La Revista de la Salud Mental
Conoce todos los caminos que conducen al bienestar


Sección:
Salud Mental, Implicaciones Legales y Forenses

LA PROTECCIÓN DE DATOS
Mª del Carmen Antón Boix, Abogado del Ilustre Colegio de Madrid

            La LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, de su honor e intimidad personal y familiar.

La legislación de protección de datos se asienta sobre los siguientes principios:

    1. Principio de calidad de datos. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos al mismo, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Ello supone que cuando los datos no sean necesarios para la finalidad con la que se recogieron deberán de ser cancelados, lo que no implica que haya que eliminarnos inmediatamente, sino bloquearlos al menos durante el plazo de prescripción de potenciales acciones de carácter administrativo o judicial.
    2. Principio de información. Supone que antes de tratar los datos personales habrá que informar al paciente sobre quién los tratará y para qué, también de la identidad y dirección del responsable del tratamiento
    3. Principio de consentimiento del afectado. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del art. 7, apartado 6 de la Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
    4. Principio de seguridad. E. responsable del fichero y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana, del medio físico o natural.
    5. Principio de secreto. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

En cuanto a la cesión, para señalar que los datos e carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. No obstante, el consentimiento no será preciso en los supuestos siguientes:

  1. Cuando la cesión esté autorizada en una ley.
  2. Cuando se trate de datos recogidos de fuentes accesibles al público.
  3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente concesión de dicho tratamiento con ficheros de terceros; en este caso la comunicación sólo será legítima en cuanto se limite la finalidad que la justifique.
  4. Cuando la comunicación que deba efectuarse tenga por destinatarios al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
  5. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos.
  6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

En cuanto al problema que puede suscitarse con la externalización de los historiales clínicos de los pacientes, se ha de tener en cuenta que la Ley dispone que no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. Si bien la realización del tratamiento de datos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del archivo, que no los aplicará o utilizará con un fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipulará, asimismo, las medidas de seguridad a que se refiere el artículo 9 LOPD y que el encargado del tratamiento está obligado a implementar.

Haciéndose eco de este contexto normativo y en armonía con el mismo, la  Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica, establece que toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la ley.

La LOPD contiene en su artículo 7 la declaración de especialmente protegidos los datos relativos a las salud, disponiendo en su artículo 8 que los centros e instituciones sanitarios públicos o privados, y los profesionales correspondientes, podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas de acuerdo con la legislación estatal o autonómica sobre sanidad.

Por lo que se refiere al concepto de datos relativos a la salud, y siguiendo al profesor MURILLO DE LA CUEVA, la citada expresión abarcaría tanto a los datos de carácter médico como a aquellos otros que guarden relación con la salud.

Quedarían comprendidos, por tanto, todos aquellos datos que tiene que ver con el cuerpo humano, como la sexualidad, la raza, el código genético, pero además, los antecedentes familiares, los hábitos de vida, de alimentación, de consumo, así como las enfermedades actuales, pasadas o futuras previsibles, bien sean de tipo físico o psíquico; y las informaciones relativas al abuso de alcohol o al consumo de drogas. En definitiva, abarcaría todos los datos que de alguna forma se refieran a la salud tanto de individuos con buena salud, enfermos o fallecidos.

Igualmente, deben considerarse expresamente incluidos dentro del concepto de los datos de salud de las personas, los datos psicológicos y referentes a la salud mental, -la Recomendación núm. R (91) 15, del Comité de Ministros del Consejo de Europa en materia de estudios epidemiológicos en el ámbito de la salud mental, hace hincapié en la necesidad de establecer las garantías necesarias para la protección de los datos referentes a este tipo de trastornos-, bien deriven expresamente de historiales médicos (de un determinado tratamiento psicológico o psiquiátrico), bien provengan de encuestas, y en este último supuesto por considerar que, en cualquier caso, se trata de datos referentes a la salud de las personas, que conciernen directamente a su salud mental o se encuentran estrechamente relacionados con esta última –Memoria de 1999, de la Agencia de Protección de Datos (aptdo. 3.2.5.3 sobre Naturaleza de los datos psicológicos a efectos de su tratamiento)-.

Los datos de la salud tienen, además la consideración de datos sujetos a un régimen especial de protección, de tal forma que no pueden tratarse automáticamente a menos que el derecho interno prevea garantías adecuadas –art. 8 de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. También art. 6 del citado Convenio 108 del Consejo de Europa. Y dentro de nuestro derecho interno, art. 7 de la LOPD y el Reglamento de Medidas de Seguridad (Real Decreto 994/1999)-.

Por esta razón, la Ley básica establece que los centros sanitarios adoptarán las medidas oportunas para garantizar la confidencialidad de los citados datos, y elaborarán cuando proceda las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes –artículo 7.2 de la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica, cuya interpretación debe hacerse conforme a los postulados de la LOPD-.

Por su parte, el Código Deontológico del Psicológico (COP, 1987) establece:
Artículo 45º La exposición oral, impresa, audiovisual u otra, de casos clínicos o ilustrativos con fines didácticos o de comunicación o divulgación científica, debe hacerse de modo que no sea posible la identificación de la persona, grupo o institución de que se trata.

En el caso de que el medio usado para tales exposiciones conlleve la posibilidad de identificación del sujeto, será necesario su consentimiento previo explícito.

Artículo 46º Los registros escritos y electrónicos de datos psicológicos, entrevistas y resultados de pruebas, si son conservados durante cierto tiempo, lo serán bajo la responsabilidad personal del Psicólogo en condiciones de seguridad y secreto que impidan que personas ajenas puedan tener acceso a ellos.

Artículo 47º Para la presencia, manifiesta o reservada de terceras personas, innecesarias para el acto profesional, tales como alumnos en prácticas o profesionales en formación, se requiere el previo consentimiento del cliente.

Artículo 48º Los informes psicológicos habrán de ser claros, precisos, rigurosos e inteligibles para su destinatario. Deberán expresar su alcance y limitaciones, el grado de certidumbre que acerca de sus varios contenidos posea el informante, su carácter actual o temporal, las técnicas utilizadas para su elaboración, haciendo constar en todo caso los datos del profesional que lo emite.

Concluyendo, en los últimos años, el marco legal que afecta a la protección de datos y documentos clínicos ha cambiado sustancialmente. Se han hecho explícitas las obligaciones de los profesionales y centros sanitarios al respecto y se han aumentado las garantías de confidencialidad y custodia de datos de forma muy importante. Además, se comienzan a considerar los requisitos relacionados con las nuevas tecnologías y, de forma especial, la informática e Internet. En la actualidad, el Psicólogo es el responsable de la seguridad de los registros escritos y electrónicos de datos psicológicos, entrevistas y resultados de pruebas administradas por él. Los centros sanitarios y, por extensión, los Psicólogos, están obligados a conservar la documentación clínica, como mínimo, cinco años contados desde la fecha del alta. Esta documentación se guardará en condiciones óptimas para su mantenimiento y seguridad, que serán responsabilidad del profesional.