Director Agencia Protección de Datos. Cataluña · 3.2. Las disposiciones de carácter general para la creación de ficheros públicos 3.3. La cancelación de datos en el ámbito

1 EL RECONOCIMIENTO DEL DERECHO A LA PROTECCIÓN DE DATOS: ESPECIALREFERENCIA A LA CONSTITUCIÓN EUROPEA Y A LA REFORMA DEL ESTATUTO DEAUTONOMÍA DE CATALUÑA

2 ASPECTOS COMPETENCIALES EN RELACIÓN CON EL DERECHO A LA PROTECCIÓNDE DATOS PERSONALES

3 PARTICULARIDADES DEL RÉGIMEN JURÍDICO DE LOS FICHEROS PÚBLICOS

3.1. La relación entre el consentimiento y la finalidad: la propia legitimidad del derecho3.2. Las disposiciones de carácter general para la creación de ficheros públicos3.3. La cancelación de datos en el ámbito de las administraciones públicas3.4. El acceso a los datos del Padrón municipal de habitantes

4 DESARROLLO DE LA ADMINISTRACIÓN ELECTRÓNICA Y TRANSPARENCIA DE LOSFLUJOS INFORMATIVOS EN LA ADMINISTRACIÓN

5 REFLEXIONES ENTORNO A LA INFORMACIÓN SANITARIA

5.1. El concepto amplio de dato de salud 5.2. Obligaciones en el momento de la recogida y la conservación de la informaciónsanitaria 5.3. Los derechos de acceso a la información sanitaria. 5.4. La comunicación de la información sanitaria para finalidades no sanitarias 5.5. Determinadas particularidades del acceso a datos genéticos para finalidades deinvestigación científica.

6 ALGUNAS RECOMENDACIONES GENERALES EN EL ÁMBITO SANITARIO

JJoosseepp XXaavviieerr HHeerrnnáánnddeezz MMoorreennoo

Director Agencia Protección de Datos. Cataluña

MMaarriiaa ddeell MMaarr PPéérreezz VVeellaassccoo

Asesora Agencia Protección de Datos. Cataluña

ÀÀggaattaa SSoolleerrnnoouu VViiññoollaass

Asesora Agencia Protección de Datos. Cataluña

sumario

__ RREEFFLLEEXXIIOONNEESS EENN TTOORRNNOO AA LLAA PPRROOTTEECCCCIIÓÓNN DDEE LLOOSS DDAATTOOSS DDEE

CCAARRÁÁCCTTEERR PPEERRSSOONNAALL

21

1 EL RECONOCIMIENTO DEL DERECHOA LA PROTECCIÓN DE DATOS: ESPECIALREFERENCIA A LA CONSTITUCIÓNEUROPEA Y A LA REFORMA DEL ESTATUTODE AUTONOMÍA DE CATALUÑA

La Constitución Europea reconoce elderecho fundamental a la protección dedatos tanto por lo que hace referencia a las

instituciones de la Unión (Título VI de la PrimeraParte de la Constitución) como por la Carta de losderechos fundamentales de la Unión (Título II de laSegunda Parte de la Constitución). En amboscasos se distingue este nuevo derechofundamental del tradicional derecho al respeto dela vida privada y familiar que es objeto dereconocimiento en otro precepto del mismocuerpo jurídico.

Este nuevo derecho fundamental a la protección dedatos de carácter personal, autónomo y diferente altradicional derecho al respeto a la vida privada,como afirma el profesor Stefano Rodotá, ”ya nopuede ser enmarcado en el esquema del “serdejado solo”, sino que se concreta en la atribucióna los individuos del poder de “gobernar” lacirculación de sus propias informaciones, que así setransforma en el elemento de constitución de lalibertad del ciudadano en la sociedad de lainformación y de la comunicación”(“Democracia yprotección de datos”).

El reconocimiento de este derecho a la protecciónde datos en el Tratado, mediante el cual seestablece una Constitución para Europa, cuandoéste se incluye en el apartado relativo a lasinstituciones de la Unión Europea, lo hace bajo el

LOS DERECHOS FUNDAMENTALES Y LAS NUEVAS TECNOLOGÍAS

NUEVAS POLÍTICAS PÚBLICAS. Anuario multidisciplinar para la modernización de las Administraciones Públicas

22

TRIBUNA DE ORADORES

La Constitución Europea reconoce el derechofundamental a la protección de datos tanto por loque hace referencia a las instituciones de la Unióncomo por la Carta de los derechos fundamentalesde la Unión. En ambos casos se distingue estenuevo derecho fundamental del tradicional derechoal respeto de la vida privada y familiar que es objetode reconocimiento en otro precepto del mismocuerpo jurídico. El reconocimiento de este derechoa la protección de datos en el no puede ser, enningún caso, interpretado como limitativo o lesivode los derechos fundamentales reconocidos en elrespectivo ámbito de aplicación, por el derecho dela Unión, por el derecho internacional y losconvenios internacionales de los que forman partela Unión o todos los estados miembros y, enparticular, el Convenio europeo para la protecciónde los derechos humanos y de las libertadesfundamentales, así como por las constituciones delos estados miembros, lo que puede dar lugar auna homogeneización de este derechogarantizando un nivel mínimo en tota la Unión.Asimismo, los derechos y libertades reconocidosen la Carta Europea, y con ellos, la protección delos datos de carácter personal, serán un parámetrode licitud en relación con los actos o disposicionesdentro del ámbito de aplicación del derecho de laUnión, como se ha señalado por parte del propioConsejo de Estado y por el Tribunal Constitucionalen el Dictamen, de 21 de octubre de 2004, sobre elTratado por el cual se establece una Constituciónpara Europa y en la Declaración 1/2004, de 13 dediciembre de 2004, respectivamente.

Uno de los aspectos esenciales en elreconocimiento del derecho a la protección dedatos es la previsión de la existencia delcorrespondiente órgano que cuide por el adecuadorespeto de este derecho.Por tanto, la existencia deautoridades independientes de garantía y controldel derecho a la protección de los datos personalesse configura como una exigencia que deriva deltexto constitucional de la propia Unión Europea y delos convenios internacionales en este ámbito y esun modelo que se ha extendido en otros países quedisfrutan de legislación sobre protección de datosfuera del ámbito estrictamente europeo.

resumen

epígrafe llamado “De la vida democrática de la Unión”,justo después de hacer referencia a la transparenciadel quehacer de las instituciones, órganos yorganismos de la Unión. Es decir, aparece como uncomplemento necesario, y sistemáticamente así se hareflejado, del derecho al acceso a la información,como tradicionalmente ha venido aconteciendo, nosolamente en el desarrollo de las institucionescomunitarias, sino también en muchos estadosmiembros de la Unión.

Por otra parta, el derecho fundamental a la protecciónde datos, cuando se reconoce en la Carta de losderechos fundamentales de la Unión, se incluye bajoel Título relativo a las libertades, junto con el resto detítulos sobre derechos y principios que resulten de lastradiciones y obligaciones constitucionales comunesa los Estados.

Se trata pues, de un hecho suficientementeimportante para que se reconozca con el máximorango jurídico posible un derecho fundamental, que apesar de que ya disponía de una regulación propia enla Unión Europea, de 24 de octubre de 1995, sobreprotección de las personas físicas, por lo que respetaal tratamiento de datos personales y a la librecirculación de estos datos, ahora se constitucionalizacon su incorporación al texto del Tratado. Pasa de seruna materia harmonizada para el cumplimiento de unobjetivo del mercado interior, a recibir elreconocimiento de un ámbito propio de la libertad delas personas, es decir, a ser un aspecto recogidojunto con los máximos valores democráticos.

Este reconocimiento en la Carta europea de estederecho fundamental no puede ser, en ningún caso,interpretado como limitativo o lesivo de los derechosfundamentales reconocidos en el respectivo ámbitode aplicación, por el derecho de la Unión, por elderecho internacional y los convenios internacionales delos que forman parte la Unión o todos los estadosmiembros y, en particular, el Convenio europeo para laprotección de los derechos humanos y de laslibertades fundamentales, así como por las constitu-

ciones de los estados miembros, lo que puede darlugar a una homogeneización de este derecho garanti-zando un nivel mínimo en toda la Unión.

Asimismo, los derechos y libertades reconocidos enla Carta Europea, y con ellos, la protección de losdatos de carácter personal, serán un parámetro delicitud en relación con los actos o disposicionesdentro del ámbito de aplicación del derecho de laUnión, como se ha señalado por parte del propioConsejo de Estado y por el Tribunal Constitucional enel Dictamen, de 21 de octubre de 2004, sobre elTratado por el cual se establece una Constitución paraEuropa y en la Declaración 1/2004, de 13 dediciembre de 2004, respectivamente.

Si este reconocimiento es relevante en el contextoeuropeo también lo es desde la perspectiva internade nuestro ordenamiento jurídico estatal. El textoconstitucional en el artículo 18.4 ConstituciónEspañola dispone que “La ley limitará el uso de lainformática para garantizar el honor y la intimidadpersonal y familiar de los ciudadanos y el plenoejercicio de sus derechos”. Este precepto hagenerado un debate doctrinal sobre si es un derechoautónomo o una especificidad del derecho a laintimidad y el Tribunal Constitucional ha interpretadoque se trata de un derecho autónomo, llamadoautodeterminación informativa o libertad informática, yque por tanto, el artículo 18.4 de la ConstituciónEspañola consiste también en un reconocimiento delderecho fundamental a la protección de datos (STC292/2000, de 30 de noviembre).

Por otra parte, hay que tener en cuenta la coincidenciadel proceso de formalización del texto europeo con lareforma que se está substanciando en relación con elEstatuto de Autonomía de Cataluña. Este procesoabre la posibilidad de incluir algún reconocimiento delderecho fundamental a la protección de de datos en elámbito autonómico catalán. Tanto si prospera lapropuesta de inclusión de este derecho en el texto delfuturo Estatuto formulado como derecho fundamental,o bien si se incluye desde la perspectiva de derecho

23

J. X. Hernández Moreno - M. M. Pérez Velasco - À. Solernou Viñolas

TRIBUNA DE ORADORES

REFLEXIONES EN TORNO A LA PROTECCIÓN DE LOS DATOS DE CARÁCTER PERSONAL

prestacional para los poderes públicos de Cataluña,comportará un avance importante en la consolidaciónde este derecho.

Uno de los aspectos esenciales en el reconocimientodel derecho a la protección de datos es la previsión dela existencia del correspondiente órgano que cuidepor el adecuado respeto de este derecho. La llamadavertiente institucional de este derecho que comporta lacreación efectiva de una instancia de control sobre laaplicación correcta de la normativa de protección dedatos es, junto con su contenido material, un requisitoinescindible de la configuración de este derecho.

En este sentido, la Carta de derechos fundamentalesde la Unión Europea, cuando reconoce el derecho detoda persona a la protección de datos de carácterpersonal, también dispone explícitamente en suapartado tercero que: “3. El respeto de estas normasquedará sujeto al control de una autoridadindependiente”. También, el protocolo adicional alConvenio 108 del Consejo de Europa de 1981,firmado el 7 de noviembre de 2001, añade laobligación de los estados de establecer una garantíainstitucional u organismo independiente de controlpara supervisar la aplicación de los derechosreconocidos en el Convenio de 1981.

Por tanto, la existencia de autoridades independientesde garantía y control del derecho a la protección delos datos personales se configura como unaexigencia que deriva del texto constitucional de lapropia Unión Europea y de los conveniosinternacionales en este ámbito y es un modelo que seha extendido en otros países que disfrutan delegislación sobre protección de datos fuera delámbito estrictamente europeo.

El Estatuto debe incorporar en su texto también unareferencia a la existencia, en el ámbito de laGeneralidad de Cataluña, de esta autoridad decontrol de carácter independiente. La objetividad en eldesarrollo de las funciones de seguimiento de laadecuada aplicación de la normativa de protección

de datos y de protección de los derechos de losindividuos frente al mal uso de sus datos personales,justifican la inclusión de este aspecto institucional enla norma estatutaria. Se trata pues de dar el adecuadoreconocimiento a la institución que vela por estederecho en el nuevo texto estatutario.

2 ASPECTOS COMPETENCIALES ENRELACIÓN CON EL DERECHO A LAPROTECCIÓN DE DATOS PERSONALES

E l ámbito de actuación de la Agencia Catalanade Protección de Datos abarca esencialmente alsector público catalán. La falta de referenciaconstitucional a este ámbito competencial de laprotección de datos ha dado lugar a que ladistribución efectiva la conforme la LOPD, queen esta cuestión tiene rango de ley ordinaria. ElTribunal Constitucional ha considerado estereparto adecuado constitucionalmente (STC290/2000, de 30 de noviembre).

Una de las circunstancias que favorecen estadistribución competencial viene determinada por ladiferenciación incorporada a nuestro ordenamientojurídico entre ficheros o tratamientos públicos yprivados. La LOPD, al igual que en su momento previóla Ley Orgánica 5/1992, de 29 de octubre, reguladoradel tratamiento automatizado de los datos de carácterpersonal, conocida como LORTAD, incorpora estedoble régimen jurídico del tratamiento de los datossegún quien sea el sujeto titular de los mismos. Es unadistinción que no proviene de la normativacomunitaria, pues la Directiva 95/46/CE no estableceesta diferencia, ni tampoco la impide, sino que es frutode la configuración que algunos estados miembroshan establecido como, por ejemplo, el caso alemán.

Pero esta distinción de regímenes jurídicos entretratamientos públicos y privados de los datos decarácter personal se basa, sobretodo, en lacondición subjetiva del que realiza el tratamiento de



24

TRIBUNA DE ORADORES

los datos, es decir se refiere a su titularidad. No se hatenido en cuenta otro aspecto, también esencial en elrégimen jurídico de este derecho, como es lafinalidad para la cual se han obtenido o se tratan losdatos. La delimitación de la aplicación de uno u otrorégimen jurídico se ha basado en el elementosubjetivo cuando, a menudo, es el destino y lafinalidad para la cual han sido creados, los quejustificarán su distinción.

Esto es especialmente relevante en el ámbito de ladistribución de competencias entre las autoridadesde control estatal y autonómica, ya que se habasado también en el criterio de la titularidad deltratamiento. La delimitación del ámbito de actuaciónde cada una de las autoridades, estatal oautonómica se basa en quién es el titular del fichero,si la administración pública de carácter estatal ysujetos privados que pertenecen a la autoridad decontrol estatal de una parte, o a las administracionesautonómicas y locales que corresponden a laautoridad de control autonómica.

Así, la LOPD, en su artículo 41, prevé que las funcionesde la Agencia Española de Protección de Datos,establecidas en el artículo 37 de la misma leyorgánica, cuando afecten a ficheros creados ogestionados por las comunidades autónomas y por laadministración local de su ámbito territorial, tienen queser ejercidas por los órganos correspondientes decada comunidad, que poseen la consideración deautoridades de control. Quedan excluidas de lacompetencia de las autoridades autonómicas lasfunciones relativas a transferencias internacionales dedatos, la publicidad de la existencia de los ficheros dedatos de carácter personal, las relacionadas con elámbito propio de la Administración del Estado y lasobligaciones referidas a la propia Agencia Españolade Protección de Datos (memoria, comparecencia enel Congreso, etc.).

La Sentencia del Tribunal Constitucional 290/2000,de 30 de noviembre, consideró que el artículo149.1.1 de la Constitución Española habilitaba al

Estado no tan sólo a la regulación de este derechofundamental (que no se discutió por ningunainstancia), sino que abastaba también unadimensión institucional para garantizar la eficacia delderecho fundamental o la igualdad de todos losespañoles en su disfrute. De acuerdo con esto, serechazó la tesis sostenida por la Generalidad deCataluña basada en la instrumentalización de laprotección de datos en relación con los ámbitosmateriales de su competencia y se consideró quelos ficheros de tratamientos privados de datospersonales eran de la competencia de la AgenciaEspañola de Protección de Datos. Esto afectabatanto a las funciones de notificación y registro comoa las competencias inspectoras y sancionadoras,todas ellas de carácter ejecutivo.

Por otra parte, el actual desarrollo del sector públicobajo figuras jurídicas privadas o bien la colaboracióncon el sector privado en la prestación de serviciospúblicos, especialmente relevantes en el ámbitosanitario o educativo, se convierte en un ámbitodonde los datos de carácter personal se obtienen y setratan para finalidades públicas pero si se tomara enconsideración exclusivamente el criterio de latitularidad del fichero daría lugar a distorsiones. Espor esto que, intentando superar esta dificultad, la Ley5/2002, de 19 de abril, de la Agencia Catalana deProtección de Datos, en el momento de fijar el ámbitode aplicación se basa también en criterios que serefieren a la actividad o el tipo de servicios que segestionan, si es que se realizan por cuenta de unaadministración pública.

Asimismo, en ámbitos donde la Generalidad tienecompetencias de control sobre actuaciones privadasquedaría excluida la correspondiente autoridad decontrol sobre protección de datos por razón de utilizareste criterio de distribución de competencias basadoen la titularidad del tratamiento, a pesar de que nohayan otros derechos fundamentales implicados.

Estas consideraciones son relevantes si además setiene en cuenta que, las relaciones de colaboración y

25


TRIBUNA DE ORADORES


coordinación entre las agencias estatal yautonómicas no dispone, por ahora, de unreconocimiento adecuado. Únicamente se ha previstola presencia de los directores de las agenciasautonómicas en el órgano consultivo de la agenciaestatal, como un miembro más junto con otrosrepresentantes de los sectores implicados, tal y comoestablece el artículo 38 de la Ley Orgánica 15/1999,de 13 de diciembre, de protección de datos decarácter personal (en adelante, LOPD).

3 PARTICULARIDADES DEL RÉGIMENJURÍDICO DE LOS FICHEROS PÚBLICOS

En primer lugar, se ha detectado la necesidad deincidir en las particularidades de los ficheros públicosen el propio contexto de la protección de los datospersonales. La particular forma de creación de losficheros de titularidad de las administracionespúblicas mediante disposición de carácter general sepercibe como un agravio comparativo a la flexibilidadde la que disponen las empresas privadas para laobtención y tratamiento de datos personales de losparticulares, cuando su fundamento es parteintrínseca de la definición del derecho fundamental ala protección de datos personales.

El derecho fundamental a la protección de datos decarácter personal o autodeterminación informativa, esun poder de disposición, de control del cual disponenlas personas físicas a fin de conocer dónde, quién, ypara qué terceros obtienen, almacenan, tratan, ycomunican los datos que les conciernen. De estamanera, con esta definición, toma cuerpo la tripledimensión de este derecho fundamental: el principiode calidad, el habeas data y la garantía institucionalque recae en las autoridades independientes decontrol que velan por su respecto. El habeas data estáconstituido por los derechos de acceso, rectificación,cancelación y oposición a que los datos seantratados, derechos estos indispensables para ejercerel control sobre los flujos de datos personales, para

conocer para que son tratados y quién dispone deellos. Estos derechos de información son laherramienta que garantiza que el derechofundamental a la protección de datos de carácterpersonal pueda ser ejercido por cada una de laspersonas físicas, los datos de las cuales sonrecogidos y tratados por entidades privadas o poradministraciones y otros entes públicos.

La garantía institucional de este derecho, integradapor las autoridades de control de protección dedatos, tiene por objeto dotar de un nivel de protecciónadicional a los afectados en el ejercicio de susderechos, sin perjuicio de la tutela que, como derechofundamental, les corresponde ante jueces ytribunales. Las autoridades de control en materia deprotección de datos pasan a ser una herramientaesencial para garantizar los derechos de informaciónde los titulares del derecho y para velar por el respetode este derecho en los diferentes ámbitos en que seve afectado. Así, es importante tener en cuenta elprincipio de calidad y su especial relevancia en lostratamientos de datos de carácter personal realizadospor el sector público.

3.1 LA RELACIÓN ENTRE EL CONSENTIMIENTO YLA FINALIDAD: LA PROPIA LEGITIMIDAD DELDERECHO

La recogida y el tratamiento de datos de carácterpersonal, en este ámbito de protección, sólo sonlegítimos si son adecuados y necesarios para atenderfinalidades legítimas, determinadas y explícitas con elconsentimiento de la persona interesada. Los datospersonales solamente se pueden obtener en tantoque sean necesarios para dar cumplimiento a unasfinalidades asignadas y determinadas y cuyo titularasí lo consienta. Esta formulación del derecho a laprotección de los datos de carácter personal, rige entodo el contexto europeo y parte del internacionalintegrado por países con nivel de protecciónequiparable a la normativa europea, y así se ha



26

TRIBUNA DE ORADORES

formulado en la Carta Europea de Derechos Humanos,integrada en la futura Constitución Europea.

Así el derecho va fuertemente vinculado por unarelación estricta entre consentimiento y finalidad. Eltitular de los datos consiente su recogida y tratamientopor parte de un tercero, motivo que justifica lacalificación de este derecho como un derecho a laautodeterminación, a un ámbito de decisión individual.También, y de forma acumulativa, los datos que soncomunicados por el particular han de ser necesarios yadecuados para la concreta función que debenatender. Los datos personales sólo pueden serrecogidos cuando el destinatario los necesite para unafinalidad legítima, adecuada y explícita, y que su titularconozca, a priori, este destino.

El régimen específico que regula la recogida ytratamiento de los datos personales por lasadministraciones públicas u otros entes que integran elsector público debido a las funciones a éstos atribuidaspor el ordenamiento jurídico, se exceptúa como reglageneral, el consentimiento del titular de los datoscuando estos son recogidos y tratados por las mismas.

Teniendo en cuenta el carácter imprescindible de lasfunciones que llevan a cabo las administracionespúblicas en interés de la sociedad, el legisladorexcluye la necesidad del consentimiento previo deltitular de los datos para permitir la obtención ytratamiento de los mismos y, en algunos casos, paracomunicarlos cuando ello sea necesario, por tratarsede una misma competencia o materia.

Con esta excepción a la formulación general delderecho fundamental a la protección de datos, decaeuna parte esencial del núcleo que lo integra enbeneficio de las finalidades de interés público quehan de atender las administraciones. Consecuenciade ello es indispensable que el principio de finalidadtome mayor relevancia, si es posible, y se refuercecomo único puntal de esta dimensión de laprotección de los datos personales, de manera quela definición de las finalidades y los usos a los cuales

los datos se destinan y la justificación de laadecuación y necesidad de los mismos paraatenderlas debe ser transparente y explícita. Estaexcepcional definición del derecho a la protección delos datos personales cuando se ejerce ante lasadministraciones públicas exige una clara definiciónde usos y finalidades, una clara puntualización eidentificación de los datos necesarios para suconsecución del órgano que es responsable y detodos aquellos aspectos relevantes para el titular delos datos, para conocer que ha justificado estaexcepción de su consentimiento previo.

El legislador estableció que estos usos y finalidades seidentificasen en una disposición de carácter generalpara que la recogida y tratamiento no fuese fruto deuna mera costumbre o praxis administrativa no racio-nalizada, sino que fuese el resultado de un estudio delas necesidades a atender en función del servicio quese debe prestar. De esta forma, en muchos países denuestro entorno se comparte la idea de que sea unadecisión razonada y establecida en una norma o en unacto administrativo dictado por un órgano con compe-tencias decisorias relevantes, para garantizar que larecogida, almacenamiento y comunicación de losdatos personales de los particulares sea efectiva-mente necesaria para ejercer las funciones propias delos poderes públicos en cada caso.

La creación de un fichero o la declaración de un nuevotratamiento de datos de carácter personal debe serfruto de un proceso de análisis efectivo de cuales sonlas necesidades a atender por la administración en unadeterminada materia o para la prestación de un servicioque la ley le ha atribuido; de la misma forma, lamodificación o la supresión de un fichero o tratamientodebe responder a un cambio organizativo, en elservicio o en la prestación correspondiente. Si no fueseasí, la creación, modificación o supresión de ficherosde las administraciones públicas se convertiría en unamera declaración de los tratamientos de datosexistentes, sin evaluar su legitimidad y legalidad dedicha obtención, almacenamiento y, en su caso,comunicación a otra administración.

27


TRIBUNA DE ORADORES


Debe recordarse que la sujeción de la actividad de lasadministraciones públicas al principio de legalidaddemanda que todos los datos personales de losparticulares que sean recogidos y tratados por lasadministraciones, lo sean para el ejercicio decompetencias legalmente reconocidas, ya que deotra forma, su obtención y tratamiento no seríalegítimo y el principio de calidad de los datospersonales impide una recogida por mediosfraudulentos, desleales o ilícitos.

El proceso de regularización de los ficheros otratamientos de las administraciones públicas debeimplicar un análisis de proporcionalidad y delegalidad como el citado. Es imprescindible valorarque datos serán adecuados, necesarios y pertinentespara prestar un servicio o para llevar a cabo unaactuación pública concreta, explícita, cuyaencomienda ha sido prevista en la norma atributiva delas competencias para una de las administracionespúblicas existentes.

3.2 LAS DISPOSICIONES DE CARÁCTER GENERALPARA LA CREACIÓN DE FICHEROS PÚBLICOS

El legislador español, en un primer momento, previóen el artículo 21 de la LOPD la posibilidad de que losdatos de las administraciones públicas pudierancomunicarse a otras administraciones para elejercicio de competencias diferentes o que versensobre materias distintas, cuando esta comunicaciónestuviera prevista en la disposición de creación de unfichero o por otra de rango superior. Esta previsión fuedeclarada inconstitucional por el TribunalConstitucional en su Sentencia 292/2000, de 30 denoviembre, que consideró que dicha cesión de datosprecisaba de una norma con rango de ley. Estaexigencia de que sea una norma con rango de ley laque establezca qué cesiones de datos personales sepueden realizar, aparece como una lógicaconsecuencia del principio que rige la actuaciónadministrativa, el principio de legalidad.

Si las administraciones públicas pueden recoger yalmacenar aquellos datos que son necesarios paraejercer competencias que la ley les atribuye, lascesiones de los mismos datos sólo serían legítimascuando es la ley quién lo prevé. De otra manera, laadministración pública cesionaria de datos personalesno tendría la legitimidad que, como hemos visto,precisan las administraciones públicas para disponerde los datos personales y no gozaría del amparosuficiente para poder declarar el fichero o parainformar a los afectados de sus propios derechos.

Este requisito puesto de manifiesto por el TribunalConstitucional en la citada sentencia, lleva implícitoun segundo juicio que se encuentra presente tambiénen otros textos constitucionales de otros países denuestro entorno. No es suficiente pues, que una leyprevea la comunicación de los datos sino que éstadebe ser necesaria para atender un interés público,único fundamento para hacer ceder un derechofundamental de los particulares.

La ley que autoriza la cesión debe ponderar cuál es elinterés colectivo que justifica la excepción alconsentimiento de los titulares de los datos que soncomunicados o cedidos a otras administracionespúblicas para ser destinados a finalidades distintas oque versen sobre materias diferentes de las quelegitimaron su recogida.

Debe tenerse en cuenta que en el ámbito de lasadministraciones públicas es la propia normativasectorial la que debe definir y acotar: qué informacióndebe ser recogida por ser necesaria para el ejerciciode la competencia, qué órgano es el responsable desu tratamiento, quién puede intervenir en la gestión ytratamiento de la información y qué accesos sonlegítimos. En algunos sectores, como por ejemplo elpadrón municipal de habitantes, el catastro, las basesde datos tributarias o la historia clínica, ya disponende un régimen jurídico de los recursos informativos delas administraciones públicas porqué han sido elfundamento y la base del ejercicio de muchas de susfunciones administrativas.



28

TRIBUNA DE ORADORES

La expansión de funciones administrativas en losúltimos años hacia nuevos servicios y prestacionesadicionales, acompañada de las tecnologías de lainformación y comunicación, y la inconmensurablecapacidad de aprehensión, han comportado lacreación de una multiplicidad de bases de datos queno están en absoluto reguladas y en algunos casosni identificadas.

El legislador estableció que la creación del fichero serealizase mediante disposición de rango reglamen-tario que permitiese identificar estas necesidades yutilidades concretas de los datos personalesrecogidos y tratados por las administracionespúblicas. De esta forma, la administracióncompetente debe dar una publicidad reforzada, queno consiste sólo en la notificación al registro deprotección de datos correspondiente, sino que lodebe hacer a través de la previa aprobación de unadisposición de carácter general.

Esta exigencia, parece dotar de una mayor cautela alprocedimiento que permite decidir qué datos van a serrecogidos y para qué finalidad. La propia tramitaciónde una disposición general que normalmente requierede un análisis de oportunidad, de una valoración de sujustificación, de un estudio económico y de informesjurídicos, permite valorar suficientemente la necesidadde su tramitación. Así el contenido de la misma que,en el caso que nos ocupa, es la creación de un ficheroo tratamiento de datos personales, será analizadodesde la perspectiva de la oportunidad, la necesidady la legalidad.

Hasta el momento la exigencia de una disposiciónde carácter general para crear ficheros públicos hasido interpretada como un requisito impuesto por lanormativa para declarar y legalizar las bases dedatos hasta entonces existentes. Por contra, loverdaderamente necesario para una efectivaprotección del derecho sin dificultar o impedir sususos legítimos, es un análisis exhaustivo de los flujosexistentes. Debe analizarse qué entradas de datospersonales se dan en cada una de las entidades o

departamentos, para qué usos se obtienen y a quiénse tramitan, para conocer en cada momento porquéexisten estos procesos y a qué finalidades se destinan.

Así, progresivamente, se irán identificando losdatos que se han convertido en irrelevantes,inadecuados e innecesarios fruto seguramente deun cambio del servicio prestado, de su definición oincluso de su organización.

Es necesario que los operadores jurídicos del sectorpúblico tengan en cuenta estas particularidadesexistentes en la obtención, almacenamiento ycomunicación de los datos personales que secontienen en los ficheros de las administracionespúblicas para que se produzca el proceso inverso alhasta ahora realizado.

3.3 LA CANCELACIÓN DE DATOS EN EL ÁMBITO DELAS ADMINISTRACIONES PÚBLICAS

Otro de los aspectos que suscita cierta preocupaciónes la aplicación del régimen de cancelación de datospersonales en el ámbito de los ficheros públicos. Enrelación con los datos personales en poder de lasadministraciones públicas, el artículo 16.3 de la LOPDlimita la posibilidad de cancelar los datos personalesya que establece, entre otras excepciones, laobligación de conservar los datos a disposición de lasadministraciones públicas. Por consiguiente, elderecho a la cancelación de los datos personalesquedaría excepcionado, en principio, para lasadministraciones públicas, para permitir laconservación de los datos de estos entes, enatención a la relevancia pública de su actividad.

Un claro ejemplo de esto lo encontramos en laregulación de los ficheros de las fuerzas y cuerpos deseguridad, que establece que en los casos derecogida de datos con fines administrativos, éstosdeberán registrarse de forma permanente, mientras

29


TRIBUNA DE ORADORES


que cuando se persigan fines policiales, como laprevención de un peligro real para la seguridadpública o la represión de infracciones penales, sí queprocederá la cancelación en la medida en que dichosdatos no resulten necesarios para la finalidad por lacual fueron almacenados (artículo 22.1 y 22.4 de la LOPD).

La decisión administrativa de conservar determinadosdocumentos que contienen datos de carácterpersonal, ya sea para tener constancia de hechosque, de eliminarse el documento, podrían perjudicar aterceros, o bien por su valor histórico o algún otrodato relevante, limita ciertamente el derecho a lacancelación, habida cuenta el principio generalaplicable a la administración pública que ha dadolugar a la exigencia legal de conservar ladocumentación pública. En este sentido, la Ley10/2001, de 13 de julio, de archivos y documentospúblicos, desarrolla una de las previsiones sobre laconservación de la documentación pública en manosde las administraciones públicas que ya estáhabilitada en la misma LOPD.

Este principio general de conservación previsto paralos documentos públicos de las administraciones,puede verse excepcionado en algunos casos. Esposible que algunos datos de carácter personalutilizados por la administración en el ejercicio de susfunciones, resulten cancelables según la normativaespecífica aplicable al caso concreto. La exclusión dedeterminada información personal una vez finalizada laactuación que ha justificado su recogida y tratamientoaparece reconocida en algunos supuestos. Porejemplo, en la contratación administrativa, una vezresuelta la adjudicación del contrato, se prevé que losotros licitadores puedan recuperar la documentaciónaportada; en materia de historias clínicas, se admiteque se devuelva al paciente determinada información;o bien, en relación con los datos tributarios de lespersonas difuntas, cuando ha finalizado el plazoestablecido para su conservación. Dicha casuísticaexige un examen detallado del caso concreto, paracomprobar la procedencia de la petición de

cancelación, según el ámbito de actuación de que setrate, así como la regulación específica de la materia.Incluso en los supuestos citados anteriormente, sepodría realizar un juicio pertinencia de los datos quejustifique su conservación.

La finalidad que guía la actuación de lasadministraciones y que, de forma instrumental,requiere la recogida y tratamiento de datospersonales, provoca que sea problemáticodeterminar a priori y con carácter general, cuándo laconservación de ciertos datos personales ha dejadode servir para la finalidad inicial para la cual fueronrecabados. Es necesario conocer el caso concreto,así como los términos exactos en virtud de los cualesse plantea la cancelación, ya que sólo a la vista de laregulación aplicable y de los intereses públicos a loscuales sirven los datos, se podrá determinar laprocedencia o no de su cancelación. Pero quizás eséste un ámbito que hoy requiere nuevosplanteamientos por parte del legislador, sobre todo sise tiene en cuenta la gran capacidad técnica deconservación y tratamiento actual de los datos decarácter personal.

La información debe conservarse, además, paraatender finalidades históricas, estadísticas ocientíficas (artículo 11.2.e) de la LOPD) una vez hafinalizado la actuación administrativa y se hacompletado la finalidad pública que motivó laobtención y tratamiento inicial de los datos. El propioartículo 4.5 de la LOPD, en su tercer párrafo, remite alcorrespondiente desarrollo reglamentario ladeterminación del procedimiento por el que, a modode excepción, se acuerde el mantenimiento íntegro delos datos atendiendo a los valores históricos,estadísticos y científicos, de conformidad con lalegislación específica.

La legislación catalana prevé los supuestos yprocedimientos en virtud de los cuales seprocederá a la conservación de la documentaciónde la administración de la Generalidad de Cataluña(Ley 9/1993, de 30 de septiembre, del Patrimonio



30

TRIBUNA DE ORADORES

Cultural Catalán; Ley 10/2001, de 13 de julio, dearchivos y documentos; Decreto 117/1990, de 3 demayo, sobre evaluación y selección dedocumentación de la Administración Pública,modificado por el Decreto 128/1994, de 16 demayo, y el Decreto 76/1996, de 5 de marzo, por elque se regula el sistema general de gestión de ladocumentación administrativa y la organización delos archivos de la Generalidad de Cataluña).

Los datos personales que gestionan lasadministraciones públicas frecuentemente formanparte de la documentación administrativa queintegra el patrimonio documental al cual se refiere laLey de Patrimonio Histórico. Según la Ley 9/1993, de30 de septiembre, del Patrimonio Cultural Catalán, elpatrimonio documental de Cataluña forma parte desu patrimonio cultural y está integrado, entre otros,por “los documentos producidos o recibidos, en elejercicio de sus funciones y como consecuencia desu actividad política y administrativa, por laGeneralidad, por los entes locales y por lasentidades y por las entidades autónomas, lasempresas públicas y las demás entidades quedependen de ellos ” (artículo 19.2 a) de la Ley9/1993, de 30 de septiembre).

Además, a los efectos de esta misma ley, tiene laconsideración de documento: “toda expresión enlenguaje oral, escrito, de imágenes o de sonidos,natural o codificado, recogida en cualquier tipo desoporte material, y cualquier otra expresión gráficaque constituya un testimonio de las funciones yactividades sociales del hombre y de los gruposhumanos, con exclusión de las obras de investigacióno de creación” (artículo 19.1 de la Ley 9/1993, de 30de septiembre).

Esta regulación, que es el marco de referencia de lasdistintas normas sectoriales de ordenación de cadaámbito específico de la cultura catalana, se hacompletado con la regulación de los archivos deestos documentos, que se encuentran sujetos a undeber especial de conservación, de conformidad con

lo preceptuado en la Ley 10/2001, de 13 de julio, dearchivos y documentos, en lo que se refiere a lasadministraciones públicas y, especialmente, a laGeneralidad de Cataluña.

La Ley 10/2001, de 13 de julio, de archivos ydocumentos, enumera los documentos públicossujetos a los sistemas de gestión y preservación(artículo 6) y establece la responsabilidad directa deltitular respectivo en la organización, la evaluación y suconservación (artículo 8). También se prevé laevaluación, que determinará la conservación, enfunción del valor cultural, informativo o jurídico, o sueliminación, una vez finalizadas las fases activa ysemiactiva de los documentos públicos. Asimismo,se establece que ningún documento podrá sereliminado si no es de conformidad con la normativaexistente y según el procedimiento establecidoreglamentariamente (artículo 9 de la Ley 10/2001, de13 de julio).

La Comisión Nacional de Acceso, Evaluación ySelección Documental constituye el órgano queresuelve sobre las solicitudes de evaluación dedocumentos públicos (artículo 19.2 b) segunda, de laLey 10/2001, de 13 de julio). Este procedimiento hasido desarrollado mediante el Decreto 117/1990, de 3de mayo, sobre evaluación y selección dedocumentación de la Administración Pública,modificado por el Decreto 128/1994, de 16 de mayo.

Por otro lado, el Decreto 76/1996, de 5 de marzo, porel que se regula el sistema general de gestión de ladocumentación administrativa y la organización de losarchivos de la Generalidad de Cataluña, concreta lasprevisiones contenidas en la Ley de archivos y detallala forma de proceder de la Generalidad de Cataluñapor lo que se refiere a la gestión de sudocumentación. El sistema general de gestión de ladocumentación administrativa de la Generalidadconstituye el conjunto de operaciones y técnicas,integradas en la gestión administrativa general, entrelas cuales se encuentra la correspondiente a laconservación y la eliminación de la documentación

31


TRIBUNA DE ORADORES


(artículo 3.1 del Decreto 76/1996, de 5 de marzo).Además, se prevé que la aplicación del sistema seapoye en un programa informático administrado porel Departamento de Cultura (artículo 3.3 del Decreto76/1996, de 5 de marzo).

Con esta finalidad, se regulan las funciones delDepartamento de Cultura, que establece lasdirectrices básicas del sistema general de gestión dela documentación administrativa, y coordina ysupervisa su aplicación. Los departamentos o entesdonde se conserva la documentación implantan elsistema general de gestión de la documentaciónadministrativa, establecen los criterios específicos aseguir por los encargados de sus archivos y solicitanal Departamento de Cultura la transferencia dedocumentación de los archivos centralesadministrativos a los archivos históricos (artículos 4 y5 del Decreto 76/1996, de 5 de marzo).

Resulta importante tener en cuenta que en laregulación del sistema de gestión documental de losdocumentos públicos, que alcanza la producción, latramitación, el control y, sobre todo, la evaluación y laconservación de los documentos, prevalecen loscriterios de conservación en la determinación de lasresponsabilidades de los titulares de estosdocumentos. Por lo que se refiere a la aplicación delos principios de protección de datos, únicamente sereconoce la garantía del derecho de acceso, a laintimidad personal y a la reserva de los datosprotegidos por la ley (artículo 7 de la Ley 10/2001, de13 de julio). Nada se dice en este apartado sobre lacancelación de los datos de carácter personal.

En este sentido, se podría tener en cuenta lasdiversas técnicas que permiten conservar los datosde carácter personal pero con la debida reserva y lascautelas necesarias, en función de las circunstanciasmanifestadas por el titular ante una petición decancelación que no fuera posible atender. Así, enaquellos casos en los que efectivamente se debantener en cuenta los intereses invocados por el titularde los datos personales pero no proceda la

cancelación de los datos personales, se puedeninstrumentar, de la manera que técnicamente sea másapropiada, medidas de bloqueo, de accesorestringido u otros que permitan armonizar ambosprincipios, el de conservación y el de reserva de losdatos personales.

3.4 EL ACCESO A LOS DATOS DEL PADRÓNMUNICIPAL DE HABITANTES

El padrón municipal de habitantes ha constituido unode los ámbitos que en los últimos tiempos hagenerado numerosas consultas, así como ciertapolémica, respecto a las distintas posibilidades deutilización de los datos que el mismo contiene porparte de las administraciones públicas, peroprincipalmente, por parte de la misma administraciónmunicipal.

Un caso que originó un debate en Cataluña por partede algunos ayuntamientos, se planteó en torno a lapolémica suscitada por la Ley de extranjería (LeyOrgánica 14/2003, de 20 de noviembre) sobre losaccesos telemáticos por parte de la Dirección Generalde la Policía a los datos de los extranjeros inscritos enel Padrón municipal. Actualmente esta previsión estápendiente de sentencia por el Tribunal Constitucionala la vista del recurso de inconstitucionalidadplanteado por el Parlamento Vasco.

El padrón municipal es una base de datos, reguladade forma específica en los artículos 15 y siguientes dela ley reguladora de las bases del régimen local,según la Ley 4/1996, de 10 de enero, que resulta deobligatoria inscripción para todas las personas queresiden en un municipio. La finalidad del padrónmunicipal es triple: determina la población delmunicipio, constituye el requisito para adquirir lacondición de vecino y también sirve para acreditar laresidencia y el domicilio habitual (artículos 15 i 16.1LBRL). Además de esta función propia del padrónmunicipal, la Ley de régimen electoral general



32

TRIBUNA DE ORADORES

(LOREG) prevé la elaboración del censo electoral apartir de los datos incluidos en el padrón (artículo 35),que sirven además para elaborar estadísticasoficiales, sometidas al secreto estadístico, en lostérminos precisos de la Ley 12/1989, de 9 de mayo,de la función estadística pública.

La buena gestión del padrón municipal la haconvertido, sin ningún género de duda, en la base dedatos más actualizada en la que se registra eldomicilio de las personas residentes. Por ello, ante lanecesidad de acreditar el domicilio para poder ejercerderechos, solicitar prestaciones y bienes, así como elcumplimiento de obligaciones, el padrón municipal seha convertido en el fichero básico de todo tipo derelaciones administrativas. El padrón municipalincluye datos relativos a edad, sexo, nacionalidad ynivel académico, así como otras informacionesnecesarias para elaborar el censo electoral. Noobstante, debe remarcarse que la Ley únicamenteautoriza la cesión de datos del padrón a otrasadministraciones públicas sin el consentimientoprevio del interesado para aquellos asuntos en losque la residencia o el domicilio sean relevantes.

La propia LOPD prevé la existencia de registros depoblación en manos de las administraciones públicas,ya que pueden solicitar al Instituto Nacional deEstadística los datos que consten en los padrones conla finalidad exclusiva de realizar las comunicaciones ynotificaciones que sean necesarias en el ejercicio desus competencias. Fuera de este supuesto, deacuerdo con lo establecido en al LOPD, debeentenderse que queda prohibida la cesión de otrosdatos a cualquier administración pública, y que estaposibilidad de solicitar la información que consta en elpadrón, únicamente comprende el nombre, domicilio,sexo y fecha de nacimiento, pero no otros datos.

Esta reflexión es importante ya que, actualmente, lospoderes públicos en el ejercicio de las competenciasque legalmente tienen asignadas, a menudo se vennecesitados de recurrir a esta base de datos paralocalizar al ciudadano o persona afectada por una

determinada prestación de un servicio público. Hastaaquí el debate se situaría en determinar qué actividadse puede considerar como propia de un servicio ocompetencia pública, ya que únicamente en estoscasos resultaría justificada la obtención deinformación personal sin el consentimiento de lapersona afectada.

En este punto el debate es especialmente crítico,sobre todo en relación con aquellas competencias decontenido difuso, como han sido las relativas a laintegración social o a la promoción de actividades oservicios públicos, que tiene el riesgo de confundirsecon otras actuaciones públicas, también legítimas,pero que no serían adecuadas para el tratamiento delos datos de carácter personal sin el debidoconsentimiento de su titular.

Aparte de la necesaria concurrencia de unahabilitación legal para a proceder a la cesión de datospersonales cuando no se disponga delconsentimiento del afectado, hay que tener en cuentatambién otros principios reconocidos en la LOPD,para el debido ejercicio de las competencias decarácter público. Así, también debería tenerse encuenta el principio de proporcionalidad, de aplicaciónal tratamiento de datos personales, y que comportaque se utilicen con carácter preferente medios menosrestrictivos para la protección de datos cuando ellosea posible. En este sentido, debe tenerse en cuentaque las administraciones públicas actualmentedisponen de sistemas para comunicarse con losciudadanos o vecinos sin tener que forzar el recurso abases de datos que puede ser crítico, como estosaccesos al padrón.

Ante estas posibilidades de dirigirse a la ciudadaníamediante formas menos intrusivas que la meraobtención de datos del padrón, no sólo se incorporauna cautela exigida en la preservación de estederecho fundamental, sino que se contribuye a unautilización adecuada y respetuosa con la verdaderafinalidad de esta gran base de datos, introduciéndoseel valor de economizar en el tratamiento de estos

33


TRIBUNA DE ORADORES


datos personales, que quizás no son tan necesariaspara determinadas actuaciones.

Esto es especialmente relevante en aquellasactividades de los poderes en las que a menudoconcurren el aspecto prestacional de un determinadoservicio público con el aspecto publicitario de undeterminado equipo de gobierno. La transparencia enla difusión sobre la fuente de obtención de los datossin involucrar bases de datos críticas como la delpadrón municipal, es un elemento de culturademocrática muy evidente.

4 DESARROLLO DE LA ADMINISTRA-CIÓN ELECTRÓNICA Y TRANSPARENCIADE LOS FLUJOS INFORMATIVOS EN LAADMINISTRACIÓN

El desarrollo de la e-administración constituye, hoy endía, uno de los ejes de acción prioritarios de laspolíticas de modernización de las administraciones enla mayoría de países de la Unión Europea. Gran partede estos proyectos consiste en el suministro deinformación y en la posibilidad de tramitar, total oparcialmente, algunos proyectos administrativos on-line. La eficacia gubernamental y administrativa, lareducción de costes y de molestias para losciudadanos, la simplificación, etc., forman parte delargumentario que justifica y legitima la adopción delos diferentes planes y programas al respecto.

No obstante, no debemos perder de vista el hecho deque para llevar a cabo las tareas que tienenconstitucionalmente encomendadas, los poderespúblicos recogen, almacenan y procesan de formamasiva los datos personales de millones deciudadanos y, que los flujos de información, tambiénmasivos, entre los particulares y los poderes públicos,así como entre los propios poderes públicos, son unarealidad ineludible.

Si el origen de este derecho fundamental a laprotección de datos se da con ocasión del desarrollo

de las tecnologías de la información y la comunicación,con el fin de evitar que la sociedad de la información,con sus riesgos y beneficios, dé lugar a nuevasdiscriminaciones o exclusiones en el desarrollo de laadministración electrónica, este esquema sereproduce de nuevo: grandes posibilidades deracionalizar y de hacer más eficaz la administracióncon el uso de las tecnologías, pero sin que ello délugar, nuevamente, a exclusiones o discriminaciones.

La administración electrónica permite: tramitarprocedimientos on-line, suministrar informaciónpersonalizada y simplificar trámites. Esto conllevainterconectar datos personales y supone un puntocrítico, desde la perspectiva de la protección dedatos, como ya se ha puesto de manifiesto por partedel Grupo del Artículo 29, en su trabajo de 8 de mayode 2003.

Ciertos aspectos relevantes que se plantean en estosprocesos son: concepto y definición de las bases dedatos de carácter personal para el cumplimientolegítimo de las misiones de interés público que sehan obtenido sin el consentimiento del afectado(artículo 6.2 LOPD); interconexiones de bases dedatos que deben respetar los límites propiosderivados de las finalidades de las bases de datos enrelación con las cesiones de datos, con especialrespeto por el principio de lealtad (artículo 21 LOPD),y utilización de identificadores únicos o sectoriales,optando por un modelo más adecuado con elderecho fundamental a la protección de datos, con lacada vez más frecuente utilización de datosbiométricos para estos identificadores.

Con todo, debe tenerse en cuenta que el valor de latransparencia, no sólo se refiere a un principiocontrapuesto al deber de preservar el derecho a laprotección de datos, sino también a la vertiente delpropio derecho de información que integra elcontenido esencial de la protección de datospersonales, con un significado equivalente al derechode poder conocer los flujos informativos en el seno delas administraciones.



34

TRIBUNA DE ORADORES

Algunas normas sectoriales, como se ha apuntado,ya han previsto en su regulación cómo se realizarándeterminadas comunicaciones de datos personales,con lo cual se cumple sectorialmente este principio detransparencia en el conocimiento de los flujosinformativos, como en la regulación del historialclínico, del padrón o en materia tributaria, porejemplo. Se echa de menos el mismo planteamientoen aquellas normas generales que regulan laactuación de las administraciones públicas y que yademandan un tratamiento adecuado de lainformación desde esta perspectiva.

5 REFLEXIONES ENTORNO A LAINFORMACIÓN SANITARIA

Hemos observado la particular fuerza que toma elprincipio de finalidad cuando el consentimiento parala recogida y tratamiento de datos decae de acuerdocon las previsiones de la propia ley establecidas paralos ficheros públicos. Hay que plantear determinadasdudas que recaen en los supuestos en que seproduce la situación inversa: el titular de los datosconsiente expresamente pero la definición de lasfinalidades es laxa y vaga, de manera que el principiode finalidad y proporcionalidad son cuestionados ensu aplicación estricta. Un ejemplo paradigmático deesta situación es el tratamiento de los datos de saludpara finalidades de investigación científica.

En el contexto sanitario, existen dos interesesfundamentales que están presentes y que deben serintegrados, y que se encuentran en conflicto enmuchas situaciones: la disposición de la máximainformación para la asistencia sanitaria y para eldesarrollo y avance de la ciencia; y la garantía para laintimidad de los pacientes y la confidencialidad de lainformación. Debe evitarse que el acceso a lainformación, la recogida y el almacenamientoindiscriminado de información vulneren los derechosde los pacientes.

Los intereses en conflicto son, por tanto, fuertes, ydebemos atender en todo caso a este conflicto. Seaplica en este ámbito de manera específicamenterelevante la paradoja que ya hemos citado: cuantamás información del paciente tengo, mejorasistencia le puedo dar como profesional sanitario ypuedo investigar más en beneficio de lacolectividad, pero a la vez, mayores son los riesgosexistentes, para que esta información mantenga sucondición de confidencial y restringida, y mayoreslas medidas de seguridad que deben ser aplicadaspara su tratamiento.

Finalmente, debe tenerse en cuenta otra situaciónque genera este almacenamiento y tratamientomasivo de datos en el ámbito sanitario, ya que elestudio y análisis de un gran volumen de informaciónacaba siendo limitado. El profesional médico requierede muchos datos para hacer una lectura de conjunto,pero esta información de la que dispone debe ser decalidad, adecuada.

El reflejo jurídico de estas consideraciones son tresderechos fundamentales presentes en el análisis de laproblemática de la información sanitaria: el derecho ala integridad física y psíquica de las personas, underecho tradicionalmente reconocido y relevante en elmomento de su nacimiento para garantizar laprohibición de lesiones e injerencias en el cuerpo delas personas, que resurge en la actualidad para velarpor los usos legítimos de la información biométrica ogenética de las personas físicas; el derecho a laintimidad, a la vida privada y familiar de las personas,un derecho originariamente definido para garantizarun espacio de libertad lejos de las injerencias deterceros, que cobra actualmente una especialrelevancia para garantizar que las nuevas tecnologíasno supondrán una injerencia, con unos métodosmucho más agresivos, en los ámbitos íntimos de laspersonas y, finalmente, el derecho a la protección delos datos personales o la autodeterminacióninformativa, un derecho fundamental de nuevaformulación que nace con una extensión del derechoa la integridad de las personas y que se define como

35


TRIBUNA DE ORADORES


un reconocimiento del derecho de las personas atener un control absoluto.

Así, en el estudio de los datos relativos a la salud delas personas físicas, debe tenerse en cuenta lanormativa reguladora de los derechos fundamentalesy de las libertades de las personas y,específicamente, la normativa sanitaria y lasexigencias de ésta en relación con la información delpaciente y el régimen de protección de los datos decarácter personal, específicamente aquellasconsideraciones sobre los datos de salud, datos a losque se otorga el carácter de datos sensibles.

Estos dos grandes bloques normativos sonvisualizados por el legislador como ámbitosmateriales independientes, ambos protegen distintosbienes jurídicos: el poder de decisión del pacientesobre su salud con la máxima información y unaasistencia sanitaria de calidad, y los datos personalesdel paciente, respectivamente. Ambas normativas, sinembargo, confluyen sobre un mismo objeto: lainformación; una la aborda desde el punto de vistasanitario, qué información debe conocer el médico ycuál el paciente, para garantizar el tratamientosanitario; la otra, la aborda como un objeto querequiere una protección en sí mismo, ya que cuandoesta información sanitaria contiene datos de laspersonas físicas, es objeto de la garantía excepcionalque otorgan los ordenamientos jurídicos a losderechos fundamentales.

5.1 EL CONCEPTO AMPLIO DE DATO DE SALUD

El Grupo Europeo de Ética en la Ciencia y en lasNuevas Tecnologías considera que el dato personalde salud incluye datos básicos médicos, relativos aenfermedades e intervenciones, a medicamentosprescritos y a diagnósticos, datos sensiblesasociados, como los relativos a la salud mental, apatrones de conducta, a la vida sexual, así como afactores sociales y económicos y a los datos

administrativos sanitarios, relativos al registro y a lasadmisiones, a las transacciones económicasasociadas o a los seguros.

Los datos genéticos integran, y así se ha reconocidoen los textos normativos y en los documentos queabordan el tema de la genética, el concepto de datode salud, teniendo una calificación de especialmentesensible dentro del conjunto de datos relativos a lasalud en la medida en que no sólo indican el códigogenético de una persona sino que de éstos se puedeextraer información sobre otras personas de lamisma familia o sobre el grupo genético al quepertenece. Así lo establece la Recomendación de 13de febrero de1997 del Consejo de Europa, deprotección de datos médicos, en su punto 4, relativoa los datos genéticos. Se analizarán, posteriormente,con mayor detalle, las particularidades de los datosgenéticos, por razón de su naturaleza y los usos a losque se destinen.

De acuerdo con este mismo texto los datos de losniños no nacidos, de los nasciturus, deberán gozar deuna protección equiparable a la de los datos médicosde menor y reconoce que si la legislación nacional nodispone otra cosa, quien ostente la responsabilidadpaterna o materna puede actuar como personalegitimada para actuar por el nasciturus como sujetode protección de datos. Asimismo, la Opinión delGrupo Europeo de Ética en la Ciencia y en las NuevasTecnologías es que el respeto por la confidencialidadde los datos de salud continua después de la muertede la persona, de manera que los datos de laspersonas difuntas también será objeto de proteccióny de confidencialidad.

5.2 OBLIGACIONES EN EL MOMENTO DE LARECOGIDA Y LA CONSERVACIÓN DE LAINFORMACIÓN SANITARIA

En el momento de recogida de los datos y en elmomento de la necesidad de la prestación sanitaria,



36

TRIBUNA DE ORADORES

nos encontramos con dos obligaciones impuestas;una, por la normativa sanitaria y la otra, por lanormativa reguladora de la protección de los datospersonales: el consentimiento informado y el deberde información.

El reconocimiento del consentimiento informado en elámbito sanitario ya se encuentra previsto en el artículo3 de la Carta de derechos fundamentales de la UniónEuropea, que regula el derecho a la integridad física ypsíquica de las personas. En su apartado segundo,introduce especificaciones relativas a este derecho enel marco de la medicina y la biología y, en particular,exige el respeto al consentimiento libre e informadode la persona de la que se trate.

Es pues, en el seno del derecho fundamental a laintegridad física y psíquica, que se insiere elconsentimiento informado y libre de las personas. ElConvenio relativo a derechos humanos y biomedicina,de 4 de abril de 1997, en su artículo 5, establece,como regla general, que una intervención en el ámbitode la sanidad, únicamente podrá efectuarse despuésde que la persona afectada haya dado su libre einequívoco consentimiento, habiendo recibidopreviamente, una información adecuada sobre lafinalidad y la naturaleza de la intervención, así como,de los riesgos y consecuencias que pueda comportar.

A nivel internacional, queda reconocido elconsentimiento informado como requisito previo paracualquier tratamiento sanitario, y son las legislacionesnacionales las que concretarán la articulación y laforma de prestación del consentimiento. La normativaespañola y catalana establecen que, en términosgenerales, este consentimiento informado podrá serprestado de forma verbal, sin embargo deberá ser porescrito en los supuestos de intervencionesquirúrgicas, en los procedimientos de diagnóstico yterapéuticos invasores, y en general, paraprocedimientos que suponen riesgos oinconvenientes de notoria y previsible repercusiónnegativa para la salud del paciente.

El consentimiento informado integra lo que se hadenominado la autonomía del paciente, autonomíapara que el paciente pueda decidir en relación a quéintervenciones se somete, con pleno conocimiento delos riesgos que comportan e implica también, elreconocimiento del derecho a manifestar voluntadesanticipadas, a fin de expresar su voluntad a tener encuenta cuando las circunstancias no le permitanexpresarse personalmente, también comúnmentedenominado, testamento vital.

Analizada la información que debe tener el pacienteantes de someterse a una intervención sanitaria, debetenerse en cuenta que el personal sanitario debedisponer de aquella información necesaria para poderprestar la asistencia sanitaria, información quecomprende datos de todo tipo, entre ellos, datos decarácter personal. La determinación de quéinformación es necesaria, recae sobre el personalsanitario que es quien decide cuál es la informaciónrelevante para el diagnóstico, facultad que tiene unaimportante relevancia para la protección de los datosde carácter personal.

Por otro lado, la normativa de protección de datospersonales establece unas determinadas previsionesespecíficas para los datos de salud y exige que, en elmomento de la recogida de los datos personales, sedé cumplimiento al derecho de información alinteresado, reconocido en la Directiva 95/46/CE, de24 de octubre de 1995, así como, en la LOPD, en elartículo 5.

Concretamente, los datos de carácter personal desalud son calificados como datos especialmenteprotegidos, y juntamente con los datos que hacenreferencia al origen racial, a la sexualidad, a lasconvicciones religiosas y filosóficas, sonconsiderados datos sensibles. Debido a su carácterde dato sensible se prohíbe, como regla general, eltratamiento de los datos de salud, pero se estableceque no será aplicable la prohibición cuando eltratamiento de los datos resulte necesario para laprevención o el diagnóstico médico, o para la

37


TRIBUNA DE ORADORES


gestión de servicios sanitarios, siempre que elmencionado tratamiento de los datos se lleve a cabopor un profesional sanitario sujeto al secretoprofesional o a otra obligación equivalente desecreto. Con estas finalidades se pueden tratar, nosolamente los datos de salud, sino el resto de datossensibles, datos que pueden ser especialmenterelevantes para la asistencia y tratamiento médicode determinadas enfermedades.

En este punto, pues, la normativa de protección dedatos nos remite al deber de secreto profesional, queha formado parte de la buena praxis médica desdetiempos inmemoriales con el juramento hipocrático,que ya exigía esta cautela al médico, hasta laactualidad, en tanto la mayoría de los ordenamientosnacionales han recogido expresamente este deber.

Nos encontramos, sin embargo, determinadosaspectos conflictivos, en el ámbito sanitario, en relacióncon el principio de calidad de los datos personales,fundamento de todo el régimen de protección dedatos, que exige que únicamente se recojan y tratenaquellos datos necesarios y adecuados parafinalidades explícitas y determinadas.

Para la prestación asistencial sanitaria es el personalsanitario el que valora qué datos son necesarios paraejercer su profesión. El derecho del personal sanitarioa tratar los datos del paciente, es un derechoinherente a la correcta prestación de la asistenciasanitaria. Así, datos personales que, en otros ámbitosmateriales, se podrían considerar como excesivos eirrelevantes, pueden tener un papel muy importantepara el diagnóstico médico. El personal sanitariotiende a recoger mucha información y debemosentender, que el principio de economía de los datos,que exige recoger solamente la informaciónrealimente indispensable, no sería de estrictaaplicación en el ámbito sanitario.

Así, la normativa de protección de datos no exige elconsentimiento previo del interesado para eltratamiento de sus datos con finalidades sanitarias,

pero sí que requiere, que en el momento de larecogida, se preste el deber de información,informándole de la identidad del responsable deltratamiento, de las finalidades del mismo, de losdestinatarios de los datos, del carácter obligatorio o nodel suministro de la información y de la existencia delos derechos de acceso, cancelación y rectificación.

La Recomendación sobre protección de datosmédicos, establece que la información se preste,preferentemente, en el momento de la recogida de losdatos y que si los datos no se obtienen directamentedel interesado, la información se dé en cuanto seaposible. Asimismo, recomienda que sea apropiada yadaptada a las circunstancias, y dada a los afectadosde forma individual, preferentemente.

A menudo, se tiende a confundir ambos tipos deinformación que debe ser prestada al paciente, comosujeto titular de datos de carácter personal y comopersona que se somete a un tratamiento sanitario.Ambas normativas sin embargo, protegen bienesjurídicos diferentes y la normativa sanitaria no sóloexige que al paciente se le dé la información relativa ala enfermedad o al tratamiento médico al que éstepuede someterse, sino que es el paciente el que debeconsentir ésta prestación. Debe tenerse presente, pues,que ambos bloques normativos deben ser interpretadosde forma integrada, en este aspecto puntual y en otrosámbitos, como en relación con el acceso a lainformación clínica o a la conservación de la misma.

Sin embargo, el consentimiento previo, de acuerdocon la normativa de protección de datos personales,sí que será necesario cuando los datos personalesdeban ser destinados a finalidades diferentes de lasde la propia prestación terapéutica o asistencial delpaciente. Así, se deberá disponer del consentimientodel paciente cuando los datos personalesidentificativos relativos a la salud del paciente quieranser incorporados en un estudio para la investigacióncientífica, siempre y cuando éste no se pueda realizarcon datos anonimizados o no exista una previsiónlegal que lo habilite.



38

TRIBUNA DE ORADORES

En relación con la conservación de la informaciónsanitaria, el principio de calidad de los datospersonales, en la normativa de protección de datos,exige que los datos sean conservados de forma quepermita la identificación de los afectados durante untiempo no superior al necesario. Se permite, sinembargo, la conservación y el archivo para un periodomás largo, cuando es con finalidades, entre otras,científicas. La normativa específica sanitaria, decarácter nacional, regula unos plazos deconservación de la historia clínica reforzados, engarantía de la salud de los pacientes y de lasresponsabilidades legales existentes.

En este punto, cabe mencionar que en el sistemapúblico concurre, adicionalmente, otro bloquenormativo que debe ser considerado en relación conla información sanitaria contenida en expedientesadministrativos. Así, los hospitales públicos deberánevaluar, en todo caso, cuáles son las obligaciones deconservación de la documentación, en la medida quese trata de documentación administrativa,documentación relativa al funcionamiento de lasadministraciones públicas, sometida a unos requisitosde archivo y conservación estrictamente establecidos.

Adicionalmente, esta información que contienendatos de carácter personal relativos a la salud, debeser tratada y conservada de acuerdo con las medidasde seguridad exigibles, que según la normativa deaplicación, son de nivel alto. La Recomendación delComité de Ministros del Consejo de Europa, sobreprotección de datos médicos, contiene un catálogode medidas expresamente concebidas para los datosde salud, que pretenden asegurar la confidencialidad,integridad y exactitud de los datos procesados. Elapartado 9 de esta Recomendación establece, comoobjetivos a conseguir, una serie de controles paragarantizar la seguridad de los datos de salud:controles de accesos a las instalaciones, controles delos soportes de almacenaje de los datos, controles deutilización de los datos para que personas noautorizadas no usen la información, controles deaccesos a la información, con la expresa

recomendación que el diseño del sistema deprocesamiento, como norma general, permita laseparación de los datos identificativos,administrativos, médicos, sociales y genéticos y quehaya un control de los accesos en cada categoríadiferente de datos de salud del centro. Asimismo,recomienda también, controles de comunicación delos datos, controles en la fase de introducción de lainformación, controles del trasporte para evitar lalectura, copia, alteración o borrado no autorizado delos datos personales y controles de disponibilidadque gestionen las copias de seguridad.

El acceso a la información es un riesgo especialmentecrítico a la preservación de la confidencialidad debidoal elevado número de personas que acceden a estainformación en los centros sanitarios. Todos los queacceden a esta información están obligados arespetar el deber de secreto respeto de los datospersonales a los cuales tienen acceso, conindependencia del soporte en que se encuentre estainformación, sea papel o electrónico. El registro ensoportes electrónicos asegura, en principio, un mayorcontrol de acceso, pero también están expuestos a unriesgo de acceso y divulgación no autorizada anteataques externos o comunicaciones no controladas.

5 .3 LOS DERECHOS DE ACCESO A LAINFORMACIÓN SANITARIA

La normativa reconoce el derecho de acceso delpaciente a su historia clínica y el derecho del titular delos datos personales a acceder a la informativarelativa a su persona, requisito indispensable para lagarantía al derecho a la autodeterminacióninformativa, el derecho fundamental a saber, acontrolar quién dispone de los datos, para quéfinalidades, cuándo y cómo o con qué seguridad sontratados y a decidir sobre estos aspectos.

Se pone de manifiesto, una vez más, como dosnormativas diferentes confluyen sobre un mismo

39


TRIBUNA DE ORADORES


objeto, que es la información en el ámbito sanitario.Ambas recaen sobre la acción de conocer y controlarcuál es la información disponible relativa a la saludde una persona y lo hacen desde enfoquesdiferentes que requieren en la práctica, sin embargo,ser integrados.

Así, el derecho del paciente a acceder a la historiaclínica, se reconoce en el artículo 10 del Convenio dederechos humanos y biomedicina cuando prevé elderecho de toda persona a conocer toda lainformación obtenida relativa a su salud. Losordenamientos nacionales regulan el ejercicio de estederecho. En el caso de la normativa española ycatalana se reconoce el derecho del paciente aacceder a la documentación de la historia clínica y aobtener una copia de los datos que figuran en ella, enlos artículos 13.1 de la Ley 21/2000, de 29 de diciembrey 18.1 de la Ley 41/2002, de 14 de noviembre.

Los límites a estos accesos recaen en que no sean enperjuicio de terceras personas o de los profesionalesque participan en su elaboración, de manera queéstos pueden reservar al margen de la consulta delpaciente o de terceros sus anotaciones subjetivas, yla ley estatal añade, también, como motivo dedenegación del acceso a los datos, cuando se realiceen interés terapéutico del paciente.

Hay una especial referencia al acceso a los datosde las personas difuntas, a los cuales sólo tendránacceso aquellas personas vinculadas por razonesfamiliares, excepto que el difunto no hayaprohibido expresamente y así se acredite, siempreque no se facilite información que afecte a suintimidad. Si el acceso se motiva por un riesgo a lasalud, debe limitarse exclusivamente a los datosque sean pertinentes.

Por otro lado, el ejercicio del derecho de acceso,según la normativa de protección de datos se recoge,específicamente para los datos de salud, en el punto8 de la Recomendación de 1997 que prevé el derechode toda persona a acceder a sus datos médicos,exigiendo que la información se preste de forma

inteligible. Sin embargo, se prevén determinadasexcepciones, de las cuales corresponde destacar queel derecho puede ser negado o limitado si estáprevisto por la ley y si el conocimiento puede causarun daño a la salud del afectado; si los datos delafectado revelan información sobre terceros o sobredatos genéticos y esta información puede generar undaño grave a un pariente o a una persona convinculación directa; o si los datos son usados parafinalidades de investigación científica o estadística y seaprecia con nitidez que no hay ningún riesgo deviolación de la intimidad del afectado, especialmenteel de usar los datos en decisiones o medidas queafecten a un individuo en particular.

No obstante, no se puede desconocer que el acceso ala historia clínica ha sido y continua siendo de difícilarticulación en la práctica y que genera constanteconflictividad. Se ha considerado que el acceso porparte del paciente a la información contenida en lahistoria clínica vulneraría la intimidad y la autonomíaprofesional del personal sanitario, si éste accediese alas valoraciones subjetivas que éstos introducen. Lasnormativas española y catalana han previstoexpresamente esta limitación y determinados autoresconsideran que el acceso a la historia clínica tambiénpodría limitarse para proteger la intimidad de terceros,cuando amigos o familiares han facilitado informaciónsobre el paciente.

La normativa de protección de datos de carácterpersonal reconoce, a parte del derecho de acceso alos datos, los derechos de oposición, cancelación yrectificación de los mismos. Nos encontramos, noobstante, también ante ciertas particularidadesreferentes a estos derechos en el ámbito sanitario, enla medida en que concurren dos bienes jurídicamenteprotegidos diferentes: la información sanitaria paraprestar la asistencia y el dato personal como objetode protección. Esta dualidad de intereses puedecondicionar o restringir los derechos del titular deldato de salud en el ámbito sanitario. Como ya hemosmencionado, el personal sanitario se halla en unasituación de prevalencia por el hecho de valorar lainformación necesaria para la prestación sanitaria, y



40

TRIBUNA DE ORADORES

por tanto, será éste el responsable de juzgar laoportunidad o la pertinencia de cancelar o rectificarlos datos personales. Más allá de errores obvios o deactualizaciones necesarias, difícilmente el interesadopodrá exigir la rectificación o cancelación de los datosde salud. Encontraremos, sin embargo, supuestos enlos que será pertinente la rectificación o lacancelación, de manera que el responsable de lahistoria clínica siempre deberá tener presente laexistencia de estos derechos y respetar su ejerciciolegítimo por parte de los titulares.

Finalmente analizaremos cómo se articula el acceso ala información sanitaria por parte de terceros,concretamente, cuando no se efectúa con lasfinalidades ya legitimadas por ley que hemosanalizado, de diagnóstico y de prevención médica,asistencia sanitaria, o tratamiento médico y gestión deservicios sanitarios.

5.4 LA COMUNICACIÓN DE LA INFORMACIÓNSANITARIA PARA FINALIDADES NO SANITARIAS

De acuerdo con la normativa sanitaria catalana yespañola, los usos y accesos legítimos a la historiaclínica para finalidades no sanitarias pueden darsepara atender a finalidades judiciales,epidemiológicas, de salud pública, de investigación ode docencia. En estos casos, excepto en el judicial,se impone la obligación de preservar los datos deidentificación personal del paciente separados de losde carácter clínico-asistencial, de forma que seasegure el anonimato, excepto si el paciente lo haconsentido expresamente. En los supuestos deinvestigación judicial, si se considera imprescindibleunificar los datos identificativos con los de carácterclínico-asistencial, deberá estarse a lo que disponganlos jueces y tribunales y que el acceso a estos datosy documentos quede estrictamente limitado a losfines específicos de cada caso.

Esta cesión de los datos personales no anonimizadosa jueces y tribunales, no es libre sino que se

encuentra igualmente condicionada al cumplimientode los principios generales de la protección de datos:deberá analizarse qué datos son pertinentes ynecesarios para la resolución del caso y formular unapetición concreta y motivada para garantizar elcumplimiento de las obligaciones del cedente y losderechos del paciente. Éste es un supuesto más en elque debe integrarse la normativa de protección dedatos y la normativa sectorial sanitaria.

Cabe añadir, de acuerdo con la normativa reguladorade la protección de datos, que la comunicación dedatos para finalidades diferentes de las sanitarias, entérminos generales, siempre y cuando se puedanconsiderar compatibles con las finalidades para lasque los datos fueron recogidos, estará sometida alrégimen de consentimiento, aunque se prevénalgunas excepciones en atención a intereses públicoso cuando se considera que el consentimiento delinteresado es implícito.

Adicionalmente, la Recomendación de 1997 concretaqué supuestos específicos habilitan la comunicaciónde datos de salud y, en particular, exige laanonimización de los datos como regla general paralas comunicaciones de datos por razón de lainvestigación científica. Dispone que los datos desalud identificativos podrán únicamente ser utilizadosen una investigación científica cuando su titular hayaprestado su consentimiento, cuando esté previsto porley nacional y el titular no se oponga; cuando seaimpracticable contactar con él, o cuando el proyectosea de máximo interés y se autorice la utilización delos datos. Finalmente establece que los datospersonales utilizados en una investigación sólopodrán publicarse si el titular ha consentido y si lapublicación está permitida por ley.

5.5 DETERMINADAS PARTICULARIDADES DELACCESO A DATOS GENÉTICOS PARA FINALIDADESDE INVESTIGACIÓN CIENTÍFICA

Todas las exigencias analizadas en los apartadosanteriores, se consideran, a menudo, de difícil

41


TRIBUNA DE ORADORES


cumplimiento por parte del sector de la investigacióncientífica, especialmente en el ámbito de lainvestigación fármaco-genética, dado que losagentes requieren de la utilización de datosidentificativos por exigencias del propio estudio arealizar, para poder acreditar los supuestosestudiados ante las autoridades reguladoras de losmedicamentos si el proyecto de investigaciónpretende conseguir la aprobación de una nuevamedicina, y para poder verificar y evitar erroresdurante el desarrollo del proyecto.

Así, parte de la doctrina, valora como necesarioestudiar la pertinencia de establecer una regulaciónad hoc para el tratamiento de los datos genéticos confinalidades de investigación científica, mientras queotros consideran que la regulación existente essuficiente, aunque su aplicación sea dificultosa.Dificultades adicionales derivan del hecho que lainvestigación científica por parte de empresasfarmacéuticas multinacionales o en el seno deproyectos de investigación internacionales, requierengrandes flujos de información entre países dediferente tradición y regulación.

La voluntad y las necesidades de los investigadoresen el campo de la genética han llevado, en lapráctica, a la creación de grandes bases de datosgenéticos o de biobancos, que han articulado laparticipación de los titulares únicamente en base alconsentimiento. La doctrina y la jurisprudenciaempiezan a plantear la necesidad de que la recogiday el tratamiento de datos genéticos no se baseúnicamente en el consentimiento informado de lostitulares sino que respeten en todo caso, losprincipios generales del régimen de protección delos datos personales, especialmente por lo que serefiere al principio de calidad de los datos, enconcreto en relación a la necesidad que esténdeterminadas a priori las finalidades y así, se analice,la pertinencia de los datos recogidos evitando elregistro indiscriminado de información no relevante.Se considera que la condición de derechofundamental del derecho a la protección de los datos

personales exige que los principios básicos que lodefinen no se vean olvidados en base alconsentimiento formal del afectado.

Se ha detectado que mayoritariamente elconsentimiento informado del titular de los datos nose presta desde una posición de igualdad respectodel médico o investigador que solicita la información,a criterio de su autonomía profesional, sin que elpaciente o participante se halle con la fortalezasuficiente para valorar los términos en que elconsentimiento se presta, o bien para denegarlo.

Debe tenerse presente que los datos genéticossubministrados por un particular sobre la base delconsentimiento informado, pero para unos finesgenéricamente definidos como la investigación o elprogreso de la ciencia, afectan a otros miembros desu familia o a otras personas de un mismo grupogenético. Éstos pueden ser titulares de loscorrespondientes derechos del habeas data, demanera que su derecho fundamental a la protecciónde los datos se pueda ver afectado o vulnerado sin suparticipación directa.

6 ALGUNAS RECOMENDACIONESGENERALES EN EL ÁMBITO SANITARIO

Hemos analizado hasta aquí, a grandes rasgos, cuáles la regulación jurídica existente en relación con lainformación sanitaria y únicamente correspondeindicar unas recomendaciones para el tratamiento dela información sanitaria:

_ Identificar a los pacientes utilizando un código, deforma que el control de accesos y la gestión de lainformación se facilite enormemente, y sólodisponga de acceso a los datos identificativos elpersonal sanitario que preste directamente laasistencia sanitaria o a aquellas personas que, porrazón de su trabajo, precisen de su conocimiento:datos disociados de una persona identificable.



42

TRIBUNA DE ORADORES

_ Disociar los datos y no mantener los datos identi-ficativos, cuando no sea necesario, para la gestiónde la información: datos irreversiblementedisociados de una persona identificable.

_ Adoptar códigos tipo, protocolos de actuación,con el máximo consenso posible, que analicen deforma global la información sanitaria. La propiaDirectiva establece en el considerando 61) lanecesidad de promover la elaboración de códigosde conducta.

_ Promover la creación en los centros sanitarios o enlas asociaciones en las que éstos participen,comités éticos que puedan ayudar a resolver dudasderivadas de la práctica

43


TRIBUNA DE ORADORES


Documents

Director Agencia Protección de Datos. Cataluña · 3.2. Las disposiciones de carácter general para la creación de ficheros públicos 3.3. La cancelación de datos en el ámbito