Resumen: La protección de datos es una de las especialidades del derecho que más se ha extendido en las últimas dos décadas. La expansión de las tecnologías digitales a todos los ámbitos de la vida, así como la transversalidad de una materia como es la protección de datos personales, que afecta a casi cualquier operación que realizamos en nuestro día a día, ha generado la necesidad de garantizar la utilización respetuosa y, adecuada de estos datos, muy particularmente en el caso de datos tan sensibles y tan vinculados al derecho constitucional a la intimidad, como son los relativos a la salud. El ámbito sanitario supone una subespecialidad dentro de la protección de datos, no solo por la súper protección que dispensa la ley, sino también por las necesidades y obligaciones de naturaleza práctica que surgen en el desempeño de la profesión, exponiendo una delicada bifrontidad: de un lado nos encontramos con datos cuya naturaleza exige particular celo en su tratamiento, y del otro tenemos la necesidad de articular un ejercicio práctico de las profesiones sanitarias que permita proveer con efectividad el bien jurídico protegido, es decir, la salud, con la rapidez y calidad que las prestaciones asistenciales exigen para su correcta ejecución.
Abstract: Data protection is one of the law specialties that has expanded the most over the last two decades. The development of digital technologies, reaching all areas of living, as well as the mainstreaming of a matter such as the protection of personal data, which affects almost any operation we do in our daily lives, has generated the need of guarantying the use of these data in a respectful, appropriate manner, and particularly in the case of such sensitive matters, so linked to the constitutional right to data privacy, as are those relating to individual's health. The health field is a subspecialty within the data protection law, not only for the provided superprotection, but also for the needs and obligations that arise in the exercise of the profession, creating a frail twin compromise: on one side we find that health data are subject to a particularly tight treatment, while on the other there is a need to articulate a dynamic method for health professionals that allows them to provide a legal while prompt and quality performance in their assistances, which is required for a true deliver of their services.
Palabras clave: Protección de datos, tratamiento de datos, datos relativos a salud, Reglamento UE 2016/679.
Keywords: data protection, data treatment, health data, Regulation EU 2016/679.
Recepción original: 04/10/2016
Aceptación original: 10/10/2016
Sumario: I. Introducción. II. Conceptos básicos: «Dato personal», «interesado» y «tratamiento». III.1. Importancia de la protección de datos y derechos que se tutelan: Los datos personales. III.2. El interesado y la protección de su derecho a la intimidad. IV. Conclusiones.
I. INTRODUCCIÓN
La protección de datos constituye una rama del derecho que durante las últimas décadas1 ha venido experimentando un exponencial crecimiento y que aún se encuentra en fase de desarrollo. La entrada en nuestras vidas de la revolución digital a todos los niveles, ha afectado también al manejo que se hace de nuestros datos personales. Prácticamente todas las operaciones que realizamos a lo largo del día llevan aparejadas tratamientos de datos personales2 (nombre, apellidos, fecha de nacimiento, sexo, dirección postal o electrónica, número de teléfono, etc). El ámbito sanitario es muy sensible a este tipo de información personal, y además contiene su propia tipología especial de datos: los relativos a la salud del paciente3, a los que la ley dispensa una consideración superior de sensibilidad y, por consiguiente, de protección. En las próximas líneas vamos a dibujar algunos de los principios en materia de protección de datos, enfocados desde la perspectiva de la práctica asistencial del profesional sanitario, intentando circunscribirnos a los fundamentos generales en los que se enmarcan sus actuaciones y el tratamiento que efectúa sobre datos extremadamente sensibles4.
II. CONCEPTOS BÁSICOS: «DATO PERSONAL», «INTERESADO» Y «TRATAMIENTO»
El cuerpo legal de referencia es la Ley Orgánica de Protección de Datos (LOPD)5, cuyo objeto tal y como reconoce la propia Ley es: «(...) garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar». Al referirse la Ley Orgánica a Derechos Fundamentales, está haciendo una importante reseña sistemática, pues indica que nos encontramos ante derechos que están reconocidos en la Constitución Española, concretamente en los artículos 18.1 y 18.4 -ubicados en el Título I, es decir, se trata de derechos fundamentales-, a los que nos referiremos con mayor detenimiento más adelante, pero que ya nos introduce en la enorme importancia jurídica que ostenta esta materia. Se trata -en primer término- del derecho a la autodeterminación informativa, pero un examen a fondo revela una importante conexión con los derechos al honor, a la intimidad personal y familiar y a la propia imagen.
En efecto, cuando nos referimos a datos médicos, debe tenerse en consideración que la salud del paciente, o en su defecto, la ausencia de ella por cualquier padecimiento, pertenece a la esfera más íntima y personal del individuo. La enfermedad pone al paciente en una posición de debilidad, y acude a la asistencia sanitaria con la voluntad de restaurar su salud, para lo cual desvela a los profesionales infor- mación que en muchas ocasiones pertenece a su esfera más privada6, pues forma parte nuclear de su intimidad7.
TRONCOSO REIGADA ha vinculado con acierto este Art. 18.1 y 18.4 CE con los Arts. 15 y 43 CE: «Los datos de salud y la historia clínica tienen una enorme importancia porque son instrumentos necesarios para garantizar la asistencia sanitaria de las personas, y por tanto están íntimamente vinculados al derecho a la vida -Art. 15 CE- y a la protección de la salud -Art. 43 CE-. La acumulación de datos sanitarios de los pacientes en las historias clínicas y su correcta conservación son elementos necesarios para poder llevar un seguimiento del estado de salud de las personas. De hecho, la supresión de datos relevantes de la historia clínica puede llegar a afectar gravemente a los tratamientos sanitarios y, en última instancia, a la vida de las personas»8. Es evidente que por su configuración sistemática9, el vínculo más indisoluble se produce con el Art. 15 CE, como expresión última del derecho a la vida. Pero también resulta oportuno el acercamiento al Art. 43, pues desde luego no parece proporcionado que se deba acudir a la dicotomía vida-muerte10 para poder comprender esta conexión, y tampoco puede desconocerse que la salud es uno de los bienes jurídicos por antonomasia del Estado del bienestar.
En este contexto, puede comprenderse por qué el legislador, tanto a nivel europeo11 como nacional, se ha mostrado especialmente celoso con la protección de estos datos sensibles12 de forma transversal a través de varias disposiciones legales. Por ello, además de la protección concedida por la Ley Orgánica de Protección de Datos, el Reglamento que la desarrolla, y el nuevo Reglamento UE 2016/679, de forma acumulativa deberemos tener en cuenta las previsiones específicas en materia de información, datos sanitarios, y sobre todo en materia de historia clínica -con especial mención a Ley de Autonomía del Paciente (LAP)13-, que iremos introduciendo puntualmente. Asimismo, existe un importante número de normas que, de un modo u otro, se refieren a la confidencialidad y a la protección de datos como bienes jurídicos dignos de protección14. Como punto de partida, vamos a tomar el Convenio de Oviedo sobre Derechos Humanos y Biomedicina de 199715, que fija un marco mínimo común16 con cierta acogida internacional17 en cuanto al acceso del paciente a sus propios datos en materia de salud. Así lo recoge el Art. 10 con el siguiente tenor literal: «Artículo 10. Vida privada y derecho a la información.
1. Toda persona tendrá derecho a que se respete su vida privada cuando se trate de informaciones relativas a su salud.
2. Toda persona tendrá derecho a conocer toda información obtenida respecto a su salud. No obstante, deberá respetarse la voluntad de una persona de no ser informada.
3. De modo excepcional, la ley podrá establecer restricciones, en interés del paciente, con respecto al ejercicio de los derechos mencionados en el apartado 2.»
De la lectura del artículo se infiere el reconocimiento de dos derechos18 de índole bien distinta. El primero de ellos, a la intimidad y privacidad de la información relativa a su salud, brindando al paciente un velo tras el que mantener la información que considere sensible o que, sencillamente, por motivos que solo a él y su esfera más íntima competen, no desea hacer pública. En segundo lugar, le concede una facultad de conocimiento sobre todos los datos sanitarios que consten sobre su persona, pero con una doble vertiente, positiva y negativa. La primera, un derecho a saber, a acceder a todo conocimiento que conste sobre su salud; la segunda, en sentido negativo a no recibir ninguna información, todo ello con la cautela de las excepciones a las que queda abierto el convenio, a través de instrumentos legales internos de los contratantes para situaciones excepcionales.
Introducidas las anteriores consideraciones generales, debemos ubicarnos ahora en la normativa específica de protección de datos, que desde el 4 de mayo de 2016 atañe no solo a la legislación estatal de referencia -LOPD y su reglamento nacional-, sino también al nuevo Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos. Es por ello que iremos realizando menciones a los tres cuerpos legales, máxime cuando nos encontramos en el periodo de dos años de vacatio legis que se ha previsto para la adaptación a las exigencias y estándares de la normativa europea, tal y como introduce el Considerando 171. La Directiva 95/46 quedará derogada el 25 de mayo de 2018 según establece el Art. 94.1, y en virtud del Art. 99.2 será aplicable la nueva norma a partir de la misma fecha.
Existen tres conceptos nucleares en materia de protección de datos que son imprescindibles para sustentar ulteriores cuestiones prácticas. El primero de ellos parece el más obvio, y por tanto la primera duda que hay que despejar: ¿qué debemos entender por «datos de carácter personal»? El artículo 3 de la LOPD recoge las definiciones de varios términos, entre los que se incluye, en su apartado a) el concepto de dato personal: «cualquier información concerniente a personas físicas identificadas o identificables.» Este concepto debe entenderse en sentido amplio, ya que no solo se refiere a personas identificadas, sino también a las que puedan resultar identificables en base al dato concreto. Por ejemplo, un número de teléfono o un n.° de la Seguridad Social, pero también códigos de barras, QR, o similares, que permitan identificar al paciente19. El artículo especifica «cualquier información», que sea «concerniente a personas físicas», lo que permite apreciar cómo estos datos encajan perfectamente en la definición legal, y a su vez, sirve para ilustrar el amplísimo concepto que recoge, incluyendo todo tipo de información y pruebas informatizadas que deben ser protegidas20.
En efecto, todo dato relativo a una persona es un dato de carácter personal. Inevitablemente, en el ámbito asistencial el desempeño de la profesión está necesaria y directamente relacionado con el trato a personas físicas: los pacientes. Por consiguiente, puede colegirse con acierto que todos sus datos serán considerados «datos personales» y estarán protegidos en los amplios términos del Art. 3 a) de la Ley Orgánica de Protección de Datos.
El Reglamento por el que se desarrolla la Ley Orgánica de Protección de Datos21, especifica con mayor precisión en su Art. 5f) qué informaciones son consideradas datos de carácter personal: «Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.» Nótese que el precepto se refiere de nuevo expresamente a personas identificadas, pero también a las identificables. Eso implica, por ejemplo, que un dato deberá seguir siendo tratado con arreglo a la LOPD aunque no sepamos a quién pertenece pero nos permita identificar a su titular. Consecuencia de todo lo anterior, deberemos tener presente que toda información que concierna a los pacientes, incluidos resultados de pruebas o análisis que se les practiquen, deberán entenderse como dato personal.
No obstante lo anterior, es necesario traer a colación el nuevo Reglamento comunitario, que incorpora las nuevas definiciones que armonizarán la materia a nivel comunitario. En ellas se encuentran los términos elementales de protección de datos, en concreto en su Artículo 4. La primera de ellas está dedicada al concepto de dato personal:
1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona
Esta nueva definición, que tiene una vocación de generalidad, se ha mostrado más exhaustiva que la actualmente vigente en el ordenamiento nacional, así como la dada por la anterior Directiva 95/46 -que recordemos, quedará derogada en 2018 con la entrada el vigor del tan citado Reglamento General-, incorporando por defecto algunas referencias a datos vinculados a la salud -identidad física, fisiológica, genética, psíquica-. Una vez sentado lo anterior, y dirigiéndonos hacia la especialidad médica, la definición legal específica de los datos relativos a la salud del individuo actualmente continúa siendo la que provee el Reglamento de desarrollo de la LOPD, en su artículo 5.1g):
«Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.»22
Por lo que respecta al dato de discapacidad, debemos considerar que su inclusión explícita es un acierto. Se trata de un dato de índole indudablemente sanitario23, y entendiendo que se trata de un dato que aporta información relevante sobre el estado de salud de la persona a la que se refiere24. El espíritu de la ley es instaurar una definición amplia, a lo que contribuye la aclaración realizada por el Considerando 3525. La importancia del mismo es vital, pues contribuye a precisar el alcance del concepto que nos ocupa, dotándolo de una definición más compresiva e integradora, y que incluye una enumeración ejemplificativa que facilita la interpretación a profesionales médicos, abogados y tribunales. Gracias a tal inclusión parece evidente que dentro de esta categoría queden insertos todo tipo de datos relativos a la «salud mental o física», como es el caso de la discapacidad26.
Una vez realizadas las anteriores puntualizaciones, resulta pertinente llamar la atención sobre las diferencias existentes entre el cuerpo legal español y el europeo. Habida cuenta la reciente promulgación del ya referido nuevo Reglamento comunitario, resulta conveniente confrontar las definiciones dadas por esta última norma en su Art. 4, apartado 15):
«datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
A simple vista puede apreciarse cómo esta segunda definición es menos extensa, lo que equivocadamente podría llevar a pensar que determinadas ramas de los datos médicos quedan un tanto desamparadas en el nuevo texto. Nada más lejos de la realidad, pues lo cierto es que la norma comunitaria lo único que ha hecho ha sido escindir algunos conceptos de la definición genérica: los datos genéticos y los datos biométricos27 28, que han sido recogidos por separado en los apartados 13) y 14) del mismo artículo 4:
«datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;
«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
A los efectos de este trabajo y de los profesionales del sector, cabe concluir que las diferencias no serán en ningún caso insalvables29 respecto de las prácticas actuales30 por las meras discordancias entre las definiciones31, máxime con dos años por delante para realizar las adaptaciones necesarias. Sí cabe llamar la atención sobre la instauración de una novedosa concepción o perspectiva proactiva y garantista a favor del interesado, como es la que representa el concepto «privacy by design» y «privacy by default», consagrados en Art. 2532 del Reglamento y los considerandos 78, 108, que conllevan consigo además la dotación de relevancia legal a las conocidas «certificaciones» de seguen ridad a través del Art. 42 y 43, y las normas corporativas vinculantes del Art. 47.
Esencialmente, respecto de este principio de «privacidad desde el diseño y por defecto», «privacy by design and by default» responde a unos principios informadores de la actividad de tratamiento de datos y operacionales en cuanto a la configuración, estructura y diseño de las soluciones técnicas y de software relacionadas con el referido acto del «tratamiento de datos». En esencia, el espíritu del concepto privacy by design, exige que se articulen medidas pro protección de datos personales desde el mismo origen creativo de las aplicaciones que deberán almacenar y manejar datos personales, tales como configuraciones de protección de privacidad instaladas por defecto -ejercicio práctico del principio «privacy by default» desde el diseño-, cifrado de datos con protocolos actualizados, políticas proactivas en lugar de reactivas para la protección de estos datos sensibles, instauración efectiva desde las fases tempranas de desarrollo de las soluciones tecnológicas y de software, de protección «end to end» de los datos registrados, accesibilidad, transparencia, fiabilidad, interfaces sencillas o «user friendly», y en general que la protección a los datos se convierta, desde el mismo origen, en una especie de concepción «antropocéntrica» en torno al interesado, donde todo se construye y orbita alrededor a la protección de los datos personales del usuario.
Es evidente, por tratarse de un término fácilmente comprensible por su traducción directa, que el concepto de «privacy by default» es distinto al de «privacy by design», pero cuya actuación complementaria contribuye a dotar de efectividad el deseado estándar elevado de protección a los datos personales. En concreto, y como ya hemos tenido ocasión de introducir en el párrafo anterior, «privacy by default» se traduce sencillamente por «privacidad por defecto», y su finalidad no es otra que establecer como configuración predeterminada para los datos del usuario la más restringida publicidad posible, siendo por tanto inaccesible por terceros que no gocen de expresa autorización. A mi juicio este estándar de actuación es la forma más correcta de proceder, por resultar la más adecuada y respetuosa con el espíritu y fundamentos sobre los que se construye la protección de datos de carácter personal. Dicho de otro modo, la privacidad de los datos personales debe ser el estado natural de las cosas, y cualquier publicidad o acceso por terceros debe venir respaldado por el preceptivo consentimiento del afectado.
Algunas voces críticas hablan de cierta vaguedad en estos conceptos33, y que la mejor manera de cumplir con la exigencia es minimizar en la medida de lo posible el almacenamiento de datos personales34. A este respecto cabría aportar dos reflexiones. La primera de ellas, relativa a la precisión -o ausencia de ella- de los conceptos que integran el principio ordenador del «privacy by desing and by default», que desde ya puede advertirse que requerirá que el Tribunal de Justicia de la Unión Europea afronte a futuro afrontar esta cuestión, y no es descartable que sea preciso perfilar jurisprudencialmente algunos de estos conceptos, a medida que la casuística y la práctica judicial muestren casos donde tal vaguedad resulte en menoscabos a la seguridad de los datos, perjudicando tanto a usuarios como a responsables de archivo o tratamiento. La segunda de ellas es que, a pesar de las críticas, el interés del legislador comunitario y la amplísima motivación de la norma expuesta en los considerandos que introducen el texto legal, apuntan a que los responsables de archivos deberán guardar, a modo de comportamiento estandarizado y de «compliance», el máximo celo posible respecto de los datos personales de los interesados, comenzando a armar esta protección desde el propio diseño de las soluciones y sistemas que servirán para tratarlos y almacenarlos.
A modo de cierre, cabe recordar que, como consecuencia directa del Art. 288 TFUE, que configura el instrumento del Reglamento como un cuerpo legal directamente aplicable, puede preverse que a medio plazo serán necesarios algunos reajustes de los textos legislativos de referencia en el ordenamiento nacional35 para dar el cumplido destino al Reglamento comunitario, que no es otro que establecer un marco jurídico único para toda la Unión Europea.
Sentado todo lo anterior, debemos ahora dirigirnos hacia otro de los términos clave: el «interesado». En este caso nos estamos refiriendo al paciente, quien es titular de sus datos, tal y como recoge el Art. 5.1a) RLPOD. La definición es de una claridad meridiana, y constituye una referencia conceptual que debemos tener siempre presente:
«a) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.»
En palabras de FERNÁNDEZ LÓPEZ: «Con ello el ciudadano se convierte en auténtico amo y señor de sus datos personales y sujeto decisorio de su comunicación a quien y con que fines desea hacerlo»36. Por tanto, a estos sujetos se les debe reconocer la consideración de «interesado» o «afectado», de acuerdo a lo previsto por el Art. 3e) LOPD, recogido con el siguiente tenor literal:
«Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo».
Como puede comprobarse, la propia Ley hace un reenvío hacia su apartado c). En él se encuentra el último concepto que vamos a analizar en este punto: el «tratamiento de datos» -al que aludiremos en próximos párrafos-. Pero antes, conviene reseñar que el Reglamento Comunitario no ha incluido entre sus numerosas definiciones del Art. 4 un auténtico concepto cerrado de «interesado» o «afectado». Debe procederse a su exégesis partiendo del apartado 1.° de dicho Art. 4, al que ya nos hemos referido tan solo unas páginas atrás.
Asimismo, debemos llamar la atención sobre el Art. 3.2 del Reglamento Comunitario, el cual ofrece un criterio de conexión territorial subjetivo, vinculado a los individuos residentes en la Unión Europea. Esto abre las puertas a un reconocimiento homogéneo del concepto de interesado, con ese único requisito de conexión territorial en cuanto a su lugar de residencia. De todo lo anterior, cabe extraer que todo residente europeo del que consten datos relativos a su salud, sea o no paciente -en el contexto de este trabajo, la situación más habitual-, es interesado a todos los efectos y se beneficia de la protección que le dispensa el Reglamento. Esto incluye a todos aquellos ciudadanos no europeos, que en tanto cumplan con el meritado requisito, también se verán protegidos gracias a este precepto.
Según el Art. 3c) de la LOPD se entiende por tratamiento de datos37 todas aquellas: «operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias». La definición es muy amplia, y se refiere prácticamente a toda operación que se realiza respecto de los datos de una persona física. Aún más garantista resulta la dada por el Reglamento comunitario en su Art. 4.2, entendiendo por tratamiento: «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción». La enumeración aquí realizada es claramente ejemplificativa, en ningún caso numerus clausus.
En esencia, el quid sigue siendo el mismo: prácticamente toda interacción con un dato de carácter personal se considera tratamiento. Recordemos que la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental, también a nivel comunitario38. Aclara el Considerando cuarto que: «El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad», lo que constituye un apunte de marcado carácter teleológico para la interpretación de la norma.
Nos encontramos por tanto ante una importante responsabilidad del personal sanitario, que necesariamente para el desarrollo de su trabajo precisa de la utilización de multitud de datos de carácter per- sonal -sexo, constantes vitales, grupo sanguíneo, alergias, antecedentes, y un largo et cétera de datos destinados a aparecer en la historia clínica, de acuerdo a la previsión realizada por el Art. 15 LAP39-.
III.1. Importancia de la protección de datos y derechos que se tutelan: Los datos personales
A la vista de lo expuesto hasta ahora, y en estos términos tan amplios, nos encontramos con una realidad indiscutible: en el desarrollo normal de las actividades profesionales relacionadas con la salud, se producen permanentemente situaciones de lo que la ley denomina «tratamiento de datos». En el caso de los profesionales sanitarios, esta información perteneciente a los pacientes40 tiene una consideración especial, por ser datos relativos a su salud. Debemos tener en cuenta que la protección de datos viene incardinada como una manifestación directa de los derechos a la intimidad41 y la propia imagen42, todos estos con reconocimiento al máximo nivel normativo en la Constitución Española (artículos 18.1 y 18.4), como introduciremos a continuación y profundizaremos más adelante.
Nuestro Tribunal Constitucional contribuyó a perfilar el derecho a la protección de datos como un derecho separado43 -aunque relacionadoa a de dos sobresalientes sentencias, las conocidas STC 290/2000 y 292/2000, ambas de 30 de noviembre. En ellas, se da el paso definitivo hacia el reconocimiento de un verdadero derecho fundamental autónomo a la protección de datos, que ha sido etiquetado como un «derecho fundamental de creación jurisprudencial». Como explica DÍAZ REVORIO: «Lo que hoy denominamos derecho fundamental a la protección de datos personales, libertad informática, autodeterminación informativa o habeas data, es en el sistema español un derecho fundamental de creación jurisprudencial, pues el artículo 18.4 de la Constitución, que le sirve de sustento principal, establece en puridad un mandato al legislador («La ley limitará el uso de la informática...») y no un derecho fundamental en sentido propio. El Tribunal Constitucional, siguiendo la estela del Bundesverfassungsgericht alemán [que en 1983 había establecido la existencia de un derecho de autodeterminación informativa, derivado del derecho general a la personalidad del artículo 2 de la Ley Fundamental (,..)]»44.
En el Fundamento Jurídico Sexto de la STC 292/200, nuestro TC concreta el contenido y fin que pretenden salvaguardarse mediante este derecho fundamental, y las diferencias con el derecho a la intimidad:
La función del derecho fundamental a la intimidad del art. 18.1 C. E. es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad (por todas STC 144/1999, de 22 de julio, F. J. 8). En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado. En fin, el derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, por esta razón, y así lo ha dicho este Tribunal (SSTC 134/1999, de 15 de julio, F. J. 5; 144/1999, F. J. 8; 98/2000, de 10 de abril, F. J. 5; 115/2000, de 10 de mayo, F. J. 4), es decir, el poder de resguardar su vida privada de una publicidad no querida. El derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información. Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin.
De ahí la singularidad del derecho a la protección de datos, pues, por un lado, su objeto es más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 C. E., sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (STC 170/1987, de 30 de octubre, F. J. 4), como el derecho al honor, citado expresamente en el art. 18.4 C. E., e igualmente, en expresión bien amplia del propio art. 18.4 C. E., al pleno ejercicio de los derechos de la persona.»
Y a continuación, aclara: «De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 C. E. otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo.»45
En nuestra doctrina, pueden citarse los trabajos de ALGUACIL GONZÁLEZ-AURIOLES46, GALÁN JUÁREZ47, y más recientemente y con gran profusión, CASTILLA BAREA48, todos ellos relativos al significado y alcance que estas dos resoluciones han desplegado en el ordenamiento jurídico patrio. Esta última autora desarrolla esa frontera, en ocasiones difusa, que la inabarcable casuística puede presentar entre el derecho a la intimidad y el derecho a la protección de datos: «Desde luego, a raíz de estas afirmaciones, queda absolutamente establecida por la jurisprudencia constitucional la autonomía del derecho a la protección de datos con respecto a cualquier otro derecho fundamental y, muy en particular, con respecto al derecho a la intimidad, del que en un principio se consideró como una manifestación positiva y con el que siempre ha guardado una indiscutible conexión. Sin embargo, ello no impide que a través de la protección de determinados datos se logre la tutela del derecho a la intimidad, como tampoco puede excluirse que un mismo acto de un tercero pueda simultáneamente vulnerar ambos derechos o, concomitantemente, cualquiera de los otros que, también con carácter autónomo -según doctrina consolidada del Tribunal Constitucional-, se contemplan en el art. 18.1 CE y que son el derecho al honor y a la propia imagen o, en definitiva, cualquier otro derecho o bien de la personalidad. En consecuencia, lo cierto es que la linde entre los derechos a la intimidad y a la protección de datos es muy difícil de precisar cuando la agresión externa se produce mediante el uso o el tráfico ilícito de datos personales de carácter íntimo, pues en este caso no se advierte muy bien cuál es el ámbito de tutela del ciudadano reservado a la protección de datos que no queda satisfecho o «absorbido» por la tutela del derecho a la intimidad. De ahí que se haya afirmado la necesidad de re formular el propio concepto jurídico del derecho a la intimidad a la luz de las nuevas oportunidades de lesión que brindan la actual sociedad de la información y el desarrollo de las nuevas tecnologías», cuestión esta que sigue en auge, en la inacabable persecución de la norma a los sucesivos avances de la tecnología y la medicina49.
Retornando a las especialidades en materia de datos relativos a la salud, cabe señalar que, si antes acudíamos a la definición dada por la LOPD y el Reglamento sobre datos personales, ahora debemos añadir una serie de notas específicas para el caso de información de naturaleza médica. El Art. 7.3 de la LOPD recoge la especialidad médica como una de las materias merecedoras de especial protección50. No obstante, son los ya citados artículos 5g) del Reglamento estatal, y 4.13, 4.14 y 4.15 del Reglamento comunitario los que facilitan una definición del concepto y que, a futuro, se erigirán como preceptos de referencia.
Continuando con las menciones a datos médicos, debemos recordar en este sentido que la historia clínica es el documento por antonomasia donde aparecerán las informaciones concernientes a la salud pasada, presente y futura de un paciente. Estos datos relacionados con la salud reciben la calificación de «datos especialmente protegidos», recibiendo la protección jurídica más alta que la ley puede procurar, de acuerdo a lo preceptuado en el Art. 7.3 de la LOPD. Por ello, dado que se trata de datos especialmente sensibles, debemos extremar la diligencia en el trato de los mismos.
No obstante lo anterior, el legislador es consciente de que la profesión necesita una habilitación ágil para poder efectuar el tratamiento de los datos -que prevé el Art. 7.6 LOPD51-, sin perjuicio de las pre- cauciones que se deben tomar al momento de recabar los datos administrativos -normalmente efectuado en el departamento de «admisión» de pacientes-. El Art. 8 de la LOPD ha sido dedicado a los datos relativos a la salud, procurado la flexibilización de su tratamiento:
«Artículo 8. Datos relativos a la salud.
Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.»
Esta habilitación legal viene suplementada por el deber de secreto que recoge con carácter general el Art. 10 LOPD para todos aquellos que realicen tratamiento de datos -dentro de la amplitud del término que ya se reseñó anteriormente-, pero sobre todo por un deber legal de secreto impuesto a los profesionales de la salud, que la Ley de Autonomía del Paciente establece taxativamente en su Art. 16.6:
«El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto».
Todo ello sin olvidar el resto de disposiciones legales que insisten sobre la confidencialidad y el respeto al tratamiento de datos -nota a pie 12-, que contribuyen a fortalecer y consolidar la confidencialidad médica como deber ex lege.
El Reglamento europeo también ha sabido recoger esta especial habilitación, que pone de manifiesto en su Considerando 5352 y en el 164, que reconoce la habilitación de los Estados miembros para adoptar «normas específicas con vistas a salvaguardar el deber de secreto profesional u obligaciones equivalentes, en la medida necesaria para conciliar el derecho a la protección de los datos personales con el deber de secreto profesional», como es el caso de la LAP y el resto de las normas relativas a datos sanitarios y deber de confidencialidad que ya hemos reseñado. Además de las referencias en su introducción, el cuerpo legal ha provisto un precepto relativo al tratamiento de datos de salud y al deber de confidencialidad en su Art. 9.3:
«3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.»
Por tanto, y para finalizar, cabe concretar algunos de los documentos y tipología de datos que se presentan con frecuencia en el ejercicio de las profesiones sanitarias y que tienen relevancia como «dato relativo a la salud del paciente», es decir, que son susceptibles de serles aplicables todas las valoraciones aquí vertidas. A lo largo del tratamiento o asistencia que se dispensa al paciente, se irán recopilándose datos sobre el mismo, siendo la historia clínica el documento médico y «hub» médico informativo por antonomasia. Por consiguiente, nos encontramos con que deberemos entender incluidos como datos sanitarios protegidos los resultados de las pruebas que se practiquen al paciente. Esta información también se considera dato personal, e incluye tanto meros datos -por ejemplo, resultados de laboratorio de un análisis de sangre- como fotografías o resultado de pruebas gráficas como radiografías, ecografías (incluso en vídeo) endoscopias, etc. Por tanto, todo dato relativo a la salud del paciente deberá ser tratado con máxima cautela.
III.2. El interesado y la protección de su derecho a la intimidad
Como decíamos al principio, el derecho a la protección de datos de carácter personal tiene una importante vinculación en el derecho a la intimidad53 -de especial fortaleza en datos médicos-, instalado en el Art. 18.1 de la Constitución Española, cuyo contenido literal es: «Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen». Además del propio tenor del precepto, comprendido dentro del mismo podría entenderse inserto más concretamente el derecho a la intimidad corporal54. En relación a la intimidad personal, debemos entenderla desde una perspectiva negativa -derecho de exclusión frente a otros-, como ha dicho VIDAL MARÍN: «(...) podemos concluir definiendo el derecho a la intimidad como aquel derecho que confiere a su titular tanto la potestad de excluir del conocimiento ajeno aquellos actos, hechos, sentimientos, actitudes, etc. que conforman su esfera íntima como la facultad de controlar las informaciones que afecten al mismo. Resulta evidente, pues, que el derecho a la intimidad tiene por objeto proteger a la persona frente a las intromisiones de terceros dentro de su ámbito íntimo, bien sea excluyendo éste del conocimiento de terceros, bien sea mediante el control de las informaciones que le afecten»55.
Para este contexto, considero que puede resultar más ilustrativa una formulación en positivo. SERRANO PÉREZ manifiesta que «con el derecho a la intimidad se protege el espacio inmaterial de desarrollo de aspectos de la vida privada tanto frente a intromisiones no consentidas, como a la divulgación de lo conocido por medio de la intromisión. Por ello, el derecho a la intimidad se traduce también en un poder de control sobre la publicidad de la información relativa a la persona y su familia, con independencia del contenido de aquello que se desea mantener al abrigo del conocimiento público»56.
De acuerdo a la Sentencia del Tribunal Constitucional 121/2002, de 20 de mayo: «(...) el derecho fundamental a la intimidad, que tiene por objeto garantizar al individuo un ámbito reservado de su vida frente a la acción y el conocimiento de los demás, sean éstos poderes públicos o simples particulares. Este derecho atribuye a su titular el poder de res- guardar ese ámbito reservado, no sólo personal sino también familiar, frente a la divulgación del mismo por terceros y a una publicidad no querida. Así pues, no se garantiza una intimidad determinada sino el derecho a poseerla, disponiendo a este fin de un poder jurídico sobre la publicidad de la información relativa al círculo reservado de su persona y su familia, con independencia del contenido de aquello que se desea mantener al abrigo del conocimiento público»51, citando a continuación la STC 115/2000, de 10 de mayo.
El derecho a la intimidad protege la esfera más reservada de las personas, entendiéndose como tal el ámbito inmediatamente personal que desea mantenerse protegido de la observación y juicio de terceros58. Otras manifestaciones de este derecho a la intimidad son la dignidad humana y el libre desarrollo de la personalidad (art. 10.1 CE). De este modo, incluso las personas más expuestas al público tienen un derecho inalienable a establecer y disfrutar de un núcleo inaccesible de intimidad59. Además, la intimidad viene también reconocida como un derecho concedido a la pluralidad de personas que componen el núcleo familiar60. Todas estas consideraciones tienen cabida y son de aplicación a los datos relativos a la salud.
La intimidad familiar también extiende un especial efecto en el ámbito de la salud, pues se refiere a un interés colectivo de un grupo de personas que comparten un especial y estrecho vínculo afectivo, de tal modo que el estado de salud de uno de los miembros de ese grupo puede afectar a los demás. Se refiere a aspectos de la vida de otras personas con las que se mantiene una especial y estrecha vinculación como es la familiar; «aspectos que por la relación o vínculo existente con ellas, inciden en la propia esfera de la personalidad del individuo que los derechos del art. 18 de la CE protegen»61. El TC se refiere a «ciertos eventos que puedan ocurrir a padres, cónyuges o hijos tienen, normalmente, y dentro de las pautas culturales de nuestra sociedad, tal trascendencia para el individuo, que su indebida publicidad o difusión incide directamente en la propia esfera de su personalidad».
Como podemos ver, la protección de datos despliega una importante aplicación práctica del derecho a la intimidad, pues está destinada a salvaguardar una esfera casi62 inexpugnable de la personalidad del paciente63. Consecuentemente, esta protección alcanza también al secreto de datos relativos a la salud del afectado64, dada su naturaleza íntima y especialmente protegida por el ordenamiento jurídico. A efectos de protección de datos, el paciente recibe la denominación indistinta de «interesado» o «afectado». El Reglamento de desarrollo de la LOPD le define en su Art. 5.1.a) como aquella «persona física titular de los datos que sean objeto del tratamiento». Por tanto, si el interesado -paciente- es la persona titular de sus datos, en tal calidad se encontrará facultado para ejercer los derechos que la ley de confiere. En el ámbito asistencial, encontramos también una manifestación negativa que opera por defecto65: se entenderá siempre que existe un derecho de exclusión hasta que el afectado no determine lo contrario. Nadie más pueda acceder a sus datos, salvo que exista consentimiento expreso, o nos encontremos ante algunas de las excepciones legalmente previstas -por ejemplo Art. 16.3 LAP-. A este respecto se refiere el artículo 7 de la Ley de Autonomía del Paciente, titulado: «El derecho a la intimidad». Su tenor literal es el siguiente:
Artículo 7. El derecho a la intimidad.
1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.
2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.
Por consiguiente, se debe tomar como punto irrenunciable66 de partida la confidencialidad de datos referentes a la salud67. A continuación, en el punto 2.° se delega en los centros sanitarios la elaboración de normas y procedimientos protocolizados que garanticen el acceso de forma legal. La propia Ley ya prevé una situación que, con frecuencia, puede presentarse en la práctica. Así, el Art. 5.3 de la LAP preceptúa que «Cuando el paciente, según el criterio del médico que le asiste, carezca de capacidad para entender la información a causa de su estado físico o psíquico, la información se pondrá en conocimiento de las personas vinculadas a él por razones familiares o de hecho». Como puede comprobarse, se trata de una excepción introducida por la Ley. Nótese que en ese estado, si no tiene capacidad de entendimiento, difícilmente puede otorgar un consentimiento informado médico (Art. 8 LAP), ni tampoco un consentimiento de tratamiento de datos, pudiendo los familiares tener acceso a datos tales como estado de salud, diagnóstico, resultados de pruebas médicas, etc.; que puede asimilarse con el consentimiento médico del Art. 9.3 LAP.
Para tal caso, el Art. 9 de la Ley de Autonomía del Paciente prevé dos escenarios de actuación médico-sanitaria: sin consentimiento del afectado cuando resulten indispensables para la salud o integridad del paciente o riesgo para la salud pública (Art. 9.2); o representación por terceros: esencialmente familiares y tutores (Art. 9.3), incluidos aquí los menores de edad por sus padres.
IV. CONCLUSIONES
En el presente trabajo hemos intentado dibujar el marco jurídico en el que se asienta una materia tan específica como la protección de datos relativos a la salud del paciente. Hemos podido observar la estrecha vinculación que existe entre dos derechos diferentes y autónomos, como son el derecho a la intimidad y el derecho a la protección de datos, cuando la materia sobre la que versa es relativa a datos médicos. En un plano más cercano, hemos podido analizar la difusa frontera en la que, en ocasiones, se encuentran la intimidad y la protección de datos en materia sanitaria. A la luz de lo expuesto, podemos afirmar que nos encontramos ante un tipo reforzado de datos, cuya protección resulta extraordinaria al abrigo de ambos Derechos Fundamentales.
Asimismo, también hemos podido realizar un acercamiento, desde un punto de vista pragmático, a las importantes referencias que realiza en esta materia el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de datos). Como es bien sabido y hemos tenido ocasión de abordar en el texto, de aquí a 2018 se requerirá de un esfuerzo por parte de todos los actores, tanto sanitarios como informáticos y jurídicos para realizar las adaptaciones necesarias al nuevo cuerpo legal de referencia, que armonizará la materia de protección de datos de carácter personal dentro de las fronteras de la Unión Europea.
A la vista de la gran preocupación y concienciación del sector sanitario en la materia, así como del importante desarrollo técnico y normativo relativo a la protección de datos, el nuevo Reglamento no impone medidas excepcionales que no puedan ser afrontadas en el plazo de 2 años concedido por la norma, más allá de determinados aspectos como el privacy by design, que requieren de planteamientos que enraízan en mismo origen de las aplicaciones que deberán almacenar y manejar nuestros datos, tales como configuraciones de protección de privacidad instaladas por defecto -by default-, cifrado de datos con protocolos actualizados, políticas proactivas en lugar de reactivas para la protección de estos datos sensibles, instauración efectiva desde las fases tempranas de desarrollo de las soluciones tecnológicas y de software, protección «end to end» de los datos registrados, accesibilidad y protección al usuario, etcétera.
1 La Constitución Portuguesa de 1976 es pionera en el reconocimiento al máximo nivel del derecho, entonces embrionario, a la protección de datos en su Artículo 35 -posteriormente reformado en 1982 y 1989-. Dos años más tarde, y aunque no inserto propiamente en el cuerpo constitucional, vale la pena destacar su introducción por vía de Ley Federal (Bundesgesetz über den Schutz personenbezogener Daten), dentro de la particular configuración de derechos fundamentales en Austria, por el que se le reconoce rango constitucional (Verfassungsrang). Con posterioridad, otras constituciones de nuestro entorno cultural fueron incorporando referencias a la protección de datos. Así, la Constitución Finlandesa tras su reforma de 1980 en el Art. 8; la Ley Fundamental de los Países bajos en 1983, o la Constitución de Suecia desde 1994. La Corte Costituzionale della Repubblica Italiana ha incorporado este diritto a la riservatezza -e alla protezione dei propri dati personali- a través de una interpretación expansiva de su Art. 13, relativo a la libertad personal en conexión con el Art. 2, que reconoce la inviolabilidad de los derechos del hombre. En parecidos términos, y también en clave de construcción doctrinal a través de la jurisprudencia del tribunal constitucional, el Bundesverfassungsgericht alemán también ha acudido a estos preceptos más genéricos como la inviolabilidad de la dignidad del ser humano (Art. 1.1) y el libre desarrollo de la personalidad (Art. 2.1) de la Grundgesetz für die Bundesrepublik Deutschland (Ley Fundamental para la República Federal de Alemania), dando un enclave constitucional al Informationelle Selbstbestimmung (derecho a la autodeterminación informativa) a partir de 1983.
2 DAVARA FERNÁNDEZ DE MARCOS, Isabel: «Hacia la estandarización de protección de datos personales». Ed. La Ley, Las Rozas, 2011. Página 8: Tan amplio es el alcance de la protección de datos, especialmente si tenemos en cuenta la flexibilidad de la definición de «tratamiento» que da la ley que, como dice la autora: «La realidad es que actualmente no existe actividad, pública o privada, comercial o no, que pueda sobrevivir sin tratamiento de datos de carácter personal (administrados, clientes, personal, etc.).»
3 BARRAL VIÑALS, Inmaculada: «Datos relativos a la salud e historia clínica: La confidencialidad de los datos médicos», en LLÁCER MATACÁS María Rosa (Coord.): «Protección de datos personales en la sociedad de la información y la vigilancia». Ed. La Ley, Las Rozas, 2011. En sus páginas 352 y 353 puntualiza que «sería deseable la uniformidad de términos», contraponiendo el genérico «dato médico» frente al «dato relativo a la salud», más correcto. No obstante, una vez hecha la precisión técnica, tanto en su trabajo como en este, para evitar una indeseable reiteración, se utilizan ambos términos indistintamente.
4 De acuerdo a las observaciones puestas de relieve por BELTRÁN AROCA en el sector público, dependiendo de la especialidad se llegan a producir faltas de confiden- cialidad de datos médicos de pacientes con una tasa de hasta 1 cada 9'4 horas de servicio. En dicho estudio se agruparon las especialidades en 7 secciones, algunas de ellas mostrando un comportamiento más riguroso (una media cercana a 1 falta cada 22 horas), pero si ponemos en conjunto todas las secciones que componen un centro sanitario, nos encontramos ante una fuga constante de información muy sensible. BELTRÁN AROCA, María Cristina: «Debilidades en la guarda del secreto médico en la práctica clínica». Tesis doctoral, dirigida por D. Eloy Girela Gómez y codirigida por D. Eliseo Collazo Chao, del Departamiento de Farmacología, Toxicología y Medicina Legal y Forense de la Facultad de Medicina y Enfermería de la Universidad de Córdoba, 2015. Página 154.
5 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Publicado en el BOE n.° 298, de 14 de diciembre de 1999, páginas 43088 a 43099 (12 págs.).
6 Sobre el equilibrio público-privado y la revelación de información de la esfera íntima del sujeto, vid. SARTOR, Giovanni: «The Right to be Forgotten: Dynamics of Privacy and Publicity», en FLORIDI, Luciano (Ed.): «Protection of Information and the Right to Privacy - A New Equilibrium?» Ed. Springer, Suiza, 2014.
7 Nuestro Tribunal Constitucional (ATC 600/1989 de 11 de Diciembre de 1989, Sección 4.a) se ha referido a esta relación necesaria de protección de información sensible y la consecuente obligación de discreción en sede de secreto médico: «El secreto profesional, en cuanto justifica, por razón de una actividad, la sustracción al conocimiento ajeno de datos o informaciones obtenidas que conciernen a la vida privada de las personas, está estrechamente relacionado con el derecho a la intimidad que el art. 18.1 de la Constitución garantiza, en su doble dimensión personal y familiar, como objeto de un derecho fundamental. En tales casos, la observancia del secreto profesional puede ser garantía para la privacidad, y el respeto a la intimidad, una justificación reforzada para la oponibilidad del secreto, de modo que se proteja con éste no sólo un ámbito de reserva y sigilo en el ejercicio de una actividad profesional que, por su propia naturaleza o proyección social se estime merecedora de tutela, sino que se preserve, también, frente a intromisiones ajenas, la esfera de la personalidad que el art. 18.1 de la Constitución garantiza.
Ello adquiere especial relevancia en el caso del secreto médico, habida cuenta de la particularidad de la relación que se establece entre el profesional de la medicina y el paciente, basada firmemente en la confidencialidad y discreción y de los diversos datos relativos a aspectos íntimos de su persona que con ocasión de ella suelen facilitarse. De ahí que el secreto profesional sea concebido en este ámbito como norma deontológica de rigurosa observancia, que encuentra una específica razón de ser no ya en la eficiencia misma de la actividad médica, sino en el respeto y aseguramiento de la intimidad de los pacientes».
8 TRONCOSO REIGADA, Antonio: «La protección de datos personales. En busca del equilibrio». Ed. Tirant lo Blanch, Valencia, 2010. Página 1099. Posteriormente, conecta todos ellos con otros derechos constitucionales, como el Art. 27 (derecho a la educación) o el Art. 35 (derecho al trabajo), explorando la transversalidad que despliegan tanto la protección de datos como el derecho a la salud.
9 LEÓN ALONSO, Marta: «La protección constitucional de la salud». Ed. La Ley, Las Rozas, 2010. Página 141: «(...) a pesar de su indiscutible importancia, el derecho a la protección de la salud, desde una concepción estrictamente positivista del ordena- miento, no se ha considerado jurídicamente un derecho fundamental, sino más bien un derecho social o un principio rector subjetivado».
10 AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID: «Protección de datos personales para Servicios Sanitarios Públicos». Ed. Thompson Civitas, Madrid, 2008. Página 542: «(...) la propia LOPD establece una excepción en la que no es necesario el consentimiento expreso (...) cuando el tratamiento de los datos especialmente protegidos sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar tal consentimiento. Esta circunstancia deriva de la lógica prevalencia del derecho a la vida sobre el derecho a la protección de datos.»
11 El nuevo Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), publicado en el DOL 119, de 4 de mayo de 2016, páginas 1 a 88, lo ha puesto de relieve en su Considerando 1.°: «La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.»
12 STODDART, Jennifer; CHAN, Benny; y JOLY, Yann: «The European Union's Adequacy Approach to Privacy and International Data Sharing in Health Research», en The Journal of Law, Medicine & Ethics, n.° 44, 2016. Páginas 143 a 155. Durante todo su trabajo, se muestran críticos con inconsistencias en el concepto de privacidad, refiriéndose al caso de los «datos sensibles» en su página 147.
13 Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de derechos y obligaciones en materia de información y documentación clínica. Publicada en el BOE n.° 274, de 15 de noviembre de 2002, páginas 40126 a 40132 (7 págs.)
14 En el caso objeto del presente estudio, podemos encontrar preceptos legales relativos al deber de confidencialidad y protección de datos médicos, establecido por disposición legal: Art. 10.3 de la Ley 14/1986, de 25 de abril, General de Sanidad. Publicado en BOE n.° 102, de 29 de abril de 1986, páginas 15207 a 15224 (18 págs.); Arts. 7, 16, 18, 19, y párrafos cuarto y penúltimo de la Exposición de Motivos, todos ellos de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; Arts. 56 y 58 de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud, publicada en el BOE n.°128, de 29 de mayo de 2003, páginas 20567 a 20588 (22 págs.); Arts. 8.5 y 5.2 de la Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias, publicada en el BOE n.° 280, de 22 de noviembre de 2003, páginas 41442 a 41458 (17 págs.); Arts. 18.2, 3.6, 5.1, 5.5, 11.6, 15.1e), 18.3, 21.1, y especialmente 26.2b)-5.° por considerarlo infracción muy grave; Arts. 4, 5 y 6 del Real Decreto 183/2004, de 30 de enero, por el que se regula la tarjeta sanitaria individual, publicado en BOE n.° 37, de 12 de febrero de 2004, páginas 6386 a 6388 (3 págs.); Ley 14/2006, de 26 de mayo, sobre técnicas de reproducción humana asistida, publicada en BOE n.° 126, de 27 de mayo de 2006, páginas 19947 a 19956 (10 págs.); Arts. 1.2, 2c), 3w), 5, 8 párrafo 1.°, 9, 15d), 24, 45b), d) y e), 46 a 53, 70, 73, 74B)d), DT Segunda d), así como a lo largo de toda la exposición de motivos, de la Ley 14/2007, de 3 de julio, de Investigación biomédica, publicada en BOE n.°159, de 4 de julio de 2007, páginas 28826 a 28848 (23 págs.); Arts. 5, 4.2, 10.2 f) g) y h), 11.2 h) y k), 11.8, 17.5, 18.2 l) m) y o), 22.2, 31.7 y especialmente 33.1a)-1.° por considerarlo infracción muy grave del Real Decreto 1723/2012, de 28 de diciembre, por el que se regulan las actividades de obtención, utilización clínica y coordinación territorial de los órganos humanos destinados al trasplante y se establecen requisitos de calidad y seguridad, publicado en BOE n.° 313, de 29 de diciembre de 2012, páginas 89315 a 89348 (34 págs.); Arts. 43 y 7 de la Ley 33/2011, de 4 de octubre, General de Salud Pública, publicada en BOE n.° 240, de 5 de octubre de 2011, páginas 104593 a 104626 (34 págs.); y finalmente Arts. 79.8, párrafo 2.° -por eximir de necesidad de consentimiento para la transferencia de datos de carácter médico-, 90.6, 103, y 59.3, 62.2 y.5, 111.b) 19.a y 21.a, del Real Decreto Legislativo 1/2015, de 24 de julio, por el que se aprueba el texto refundido de la Ley de garantías y uso racional de los medicamentos y productos sanitarios, publicado en BOE n.° 177, de 25 de julio de 2015, páginas 62935 a 63030 (96 págs.).
15 Instrumento de Ratificación del Convenio para la protección de los derechos humanos y la dignidad del ser humano con respecto a las aplicaciones de la Biología y la Medicina (Convenio relativo a los derechos humanos y la biomedicina), hecho en Oviedo el 4 de abril de 1997. Publicado en: BOE n.° 251, de 20 de octubre de 1999, páginas 36825 a 36830 (6 págs.).
16 No puede dejar de mencionarse, también con alcance internacional y muy específico de esta materia, el Convenio 108 del Consejo de Europa y la Recomendación n.° R (97) 5, relativa a la protección de datos médicos del Consejo de Europa.
17 ANDORNO, Roberto: «The Oviedo Convention: A European Legal Framework at the Intersection of Human Rights and Health Law», en Journal of International Biotechnology Law, n.° 2, 2005. Páginas 133 a 143. A pesar de representar un instru- mento de cierto alcance internacional, Alemania e Inglaterra no forman parte del mismo, y Croacia, Dinamarca, Francia, Noruega, Suiza y Turquía se reservaron expresamente una interpretación y aplicación particular del Art. 36.
18 Artículo 1. Objeto y finalidad: 1. (...) 2. Cada Parte adoptará en su legislación interna las medidas necesarias para dar aplicación a lo dispuesto en el presente Convenio.
19 QUINN, Paul; HABBIG, Ann-Katrin; MANTOVANI, Eugenio; y DE HERT, Paul: «The Data Protection and Medical Device Frameworks -Obstacles to the Deployment of mHealth across Europe?», en European Journal of Health Law, n.° 20, 2013. Páginas 185 a 204.
20 WICKS, Elizabeth: «Electronic Health Records and Privacy Interests: The English Experience», en GEORGE, Carlisle; WHITEHOUSE, Diane; y DUQUENOY, Penny (Eds.): «eHealth: Legal, Ethical and Governance Challenges». Ed. Springer, Heidelberg, 2013. Páginas 57 a 77.
21 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Publicado en el BOE n.° 17, de 19 de enero de 2008, páginas 4103 a 4136 (34 págs.).
22 Ampliada en el en el Considerando 54 cuando efectúa una enumeración de datos de salud merecedores de protección.
23 En este mismo sentido, el Apartado 45 de la Memoria Explicativa del Convenio 108 de Europea. También, en este sentido, vid. ÁLVAREZ HERNANDO, Javier: «Tra- tamiento de datos personales relacionados con la salud», en «Practicum de Protección de Datos 2015». Ed. Aranzadi, Cizur Menor, 2014.
24 Resolución n.° R/00029/2003, Procedimiento n.° PS/00099/2002. Fundamento VI, párrafo décimo: «La minusvalía (que en el presente caso constatado en el presente expediente es superior al 65%) supone una alteración para el ejercicio normal de todas las funciones del afectado siendo así un dato que hace referencia a la salud según prevé el artículo 7 de la citada LOPD.»
25 Considerando 35: «Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo; todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.»
26 Aun tratándose de un dato relativo a la salud de las personas físicas, no puede obviarse la excepción prevista en el Art. 81.6 RLOPD para el tratamiento con nivel de seguridad básico cuando se refiere, por ejemplo, a la inclusión del dato en la nómina de los trabajadores que tienen reconocido un determinado grado de discapacidad.
27 A este particular ha apuntado BIURRÚN ABAD, Fernando: «Novedades del nuevo Reglamento de Protección de Datos», en Actualidad Jurídica Aranzadi n.° 916/2016, Ed. Aranzadi, Cizur Menor, 2016: «Además, el Reglamento crea nuevas categorías especiales de datos personales a las ya existentes hasta ahora (el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, datos relativos a la salud o a la sexualidad, y las infracciones o condenas), se añaden los datos genéticos y los datos biométricos, "cuyo tratamiento, en consecuencia, pasa a estar prohibido, con carácter general, en este caso siempre que se lleve a cabo con el fin de identificar de forma única una persona''».
28 KINDT, Els J.: «Privacy and Data Protection Issues of Biometric Applications. A Comparative Legal Analysis». Ed. Springer (Science+Business Media), Dordrecht, 2013. Página 87 y siguientes; y 269 a 273.
29 VAN DER MOLEN, I. N. y COMMERS, M. J.: «Unresolved legal questions in cross-border health care in Europe: liability and data protection», en revista Elsevier: Public Health, n.° 127. Página 991. En algunos casos, particularmente en datos sanitarios, incluso contribuirá a la integración y ejecución de la Directiva 2011/24/UE de 9 de marzo, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza, habida cuenta que se superarán las dificultades de las discrepancias que se generaban en la adaptación de la antigua Directiva 95/46/CE de protección de datos a las normas nacionales, uniformando la materia.
30 Las cifras que recoge la Agencia Española de Datos así lo atestiguan. En el sector privado, para el año 2014 solo se dictaron 2 resoluciones con infracciones muy graves, y en el año 2015 solo 3, representando un porcentaje relativo del 0'34%, en un contexto donde las infracciones en general muestran un descenso del 10'23%. Específicas en materia de Sanidad, durante los últimos 3 años, se han podido percibir ciertas fluctuaciones en el número de actuaciones de la Agencia. En 2013 el número fue de 139. En 2014 se produjo una fuerte subida hasta las 225 actuaciones, que se ha visto moderada en 2015, bajando hasta las 206, representando un 2'53% del total. Cabe destacar el aumento de la tramitación de expedientes sancionadores en Sanidad, que aun así sigue siendo extraordinariamente bajo. En 2013 fue tan solo 1, 2014 fueron 3, y en 2015 se alcanzó la cifra de 10, representando tan solo un 1'44% de estos procedimientos. Se trata de un guarismo global que incluye todos los procedimientos sancionadores, incluidos los que concluyeron en archivo, por lo que cabe colegir un aumento de las reclamaciones, pero que siguen moviéndose en cifras reales extraordinariamente bajas. Lo mismo puede decirse de los apercibimientos en materia de datos sanitarios, con cifras similares, resultando en 11 para el año 2015, y tan solo 4 en los años 2014 y 2013. Memoria de la Agencia Española de Protección de Datos, 2015. Páginas 112, y 114 a 116.
31 Sí que se producirán más dificultades en otras parcelas de la especialidad, no estrictamente de la salud, sino en términos globales, como por ejemplo en cambios que afectan al planteamiento y estrategia de protección de datos. A este respecto, RODRÍGUEZ BALLANO, Susana (2016): «Habemus nuevo Reglamento General de Protección de Datos», en Actualidad Jurídica Aranzadi n.° 919/2016, Ed. Aranzadi, Cizur Menor, 2016. Algunos de estos cambios son la introducción del principio «privacy for design», vid. GARRIGA DOMÍNGUEZ, Ana (2016): «Nuevos retos para la protección de datos personales en la era del Big Data y de la computación ubicua», Ed. Dykinson, Madrid, 2016, páginas 243 a 246), la introducción la figura del Oficial de Protección de Datos -Data Protection Officer: DPO-, notificaciones a los interesados si se producen fugas de datos protegidos, o la evaluación de impacto, que para el caso de datos médicos, se ha previsto en el Considerando 91 in fine una excepción que afecta a las clínicas unipersonales: «El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria».
32 1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
33 ENISA (European Union Agency for Network and Information Security): «Privacy and Data Protection by Design - From Policy to Engineering», 2015. Página 59. Disponible en línea en: https://www.enisa.europa.eu/publications/privacy-and-dataprotection-by-design
34 GÜRSES, Seda; TRONCOSO, Carmela; y DÍAZ, Claudia: «Engineering Privacy by Design». Publicado en Computers, Privacy & Data Protection, 2011. Disponible en línea en el repositorio de la Katholieke Universiteit te Leuven de Bélgica, departement elektrotechniek (ESAT): https://securewww.esat.kuleuven.be/cosic/publications/ article-1542.pdf
De las mismas autoras: «Engineering Privacy by Design Reloaded» (2015). Publicado en la Amsterdam Privacy Conference de 2015. Disponible en línea en: https://securewww.esat.kuleuven.be/cosic/publications/article-2589.pdf
35 Al momento de la redacción de este trabajo, desde la presidencia de la Agencia Española de Protección de Datos, se fija como objetivo marzo de 2017 para la propuesta de modificación de la LOPD y para el Estatuto de la AEPD. A este respecto se refirió en la 8.a Sesión Anual Abierta de la Agencia Española de Protección de Datos, celebrada el pasado día 29 de junio de 2016. Puede consultarse su intervención en http://www.agpd.es/portalwebAGPD/jornadas/8_sesion_anual/index-ides-idphp.php, minutos 30 y 31.
36 FERNÁNDEZ LÓPEZ, Juan Manuel: «Principio de consentimiento: Título II. Principios de la Protección de Datos. Artículo 6», en TRONCOSO REIGADA, Antonio (Coord.): «Comentario a la ley Orgánica de Protección de Datos de Carácter Personal». Ed. Thompson Civitas, 2010, página 453.
37 BELTRÁN AGUIRRE, Juan Luis: «Tratamiento de datos de salud en la prestación de servicios sociales», en Revista Derecho y Salud, Vol. XVIII, n.° 1, 2009 (Ejemplar dedicado a la Protección de datos de la salud), páginas 1 a 20.
38 A este respecto pueden citarse el Art. 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el Art. 16.1, del Tratado de Funcionamiento de la Unión Europea (TFUE), que establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan, y que sirven de introducción al Reglamento a través de su Considerando primero.
39 1. La historia clínica incorporará la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente. Todo paciente o usuario tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud tanto en el ámbito de atención primaria como de atención especializada.
2. La historia clínica tendrá como fin principal facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud. El contenido mínimo de la historia clínica será el siguiente: a) La documentación relativa a la hoja clínico-estadística; b) La autorización de ingreso; c) El informe de urgencia; d) La anamnesis y la exploración física; e) La evolución; f) Las órdenes médicas; g) La hoja de interconsulta; h) Los informes de exploraciones complementarias; i) El consentimiento informado; j) El informe de anestesia; k) El informe de quirófano o de registro del parto; l) El informe de anatomía patológica; m) La evolución y planificación de cuidados de enfermería; n) La aplicación terapéutica de enfermería; ñ) El gráfico de constantes; o) El informe clínico de alta.
40 Recordemos que el afectado o interesado es el titular de sus propios datos, tal y como prevé el Art. 5.1a) RLOPD.
41 GONZÁLEZ FUSTER, Gloria: «The emergence of personal data protection as a fundamental right of the EU». Ed. Springer, Suiza, 2014. En su página 22 y reflexiona sobre la conexión entre privacidad e intimidad y, posteriormente, en las páginas 268 y 271 insiste en la desvinculación de estos conceptos con la protección de datos.
42 Los derechos a la intimidad, la propia imagen y el honor tienen su propia esfera de protección, regulada en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Publicada en el «BOE» n.° 115, de 14 de mayo de 1982, páginas 12546 a 12548 (3 págs.) El alcance de la materia es transversal, pues afecta múltiples facetas y abanicos de derechos, dado que se trata de un principio informador del ordenamiento jurídico. Recordemos que en, este trabajo, se analiza desde la perspectiva convergente del derecho a la protección de datos y del derecho a la salud del paciente.
43 Ya en la STC 110/84, de 26 de noviembre, se infieren las dificultades que plantea desde la perspectiva constitucional este nuevo derecho autónomo, tal y como se desprende del Fundamento de Derecho Tercero, párrafo segundo: «El reconocimiento explícito en un texto constitucional del derecho a la intimidad es muy reciente y se encuentra en muy pocas Constituciones, entre ellas la española. Pero su idea originaria, que es el respeto a la vida privada, aparece ya en algunas de las libertades tradicionales (...) Lo ocurrido es que el avance de la tecnología actual y el desarrollo de los medios de comunicación de masas ha obligado a extender esa protección más allá del aseguramiento del domicilio como espacio físico en que normalmente se desenvuelve la intimidad y del respeto a la correspondencia, que es o puede ser medio de conocimiento de aspectos de la vida privada. De aquí el reconocimiento global de un derecho a la intimidad o a la vida privada que abarque las intromisiones que por cualquier medio puedan realizarse en ese ámbito reservado de vida»; finalmente concediendo que: «No siempre es fácil, sin embargo, acotar con nitidez el contenido de la intimidad.»
44 DÍAZ REVORIO, Francisco Javier: «Principios de la protección de datos: derecho de la información en la recogida de datos. Una perspectiva constitucional», en TRONCOSO REIGADA, Antonio (Coord.): «Comentario a la ley Orgánica de Protección de Datos de Carácter Personal». Ed. Thompson Civitas, 2010.
45 Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre. Fundamento Jurídico Sexto. Publicada en BOE n.°4, de 4 de enero de 2001, páginas 104 a 118 (15 págs.)
46 ALGUACIL GONZÁLEZ-AURIOLES, Jorge: «La libertad informática: aspectos sustantivos y competenciales (SS. T. C. 290 y 292/2000)», en Teoría y Realidad Constitucional, n.° 7, primer semestre, 2001. Páginas 365 a 388.
47 GALÁN JUÁREZ, Mercedes: «STC 292/2000, de 30 de noviembre. Protección de datos de carácter personal. Los derechos civiles individuales», en DORREGO DE CARLOS, Alberto (Coord.): «Veinticinco años de jurisprudencia constitucional. 25 sentencias fundamentales comentadas». Ed. Difusión Jurídica y Temas de Actualidad, Madrid, 2007. Páginas 117 a 126.
48 CASTILLA BAREA, Margarita: «Sentencias del Tribunal Constitucional 290/2000 y 292/2000, de 30 de noviembre de 2000 (Derecho a la libertad informática)», en MARTÍNEZ VÁZQUEZ DE CASTRO, Luis y ESCRIBANO TORTAJADA, Patricia (Coords.): «Comentarios a las sentencias del Tribunal Constitucional en materia civil». Ed. Tirant lo Blanch, Valencia, 2016. Páginas 1111 a 1217, incluyendo transcripción literal de la resolución.
49 RAMIO AGUIRRE, Jorge: «La protección de datos de carácter personal en el sector de la salud: un enfoque hacia la e-salud», en Revista de la Agencia de Protección de Datos de la Comunidad de Madrid (Datospersonales.org), n.° 47, 2010. Página 1: «A todo este desarrollo innovador en la sanidad se le conoce como telemedicina, telesalud, salud digital o bien, al igual que en muchos otros ámbitos haciendo uso del prefijo e que proviene de electronic o electrónica, como e-salud. Podemos encontrar estos términos en inglés como telemedicine o como e-health y telehealth.»
50 Art. 7.3 LOPD: «Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.»
51 «No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto».
52 Considerando 53: «Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional.»
53 TZANOU, María: «Data protection as a fundamental right next to privacy? 'Reconstructing' a not so new right», en International Data Privacy Law, Vol. III, n.° 2, 2013. Página 90.
54 Sentencia del Tribunal Constitucional 25/2005, de 14 de febrero de 2005, Fundamento Jurídico Cuarto: «(...) No obstante, que no exista vulneración alguna del derecho a la intimidad corporal no significa que no pueda existir una lesión del derecho más amplio a la intimidad personal del que aquél forma parte, ya que esta vulneración podría causarla la información que mediante este tipo de pericia se ha obtenido. En el caso concreto de las intervenciones corporales, la violación de este derecho puede producirse, no ya por el hecho en sí de la intervención, sino por razón de su finalidad, es decir, porque a través de la práctica de esa prueba se puede obtener una información que el sujeto no quiera desvelar, lo que puede suponer una intromisión añadida en el ámbito constitucionalmente protegido del derecho a la intimidad personal.»
55 VIDAL MARÍN, Tomás: «El derecho al honor, a la intimidad y a la propia imagen: la Ley Orgánica 1/1982 treinta años después» en VVAA: «La protección jurisdiccional de los derechos. Actas del XI Congreso de la Asociación de Constitucionalistas de España». Ed. Tirant Lo Blanch, Valencia, 2015.
56 SERRANO PÉREZ, María Mercedes: «Los derechos al honor, a la intimidad personal y familiar y a la propia imagen. La inviolabilidad del domicilio. La protección de datos» en GARCÍA GUERRERO, José Luis (coord.): «Los derechos fundamentales. La vida, la igualdad y los derechos de libertad». Ed. Tirant lo Blanch, Valencia, 2013. Páginas 463 a 469.
57 Sentencia del Tribunal Constitucional 121/2002, de 20 de mayo de 2002. Publicada en el BOE n.° 146, de 19 de junio de 2002, páginas 53 a 51 (5 págs.) Fundamento Jurídico Segundo.
58 A este respecto, con mayor concreción, Sentencia del Tribunal Constitucional 151/1991, de 29 de septiembre de 1991. Publicada en el BOE n.° 260, de 30 de octubre de 1991, páginas 14 a 23 (10 págs).
59 En referencia al derecho a la intimidad inalienable incluso para personajes públicos, Sentencia del Tribunal 134/1999, de 15 de julio de 1999.
60 En relación a la intimidad familiar, Sentencia del Tribunal Constitucional 191/1991 de 11 de octubre de 1991.
61 Sentencia del Tribunal Constitucional 231/1988 de 2 de diciembre de 1988. Puede leerse un comentario sobre la referida resolución en PARRA LUCÁN, María de los Ángeles: «De nuevo sobre los derechos de la personalidad: intromisión ilegítima y derecho a la intimidad (Comentario a la Sentencia del Tribunal Constitucional de 2 de diciembre de 1988)», en Anuario de Derecho Civil, Fascículo I, 1989, sección de Jurisprudencia del Tribunal Constitucional. Páginas 209 a 223. Disponible en línea en: https://www.boe. es/publicaciones/anuarios_derecho/abrir_pdf.php?id=ANUC-1989-10020900223_anuario_de_derecho_civil_Sentencias_comentadas:_De_nuevo_ sobre_los_derechos_de_la_personalidad._Intromisi%F3n_ileg%EDtima_y_derecho_a_ la_intimidad_(Comentario_a_la_Sentencia_del_Tribunal_Constitucional_de_2_de_diciembre_de_1988)
62 Nótense, naturalmente, las lógicas excepciones cuando lo que está en juego es la salud pública. Arts. 6, 9.2 a), y sobre todo 16.3 de la Ley de Autonomía del Paciente, en especial este último por los accesos por parte de terceros.
63 LUCENA CID, Isabel Victoria: «El concepto de la intimidad en los nuevos contextos tecnológicos», en GALÁN MUÑOZ, Alfonso (Dir.) «La protección jurídica de la intimidad y de los datos de carácter personal frente a las nuevas tecnologías de la información y comunicación». Ed. Tirant lo Blanch, Valencia, 2014. Página 24.
64 Como una especialidad del derecho a la intimidad, hemos podido observar cierto desarrollo jurisprudencial y doctrinal respecto al derecho a la intimidad corporal, a su vez conectado con el Art. 15 de la Constitución Española, relativo al derecho a la integridad física. El Tribunal Constitucional, en Sentencia de 15 de noviembre de 2004: «Ahora bien, conforme a lo que hemos establecido, Iberia, LAE, S. A., tenía la obligación de informar expresamente a la trabajadora de esa analítica concreta, toda vez que, si bien no afectaba a la intimidad corporal, según se dijo, sí tenía como objeto datos sensibles que lo imponían, pues el hecho de haber consumido en algún momento algún género de drogas, pese a que en nuestro ordenamiento es una conducta en sí misma impune, provoca a menudo un juicio social de reproche en sectores significativos de la comunidad. Por ello, los datos mismos que quedaban comprometidos, por su naturaleza, obligaban a una información previa y expresa, tendente a asegurar la libre decisión.» En palabras del TC, el resultado de la prueba podía provocar un juicio social de reproche. En tal punto se concreta la vulneración al derecho a la intimidad sobre el que hemos venido insistiendo, y la protección de datos juega un papel determinante en mantener invulnerada esta esfera de los derechos fundamentales de la persona, máxime por quien tiene conocimiento de dichos datos íntimos y una obligación de secreto profesional.
65 Es este un ejercicio práctico perfectamente estandarizado de «privacy by default», instaurado en materia sanitaria con mucha anterioridad a la promulgación del Reglamento General.
66 Las excepciones a este principio serán las que se encuentren establecidas por la Ley, como por ejemplo el Art. 11.2.f) LOPD, que en materia de datos relativos a la salud del paciente exime la obtención del consentimiento: «Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.»
67 En materia de datos de carácter médico, se entiende que dicha información se encuentra vinculada al derecho a la intimidad, tal y como explicita la STC 70/2009, de 27 de abril de 2009, Fundamento Jurídico Quinto, párrafo último.
Alberto Hidalgo Cerezo
Abogado. Doctorando en Derecho y Ciencias Sociales por la
Universidad Nacional de Educación a Distancia (UNED).
You have requested "on-the-fly" machine translation of selected content from our databases. This functionality is provided solely for your convenience and is in no way intended to replace human translation. Show full disclaimer
Neither ProQuest nor its licensors make any representations or warranties with respect to the translations. The translations are automatically generated "AS IS" and "AS AVAILABLE" and are not retained in our systems. PROQUEST AND ITS LICENSORS SPECIFICALLY DISCLAIM ANY AND ALL EXPRESS OR IMPLIED WARRANTIES, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES FOR AVAILABILITY, ACCURACY, TIMELINESS, COMPLETENESS, NON-INFRINGMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Your use of the translations is subject to all use restrictions contained in your Electronic Products License Agreement and by using the translation functionality you agree to forgo any and all claims against ProQuest or its licensors for your use of the translation functionality and any output derived there from. Hide full disclaimer
Copyright Universidad Nacional de Educacion a Distancia (UNED) 2016
Abstract
Data protection is one of the law specialties that has expanded the most over the last two decades. The development of digital technologies, reaching all areas of living, as well as the mainstreaming of a matter such as the protection of personal data, which affects almost any operation we do in our daily lives, has generated the need of guarantying the use of these data in a respectful, appropriate manner, and particularly in the case of such sensitive matters, so linked to the constitutional right to data privacy, as are those relating to individual's health. The health field is a subspecialty within the data protection law, not only for the provided superprotection, but also for the needs and obligations that arise in the exercise of the profession, creating a frail twin compromise: on one side we find that health data are subject to a particularly tight treatment, while on the other there is a need to articulate a dynamic method for health professionals that allows them to provide a legal while prompt and quality performance in their assistances, which is required for a true deliver of their services.
You have requested "on-the-fly" machine translation of selected content from our databases. This functionality is provided solely for your convenience and is in no way intended to replace human translation. Show full disclaimer
Neither ProQuest nor its licensors make any representations or warranties with respect to the translations. The translations are automatically generated "AS IS" and "AS AVAILABLE" and are not retained in our systems. PROQUEST AND ITS LICENSORS SPECIFICALLY DISCLAIM ANY AND ALL EXPRESS OR IMPLIED WARRANTIES, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES FOR AVAILABILITY, ACCURACY, TIMELINESS, COMPLETENESS, NON-INFRINGMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Your use of the translations is subject to all use restrictions contained in your Electronic Products License Agreement and by using the translation functionality you agree to forgo any and all claims against ProQuest or its licensors for your use of the translation functionality and any output derived there from. Hide full disclaimer