PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Página actualizada el 16/05/08

Con motivo de la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de Diciembre (L.O.P.D.), surgen una serie de obligaciones para aquellas empresas que posean ficheros con datos de carácter personal (nuestras clínicas entre ellas). Asimismo, desde el 26 de Junio de 1999 está en vigor el Reglamento de Seguridad (R.D. 994/99 de 11 de junio) que desarrolla la mencionada Ley Orgánica y que establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc. Es por ello que deberemos adecuar nuestras consultas a esta normativa con el fin de cumplir con estas exigencias legales.

La principal normativa aplicable es la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, la Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal, el Real Decreto 1332/1994, de 20 de Junio, por el que se desarrolla determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, y el Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

La LOPD incluye también dentro de su ámbito de aplicación los ficheros no automatizados y es aplicable a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Están excluidos de protección los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas (una agenda personal no es un fichero sometido a la aplicación de esta Ley). Esta Ley trata de proteger los derechos fundamentales y las libertades públicas y en particular el derecho a la intimidad y el honor de la personas físicas. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

EL NUEVO REGLAMENTO DE DESARROLLO DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS Y SU INCIDENCIA EN EL ÁMBITO ODONTOESTOMATOLÓGICO

El 19 de enero se publicó en el BOE el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD), que tiene por finalidad desarrollar los mandatos contenidos en la mencionada Ley y aquellos aspectos que durante estos años de vigencia de la LOPD han planteado dudas interpretativas, tratando de aportar un mayor grado de seguridad jurídica.

Asimismo, se han introducido algunas novedades, siendo la más destacada la inclusión de un listado de medidas de seguridad que, en el caso que nos ocupa, deberán cumplir aquéllos que almacenan los historiales clínicos de sus pacientes en formato no informatizado. Hasta la fecha, este tipo de ficheros debía incorporar las medidas de seguridad necesarias para evitar que se produjeran pérdidas, alteraciones o accesos no autorizados existiendo únicamente un listado de medidas de seguridad para los ficheros informatizados.

En concreto, el responsable del fichero debe elaborar un documento de seguridad que recogerá todas las medidas técnicas y organizativas que será de obligado cumplimiento para todo el personal con acceso a datos de carácter personal y cuyo contenido viene dispuesto en el nuevo Reglamento. Como medidas de seguridad específicas del soporte manual, se establece que deberá existir en cada organización un criterio de archivo, de conformidad con lo establecido en la Ley 41/2002, de14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

En cuanto al almacenamiento de la información, se dispone que cuando se recaben datos de salud, los armarios o archivadores donde se encuentren, deberán situarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente, que deberán permanecer cerradas cuando no sea preciso el acceso a la documentación que contiene datos de carácter personal.

Sólo se podrán hacer copias de la documentación bajo el control del personal autorizado en el documento de seguridad. Únicamente podrá acceder a la documentación el personal autorizado, debiéndose establecer mecanismos que permitan identificar los accesos realizados cuando los documentos puedan ser utilizados por múltiples usuarios.

Por último, destacar que, entre otras obligaciones, el responsable del fichero debe designar un responsable de seguridad, como ya está previsto para los ficheros automatizados y que este tipo de ficheros deberán someterse cada dos años a una auditoría externa o interna que verifique el cumplimiento de las medidas de seguridad.

Un aspecto interesante para los profesionales que, sin embargo, utilicen un soporte informático para el tratamiento de sus datos es que los programas de gestión que utilicen deberán especificar el nivel de seguridad que proporcionan: básico, medio o alto. Recomendamos que si se desea adquirir un software de gestión dental, se verifique que cumple las medidas de seguridad de nivel alto.

Otra de las novedades que afecta al sector odontoestomatológico es la inclusión en el Reglamento de una definición de dato de salud, hasta la fecha inexistente, entendiendo por como tal “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética”. Sin duda se trata de una definición amplia del concepto de dato de salud, con lo que el legislador pretende dotar al conjunto de informaciones contenidas bajo su ámbito de una mayor cobertura garantista, pues no se debe olvidar que se trata de datos sensibles que afectan a la esfera más íntima y personal de las personas, por lo que su uso debe estar rodeado de las mayores salvaguardas.

Así, no hay que olvidar que las radiografías, los odontogramas, las descripciones de los tratamientos que se realizan, los moldes de yeso, etc son datos de salud, por lo que su tratamiento deberá estar reforzado por unas garantías adicionales que la normativa prevé.

La regla general para tratar datos de carácter personal sigue siendo la obtención previa del consentimiento del titular de los datos. En el sector que nos ocupa, al tratarse como se ha visto de datos de salud, el consentimiento debe ser expreso. Sin embargo, existe una excepción a esta regla en el caso de que los datos se recojan para la prestación de asistencia sanitaria.

Esta excepción exige atender, por un lado, a la finalidad a la que se destinen los datos: la asistencia sanitaria, que es la finalidad para la que se realiza la historia clínica de acuerdo con el art. 15.2 de la citada Ley 41/2002 y, por otro lado, al principio de calidad de los datos, ya que sólo se pueden recabar aquéllos datos que sean adecuados, pertinentes y no excesivos en relación con la finalidad a la que se van a destinar tales datos. Por tanto, siempre que los datos se utilicen para otras finalidades, tales como la realización de estudios, facturación, envío de publicidad, etc o que se pidan más datos de los necesarios para el historial médico, se deberá contar con el consentimiento expreso del paciente.

Por otro lado, no hay que olvidar que la excepción para la obtención del consentimiento no supone que no se deba informar al paciente. Este deber persiste en todo momento y de conformidad con el nuevo Reglamento el responsable del fichero (el centro sanitario o profesional que actúe por cuenta propia) deberá conservar el soporte en el que conste el cumplimiento del deber de informar. A efectos prácticos, y dado que la carga de la prueba recae sobre el responsable del fichero, al paciente se le debe informar por escrito, recomendándoles que en la primera visita que el paciente realice se le entregue un documento que contenga los aspectos que la LOPD exige – información sobre la finalidad a la que se van a destinar los datos, los destinatarios de los mismos, la identidad y dirección del responsable del fichero, de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, etc.- y que tal documento sea firmado por el paciente, así en caso de surgir alguna controversia, el titular podrá probar que se le informó debidamente al paciente. En este sentido, nuestra recomendación es que en este documento se solicite, asimismo, el consentimiento del paciente ya que de este modo se evitarán posibles dudas interpretativas acerca de la utilización de los datos para finalidades que exceden la mera asistencia sanitaria, o la recogida de algunos datos que pueden ser considerados como excesivos para tal finalidad.

Por último, debe señalarse que se ha previsto un plazo de tres meses desde la publicación del Reglamento para su entrada en vigor, de manera que las organizaciones puedan conocer la incidencia que esta nueva regulación puede tener en su sector. El plazo para la implantación de las medidas de seguridad es mayor, ya que para los ficheros automatizados que contengan datos de salud se establece un plazo de un año para la implantación de aquellas medidas de seguridad no previstas en el anterior Reglamento de Seguridad, y de dos años para los ficheros no automatizados, es decir, para los que conservan los historiales clínicos en papel.

No obstante, les recomendamos que no agoten los mencionados plazos ya que, en ocasiones, la implantación de las medidas de seguridad conllevará un esfuerzo que no será posible realizar en un solo acto porque además de las inversiones que se tengan que hacer en la organización y gestión de la documentación, se deberá realizar una importante labor de concienciación entre el personal que tenga acceso a los datos de carácter personal.

De Lorenzo Abogados / Área de Nuevas Tecnologías

23/09/2010. MULTA DE 300.000 € POR ABANDONO DE HISTORIAS CLÍNICAS CONFIRMADA POR EL TRIBUNAL SUPREMO. Nota del Letrado D. Ricardo de Lorenzo, publicada en Redacción Médica, relativa a las sanciones que impone la Agencia Española De Protección de Datos por incumplimiento de las medidas de seguridad de ficheros en soporte papel que contengan información referente a la salud. (Nota en formato PDF)

Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Real Decreto 195/2000, de 11 de Febrero, por el que se establece el plazo para implementar las medidas de seguridad de los ficheros automatizados previstas por el reglamento aprobado por el Real Decreto 994/1999, de 11 de Junio

Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Real Decreto 994/1999 de 11 de junio por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal.

Real Decreto 1332/94 de 20 de junio por el que se desarrollan algunos preceptos de la Ley Orgánica.

Directiva 95/46/CE del Parlamento Europeo y el Consejo de la Unión Europea de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos.