Está dirigido a consumidores, empresas y a todos aquellos profesionales que necesiten asesoramiento jurídico para conocer las obligaciones y responsabilidades que la normativa en materia de protección de datos impone.

Con motivo de la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre, (en adelante LOPD) surgen una serie de obligaciones para aquellas personas físicas o jurídicas que posean ficheros con datos de carácter personal.

Gracias a nuestra labor realizada en www.delitosinformaticos.com conocemos las necesidades de las empresas y profesionales en el ámbito de las nuevas tecnologías y la sociedad de la información y estamos en disposición de ofrecer un servicio de calidad y a unos precios muy competitivos, dado que nuestro trabajo se apoya fundamentalmente en este medio de comunicación global como es Internet.

Si usted necesita recabar datos de carácter personal para ejercer su actividad profesional debe estar al tanto de las obligaciones legales existentes en materia de protección de datos, con el fin de cumplir la misma y no caer en ningún tipo de responsabilidades.

Sabía que...........

1. Toda persona física o jurídica que recabe datos de carácter personal debe informar a los usuarios de que sus datos van a formar parte de una base de datos.
2. Es necesario notificar e inscribir en la Agencia de Protección de Datos el fichero.
3. ¿Sabe que debe hacer en el caso de que un usario/cliente desea dar de baja sus datos en su fichero? ¿Qué derechos tiene usted sobre el fichero y los datos en el consignados?

Si usted necesita asesoramiento jurídico en esta materia, no tiene mas que acceder a nuestro servicio de protección da datos, donde encontrará una rápida solución y respuesta a tus necesidades.

ESPECIAL PROTECCIÓN DE LOS DATOS MÉDICOS

No existe una definición de datos de salud en la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), ni en el Real Decreto 1332/1994, de 20 de Junio por el que se desarrollan determinados aspectos de la LORTAD.

Sin embargo, la Recomendación nº (97)5 de 13 de Febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados miembros sobre Protección de Datos Médicos, da una definición general de "dato médico" definiéndolo como todo dato personal relativo a la salud de un individuo, incluyendo aquellos que tienen una clara y estrecha relación con la salud y los datos genéticos.

La ley aplicable a los datos médicos es la LOPD, sin embargo existe una normativa sectorial a la que mas adelante haremos referencia.

Los datos relativos a la salud tienen la consideración de datos especialmente protegidos, y la razón de ello reside en que forman parte de la intimidad y privacidad del individuo, derecho reconocido y protegido por nuestra constitución. (artículo 18.1 y 4 C.E)

El párrafo 3 del artículo 7 de la LOPD establece que los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual solo podrán ser recabados, tratados y cedidos cuando por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

El artículo 8 dela LOPD, establece específicamente para los datos relativos a la salud lo siguiente:

Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

De manera que serán los profesionales sanitarios o los individuos u órganos que trabajen en representación de los mismos los únicos legitimados para recoger y procesar datos médicos.

Cuando un paciente da sus datos a un profesional sanitario para que éste forme su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre que va a pasar con esos datos. El paciente debe ser informado de modo expreso, preciso e inequívoco que sus datos van a ser recogidos en un fichero, de la finalidad de la recogida y de los destinatarios de los mismos.

Así mismo, el paciente puede ejercitar los derechos de acceso, rectificación, cancelación y oposición, y para ello deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.

El tratamiento de estos datos es totalmente reglamentario siempre que se realice con fines asistenciales y con el expreso consentimiento del afectado o autorización legal basada en razones de interés general.

Respecto al Insalud existe una Circular 9/97 de 9 de Julio: Instrucciones del Insalud sobre seguridad y protección de datos, que establece la obligación de informar sobre la existencia de un fichero, la finalidad de la recogida, del carácter obligatorio o facultativo de la recogida de datos y de la existencia de cesión o transferencia internacional de datos.

PROYECTO TAIR (Terminal Autónomo de Identificación de Registros)

El TAIR es un terminal de registro y almacenamiento de datos que utiliza cada médico en su consulta. El médico pasa la tarjeta sanitaria del paciente por el lector y éste crea una etiqueta que se pega a la receta que el médico prescribe. En esta etiqueta aparece el CIP (Código de Identificación del Paciente) y el CIAS (Código de Identificación del Área Sanitaria), datos de carácter administrativo, necesarios para la gestión del paciente por el Insalud y para determinar los perfiles de consumo de los usuarios. De esta manera se posibilita el establecimiento de medidas de racionalización del gasto y un mejor control y lucha contra el fraude en la presentación farmacéutica.

Los datos del paciente quedan siempre bajo el control del Insalud, pudiendo acceder a ellos también, de forma restringida, las Farmacias y los Colegios Farmacéuticos.

La receta pasa a la farmacia, y el licenciado/a pasa el código de barras de la etiqueta por el lector y expide el medicamento, sin conocer datos personales sobre el sujeto, mas que el CIP. En este caso no se produce un cesión de datos puesto que las farmacias no se consideran terceros.

Las farmacias envían las recetas al Colegio Oficial de Farmacéuticos, los cuales envían los datos a terceras empresas que prestan el servicio de recogida y grabación de estos datos, creando un gran fichero.

Este proceso está regulado por un Convenio de 17 de Noviembre de 1998, suscrito por el Presidente Ejecutivo del Insalud y la Dirección General de Colegios Oficiales de Médicos y Farmacéuticos.

Cualquier uso distinto que el Colegio quisiera dar a estos datos necesitaría autorización del Insalud, ya que éste es el responsable del fichero

Para la existencia de este fichero de titularidad pública era necesario que una norma autorizase su creación, por ello se dictó la Orden Ministerial del Consejo General de Consumo de 21 de Julio de 1994.

En un principio se arrojaron dudas acerca de la fiabilidad de este sistema, sin embargo, el Director de la Agencia de Protección de Datos (APD) entendió que este procedimiento era conforme a la LOPD, ya que se respetaba la intimidad del usuario y la confidencialidad de sus datos médicos.

FICHEROS CON DATOS SOBRE VIH

En la actualidad existe un fichero nacional, dependiente del Ministerio de Sanidad (Plan Nacional de Sida) en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada (EDO), por lo que los médicos han de informar de que tienen un paciente enfermo de SIDA, esta información pasa a las delegaciones provinciales, que la envían a las autoridades autonómicas, que a su vez envían las actualizaciones del fichero al Ministerio de Sanidad.

Los médicos han de informar al paciente de la existencia de este fichero, que contiene su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.

La finalidad de la existencia de este fichero es el interés general, para seguir un control de la enfermedad.

FICHEROS DE DONACIONES

Existe un fichero de donaciones, en el cual se recogen el nombre, apellidos, dirección y resultado de la analítica del donante. La finalidad de su registro es la de seguir los resultados y poder notificar al paciente la próxima cita.

El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requisitos técnicos y condiciones mínimas de la hemodonación y bancos de sangre, regula en su artículo 29 el registro de estos datos.

Los datos se guardarán por un plazo de tiempo no superior a 5 años, sin embargo, si se cree que existe posibilidad de transmisión de enfermedades infecciosas se guardarán indefinidamente.

PROTECCIÓN DE DATOS EN EL ÁMBITO LABORAL

Es habitual que las empresas realicen reconocimientos médicos a sus empleados, siempre con el consentimiento de estos últimos, ya que no están obligados a someterse a ellos.

El empresario sí que está obligado a ofrecer a sus empelados este reconocimiento médico, en el cual, se recogerán una serie de datos identificativos del paciente y se presentará un diagnóstico en el que se determine si el empleado es apto o no apto para realizar su trabajo, sin revelar la enfermedad o dolencia que lo incapacita para ello.

Por lo tanto, el empresario puede crear un fichero que recoja la capacidad o incapacidad de los trabajadores, sin detallar ningún dato más. Con el fin de comprobar el estado de su plantilla.

Sin embargo, si el trabajador tiene alguna minusvalía sí sería posible crear este fichero, en el que se detallara el tipo de minusvalía, el porcentaje de la misma, etc, ya que existen bonificaciones a aquellos empresarios que contratan a personas con algún tipo de minusvalía, física o mental, por lo que la APD considera posible y conforme a la ley su existencia.

Una sentencia del Tribunal Constitucional ordenó a la entidad bancaria BCH a destruir un fichero con datos de salud de sus trabajadores contenido en su base de datos laborales, por entender que violaba el derecho a la intimidad reconocido por los artículos 18.1 y 18.4 de la Constitución. Este fichero se utilizaba para controlar el absentismo de los empleados, y recogía gran cantidad de datos, excesivos en opinión del Tribunal Constitucional, ya que albergaba incluso datos médicos de trabajadores ya jubilados.

Por otra parte, no se guardaba la debida confidencialidad sobre los mismos, ni se adoptaron las medidas de seguridad necesarias para asegurarla.

Noelia García Noguera.
Abogada especialista en Nuevas Tecnologías.
ngarcia@delitosinformaticos.com

* Puede redistribuir, reenviar, copiar o citar este documento siempre que no lo modifique y no lo use con fines comerciales.
Si desea usar este texto debe incluir esta nota de copyright, así como de la autora Noelia García Noguera (ngarcia@portaley.com) y la dirección http://www.portaley.com