protección de datos de caracter personal médicos Servicios legales Abogados internet Derecho nuevas tecnologías. derecho informático. servicios legales e informáticos. consultoría

Número 1. 21-04-2002

Portaley.com servicios de consultoría legal.

Servicio de protección de datos.

El equipo de www.delitosinformaticos.com ha querido ofrecer un nuevo servicio, que es un valor añadido a los contenidos que hasta ahora venimos brindando a nuestros usuarios. Se trata de un servicio de protección de datos de carácter personal ofrecido a través de www.portaley.com por profesionales del derecho y la informática.

Está dirigido a consumidores, empresas y a todos aquellos profesionales que necesiten asesoramiento jurídico para conocer las obligaciones y responsabilidades que la normativa en materia de protección de datos impone.

Con motivo de la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre, (en adelante LOPD) surgen una serie de obligaciones para aquellas empresas que posean ficheros con datos de carácter personal.

Así mismo, desde el 26 de Junio de 1999 está en vigor el Reglamento de Seguridad (R.D. 994/99 de 11 de junio) que desarrolla la mencionada Ley Orgánica y que establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc.

El R.D 994/1999 establece los diferentes niveles de seguridad ha adoptar para la protección de estos datos, atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información, clasificándolos en:

- Nivel básico.
- Nivel medio.
- Nivel alto.

El responsable del fichero deberá elaborar e implantar la normativa de seguridad mediante la elaboración de un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información. Este documento de seguridad deberá contener todos los requisitos legalmente establecidos en función del nivel de seguridad que deba adoptar el responsable del fichero.

La Agencia de Protección de Datos (APD) impone graves sanciones económicas a todas aquellas empresas que no cumplan con lo establecido en la normativa reguladora.

Gracias a nuestra labor realizada en www.delitosinformaticos.com conocemos las necesidades de las empresas en el ámbito de las nuevas tecnologías y la sociedad de la información y estamos en disposición de ofrecer un servicio de calidad y a unos precios muy competitivos, dado que nuestro trabajo se apoya fundamentalmente en este medio de comunicación global como es Internet.

Si usted quiere respuestas a estas preguntas............

1. ¿Conoce las obligaciones que le impone la Ley Orgánica de Protección de Datos de Carácter Personal?

2. ¿Cómo puedo recoger los datos a través de mi página web?

3. ¿Cómo respetar la recogida, el mantenimiento y la cesión de los datos de carácter personal?

4. ¿Cuál es el nivel de seguridad que he de adoptar?

5. ¿Qué medidas de seguridad informática debo implantar?

6. ¿Qué contenido debe tener el documento de seguridad?

7. ¿Cómo gestionar el registro de incidencias?

8. ¿Cuales son los procedimientos técnicos para la protección de datos personales y cómo evaluarlos?

9. ¿Qué establece la ley de protección de datos de carácter personal en relación a la cesión de datos en las transacciones internacionales?

10. ¿Puedo transferir datos personales a mis filiales situadas en la UE?

11. ¿En qué casos se pueden transferir los datos sin autorización de los afectados?


Y necesita una solución rápida a sus problemas jurídicos no dude en contratar nuestros servicios.

www.portaley.com
Servicio de Protección de Datos.

 

ESPECIAL PROTECCIÓN DE LOS DATOS MÉDICOS


No existe una definición de datos de salud en la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), ni en el Real Decreto 1332/1994, de 20 de Junio por el que se desarrollan determinados aspectos de la LORTAD.

Sin embargo, la Recomendación nº (97)5 de 13 de Febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados miembros sobre Protección de Datos Médicos, da una definición general de "dato médico" definiéndolo como todo dato personal relativo a la salud de un individuo, incluyendo aquellos que tienen una clara y estrecha relación con la salud y los datos genéticos.

La ley aplicable a los datos médicos es la LOPD, sin embargo existe una normativa sectorial a la que mas adelante haremos referencia.

Los datos relativos a la salud tienen la consideración de datos especialmente protegidos, y la razón de ello reside en que forman parte de la intimidad y privacidad del individuo, derecho reconocido y protegido por nuestra constitución. (artículo 18.1 y 4 C.E)

El párrafo 3 del artículo 7 de la LOPD establece que los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual solo podrán ser recabados, tratados y cedidos cuando por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

El artículo 8 dela LOPD, establece específicamente para los datos relativos a la salud lo siguiente:

Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

De manera que serán los profesionales sanitarios o los individuos u órganos que trabajen en representación de los mismos los únicos legitimados para recoger y procesar datos médicos.

Cuando un paciente da sus datos a un profesional sanitario para que éste forme su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre que va a pasar con esos datos. El paciente debe ser informado de modo expreso, preciso e inequívoco que sus datos van a ser recogidos en un fichero, de la finalidad de la recogida y de los destinatarios de los mismos.

Así mismo, el paciente puede ejercitar los derechos de acceso, rectificación, cancelación y oposición, y para ello deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.

El tratamiento de estos datos es totalmente reglamentario siempre que se realice con fines asistenciales y con el expreso consentimiento del afectado o autorización legal basada en razones de interés general.

Respecto al Insalud existe una Circular 9/97 de 9 de Julio: Instrucciones del Insalud sobre seguridad y protección de datos, que establece la obligación de informar sobre la existencia de un fichero, la finalidad de la recogida, del carácter obligatorio o facultativo de la recogida de datos y de la existencia de cesión o transferencia internacional de datos.


PROYECTO TAIR (Terminal Autónomo de Identificación de Registros)

El TAIR es un terminal de registro y almacenamiento de datos que utiliza cada médico en su consulta. El médico pasa la tarjeta sanitaria del paciente por el lector y éste crea una etiqueta que se pega a la receta que el médico prescribe. En esta etiqueta aparece el CIP (Código de Identificación del Paciente) y el CIAS (Código de Identificación del Área Sanitaria), datos de carácter administrativo, necesarios para la gestión del paciente por el Insalud y para determinar los perfiles de consumo de los usuarios. De esta manera se posibilita el establecimiento de medidas de racionalización del gasto y un mejor control y lucha contra el fraude en la presentación farmacéutica.

Los datos del paciente quedan siempre bajo el control del Insalud, pudiendo acceder a ellos también, de forma restringida, las Farmacias y los Colegios Farmacéuticos.

La receta pasa a la farmacia, y el licenciado/a pasa el código de barras de la etiqueta por el lector y expide el medicamento, sin conocer datos personales sobre el sujeto, mas que el CIP. En este caso no se produce un cesión de datos puesto que las farmacias no se consideran terceros.

Las farmacias envían las recetas al Colegio Oficial de Farmacéuticos, los cuales envían los datos a terceras empresas que prestan el servicio de recogida y grabación de estos datos, creando un gran fichero.

Este proceso está regulado por un Convenio de 17 de Noviembre de 1998, suscrito por el Presidente Ejecutivo del Insalud y la Dirección General de Colegios Oficiales de Médicos y Farmacéuticos.

Cualquier uso distinto que el Colegio quisiera dar a estos datos necesitaría autorización del Insalud, ya que éste es el responsable del fichero

Para la existencia de este fichero de titularidad pública era necesario que una norma autorizase su creación, por ello se dictó la Orden Ministerial del Consejo General de Consumo de 21 de Julio de 1994.

En un principio se arrojaron dudas acerca de la fiabilidad de este sistema, sin embargo, el Director de la Agencia de Protección de Datos (APD) entendió que este procedimiento era conforme a la LOPD, ya que se respetaba la intimidad del usuario y la confidencialidad de sus datos médicos.


FICHEROS CON DATOS SOBRE VIH

En la actualidad existe un fichero nacional, dependiente del Ministerio de Sanidad (Plan Nacional de Sida) en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada (EDO), por lo que los médicos han de informar de que tienen un paciente enfermo de SIDA, esta información pasa a las delegaciones provinciales, que la envían a las autoridades autonómicas, que a su vez envían las actualizaciones del fichero al Ministerio de Sanidad.

Los médicos han de informar al paciente de la existencia de este fichero, que contiene su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.

La finalidad de la existencia de este fichero es el interés general, para seguir un control de la enfermedad.


FICHEROS DE DONACIONES

Existe un fichero de donaciones, en el cual se recogen el nombre, apellidos, dirección y resultado de la analítica del donante. La finalidad de su registro es la de seguir los resultados y poder notificar al paciente la próxima cita.

El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requisitos técnicos y condiciones mínimas de la hemodonación y bancos de sangre, regula en su artículo 29 el registro de estos datos.

Los datos se guardarán por un plazo de tiempo no superior a 5 años, sin embargo, si se cree que existe posibilidad de transmisión de enfermedades infecciosas se guardarán indefinidamente.

PROTECCIÓN DE DATOS EN EL ÁMBITO LABORAL

Es habitual que las empresas realicen reconocimientos médicos a sus empleados, siempre con el consentimiento de estos últimos, ya que no están obligados a someterse a ellos.

El empresario sí que está obligado a ofrecer a sus empelados este reconocimiento médico, en el cual, se recogerán una serie de datos identificativos del paciente y se presentará un diagnóstico en el que se determine si el empleado es apto o no apto para realizar su trabajo, sin revelar la enfermedad o dolencia que lo incapacita para ello.

Por lo tanto, el empresario puede crear un fichero que recoja la capacidad o incapacidad de los trabajadores, sin detallar ningún dato más. Con el fin de comprobar el estado de su plantilla.

Sin embargo, si el trabajador tiene alguna minusvalía sí sería posible crear este fichero, en el que se detallara el tipo de minusvalía, el porcentaje de la misma, etc, ya que existen bonificaciones a aquellos empresarios que contratan a personas con algún tipo de minusvalía, física o mental, por lo que la APD considera posible y conforme a la ley su existencia.

Una sentencia del Tribunal Constitucional ordenó a la entidad bancaria BCH a destruir un fichero con datos de salud de sus trabajadores contenido en su base de datos laborales, por entender que violaba el derecho a la intimidad reconocido por los artículos 18.1 y 18.4 de la Constitución. Este fichero se utilizaba para controlar el absentismo de los empleados, y recogía gran cantidad de datos, excesivos en opinión del Tribunal Constitucional, ya que albergaba incluso datos médicos de trabajadores ya jubilados.

Por otra parte, no se guardaba la debida confidencialidad sobre los mismos, ni se adoptaron las medidas de seguridad necesarias para asegurarla.

Noelia García Noguera.
Abogada especialista en Nuevas Tecnologías.
ngarcia@delitosinformaticos.com

* Puede redistribuir, reenviar, copiar o citar este documento siempre que no lo modifique y no lo use con fines comerciales.
Si desea usar este texto debe incluir esta nota de copyright, así como de la autora Noelia García Noguera (ngarcia@portaley.com) y la dirección http://www.portaley.com

 

PORTALEY.COM 2002 - www.portaley.com


     Portaley.com


Portaley.com - Portaley.com Su socio tecnológico en consultoría legal y seguridad info@portaley.com
Marqués de Urquijo, 40 2.º Izquierda 28008 Madrid Tel. 91 547 56 40