fbpx

Ley Orgánica 3/2018 de 5 de diciembre

Principales novedades de la Ley de protección de datos personales y garantía de los derechos digitales, desde la perspectiva sanitaria

Tribuna
Novedades en la protección de los datos sanitarios

La Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (en adelante LOPDGDD), representa entre otras muchas cosas, y por lo que al sector sanitario se refiere, la oportunidad perdida de haber conseguido para los datos sanitarios la tan deseada como necesaria regulación legal propia y específica.

En efecto, como es sabido la LOPDGDD  objeto de comentario sigue la senda de la derogada LOPD y proyecta su ámbito de aplicación sobre el conjunto de los datos personales, si bien con algunas referencias aisladas a sanidad en su disposición adicional decimoséptima y la disposición final novena, que inevitablemente hay que completar con la lectura del Reglamento UE 2016/679 de 27 de abril.

Un buen ejemplo del carácter complementario/subsidiario de la Ley respecto del Reglamento de la UE se advierte, por ejemplo, en la ausencia de una definición legal  de “dato sanitario” que, en cambio, sí nos lo proporciona la referida disposición comunitaria en su artículo 4, distinguiendo entre: a) datos genéticos, b) datos biométricos, y c) datos relativos a la salud.

No obstante el artículo 12.5 de la LOPDGDD parece contemplar la primacía de los regímenes especiales que, en materia de protección de datos de carácter personal, pueden establecerse por otras leyes, como bien podría ser el caso de las leyes sanitarias enumeradas en el apartado primero de la disposición adicional decimoséptima. En concreto, dicho precepto legal establece "cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos previstos en el capítulo tercero del Reglamento 2016/ 679, se estará a lo dispuesto en aquellas".

Veamos muy brevemente desde una perspectiva sanitaria los aspectos más relevantes del marco normativo actual en materia de protección de datos, destacando todos aquellos en los que puedan existir diferencias con la legislación sectorial, o bien adquieran especial interés para el ámbito sanitario.

I.- Tratamiento de datos de personas fallecidas.
La LOPDGDD, al igual que el Reglamento comunitario, excluye de su ámbito de aplicación el tratamiento de datos personales de personas fallecidas (art. 2.2.b). Sin embargo el legislador nacional, en su artículo 3, ha querido regular el acceso a los datos personales del fallecido por parte de aquellas personas vinculadas a éste por razones familiares o de hecho, así como sus herederos.

Desde el punto de vista de la legislación sanitaria, el art. 18.4 de la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, distingue en cuanto al régimen jurídico de acceso a la historia clínica del paciente fallecido según si la petición de acceso la protagoniza un familiar, o si ésta la formula un tercero.

En el primer caso hay que entender que las personas vinculadas al paciente por razones familiares (considerando como tales al cónyuge, ascendientes y descendientes y hermanos si nos ajustamos a lo dispuesto en el art. 4 de la LO 1/82) o de hecho, pueden acceder a la historia clínica salvo que el fallecido se hubiera opuesto y así se acredite, y en todo caso siendo de aplicación las mismas limitaciones que regirían para el propio paciente si estuviese vivo, a saber: a) la intimidad de terceras personas, b) anotaciones subjetivas, y c) el conocido “privilegio terapéutico” de los profesionales sanitarios.

II.- Los deberes de confidencialidad y secreto profesional.

La LOPDGDD establece que el tratamiento de los datos personales, incluidos los datos de carácter sanitario, están sometidos al deber de confidencialidad por parte tanto de los responsables y encargados del tratamiento, como de todas las personas que intervengan en cualquier fase de éste (artículo 5.1). Estamos ante un deber que se complementa, a su vez, con los deberes de secreto profesional a los que alude el apartado segundo del referido precepto legal, y que deberán interpretarse de conformidad con su normativa vigente.

En el ámbito sanitario la relevancia del deber de secreto profesional resulta más que evidente; pensemos por un momento en las obligaciones deontológicas que en este sentido deben asumir todos los profesionales sanitarios, o en las graves responsabilidades penales a las que se enfrenta este colectivo por incurrir en la comisión de un delito de descubrimiento y revelación de secreto tipificado en los artículos 197 y siguientes del Código Penal, en los supuestos de accesos indebidos a la historia clínica, o revelación de secreto a terceros.

Precisamente el Reglamento, en su artículo 9.2. h), cuando alude al tratamiento de datos para fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario, o gestión de sistemas y servicios de asistencia sanitaria, establece claramente la obligación de que dicho tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros.

III.- Delimitación de bases jurídicas para el tratamiento de datos de salud por las Administraciones Públicas.
Por lo que respecta a la delimitación de las bases jurídicas necesarias para legitimar el tratamiento de los datos sanitarios, cabría destacar la regulación recogida en los artículos 8 y 9 de la LOPDGDD. El primero de ellos por cuánto viene a perfilar con mayor claridad el alcance de las bases jurídicas recogidas en el artículo 6.1 del Reglamento con proyección en el ámbito de las Administraciones Públicas, en concreto: a) el tratamiento de datos para el cumplimiento de una misión realizada en interés público, y b) el ejercicio de poderes públicos conferidos al responsable del tratamiento.

En ambos casos la LOPDGDD deja bien claro que podremos estar ante un tratamiento de datos fundado en cualquiera de los supuestos anteriormente citados, siempre que “derive de una competencia atribuida por una norma con rango de ley”. Precisamente esta misma exigencia también se predica respecto de los tratamientos de datos en los supuestos previstos en las letras g), h) e i) del artículo 9.2 del Reglamento, que de forma resumida se  identificarían con los supuestos de tratamientos de datos por razones de salud. En este sentido el artículo 9.2 -pero ahora de la LOPDGDD -, no deja lugar a dudas cuando establece, respecto del tratamiento de este tipo de datos, que deberán estar amparados en una norma con rango de ley.

En definitiva, la reserva de ley para el tratamiento legítimo de datos personales de carácter sanitario resulta indiscutible, lo que a su vez comporta que la vigencia de buena parte de las abundantes previsiones reglamentarias existentes en esta materia queden en entredicho.

IV.- Consentimiento de los menores de edad.
Otro aspecto especialmente delicado en el ámbito sanitario, y sobre el que se pronuncia la LOPDGDD objeto de comentario, es el relativo al tratamiento de datos personales de los menores de edad. La Ley en su artículo 7 fija en 14 años la mayoría de edad en relación con la protección de datos de carácter personal, de modo que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años. A su vez el artículo 12.6 del referido texto legal, establece que “en cualquier caso los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de 14 años, los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles”.

La pregunta obligada que habría que plantearse sería si, a la luz de la actual regulación en materia de protección de datos de carácter personal, un paciente menor de edad con 14 o más años cumplidos, podría oponerse a que sus padres puedan acceder al contenido de su historia clínica sin su consentimiento, teniendo en cuenta la existencia en la legislación sanitaria de la figura conocida como “menor maduro”. Sobre este respecto, el Informe  339/2015 de la Agencia Española de Protección de Datos, sobre acceso a la historia clínica de los menores entre 16 y 18 años, concluía afirmando que si bien el menor de edad mayor de catorce años podrá, en general, ejercitar por sí solo el derecho de acceso a la historia clínica, en cambio no podría oponerse a que sus padres, titulares de la patria potestad, pueden acceder igualmente a los datos del menor de edad para el cumplimiento de las obligaciones previstas en el Código Civil. Una afirmación discutible.

V.- Ejercicio de derechos.
La LOPDGDD establece que todas las actuaciones que se hayan de llevar a cabo por el responsable del tratamiento para atender las solicitudes de ejercicio de derechos serán gratuitas, con las salvedades previstas en los apartados 3 y 4 del artículo 13 de la Ley, a saber: a) peticiones repetitivas reiteradas en el plazo de 6 meses sin causa legítima para ello, y b) elección por el interesado de un medio distinto al ofrecido que suponga un coste desproporcionado.

La traslación al ámbito sanitario de esta previsión legal, supondrá la imposibilidad de exigir al paciente contraprestación económica alguna por la obtención de copia de su historia clínica, más allá de las excepciones a las que me he referido anteriormente.

Por lo que respecta a los restantes derechos, el Reglamento establece en relación con el “derecho de supresión”, que éste no podrá ser ejercido cuando el tratamiento sea necesario, entre otros casos, por razones de interés público en el ámbito de la salud. Queda clara, por tanto, la inexistencia del derecho de cancelación de los datos sanitarios.

Estrechamente relacionado con el derecho de supresión, el artículo 21 del Reglamento regula el “derecho de oposición” al tratamiento de datos personales sobre la base del interés público o el ejercicio de potestades públicas, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses los derechos y las libertades del interesado. Ahora bien, en este otro caso no queda tan claro que los mismos límites que impiden el ejercicio del derecho de cancelación, puedan regir respecto del derecho de oposición al tratamiento de datos sanitarios.

Particularmente confuso resulta el “derecho a la portabilidad” (art. 20) de los datos en el ámbito sanitario. Hay que tener en cuenta que conforme al Reglamento comunitario este derecho está ligado a la concurrencia de alguno de los siguientes requisitos: a) que el tratamiento esté basado en el consentimiento o en un contrato, y b) que el tratamiento se efectúe por medios automatizados. Téngase en cuenta que el tratamiento de datos sanitarios en el ámbito de la sanidad pública, no pivota sobre la base jurídica del consentimiento del interesado, sino que se apoyaría sobre el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, bases jurídicas que como ya ha quedado expuesto, hunden sus raíces en la Ley.

VI.- Relaciones entre el responsable del tratamiento y el encargado del tratamiento.
A diferencia de la derogada Ley Orgánica del año 1999, la LOPDGDD no aborda en profundidad las relaciones entre el responsable y el encargado del tratamiento, por lo que habrá que acudir nuevamente al Reglamento comunitario para conocer los términos en los que se han de articular las comunicaciones de datos entre ambas figuras. Este constituye, sin duda, un aspecto especialmente importante debido a que en el ámbito sanitario suele ser relativamente frecuente el recurso a la figura de la “externalización” para la prestación de servicios sanitarios, ya sea a través de la formalización de contratos en el marco de la Ley de Contratos del Sector Público, o bien a través de figuras afines como los convenios singulares de vinculación. En todo caso la disposición adicional segunda de la LOPDGDD, establece que “En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad”.

VII.- Responsabilidad proactiva y la creación de la figura del delegado de protección de datos (DPD).
La LOPDGDD incorpora dos nuevas obligaciones que deben asumir tanto los responsables como los encargados del tratamiento también en el ámbito sanitario:

  • La adopción de medidas técnicas y organizativas apropiadas para garantizar y acreditar que el tratamiento de los datos personales se efectúa conforme al Reglamento comunitario y la Ley Orgánica.

Estamos ante una obligación de gran importancia en el entorno sanitario por cuánto uno de los supuestos que mayores riesgos presenta para el tratamiento de la información, son todas aquellas situaciones de pérdida de confidencialidad de datos sujetos al secreto profesional, supuestos en los que se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad ,y en particular de menores de edad y personas con discapacidad, y cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales. (art. 28.2 de la LOPDGDD).

  • La designación de un DPD en los supuestos previstos en el artículo 37.1.

La LOPDGDD establece que los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, deben designar un delegado de protección de datos. Se trata, por tanto, de una obligación clara y contundente de modo que resultaría jurídicamente cuestionable la implantación de un único delegado de protección de datos para todos los sectores de actividad administrativa de una Comunidad Autónoma, incluido el sector sanitario, como vienen haciendo algunas Administraciones Públicas.

En todo caso parece innegable que: a) la singularidad de los datos de salud, b) la complejidad organizativa del servicio de salud, y c) el volumen de información que tratan las Instituciones Sanitarias, son argumentos más que suficientes para apostar por la existencia de un DPD propio para sanidad.

 VIII.- Tratamientos de los datos de salud.
Finalizar este brevísimo repaso de la Ley con la regulación que del tratamiento de este tipo de datos se hace en la extensa disposición adicional decimoséptima en relación, a su vez, con la disposición final novena del citado texto legal.

El apartado 2 de la referida disposición adicional analiza de forma monográfica el tratamiento de estos datos con fines de investigación en salud, estableciendo como regla general, que el tratamiento de datos con estas finalidades exige que el interesado haya otorgado su consentimiento. En todo caso, para llevar a cabo un tratamiento con fines de investigación en salud pública, el legislador obliga a realizar una evaluación de impacto que determine los riesgos derivados del tratamiento, someter la investigación científica a normas de calidad, y adoptar medidas dirigidas a garantizar que los investigadores no accedan a datos de identificación.

A partir de este escenario, la citada disposición adicional distingue entre:

a) Tratamiento de datos sanitarios por autoridades sanitarias con competencias en vigilancia de la salud pública.

b) Reutilización de datos personales con fines de investigación.

c) Seudonimización de datos personales con fines de investigación en salud.

Respecto a la disposición final novena ésta modifica el apartado 3 del artículo 16 de la Ley 41/2002 de 14 de noviembre. Conforme a esta nueva redacción, el acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación, o de docencia, obliga a preservar los datos de identificación personal del paciente separados de los datos de carácter clínico asistencial, de manera que, como regla general, queda asegurado el anonimato salvo que el propio paciente haya dado su consentimiento para no separarlos.

Sin embargo, tras establecer la importancia de la disociación, el párrafo segundo de este mismo apartado añade que se exceptúan los supuestos de investigación previstos en el apartado 2 de la disposición adicional decimoséptima de la Ley Orgánica. Esta excepción resulta difícilmente comprensible por cuánto el apartado 2 de la referida disposición adicional incluye un supuesto específico para la seudonimización de datos personales que vayan a ser tratados con fines de investigación en salud. Así pues la Ley parece incurrir en cierta contradicción.

IX.- Conclusión.
Se ha malogrado una buena ocasión para haber regulado de forma independiente la protección de los datos sanitarios tal y como ya propusiera, entre otros muchos, la Sociedad Española de Salud Pública y Administración Sanitaria (SESPAS). La citada sociedad científica en su informe elaborado a tal efecto, afirmaba “es ineludible la necesidad de disponer de una ley específica sobre protección de datos personales relativos a la salud; ley que, por ende, se enmarcaría en la normativa del sector sanitario. Hoy es opinión generalizada que lo más operativo es elaborar una ley estatal para la protección de los datos personales de salud, que complemente el RGPD y sustituya a las disposiciones contenidas en la todavía vigente Ley Orgánica de Protección de Datos, en la Ley Básica de Autonomía del Paciente, y en el resto de legislación sanitaria estatal”.

Tan solo nos queda confiar en que los gestores y las autoridades de protección de datos sean conscientes de la singularidad que reviste el dato sanitario, y sepan obrar en consecuencia.