Nociones básicas sobre el derecho a la protección de datos de carácter personal
La introducción del derecho a la protección de los datos de carácter personal tuvo un reconocimiento realmente tardío en el ordenamiento jurídico español. No fue hasta la aprobación de la Constitución española de 1978 cuando se reconoció tal derecho como tal, aunque la protección de la historia clínica tuviera previa acogida a través de normas legales y deontológicas específicas relacionadas con la protección de la historia clínica de pacientes y la obligación de secreto profesional.
El texto constitucional, sin embargo, escoge una fórmula abierta en la que, lejos de formular o definir el derecho, adopta la solución de lo que jurídicamente se concibe como un derecho constitucional de configuración legal. Tal construcción jurídica supone que se reconoce el derecho, pero se deja al legislador ordinario la obligación de regular y definir cuál es el contenido de tal derecho constitucional. El art. 18.4 de la Constitución, efectivamente, dice: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Esta modalidad de derechos constitucionales de configuración legal en modo alguno supone conceder carta blanca al legislador para regular el derecho como bien le apetezca. Su propia esencia y naturaleza lo dotan de un contenido mínimo y esencial que ha de ser respetado por el legislador. Así lo entendió la sentencia del Tribunal Constitucional ―en adelante STC― 292/2000, de 30 de noviembre, que consideró el derecho a la protección de datos de carácter personal como un «derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama la informática».
El contenido de este derecho encontrará igualmente respuesta en la comentada sentencia, aunque se trate de una concepción que ha ido evolucionando y expandiéndose al ritmo de la evolución del mundo de la informática y de Internet. Lo que nos reconoce el art. 18.4 de la Constitución es un derecho de control sobre el acceso y la disposición de aspectos de la vida no solo privada, sino también cotidiana, de las personas, que las permite una cierta posición de dominio sobre el hecho mismo de su recopilación y utilización por terceras personas. El llamado habeas data podría definirse como el derecho que todo ciudadano tiene a controlar el uso que se hace de cualquier dato personal propio incorporado en bases de datos gestionadas mediante aplicaciones, en principio informáticas. A partir de tal base se desarrolla todo el haz de derechos y facultades jurídicas que comparten con la protección legal de los derechos regulados en el parágrafo primero del art. 18 de la Constitución el cometido de garantizar su eficaz protección; haz de facultades que, como nos advierte el Tribunal Constitucional, «consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley».
La incorporación de la regulación de la protección de datos de carácter en el Derecho de la Unión Europea se ha visto reforzada aún más con el reconocimiento del mismo derecho en la Carta de Derechos Fundamentales de la Unión Europea de 7 de diciembre de 2000, cuyo art. 8.2 sí da ya un contenido concreto al derecho al establecer que «estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o por virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación». El Derecho de la Unión se ha sobrepuesto sobre una legislación nacional, representada en esencia por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal ―LOPDCP―, sometiéndola a una constante necesidad de adaptación al ritmo de las periódicas reformas del acervo jurídico comunitario. La última regulación comunitaria sobre la materia, el Reglamento (UE) 2016/679, más conocido como Reglamento General de Protección de Datos, es sin duda la norma de referencia de la que siempre habremos de partir. La norma comunitaria debe entenderse complementada con la nueva ley de protección de datos, la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales ―LOPD―. El estudio del tema partirá siempre del carácter prelativo de la norma comunitaria, haciendo referencia a la norma nacional en cuanto suponga desarrollo o complemento de aquella.
Lo primero que hemos de tener en cuenta a la hora de adentrarnos en el proceloso y complejo mundo de la protección legal de los datos de carácter personal es que el concepto de dato de carácter personal abarca a cualquier información o dato susceptible de tratamiento que tenga relación con una persona identificada o identificable, y que esa identificabilidad lo puede ser de forma directa o indirecta. El art. 4.1 del Reglamento 2016/679 acude como ejemplos de identificabilidad al empleo de referentes como «un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».
Pero el mismo concepto de tratamiento requiere de una aclaración. Si las primeras normas nacionales y comunitarias prefirieron abordar la regulación de la protección de los datos de carácter personal en un contexto propio de las potencialidades de la informática, las regulaciones de nueva generación abordan la cuestión desde una perspectiva mucho más amplia. Este concepto de tratamiento abarca no solo a los supuestos de tratamiento automatizado o semiautomatizado de datos, sino a cualquier forma de almacenamiento o recopilación de datos destinados a formar parte de un fichero. En concreto, el art. 4.3 del Reglamento define el tratamiento de datos de carácter personal como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción».
El fichero de datos se concibe como una forma de conservación o almacenamiento basada en criterios lógicos o sistemáticos. En palabras del apartado 6 del mismo precepto, sería fichero de datos de carácter personal «todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica». Por ello, tanto una historia clínica debidamente documentada y estructurada en una base de datos informáticos como una simple recopilación de información sobre un paciente almacenada en carpetas con datos de identificación de este conformarían ficheros de datos de carácter personal.
Una vez definido el objeto ―qué son datos de carácter personal y su tratamiento―, interesa realizar un rápido análisis de los distintos derechos que se reconocen a los ciudadanos en torno a la protección legal de sus datos de carácter personal en base a la nueva configuración de los mismos recogida en el mencionado reglamento.
Aparte de los derechos que surgen como consecuencia del sometimiento de cualquier tratamiento de datos a los llamados principios relativos al tratamiento y de su licitud ―arts. 5 y 6―, sobre los que posteriormente volveremos, en la cúspide de los derechos derivados de la protección de datos de carácter personal se encuentra sin duda el derecho al consentimiento al tratamiento de datos de carácter personal ―arts. 7 y 8―. Debe recordarse que el art. 8.2 de la Carta de Derechos Fundamentales de la Unión Europea estructura la regulación de tal derecho precisamente en el principio del consentimiento de la persona afectada como auténtico punto de partida. Aunque existan excepciones, el consentimiento para la captación y el tratamiento de datos de carácter personal debería considerarse como la regla general. Tanto es así, que el art. 8.1 del reglamento deriva en el responsable del tratamiento la carga de probar su existencia, mientras que el apartado 2 del mismo precepto exige el carácter destacado del consentimiento cuando se obtiene en una declaración escrita, «de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo». El consentimiento ha obtenerse de forma libre (es contraria a este principio la supeditación del consentimiento al tratamiento de datos personales cuando tal tratamiento no sea necesario para la ejecución del contrato en cuya virtud se preste). Rige, por último, el principio de revocabilidad del consentimiento. Este principio de revocabilidad se comporta como la otra cara de la moneda de la libertad de consentimiento, aunque solamente produzca su efecto a partir del momento en que este derecho se ejercite. La retirada del consentimiento no afectará a la licitud de un tratamiento basado en el consentimiento previo a su retirada. Como excepción, el tratamiento será igualmente lícito cuando es necesario para:
- La ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
- El cumplimiento de una obligación legal aplicable al responsable del tratamiento.
- Proteger intereses vitales del interesado o de otra persona física.
- El cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- La satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
El derecho a la transparencia ―art. 12―, una de las novedades más importantes del reglamento, nace como una evolución misma del derecho a la información. Realmente la transparencia es vista como un mecanismo de garantía del ejercicio de los restantes derechos. Así se justifica en el Considerando 39 del reglamento cuando se explica que tal principio «se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y sus fines y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento». Pero en especial atañe al derecho de información, pues con el conocimiento de la existencia y alcance de un determinado tratamiento de datos de carácter personal podrá exigir su rectificación, oposición, limitación… Por eso, la norma se preocupa de facilitar el acceso a una información comprensible, con empleo de un lenguaje claro y sencillo, y de exigir que se garantice el ejercicio de sus derechos por parte del interesado, salvo que pueda demostrar que no está en condiciones de identificar al interesado. Asimismo, se imponen plazos para facilitar la información demandada o para exponer las razones de su negativa, y se fija como regla general la gratuidad del servicio prestado con motivo de la petición de información.
El reglamento distingue entre los supuestos en los que la información se capta para su tratamiento con consentimiento del interesado ―arts. 13, 7 y 8 de la LOPD― y en los que la información se ha obtenido sin su consentimiento ―arts. 14, y 8 de la LOPD―. En el primer supuesto, la norma se centra en exigir al responsable del tratamiento que ponga a disposición del interesado ―obviamente de forma previa a la captación del dato― información detallada sobre la identidad del responsable y del encargado del tratamiento, sobre los fines del tratamiento y sobre su base jurídica y, en su caso, sobre los intereses legítimos perseguidos por el responsable o la posibilidad de utilización para fines diversos a los de la captación, destinatarios o categorías de destinatarios, posibilidad de transferencia internacional, plazos de conservación o criterios para la conservación, posibilidad de utilización de los datos para la toma de decisiones automatizadas e instrucción de los derechos que tiene el interesado en relación a los datos facilitados. La regla general en el segundo de los supuestos ―la captación y el tratamiento sin haber obtenido antes el consentimiento del interesado― parte de la previa e individualizada información al mismo, con la única excepción de los supuestos descritos en el apartado 5 del mismo precepto. Por lo demás, la norma sigue prácticamente el mismo esquema que el precepto anterior.
Una relación directa con el derecho de información tiene un derecho del interesado que le permite tomar la iniciativa en su derecho de información, especialmente cuando el dato ha sido captado sin haberlo facilitado al responsable del tratamiento: el derecho de acceso ―art. 15―. Si hay situaciones en las que el responsable está dispensado de comunicar al interesado el hecho mismo de la captación para el tratamiento o la ulterior utilización para una finalidad diversa a la que inicialmente lo justificara, resulta coherente que se reconozcan al interesado mecanismos para poder tener conocimiento de su existencia y alcance. Este derecho abre las puertas a la posibilidad de obtener, por iniciativa propia del interesado y cuando tenga la sospecha de que sus datos están siendo tratados sin su consentimiento o para una finalidad diversa a la que fuera su objeto inicial, información precisa sobre tal realidad, con lo que al interesado se le abren las puertas a un haz de facultades que coincide en esencia con el extenso ámbito de aspectos que abarca el derecho de información, tal y como se entiende en los arts. 13 y 14. Este derecho se complementa con el de obtener una copia de los datos personales objeto de tratamiento, siempre que ello no afecte a los derechos y libertades de terceras personas.
El derecho de rectificación ―art. 16― permitirá al interesado la corrección de datos inexactos que le conciernan, lo que incluirá la posibilidad de exigir que los datos incompletos sean completados. EL art. 14 de la LOPD exige que el interesado especifique cuáles son los datos cuya rectificación pretende, acompañando, en su caso, la documentación justificativa de su inexactitud o del carácter incompleto de los datos objeto de tratamiento.
El derecho de supresión ―art. 17― permite al interesado exigir la eliminación de los datos que le conciernan: porque no sean necesarios para los fines para los que fueron recogidos o hayan sido tratados de otro modo; por la retirada del consentimiento del interesado, si la captación no encuentra otra base jurídica que el solo consentimiento de este; por el ejercicio legítimo del derecho de oposición; porque los datos hayan sido tratados ilegítimamente; cuando proceda por mandato legal o en el supuesto de obtención en relación con la prestación de un servicio de la sociedad de la información a los que se refiere el art. 8.1 del reglamento. El conocido como derecho al olvido aparece recogido por primera vez en norma jurídica del Derecho de la Unión en el apartado 2 de este precepto con la idea de exigir al responsable del tratamiento, cuando se hayan hecho públicos los datos cuya supresión se pretende, que adopte las medidas precisas, aunque razonables, «con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales o cualquier copia o réplica de los mismos». El apartado 3 de este precepto establece las excepciones a tal derecho de supresión y al olvido, entre las que se encuentran la libertad de expresión e información, el cumplimiento de obligaciones legales, razones de interés público (en concreto, la salud pública), fines de investigación científica, histórica o estadística, o para la formulación, ejercicio o defensa de reclamaciones. La STC 58/2018, de 4 de junio, abordó precisamente un supuesto de ejercicio de derecho al olvido en el que se adujo por el responsable del tratamiento la libertad de información. El Tribunal resolvió el conflicto partiendo de la exigencia de acreditar un interés público en el que se justificara, ante la reclamación de supresión, el mantenimiento de datos indexados sobre el nombre y los apellidos del interesado que abrían las puertas al acceso a una noticia que carecía de tal interés público.
El derecho de limitación ―art. 18― no impide la conservación del dato sobre el que se ha ejercitado tal derecho, sino que restringe la posibilidad de su tratamiento al expreso consentimiento del interesado o para la formulación, ejercicio o defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica por importantes razones de interés público a nivel nacional o de la Unión. Este derecho procederá cuando el interesado impugne la exactitud de los datos, el tratamiento sea ilícito ―pero el interesado opte por el derecho a la limitación en vez de exigir su supresión―, cuando, aunque el responsable no necesita ya los datos para su tratamiento, el interesado sí los necesite para la formulación, el ejercicio o la defensa de reclamaciones, o cuando el interesado se haya opuesto al tratamiento mientras se verifica si procede el reconocimiento de la pretensión del interesado. El levantamiento de la limitación dará derecho al interesado a tener conocimiento del mismo con anterioridad a que este tenga efecto. Del mismo modo, este deber de notificación afecta a cualquier decisión de rectificación, supresión o limitación asumida por el responsable del tratamiento ―art. 19―.
El derecho a la portabilidad de los datos ―art. 20― facilita al interesado la posibilidad de recibir los datos en un formato estructurado, de uso común y lectura mecánica y a transmitirlos a otro responsable, incluso directamente. Tal derecho procederá cuando la obtención haya sido con el consentimiento del interesado o en el contexto de una relación contractual de las referidas en el art. 6.1, b), o cuando el tratamiento se efectúe por medios automatizados. Como única excepción solamente prevé la del cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
El derecho de oposición ―art. 21― permite al interesado objetar e impedir que por motivos relacionados con su situación particular determinados datos que le conciernan puedan ser objeto de tratamiento, lo que incluye la elaboración de perfiles basados en dichos datos. Este derecho solo tiene razón de ser en determinados supuestos en los que la captación y el tratamiento no precisan del consentimiento del interesado; en concreto, los supuestos en los que el tratamiento fuera necesario para el cumplimiento de una misión de interés público o para el ejercicio de poderes públicos conferidos al responsable del tratamiento o cuando el tratamiento fuera necesario para la satisfacción de intereses legítimos propios del responsable o de terceros. El ejercicio de este derecho forzará al responsable a tener que dejar de tratar tales datos, a no ser que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos o libertades del oponente, o para la formulación, ejercicio o defensa de reclamaciones. El derecho de oposición adquirirá mayor vigor cuando se trate de la oposición al tratamiento que tenga por fin lo que se define como mercadotecnia directa; es decir, la promoción comercial directa aprovechando los datos conservados. En tales supuestos, el solo ejercicio del derecho de oposición impedirá el tratamiento de los datos para tales fines. Igualmente se reconoce un régimen peculiar en los supuestos en los que los datos se traten con fines de investigación científica, histórica o estadísticos; supuestos en los que el derecho de oposición solamente podrá negarse cuando el tratamiento sea necesario para el cumplimiento de una misión realizada por razones de interés público.
Frente a la posibilidad de que dispositivos electrónicos que traten datos de carácter personal tomen decisiones individualizadas de forma automatizada con efectos jurídicos sobre el interesado o que le afecten de forma significativa (decisión sobre concesión de un préstamo en base a parámetros que evalúen el riesgo de impagados, o de contratación de una póliza de asistencia sanitaria en función de parámetros definidores de las expectativas de salud a largo plazo del interesado, por poner dos ejemplos), se reconoce en el art. 22, por último, un derecho a oponerse a tal forma de tratamiento. Sin embargo, como excepciones a este derecho se encuentran la necesidad de tal tratamiento automatizado para la celebración o ejecución de un contrato; que el supuesto esté regulado por norma nacional o comunitaria, con establecimiento de salvaguardias de derechos y libertades o intereses del interesado, o que se cuente con el consentimiento de este. Incluso en estos supuestos excepcionales se reconoce al menos al interesado la posibilidad de obtener intervención humana en la decisión, expresar su punto de vista o impugnar la decisión.
Los datos médicos como datos sensibles sometidos a una especial protección
La legislación sobre protección de datos de carácter personal siempre ha reservado una serie de datos ―popularmente identificados con la etiqueta de sensibles― merecedores de una protección reforzada. Dentro de estos, los datos referidos a la salud de las personas merecían un lugar destacado en tal régimen de protección peculiar. Así aparecía en concreto en el art. 7.3 de la derogada Ley Orgánica 15/1999, de 13 diciembre, de protección de datos de carácter personal ―LOPDCP―, al hacer una referencia expresa a datos que atañen a la salud de las personas. La norma partía de un régimen de prohibición expresa de tratamiento cuando se tratara de tales datos especialmente protegidos, lo que incluía o bien una exigencia inequívoca de obtención del consentimiento o bien una prohibición expresa de utilización de tales datos para su tratamiento o el tratamiento dirigido a una concreta finalidad. Sin embargo, la posibilidad de recopilación y de tratamiento de datos relacionados con la salud de las personas encontraba una excepción cuando su objetivo era «la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios» y, además, fuera un profesional sanitario sujeto a secreto profesional, u otra persona sometida a equivalente deber de secreto, quien se encargara de su tratamiento. Por su parte, el art. 8 de la derogada LOPDCP se remitía a lo establecido en la legislación sanitaria en lo referente a la posibilidad de que las instituciones y centros públicos y privados o profesionales de la medicina pudieran tratar tales datos en el contexto de la atención de personas que acudieran a ellos.
El Reglamento 2016/679 sigue esta misma tradición en su art. 9, en un esquema similar a sus propios precedentes y la fórmula escogida por el art. 7 de la derogada LOPDCP, incluyendo entre las prohibiciones de tratamiento los datos relativos a la salud de las personas, pero, a su vez, estableciendo una serie de excepciones claramente centradas en la prevención y en la atención médica desde el punto de vista de la salud de las personas físicas o de la salud pública e investigación científica. Tales excepciones, recogidas en el apartado 2 del mismo precepto, serían las siguientes: h) El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3.
- El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3.
- El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezcan medidas adecuadas y específicas para proteger los derechos y las libertades del interesado, en particular el secreto profesional.
- El tratamiento es necesario con fines estadísticos o de […] investigación científica o histórica, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
En el primero de estos supuestos, tal posibilidad de tratamiento queda condicionada a que sea realizado por un profesional sujeto a la obligación de secreto profesional, o por cualquier otra persona sujeta también al mismo deber de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos profesionales competentes, como podría ser, en este último caso, un código de deontología profesional.
La LOPD, en su art. 9.2, párrafo segundo, permite precisamente el tratamiento de datos en el ámbito de la salud «cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte». La LOPD reconoce la habilitación legal para el tratamiento de datos en el ámbito de la salud en todo el corpus legislativo del derecho sanitario en su disposición adicional decimoséptima, cuyo apartado 1 establece una relación de todas estas normas. De este modo, el legislador español cumple con el mandato del art. 9.2 del Reglamento 2016/679, confiriendo el carácter de norma habilitante al tratamiento de datos relativos a la salud de las personas a los distintos supuestos de la legislación sanitaria que implican el tratamiento de datos de carácter personal.
Para comprender qué son datos relativos a la salud según el Reglamento, hemos de acudir a su art. 4.15. Estos serían «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud». El Considerando 35 del Reglamento ahonda aún más en este concepto: comienza por matizar que estos datos pueden aportar información de pasado, presente o futuro, y cómo dentro de la información susceptible de lícita captación y tratamiento se encontrarían, entre otras, la información recogida con ocasión de su inscripción en un sistema público o privado de asistencia sanitaria o de una asistencia concreta; elementos o símbolos identificadores del paciente a efectos sanitarios; pruebas o exámenes a los que haya sido sometido el paciente o una parte de su cuerpo o sustancia corporal, incluidos datos genéticos y pruebas biológicas, y, en general, «cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo, un médico u otro profesional sanitario, un hospital, un dispositivo médico o una prueba diagnóstica in vitro».
La posibilidad de tratamiento de datos relativos a la salud de las personas para fines científicos o estadísticos se ve sometida, por su parte, a un régimen peculiar recogido en el art. 89 del reglamento. Esta norma muestra un especial interés en la aplicación del principio de minimización en el tratamiento de datos, lo que impone que solo se utilicen aquellos datos que sean absolutamente indispensables para acometer el fin legítimo que justifica su tratamiento, lo que incluye la opción por la seudonimización (por ejemplo: paciente n.º 23 de la muestra) o la anonimización de los datos como criterios preferentes para conseguir una disociación entre los datos tratados y las personas concretas que se encuentran detrás. A cambio, en tanto en cuanto los derechos reconocidos a los interesados pudieran perturbar o dificultar la finalidad de la investigación científica, el propio art. 89 prevé que los Estados de la Unión puedan establecer limitaciones al ejercicio de tales derechos. De hecho, una de las excepciones al denominado principio de la limitación de la finalidad o del plazo de conservación ―art. 5.1, b) y e)― es el de la utilización de los datos para fines de investigación científica o estadísticos.
La disposición adicional decimoséptima de la LOPD, en su apartado 2, desarrolla el régimen nacional de tratamiento de datos en la investigación científica, y en concreto en la biomédica. La regla general parte igualmente del principio del consentimiento por parte del interesado o su representante legal, aunque situaciones de especial relevancia y de gravedad para la salud pública permitirán un tratamiento sin el previo consentimiento de los afectados cuando quienes realicen la investigación sean autoridades sanitarias o instituciones públicas con competencias en vigilancia de la salud pública. El consentimiento, nos dirá el apartado c), se entenderá igualmente que abarca a la posibilidad de reutilización de datos personales con fines de investigación en materia de salud y biomédica, siempre que se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial. Tal utilización exigirá darle publicidad en la forma que determina dicho apartado; así como la emisión de previo informe favorable del comité de ética de la investigación.
Un régimen distinto se establece para el supuesto de datos personales para la investigación científica, y en particular biomédica, a los que se les ha sometido previamente a proceso de seudonimización. La seudonimización, como técnica de sustitución de datos identificadores de pacientes por otros que permitan una individualización del sujeto investigado completamente ajena a aquellos, se considera una forma lícita de tratamiento de datos sobre la salud de las personas, pero se imponen como condiciones la existencia de una separación técnica y funcional entre equipo el investigador y quienes asuman el cometido de realizar el proceso de seudonimización y conservación de la información que posibilite la reidentificación; que estos datos seudonimizados solo se hagan permeables al equipo investigador, cuando este asuma un compromiso de confidencialidad y de no realizar labor alguna de reidentificación, así como la adopción de medidas de seguridad específicas frente al riesgo de reidentificación o acceso de terceros no autorizados.
El tratamiento con fines de investigación en salud, y en particular la biomédica, podrán ser la base, en virtud de lo dispuesto en el art. 89.2 del Reglamento 2016/679, para excepcionar el ejercicio de derechos relacionados en sus arts. 15, 16, 18 y 21, cuando tales derechos se ejerzan directamente ante los investigadores o centros de investigación que utilicen datos anonimizados o seudonimizados; cuando el ejercicio de tales derechos se refiera a los resultados de la investigación o la investigación tenga por objeto un interés público esencial relacionado con la seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes de interés público general, siempre que en este último caso la excepción esté expresamente recogida por una norma con rango de Ley.
Cuando el objeto de la investigación lo sea con fines de salud pública, y en particular biomédica ―apartado f―, requerirá de la previa realización de una evaluación de impacto, del sometimiento de la investigación a las normas de calidad o directrices internacionales sobre buena práctica clínica, de la adopción de medidas que impidan a los investigadores, en su caso, tener acceso a la identificación de los interesados, así como de la designación de representante establecido en la Unión Europea, si el promotor del ensayo clínico no está establecido en dicho territorio. El uso de datos seudonimizados requerirá, igualmente, de previo informe del comité de ética correspondiente y, en su defecto, de delegado de protección de datos o experto en conocimientos descritos en el art. 53 del reglamento.

La responsabilidad en el tratamiento y en la conservación de datos de carácter personal: deberes básicos
Un correcto cumplimiento de los complejos deberes que impone la legislación sobre protección de datos de carácter personal exigiría un elevado conocimiento sobre la materia, por lo que el primer consejo que habría de darse al profesional médico que decida por sí mismo o asociado a otros profesionales ejercer la medicina privada, fuera del respaldo de una organización superior, sería el de la organización de servicios propios o la contratación de servicios externos con capacidad real de acometer con solvencia y profesionalidad los deberes relacionados con el tratamiento de datos de carácter personal de sus pacientes. El incorrecto manejo de bases de datos o la transgresión de deberes concretos en materia de seguridad pueden acarrear importantes sanciones penales o administrativas. Es un riesgo que no debe minimizarse.
A nivel de concepto, jurídico, resulta primordial acudir al art. 5.1 del reglamento, como norma que impone deberes muy concretos que corresponden al denominado responsable del tratamiento, tanto a nivel de efectivo respeto como de su acreditación. Dicha norma exige que los datos hayan de ser:
- Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»).
- Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines… («limitación de la finalidad»).
- Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»).
- Exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o se rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»).
- Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales («limitación del plazo de conservación»).
- Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Si ya a nivel de principios puede llegar a comprobarse el alto nivel de exigencia de la normativa sobre protección de datos, las exigencias a nivel organizativo demuestran cómo la necesidad de acudir al asesoramiento de expertos, bien dentro de la propia organización, bien externos, se muestra como una necesidad imperiosa. Los ámbitos organizativos de cualquier base de datos sometida al mandato del reglamento pivotan sobre los conceptos de la gestión del tratamiento y la seguridad del sistema.
Siempre, y en todo caso, habrá de existir la figura del llamado responsable del tratamiento, persona que asume el cometido de aplicar las «medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento» ―art. 24.1―, así como su oportuna revisión y actualización cuando fuere necesario; todo ello, atendiendo a la naturaleza, ámbito, contexto y fines del tratamiento, así como a los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. No basta, por tanto, con diseñar y aplicar medidas adecuadas para garantizar el buen funcionamiento del tratamiento, sino que ha de acreditarse que estas existen y son efectivas, aunque para ello los responsables puedan contar con la posibilidad de adherirse a códigos de conducta o mecanismos de certificación a los que se refieren los arts. 24.3 y 40. De hecho, el responsable del tratamiento responde del diseño y de la aplicación de las medidas técnicas y organizativas apropiadas para dar cumplimiento a sus obligaciones legales, cuyos referentes del nivel de exigencia son el estado de la técnica, el coste de la aplicación, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas ―art. 25.1―. Dentro de estas posibilidades se exigirá por defecto el empleo de técnicas o estructuras que restrinjan el tratamiento de los datos personales a aquellos que resulten necesarios para cada uno de los fines específicos del tratamiento, lo que afectará a la cantidad de datos recogidos, a la extensión de su tratamiento, al plazo de conservación y a la accesibilidad ―art. 25.2―. El cargo de responsable no es necesariamente único: cabe la posibilidad de que dos o más personas asuman este rol, aunque en tal supuesto habrán de fijarse de forma transparente las responsabilidades concretas que asuma cada uno de ellos.
En concreto, el responsable del tratamiento asume, en supuestos en los que se traten categorías especiales de datos, entre los que están los relativos a la salud, la responsabilidad del manejo y del buen funcionamiento de un registro de actividades de tratamiento ―art. 30.1―, cuyo contenido viene desarrollado en dicho precepto. El registro debe garantizar un seguimiento de las actividades de tratamiento llevadas a cabo y de las demás circunstancias descritas en dicho art. 30 del reglamento ―art. 31 de la LOPD―. El responsable asume igualmente el deber de proceder al bloqueo de datos cuando haya de proceder a su supresión o rectificación ―art. 31 del reglamento―. El bloqueo no supone destrucción, pues los datos permanecerán a disposición de jueces, tribunales, del Ministerio Fiscal o de las Administraciones públicas competentes para reclamar posibles responsabilidades derivadas del tratamiento y solo durante su plazo de prescripción.
El encargado del tratamiento asume una función auxiliar respecto del responsable, pues es él quien, en su nombre, por cuenta suya, asumirá la responsabilidad de llevar a efecto un tratamiento que se adapte a las exigencias legales que tanto a nivel técnico como organizativo impone el reglamento. El encargado del tratamiento ha de asumir, bien a través de un contrato o de cualquier otro acto jurídico que suponga su vinculación jurídica, los cometidos que le corresponden por mandato del art. 28.3. Dentro de estos cometidos, habrá de asumir las siguientes responsabilidades:
- Tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable.
- Garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
- Tomará todas las medidas necesarias de conformidad con el artículo 32.
- Respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento.
- Asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III.
- Ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.
- A elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros. h) Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. Del mismo modo, deberá informar de forma inmediata al responsable si, en su opinión, una instrucción infringe el presente reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
En relación a las obligaciones de registro de actividades de tratamiento, igualmente aplicables a supuestos de datos relativos a la salud, el encargado del tratamiento asume el cometido de llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, con un contenido prácticamente idéntico al exigido para el responsable en el art. 30.1.
Igualmente, cabe la posibilidad de nombramiento y delegación de nuevos encargados de tratamiento por parte del encargado inicial, quienes deberán asumir los mismos compromisos que se imponen a todo encargado del tratamiento en el art. 25.3. La actuación de las personas que asuman este rol por designación del encargado del tratamiento no eximirá a este de sus responsabilidades para con el responsable. Asimismo, podrán designarse, tanto por el responsable como por el encargado del tratamiento, personas que actúen bajo su responsabilidad, quienes deberán actuar, en todo caso, siguiendo las instrucciones del responsable, sin perjuicio de las obligaciones que hayan de asumir por mandato directo del reglamento.
La garantía de la seguridad en el tratamiento viene encomendada conjuntamente al responsable y al encargado del tratamiento ―art. 32―. Este deber incluye la adopción de medidas técnicas y organizativas tendentes a la seudonimización y cifrado de los datos personales, la garantía de la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los servicios de tratamiento, la capacidad de restauración en caso de incidente físico o técnico y la posibilitación de procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas de seguridad, así como el sometimiento de los usuarios autorizados que utilicen los datos a las medidas de seguridad implantadas por el responsable o el encargado del tratamiento. Existe igualmente el deber de notificar a la autoridad de control competente las violaciones de seguridad detectadas, así como de comunicarse específicamente con el afectado. El reglamento prevé, asimismo, la necesidad de realizar una evaluación de impacto en aquellos supuestos en los que el tratamiento entrañe en sí mismo un alto riesgo para los derechos y las libertades de las personas físicas. El régimen y las exigencias de tal evaluación vienen desarrollados en el art. 35 del reglamento.
La designación de la figura del encargado del tratamiento se convierte en obligatoria, en lo que aquí nos interesa, cuando el tratamiento corresponda a una autoridad u organismo público, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcancen o requieran de una observación habitual sistemática de interesados a gran escala, o cuando tales actividades consistan en el tratamiento a gran escala de categorías especiales de datos personales referidos en el art. 9, incluidos, por tanto, datos relativos a la salud de las personas ―art. 37―. El encargado asume la labor de acometer todas las cuestiones relativas a la protección de datos personales y, en concreto, las que se definen en su art. 39.
El cargo de delegado de tratamiento se convierte en obligatorio, entre otros supuestos, cuando se trate de centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes, no así cuando los profesionales de la salud ejerzan su actividad a título individual ―art. 34.1, l― de la LOPD. Este asumirá el rol de interlocutor ante la AEPD con competencia para realizar labores de inspección y emitir consideraciones en el ámbito de sus competencias, para lo cual tendrá acceso a los datos personales y a los procesos de tratamiento que estimará precisos para el cumplimiento de sus funciones. Por ello, goza de cierto grado de independencia respecto del ámbito organizativo de responsable y encargado del tratamiento, hasta el punto de tener reconocida una amplia garantía de inamovilidad ―art.36 de la LOPD―. Tiene, además, una participación específica en procesos de reclamación contra el responsable o el encargado.
El Real Decreto 1720/2007, 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aún en vigor, somete a los ficheros dedicados de forma automatizada a recopilar y tratar datos relativos a la salud de las personas a un nivel de seguridad que se define como un nivel alto, que incluye las exigencias de los niveles básico y medio ―art. 81.3,a)―. Todo fichero de datos de carácter personal, que ha de notificarse a la Agencia Española de Protección de Datos ―art. 55― antes de su entrada en funcionamiento, debe garantizar como exigencias propias del nivel básico la confección del documento de seguridad, estar dotado de un registro de incidencias, de control de accesos, de sistema de gestión de soportes y documentos, de sistema de identificación y autenticación de los usuarios y de un sistema de copias de respaldo y de seguridad. El nivel medio incorpora la exigencia de designación de uno o varios responsables de seguridad, de sometimiento a auditoría interna o externa al menos cada dos años que verifique la corrección de su funcionamiento y la eficacia de las medidas de seguridad implantadas, de un registro de salida y entrada de soportes, de limitación del número de intentos a efectos de autenticación, de control y restricción de acceso físico al lugar donde se encuentren los dispositivos que mantengan el sistema y un registro de incidencias.
El nivel alto impone un mayor nivel de exigencia en la gestión de soportes y documentos, en la conservación de copias de respaldo y recuperación en lugar distinto al de su tratamiento, mayores garantías en el registro de accesos, incluida la conservación de la información durante dos años y controles mensuales por el responsable (dispensable cuando el responsable del fichero o del tratamiento sea una única persona física con acceso a los datos y que, por tanto, solo esa persona trata), así como la utilización de mecanismos de cifrado o equivalentes para su transmisión telemática.
La conservación no automatizada tiene sus exigencias propias, según los tres niveles, imponiendo deberes en su organización lógica, protección frente al acceso o apertura directa, designación de responsables y obligatoriedad de informes de auditoría, restricción de acceso al lugar donde se encuentren almacenados o archivados, supervisión en la copia o reproducción, limitación de acceso a la documentación tan solo respecto de personas autorizadas y evitación de riesgo de manipulación o acceso no permitido durante su traslado.
El médico frente a la legislación sobre protección de datos: la historia clínica como fichero de datos de carácter personal. Régimen legal y normas deontológicas
Hemos podido comprobar cómo la regulación sobre protección de datos muestra un especial interés por el tratamiento de datos relacionados con la salud de las personas, a los que considera de entre los que se merecen una regulación más estricta como consecuencia del carácter sensible de la información que albergan los ficheros destinados a tal finalidad. De hecho, los datos relativos a la salud parten de una prohibición genérica de tratamiento, aunque hay una excepción cuando el tratamiento tiene por cometido la prevención y la atención médica, incluida la salud pública. Sin embargo, el propio ejercicio de derechos por parte de los interesados encuentra ciertas limitaciones cuando la salud de las personas entra en juego. Así sucede con la restricción de los derechos de supresión y al olvido cuando razones de salud pública justifican el mantenimiento y el tratamiento del dato relativo a la salud: se restringen igualmente las posibilidades de ejercicio del derecho a la limitación del tratamiento, se permite su tratamiento por parte de profesionales de la medicina pese a tratarse de datos especialmente protegidos y se impone un nivel alto de protección en los ficheros tanto automatizados como físicos.
La normativa específica que regula la llamada historia clínica desde la perspectiva tanto profesional como deontológica no hace sino recalcar y reforzar este especial deber de cautela y prevención en la conservación y tratamiento de datos de los pacientes. Hemos de acudir para ello a dos normas esenciales: por una parte, a la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; por otra, al Código de Deontología de la Medicina de 2011. Ambas fuentes se complementan entre sí, definiendo con claridad cuáles son los límites y obligaciones relacionados con la custodia y el tratamiento de las historias clínica.
El art. 3 de la Ley 41/2002 define la historia clínica como «el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial». El art. 14.1 de la ley contiene una definición más descriptiva de la historia clínica desde la perspectiva del trabajo en equipo o la atención integral del paciente a nivel asistencial. Por ello, introduce las variables de los procesos asistenciales de cada paciente y la identificación de los profesionales, tengan o no la cualificación de médicos, que han intervenido en ellos, a la vez que justifica esta mayor amplitud cognitiva en la finalidad de «obtener la máxima integración posible de la documentación clínica de cada paciente, al menos en el ámbito de cada centro». Su contenido mínimo viene establecido en el art. 15.2, aunque en el apartado anterior encontraremos una definición más perfecta de qué debe de formar parte de toda historia clínica: aquella «información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente» con la finalidad de facilitar la asistencia sanitaria. Debe, por ello, dejarse constancia de «aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud».
La historia clínica es una herramienta necesaria para el correcto ejercicio de la medicina, especialmente cuando este se desarrolla desde una perspectiva multidisciplinar o de atención general de todos los problemas de salud del paciente a nivel de centro, servicio de asistencia integral u hospitalaria o servicio público de salud. Si el referido art. 15 de la Ley 41/2002 da a entender su carácter obligatorio, el art. 19 del Código de Deontología Médica sienta bien claro que el manejo de una ordenada historia clínica es una incontestable obligación del profesional médico, pero, a su vez, es un derecho del paciente, tal y como se deduce de la lectura del art. 15.1. A nivel de institución asistencial, se impone, igualmente, un criterio de unidad e integración con la idea de «facilitar el mejor y más oportuno conocimiento por los facultativos de los datos de un determinado paciente en cada proceso asistencial».
Tienen la condición de personas autorizadas, por mandato legal, para acceder a la historia clínica de un paciente los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente ―art. 16.1 de la Ley 41/2002―. Cuando la asistencia se presta por servicios públicos de salud, las correspondientes normas de cada comunidad autónoma con competencias en materia de sanidad permiten el acceso entre los centros a la información que se conserva de cada paciente con motivo de una prestación asistencial. Sin embargo, la posibilidad de acceso queda restringida a una finalidad concreta relacionada con el ejercicio de la actividad asistencial, o en el supuesto de ejercicio de funciones de evaluación o inspección para el desempeño de tales cometidos, mientras que para el personal de gestión y administración de los centros sanitarios el acceso a los datos sanitarios queda limitado a los datos de la historia clínica relacionados con sus funciones. Unos y otros tienen un deber de secreto en su condición de personas autorizadas al acceso a la información contenida en la historia clínica, deber que se refuerza cuando quienes participan de tal cualidad son a su vez profesionales de la medicina.
La ley no se muestra lo suficientemente clara a la hora de definir la posición del paciente frente a la recogida y conservación de datos relativos a su salud para tal cometido. Dada la taxatividad de la norma sectorial, es evidente que nos encontraríamos ante un supuesto de datos sensibles que quedan excluidos del previo consentimiento del interesado para su captación y tratamiento. Pueden y deben ser captados y tratados como una parte esencial para el normal ejercicio de la prestación asistencial al paciente. Sin embargo, determinados derechos, como los de supresión de datos u oposición al tratamiento en general o determinados tratamientos, podrían ser esgrimidos legítimamente por el interesado y, en este último sentido, podría cobrar especial trascendencia el eventual ejercicio de su derecho de limitación al tratamiento de datos, por el que el paciente pudiera tratar de imponer su decisión de que parte de los datos de su historia clínica no fueran utilizados para fines concretos. Obviamente, un comportamiento por parte del paciente que incidiera en la calidad del servicio ―y más si no encuentra una justificación razonable―, podría abrir las puertas al profesional médico para suspender la asistencia a su paciente por pérdida de confianza ―art. 11 del Código Deontológico―.
El derecho de información, tan relacionado con el uso de la historia clínica en la Ley 41/2002, se muestra sin duda como un derecho indiscutible. El propio art. 15.2 reconoce un derecho del paciente a la constancia en la historia clínica, por escrito o en el soporte técnico más adecuado, de toda la información obtenida en todos sus procesos asistenciales, y el art. 18 atribuye al paciente de forma muy amplia, tanto personalmente como por representación debidamente acreditada, el derecho al acceso a la historia clínica, sin más restricciones que las definidas en su apartado 3. Conforme a dicho apartado, este derecho de acceso no podrá ejercitarse «en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas». La mencionada norma, en su apartado 1, prevé dos formas de ejercicio de este derecho de información/acceso: el examen directo de la historia clínica y la obtención de una copia de los datos que figuran en ella. El art. 19.5 del Código Deontológico incluye una fórmula similar a la recogida en el art. 18 de la Ley 41/2002, e impone un deber de información tanto respecto de la información contenida en la historia clínica como de las pruebas diagnósticas interesadas; simetría que alcanza también a las excepciones a este derecho de información en lo que respecta al posible daño a la confidencialidad de personas que aportaron al médico datos de interés del paciente o el reflejo de anotaciones subjetivas, que se describen como de la exclusiva propiedad del profesional médico.
El Código Deontológico, siguiendo igualmente la solución propuesta por el art. 18.4 de la Ley, resuelve el problema del ejercicio del derecho de información por parte de personas con vinculación familiar o de hecho con el paciente fallecido, reconociéndolo en el apartado 6 del art. 19, salvo que el paciente lo hubiera prohibido expresamente, «y así se acredite», aclara la ley, que, no obstante, restringe el ejercicio de este derecho, y excluye del derecho de información de los datos de un paciente fallecido aquellos que afecten a su intimidad o los que hagan referencia a anotaciones subjetivas de los profesionales o puedan perjudicar a terceros. El art. 3 de la LOPD reconoce este derecho de acceso e información, así como de rectificación y supresión, a las personas vinculadas al fallecido por razones familiares o de hecho, así como a sus herederos, representantes legales de menores fallecidos o personas discapacitadas o al Ministerio Fiscal. Se reconoce igualmente el derecho a designar a personas o instituciones para, con arreglo a sus instrucciones, poder ejercitar los mismos derechos. El testamento digital ―art. 96 de la LOPD― se articula como una forma idónea para el ejercicio de tales derechos para cuando el otorgante fallezca.
Destaca igualmente el reconocimiento de un derecho que tiene una estrecha relación con el derecho de portabilidad de los datos: la obligación que tiene el médico, en su prestación asistencial privada a un paciente, de poner a su disposición su historia clínica, cuando así lo solicite, para que pueda aportarlas al médico al que encomienden su continuidad asistencial. Ya no estamos hablando aquí de un derecho de acceso o de obtención de copias, sino de que los datos que constan en la historia clínica custodiada por el médico que atendiera al paciente han de serles entregados. No obstante, ante el riesgo de posible afectación del derecho de terceros o dudas deontológicas por parte del profesional médico, el art. 19.5 del Código Deontológico permite la consulta previa al colegio profesional correspondiente para solventar las dudas que pudiera traer consigo el ejercicio de tal derecho. Podemos comprobar que la norma es en sí misma una manifestación incontestable de ese derecho de portabilidad; que se relativiza, sin embargo, por la posible confrontación con la deontología del profesional de la medicina particular responsable de la historia clínica.
La duración del tratamiento viene marcada por las necesidades asistenciales del paciente. Así se deduce con claridad del art. 19.3 del Código Deontológico, cuando, dentro del marco de lo que establezca la legislación nacional o autonómica, se exige que historia clínica y materiales de diagnóstico hayan de conservarse mientras se considere favorable para el paciente. El art. 17.1 de la Ley 41/2002 sí establece un plazo de cinco años de conservación de la documentación clínica desde la fecha de alta de cada proceso asistencial como umbral mínimo que puede ser superado cuando resulte adecuado para la debida asistencia al paciente, con un régimen específico de conservación cuando se trata de datos relacionados con el nacimiento que permitan determinar el vínculo de filiación con la madre. En cualquier caso, a un médico se le puede exigir que ponga a disposición de los pacientes que lo soliciten sus historias clínicas cuando cesa su actividad privada para que puedan aportarlas al médico al que encomienden su continuidad asistencial ―art. 19.4―. La norma prevé igualmente la posibilidad de acudir al colegio en consulta para el supuesto de duda.
El archivo de las historias clínicas ―art. 14 de la ley 41/2002―, cualquiera que sea su soporte, debe garantizar su seguridad, su correcta conservación y recuperación de la información. Corresponde a cada comunidad autónoma dictar las normas técnicas y organizativas que permitan garantizar la autenticidad de los contenidos, los cambios producidos, la posibilidad de reproducción futura y el correcto archivo y protección, así como la evitación de riesgos de destrucción o pérdida accidental. Ello no exime, obviamente, de las obligaciones que se imponen a los archivos de historias clínicas, como ficheros lógicos o físicos que son de datos relativos a la salud de las personas, de someterse a los niveles de seguridad impuestos por la normativa nacional sobre protección de datos, lo que se establece de forma explícita respecto de la documentación clínica ―art. 17.6 de la Ley 41/2002―.
La responsabilidad en la gestión de estas bases de datos difiere en los supuestos de ejercicio individual de la medicina privada frente a los supuestos de prestación asistencial a nivel corporativo, hospitalario o de servicio público de salud, una consecuencia de los deberes derivados de la legislación sobre protección de datos y del carácter exclusivo o compartido del acceso a la información contenida en las historias clínicas. Para acudir a una regulación más detallada de esta cuestión, hemos de ir a la regulación específica de la documentación clínica, en la que, curiosamente, el legislador acaba por confundir unos y otros conceptos. La gestión de la historia, y, lógicamente, la de la documentación clínica, cuando se trata de centros con pacientes hospitalizados, o en los que se atienda a un número suficiente de pacientes bajo cualquier otra modalidad asistencial, deberá, según criterio de los servicios de salud, encomendarse a una unidad de admisión y documentación clínica ―art. 17.4 de la Ley―. La responsabilidad de la custodia se atribuye a la dirección del centro sanitario. En el art. 19.3 del Código Deontológico se recomienda que el responsable del servicio de documentación sea un médico. En el supuesto del ejercicio individual de la medicina privada, la responsabilidad de la gestión y de la documentación ha de ser asumida por el propio profesional.
Como excepciones a tal uso asistencial de las historias clínicas y de la documentación clínica, se establecen las propias de los fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia. A tal efecto, el art. 16.3 de la Ley 41/2002 hace una remisión expresa a lo dispuesto al respecto en la LOPD y en la Ley General de Sanidad. Pero la regla general, impone la preservación de los datos de identificación personal de los pacientes, que habrán de separarse de los clínico-asistenciales cada vez que estos sean objeto de cesión. El anonimato del paciente habrá de quedar asegurado, a no ser que preste su consentimiento.
Ahora bien, la propia norma establece tres excepciones a ese deber de preservación del anonimato de los pacientes: en primer lugar, los supuestos de investigación previstos en la Disposición Adicional Decimosexta de la LOPD; en segundo lugar, cuando sea una autoridad judicial quien se interese por el recabo de información y considere indispensable la unificación y la facilitación de datos identificativos y clínico-asistenciales; y, en tercer lugar, cuando resulte precisa la disponibilidad de unos y otros para la prevención de riesgos o peligros graves para la salud de la población, de conformidad con lo establecido en la Ley 33/2011, General de Salud Pública. La garantía del secreto en el primer supuesto quedará reforzada por las prevenciones desarrolladas en la mencionada Disposición Adicional; en el segundo, por la prohibición expresa de uso de la información para finalidades diversas a la que diera lugar al recabo de la información, así como a las exigencias de secreto propio de la investigación criminal; y en el tercero, por mandato del propio art. 16.3, párrafo tercero de la Ley 41/2002, al exigir que el acceso a dicha información deba realizarse por un profesional sanitario sujeto a secreto profesional u otra persona sometida a un nivel similar de deber de secreto.
Responsabilidad jurídica por un mal uso de bases de datos médicas
No podemos terminar este denso tema sin hacer serias admoniciones sobre las graves consecuencias jurídicas que entraña la transgresión del deber de secreto o el incumplimiento de las obligaciones que como responsables o autorizados en el manejo de datos relativos a la salud tienen los profesionales de la medicina en general. Tales incumplimientos llevan aparejadas muy serias consecuencias jurídicas que no deben ser ni obviadas ni minimizadas.
La transgresión del secreto profesional relacionado con información contenida en información o documentación clínica se encuentra severamente en el art. 197 del Código Penal. La conducta básica, el apoderamiento, la modificación o la utilización en perjuicio de tercero de datos reservados de carácter personal y familiar están castigados con una pena de uno a cuatro años de prisión y multa. Dentro de la misma modalidad básica, como quiera que esto datos afectarán a la salud de las personas, la pena de prisión se impondrá en su mitad superior; es decir, de dos años y medio a cuatro años. Pero resulta que, si esta infracción es cometida por el encargado o el responsable del fichero o se llevan a cabo mediante la utilización no autorizada de los datos, las penas pasan a ser de dos a cinco años. Y si la finalidad del acceso o la cesión es lucrativa, la pena pasaría a ser, nada más y nada menos, de cuatro a siete años de prisión, todo ello sin perjuicio de la correspondiente pena accesoria de inhabilitación para el ejercicio de la profesión médica que pudiera estar asociada a la pena privativa de libertad. Se comete este delito, por poner un ejemplo, como nos dirá la STS ―sentencia del Tribunal Supremo―, Sala 2.ª, 487/2018, de 23 de octubre, cuando profesionales de la medicina, en este caso fisioterapeutas de un centro hospitalario, deciden acceder a la historia clínica de una compañera con la sola finalidad de obtener información sobre sus patologías sin relación alguna con su trabajo y que después difunden entre compañeras y pacientes, en concreto, sobre determinados tratamientos relacionados con su salud mental. La condena fue de dos años y medio de prisión y multa. También cuando la finalidad es la de velar por el interés de los hijos propios, en este caso, tras la ruptura de una relación de pareja. Así ocurriría en el supuesto analizado por la STS, Sala 2.ª, 4/2018, de 10 de enero, en la que la condenada ―enfermera― accediera en reiteradas ocasiones a la historia clínica de su expareja y su entonces pareja sentimental para comprobar datos que pudieran apuntar a su adicción a sustancias estupefacientes y que pudieran perjudicar a sus hijos, o incluso cuando simplemente el acceso a la información contenida en historias clínicas de quienes no son pacientes obedece a razones ajenas al ejercicio de la profesión médica ―STS 532/2015, de 23 de septiembre―.
En cuanto a las infracciones administrativas en materia de protección de datos de carácter personal, los arts. 71 y ss. de la LOPD tipifican los distintos supuestos de infracciones muy graves, graves y leves. Las primeras se corresponden con contravenciones de los preceptos que se describen en los apartados 5 y 6 del art. 83 del reglamento, siempre que supongan una vulneración sustancial de dichos preceptos, y, en concreto, cuando se correspondan con la lista de infracciones contenida en el art. 72.1 de la LOPD. Las infracciones graves se corresponden con contravenciones ―igualmente sustanciales― de las normas que se relacionan en el art. 83.4 del reglamento y, en concreto, cuando se correspondan con la lista de infracciones recogidas en art. 73 de la LOPD. Cuando el incumplimiento o la contravención de las normas recogidas en los apartados 4 y 5 del art. 83 del reglamento sea meramente formal, y en particular cuando se diera alguno de los supuestos descritos en el art. 74 de la LOPD, concurrirá un supuesto de infracción leve. Las sanciones pueden llegar, en el supuesto de infracciones muy graves, hasta los 20 000 000 €, o, si se trata de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Las infracciones y las sanciones en el ámbito disciplinario de la función pública, laboral o deontológica variarán según cada supuesto y ámbito profesional y geográfico.