TEMA 4. LEGISLACIÓN Y NORMATIVA PROTECCIÓN DE DATOS

Existen varias leyes fundamentales que regulan la protección de datos personales y en concreto, los datos de salud.

La Carta de Derechos fundamentales de la Unión Europea, establece que todos los ciudadanos de la UE tienen derecho a que se protejan sus datos personales.

Otra ley fundamental de la que ya hemos hablado y que regula el tratamiento de los datos de salud es la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Dicha ley reglamenta el derecho a la información sanitaria, el consentimiento informado, la documentación sanitaria, la historia clínica y demás información sanitaria. 

1. PROTECCIÓN DE DATOS PERSONALES

La protección de datos personales es un derecho fundamental recogido en el artículo 18.4 de la Constitución española, donde dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos, así como en su artículo 10, que reconoce el derecho a la dignidad de la persona.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Conocido también por sus siglas RGPD.

El 23 de mayo de 2016, se publicó en el Diario Oficial de la Unión Europea (DOUE) la corrección de errores del Reglamento (UE) 2016/679, RGPD. En el que se recogen varias rectificaciones al mencionado Reglamento, en su mayoría referentes a minimizar errores en la traducción del texto a otros idiomas.

El RGPD fortalece el derecho fundamental de protección de datos personales en la era digital y el objeto de esta normativa común en Europa es, según se puede leer en su artículo 1, establecer “normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos”.

La Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (también conocida por sus siglas LOPDGDD), establece en su artículo 1 que esta ley tiene como objetivo adaptar al ordenamiento jurídico español el RGPD europeo, completar sus disposiciones y garantizar los derechos de los ciudadanos conforme al artículo 18.4 de la Constitución española, ya mencionado.

También es obligatorio en cada centro sanitario la existencia de una hoja de información al paciente en la que le solicita su autorización para el tratamiento de sus datos y se le informa del uso y tratamiento de estos. 

2. INFORMACIÓN SOBRE EL TRATAMIENTO DE LOS DATOS PERSONALES

Ya hemos mencionado que cuando una persona acude a un centro sanitario no tienen la obligación de pedir el consentimiento al paciente para el tratamiento de sus datos personales, pero sí debe ser informado del tratamiento de estos.

En los centros y organizaciones sanitarias debe existir documentación donde se informa acerca del tratamiento de los datos personales y de la existencia de ficheros, si los hubiera, con datos personales.

Resumiendo, se debe informar en todo momento de (entre otros anteriormente mencionados):

• Existencia de estos ficheros.
• Finalidad de estos.
• Posibles destinatarios de la información.
• Identidad y dirección del responsable del mantenimiento de los datos personales.
• Posibilidad del ejercicio de sus derechos.

Y dicha información debe ser clara, comprensible, legible y de fácil acceso. Escrita con un lenguaje sencillo y si es necesario, que se remita a un folleto o a una página web donde se pueda consultar. 

3. DERECHOS A.R.C.O.

Los derechos ARCO son las acciones que una persona o su tutor, pueden realizar para ejercer el control sobre sus propios datos personales. Están regulados en los artículos 15 al 21 del RGPD y en los artículos 12 al 18 de la LOPDGDD.

Las siglas pertenecen a los términos: Acceso, Rectificación, Cancelación, Oposición, Limitación y Portabilidad:

• Acceso. El derecho de acceso es el derecho a tener información sobre si nuestros datos personales están siendo objeto de tratamiento, su finalidad, la información sobre su origen y las comunicaciones realizadas de los datos.
• Rectificación. El derecho a rectificación es el derecho a que se modifiquen los datos que no sean exactos o correctos.
• Cancelación. El derecho a cancelación es el derecho a que se supriman los datos no exactos, excesivos o inadecuados.
• Oposición. El derecho a oposición es el derecho a que no se realice el tratamiento de sus datos personales.
• Limitación. El derecho de limitación es el derecho a que los datos personales solo puedan ser tratados con el consentimiento de la persona interesada en determinados supuestos.
• Portabilidad. El derecho a la portabilidad es el derecho a que el responsable del tratamiento de los datos transmita los datos a otro responsable o al mismo interesado, siempre bajo su consentimiento.

Para poder realizar el ejercicio de estos derechos ARCO, se solicita mediante un escrito dirigido al responsable del fichero y éste, al recibir la solicitud, debe comprobar los datos del solicitante y que se cumplan los requisitos exigidos, debiendo contestar de manera obligada a todas las solicitudes. En caso de no recibir una respuesta, se puede reclamar ante la Agencia Española de Protección de Datos.

Una excepción a estos derechos serían los motivos de seguridad y salud públicas. 

4. PROTECCIÓN DE DATOS PERSONALES DE MENORES

La LOPDGDD en su artículo 7 establece en 14 años la mayoría de edad en relación con la protección de datos de carácter personal. El tratamiento de los datos de carácter personal de un menor de edad solo precisa de su consentimiento e información de dicho tratamiento cuando sea mayor de 14 años.

A su vez el artículo 12.6 de la LOPDGDD, establece que “en cualquier caso los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de 14 años, los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles”.

En relación con los datos de salud, el menor de edad mayor de 14 años puede ejercitar por sí solo el derecho de acceso a su historia clínica, pero no oponerse a que lo hagan sus padres o tutores.

El Informe  339/2015 de la Agencia Española de Protección de Datos, sobre el acceso a la historia clínica de los menores entre 16 y 18 años, figura conocida en legislación sanitaria como “menor maduro”, afirma que si bien el menor de edad mayor de 14 años podrá, en general, ejercitar por sí solo el derecho de acceso a la historia clínica, en cambio no podría oponerse a que sus padres, titulares de la patria potestad, pueden acceder igualmente a los datos del menor de edad para el cumplimiento de las obligaciones previstas en el Código Civil. 

Mención aparte la tiene la información sobre la interrupción voluntaria del embarazo de las mujeres de 16 a 18 años. La Ley Orgánica 2/2010, de 3 de marzo, de salud sexual y reproductiva y de la interrupción voluntaria del embarazo prevé en su artículo 13 que la información sobre este hecho a los progenitores de las mujeres de 16 o 17 años que
hayan decidido la interrupción voluntaria del embarazo se puede limitar a uno de los
progenitores o a ninguno de ellos cuando concurran circunstancias que puedan generar un conflicto en perjuicio de la menor: en el caso de las mujeres de 16 y 17 años, el consentimiento para la interrupción voluntaria del embarazo les corresponde exclusivamente a ellas de acuerdo con el régimen general aplicable a las mujeres mayores de edad. Al menos uno de los representantes legales, padre o madre, personas con patria potestad o tutores de las mujeres comprendidas en esas edades deberá ser
informado de la decisión de la mujer. Se prescindirá de esta información cuando la menor alegue fundadamente que esto le provocará un conflicto grave, manifestado en el peligro cierto de violencia intrafamiliar, amenazas, coacciones, malos tratos, o se produzca una situación de desarraigo o desamparo”. Si se da este supuesto, y la menor alega la concurrencia de un conflicto de forma fundamentada, esto supondría que los padres o responsables no podrán acceder a determinada información de salud de esta menor, en los términos previstos en la normativa.

Una reforma de esta ley, en 2015, obligaba a tener el permiso paterno para realizar una interrupción voluntaria del embarazo a mujeres de entre 16 a 17 años, pese a la presencia de graves conflictos. En 2020, un acuerdo de gobierno ha permitido volver a recuperar esa autonomía en mujeres de 16 a 17 años. 

5. PROTECCIÓN DE DATOS PERSONALES DE PERSONAS FALLECIDAS

La LOPDGDD, en su artículo 3, permite que las personas vinculadas a la persona fallecida por razones de parentesco o sus herederos, puedan solicitar el acceso a sus datos personales, así como su rectificación o supresión, sujeto a las instrucciones de la persona fallecida.

También se permite su solicitud a las personas o instituciones a las que la persona fallecida hubiera designado para ello de manera expresa, o en el caso de menores, por parte de sus representantes legales. En caso de personas con discapacidad o dependencia, también se incluyen sus cuidadores.

Existe la excepción de acceso a estos datos si la persona fallecida lo hubiese prohibido expresamente.

Los centros y organizaciones sanitarias, así como cualquier profesional sanitario que tenga un ejercicio individual (consulta) facilitarán el acceso a la historia clínica de las personas fallecidas que hayan sido pacientes suyos a sus familiares, salvo que la persona fallecida lo hubiese prohibido expresamente y así se pueda acreditar. En cualquier caso, no se debería facilitar información de la persona fallecida que afecte a su intimidad ni a las anotaciones subjetivas de los profesionales, ni aquellas anotaciones que puedan perjudicar a terceros. Salvo que exista un requerimiento judicial, el derecho de acceso a la historia clínica no incluye la identificación de los profesionales sanitarios que accedan a la historia. 

6. PROTECCIÓN DE DATOS PERSONALES ESPECÍFICOS DE SALUD

Pese a toda la regulación y a la normativa legal acerca del tratamiento y de la protección de datos personales, no existe una regulación independiente de la protección de los datos sanitarios.

La Sociedad Española de Salud Pública y Administración Sanitaria (SESPAS) ha solicitado una ley específica de protección de datos personales relativos a la salud que sustituya a la Ley Orgánica de Protección de Datos, y que amplíe la Ley Básica de Autonomía del Paciente.

La citada sociedad científica en un informe afirmaba que, “es ineludible la necesidad de disponer de una ley específica sobre protección de datos personales relativos a la salud; ley que, por ende, se enmarcaría en la normativa del sector sanitario. Hoy es opinión generalizada que lo más operativo es elaborar una ley estatal para la protección de los datos personales de salud, que complemente el RGPD y sustituya a las disposiciones contenidas en la todavía vigente Ley Orgánica de Protección de Datos, en la Ley Básica de Autonomía del Paciente, y en el resto de legislación sanitaria estatal”. 

BIBLIOGRAFÍA

• García Ortega Cesáreo, Cózar Murillo Victoria, Almenara Barrios José. La autonomía del paciente y los derechos en materia de información y documentación clínica en el contexto de la Ley 41/2002. Rev. Esp. Salud Publica (Internet). 2004 Ago (citado 2020 Dic 31); 78(4): 469-479. Disponible en: http://scielo.isciii.es/scielo.php?script=sci_arttext&pid=S1135-57272004000400005&lng=es.
• Código ético de la enfermería europea. Federación Europea de Órganos Reguladores de Enfermería.  (Internet). 2007 (citado 2020 Dic 31). Disponible en: https://www.revistaseden.org/boletin/files/1367_19_Codigo%C3%89ticoEuropero.PDF
• Código ético de los enfermeros y enfermeras de Cataluña. Consell de Col.legis d’infermeres i infermers de Catalunya. (Internet) 2013 (citado 2020 Dic 31).  Disponible en: https://pbcoib.blob.core.windows.net/coib-publish/invar/6cc2605f-7469-4d4b-bae6-f76eb726b1e9
• Chan, M. Alocución de la directora general de la Organización Mundial de la Salud (OMS), ante la Conferencia del Consejo Internacional de enfermeras. Seúl, República de Corea. (Internet) 2015 (citado 2020 Dic 31).  Disponible en: https://www.who.int/dg/ speeches/2015/international- conference-nurses/es/
• Código Deontológico del CIE para la profesión de enfermería. Consejo Internacional de enfermeras. (Internet) 2012 (citado 2020 Dic 31). Disponible en: https://www.icn.ch/sites/default/files/inline-files/2012_ICN_Codeofethicsfornurses_%20sp.pdf
• Código Deontológico de la enfermería española. Consejo General de Enfermería de España. 1998 (citado 2020 Dic 31). Disponible en: http://www.ee.lafe.san.gva.es/pdfs/codigodeontologicoesp.pdf
• El deber de informar y otras medidas de responsabilidad proactiva en aplicaciones para dispositivos móviles. Agencia Española de Protección de Datos. 2019 (citado 2020 Dic 31). Disponible en: https://www.aepd.es/sites/default/files/2019-11/nota-tecnica-apps-moviles.pdf
• Ley Orgánica 1/1982 de 5 de mayo de derecho al honor y a la propia imagen. (consultada 2020 Dic 31). Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-1982-11196
• Corrección de errores del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (consultado 2020 Dic 31). Disponible en:https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679R(02)&from=ES
• Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (LOPDGDD) (consultado 2020 Dic 31). Disponible en:  https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673
• Resolución de 25 de junio de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de convalidación del Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el covid19. (consultada 2020 Dic 31).Disponible en:  https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-6901
• Informe del Gabinete Jurídico. Agencia Española de Protección de Datos. 2020 (consultado 2020 Dic 31).Disponible en: https://docs.google.com/viewer?url=https%3A%2F%2Fwww.aepd.es%2Fes%2Fdocumento%2F2020-0017.pdf
• Informe del Gabinete Jurídico. Agencia Española de Protección de Datos. 2020 (consultado 2020 Dic 31). Disponible en:  https://docs.google.com/viewer?url=https%3A%2F%2Fwww.aepd.es%2Fsites%2Fdefault%2Ffiles%2F2020-03%2FFAQ-COVID_19.pdf
• Guía para pacientes usuarios de sanidad. Agencia Española de Portección de Datos. (consultada 2020 Dic 31). Disponible en: https://www.aepd.es/sites/default/files/2019-12/guia-pacientes-usuarios-sanidad.pdf
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). (consultado 2020 Dic 31). Disponible en:  https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807 

• Carta de los Derechos Fundamentales de la Unión Europea. (consultado 2020 Dic 31). Disponible en:https://ec.europa.eu/info/aid-development-cooperation-fundamental-rights/your-rights-eu/know-your-rights/freedoms/protection-personal-data_es
• Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. (consultado 2020 Dic 31). Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-2002-22188
• Informe 339/2015 de la Agencia Española de Protección de Datos. (consultado 2020 Dic 31). Disponible en:  https://www.aepd.es/es/informes-y-resoluciones/informes-juridicos
• La Ley Orgánica 2/2010, de 3 de marzo, de salud sexual y reproductiva y de la interrupción voluntaria del embarazo. (consultado 2020 Dic 31). Disponible en:  https://www.boe.es/buscar/act.php?id=BOE-A-2010-3514
• Valoración de SESPAS de la nueva Ley Orgánica de Protección de Datos Personales en lo relativo al tratamiento de datos de salud. SESPAS. 2019. (consultado 2020 Dic 31). Disponible en:https://sespas.es/2019/02/13/valoracion-de-sespas-de-la-nueva-lopd-en-lo-relativo-al-tratamiento-de-datos-de-salud/
• Guía uso de las redes sociales. National Council of State Boards of Nursing (NCSBN) 2011 (consultado 2020 Dic 31). Disponible en: https://www.ncsbn.org/Social_Media.pdf
• Guía práctica para el uso de redes sociales en organizaciones sanitarias. TicBiomed. SocialMediaPharma. 2013 (consultado 2020 Dic 31). Disponible en:http://enfermeriacomunitaria.org/web/attachments/article/894/Gui%CC%81a%20Pra%CC%81ctica%20para%20el%20uso%20de%20Redes%20Sociales%20en%20Organizaciones%20Sanitarias.pdf
• Guía de usos y estilos en las redes sociales del Sistema Sanitario Público de Andalucia. Consejería de Salud y Bienestar Social. Junta de Andalucía. 2013 (consultado 2020 Dic 31). Disponible en: https://fundadeps.org/recursos/Guia-de-usos-y-estilos-en-las-redes-sociales-del-Sistema-Sanitario-Publico-de-Andalucia/
• Mayer MA, Leis A, Mayer A, Rodriguez-Gonzalez A. How medical doctors and students should use Social Media: a review of the main guidelines for proposing practical recommendations. Stud Health Technol Inform. 2012; 180:853-7. PMID: 22874313. (Internet) 2012 (consultado 2020 Dic 31). Disponible en https://pubmed.ncbi.nlm.nih.gov/22874313/
• Navarret, Rosario. Decálogo para uso de redes como herramienta de cuidados. Revista de enfermeria (Barcelona). 42. 42. (Internet) 2019 (consultado 2020 Dic 31). Disponible en https://www.researchgate.net/publication/330987632_Decalogo_para_uso_de_redes_como_herramienta_de_cuidados
• Directrices para la regulación de las aplicaciones médicas de la FDA. Policy for Device Software Functions and Mobile Medical Applications. Food and Drug Administration. 2019 (consultado 2020 Dic 31).  Disponible en: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/policy-device-software-functions-and-mobile-medical-applications
• Reglamento sobre productos sanitarios de la Comisión Europea. 2017 (consultado 2020 Dic 31).  Disponible en: https://ec.europa.eu/health/md_sector/overview_en
• Directrices de la AEPD acerca de las aplicaciones. Agencia Española de Protección de Datos. 2019 (consultado 2020 Dic 31).  Disponible en:  https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-unas-directrices-orientadas-aplicaciones
• Rosales González. C. La protección de datos en el entorno de Big Data. (Trabajo de finde máster) Universidad de Santander; (Internet). 2019 (consultado 2020 Dic 31).  Disponible en:   https://reunir.unir.net/bitstream/handle/123456789/8204/Fe%20de%20erratas_ROSALES%20GONZ%C3%81LEZ%2C%20CARLOS.pdf?sequence=4&isAllowed=y
• Guía de buenas prácticas en proyectos de Big Data.  Agencia Española de Protección de Datos. 2020 (consultado 2020 Dic 31).  Disponible en:    https://www.aepd.es/sites/default/files/2019-09/guia-codigo-de-buenas-practicas-proyectos-de-big-data.pdf
• Big Data en el ámbito sanitario. Informe preliminar del comité internacional de bioética de la UNESCO. 2017 (consultado 2020 Dic 31).  Disponible en:      https://www.uria.com/es/publicaciones/5302-big-data-en-el-ambito-sanitario-el-informe-preliminar-del-comite-internacional
• DeBronkart, Dave. How the e-patient community helped save my life: An essay by Dave deBronkart. BMJ (Clinical research ed.). 346. f1990. 10.1136/bmj. f 1990. (Internet). 2013 (consultado 2020 Dic 31).  Disponible en:       https://www.researchgate.net/publication/236101060_How_the_e-patient_community_helped_save_my_life_An_essay_by_Dave_deBronkart
• Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. (consultado 2020 Dic 31).  Disponible en:       https://www.boe.es/buscar/act.php?id=BOE-A-1982-11196
• Drones y protección de datos. Agencia Española de Protección de Datos. 2019 (consultado 2020 Dic 31).  Disponible en:     https://www.aepd.es/sites/default/files/2019-09/guia-drones.pdf
• Real Decreto 2210/1995, de 28 de diciembre, por el que se crea la red nacional de vigilancia epidemiológica. (consultado 2020 Dic 31).  Disponible en:      https://www.boe.es/buscar/pdf/1996/BOE-A-1996-1502-consolidado.pdf
• Real Decreto Ley 21/2020 de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria derivada de la covid19. (consultado 2020 Dic 31).  Disponible en:       https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-5895
• Comunicado de prensa sobre la participación de la AEPD en la app de notificación de contactos de riesgo por COVID19. Agencia Española de Protección de Datos. 2020 (consultado 2020 Dic 31).  Disponible en:       https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-sobre-la-participacion-de-la-aepd-en-la-app-de
• Llanes-Fernández de la Cueva Gloria, Bejarano-Álvarez David, Márquez-Rodríguez Lourdes María. Decálogo de buenas prácticas para la protección de datos en Medicina del Trabajo y vigilancia de la salud. Rev Asoc Esp Espec Med Trab (Internet). 2016 Mar (citado 2020 Dic 31); 25(1): 34-42. Disponible en: http://scielo.isciii.es/scielo.php?script=sci_arttext&pid=S1132-62552016000100006&lng=es