No hay una definición específica y diferenciada de los datos de salud en la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (LOPD). Sin embargo, la Recomendación nº (97) 5 de 13 de Febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados miembros sobre Protección de Datos Médicos, ofrece una calificación general de 'dato médico', definiéndolo como todo dato personal sanitario de una persona, incluyendo aquéllos que tienen una clara y estrecha relación con la salud y los datos genéticos.
'Los datos que hacen referencia a la salud 'como suceden con los de origen racial o la vida sexual de las personas', tienen la consideración de datos especialmente protegidos, y la razón de ello reside en que forman parte de la intimidad y privacidad del individuo, derechos reconocidos y protegidos por la Constitución española', explica Isabel Giménez, abogada de la Asesoría jurídica de la Compañía médica Asisa.
Los datos de patologías, tratamientos, alteraciones, intervenciones quirúrgicas' son los datos tradicionalmente considerados por los médicos de absoluta confidencialidad, como si se tratada de un confesor. Pero a estos tradicionales, ahora se debe sumar toda la información genética personal, que de no ser confidencial y de protección absoluta, podría poner en situaciones personales, familiares o laborales críticas a la persona paciente. La LOPD protege con contundencia este campo de información personal, aun así, los médicos creen que sigue siendo necesaria una normativa de protección sanitaria específica.
Las organizaciones profesionales han de jugar un papel importante a la hora de informar a sus colegiados sobre sus obligaciones en cuanto al manejo de datos de sus pacientes
'El nuevo reglamento de la LOPD incorpora la obligación de establecer las medidas de seguridad oportunas, tanto en los hospitales y centros públicos como en la consulta médica privada (ver Anexo de la pág.: 49). El plazo para la adecuación en soporte papel de los datos de carácter personal concluyó el pasado mes de octubre y los profesionales se han ido adaptando con razonable buen ritmo a las nuevas medidas de seguridad', añade Alberto Ibarra, vocal de Formación del Colegio de Médicos de Asturias, que lleva ya años informando y apoyando a sus asociados en todo lo referente a la adaptación a la nueva normativa.
Demanda de información
y formación
Precisamente, el pasado 28 de enero se celebró en toda Europa el Día de la Protección de Datos, promovido por el Consejo de Europa, con el fin de impulsar el conocimiento sobre los derechos y responsabilidades en materia de protección de datos. La cuestión, al respecto, estriva en que los médicos son expertos en Medicina, no en leyes, y cada día demuestran una mayor conciencia sobre este tema, 'también ponen de manifiesto una enorme confusión entre los conceptos confidencialidad y la protección de datos. Las organizaciones profesionales deberían, por su parte, jugar un papel importante a la hora de informar a sus colegiados sobre las obligaciones básicas que deben cumplir a tenor de la legislación. Hay médicos que ya saben manejarse en estas cuestiones, pero otros que están interesados en formarse en esta materia, necesitan que se les dé docencia en jornadas médicas específicas', reconoce Isabel Giménez.
Cuando un paciente comunica sus datos a un profesional sanitario para que éste conforme su ficha médica, o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre qué va a pasar con sus datos, así como quién y cómo se van a utilizar. El paciente debe ser informado de modo expreso, preciso e inequívoco de que sus datos van a ser recogidos en un fichero, de la finalidad de la recogida y de los destinatarios de los mismos.
En el día a día de las consultas surgen problemas con el manejo de los datos, a los que la LOPD no ofrece solución
Del mismo modo, y siguiendo la normativa vigente, el paciente puede ejercitar los derechos de acceso, rectificación, cancelación y oposición, y para ello deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo. También de los genéticos, para que no pudieran ser usados, en un hipotético, por personas de ámbito ajeno al sanitario.
'Los médicos han mostrado gran interés y han demandado la información necesaria para actualizar las medidas de seguridad de acorde al reglamento en sus consultas privadas. Desde el Colegio de Asturias, como han hecho desde otras organizaciones, se les ha enseñado el procedimiento a seguir y han contado con todas las aclaraciones y apoyos necesarios. Los facultativos con consulta particular también se han adaptado a las obligaciones que les marca la ley para proteger la información sobre sus pacientes', apostilla el vocal de Formación.
Conscientes de la necesidad de ofrecer herramientas a los asociados para hacer frente a la nueva legislación, el Colegio de Médicos de Vizcaya diseñó un sistema informático diferenciado para la protección de datos de los pacientes, que en su momento fue pionero y al que se han ido acogiendo muchas consultas particulares de toda España.
El sistema viene a cubrir la no especificidad sanitaria de la LOPD, y tal como explica el presidente del Colegio médico vizcaíno, fue concebida como una guía para ayudar a los facultativos al cumplimiento de la ley de custodia y protección de datos sanitarios. 'Queríamos ofrecer una herramienta de fácil entendimiento, de uso sencillo y que cumpliera con los preceptos normativos'.
Confidencialidad médico-paciente
La legislación vigente establece que todos los centros de atención sanitaria deben contar con un fichero de datos protegidos que garantice la confidencialidad de la relación médico-paciente. Entre los objetivos básicos de la ley se encuentra evitar que se den situaciones tan escandalosas como la ocurrida en cierta ocasión en Málaga, donde fueron descubiertos junto a un contenedor de basura un total de 7.000 expedientes médicos con datos personales, o la que tuvo lugar en Lugo, donde aparecieron 50 expedientes psiquiátricos tirados en una chatarrería.
Los programas diseñados por el Colegio médico vizcaíno contemplan dos guías para el cumplimiento de la ley. 'Una de ellas ayuda al facultativo a la puesta en marcha de su base de datos personales, mientras que la segunda le asesora sobre las medidas de seguridad que debe tener el dispositivo'.
La aplicación del nuevo reglamento dependerá de la complejidad de cada centro médico. 'Evidentemente, en las consultas privadas será mucho más sencillo que en un centro hospitalario grande donde intervienen un gran número de profesionales', opina Alberto Ibarra, del Hospital Central de Asturias.
Este especialista se muestra bastante crítico ante las lagunas que presenta la LOPD con respecto a los datos relativos a la salud- 'Es una buena norma pero demasiado generalista cuando se están demandando medidas de seguridad estrictas y concretas para la información sanitaria'. Además, en opinión del doctor Ibarra, la necesidad de cumplir con la Ley de Protección de Datos no debe paralizar en ningún caso los procedimientos médicos específicos.
'En ocasiones, es imposible cumplir el reglamente a rajatabla. No podemos caer en la trampa de desatender a un paciente por un requisito excesivamente rígido. En la Sanidad es difícil tener siempre todo bajo control', reconoce Alberto Ibarra, al tiempo que insiste en señalar que la LOPD adolece de un amplio contenido sanitario.
Sin tratamiento específico
para la Sanidad
Del mismo modo se expresa la abogada de Asisa, Isabel Giménez. 'Hemos de reconocer que la ley es más que aceptable, pero tampoco debemos olvidar que carece de contenido sanitario específico. Por eso, a quienes nos dedicamos al derecho sanitario nos hubiera gustado que se especificara la protección de datos para este ámbito concreto. No es comparable la información personal en Sanidad que, por ejemplo, en una empresa de cosméticos'.
En el día a día como asesora jurídica que trabaja tanto con centros concertados privados como públicos, Isabel Giménez se topa con problemas a los que la LOPD no ofrece soluciones. 'Cuando un asegurado nuestro tiene algún accidente en la calle y es atendido en un centro público, a la hora de hacernos cargo de los gastos de atención solemos necesitar una factura, un informe donde se especifique la atención médico-clínica que se ha prestado a esa persona. De entrada, y bajo el argumento del secreto profesional, los médicos nos suelen denegar los datos. Normalmente, cuesta bastante hacerles entender que la confidencialidad puede estar a buen recaudo a pesar de facilitarlos datos protegidos', añade Isabel Giménez.
La Agencia de Protección de Datos puede poner sanciones de hasta 600.000 euros por incumplimiento de la norma vigente en esta materia.
En situaciones como la expuesta, continúa explicando esta experta, suelen recurrir a la ley, aunque no haya solución en ella a este dilema. 'así que en última instancia nos dirigimos a la Agencia Española de Protección de Datos, que de una manera periódica emite informes con respecto a este problema'.
Del reglamento de la LOPD, Isabel Giménez destaca el grado de importancia que tiene la protección de datos de carácter personal. 'Los datos de salud son intocables. Se trata de evitar, por todos los medios, situaciones como las que suceden de vez en cuando con historias clínicas que son encontradas en un basurero. Las obligaciones básicas del reglamento 'notificación obligatoria de los ficheros automatizados y en soporte papel, el consentimiento, el secreto'' son importantes tanto en los hospitales públicos como privados. Los datos de salud son íntimos y no se pueden vulnerar. Los profesionales con consulta privada se están poniendo al día para adaptarse a lo que se les demanda'.
Imprescindible un mayor grado
de cumplimiento
Esta asesora jurídica reconoce que sobre la mesa de su despacho tiene un gran número de peticiones de médicos con consulta privada, muchos de ellos odontólogos, que quieren adoptar las medidas de seguridad necesarias de acuerdo a la LOPD. 'Medidas que tienen que ponerse en marcha tanto en las consultas privadas como públicas. Aunque se ha avanzado notablemente, todavía queda mucho trabajo por hacer en este sentido. Creo es necesario lograr un mayor grado de cumplimiento en el reglamento', apostilla Isabel Giménez, al tiempo que se refiere a las sanciones por infringir el reglamento.
'La aparición de los expedientes clínicos en los basureros y las sanciones de 600.000 euros que la Agencia Española de Protección de Datos impuso a las clínicas, despertó la conciencia de los profesionales. Aunque sólo sea por el miedo a la sanción, las consultas particulares tienen que cumplir con la normativa', recalca Isabel Giménez.
La abogada de Asisa es contundente a la hora de señalar que, del mismo modo que un médico en su consulta particular cumple con los temas fiscales, de la misma manera deben hacerlo con la protección de datos, 'porque están manejando información muy confidencial y sobre todo referente a la salud. Si esto es necesario en las consultas privadas, aún lo es mucho más en los centros hospitalarios. Tanto por la ingente cantidad de pacientes que acuden a ellos como también por los profesionales que les atienden, es imprescindible que los protocolos de seguridad funcionen'.
Obligaciones básicas sobre el manejo de datos automatizados
y no automatizados, según la LOPD
1. Notificación obligatoria de los ficheros automatizados y no automatizados, a la Agencia de Protección de Datos (Art.26).
2. Obligación de informar al interesado en el momento de la recabación de los datos y de requerir en el mismo acto su consentimiento para el tratamiento de los mismos (Art.5 y 6).
3. Obligación de Deber de Secreto (Art.10).
4. Obligación de garantizar la calidad de los datos (Art.4).
5. Obligación de facilitar el ejercicio de los derechos de acceso, rectificación y cancelación (Art.15 y 16).
6. Obligación de adoptar y mantener las medidas necesarias para garantizar la seguridad de los datos (Art.9).
-------------------------
Fuente: Colegio de Médicos de Asturias.