LA NUEVA NORMATIVA DE PROTECCIÓN DE DATOS Y EL SECTOR MÉDICO

I. El Reglamento Europeo y la sanidad.

La protección de datos personales tiene una especial relevancia en el ámbito de la salud. Con la nueva normativa se han reforzado los controles y requisitos, y las pruebas de ello las vemos cada día en clínicas y consultas.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos), cuya entrada en vigor tuvo lugar el 25 de mayo del año pasado, supuso el primer cambio en la materia.  Supuso un fortalecimiento de la protección de los datos personales especialmente sensibles y protegidos, entre los que ya se encontraban los de salud.

En el punto 35 de su exposición de motivos dice literalmente: “Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro”. Concepto este que preside toda la normativa posterior y que, por genérico, deberemos tener en cuenta en todo momento.

Además, con ánimo de concretar, sigue desarrollando este precepto: “Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo (1); todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro”.

El artículo 4, en sus apartados 13) y 14) define los datos genéticos y biométricos y el apartado 15) define los «datos relativos a la salud» como “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

El artículo 9.1, entre sus prohibiciones de tratamiento de datos, sin consentimiento, incluye a los de salud.

Establece una excepción cuando “el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios …”

Por otra parte, el punto h)  excepciona “cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado”.

II. La nueva LOPD y el ejercicio de determinados derechos.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, nació como un desarrollo del Reglamento Europeo, ampliándolo en lo que se refiere a los derechos digitales. Sin embargo, en el ámbito de la salud adolece de un desarrollo específico. La Sociedad Española de Salud Pública y Administración Sanitaria afirmaba “es ineludible la necesidad de disponer de una ley específica sobre protección de datos personales relativos a la salud; ley que, por ende, se enmarcaría en la normativa del sector sanitario”. No siendo así, veamos las novedades que introduce la nueva Ley.

Se establece la gratuidad en el ejercicio de los derechos por el paciente. Por ejemplo, en obtener una copia de su expediente. Se establecen dos excepciones: a) peticiones repetitivas reiteradas en el plazo de 6 meses sin causa legítima para ello, y b) elección por el interesado de un medio distinto al ofrecido que suponga un coste desproporcionado.

Significativo el ejercicio del derecho a la portabilidad de los datos en el ámbito sanitario. Este derecho se basa con carácter general en el consentimiento o en un contrato, y debe realizarse por medios automatizados. Deberá modularse este derecho en la sanidad pública con el interés público.

III. El consentimiento del menor de edad.

La minoría de edad se fija por la nueva ley en los 14 años, frente a los 16 del Reglamento Europeo. En su artículo 12.6 señala 6 que “los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica”. Teniendo en cuenta que la mayoría de edad en España tiene lugar a los 18 año, pueden plantearse cuestiones relacionadas con la información a que los padres tienen derecho sobre los historiales de sus hijos. Los pronunciamientos de la AEPD sobre el particular otorgándole derechos a los padres para el acceso al expediente de sus hijos, quedan pendientes de una normativa de desarrollo, y de la correspondiente jurisprudencia.

IV. El Delegado de Protección de Datos.

La LOPDGDD viene a implantar la obligatoriedad del Delegado de Protección de Datos en gran parte del sector sanitario. El artículo 34.1.l) lo preceptúa en “Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes”.

Sin embargo, elimina esta obligación en un importante número de profesionales médicos. Así, en su párrafo segundo “Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual”. La particularidad se planteará en clínicas donde varios profesionales compartan historiales clínicos. Por ejemplo, clínicas de estética. En muchos casos los médicos ejercen como autónomos, a título individual, aunque en la práctica lo hacen como un colectivo. En este caso, encontramos conveniente la presencia del Delegado de Protección de Datos.

V. Historiales clínicos de personas fallecidas.

La nueva LOPDGDD da una sustancial importancia a los derechos de las personas fallecidas, hasta el punto de situarlas en su artículo 3, en su punto 1 señala: “Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión”.

Sin embargo, este derecho no es absoluto. El fallecido pudo disponer una prohibición expresa. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante. Habrá que confrontar esta normativa con la específica sanitaria, en concreto la Ley 41/2002 de 14 de noviembre. En su artículo 18.4 establece que las peticiones pueden efectuarlas las personas vinculada al paciente (cónyuge, ascendientes y descendientes y hermanos), siempre quedando a salvo las instrucciones del paciente, además de otros motivos de tipo estrictamente médico.

Esta breve reseña sobre las novedades en el sector sanitario no pretende ninguna exhaustividad, y sí poner en conocimiento de profesionales y público interesado, las múltiples cuestiones que se han puesto de relieve con la nueva normativa en protección de datos.

Jesús Medina Jaranay