Desde HispaSec ya se viene hablando de la seguridad en los datos personales desde que salieron las leyes que lo regulaban, así la antigua LORTAD de 1992 vigente hasta principios de año, y la actual LPD que también regula el tema. Esta última bastante continuista de la anterior exige el consentimiento inequívoco (artículo. 6) del particular cuando sus datos personales vayan a formar parte de un fichero automatizado.
La ley regula para los llamados datos sensibles (la ideología, religión, creencias, afiliación sindical, origen racial, salud, vida sexual o comisión de infracciones penales o administrativas) un sistema de protección reforzada.
¿Hay algún dato más privado que la historia clínica de una persona?. Para la Ley, parece que no. De hecho le da el tratamiento de mayor seguridad, veamos:
La especial naturaleza del fichero sanitario, se demuestra en la regulación que recibía en la LORTAD y sigue otorgándole la LOPD.
La ley permite el tratamiento de datos relativos a la salud cuando ‘ste resulte necesario «para la prevenci¢n o para el diagn¢stico m’dico o la gesti¢n de servicios sanitarios» (art¡culo 7.6) o «para salvaguardar el inter’s vital del afectado o de otra persona, en el supuesto de que el afectado est’ f¡sica o jur¡dicamente incapacitado para dar su consentimiento» (art¡culo 7.6.2).
La ley exige que el tratamiento de los datos se realice por un profesional sanitario sujeto al secreto m’dico o por otro persona igualmente sujeta «a una obligaci¢n equivalente de secreto». El secreto m’dico abarca hoy d¡a segon la doctrina y la jurisprudencia al equipo cl¡nico y m’dico, teniendo el paciente derecho a la confidencialidad de toda la informaci¢n relacionada con su enfermedad e incluso con su estancia en el centro sanitario (art. 10.3 y 61 Ley General Sanidad).
Este es el refuerzo legal que establece, es decir, adem s de tratarlo como «dato sensible» obligado a todas las medidas legales que se establecen, est protegido tambi’n por el secreto profesional. Lo cual quiere decir que en caso de violaci¢n del mismo, el enfermo tendr¡a dos v¡as de defensa como m¡nimo, as¡ la propia L.P.D (protecci¢n de datos), la LGS (y deontolog¡a profesional), y la Ley Org nica de Protecci¢n al Honor, la Intimidad y la Propia Imagen.
La ley dedica el art¡culo octavo, a la recogida y tratamiento de los datos de salud, y completa la regulaci¢n del art¡culo 7.3 al a_adir que los centros sanitarios y los profesionales (m’dicos privados) podr n proceder a la automatizaci¢n de los datos de salud «de las personas que a ellos acudan o hayan de ser tratados en los mismos» de acuerdo con lo dispuesto en la legislaci¢n sanitaria estatal (es decir, Ley General de Sanidad , Ley del Medicamento, Ley de Medidas Especiales en materia de Salud Poblica). En otras palabras, se pueden establecer Bases de datos Sanitarios de la poblaci¢n.
Para la comunicaci¢n a terceros de los datos personales sobre salud se establece un requisito doble: el consentimiento del afectado por un lado, y la legitimidad y relaci¢n ¡ntima del fin al que va a servir la entrega, por otro.
Excepci¢n a la regla.- No ser necesario el consentimiento cuando los destinatarios de los ficheros sean la Justicia (Ministerio Fiscal, y/o Jueces), ni cuando la cesi¢n se produce entre Administraciones Poblicas y los fines de la cesi¢n sean estad¡sticos o cient¡ficos, me pregunto hasta que punto esto puede ser constitucional, sobre todo la cesi¢n para materias estad¡sticas. Existe tambi’n la excepci¢n para los casos de estudio epidemiol¢gico y para los casos de urgencia, aunque la ley no especifica que sea un caso de urgencia (supongo que quedar al arbitrio del m’dico establecer si es o no urgente, es decir se introduce un aspecto subjetivo totalmente peligroso para dicho tratamiento de datos).
El art¡culo 9 habla de la seguridad de los ficheros, y dice que por v¡a reglamentaria se establecer n los requisitos y condiciones que deber n reunir tanto las personas que intervengan en el tratamiento de los datos especialmente protegidos (o sensibles) como los propios ficheros. Es decir, se esperan modificaciones en breve, y mientras tanto sigue en vigor el Reglamento de Medidas de Seguridad de los Ficheros Automatizados. Lo cual quiere decir que sobre estos datos pesan las siguientes medidas de seguridad a tomar por empresas, organismos poblicos y administradores de sistemas o bases de datos.
Al ser datos sobre salud, requieren el «nivel alto de seguridad», se han de identificar las personas que pueden acceder a los ficheros, informar de la existencia de copias de seguridad o de respaldo, hay normas propias sobre traslado y guarda de ficheros. Adem s, es necesario realizar una auditor¡a cada dos a_os para verificar el cumplimiento de las normas de seguridad. La auditor¡a puede realizarse de tres formas: a trav’s del autodiagn¢stico, con una auditor¡a interna y con un servicio de auditor¡a externo. La no incorporaci¢n de estos sistemas de seguridad tiene establecido multas de 10 a 50 millones de pts.
Por supuesto, adem s, estos datos tienen la protecci¢n del C¢digo Penal, as¡ su art¡culo 197.4 que se aplica a los responsables de ficheros con penas de 3 a 5 a_os, regula este art¡culo el apoderamiento, utilizaci¢n y modificaci¢n de datos de car cter personal o familiar, en perjuicio de tercero y sin estar autorizado, y tambi’n regula-prohibe el acceso a sistemas sin autorizaci¢n aunque no haya perjuicio. Como agravante se establece la difusi¢n, revelaci¢n o cesi¢n a terceros, y el nimo de lucro. Las penas van de 1 a 5 a_os.
Eusebio del Valle
evalle@hispasec.com
