596 Zenbakia 2011-10-14 / 2011-10-21

Gaiak

Sobre la necesidad de aprobar una norma específica que regule la protección de los datos sanitarios

ABERASTURI GORRIÑO, Unai

http://www.flickr.com/photos/e1ement2048/2492880071/



En la actualidad resulta asumido que las nuevas Tecnologías de la Información y la Comunicación están alterando la forma de relacionarse en prácticamente todos los ámbitos de la vida. El empleo generalizado de estas nuevas herramientas está llevando a la consolidación de la Sociedad de la Información, en la que la manipulación de la información adquiere una nueva dimensión debido a la mayor cantidad de datos y nuevos usos que se están dando a la misma. La transformación de la sociedad se ha producido también, indudablemente, en el ámbito sanitario, donde la incorporación de herramientas como la historia clínica electrónica, tarjeta sanitaria o receta electrónica trae consigo el fenómeno de la telemedicina, que se puede definir, en sentido amplio, como una nueva forma de proteger la salud donde las nuevas tecnologías juegan un papel fundamental. Prueba de esta transformación en el sector citado es la aprobación de normas que cada vez con mayor frecuencia se refieren a este tipo de herramientas, caso del RD 1718/2010, de 17 de diciembre, sobre receta médica y órdenes de disposición, que integra definitivamente la receta electrónica en el Sistema Nacional de Salud.

La telemedicina supone un cambio esencial en la forma de desarrollar la relación entre el paciente o usuario y los profesionales de la sanidad o la Administración sanitaria. En esta nueva forma de prestar los servicios sanitarios los pacientes o usuarios deberían tener una mayor participación y deberían ser posibles nuevas operaciones como la asistencia a distancia. Uno de los aspectos fundamentales que cambian con la telemedicina es la forma de manipular la información que se maneja. El tratamiento de los datos de salud resulta, obviamente, una actividad esencial para desarrollar cualquier actividad sanitaria. Las citadas nuevas herramientas abren la puerta a una más sencilla y más ágil manipulación de los datos. No cabe duda de que la facultad de comunicar información a cualquier lugar, en cualquier momento y de forma inmediata hace viables operaciones que son positivas en la tarea de salvaguardar la salud de la ciudadanía. Sin embargo, además de plantear escenarios positivos, la creación de mayores y más ágiles flujos de información sanitaria acentúa también algunos riesgos. Se ha subrayado en innumerables ocasiones el peligro que generan las nuevas tecnologías de que los datos se pierdan, se sustraigan, se alteren o se empleen de forma torticera. Podría parecer lógico señalar que, como con la telemedicina el flujo de datos es mayor y son más las opciones de manipulación, mayor es también el riesgo de que se dé un mal uso de los mismos con respecto al tratamiento de la información en formato papel. Esta afirmación no es del todo cierta, pues si bien las nuevas tecnologías plantean nuevos peligros también plantean nuevas soluciones.

La incorporación de herramientas como la historia clínica electrónica, tarjeta sanitaria o receta electrónica trae consigo el fenómeno de la telemedicina.

Fotografía: CC BY - edans

Sea como fuere, parece claro que ante la nueva dimensión que ha adquirido la información en las sociedades actuales cada vez hay una mayor concienciación de la ciudadanía en la necesidad de que se le garantice cierto control sobre sus datos. Así, todo sistema sanitario que se quiera presentar en la actualidad respetuoso o atento con los derechos fundamentales, deberá articular mecanismos para que ese control se garantice.

El derecho a controlar los datos de cada uno ha sido reconocido por gran parte de la doctrina e incluso por el TC como un derecho fundamental autónomo denominado derecho a la autodeterminación informativa o derecho a la protección de datos, incardinado en el artículo 18.4 CE. Este derecho está plenamente vigente en el ámbito sanitario. Sin embargo, el ejercicio del mismo en este entorno puede enfrentarse en ocasiones con otros intereses: desde el derecho a la protección de la salud del propio titular de los datos, de un tercero o de una colectividad, hasta intereses que tienen que ver con otros ámbitos extraños al sanitario, como son el derecho a la tutela judicial efectiva, la libertad de información o la seguridad nacional.

En lo que afecta a la protección de la salud en el sector de la sanidad son muchos los intereses en juego. En primer lugar, los del ciudadano, a que se le preste una asistencia sanitaria de calidad y a que en dicha prestación se respeten sus derechos fundamentales. En segundo, los del centro, a que se gestionen con la mayor eficacia posible los recursos. Y por último, los de la sociedad, a que se realicen investigaciones para el adelanto de la ciencia y para la salvaguarda de la salud pública, a que se controle el gasto, y en general al buen funcionamiento de la sanidad.

Estos intereses pueden entrar en colisión en diferentes circunstancias. Uno de los principales conflictos que se genera en este campo es el que se produce entre la necesidad de manipular información de carácter personal y la obligación de proteger en todo caso los derechos a la intimidad y a la autodeterminación informativa de las personas. En este sector la indicada dialéctica constituye uno de los grande debates. Es claro exponente de lo dicho el alto número de consultas que se realizan en las diferentes agencias de protección de datos en torno a esta materia.

En la ponderación de estos derechos e intereses el papel del Derecho es fundamental. El ordenamiento ha de tener como objetivo la búsqueda del equilibrio entre la necesidad de manipular datos sanitarios empleando las nuevas tecnologías, y la necesidad de proteger la intimidad y el derecho a la protección de datos de los usuarios de los sistemas sanitarios. La importancia de crear un marco jurídico adecuado deriva, sobre todo, de la relevancia de que los agentes que en el sector sanitario han de manipular los datos de carácter personal conozcan los parámetros en los que se deberán mover y cuál debe ser su comportamiento en cada situación. En el ámbito sanitario la fijación de este marco jurídico es importante debido a la especial relevancia que las normas otorgan a la información sanitaria.

Frente a posiciones procedentes sobre todo del mundo de los cibernautas, que niegan la necesidad de normas que regulen el ciberespacio y que afirman que el tercer entorno es autorregulable, se interpreta aquí que los problemas que crean las TIC han de tener respuesta en el Derecho. Estas nuevas herramientas están cambiando la forma de relacionarse de las personas en los diferentes campos en que desarrollan su actividad, sea pública o privada. Siendo esto así, resulta lógico apuntar que si la sociedad cambia también tendrá que hacerlo el marco normativo en el que se desenvuelven dichas relaciones. La necesidad de adaptar el Derecho a esta nueva realidad, o de crear una nueva disciplina jurídica, es una cuestión que no es nueva pero que todavía hoy no ha sido superada o cerrada.

El ordenamiento ha de tener como objetivo la búsqueda del equilibrio entre la necesidad de manipular datos sanitarios empleando las nuevas tecnologías, y la necesidad de proteger la intimidad y el derecho a la protección de datos de los usuarios de los sistemas sanitarios.

Fotografía: CC BY - Foxtongue

La realidad es que en relación a la concreta colisión entre la necesidad de manipular información de carácter personal en las sociedades actuales y la obligación de proteger el derecho fundamental a la autodeterminación informativa, el Derecho no ha dado una respuesta del todo satisfactoria, ni en el ámbito internacional ni en el estatal. Hoy día, en lo que aquí interesa, la base de este marco jurídico la componen la Directiva europea relativa a la protección de las personas físicas 96/46/CE del 24 de octubre de 1995, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y la Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre (LOPD). En lo que toca al sector de la salud las normas van, otra vez, por detrás de la realidad, y la necesidad de crear un marco jurídico adecuado no se ha visto satisfecha del todo, fundamentalmente por dos motivos. Primero, porque la base que componen ambas normas necesita ser desarrollada para que no existan lagunas jurídicas. En el ámbito sanitario este desarrollo presenta todavía grandes deficiencias. El marco jurídico, que en el ámbito interno regula la protección de datos sanitaria, deja mucho que desear, fundamentalmente porque son numerosos los aspectos que todavía hoy siguen sin tener respuesta. Segundo, porque el marco jurídico no ha sabido adaptarse a las exigencias que plantea el carácter global o internacional de los problemas que nacen de la aplicación de las nuevas tecnologías. Las autopistas de la información tienen un alcance global y frente a esta situación el Derecho no ha sido todavía capaz de dar una respuesta de la misma dimensión.

Las referencias en las normas a la problemática vinculada con la protección de datos en el ámbito de la salud son varias y se encuentran en textos legales dirigidos a regular la materia sanitaria y la protección de los datos de carácter personal. En el primer caso, las normas muestran plena sensibilidad en relación a esta problemática, planteando como reto de primer orden el respeto a la intimidad y a la autodeterminación informativa de los ciudadanos. En cierta medida no es de extrañar que así sea, si se tiene en cuenta que la intensidad del debate en torno a los peligros que resultan del empleo de las nuevas tecnologías en el ámbito sanitario es hoy día mayor que en momentos anteriores. En el segundo caso también puede afirmarse que es así, si se atiende a las referencias que la normativa reguladora de la protección de datos realiza a los datos de salud.

Sin embargo, y a pesar de esta inicial muestra de sensibilidad respecto a la materia que aquí se estudia, el vigente marco legal plantea problemas de envergadura. El principal es que las referencias concretas a la problemática que en este trabajo se analiza no son especialmente amplias y no se prodigan en la regulación de esta cuestión. La LOPD, junto a las correspondientes leyes autonómicas, regula la protección de datos de carácter personal en todos los ámbitos y situaciones en que estos datos puedan ser manipulados. Esta norma tiene, por lo tanto, carácter general. En el ámbito interno no existen normas dirigidas a regular estas cuestiones, al contrario de lo que ocurre, por ejemplo, en el ámbito del Consejo de Europa, donde han sido aprobadas normas concretas para regular los problemas específicos que se crean en la manipulación de datos en sectores determinados como el sanitario.1

En la regulación realizada por la LOPD las referencias más claras a los datos de salud se encuentran en los artículos 72 y 83 . La coexistencia de estos dos preceptos ha generado problemas de interpretación. Interesa acercarse a la letra de la segunda disposición para determinar cuál es el marco legal en el que ha de resolverse el conflicto jurídico de intereses que se ha presentado anteriormente.

Señala este precepto que, más allá de lo que afecte a la cesión de datos, la regulación de la protección de los datos de carácter personal en el campo de la sanidad se llevará a cabo de acuerdo a la normativa sanitaria, tanto estatal como autonómica. La LOPD ha cambiado, se entiende aquí que para bien, la letra de la LORTAD en este punto. Esta última remitía la regulación de la protección de datos en el ámbito sanitario a una lista concreta de normas, que parecían limitar el marco jurídico a aplicar4, con el riesgo que ello podía conllevar de dejar fuera de dicho marco otras normas de interés. La remisión en la actualidad es genérica a la normativa sanitaria.

Hace ya tiempo que se viene subrayando la idea de que a la hora de regular la protección de los datos sanitarios el ordenamiento presenta serias deficiencias.

Fotografía: CC BY - kevinspencer

Como primer acercamiento al precepto, hay que valorar positivamente el hecho de que se realice una referencia expresa en la Ley al ámbito sanitario, pues denota la preocupación del legislador por este tipo de tratamientos. Es más, la idea de remitir la regulación de los datos sanitarios a una norma concreta constituye una fórmula totalmente válida que la propia Ley recoge para otro tipo de datos.5 El problema radica en la redacción empleada.

Más allá de la confusión que genera la referencia al artículo 11 de la Ley6, la remisión hubiera tenido pleno sentido si hubiese una norma dedicada a regular específicamente los problemas que plantea el tratamiento de los datos en el ámbito sanitario. Sin embargo, la realidad es bien diferente y ni mucho menos se puede afirmar que normas que regulan el sector como la LGS, Ley del Medicamento, leyes de carácter sectorial como la de Reproducción Asistida, llenan el vacío creado por la inexistencia de la citada norma. Tanto la propia Agencia Española de Protección de Datos como gran parte de la doctrina han reconocido que la remisión del artículo 8 de la LOPD es una remisión “vacía” de contenido. A este problema hay que sumar el hecho de que el marco jurídico regulador de la materia sanitaria está compuesto por una infinidad de normas. La dispersión normativa no favorece la seguridad jurídica. Como colofón, en la normativa sanitaria son muchas las remisiones que se hacen a la propia LOPD, lo cual da una idea de la laguna que existe en esta rama del Derecho con respecto a este punto. En definitiva, se puede observar que el marco jurídico que resulta de la lectura del citado artículo 8 de la LOPD no presenta unos criterios bien definidos a la hora de resolver los conflictos jurídicos que puedan derivar de las confrontaciones entre los intereses que arriba se han apuntado.

La aprobación de la Ley Básica de la Autonomía del Paciente y de los derechos y obligaciones en materia de información y documentación clínica 41/2002 (LBAP), vino a poner algo de luz sobre las sombras. Aún así, tampoco se puede considerar esta norma como receptora de la remisión realizada por el artículo 8 de la LOPD, pues, aunque se refiere a varios aspectos concernientes a los problemas creados en torno a la manipulación de la información clínica, no constituye un marco jurídico completo que regule todas las operaciones que componen el tratamiento de los datos sanitarios. Es bastante significativo en este sentido que la propia LBAP realice remisiones a la LOPD.7

La ya derogada Ley Orgánica de Regulación del Tratamiento Automatizado de Datos 5/1992 (LORTAD) admitía que “el inevitable desfase que las normas de Derecho positivo ofrecen respecto de las transformaciones sociales es, si cabe, más acusado en este terreno, cuya evolución tecnológica es especialmente dinámica”8. Es cierto que la sociedad está avanzando a una gran velocidad y que, como afirma la doctrina, la tardía reacción del Derecho es justificable, de alguna manera. Sin embargo, esta justificación no puede llevar, como parecía hacer la LORTAD, a asumir desde un inicio, que ante los nuevos escenarios que plantea el imparable avance de las TIC el Derecho no puede reaccionar de forma adecuada.

Hace ya tiempo que se viene subrayando la idea de que a la hora de regular la protección de los datos sanitarios el ordenamiento presenta serias deficiencias. La necesidad de una Ley que regule esta materia sigue teniendo hoy día plena vigencia.

1 Recomendación (97) 5, de 13 de febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados Miembros sobre Protección de Datos Médicos.

2 Artículo 7.3 LOPD: “Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente”.

Artículo 7.6 LOPD: “No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto”.

3 Artículo 8 LOPD: “Datos relativos a la salud.- Sin perjuicio de lo que se dispone en el articulo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica”.

4 La remisión la realiza a lo dispuesto en los artículos 8, 10, 23 y 61 de la Ley General de Sanidad; 85.5, 96 y 98 de la Ley 25/1990, de 20 de diciembre, del Medicamento; 2, 3 y 4 de la Ley Orgánica 3/1986, de 14 de abril, de medidas especiales en materia de Salud Pública, y demás leyes sanitarias.

5 Artículo 2.3 LOPD.

6 De una lectura literal del artículo 8 LOPD se podría deducir que a los datos sanitarios les es aplicable el artículo 11 de la Ley, concerniente a la cesión de datos, pero que más allá de esta disposición se aplicará la legislación sanitaria y no la LOPD. Así, se podría llegar a la conclusión de que en el ámbito sanitario no son alegables, por ejemplo, los principios de calidad recogidos en el artículo 4, o el principio de información reconocido en el artículo 5 de la Ley, relativo al derecho de información. No parece que tenga sentido la exclusión de los datos sanitarios de la aplicación de principios tan fundamentales como los citados.

7 Artículo 16.3 LBAP.

8 Exposición de Motivos LORTAD.