento de notificaci&#243;n&#44; gesti&#243;n y respuesta ante las incidencias&#46; Debe registrarse el tipo de incidencia&#44; el momento en que se ha producido&#44; la persona que realiza la notificaci&#243;n&#44; a qui&#233;n se le comunica y los efectos producidos por dicha comunicaci&#243;n&#46;</p><p class="elsevierStylePara">8&#46; Los procedimientos de realizaci&#243;n de copias de respaldo y de recuperaci&#243;n de datos&#44; indicando la persona que ejecut&#243; el proceso&#44; los datos restaurados y&#44; en su caso&#44; qu&#233; datos han sido necesarios grabar manualmente en el proceso de recuperaci&#243;n&#46; Es necesaria la autorizaci&#243;n por escrito del responsable del fichero o tratamiento para la ejecuci&#243;n del procedimiento de recuperaci&#243;n de datos&#46; Igualmente&#44; deben constar en el documento las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado&#44; y debe impedirse cualquier recuperaci&#243;n posterior de la informaci&#243;n almacenada en &#233;l&#44; previamente a que se proceda su baja en el inventario&#46;</p><p class="elsevierStylePara">El responsable del fichero debe encargarse de que exista una relaci&#243;n actualizada de usuarios que tengan acceso autorizado al sistema de informaci&#243;n&#44; el tipo de acceso al que est&#225;n autorizados y establecer procedimientos de identificaci&#243;n y autentificaci&#243;n para dicho acceso&#46; Los usuarios deben tener acceso autorizado &#250;nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones&#44; y el responsable del fichero debe establecer los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos con derechos o permisos distintos de los autorizados&#46;</p><p class="elsevierStylePara">Los soportes inform&#225;ticos que contengan datos de car&#225;cter personal deber&#225;n permitir identificar el tipo de informaci&#243;n que contienen&#44; ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad&#46; Deben conservarse sendas copias de respaldo y de los procedimientos de recuperaci&#243;n de datos en un lugar diferente de aqu&#233;l en que se encuentren los equipos inform&#225;ticos que los tratan&#46; Debe establecerse un sistema de registro de entrada y de salida de soportes inform&#225;ticos que permita conocer el tipo de soporte&#44; fecha y hora&#44; el emisor o destinatario&#44; el n&#250;mero de soportes&#44; tipo de informaci&#243;n que contienen&#44; la forma de env&#237;o y la persona responsable de la recepci&#243;n o de la entrega&#44; que deber&#225;n estar debidamente autorizados&#46; La salida de soportes inform&#225;ticos que contengan datos de car&#225;cter personal fuera de los locales en los que est&#233; ubicado el fichero s&#243;lo puede ser autorizada por el responsable del mismo&#44; y se deben adoptar las medidas necesarias para impedir cualquier recuperaci&#243;n indebida de la informaci&#243;n almacenada en ellos&#46;</p><p class="elsevierStylePara">La distribuci&#243;n de los soportes debe realizarse cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha informaci&#243;n no sea inteligible ni manipulada durante su transporte&#46; Cuando la transmisi&#243;n de datos se realice a trav&#233;s de redes de telecomunicaciones de titularidad ajena a la propia empresa&#44; se debe llevar a cabo cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informaci&#243;n no sea inteligible ni manipulada por terceros&#46;</p><p class="elsevierStylePara">De cada acceso se debe guardar la identificaci&#243;n del usuario&#44; la fecha y hora en que se realiz&#243;&#44; el tipo de acceso y si ha sido autorizado&#44; y es preciso conservar la informaci&#243;n que permita identificar el registro accedido&#44; o denegado&#46;</p><p class="elsevierStylePara">El responsable del fichero debe implantar una clave personal intransferible para cada usuario del sistema y designar uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad&#46; El responsable de seguridad controla directamente los mecanismos que permiten el registro de los datos&#44; y tiene que revisar peri&#243;dicamente la informaci&#243;n de control recogida y elaborar un informe de las revisiones realizadas y los problemas detectados una vez al mes&#46;</p><p class="elsevierStylePara">Los sistemas de informaci&#243;n e instalaciones de tratamiento de datos deben someterse&#44; al menos cada 2 a&#241;os&#44; a una auditor&#237;a interna o externa&#44; para verificar el cumplimiento del RMS y de las instrucciones y procedimientos vigentes en materia de seguridad de datos&#44; y se debe plasmar en un informe de auditor&#237;a que debe dictaminar sobre la adecuaci&#243;n de dichas medidas y controles&#44; identificar las deficiencias y proponer las medidas correctoras y&#47;o complementarias necesarias&#46; Estos informes deben ser analizados por el responsable de seguridad&#44; que debe elevar las conclusiones al responsable del fichero para que adopte las medidas subsanadoras adecuadas&#46; Se establece un periodo m&#237;nimo de conservaci&#243;n de los datos registrados de 2 a&#241;os&#46;</p><p class="elsevierStylePara">PRINCIPIOS QUE RIGEN EL TRATAMIENTO DE DATOS PERSONALES</p><p class="elsevierStylePara">Recogidos por la LOPD&#44; son de obligado cumplimiento y la base del tratamiento de datos personales&#46; El responsable del fichero y&#47;o el encargado del tratamiento son los garantes de que cualquier tratamiento de datos se adapte a dichos principios&#59; su incumplimiento es motivo de sanci&#243;n&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Principio de la calidad de los datos</span></p><p class="elsevierStylePara">Los datos de car&#225;cter personal s&#243;lo pueden recogerse para su tratamiento cuando sean adecuados&#44; pertinentes y no excesivos &#40;no en el sentido de cantidad&#44; sino en el de proporcionalidad&#41; para el cumplimiento de las finalidades del fichero&#44; que deben estar determinadas de forma expl&#237;cita y ser leg&#237;timas&#46; Los datos no pueden ser utilizados para prop&#243;sitos incompatibles con los que motivaron su recogida &#40;para la ley nunca son incompatibles los fines hist&#243;ricos&#44; estad&#237;sticos o cient&#237;ficos&#41;&#46;</p><p class="elsevierStylePara">Los datos personales han de ser exactos y mantenerse al d&#237;a&#59; en caso contrario&#44; tienen que ser cancelados&#44; rectificados o completados&#46; Deben ser cancelados cuando hayan dejado de ser pertinentes o necesarios&#46; No pueden conservarse de forma que permitan la identificaci&#243;n del interesado durante un periodo superior al necesario para la finalidad por la que fueron solicitados o registrados&#46; Hay que almacenarlos de forma que permitan el ejercicio al derecho de acceso&#44; salvo que sean legalmente cancelados&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Principio de informaci&#243;n de recogida de datos</span></p><p class="elsevierStylePara">El paciente ha de ser advertido de manera expresa&#44; precisa e inequ&#237;voca de que los datos m&#233;dicos que a &#233;l le afectan van a ser recogidos en un fichero&#44; as&#237; como de la finalidad y el destino o destinatarios de los mismos&#46; La informaci&#243;n debe facilit&#225;rsele&#44; antes de prestar su consentimiento&#44; por cualquier medio &#40;palabra&#44; escrito&#44; formulario&#44; documento&#44; etc&#46;&#41; y se le debe indicar&#44; adem&#225;s&#58;</p><p class="elsevierStylePara">1&#46; La identidad y el responsable del fichero&#46;</p><p class="elsevierStylePara">2&#46; Si es obligatoria o no su respuesta a las distintas preguntas planteadas&#46;</p><p class="elsevierStylePara">3&#46; Las consecuencias de la obtenci&#243;n de los datos o de su negativa a suministrarlos&#46;</p><p class="elsevierStylePara">4&#46; La posibilidad de que pueda ejercitar sus derechos de acceso&#44; rectificaci&#243;n&#44; cancelaci&#243;n y oposici&#243;n&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Principio de consentimiento</span><span class="elsevierStyleSup">&#40;3&#41;</span></p><p class="elsevierStylePara"><span class="elsevierStyleSup"> &#40;3&#41;</span> La LOPD excepciona los datos recogidos en el seno de la atenci&#243;n asistencial por un profesional sanitario&#59; en estos casos el tratamiento de los datos especialmente protegidos puede realizarse amparado en un consentimiento t&#225;cito e impl&#237;cito en la propia relaci&#243;n asistencial&#46;</p><p class="elsevierStylePara">La LOPD exige la prestaci&#243;n de consentimiento previo e inequ&#237;voco del afectado para el tratamiento de sus datos&#44; aunque establece una serie de excepciones&#44; que no eximen de la obligaci&#243;n de informar&#44; ni permite el tratamiento de cualquier dato&#44; sino aquellos que cumplan el principio de calidad&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Principio de datos especialmente protegidos o &#171;sensibles&#187;</span><span class="elsevierStyleSup">&#40;4&#41;</span></p><p class="elsevierStylePara"><span class="elsevierStyleSup"> &#40;4&#41;</span> &#205;dem que la anterior&#46;</p><p class="elsevierStylePara">La LOPD prev&#233; la necesidad de proteger especialmente los datos que&#44; por la informaci&#243;n a que se refieren&#44; pueden generar con mayor facilidad lesiones en otros derechos fundamentales&#44; adem&#225;s del propio derecho a la protecci&#243;n de datos&#46; Estos datos son los relativos a ideolog&#237;a&#44; afiliaci&#243;n sindical&#44; religi&#243;n o creencias&#44; origen racial&#44; salud y vida sexual&#44; y los relacionados con la comisi&#243;n de infracciones penales o administrativas&#46; Dicha protecci&#243;n se concreta en las siguientes caracter&#237;sticas&#58;</p><p class="elsevierStylePara">1&#46; Como norma general se exige el consentimiento expreso y por escrito del afectado para la recogida y uso de estos datos&#46;</p><p class="elsevierStylePara">2&#46; Se precisa el establecimiento de medidas de seguridad de nivel alto para los ficheros que los contienen&#46;</p><p class="elsevierStylePara">3&#46; Las infracciones concernientes a estos datos son consideradas m&#225;s graves&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Principio de seguridad de los datos</span></p><p class="elsevierStylePara">1&#46; El responsable del fichero debe tomar las medidas t&#233;cnicas y organizativas necesarias para garantizar la seguridad de los datos personales integrados en los ficheros con el fin de evitar que &#233;stos puedan perderse&#44; alterarse&#44; usarse o ser accesibles por personas no autorizadas&#46;</p><p class="elsevierStylePara">2&#46; Las medidas de seguridad que adoptar deben recogerse en el <span class="elsevierStyleItalic">documento de seguridad</span> y darse a conocer a todos los usuarios del sistema de informaci&#243;n&#44; quienes est&#225;n obligados a cumplirlo&#46; Dicho documento debe reflejar el grado de seguridad que debe cumplir el fichero&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold">Deber de secreto</span></p><p class="elsevierStylePara">Se exige al responsable del fichero&#44; al encargado del tratamiento si lo hubiera y a todos los que intervengan en cualquier fase del tratamiento&#44; obligaci&#243;n que se mantiene incluso finalizada la relaci&#243;n que permiti&#243; el acceso al fichero&#46; Este deber de secreto es un deber gen&#233;rico que alcanza a cualquier persona que intervenga en el proceso de datos y que no debe confundirse con el secreto profesional&#46; Se ha producido una ampliaci&#243;n de los sujetos tradicionales con obligaci&#243;n de confidencialidad en el campo de los datos sobre la salud&#44; dado que ahora recae en cualquier persona f&#237;sica o jur&#237;dica que tenga acceso a la informaci&#243;n&#44; por lo que afecta al m&#233;dico&#44; sanitarios&#44; personal de la administraci&#243;n&#44; responsable y&#47;o encargado del tratamiento de datos&#44; al proveedor del servicio de telecomunicaciones que comparte la informaci&#243;n y a cualquier usuario que acceda a ellos&#46;</p><p class="elsevierStylePara">El secreto profesional del m&#233;dico puede entrar en pugna con el derecho a la tutela judicial efectiva de otro ciudadano&#44; y plantearse un conflicto entre &#233;ste y el derecho a la intimidad y a la protecci&#243;n de datos personales&#46;</p><p class="elsevierStylePara">DERECHOS DE LAS PERSONAS EN RELACION CON LA PROTECCION DE DATOS DE CARACTER PERSONAL</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Derecho de consulta al Registro General de Protecci&#243;n de Datos</span></p><p class="elsevierStylePara">Faculta a cualquier persona a recabar informaci&#243;n sobre la existencia de ficheros de datos de car&#225;cter personal inscritos en los registros&#44; la finalidad de &#233;stos y la identidad del responsable del fichero&#46; El ejercicio de este derecho es p&#250;blico y gratuito&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Derecho de acceso</span></p><p class="elsevierStylePara">Derecho a conocer los datos que sobre su persona figuren en un fichero determinado sometidos a tratamiento&#44; cu&#225;l ha sido su origen y qu&#233; cesiones se han realizado o se prev&#233; realizar en el futuro&#46; El ejercicio de esta facultad es gratuito&#44; pero s&#243;lo se puede realizar una vez cada 12 meses&#44; salvo que se acredite un inter&#233;s leg&#237;timo <span class="elsevierStyleItalic">&#40;causa justificada&#41;</span>&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Derecho de oposici&#243;n</span></p><p class="elsevierStylePara"> Oposici&#243;n de la persona&#44; una vez informada&#44; al tratamiento de sus datos cuando existan motivos fundados y leg&#237;timos relativos a una situaci&#243;n personal concreta&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Derecho de rectificaci&#243;n y cancelaci&#243;n</span></p><p class="elsevierStylePara">Suponen la facultad del interesado a instar al responsable del fichero a rectificar o cancelar los datos cuyo tratamiento no se ajuste a la ley&#44; en particular&#44; los datos inexactos o incompletos&#44; inadecuados o excesivos o si no existiera derecho a registrarlos&#46; La cancelaci&#243;n da lugar al bloqueo de los datos&#44; pero no necesariamente al borrado f&#237;sico de la informaci&#243;n&#44; dado que a veces los datos deben conservarse hasta que prescriban &#40;p&#46; ej&#46;&#44; para disposici&#243;n judicial&#41;&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Derecho de impugnaci&#243;n de valoraciones</span></p><p class="elsevierStylePara">Permite al interesado impugnar aquellas decisiones que tengan efectos jur&#237;dicos y cuya base sea &#250;nicamente un tratamiento de datos de car&#225;cter personal que ofrezca una definici&#243;n de sus caracter&#237;sticas o personalidad&#46;</p><p class="elsevierStylePara"><span class="elsevierStyleBold"> Derecho a indemnizaci&#243;n</span></p><p class="elsevierStylePara">Si a consecuencia del incumplimiento de la Ley una persona sufre da&#241;o o lesi&#243;n en sus bienes o derechos&#44; tiene derecho a solicitar una indemnizaci&#243;n econ&#243;mica&#44; instada ante la jurisdicci&#243;n ordinaria cuando la lesi&#243;n provenga de entidades privadas&#46;</p><p class="elsevierStylePara">AGENCIA ESPA&#209;OLA DE PROTECCION DE DATOS Y AGENCIAS DE LAS COMUNIDADES AUT&#211;NOMAS</p><p class="elsevierStylePara">Creada por la derogada LORTAD y regulada en la LOPD&#44; es la instancia a la que pueden acudir los afectados para ser tutelados en el ejercicio de sus derechos&#44; y se configura como el &#243;rgano de control del cumplimiento de la LOPD&#46; Es un ente de derecho p&#250;blico con personalidad jur&#237;dica propia y plena capacidad p&#250;blica y privada&#44; que ejerce sus funciones con entera independencia de las Administraciones p&#250;blicas&#46; Por tanto&#44; es un organismo independiente que&#44; entre otras funciones&#44; vela por el cumplimiento y aplicaci&#243;n de la legislaci&#243;n sobre protecci&#243;n de datos&#46;</p><p class="elsevierStylePara">Esta agencia lleva a cabo acciones normativas&#44; dicta las instrucciones &#40;disposiciones de car&#225;cter general con objeto de aclarar y apoyar la interpretaci&#243;n de la ley&#41; precisas para adecuar el tratamiento de los datos a los principios contenidos en la ley&#46; La AEPD ha optado por una interpretaci&#243;n amplia de los preceptos y conceptos recogidos en la LOPD&#44; siempre que dicha interpretaci&#243;n implique el favorecimiento de la defensa de la intimidad y privacidad de las personas&#46;</p><p class="elsevierStylePara">Entre sus funciones figura la potestad inspectora &#40;de oficio y a instancia de parte&#41; y sancionadora en los t&#233;rminos previstos en la ley&#46; Atiende peticiones y reclamaciones de los ciudadanos y les informa sobre sus derechos&#46; Ordena el cese de los tratamientos de datos de car&#225;cter personal y la cancelaci&#243;n de los ficheros cuando no se ajusten a las disposiciones de la ley&#44; ejerce el control y adopta las autorizaciones que procedan en relaci&#243;n con los movimientos internacionales de datos&#44; etc&#46;</p><p class="elsevierStylePara">Como un &#243;rgano integrado en ella se encuentra el Registro General de Protecci&#243;n de Datos&#44; en el que deben inscribirse&#44; entre otros&#44; los ficheros de titularidad de las Administraciones P&#250;blicas y los de titularidad privada&#44; y al que compete velar por la publicidad de la existencia de los ficheros para hacer posible el ejercicio de los derechos de informaci&#243;n&#44; acceso&#44; rectificaci&#243;n&#44; oposici&#243;n y cancelaci&#243;n amparados por la ley&#46;</p><p class="elsevierStylePara">La distinci&#243;n entre ficheros p&#250;blicos y privados es importante&#44; ya que el r&#233;gimen jur&#237;dico previsto en la LOPD para ellos var&#237;a&#46; Es de aplicaci&#243;n a los ficheros p&#250;blicos un conjunto de excepciones a la regulaci&#243;n general&#44; como la relativa al consentimiento para el tratamiento de datos personales y para la cesi&#243;n de &#233;stos o los l&#237;mites al derecho de cancelaci&#243;n&#46; El procedimiento para la creaci&#243;n de ficheros y el de infracciones y sanciones de la ley es distinto&#46; Los ficheros p&#250;blicos se crean a trav&#233;s de una disposici&#243;n de car&#225;cter general que tiene que ser publicada en un diario oficial&#44; mientras que los ficheros privados se crean a trav&#233;s de una notificaci&#243;n de la AEPD&#46; Las infracciones en el caso de los ficheros privados llevan aparejadas un r&#233;gimen de sanciones econ&#243;micas elevado&#44; mientras que las infracciones en el &#225;mbito de los ficheros p&#250;blicos dan lugar&#44; principalmente&#44; a una resoluci&#243;n que declara la infracci&#243;n administrativa&#44; la comunicaci&#243;n al defensor del pueblo y al superior jer&#225;rquico de la persona que ha cometido la infracci&#243;n y la propuesta de apertura del procedimiento disciplinario&#46;</p><p class="elsevierStylePara">Existen agencias de protecci&#243;n de datos de car&#225;cter auton&#243;mico &#40;p&#46; ej&#46;&#44; en las comunidades de Madrid y Catalu&#241;a&#41; con funciones de control&#44; vigilancia&#44; inspecci&#243;n&#44; labores de colaboraci&#243;n&#44; consultor&#237;a y resoluci&#243;n de consultas&#44; publicaciones&#44; etc&#46; As&#237;&#44; por ejemplo&#44; la Agencia de Protecci&#243;n de Datos de la Comunidad de Madrid tiene un servicio de asesoramiento para facilitar el cumplimiento de las obligaciones derivadas de la legislaci&#243;n de protecci&#243;n de datos que incluye la resoluci&#243;n de consultas sobre casos concretos e&#44; igualmente&#44; ha realizado distintos programas de formaci&#243;n&#44; comisiones de seguimientos&#44; grupos de trabajo&#44; etc&#46;&#44; y dispone de una revista digital de suscripci&#243;n gratuita&#46;</p><p class="elsevierStylePara">Las competencias de estas agencias auton&#243;micas est&#225;n restringidas a los ficheros de datos personales creados o gestionados por las comunidades aut&#243;nomas o por la Administraci&#243;n local de su &#225;mbito territorial&#46; Pueden crear sus propios registros de protecci&#243;n de datos para ficheros de su competencia&#44; aunque todos los ficheros y tratamientos de titularidad p&#250;blica tienen que figurar inscritos en el Registro General de Protecci&#243;n de Datos&#46; Las agencias de protecci&#243;n de datos de las comunidades aut&#243;nomas s&#243;lo pueden ejercer sus competencias de control sobre los ficheros creados o gestionados para el ejercicio de potestades de derecho p&#250;blico y de competencias administrativas&#44; es decir&#44; para el ejercicio de funciones p&#250;blicas&#44; y es necesario que la entidad de derecho p&#250;blico desarrolle competencias reconocidas a la comunidad en su Estatuto de autonom&#237;a y que hayan sido debidamente transferidas&#46; El control de los ficheros privados corresponde a la AEPD&#44; al igual que los ficheros de la propia Administraci&#243;n General del Estado que se mantengan en el territorio de una comunidad aut&#243;noma&#46; Los ficheros utilizados en funciones privadas deben inscribirse exclusivamente en el Registro General de Protecci&#243;n de Datos de la AEPD&#46;</p><p class="elsevierStylePara">C&#211;DIGO PENAL DE 1995&#46; SANCIONES DE LA AEPD</p><p class="elsevierStylePara">El C&#243;digo Penal castiga con penas de prisi&#243;n de 1 a 4 a&#241;os y multa de 12 a 24 meses <span class="elsevierStyleItalic">&#171;al que sin estar autorizado&#44; se apodere&#44; utilice o modifique&#44; en perjuicio de tercero&#44; datos reservados de car&#225;cter personal o familiar de otro que se hallen registrados en ficheros o soportes inform&#225;ticos&#44; electr&#243;nicos o telem&#225;ticos&#44; o en cualquier otro tipo de archivo o registro p&#250;blico o privado&#187;</span>&#46; Se imponen iguales penas a quien&#44; sin estar autorizado&#44; acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero&#46; Adem&#225;s&#44; se considera como agravante&#44; si la revelaci&#243;n afecta a datos de car&#225;cter personal que se refieran a la salud de las personas&#46;</p><p class="elsevierStylePara">Igualmente&#44; con relaci&#243;n a los datos personales&#44; un m&#233;dico con consulta privada o que desempe&#241;a sus funciones en un centro privado o concertado puede incurrir en delito de vulneraci&#243;n de secreto profesional tipificado en el C&#243;digo Penal&#46;</p><p class="elsevierStylePara">Por &#250;ltimo y en relaci&#243;n con las infracciones calificadas en la LOPD como leves&#44; graves y muy graves&#44; ya han sido impuestas en Espa&#241;a por la AEPD sanciones de m&#225;s de 400&#46;000 euros&#44; y se puede llegar&#44; si la infracci&#243;n se comete en el &#225;mbito privado&#44; a m&#225;s de 600&#46;000 euros&#46;</p><p class="elsevierStylePara"> ADDENDUM</p><p class="elsevierStylePara">Temas como datos gen&#233;ticos &#40;datos especialmente vulnerables y con medidas adicionales de seguridad&#41;&#44; investigaci&#243;n cl&#237;nica&#44; biotecnolog&#237;a&#44; clonaci&#243;n&#44; t&#233;cnicas de reproducci&#243;n humana asistida&#44; ensayos cl&#237;nicos&#44; firma electr&#243;nica&#44; receta m&#233;dica&#44; TAIR &#40;Terminal Aut&#243;nomo de Identificaci&#243;n del Paciente en las Recetas&#41;&#44; firma electr&#243;nica&#44; transferencia internacional de datos personales&#44; c&#243;digos tipo&#44; etc&#46;&#44; se han dejado al margen en este art&#237;culo&#44; circunscrito a la consulta privada&#44; principalmente por problemas de extensi&#243;n del mismo&#46;</p><hr></hr><p class="elsevierStylePara"> NORMATIVA</p><p class="elsevierStylePara">Ley 2&#47;1974&#44; de 13 de febrero&#44; de Colegios Profesionales&#46;</p><p class="elsevierStylePara"> Constituci&#243;n Espa&#241;ola de 27 de diciembre de 1978&#46;</p><p class="elsevierStylePara">Ley 1&#47;1982&#44; de 5 de mayo&#44; de Protecci&#243;n del Derecho al Honor&#44; a la Intimidad Personal y Familiar y a la Propia Imagen&#46;</p><p class="elsevierStylePara">Ley 14&#47;1986&#44; de 25 de abril&#44; General de Sanidad&#46;</p><p class="elsevierStylePara">Directiva 95&#47;46&#47;CE del Parlamento Europeo y del Consejo&#44; de 24 de octubre de 1995&#44; relativa a la protecci&#243;n de las personas f&#237;sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci&#243;n de estos datos&#46;</p><p class="elsevierStylePara">Ley Org&#225;nica 10&#47;1995&#44; de 23 de noviembre&#44; del C&#243;digo Penal&#46;</p><p class="elsevierStylePara">Convenio para la protecci&#243;n de los derechos humanos y de la dignidad del ser humano con respecto a las aplicaciones de la Biolog&#237;a y de la Medicina hecho en Oviedo el 4 de abril de 1997&#46;</p><p class="elsevierStylePara">Decreto 110&#47;1997&#44; de 11 de septiembre&#44; sobre autorizaci&#243;n de centros&#44; servicios y establecimientos sanitarios&#46;</p><p class="elsevierStylePara">Real Decreto 994&#47;1999&#44; de 11 de junio&#44; por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan Datos de Car&#225;cter Personal&#46;</p><p class="elsevierStylePara">Ley Org&#225;nica 15&#47;1999&#44; de 13 de diciembre&#44; de Protecci&#243;n de Datos de Car&#225;cter Personal&#46;</p><p class="elsevierStylePara">Ley 8&#47;2001&#44; de 13 de julio&#44; de Protecci&#243;n de Datos de Car&#225;cter Personal en la Comunidad de Madrid&#46;</p><p class="elsevierStylePara">Ley 12&#47;2001&#44; de 21 de diciembre&#44; de Ordenaci&#243;n Sanitaria de la Comunidad de Madrid&#46;</p><p class="elsevierStylePara">Ley 41&#47;2002&#44; de 14 de noviembre&#44; b&#225;sica reguladora de la autonom&#237;a del paciente y de derechos y obligaciones en materia de informaci&#243;n y documentaci&#243;n cl&#237;nica&#46;</p><p class="elsevierStylePara">Ley 16&#47;2003&#44; de 28 de mayo&#44; de Cohesi&#243;n y Calidad del Sistema Nacional de Salud&#46;</p><p class="elsevierStylePara">Ley 44&#47;2003&#44; de 21 de noviembre&#44; de Ordenaci&#243;n de las Profesiones Sanitarias&#46;</p><hr></hr><p class="elsevierStylePara">BIBLIOGRAFIA RECOMENDADA</p><p class="elsevierStylePara">Agencia de Protecci&#243;n de Datos de la Comunidad de Madrid&#58; Gu&#237;a de protecci&#243;n de datos personales para Colegios Profesionales&#46; Civitas Ediciones&#44; S&#46;L&#46; 2004&#46;</p><p class="elsevierStylePara">Davara Rodr&#237;guez MA&#46; El abogado y la protecci&#243;n de datos&#46; Ilustre Colegio de Abogados de Madrid&#46; 2004&#46;</p><p class="elsevierStylePara">De Lorenzo R&#44; D&#237;az P&#233;rez JL&#44; D&#237;az D&#237;az RM&#44; et al&#46; Informaci&#243;n&#44; consentimiento y documentaci&#243;n cl&#237;nica en Dermatolog&#237;a&#46; Ricardo de Lorenzo y Montero&#44; Editores M&#233;dicos&#44; S&#46;A&#46; 2005&#46;</p><p class="elsevierStylePara">De Miguel S&#225;nchez N&#46; Secreto m&#233;dico&#44; confidencialidad e informaci&#243;n sanitaria&#46; Marcial Pons&#44; ediciones jur&#237;dicas y sociales&#44; S&#46;A&#46; 2002&#46;</p><p class="elsevierStylePara">De Miguel S&#225;nchez N&#46; Tratamiento de datos personales en el &#225;mbito sanitario&#58; intimidad <span class="elsevierStyleItalic">versus</span> inter&#233;s p&#250;blico&#46; Editorial Tirant lo Blanch&#46; 2004&#46;</p><p class="elsevierStylePara"> Hern&#225;ndez Mart&#237;nez-Campello C&#44; Su&#225;rez Garc&#237;a E&#46; Preguntas y respuestas sobre la Ley 41&#47;2002&#44; que regula diversos aspectos de la relaci&#243;n m&#233;dico-paciente&#46; Fundaci&#243;n del Ilustre Colegio Oficial de M&#233;dicos de Madrid&#46; 2004&#46;</p><p class="elsevierStylePara">Ilustre Colegio Oficial de M&#233;dicos de Madrid&#46; La responsabilidad civil y penal del m&#233;dico&#46; Ilustre Colegio Oficial de M&#233;dicos de Madrid&#46; 1999&#46;</p><p class="elsevierStylePara">Ja&#241;ez Ramos FM&#44; Puente Serrano N&#44; Zapatero G&#243;mez-Pallete J&#44; et al&#46; La Protecci&#243;n de Datos Personales en el Ambito Sanitario&#46; Editorial Aranzadi&#44; S&#46;A&#46; 2002&#46;</p><p class="elsevierStylePara"> S&#225;nchez-Caro J&#44; Abell&#225;n F&#46; Telemedicina y protecci&#243;n de datos sanitarios &#40;Aspectos legales y &#233;ticos&#41;&#46; Editorial Comares&#44; S&#46;L&#46; 2002&#46;</p><p class="elsevierStylePara"> S&#225;nchez-Caro J&#44; Abell&#225;n F&#46; Datos de salud y datos gen&#233;ticos&#44; su protecci&#243;n en la Uni&#243;n Europea y en Espa&#241;a&#46; Editorial Comares&#44; S&#46;L&#46; 2004&#46;</p><p class="elsevierStylePara">Zamarriego Crespo J&#44; P&#233;rez Corral F&#46; Nuevos paradigmas de la profesi&#243;n m&#233;dica para el pr&#243;ximo milenio&#46; Ilustre Colegio Oficial de M&#233;dicos &#40;ICONEM&#41;&#44; 1999&#46;</p>"
    "pdfFichero" => "103v97n01a13084919pdf001.pdf"
    "tienePdf" => true
    "multimedia" => array:2 [
      0 => array:7 [
        "identificador" => "tbl1"
        "tipo" => "MULTIMEDIATABLA"
        "mostrarFloat" => true
        "mostrarDisplay" => false
        "copyright" => "Elsevier Espa&#241;a"
        "tabla" => array:1 [
          "tablatextoimagen" => array:1 [
            0 => array:1 [
              "tablaImagen" => array:1 [
                0 => array:4 [
                  "imagenFichero" => "103v97n01-13084919tab01.gif"
                  "imagenAlto" => 1029
                  "imagenAncho" => 955
                  "imagenTamanyo" => 47690
                ]
              ]
            ]
          ]
        ]
        "descripcion" => array:1 [
          "es" => "NIVELES DE SEGURIDAD DE LOS FICHEROS"
        ]
      ]
      1 => array:5 [
        "identificador" => "tbl2"
        "tipo" => "MULTIMEDIATABLA"
        "mostrarFloat" => true
        "mostrarDisplay" => false
        "copyright" => "Elsevier Espa&#241;a"
      ]
    ]
  ]
  "idiomaDefecto" => "es"
  "url" => "/00017310/0000009700000001/v0_201507151252/13084919/v0_201507151253/es/main.assets"
  "Apartado" => array:4 [
    "identificador" => "6634"
    "tipo" => "SECCION"
    "es" => array:2 [
      "titulo" => "Art&#237;culo especial"
      "idiomaDefecto" => true
    ]
    "idiomaDefecto" => "es"
  ]
  "PDF" => "https://static.elsevier.es/multimedia/00017310/0000009700000001/v0_201507151252/13084919/v0_201507151253/es/103v97n01a13084919pdf001.pdf?idApp=UINPBA000044&text.app=https://www.actasdermo.org/"
  "EPUB" => "https://multimedia.elsevier.es/PublicationsMultimediaV1/item/epub/13084919?idApp=UINPBA000044"
]
Compartir
Información de la revista
Vol. 97. Núm. 1.
Páginas 18-30 (enero 2005)
Compartir
Compartir
Descargar PDF
Más opciones de artículo
Vol. 97. Núm. 1.
Páginas 18-30 (enero 2005)
Acceso a texto completo
La protección de datos en la práctica privada
Data protection in private practice.
Visitas
12788
José Mª Doradoa, Jesús Fernández-Herrerab
a Dermatólogo, práctica privada; abogado. Servicio de Dermatología. Hospital Universitario de La Princesa. Madrid. España.
b efe de Sección. Servicio de Dermatología. Hospital Universitario de La Princesa. Madrid. España.
Este artículo ha recibido
Información del artículo
Texto completo
Descargar PDF
Estadísticas
Tablas (1)
NIVELES DE SEGURIDAD DE LOS FICHEROS
Texto completo

INTRODUCCION

En los últimos años la práctica de la medicina ha cambiado sustancialmente. La relación entre médico y paciente, el núcleo más humano de la profesión médica, en uno de sus aspectos más importantes, la intimidad y el deber de secreto de los médicos se desarrollan hoy en día de una manera completamente diferente a como se hacía hace poco tiempo. Los recientes cambios tecnológicos y sociales que han dado lugar a la llamada sociedad de la información y a la infoética se han reflejado directamente en dicha relación. La tecnificación y aplicación de las nuevas tecnologías desempeñan hoy en día un papel fundamental en la práctica de la medicina y en la organización de las instituciones sanitarias. La burocratización, los cambios de valores y la gestión de la asistencia sanitaria, entre otros factores, ha influido en un cambio de rol del paciente y del médico, llegando a modificar la relación entre ambos. Se ha pasado de una relación basada en el principio ético de beneficencia o paternalismo (hacer todo por el paciente pero sin el paciente) a otra sustentada en el principio de autonomía, cuya implicación en la práctica clínica obliga al médico a contar con el paciente en la toma de decisiones. Esto ha dado lugar a un equilibrio en la relación médico-paciente, trasladándose a éste la responsabilidad de decidir sobre la forma de abordar su propia enfermedad, para lo cual es presupuesto ineludible la información terapéutica.

Hasta hace poco dicha relación se podía mantener aislada del entorno y del acceso a terceros con facilidad, simplemente con la obligación del médico de mantener el secreto profesional guardando silencio. Hoy en día la práctica médica en muchos aspectos es ya telemedicina (práctica de la medicina a distancia gracias a la cual las intervenciones, el diagnóstico, las recomendaciones y las decisiones terapéuticas se fundamentan en los datos clínicos, documentos y otras informaciones transmitidas por los sistemas de comunicación), estática o interactiva, estando a la orden del día, por ejemplo, las webs sanitarias.

Producto de la evolución social es el tratamiento de los datos sanitarios, consecuencia directa del desarrollo tecnológico, con evidentes ventajas para el paciente y la organización sanitaria, pero si no se emplea correctamente puede dar lugar a que el derecho a la intimidad sea agredido por las nuevas fórmulas de utilización de su información personal. La autonomía del paciente frente a la obtención de datos sobre la salud, la confidencialidad de los mismos y la seguridad en su transmisión es una cuestión esencial. La protección de datos personales en el campo sanitario genera diversos problemas éticos y jurídicos que derivan del conflicto entre dicho derecho y los derechos a la salud y a la intimidad. Las nuevas técnicas de procesamiento y almacenamiento (antes físico, ahora principalmente informático) de la información generan un peligro potencial para la intimidad de los pacientes cuyos datos son recogidos. En el presente se están produciendo numerosos problemas éticos y jurídicos derivados de dos derechos fundamentales referidos al paciente: el derecho a la salud, por un lado, y los derechos a la intimidad y a la protección de los datos personales, por el otro.

Los profesionales sanitarios que desarrollan su actividad de manera individual y los centros sanitarios privados son responsables de la gestión y la custodia de la documentación asistencial que generen, debiendo proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o deban de ser tratados en los mismos de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

No es de extrañar por tanto, que cada vez con más frecuencia vayamos encontrando advertencias relacionadas con datos personales o datos de salud como por ejemplo «contiene documentación bajo secreto médico. Declinamos toda responsabilidad criminal por violación de los derechos constitucionales de la persona».

NORMATIVA(1)

(1) Existen multitud de normas en el ámbito internacional, la Comunidad Europea y nuestro Derecho Interno relacionadas con la materia tratada en este artículo. Debido a ello se ha pretendido, por un lado, reseñar la normativa imprescindible que se ha ido desarrollando con relación a los datos personales y, por el otro, no hacer dicha relación exhaustiva. Como para hacer mínimamente comprensible el tema se ha seguido una relación en el tiempo, y en las sucesivas normas reseñadas aparecen expresiones cuyo alcance legal en principio es desconocido (p. ej., fichero, dato de salud, cesión de datos, responsable del fichero, etc.), más adelante se procura aclarar su significado.

En la Comunidad Europea se ha ido desarrollando una extensa normativa que regula el tratamiento de datos personales, atendiendo a los derechos de las personas, la libre circulación de la información y la protección jurídica de las bases de datos. La norma de referencia es la directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 relativa a la protección de personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación.

En el ámbito europeo el derecho a la protección de datos está basado en los principios de limitación de objetivos, proporcionalidad y calidad (adecuados, pertinentes y no excesivos o necesarios para el fin que se persigue, exactos y puestos al día) de los datos que se recaben, transparencia sobre su manejo, confidencialidad y seguridad del tratamiento automatizado. La reciente Constitución Europea recoge el derecho de toda persona a la protección de los datos de carácter personal que le conciernan, que dichos datos se traten de modo leal, para fines concretos y sobre la base de consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley, y el derecho de acceso a los datos recogidos y a obtener su rectificación.

En la actualidad no existe en nuestro Derecho Interno una norma expresa que ampare las singularidades del tratamiento automatizado y protección de los datos de salud, por lo que se debe acudir a la Constitución española, a la doctrina del Tribunal Constitucional y a otras normas genéricas sobre tratamiento automatizado de datos personales. Las disposiciones legales básicas de la aplicación en esta materia son de carácter general, la Ley Orgánica de Protección de Datos de Carácter Personal de 1999 (en adelante LOPD) y el Reglamento de Medidas de Seguridad de 1999 (en adelante RMS). En general, la aplicación de las leyes tanto en el sector público como en el privado, los principios de protección de datos en cuanto al tratamiento de los mismos, así como los derechos específicos que concede la ley a los ciudadanos son de obligado cumplimiento para cualquier ciudadano que trate datos de carácter personal, con independencia de su naturaleza pública o privada. Las diferencias que se establecen en la LOPD son básicamente procedimentales (cómo debe realizarse una determinada actuación o gestión), dependiendo que el responsable de tratamiento sea uno u otro tipo de entidad.

CONSTITUCION ESPAÑOLA Y DOCTRINA DEL TRIBUNAL CONSTITUCIONAL

La protección de los datos sobre la salud dentro de nuestro ordenamiento jurídico nace en nuestra Constitución, y tiene su máximo exponente en el artículo 18.4, en el que se señala lo siguiente: «la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

El derecho fundamental(2) a la intimidad personal y familiar está dirigido a proteger a la persona frente a cualquier invasión que pueda realizarse en el ámbito de su vida personal y familiar. El derecho fundamental a la protección de datos busca garantizar a la persona un poder de disposición o control sobre sus datos personales, su uso y destino, impidiendo su tráfico ilícito y lesivo para su dignidad y derecho, lo que atribuye a su titular una serie de facultades jurídicas para imponer a terceros la realización u omisión de determinados comportamientos, como la obligación de informar sobre ciertos datos o rectificarlos, su cancelación, etc. Es decir, es un derecho que se traduce en la potestad de control sobre el uso que se hace de sus datos personales, permitiendo evitar que, a través del tratamiento de nuestros datos se pueda llegar a disponer de la información sobre nosotros que afecte a nuestra intimidad y demás derechos fundamentales y libertades públicas.

(2) Derecho irrenunciable; prevalece sobre otros derechos no fundamentales.

El Tribunal Constitucional tiene reconocido el derecho a la protección de datos personales como un derecho o libertad fundamental dotado de entidad propia, de carácter independiente, autónomo y distinto respecto del derecho general a la intimidad personal y familiar, dirigido a hacer frente a las potenciales agresiones a la dignidad y a la libertad de las personas producidas por el uso ilegítimo del tratamiento mecanizado de datos, estableciendo que «el derecho a la protección de datos no se reduce sólo a los datos íntimos de las personas, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual».

Este derecho específico lo define como el derecho que tiene toda persona a controlar sus datos personales, lo que le faculta para decidir quién posee esos datos y para qué los va a usar, pudiendo oponerse a esa posesión o uso. Para el Tribunal Constitucional los datos amparados por el derecho fundamental a la protección de datos son todos aquellos de carácter personal, no referidos exclusivamente a los datos íntimos, que identifiquen o permitan la identificación de la persona, que pueden servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirven para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo.

La llamada libertad informática o el también denominado derecho a la autodeterminación informativa (construcción del Tribunal Constitucional Federal alemán) sería la potestad del particular de disponer y controlar la información que obra sobre su persona mediante datos insertos en un programa informático, su uso, difusión y manejo y la facultad de oponerse a que determinados datos personales sean utilizados para fines distintos del fin legítimo que justificó su recogida.

El único límite del derecho fundamental a la protección de datos son los demás derechos constitucionales y bienes jurídicos de rango constitucional; por tanto, no es un derecho absoluto, y se encuentran en colisión directa con él, entre otros, el derecho a la vida y el derecho a la salud, que priman sobre aquél.

Ley 14/1986, de 25 de abril, General de Sanidad

Recoge el deber de secreto al que están sometidas todas las personas que acceden a los historiales clínicos de los pacientes y el mandato a los poderes públicos para adoptar las medidas necesarias para garantizar en dichos pacientes sus derechos a la intimidad personal y familiar. Señala el derecho a la confidencialidad de toda la información relacionada con el proceso [médico] y con la estancia en instituciones sanitarias públicas y privadas que colaboren con el sistema público. La Ley General de Sanidad (en adelante LGS) establecía en su artículo 61 que la historia clínica debería estar a disposición de los enfermos y de los facultativos que directamente estuvieran implicados en el diagnóstico y el tratamiento del enfermo, así como a efectos de inspección médica o para fines científicos, y debe quedar plenamente garantizado el derecho del enfermo a su intimidad personal y familiar y el deber de guardar el secreto por quien, en virtud de sus competencias, tuviera acceso a la misma. Aunque este artículo está derogado, su contenido es recogido en términos similares en normas posteriores, de ahí su reseña.

Recomendación n.º 5, de 13 de febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados miembros sobre protección de datos médicos

Esta norma busca un equilibrio entre la protección que debe ser dispensada a la intimidad de las personas, lo que constituye uno de sus ejes básicos y, en el otro extremo, la salud pública. Aconseja a los gobiernos de los Estados miembros la regulación de la recogida y procesamiento de los datos médicos para salvaguardar la seguridad y confidencialidad de los datos personales relacionados con la salud, empleándose de acuerdo con los derechos y libertades fundamentales de las personas, especialmente con el derecho a la intimidad.

En su primer artículo se especifica qué debe entenderse por dato personal, dato médico y dato genético. El artículo tercero restringe la recogida y el procesamiento de datos médicos a los profesionales sanitarios, individuos u órganos que trabajen en su representación. Estos profesionales de los Estados parte del Consejo están sometidos a estrictas normas de confidencialidad, y su vulneración genera una sanción penal. Se permite la recogida y tratamiento de datos a otros profesionales (administrador de un archivo) siempre que queden sujetos a normas de confidencialidad idénticas a las que está sometido el personal sanitario.

Convenio para la protección de los derechos humanos y de la dignidad del ser humano con respecto a las aplicaciones de la biología y de la medicina hecho en Oviedo el 4 de abril de 1997

Este convenio, a diferencia de otras declaraciones internacionales que le han precedido, es el primer instrumento internacional con carácter jurídico vinculante para los países que lo suscriben, y a través de él se busca una armonización de las legislaciones de los diversos países en estas materias. En él se establece un marco común para la protección de los derechos humanos y la dignidad humana en la aplicación de la biología y la medicina, y se reconocen varios derechos de los pacientes, entre los que destacan el derecho a la información, el consentimiento informado y la intimidad de la información relativa a la salud de las personas.

Real Decreto 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal

En esta norma se recoge la obligación de adoptar los responsables de ficheros y, en su caso, los encargados de tratamiento, las medidas de seguridad de índole técnica y organizativa conducentes a garantizar la seguridad y confidencialidad de los datos personales y evitar su alteración, pérdida, tratamiento o acceso no autorizado. El nivel de protección para los ficheros automatizados que almacenan datos relativos a la salud es el más alto de los previstos, y están especialmente protegidos, lo que constituye el grado máximo de seguridad exigible. Igualmente, se precisa la elaboración de un documento de seguridad, de obligado cumplimiento para todo el personal con acceso a los datos, y en el que se deben regular todos los aspectos relacionados con la seguridad.

Entre las medidas técnicas que conlleva el nivel alto de protección aplicable a los datos sanitarios resalta el de la obligatoriedad del cifrado de dichos datos o mecanismo similar, tanto en la distribución de los soportes informáticos que los contienen como en su transmisión a través de redes de comunicaciones, con la finalidad de garantizar que la información no sea inteligible ni manipulable por terceros. Igualmente, en relación con los datos sanitarios, es obligado un registro de accesos, en el que se debe guardar en relación con cada acceso, la identificación del usuario, fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si fue autorizado o denegado. El periodo mínimo de conservación de los datos registrados es de 2 años.

La seguridad de las comunicaciones por las que circulan datos sobre salud de las personas constituye un imperativo ético. La salvaguarda de la protección en este campo respecto a los estándares de seguridad y control de los sistemas de información, requiere el uso de tecnología de encriptación y utilización de redes cerradas.

Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos

La Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento de los Datos de Carácter Personal (en adelante LORTAD) inicia la regulación de los datos personales en nuestro país, ajustándose tanto a las previsiones del Convenio Europeo para la protección de los derechos fundamentales de las personas (Convenio de 4 de noviembre de 1950) como al Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108 del Consejo de Europa, de 28 de junio de 1981).

La evolución en la regulación del derecho a la protección de datos llevará al Parlamento Europeo y al Consejo de la Unión Europea a adoptar la directiva 95/46/CE, antes citada, cuya transposición a la legislación española se realizará mediante la LOPD.

La LOPD tiene como objeto «garantizar y proteger, en lo concerniente al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar». Su ámbito de aplicación son ley «los datos de carácter personal (sean o no íntimos) registrados en soporte físico (no en sentido estricto ficheros electrónicos o informáticos, sino también los recogidos en papel, microfichas o cualquier otro que pueda ser objeto de utilización) que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores públicos y privados». Por tanto, se aplica a cualquier tratamiento, con independencia de su soporte.

Se excluyen del ámbito de aplicación de la ley los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Respecto a los ficheros manuales (la mayoría de historias clínicas) se confiere un plazo hasta el 24 de octubre de 2007 para su automatización.

La entrada en vigor de la ley estableció importantes obligaciones a las que quedan sujetos los profesionales autónomos y las personas jurídicas que, debido a su trabajo, tratan datos personales, así como un régimen severo de sanciones en caso de su incumplimiento (artículo 45), por lo que desde un punto de vista práctico, cualquier profesional de la salud que trate datos de carácter personal está obligado a tomar una serie de medidas de seguridad que garanticen los derechos de los titulares de dichos datos. Dicha ley es la norma principal sobre la que se articula el régimen jurídico relacionado con la protección de datos de carácter personal en España.

Para aplicar y adecuarse a la LOPD, las comunidades autónomas, transferidas las competencias del Instituto Nacional de la Salud, los hospitales, centros sanitarios privados y profesionales autónomos se deben adecuar a su cumplimiento, especialmente en su vertiente informática, y deben garantizar la confidencialidad de los datos sanitarios frente a terceros. Debido a ello, la mayoría de las comunidades autónomas han ido aprobando leyes sanitarias que regulan los tratamientos de datos sanitarios.

Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Esta ley desarrolla los principios de calidad, información, consentimiento y seguridad de los datos en el campo de la información y documentación clínica. Para la ley «toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la información y documentación clínica debe ser orientada por la dignidad de la persona humana, el respeto a la autonomía de su voluntad y a su intimidad».

En esta norma se recoge también el principio de calidad de los datos almacenados en la historia clínica (en adelante HC), definiéndose, igualmente, su contenido mínimo.

HISTORIA CLINICA

En España está regulada en la LGS, que incluyó el derecho del paciente frente a las administraciones públicas sanitarias a que quedara constancia por escrito de su proceso asistencial, y se estableció el principio de historia clínico-sanitaria única en el Real Decreto 63/1995 y en la proposición de Ley 622/000010, «debiendo quedar plenamente garantizado el derecho del enfermo a su intimidad personal y familiar y el deber de guardar secreto por quien, en virtud de sus competencias tenga acceso a la HC».

La HC es una «prestación sanitaria» (apartado 11 del art. 10 de la LGS y el punto 6 del apartado 5.º del anexo I del RD 63/95) y, en otro sentido, según la LOPD, un fichero de datos personales sometido a las medidas de seguridad de nivel alto si está informatizada. La HC, sea manual o electrónica, debe recoger exclusivamente la información clínica necesaria para asegurar, bajo un criterio médico, el conocimiento veraz, exacto y actualizado del estado de salud del paciente.

La Ley 41/2002, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica define a la HC como el «conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial». La HC «comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos...»

Todo paciente tiene derecho a que quede constancia, por escrito o en soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales realizados por el servicio de salud, tanto en el ámbito de la atención primaria como de la atención especializada. El consentimiento será verbal por regla general y sólo se prestará por escrito en los casos de intervención quirúrgica, procedimientos diagnósticos y terapéuticos invasores y, en general, cuando se trate de aplicación de procedimientos que supongan riesgos o inconvenientes de notoria y previsible repercusión negativa sobre la salud del paciente, y otros como los trasplantes, la reproducción humana asistida o los ensayos clínicos. La HC debe incorporar la información que se considere transcendental para el conocimiento veraz y actualizado del estado de salud del paciente.

Tienen acceso a la HC los profesionales sanitarios del centro que realiza el diagnóstico o el tratamiento del paciente. El personal de administración y gestión de los centros sanitarios sólo pueden acceder a los datos de la HC relacionados con sus propias funciones. Se puede acceder a ella con fines epidemiológicos, de salud pública, investigación o docencia, preservándose en todos ellos los datos de identificación personal del paciente, o con fines judiciales, estando para lo que dispongan los jueces y tribunales en el proceso que dé origen a su acceso.

El paciente tiene el derecho de acceso a la documentación de la HC y a obtener una copia de los datos que figuren en ella, obligación que afecta tanto al centro sanitario público como al privado. Este derecho del paciente tiene como límites el derecho a la confidencialidad de los datos aportados por terceros y las anotaciones personales de los médicos que no constituyan propiamente juicios clínicos, que pueden oponer al derecho de acceso la reserva de sus observaciones, apreciaciones o anotaciones subjetivas.

La Ley de Autonomía del Paciente señala: «cada centro archivará las HC de sus pacientes, cualesquiera sea el soporte, papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información».

La protección de la HC es esencial, y lleva implícito el deber de confidencialidad impuesto por el secreto profesional y la protección de datos regulada en la normativa. La HC genera derechos (p. ej., derecho de acceso a la información) y deberes en las instituciones, los profesionales sanitarios, personal administrativo y pacientes, que pueden entrar en conflicto. Se puede acceder a la HC con fines judiciales, de inspección, epidemiológicos, de seguridad, salud pública, investigación o docencia. El paciente tiene derecho a que los centros sanitarios establezcan un mecanismo de custodia activa y diligente de las HC. La ley establece un plazo básico de custodia, y señala que los centros sanitarios están obligados a conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, y como mínimo 5 años desde la fecha del alta de cada proceso asistencial.

La HC se regula, además, por autonomías. Así, por ejemplo la normativa de las Comunidades Autónomas del País Vasco, Cataluña y Galicia delimitan su contenido y los documentos que deben contener.

Propiedad, conservación y custodia

En la consulta privada, la propiedad corresponde al médico, si trabaja por cuenta propia, o al centro sanitario. Con relación a la propiedad, la Ley Gallega establece que la propiedad corresponde al médico que realiza la atención sanitaria: «la entidad o facultativo propietario es responsable de la custodia de las historias clínicas y habrá de adoptar todas las medidas precisas para garantizar la confidencialidad de los datos o de la información contenida en las mismas».

La conservación y custodia es responsabilidad del médico que presta sus servicios por cuenta propia. El periodo de conservación de las HC varía según la regulación de cada comunidad autónoma.

Acceso a la información contenida en la historia clínica

El paciente, según el amparo que la LGS reconoce a su derecho de información, tiene derecho a acceder al contenido de la misma si lo solicita. Este derecho no es absoluto, ya que encuentra sus límites en el derecho a la intimidad y confidencialidad de terceras personas (que afecte a la intimidad del fallecido, o bien las anotaciones subjetivas de los profesionales o si se perjudica a terceras personas).

Igualmente, tienen acceso a la misma los profesionales sanitarios, el personal de administración y terceras personas (finalidades epidemiológicas, de salud pública, investigación, docencia, seguridad, judiciales), estando sujetos al deber de secreto y de confidencialidad de los datos del paciente.

Sólo se facilitará el acceso a la HC de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. El acceso de terceros motivados por riesgos para su salud se limita a los datos pertinentes.

Informatización de la historia clínica

La informatización de la HC debe sustentarse en los preceptos de la LOPD. La HC informatizada tiene el mismo valor jurídico que en soporte papel, aunque en el caso de la informatización entra en juego el artículo 18.4 de la Constitución española, que limita el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

El artículo 4.7 de la Ley 44/2003, de 21 de noviembre, de Ordenación de las Profesiones Sanitarias señala como uno de los principios del ejercicio de las profesiones sanitarias, que «existirá formalización escrita de su trabajo (profesionales sanitarios) reflejada en una HC que deberá ser común para cada centro y única para cada paciente atendido en él. La HC tenderá a ser soportada en medios electrónicos y a ser compartida entre profesionales, centros y niveles asistenciales».

DATO PERSONAL. DATO DE SALUD. DATO MÉDICO

La LOPD define el dato personal como «toda información relativa a una persona física identificada o identificable». Por tanto, es un dato de carácter personal «cualquier información (numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo) susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable», es decir, todos aquellos referidos a personas físicas, a partir de los cuales se puede obtener información sobre los hábitos, preferencias, vida privada, etc., de los individuos, como el nombre, el teléfono o la dirección del correo electrónico. El elemento fundamental para determinar que se trata de un dato personal es que la información, combinada o por sí misma, permita conocer datos de una persona concreta, bien por estar directamente identificada a través de algún dato, o porque pueda llegar a ser identificable por otro medio.

Se considera identificable (Directiva 95/46/CE) «toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social».

No está claramente determinado por la legislación española (LOPD y las normas que la desarrollan) qué se considera dato de salud o dato médico, lo que se puede y no es necesario proteger. En el artículo 7 de la LOPD se consideran los datos de salud (pero no los define) como datos especialmente protegidos, al igual que los datos referentes a ideología, afiliación sindical, religión, creencias, origen racial, vida sexual, infracciones penales o administrativas. Dicha protección acarrea criterios más estrictos en el uso, tratamiento y cesión de los datos, y medidas de seguridad por adoptar en los ficheros en los que se contengan dichos datos. El dato de salud es personal cuando está íntima y directamente relacionado con un ser humano en concreto.

En la recomendación n.º 5 se califica el dato médico como un dato personal referido a la salud de las personas físicas, y se define como «todos los datos de carácter personal relativos a la salud de la persona, comprendiendo igualmente los que tengan una manifiesta y estrecha relación con la salud, así como con las informaciones genéticas».

Se puede, a partir de lo anterior, estimar como dato médico cualquiera de carácter personal que esté relacionado con la salud de un individuo. El concepto de dato sanitario debe entenderse de forma amplia, abarcando todos aquellos datos que de alguna forma, directa o indirectamente, se refieran a la salud de las personas o guarden relación con ella.

FICHERO

La LOPD define el fichero como «todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso». No se trata sólo de ficheros integrados en sistemas informáticos o telemáticos, sino también de ficheros manuales o información personal recogida en soportes manuales, como ficheros de fichas manuscritas o similares que pueden estar archivados en armarios, cajones o estanterías, siempre que los datos se encuentren estructurados u organizados por algún criterio que permita acceder fácilmente a los datos de determinada persona.

RESPONSABLE DEL FICHERO. ENCARGADO DE TRATAMIENTO. USUARIO

Responsable del fichero o tratamiento

Según la LOPD, responsable del fichero es la «persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso de tratamiento». El responsable del fichero es quien decide la creación del mismo, para qué se va a utilizar y el uso que se le va a dar. Está obligado a dar respuesta a los ciudadanos ante el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición. Las obligaciones del titular del fichero se centran en tomar todas las medidas necesarias orientadas a impedir el abuso o mal empleo de la información, así como a hacer un tratamiento de los datos legal y leal. Si el responsable del fichero es una persona o empresa privada, será aquél sobre quien recaigan las posibles sanciones pecuniarias en caso de comisión de infracciones a la legislación sobre protección de datos personales, sin perjuicio de la responsabilidad directa del autor de la infracción, si lo hubiera. Dentro del ámbito de los ficheros de titularidad pública, el responsable del fichero siempre es un órgano administrativo.

Toda persona que mantenga un archivo con datos de carácter personal está obligada, entre otros deberes, a:

1. Inscribir el fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (en adelante AEPD).

2. Tratar de forma legal y leal los datos de carácter personal en todas las fases (recogida, utilización, cesión, etc.).

3. Facilitar el ejercicio de los derechos al afectado.

4. Mantener el deber de secreto.

5. Adoptar las medidas de seguridad que marca la Ley.

Encargado de tratamiento

La LOPD lo concreta como la «persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento» (p. ej., empresa con la que se establece una relación contractual para que se encargue de la destrucción de los documentos que contienen datos de carácter personal en los archivos de un médico).

USUARIO

Usuario es cualquier persona al servicio del responsable del fichero o encargado de tratamiento que tenga acceso a los datos de carácter personal como consecuencia de tener encomendadas tareas de utilización material de datos almacenados o que se almacenen en los ficheros. Está obligado al cumplimiento de las medidas de seguridad establecidas para el tratamiento de datos y sujeto al deber de secreto.

No debe confundirse la figura legal del usuario de los datos personales o tratamiento de datos recogida en la LOPD con la del usuario de una prestación sanitaria, que según la Ley de Autonomía del Paciente es «la persona que utiliza los servicios sanitarios de educación y promoción de salud, de prevención de enfermedades y de información sanitaria».

PROCEDIMIENTO DE DISOCIACION

Para la LOPD es «todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable». Cuando los datos personales no permiten la identificación de una persona concreta pierden el carácter de personales y quedan al margen de la normativa sobre protección de datos. Igualmente, la utilización de este procedimiento, con carácter previo al acceso y tratamiento de datos, exime de la exigencia de solicitar el consentimiento del interesado para poder utilizar dichos datos en el tratamiento previsto.

TRATAMIENTO DE DATOS DE SALUD. CESION. COMUNICACION

Obtención y tratamiento

La LOPD recoge el marco jurídico del tratamiento de datos. La ley, en sentido general, aumenta las garantías de los titulares de datos personales, mediante el deber de información previa y la necesidad de contar, como norma general, con el consentimiento para el tratamiento de los datos personales, incluida la cesión o comunicación. En los casos en los que no es necesario el consentimiento del interesado, éste tiene derecho a oponerse a dicho tratamiento.

La LOPD define tratamiento de datos de carácter personal como «todas las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación de datos, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias».

Los datos personales que hagan referencia a la salud pueden ser tratados, sin necesidad del consentimiento del afectado, si dicho tratamiento tiene por finalidad proteger un interés vital del interesado como el necesario para la prevención o el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligación equivalente de secreto. De igual forma la ley recoge que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

El artículo 25 de dicha ley permite la creación de ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que la ley establece para la protección de las personas.

Cesión de datos de salud

La LOPD señala como cesión o comunicación de datos «toda revelación de datos realizada a una persona distinta del interesado (persona física titular de los datos que sean objeto del tratamiento)». Por tanto, es cesión una simple consulta que un tercero realice a estos datos, aunque sea a distancia y sin creación de un fichero o tratamiento nuevo. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la ley.

La cesión de datos de salud requiere el consentimiento previo del interesado, excepto, cuando dicha cesión sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

MEDIDAS DE SEGURIDAD DE LOS FICHEROS QUE CONTIENEN DATOS DE SALUD

La LOPD obliga al responsable del fichero y en su caso, al encargado del tratamiento, a adoptar las medidas necesarias para garantizar la seguridad de los datos de carácter personal, evitar su alteración o pérdida y tratamiento o acceso no autorizado. Dichas medidas las ha desarrollado el RMS, reglamento de seguridad que tiene por objeto el establecimiento de medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la LOPD.

El responsable del fichero es el centro sanitario, institución, consulta privada o médico que decida sobre la finalidad del mismo. Los usuarios del sistema de información o personal son los facultativos y demás personal sanitario y terceras personas que, sin ser personal sanitario, quedan sujetas a las mismas obligaciones de confidencialidad que los anteriores.

Las medidas de seguridad exigibles se clasifican en tres niveles (básico, medio y alto), establecidos atendiendo a la naturaleza de la información tratada y en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de los datos recogidos. En cuanto a los datos de salud, los ficheros que los contengan deben cumplir las medidas de seguridad del nivel alto. El hecho de que un determinado fichero sea temporal (p. ej., información que un médico guarda en su ordenador personal) no exime a su responsable de la obligación de implantar las medidas de seguridad que le corresponden atendiendo a su contenido. El RMS recoge la obligación de borrar los ficheros una vez que los datos contenidos dejen de ser necesarios para los fines que motivaron su creación.

DOCUMENTO DE SEGURIDAD

El responsable del fichero que contenga datos de salud (especialmente protegidos, nivel máximo de seguridad) y, en su caso, el encargado del tratamiento, deberán elaborar e implantar la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. Dicho documento puede contener la normativa de seguridad para todos los ficheros de los que es responsable la organización o bien se pueden redactar tantos documentos como ficheros se posean. El documento tiene que mantenerse en todo momento actualizado, adecuado a las disposiciones vigentes en materia de seguridad de datos de carácter personal y ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo, y debe recoger, como mínimo:

1. La identificación del responsable o responsables de seguridad.

2. El personal que podrá tener entrada a los locales donde de encuentran ubicados los sistemas de información con datos de carácter personal, siendo dicho personal el único que puede acceder a tales datos.

3. El ámbito de aplicación del mismo, con especificación detallada de los recursos protegidos.

4. Las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el grado de seguridad exigido en el RMS y los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

5. Las funciones y obligaciones del personal, que deberán estar claramente definidas y documentadas. El responsable del fichero debe adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias que deriven de su incumplimiento.

6. La estructura de los ficheros con datos de carácter personal y la descripción de los sistemas de información que los tratan.

7. El procedimiento de notificación, gestión y respuesta ante las incidencias. Debe registrarse el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos producidos por dicha comunicación.

8. Los procedimientos de realización de copias de respaldo y de recuperación de datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos han sido necesarios grabar manualmente en el proceso de recuperación. Es necesaria la autorización por escrito del responsable del fichero o tratamiento para la ejecución del procedimiento de recuperación de datos. Igualmente, deben constar en el documento las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado, y debe impedirse cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda su baja en el inventario.

El responsable del fichero debe encargarse de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información, el tipo de acceso al que están autorizados y establecer procedimientos de identificación y autentificación para dicho acceso. Los usuarios deben tener acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, y el responsable del fichero debe establecer los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos con derechos o permisos distintos de los autorizados.

Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. Deben conservarse sendas copias de respaldo y de los procedimientos de recuperación de datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan. Debe establecerse un sistema de registro de entrada y de salida de soportes informáticos que permita conocer el tipo de soporte, fecha y hora, el emisor o destinatario, el número de soportes, tipo de información que contienen, la forma de envío y la persona responsable de la recepción o de la entrega, que deberán estar debidamente autorizados. La salida de soportes informáticos que contengan datos de carácter personal fuera de los locales en los que esté ubicado el fichero sólo puede ser autorizada por el responsable del mismo, y se deben adoptar las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.

La distribución de los soportes debe realizarse cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. Cuando la transmisión de datos se realice a través de redes de telecomunicaciones de titularidad ajena a la propia empresa, se debe llevar a cabo cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

De cada acceso se debe guardar la identificación del usuario, la fecha y hora en que se realizó, el tipo de acceso y si ha sido autorizado, y es preciso conservar la información que permita identificar el registro accedido, o denegado.

El responsable del fichero debe implantar una clave personal intransferible para cada usuario del sistema y designar uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. El responsable de seguridad controla directamente los mecanismos que permiten el registro de los datos, y tiene que revisar periódicamente la información de control recogida y elaborar un informe de las revisiones realizadas y los problemas detectados una vez al mes.

Los sistemas de información e instalaciones de tratamiento de datos deben someterse, al menos cada 2 años, a una auditoría interna o externa, para verificar el cumplimiento del RMS y de las instrucciones y procedimientos vigentes en materia de seguridad de datos, y se debe plasmar en un informe de auditoría que debe dictaminar sobre la adecuación de dichas medidas y controles, identificar las deficiencias y proponer las medidas correctoras y/o complementarias necesarias. Estos informes deben ser analizados por el responsable de seguridad, que debe elevar las conclusiones al responsable del fichero para que adopte las medidas subsanadoras adecuadas. Se establece un periodo mínimo de conservación de los datos registrados de 2 años.

PRINCIPIOS QUE RIGEN EL TRATAMIENTO DE DATOS PERSONALES

Recogidos por la LOPD, son de obligado cumplimiento y la base del tratamiento de datos personales. El responsable del fichero y/o el encargado del tratamiento son los garantes de que cualquier tratamiento de datos se adapte a dichos principios; su incumplimiento es motivo de sanción.

Principio de la calidad de los datos

Los datos de carácter personal sólo pueden recogerse para su tratamiento cuando sean adecuados, pertinentes y no excesivos (no en el sentido de cantidad, sino en el de proporcionalidad) para el cumplimiento de las finalidades del fichero, que deben estar determinadas de forma explícita y ser legítimas. Los datos no pueden ser utilizados para propósitos incompatibles con los que motivaron su recogida (para la ley nunca son incompatibles los fines históricos, estadísticos o científicos).

Los datos personales han de ser exactos y mantenerse al día; en caso contrario, tienen que ser cancelados, rectificados o completados. Deben ser cancelados cuando hayan dejado de ser pertinentes o necesarios. No pueden conservarse de forma que permitan la identificación del interesado durante un periodo superior al necesario para la finalidad por la que fueron solicitados o registrados. Hay que almacenarlos de forma que permitan el ejercicio al derecho de acceso, salvo que sean legalmente cancelados.

Principio de información de recogida de datos

El paciente ha de ser advertido de manera expresa, precisa e inequívoca de que los datos médicos que a él le afectan van a ser recogidos en un fichero, así como de la finalidad y el destino o destinatarios de los mismos. La información debe facilitársele, antes de prestar su consentimiento, por cualquier medio (palabra, escrito, formulario, documento, etc.) y se le debe indicar, además:

1. La identidad y el responsable del fichero.

2. Si es obligatoria o no su respuesta a las distintas preguntas planteadas.

3. Las consecuencias de la obtención de los datos o de su negativa a suministrarlos.

4. La posibilidad de que pueda ejercitar sus derechos de acceso, rectificación, cancelación y oposición.

Principio de consentimiento(3)

(3) La LOPD excepciona los datos recogidos en el seno de la atención asistencial por un profesional sanitario; en estos casos el tratamiento de los datos especialmente protegidos puede realizarse amparado en un consentimiento tácito e implícito en la propia relación asistencial.

La LOPD exige la prestación de consentimiento previo e inequívoco del afectado para el tratamiento de sus datos, aunque establece una serie de excepciones, que no eximen de la obligación de informar, ni permite el tratamiento de cualquier dato, sino aquellos que cumplan el principio de calidad.

Principio de datos especialmente protegidos o «sensibles»(4)

(4) Ídem que la anterior.

La LOPD prevé la necesidad de proteger especialmente los datos que, por la información a que se refieren, pueden generar con mayor facilidad lesiones en otros derechos fundamentales, además del propio derecho a la protección de datos. Estos datos son los relativos a ideología, afiliación sindical, religión o creencias, origen racial, salud y vida sexual, y los relacionados con la comisión de infracciones penales o administrativas. Dicha protección se concreta en las siguientes características:

1. Como norma general se exige el consentimiento expreso y por escrito del afectado para la recogida y uso de estos datos.

2. Se precisa el establecimiento de medidas de seguridad de nivel alto para los ficheros que los contienen.

3. Las infracciones concernientes a estos datos son consideradas más graves.

Principio de seguridad de los datos

1. El responsable del fichero debe tomar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales integrados en los ficheros con el fin de evitar que éstos puedan perderse, alterarse, usarse o ser accesibles por personas no autorizadas.

2. Las medidas de seguridad que adoptar deben recogerse en el documento de seguridad y darse a conocer a todos los usuarios del sistema de información, quienes están obligados a cumplirlo. Dicho documento debe reflejar el grado de seguridad que debe cumplir el fichero.

Deber de secreto

Se exige al responsable del fichero, al encargado del tratamiento si lo hubiera y a todos los que intervengan en cualquier fase del tratamiento, obligación que se mantiene incluso finalizada la relación que permitió el acceso al fichero. Este deber de secreto es un deber genérico que alcanza a cualquier persona que intervenga en el proceso de datos y que no debe confundirse con el secreto profesional. Se ha producido una ampliación de los sujetos tradicionales con obligación de confidencialidad en el campo de los datos sobre la salud, dado que ahora recae en cualquier persona física o jurídica que tenga acceso a la información, por lo que afecta al médico, sanitarios, personal de la administración, responsable y/o encargado del tratamiento de datos, al proveedor del servicio de telecomunicaciones que comparte la información y a cualquier usuario que acceda a ellos.

El secreto profesional del médico puede entrar en pugna con el derecho a la tutela judicial efectiva de otro ciudadano, y plantearse un conflicto entre éste y el derecho a la intimidad y a la protección de datos personales.

DERECHOS DE LAS PERSONAS EN RELACION CON LA PROTECCION DE DATOS DE CARACTER PERSONAL

Derecho de consulta al Registro General de Protección de Datos

Faculta a cualquier persona a recabar información sobre la existencia de ficheros de datos de carácter personal inscritos en los registros, la finalidad de éstos y la identidad del responsable del fichero. El ejercicio de este derecho es público y gratuito.

Derecho de acceso

Derecho a conocer los datos que sobre su persona figuren en un fichero determinado sometidos a tratamiento, cuál ha sido su origen y qué cesiones se han realizado o se prevé realizar en el futuro. El ejercicio de esta facultad es gratuito, pero sólo se puede realizar una vez cada 12 meses, salvo que se acredite un interés legítimo (causa justificada).

Derecho de oposición

Oposición de la persona, una vez informada, al tratamiento de sus datos cuando existan motivos fundados y legítimos relativos a una situación personal concreta.

Derecho de rectificación y cancelación

Suponen la facultad del interesado a instar al responsable del fichero a rectificar o cancelar los datos cuyo tratamiento no se ajuste a la ley, en particular, los datos inexactos o incompletos, inadecuados o excesivos o si no existiera derecho a registrarlos. La cancelación da lugar al bloqueo de los datos, pero no necesariamente al borrado físico de la información, dado que a veces los datos deben conservarse hasta que prescriban (p. ej., para disposición judicial).

Derecho de impugnación de valoraciones

Permite al interesado impugnar aquellas decisiones que tengan efectos jurídicos y cuya base sea únicamente un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

Derecho a indemnización

Si a consecuencia del incumplimiento de la Ley una persona sufre daño o lesión en sus bienes o derechos, tiene derecho a solicitar una indemnización económica, instada ante la jurisdicción ordinaria cuando la lesión provenga de entidades privadas.

AGENCIA ESPAÑOLA DE PROTECCION DE DATOS Y AGENCIAS DE LAS COMUNIDADES AUTÓNOMAS

Creada por la derogada LORTAD y regulada en la LOPD, es la instancia a la que pueden acudir los afectados para ser tutelados en el ejercicio de sus derechos, y se configura como el órgano de control del cumplimiento de la LOPD. Es un ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada, que ejerce sus funciones con entera independencia de las Administraciones públicas. Por tanto, es un organismo independiente que, entre otras funciones, vela por el cumplimiento y aplicación de la legislación sobre protección de datos.

Esta agencia lleva a cabo acciones normativas, dicta las instrucciones (disposiciones de carácter general con objeto de aclarar y apoyar la interpretación de la ley) precisas para adecuar el tratamiento de los datos a los principios contenidos en la ley. La AEPD ha optado por una interpretación amplia de los preceptos y conceptos recogidos en la LOPD, siempre que dicha interpretación implique el favorecimiento de la defensa de la intimidad y privacidad de las personas.

Entre sus funciones figura la potestad inspectora (de oficio y a instancia de parte) y sancionadora en los términos previstos en la ley. Atiende peticiones y reclamaciones de los ciudadanos y les informa sobre sus derechos. Ordena el cese de los tratamientos de datos de carácter personal y la cancelación de los ficheros cuando no se ajusten a las disposiciones de la ley, ejerce el control y adopta las autorizaciones que procedan en relación con los movimientos internacionales de datos, etc.

Como un órgano integrado en ella se encuentra el Registro General de Protección de Datos, en el que deben inscribirse, entre otros, los ficheros de titularidad de las Administraciones Públicas y los de titularidad privada, y al que compete velar por la publicidad de la existencia de los ficheros para hacer posible el ejercicio de los derechos de información, acceso, rectificación, oposición y cancelación amparados por la ley.

La distinción entre ficheros públicos y privados es importante, ya que el régimen jurídico previsto en la LOPD para ellos varía. Es de aplicación a los ficheros públicos un conjunto de excepciones a la regulación general, como la relativa al consentimiento para el tratamiento de datos personales y para la cesión de éstos o los límites al derecho de cancelación. El procedimiento para la creación de ficheros y el de infracciones y sanciones de la ley es distinto. Los ficheros públicos se crean a través de una disposición de carácter general que tiene que ser publicada en un diario oficial, mientras que los ficheros privados se crean a través de una notificación de la AEPD. Las infracciones en el caso de los ficheros privados llevan aparejadas un régimen de sanciones económicas elevado, mientras que las infracciones en el ámbito de los ficheros públicos dan lugar, principalmente, a una resolución que declara la infracción administrativa, la comunicación al defensor del pueblo y al superior jerárquico de la persona que ha cometido la infracción y la propuesta de apertura del procedimiento disciplinario.

Existen agencias de protección de datos de carácter autonómico (p. ej., en las comunidades de Madrid y Cataluña) con funciones de control, vigilancia, inspección, labores de colaboración, consultoría y resolución de consultas, publicaciones, etc. Así, por ejemplo, la Agencia de Protección de Datos de la Comunidad de Madrid tiene un servicio de asesoramiento para facilitar el cumplimiento de las obligaciones derivadas de la legislación de protección de datos que incluye la resolución de consultas sobre casos concretos e, igualmente, ha realizado distintos programas de formación, comisiones de seguimientos, grupos de trabajo, etc., y dispone de una revista digital de suscripción gratuita.

Las competencias de estas agencias autonómicas están restringidas a los ficheros de datos personales creados o gestionados por las comunidades autónomas o por la Administración local de su ámbito territorial. Pueden crear sus propios registros de protección de datos para ficheros de su competencia, aunque todos los ficheros y tratamientos de titularidad pública tienen que figurar inscritos en el Registro General de Protección de Datos. Las agencias de protección de datos de las comunidades autónomas sólo pueden ejercer sus competencias de control sobre los ficheros creados o gestionados para el ejercicio de potestades de derecho público y de competencias administrativas, es decir, para el ejercicio de funciones públicas, y es necesario que la entidad de derecho público desarrolle competencias reconocidas a la comunidad en su Estatuto de autonomía y que hayan sido debidamente transferidas. El control de los ficheros privados corresponde a la AEPD, al igual que los ficheros de la propia Administración General del Estado que se mantengan en el territorio de una comunidad autónoma. Los ficheros utilizados en funciones privadas deben inscribirse exclusivamente en el Registro General de Protección de Datos de la AEPD.

CÓDIGO PENAL DE 1995. SANCIONES DE LA AEPD

El Código Penal castiga con penas de prisión de 1 a 4 años y multa de 12 a 24 meses «al que sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado». Se imponen iguales penas a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero. Además, se considera como agravante, si la revelación afecta a datos de carácter personal que se refieran a la salud de las personas.

Igualmente, con relación a los datos personales, un médico con consulta privada o que desempeña sus funciones en un centro privado o concertado puede incurrir en delito de vulneración de secreto profesional tipificado en el Código Penal.

Por último y en relación con las infracciones calificadas en la LOPD como leves, graves y muy graves, ya han sido impuestas en España por la AEPD sanciones de más de 400.000 euros, y se puede llegar, si la infracción se comete en el ámbito privado, a más de 600.000 euros.

ADDENDUM

Temas como datos genéticos (datos especialmente vulnerables y con medidas adicionales de seguridad), investigación clínica, biotecnología, clonación, técnicas de reproducción humana asistida, ensayos clínicos, firma electrónica, receta médica, TAIR (Terminal Autónomo de Identificación del Paciente en las Recetas), firma electrónica, transferencia internacional de datos personales, códigos tipo, etc., se han dejado al margen en este artículo, circunscrito a la consulta privada, principalmente por problemas de extensión del mismo.


NORMATIVA

Ley 2/1974, de 13 de febrero, de Colegios Profesionales.

Constitución Española de 27 de diciembre de 1978.

Ley 1/1982, de 5 de mayo, de Protección del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

Ley 14/1986, de 25 de abril, General de Sanidad.

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Convenio para la protección de los derechos humanos y de la dignidad del ser humano con respecto a las aplicaciones de la Biología y de la Medicina hecho en Oviedo el 4 de abril de 1997.

Decreto 110/1997, de 11 de septiembre, sobre autorización de centros, servicios y establecimientos sanitarios.

Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan Datos de Carácter Personal.

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid.

Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid.

Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Ley 16/2003, de 28 de mayo, de Cohesión y Calidad del Sistema Nacional de Salud.

Ley 44/2003, de 21 de noviembre, de Ordenación de las Profesiones Sanitarias.


BIBLIOGRAFIA RECOMENDADA

Agencia de Protección de Datos de la Comunidad de Madrid: Guía de protección de datos personales para Colegios Profesionales. Civitas Ediciones, S.L. 2004.

Davara Rodríguez MA. El abogado y la protección de datos. Ilustre Colegio de Abogados de Madrid. 2004.

De Lorenzo R, Díaz Pérez JL, Díaz Díaz RM, et al. Información, consentimiento y documentación clínica en Dermatología. Ricardo de Lorenzo y Montero, Editores Médicos, S.A. 2005.

De Miguel Sánchez N. Secreto médico, confidencialidad e información sanitaria. Marcial Pons, ediciones jurídicas y sociales, S.A. 2002.

De Miguel Sánchez N. Tratamiento de datos personales en el ámbito sanitario: intimidad versus interés público. Editorial Tirant lo Blanch. 2004.

Hernández Martínez-Campello C, Suárez García E. Preguntas y respuestas sobre la Ley 41/2002, que regula diversos aspectos de la relación médico-paciente. Fundación del Ilustre Colegio Oficial de Médicos de Madrid. 2004.

Ilustre Colegio Oficial de Médicos de Madrid. La responsabilidad civil y penal del médico. Ilustre Colegio Oficial de Médicos de Madrid. 1999.

Jañez Ramos FM, Puente Serrano N, Zapatero Gómez-Pallete J, et al. La Protección de Datos Personales en el Ambito Sanitario. Editorial Aranzadi, S.A. 2002.

Sánchez-Caro J, Abellán F. Telemedicina y protección de datos sanitarios (Aspectos legales y éticos). Editorial Comares, S.L. 2002.

Sánchez-Caro J, Abellán F. Datos de salud y datos genéticos, su protección en la Unión Europea y en España. Editorial Comares, S.L. 2004.

Zamarriego Crespo J, Pérez Corral F. Nuevos paradigmas de la profesión médica para el próximo milenio. Ilustre Colegio Oficial de Médicos (ICONEM), 1999.

Idiomas
Actas Dermo-Sifiliográficas
Opciones de artículo
Herramientas
es en

¿Es usted profesional sanitario apto para prescribir o dispensar medicamentos?

Are you a health professional able to prescribe or dispense drugs?