Aspectos básicos en torno a los datos de salud

AutorLucia Cristea Uivaru
Cargo del AutorDoctora en Derecho por la Universidad Abat Oliba CEU de Barcelona
Páginas25-59
CAPÍTULO I
25
Aspectos básicos en torno
a los datos de salud
SUMARIO: 1. El derecho a la protección de datos. 1.1. El bien jurídico prote-
gido: la intimidad como derecho fundamental. 1.2. Límites normativos mar-
cados por la Protección de Datos en el ámbito sanitario. 2. La búsqueda de la
esencia del dato de salud. 2.1. Conjunto de deniciones actuales. 2.1.1. El dato
de carácter personal. a) Breves consideraciones sobre la expresión «cualquier
información». b) Breves consideraciones sobre la expresión «identicadas o
identicables». 2.2. Datos sensibles o especialmente protegidos. 2.2.1. Los da-
tos sensibles. 2.2.2. Los datos relativos a la salud. 2.2.3. Deniciones legales. a)
Marco normativo español. b) Marco normativo internacional y europeo. b) 1.
Marco jurídico internacional. b) 2. Marco jurídico español.
Introducción
A lo largo de ésta primera parte del libro, y a n de comprender adecuada-
mente lo que engloba el dato sanitario, resulta esencial una primera aproximación
teórica en la que nos encargaremos de denir los conceptos que van a ser objeto de
análisis a lo largo de este trabajo.
Para ello, iniciaremos el estudio del presente apartado analizando brevemente
el derecho a la protección de datos y lo que abarca la protección de datos, identi-
cando cuál es el bien jurídico protegido por el derecho, a n de poder analizar en
profundidad qué es un dato, diferenciándolo de otras imprecisiones terminológicas,
acotando el objeto de estudio para centrarnos en el contenido de los datos sensibles,
poniendo especial énfasis en los datos de salud.
A continuación, expondremos someramente el origen y posterior desarrollo
normativo del derecho a la protección de datos, poniendo el acento, en la regulación
normativa referente a los datos de salud, tanto en el ámbito internacional como en el
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
26
ámbito español, trazando un recorrido legislativo y jurisprudencial que a lo largo de
estos últimos 50 años ha venido a congurar a la protección de datos como un nuevo
derecho fundamental.
1. El derecho a la protección de datos
La protección de datos es una materia de creación relativamente reciente. Po-
demos situar como punto de partida legislativo, la década del ‘60, coincidiendo con el
desarrollo de la informática. Es en aquél momento cuando se vislumbra por parte del
legislador una preocupación en torno a la protección de la intimidad de las personas.
El derecho a la protección de datos personales se congura en nuestro orde-
namiento jurídico como un derecho fundamental en la Constitución Española1 (en
adelante, CE). En el Capítulo Segundo de la CE, donde se asientan los derechos
fundamentales y las libertades públicas, tiene especial relevancia el Artículo 18.1
que garantiza el derecho a la intimidad personal. Esto conlleva una protección espe-
cial que el legislador asigna a los datos personales de los individuos, que ha servido
como punto de partida de la legislación vigente al respecto y de las cada vez más
frecuentes sentencias judiciales que los Tribunales se ven obligados a promulgar a n
de preservar este derecho contenido en nuestra Carta Magna, como analizaremos
posteriormente.
Los datos personales que ampara el precepto constitucional, son datos abso-
lutamente personalísimos, que sólo pueden pertenecer a un individuo en concreto y
por ello podemos denirlo desde dos pilares: por un lado, el derecho a la protección
de datos otorga la potestad a la persona cuyos datos pertenezcan a conocer quién tie-
ne información sobre ella, cuál es dicha información, de dónde proviene y para qué
nalidad se van a tratar sus datos; y por otro lado, este derecho se congura como el
control sobre el uso que se hace de sus datos personales. Este control es lo que nos
permite conocer qué datos nuestros se tratan y de qué manera, y ello conlleva a la
necesidad de protección jurídica sobre los datos personales.
La terminología utilizada por la protección de datos se reere de manera
amplia al conjunto de normas y principios que regula el tratamiento de datos per-
sonales en todas sus etapas, es decir, desde su recolección, almacenamiento, circula-
1 Artículo 18.1, de la Constitución Española de 27 de diciembre de 1978, modicada por refor-
ma de 27 de agosto de 1992 (BOE núm. 207, 28.08.1992).
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 27
ción, publicación hasta su transferencia, tanto nacional como internacional2. Si bien
existen diferencias terminológicas a la hora de la denominación. Así, por ejemplo,
MURILLO DE LA CUEVA3, cuando se reere a la protección de datos habla del
«derecho a la autodeterminación informática», por su parte BAZÁN4 la denomina
«habeas data» y sostiene que:
Puede conceptuarse al hábeas data como una acción, una garantía constitucional, un
procedimiento jurisdiccional de trámite especial y sumarísimo, un proceso consti-
tucional o un recurso protectorio del derecho de autodeterminación informativa o
derecho a la protección de los datos personales, frente a los posibles excesos del poder
de registración precisamente de la información de carácter personal5.
En otras palabras, a través del «hábeas data» el legitimado puede acceder al
conocimiento de sus datos personales y al destino de tal información que se encuen-
tre en archivos, registros, bancos de datos u otros medios técnicos, electrónicos, de
carácter público o privado, de soporte, y, en determinadas hipótesis (por ejemplo,
falsedad o uso discriminatorio de tales datos), se puede solicitar la supresión, recti-
cación, actualización o el sometimiento a condencialidad de los mismos6.
Por su parte la autodeterminación informativa7 hace referencia, según SUÑÉ
LLINÁS8, a la decisión personal e intransferible de determinar qué es lo que cada
uno de nosotros quiere que los demás sepan de nuestra persona, posibilidad que
2 R, N. Recolección internacional de datos: un reto del mundo post-internet. AEPD, Madrid,
2015, pp. 96 y ss.
3 M   C, P. L. La construcción del derecho a la autodeterminación informática y las
garantías para su efectividad. Fundación Coloquio Jurídico Europeo, Madrid, 2009, pp. 11-12.
4 B, V. «El Hábeas Data y el Derecho de Autodeterminación Informativa en Perspectiva
de Derecho Comparado». Estudios Constitucionales. Año 3, núm. 2, Chile, 2005, pp. 85-139.
Disponible en Internet:
eautodeterminaci%C3%B3ninformat> [Consulta: 10 de septiembre de 2016].
5 B, V., op. cit., p. 90.
6 Ibídem.
7 Para profundizar más sobre la conceptualización de «autodeterminación informativa» véase:
M   C, P. L., op. cit., pp. 11-12.; M M, R. Una aproximación
crítica a la autodeterminación informativa. Civitas, Madrid, 2004, pp. 61 y sig.
8 S L, E. La protección de datos personales: estudio comparativo Europa-América
con especial análisis de la situación argentina. Tesis presentada en la Universidad Compluten-
se de Madrid, Madrid, 2013, p. 132. Disponible en Internet:
T34731.pdf> [Consulta: 17 de septiembre de 2016].
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
28
alcanza también al derecho a conocer los datos propios que obran en archivos ajenos
y en este punto se relaciona directamente con la protección de los datos de carácter
personal, lo que no deriva únicamente en la visión que los demás puedan tener de
nuestra persona, sino, yendo más lejos, en la denición de nuestra propia identidad
a partir de datos nuestros, que no obstante y por circunstancias de la vida, pudieran
ser desconocidos para nosotros. Según reere, como la protección de nuestro propio
ser, de nuestra identidad, de nuestra personalidad9.
A través de su jurisprudencia10, el Tribunal Constitucional (en adelante, TC)
ha evolucionado desde la concepción del derecho a la intimidad como un límite a la
informática, a un nuevo y distinto derecho a la libertad informática, entendido como
el derecho a la protección de los datos personales y a la autodeterminación informativa.
El TC, al abordar un asunto vinculado a la protección de datos, sostuvo en la
STC 254/93 que:
Nuestra Constitución ha incorporado una nueva garantía constitucional, como forma
de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de
la persona, de forma en último término no muy diferente a como fueron originándose
e incorporándose históricamente los distintos derechos fundamentales11.
Asimismo, ya en el año 2000, el TC pondera la protección de datos como un
derecho fundamental, diciendo que:
El objeto de protección del derecho fundamental a la protección de datos no se reduce
sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o
no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos,
sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que
para ello está la protección que el artículo 18.1 CE otorga, sino los datos de carácter
personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que
9 Ibídem.
10 Entre las más destacadas: STC 292/2000,de 30 de noviembre de 2000. Recurso de inconstitu-
cionalidad planteado respecto de los artículos 21.1 y 24.1 y 2 de la L ey Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal, Fundamento Jurídico 7 (BOE
núm. 4, 4.01.2001, Suplemento, pp. 104-117); STC 53/1985 de 11 de abril (BOE núm. 119,
18.05.1985); y STC 290/2000, de 30 de noviembre de 2000. Recursos de inconstitucionalidad
contra diversos artículos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del trata-
miento automatizado de datos de carácter personal (BOE núm. 4, 4.01.2001, 70-93).
11 STC 254/1993, de 20 de julio de 1993 del Tribunal Constitucional. Recurso de Amparo núm.
1827/1990 (BOE núm. 197, 18.8.1993).
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 29
por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al
poder de disposición del afectado porque así lo garantiza su derecho a la protección
de datos. También por ello, el que los datos sean de carácter personal no signica que
sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que
los datos amparados son todos aquellos que identiquen o permitan la identicación
de la persona, pudiendo servir para la confección de su perl ideológico, racial, sexual,
económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en
determinadas circunstancias constituya una amenaza para el individuo12.
Con oportunidad de la STC 292/2000, el TC diferencia, el derecho a la li-
bertad informática del derecho a la intimidad otorgándole una nalidad, un objeto y
un contenido propio. Además, saca conclusiones sobre el signicado y el contenido
del derecho a la protección de datos personales, haciendo un análisis acertado desde
nuestro punto de vista, y manifestando que el contenido del derecho fundamental
a la protección de datos consiste en un poder de disposición y de control sobre los
datos personales que faculta a la persona para decidir cuáles de esos datos propor-
ciona a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar,
al mismo tiempo que permite al individuo saber quién posee esos datos personales y
para qué, pudiendo oponerse a esa posesión o uso.
Estos poderes de disposición y control sobre los datos personales, que consti-
tuyen parte del contenido del derecho fundamental a la protección de datos, se con-
cretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso
a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o
usos posibles, por un tercero, sea el Estado o un particular.
Ese derecho a consentir el conocimiento y el tratamiento, informático o no, de
los datos personales, requiere como complementos indispensables, por un lado, la fa-
cultad de saber en todo momento quién dispone de esos datos personales y a qué uso
los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. Con-
cretamente, determinó la STC 292/2000 que el derecho fundamental a la protección
de datos protege cualquier tipo de dato personal, sea o no íntimo manifestando que:
El objeto de protección del derecho fundamental a la protección de datos no se reduce
sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no
íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean
o no fundamentales, porque su objeto no es sólo la intimidad individual, que para
ello está la protección que el art.18.1 CE otorga, sino los datos de carácter personal».
Asimismo, añade que: «Pero también el derecho fundamental a la protección de datos
12 STC 290/2000, op. cit.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
30
posee una segunda peculiaridad que lo distingue de otros, como el derecho a la intimi-
dad personal y familiar del art.18.1 CE. Dicha peculiaridad radica en su contenido, ya
que, a diferencia de este último, que conere a la persona el poder jurídico de imponer
a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona
y la prohibición de hacer uso de lo así conocido13.
Pareciera ser que tanto la doctrina, como la jurisprudencia, y las normas, han
cambiado las denominaciones, pero, en realidad, cuando se habla de protección de
datos o lo que es lo mismo, de «habeas data», hay que entender la referencia a la
autodeterminación informativa y viceversa14.
1.1. El bien jurídico protegido: la intimidad
como derecho fundamental
Es imposible hablar de los datos personales sin hacer referencia a su funda-
mento legal, que, en denitiva, es el bien jurídico que la normativa protege. Su gé-
nesis se encuentra en el derecho a la intimidad, derecho fundamental reconocido por
nuestra CE, como adelantamos. En España, el Derecho a la Protección de Datos es
un derecho fundamental, que se articula sobre la dignidad de la persona reconocido
en el Artículo 10 de la CE15, sobre su honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos, reconocidos en el Artículo 1816 de la
CE, además de disponer que la ley limitará el uso de la informática para garantizar
el honor y a la intimidad.
Con objeto de desarrollar el párrafo 4 del citado artículo 18.4, fue aprobada
la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal17 (en adelante, LOPD), que a día de hoy es el eje de la protección de da-
13 STC 292/2000, op. cit.
14 S L, E., op. cit., pp. 132-133.
15 El Artículo 10, de la CE establece que: «La dignidad de la persona, los derechos inviolables que le
son inherentes, el libre desarrollo de la personalidad, el respeto a la ley y a los derechos de los demás son
fundamento del orden político y de la paz social».
16 El Artículo 18, de la CE establece que: «1. Se garantiza el derecho al honor, a la intimidad personal
y familiar y a la propia imagen. 4. La ley limitará el uso de la informática para garantizar el honor y
la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
17 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE
núm. 298, 14.12.1999). Ésta L ey vino a sustituir la anterior Ley Orgánica 5/1992, de 29 de
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 31
tos en España, estando a la espera de la entrada en vigor en mayo del año 2018 del
Reglamento General de Protección de Datos, pero que a la fecha de redacción del
presente libro aún no es vigente18.
El concepto jurídico de intimidad, tuvo su origen en un artículo de los juristas
WARREN y BRANDEIS19 en el que se reclamó la necesidad de reconocimiento
de un nuevo derecho, denominado derecho a la intimidad. En ese primer momento,
éste derecho se conguró como necesario para proteger a la persona frente a las in-
tromisiones de los medios de comunicación. Surgió como la búsqueda de un límite
jurídico que vedase las intromisiones de la prensa en la vida privada, para evitar las
lesiones que la difusión generalizada de hechos relativos a la vida privada podía
provocar. Sin embargo, el derecho a la intimidad debía a su vez limitarse para con-
vivir con otros bienes y derechos fundamentales, como la libertad de expresión y el
derecho a la información.
A partir del momento de este reconocimiento legal, el derecho a la intimidad
pierde su vertiente más patrimonial para consagrarse como el derecho que posee
toda persona para protegerse de las intrusiones ajenas respecto a su vida privada. De
éste modo, la libertad individual pasa a ser el fundamento del derecho a la intimidad,
que deja de ser un derecho de propiedad, para convertirse en un derecho por sí mis-
mo, el derecho a la protección de datos20.
Entiende PIÑAR MAÑAS21 que, el reconocimiento pleno de la protección
de datos estriba en que los datos personales son sometidos a tratamiento, lo cual
octubre de regulación del tratamiento automatizado de los datos de carácter personal.
18 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, re-
lativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento
General de Protección de Datos) (DOUE L 119, 4.05.2016, pp. 1-88).
19 Vid. W, S. D.; B, L. D. «e right to privacy». Harvard Law Review. Vol. I V,
núm. 5, 1890, pp. 193 y ss.; P, B.; B, P. Derecho a la intimidad / Samuel Warren,
Louis Brandeis. (Traducción). Civitas, Madrid, 1995.; W, A. Privacy and Freedom. Athe-
beum, New York, 1967, p. 7.
20 La pr imera Constitución que recoge este derecho fundamental fue la portuguesa en el año
1976, donde en su Artículo 35 hacía referencia a «dato» par a luego ser modicada en el año
1982 y ampliar el concepto a «datos personales», y nalmente en el año 1989 dotar de más
protección al derecho. Para profundizar más sobre el tema, véase: T R, A. La
protección de los datos personales. En busca del equilibrio. Tirant lo Blanch, Vol. 1, Valencia, 2010,
pp. 49-50.
21 P M, J. L. Legislación de Protección de Datos. Iustel, Madrid 2011, pp. 34-35.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
32
implica que se tratan datos ajenos, y que los mismos deben utilizarse con estricto
respecto a los derechos del interesado. Es por ello, que, el legislador le otorga la
máxima protección porque, en denitiva, estamos hablando de la dignidad humana.
En el mismo sentido, SUÑÉ LLINÁS22 entiende que el carácter primordial reside,
en realidad, en la autodeterminación informativa, verdadero derecho fundamental
que enlaza en la esencia misma de la dignidad humana. Por su parte, GARRIGA
DOMÍNGUEZ23 sostiene que la Ley de Protección de datos pretende proteger la
propia personalidad del individuo, de forma mediata a través de la posibilidad in-
mediata que el individuo tiene sobre la información que le concierne, posibilitando
su control.
Recientemente, el Magistrado SALCEDO24, Presidente de la Sección 9ª de
la Audiencia Provincial de Barcelona, ha manifestado en el marco del 1r Congrés
de l’Advocacia de Barcelona que: «El derecho a la intimida d es una derivación del de-
recho a la dignidad. Y por ello, el re ferido derecho a la intimidad ha venido a construirse
como un derecho propio y que es necesario para mantener una calidad de la vida humana».
Prosiguió el Magistrado haciendo una reexión muy importante: «la intimidad es
un derecho a ser desconocido, lo cual constituye las lindes de nuestra vida privada». Por lo
tanto, y consecuentemente con lo esgrimido por SALCEDO25, se genera un doble
deber, por un lado, el deber jurídico de abstención, y, por otro lado, el deber jurídico
de no hacer uso de lo conocido.
Sostiene al respecto, HERRÁN ORTIZ26 que:
Si bien es cierto que el derecho a la protección de datos nace vinculado a la idea de
intimidad, ha de superarse esta concepción y avanzar en el reconocimiento de un
nuevo derecho fundamental, que en la actualidad se congura a partir de la atribución
de un haz de facultades de actuación y control que permiten a la persona decidir sobre
la información que le concierne.
22 S L, E., op. cit., p. 134.
23 G D, A. Tratamiento de datos personales y derechos fundamentales. 2ª Edición,
Dykinson, Madrid, 2009, p. 53.
24 S, A. (..) El delicte de revelació de secrets: especial menció a l’aportació
de documents en procediments judicials. Ponencia celebrada en el marco del 1r Congrés de
l’Advocacia de Barcelona, celebrado el 30 de junio de 2016, ICAB, Barcelona. Disponible en
Internet: [Consulta: 1 julio 2016].
25 Ibídem.
26 H O, A. I. El derecho a la protección de datos personales en la sociedad de información.
Universidad de Deusto, Instituto de Derechos Humanos, Bilbao, 2003, p. 21.
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 33
Por tanto, podemos denir el derecho a la intimidad desde dos perspectivas.
Una perspectiva con efecto restrictivo, en la que se dene como el espacio reservado
a los asuntos de la persona frente a interferencias ajenas, es decir, en cuanto reserva,
supone que hay un espacio de actividad que es exclusivo del individuo y que no
puede ser conocido por otros sujetos. Y desde otra perspectiva, un efecto de control,
como la oposición al conocimiento y manejo de la información del titular, especial-
mente en bases de datos, sin su consentimiento.
La nota característica de ser un derecho fundamental, le otorga tres diferen-
cias sustanciales, Por un lado, es un derecho irrenunciable, por otro lado, prevalece
sobre otros derechos fundamentales y, nalmente, es un derecho personalísimo. Es
por ello, que se protege el derecho a la intimidad no sólo frente a las injerencias, sino
también frente a los riesgos potenciales27.
Por tanto, el bien jurídico protegido es la intimidad. La intimidad de la per-
sona no sólo entendida como relativa a su vida sexual, la salud, sino que también
se extiende esa protección jurídica incluso a datos relativos al estado económico, al
contenido de una agenda, a la reseña de una fotografía, datos que antes de la reforma
del Código Penal (en adelante, CP), no contaban con un nivel de protección tan
alto como lo es ahora, equiparable a los datos sensibles. Por ello, el concepto de la
intimidad se ha vinculado con el concepto de privacidad para reforzar el derecho a
la protección de datos28.
1.2. Límites normativos marcados por la Protección
de Datos en el ámbito sanitario
El derecho a la protección de datos no es ilimitado, y es la CE la que permite
que se pongan límites legislativos a éste derecho fundamental. Al respecto, la CE esta-
blece que: «La Ley limitará el uso de la informática para garantizar el honor y la intimidad
27 S, A., op. cit.
28 El concepto de privacidad o privacy en inglés, ha sido interpretado por la doctrina de muchas
maneras y no se ha logrado un consenso sobre su alcance y denición. Para profundizar más el
tema, véase: S  , D. J. «Understanding Privacy». USA Hardvard University P ress. Estados
Unidos, 2008, p. 2.; WESTIN puntualizó que privacy es el derecho de las personas, grupos o
instituciones para determinar por sí mismos cuándo, cómo y en qué medida la información
sobre ellos se comunica a otros. W, A. op. cit., p. 7.; FRIED sostiene que privacy abarca
el control que los individuos tienen sobre su información. F, C. «Privacy». Yale Law Jurnal,
Estados Unidos, 1968, p. 483.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
34
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos»29. Además, estos
límites han de estar constitucionalmente previstos y sólo se justicará recogerlos, al-
macenarlos y tratarlos por parte de un poder público, si ello responde a la protección de
otros derechos o bienes que también estén tutelados por la Constitución30.
Los límites normativos a la protección de los datos de carácter personal, vie-
nen dados por las garantías que han de observarse por parte de las personas que los
recogen, los tratan y los usan. En este sentido se ha pronunciado el TC con ocasión
de la STC 254/199331 con carácter general, como anteriormente hacíamos refe-
rencia. Éste pronunciamiento tiene su origen en el Recurso de Amparo presentado
contra la denegación por parte del Gobernador Civil de Guipúzcoa y del Ministro
de Interior, de la comunicación de la información que había solicitado el actor acerca
de sus datos de carácter personal que obraban en cheros automatizados de la Ad-
ministración del Estado.
El TC estima el recurso de amparo, considerándose que:
Se ha vulnerado el derecho a la intimidad, basándose en que las facultades precisas para
conocer la existencia, los nes y los responsables de los cheros automatizados depen-
dientes de una Administración Pública donde obran datos personales de un ciudadano
son absolutamente necesarias para que los intereses protegidos por el art.18 C.E., y que
dan vida al derecho fundamental a la intimidad, resulten real y efectivamente protegi-
dos. Por ende, dichas facultades de información forman parte del contenido del derecho
a la intimidad, que vincula directamente a todos los poderes públicos, y ha de ser salva-
guardado por este Tribunal, haya sido o no desarrollado legislativamente32.
Asimismo, la Jurisprudencia se manifestó a través de la STC 143/199433, sos-
teniendo que un régimen normativo que autorizase la recogida de datos personales,
incluso con nes legítimos, vulneraría el derecho a la intimidad si no incluyese ga-
rantías adecuadas frente al uso potencialmente invasor de la vida privada del ciuda-
dano a través de su tratamiento informático, al igual que lo harían las intromisiones
directas en el contenido nuclear de ésta. Éste veredicto tiene su origen en el Recurso
contencioso-administrativo que el Consejo General de Colegios de Economistas
29 Artículo 18.4, de la CE.
30 Vid. L S, C. (Coordinador). La Ley de Protección de Datos. Análisis y comentario de
su jurisprudencia. Lex Nova, Valladolid, 2008, p. 58.
31 STC 254/1993, op. cit.
32 Ibídem.
33 STC 143/1994, de 9 de mayo de 1994 (BOE núm. 140, 13.05.1994).
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 35
interpuso contra las disposiciones reglamentarias que regularon la composición y
la forma de utilización del Número de Identicación Fiscal (N.I.F.), por considerar
que vulneraban el derecho fundamental a la intimidad consagrado en el Artículo 18
CE, y que adolecían de defectos procedimentales y formales que acarreaban su nu-
lidad de pleno Derecho, por la ausencia de garantías sobre el uso de la información
obtenida a través de las operaciones identicadas con el N.I.F. El TC desestima el
Recurso, porque entiende que la norma impugnada no legítima por sí misma la ma-
nipulación o difusión de datos que no esté estrechamente conectada con la nalidad
que autoriza su recogida, y entiende que, de producirse infracciones, existen meca-
nismos legales para poder denunciarlos en concreto. Sostiene el TC al respecto, que:
No puede armarse que las disposiciones reglamentarias desconoz can por sí mismas
de estas garantías. El Real Decreto 338/1990, lo mismo que su orden de desarrollo,
forman parte de un conjunto normativo que introduce garantías sucientes frente al
eventual uso desviado de la información que aquellas normas permiten recabar. En
este marco destaca, en desarrollo del art. 18.4 C.E., la Ley Orgánica de 29 de octubre
de 1992, de regulación del tratamiento automatizado de los datos de carácter perso-
nal, que aparte, de las reglas generales sobre tratamiento de datos […], establece nor-
mas especícas para restringir el defecto que la parte imputa a la norma reglamentaria
impugnada. En concreto, garantizándose la seguridad de los archivos (art. 9), impo-
niéndose un deber especíco de secreto profesional, incluso después de nalizadas sus
tareas al respecto, al «responsable del chero automatizado y (a) quienes intervengan
en cualquier fase del tratamiento de los datos de carácter personal» (art. 10) e impi-
diendo la transmisión de datos de carácter personal almacenados, con la excepción de
que concurra el consentimiento del interesado, la autorización legal especíca o la co-
nexión y reconocida necesidad de la transmisión de datos para el logro de nalidades
constitucionalmente relevantes (art. 11) en las condiciones dispuestas en la norma34.
2. La búsqueda de la esencia del dato de salud
2.1. Conjunto de def‌iniciones actuales
Es frecuente referirse a los datos de salud como datos personales o datos
sensibles. De hecho, en la práctica cotidiana, se hace referencia a los datos de salud
de forma amplia y poco precisa, tratándolo indistintamente como dato de carácter
34 Ibídem.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
36
personal, información personal, datos sensibles, etc. No obstante, el «dato sanitario»
es independiente de las otras expresiones y, por tanto, su conceptualización resulta
esencial, desde la perspectiva jurídica a la que se va a dedicar esta investigación.
Tanto la legislación como la doctrina han puesto de relieve la necesidad de
denir con rigurosidad y certeza el concepto de «dato sanitario» para evitar las con-
fusiones que su uso terminológico incorrecto puede acarrear en relación con el nivel
de seguridad y protección jurídica que el «dato» debe ofrecer en virtud de tratarse de
un «dato de carácter personal», un «dato sensible» o un «dato de salud».
Sostiene REMOLINA35, que el tratamiento jurídico sobre la información
personal no es uniforme y depende de la naturaleza o de los riesgos o efectos que
pueda ocasionar cada tipo de información. Por eso, la clasicación jurídica de dato
personal, es relevante en la medida en que dene los parámetros que deben obser-
varse en su tratamiento por parte de terceros. Las pautas, procesos o protocolos que
debe observar el tratamiento de determinada información personal, dependen de la
naturaleza del dato, siendo por ello de vital importancia tener presente la calicación
(jurisprudencial o legal) de los datos personales para que, a partir de ella, el Respon-
sable o Encargado adopte las medidas concretas que debe impregnar el tratamiento
de determinado dato personal.
A raíz de la promulgación de diferentes normas al respecto de los datos perso-
nales36, es menester en este punto llevar a cabo una aproximación terminológica de lo
que jurídicamente debe entenderse por «dato de carácter personal», «dato sensible»
y nalmente «dato sanitario».
2.1.1. El dato de carácter personal
Nos parece adecuado iniciar precisando a qué nos referimos como dato perso-
nal y diferenciarlo del dato sensible, porque se trata de expresiones que comúnmente
se utilizan de forma indistinta, pero que, sin embargo, jurídicamente tienen una
connotación diferente y especíca, lo cual resulta determinante en esta investigación,
tal y como hemos hecho referencia anteriormente.
35 R, N., op. cit., p. 72.
36 LOPD, op. cit.; Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Regla-
mento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter personal (BOE núm. 17, 19.01.2008); Ley Orgánica 10/2007,de 8 de octubre, reguladora
de la base de datos policial sobre identicadores obtenidos a partir del ADN (BOE núm. 242,
9.10.2007); Ley 14/2007, de 3 de julio, de Investigación Biomédica (BOE núm. 159, 4.07.2007).
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 37
Los datos de carácter personal, son la referencia que nos hace individualiza-
bles. Consiste en toda aquella información relevante concerniente a una persona que
nos hace identicables. Se considera que una información hace referencia a una per-
sona física37, cuando la misma es suciente para que podamos reconocer al individuo
cuyos datos se suministran.
Podemos delimitar dos características signicativas, por un lado, que el con-
cepto de dato personal es muy amplio, puesto que abarca cualquier tipo de infor-
mación38 respecto de una persona física (edad, nombre y apellido, DNI, datos de
carácter cultural, aciones, correo electrónico, estado civil, número de cuenta banca-
ria, etc.), y, por otro lado, que no es necesario que la persona se encuentre totalmente
identicada, sino que basta que resulte identicable39.
Por tanto, podemos denir el dato personal como aquel que se ocupa de la
información acerca de las personas, independientemente del medio que se utilice
para recogerla, guardarla, tratarla, utilizarla, elaborar registros o transferirla a otros
terceros. El elemento fundamental para determinar que se trata de un dato de carác-
ter personales que la información, por sí misma o combinada, permita conocer datos
de unapersona concreta, bien por estar directamente identicada a través de algún
dato, obien porque pueda llegar a ser identicada por otro medio.
Sostiene SANTAMARÍA RAMOS40 que: «La información consiste ni más ni
menos en un conjunto organizado de datos que permiten obtener el conocimiento necesario
para la toma de decisiones». El autor advierte sobre los peligros futuros que los datos y
su posterior tratamiento y recolección pueden conllevar, manifestando que: «El dato
se ha convertido en la unidad básica de la sociedad de la información, y por tanto cualquier
37 Los datos personales hacen referencia únicamente a personas físicas, no jur ídicas. El hecho
de que los datos personales se contemplen con relación al honor, la dignidad, la intimidad y la
imagen es lo que ha excluido de su ámbito aquellos datos relativos a personas jurídicas, que, en
principio, se entiende que no tienen datos personales.
38 Esta información puede manifestarse de diferente manera (alfabética, numérica, fotográ-
ca,gráca, y acústica), pero debe referirse siempre a una persona físicaidenticada o identica-
ble para tener la consideración de dato de carácter personal.
39 Sobre la denición de dato personal, véase: Dictamen 4/2007 del Gr upo de Trabajo del Artí-
culo 29 de la Directiva 95/46/CE, 4/2007, sobre el concepto de datos personales, 20.06.2007
(WP 136). Disponible en Internet:
index_en.htm> [Consulta: 11 de septiembre de 2016].
40 S R, F. J. El encargado independiente. Figura clave para un nuevo Derecho de
protección de datos. La Ley grupo Wolters Kluwer, Madrid, 2011, pp. 512-513.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
38
organización se encuentra en la necesidad de recolectar datos de carácter personal como
forma de maximizar sus benecios»41.
Como punto de partida, las diferentes normativas que legislan sobre datos
personales42, coinciden en la conceptualización del dato de carácter personal, reco-
giéndolo como «cualquier información relativa a una persona física identicada o
identicable». A pesar de esta aparente uniformidad, la utilización de esta denición
resulta demasiado amplia e imprecisa43. En este sentido se ha pronunciado el Grupo
de Trabajo del Artículo 2944, manteniendo que: «ésta denición reeja la intención del
41 Ibídem.
42 A nivel español, el Artículo 3.a) de la LOPD, el Artículo 5.1.f ) del RD 1720/2007; a nivel
de Comunidades Autónomas, el Artículo 3.a) de la Ley 8/2001, de 13 de julio, de Protección
de Datos de Carácter Personal en la Comunidad de Madrid (BOE núm. 245, 12.10. 2001);
y Artículo 3.a) de la Ley 2/2004 de 25 de febrero de Ficheros de Datos de Carácter Personal
de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos (BOPV
núm. 44, 4.03.2004); a nivel del Consejo de Europa, el Artículo 2.a) del Convenio Nº 108,
del Consejo de Europa, para la Protección de las Personas con respecto al Tratamiento Au-
tomatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de enero de 1981, ra-
ticado por España el 27 de enero de 1984 (BOE núm. 274, 15.12.1985, pp. 36000-36004);
y, nalmente, a nivel de la UE, el Artículo 2.a) de la Directiva 95/46/CE, del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulaciónde estos
datos (DOUE L 281, 23.11.1995, pp. 31-50); Artículo 2.a) del Reglamento (CE) 45/2001
del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000 relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones
y los organismos comunitarios y a la libre circulación de estos datos (DOUE L 8, 12.01.2001,
pp. 1-22).
43 P M, J. L. «Concepto de datos de car ácter personal», en T R, A.
Comentario a la Ley Orgánica de P rotección de Datos de Carácter Personal. Civitas, Madrid,
2010, p. 193.; D C V, I. C. Protección de datos: cuestiones constitucionales y
administrativas: (el derecho a saber y la obligación de callar). omson-Civitas, Navarra, 2007, p.
329.
44 El Grupo de Trabajo del Artículo 29, se creó en 1996 (en virtud del Artículo 29, de la Directiva
95/46/CE), con carácter consultivo y está compuesto por representantes de las autoridades na-
cionales de control de la protección de datos (ACPD) de cada Estado miembro, el Supervisor
Europeo de Protección de Datos (SEPD) y la Comisión Europea. Las funciones del Grupo
de Trabajo reconocidas por la Directiva incluyen estudiar toda cuestión relativa a la aplic ación
de las disposiciones nacionales tomadas para la aplicación de la Directiva 95/46/CE, emitir
dictámenes sobre el nivel de protección existente dentro de la Comunidad y en países terceros,
asesorar a la Comisión sobre cualquier proyecto de modicación de la Directiva 95/46/CE, y
formular recomendaciones sobre cualquier asunto relacionado con la protección de datos en
la Unión Europea. El Grupo de Trabajo se pronuncia a través de Dictámenes, Documentos
de Trabajo, Informes o Recomendaciones, aunque también maniesta su posición en cartas
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 39
legislador europeo de mantener un concepto amplio de datos personales»45.
Probablemente el legislador europeo ha querido esta extensión en la denición
jurídica del concepto de dato de carácter personal, para que perdurara en el tiempo
sin que fueran necesarias reformas al respecto, y, de hecho, ahora se están planteando
reformas desde el ámbito europeo, veinte años después, tal y como profundizaremos
en la última parte de éste trabajo. Sin embargo, ésta amplitud terminológica ha sido
objeto de numerosas consultas a la Agencia Española de Protección de Datos (en
adelante, AEPD), para que claricara si diversos conceptos estaban o no alcanzados
por la normativa de protección de datos46.
En este punto, cabe matizar que ésta denición que brinda la legislación en
materia de datos personales, hace referencia a «cualquier información» y también se
reere a una persona «identicada o identicable». Pero, ¿a qué se reere exactamen-
te con dichas expresiones? A continuación, esbozaremos unas breves consideraciones
a tener en cuenta sobre estos conceptos.
o comunicados de prensa. Las decisiones del Grupo no son jurídicamente vinculantes, pero
tienen un importante valor doctrinal y son frecuentemente utilizados y citados por los legis-
ladores y los tribunales nacionales y europeos.
index_es.htm> [Consulta: 19 septiembre 2015].
45 Dictamen 4/2007, del Grupo de Trabajo del Artículo 29, op. cit.
46 Vid. Informe jurídico de la AEPD, 0034/2010 en el que se plantea la cuestión de considerar si
el número de una nca registral constituye un dato personal, conforme a la LOPD y en que la
AEPD concluye que: «el número de una nca registral, es el que se otorga a la inscripción de la nca,
por lo que conociendo dicho número podemos conocer el contenido de la inscripción en el que aparecerá
entre otro tipo de información; «la persona natural o jurídica a cuyo favor se haga la inscripción y la
persona de quien procedan inmediatamente los bienes o derechos que deban inscribirse». Por tanto enla-
zando este concepto con las deniciones previstas tanto en la Ley Orgánica 15/1999 y su reglamento de
desarrollo, habrá de concluirse que el número de nca registral es un dato identicable». Informe jurí-
dico de la AEPD 0034/2010, Disponible en Internet:
canaldocumentacion/informes_juridicos/ambito_aplicacion/common/pdfs/2010-0034_El-
n-uu-mero-de-nca-registral-es-un-dato-identicable.pdf> [Consulta: 18 septiembre 2016];
Informe jurídico de la AEPD 0153/2014 que plantea si las imágenes captadas por c ámaras
panorámicas de diversas ciudades españolas constituyen datos de carácter personal, entendien-
do la Agencia que en la medida de que esas personas no resulten identicables a raíz de dichas
imágenes, por carecer de un zoom las cámaras u otras herramientas que permitan aproximar
la imagen de forma que los transeúntes resulten identicados, no es objeto de aplicación de la
LOPD. Informe jurídico de la AEPD 0153/2014. Disponible en Internet: .agpd.
es/portalwebAGPD/canaldocumentacion/informes_juridicos/common/pdf_destacados/2014-
0153_C-aa-maras-panor-aa-micas._Inexistencia-de-datos.pdf> [Consulta: 18 septiembre
2016].
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
40
a) Breves consideraciones sobre la expresión
«cualquier información»
Tal y como se ha hecho referencia anteriormente, con la nalidad de dotar
de una extensa protección a los datos personales, el legislador emplea la fórmula
«cualquier información» para incluir información de carácter variable relacionada
con la información numérica, alfabética, gráca, fotográca47, acústica, o de cualquier
otro tipo concerniente a personas físicas identicadas o identicables48. Es evidente
la intención de dotar de amplitud esta expresión y la palabra «cualquier» es la que
permite ese abanico tan extenso de «información» que al n y al cabo permitirían
identicar a una persona, o a raíz de la información de la que se disponga, determi-
nada persona resulte claramente identicable.
Esta redacción amplia de conceptos viene transpuesta de la Directiva 95/46/
CE del Parlamento Europeo ydel Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos perso-
nales y a la libre circulaciónde estos datos49 (en adelante, Directiva 95/46/CE), y al
respecto DAVARA RODRÍGUEZ50 arma que la Directiva 95/46/CE pretende
que la protección se extienda a toda persona que, de una forma u otra, por asociación
de conceptos o contenidos, aunque no se haga referencia directa a ella pueda ser
identicada o identicable.
47 Respecto a la información fotográca, la AEPD se ha pronunciado entendiendo que la publi-
cación de una fotografía de una festividad de moros y cristianos no necesita recabar el consen-
timiento informado de las personas que en ella aparecen por ser de interés público. Informe
jurídico 0624/2009 de la AEPD. Disponible en Internet:
GPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2009-0624_Pu-
blicaci-oo-n-en-revista-de-foto-ganadora-de-concurso-con-im-aa-genes-de-personas.-No-
necesidad-de-consentimiento.pdf> [Consulta: 18 septiembre 2016].
48 En este sentido regula el Artículo 5.1.f) del Real Decreto 1720/2007, op. cit. Con anterioridad,
Ley Orgánica 5/1992, de 29 de octubre (LORTAD), establecía la necesidad de proteger la «per-
sonalidad que, aisladamente consideradas, pueden carecer de signicación intrínseca pero que, coheren-
temente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que
éste tiene derecho a mantener reservado». Ley Orgánic a 5/1992, de 29 de octubre, de regulación
del tratamiento automatizado de los datos de carácter personal (BOE núm. 262, 31.10.1992,
derogada). Vid. H H, M. «La Protección de datos de salud informatizados
en la Ley Orgánica 5/1992, de 29 de octubre». Derecho y Salud. Núm. 1, enero-junio 1994, pp.
17-28.; S B, A. «La regulación de los datos sensibles en la LORTAD». ID. Núm.
6-7, UNED, 1994, pp. 117-132.
49 Directiva 95/46/CE, op cit.
50 D R, M. A. La Protección de datos en Europa: principios, derechos y procedimiento.
Grupo Asnef Equifax, Madrid, 1998, p. 47.
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 41
Por lo tanto, se pone de maniesto que la normativa actual de protección
de datos intenta dar cobijo a una serie amplia de situaciones, no limitándose es-
trictamente a la intimidad o a «lo íntimo» de una persona en concreto, sino a toda
información relativa a un individuo por muy intrascendente que al principio pueda
parecer, resultando de poca importancia el medio a través del cual se recopila dicha
información. En este sentido se ha pronunciado la Jurisprudencia sentando como
base que el derecho a la protección de datos protege cualquier tipo de dato perso-
nal, sea o no íntimo y que además de ello, que se trata de un derecho que conere
a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda
intromisión en la esfera íntima de su persona y la prohibición de hacer uso de lo así
conocido51.
De manera muy somera es necesario puntualizar en este momento que el
empleo de la expresión «dato» es diferente de la expresión «información». Aunque en
la práctica resultan términos que se usan de forma indistinta, al objeto de estudio de
ésta investigación resulta necesario establecer la diferencia que entre estos conceptos
existe.
Por «dato» se debe entender aquella recopilación en bruto que puede ser de
forma numérica, cualitativa, cuantitativa, en forma de letra, caracteres, etc. Se trata
de una representación simbólica de un hecho o un conocimiento, pero que por sí
mismo el dato no aporta una referencia concreta de una persona.
Contrariamente a lo que se ha explicado que debe interpretarse por «dato», la
«información» consiste en un conjunto de datos, es decir, datos que ya se encuentran
procesados y que pueden ser interpretados o asociados a una persona determinada
o determinable. En el ámbito sanitario, un valor numérico en la historia clínica (en
adelante, HC) de un paciente, de por sí no indica nada, sin embargo, si dicho valor
numérico está contenido en un análisis clínico y viene acompañado de otros datos
que revelan que dicho valor numérico se corresponde a la medición en sangre del
colesterol, y además, se completa con otros datos que valoran los niveles recomen-
51 Entre las más destacadas, la STC 292, op. cit., y la STC 290/2000, op. cit. Si bien éstas dos sen-
tencias son las que revisten mayor notor iedad sobre el particular, también hubo otros pronun-
ciamientos jurisprudenciales en el mismo sentido, tales como la STC 73/1982, de 2 de diciem-
bre, Fundamento Jurídico 5 (BOE núm. 312, 29.12.1882); STC 110/1984, de 26 de noviembre,
Fundamento Jurídico 3 (BOE núm. 305, Suplemento, 21.12.1984); STC 89/1987, de 3 de
junio, Fundamento Jurídico 3 (BOE núm. 151, 25.06.1987); STC 231/1988, de 2 de diciem-
bre, Fundamento Jurídico 3 (BOE núm. 307, 23.12.1988); STC 197/1991, de 17 de octubre,
Fundamento Jurídico 3 (BOE núm. 274, 15.12.1991); y en general las STC 134/1999, de 15
de julio (BOE núm. 197, Suplemento, 18.08.1999); STC 144/1999,de 22 de julio (BOE núm.
204, Suplemento, 26.08.1999); y STC 115/2000, de 10 de mayo (BOE núm. 136, 7.06.2000).
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
42
dados como mínimos y máximos, ya estamos en presencia de lo que denominamos
información y la misma puede ser interpretada, conocida y valorada con nes médi-
cos en este ejemplo.
b) Breves consideraciones sobre la expresión
«identif‌icadas o identif‌icables»
Con la inclusión de esta terminología en el Artículo 3 de la LOPD52 (en
adelante, LOPD), donde se dene el dato personal como «cualquier información con-
cerniente a personas físicas identicadas o identicables», se ha generado confusión al
respecto. Esta expresión jurídica que el legislador ha empleado planteó dudas a la
hora de considerar determinados datos personales como identicadores o no de una
persona en concreto. Frente a las cuantiosas consultas que fueron planteadas a la
AEPD, por parte de los responsables de los cheros, a la hora de incluir dichas con-
sideraciones, la AEPD se ha pronunciado en este sentido, manteniendo que:
Para que exista dato de carácter personal no es necesario que exista una plena coinci-
dencia entre el dato y una persona concreta, sino que es suciente con que tal identi-
cación pueda efectuarse sin esfuerzos desproporcionados […], y […], para determinar
si una persona es identicable, hay que considerar el conjunto de los medios que pue-
dan ser razonablemente utilizados por el responsable del tratamiento o por cualquier
otra persona, para identicar a dicha persona53.
En cuanto a ésta expresión se pretende delimitar la aplicación de la normativa
de protección de datos, solamente a aquellos datos que resulten relevantes o determi-
nantes a la hora de hacer posible la identicación de una persona. En este sentido se
ha pronunciado la Audiencia Nacional (en adelante, AN), entendiendo que si de un
52 Artículo 3, de la LOPD, op. cit.
53 Véase al respecto: Conclusiones y recomendaciones efectuadas por la AEPD en la Inspección
Sectorial de Ocio relativa a «Concursos, juegos y sorteos de televisión», punto 3.1. Conclusio-
nes y recomendaciones de la AEPD, 18.10.2002. Disponible en Internet:
es/portalwebAGPD/canaldocumentacion/recomendaciones/common/pdfs/recomendaciones_
concursos_tv.pdf> [Consulta: 11 de septiembre de 2016]. En el mismo sentido, Informe jurídi-
co 327/2002 de la AEPD, sobre el carácter de dato personal de la dirección IP. Disponible en
Internet:
otras_cuestiones/common/pdfs/2003-0327_Car-aa-cter-de-dato-personal-de-la-direcci-oo-
n-IP.pdf> [Consulta: 11 de septiembre de 2016]; Informe jurídico 285/2006 de la AEPD, sobre
número de teléfono y concepto de dato personal. Disponible en Internet:
es/portalwebAGPD/canaldocumentacion/informes_juridicos/conceptos/common/pdfs/2006-
0285_N-uu-mero-de-tel-ee-fono-y-concepto-de-dato-personal.pdf> [Consulta: 18 septiem-
bre 2016].
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 43
dato que a priori tiene la consideración de dato de carácter personal como lo es una
fotografía, no puede identicarse a la persona que en la misma aparece, no se puede
considerar dato personal54.
Por tanto, consideramos que un dato es identicador si contiene información
de la cual se identica plenamente a la persona a la que hace referencia, sin necesi-
dad de recurrir a más información sobre la misma55. Por el contrario, un dato tendrá
la consideración de identicable, si la información no hace referencia directa a la
persona a la que se reere, pero aporta información suciente para poder llegar a
averiguar su identidad56. En base a ello, una «persona identicable» será «toda persona
cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier infor-
mación referida a su identidad física, siológica, psíquica, económica, cultural o social»57.
No obstante, «una persona física no se considerará identicable si dicha identicación
requiere plazos o actividades desproporcionados»58.
Según lo manifestado, no basta con que la información haga referencia a una
persona, sino que de dicha información ha de resultar plausible la identicación de
una persona. En este sentido, existe una doble barrera: por un lado, la información
para ser considerada dato de carácter personal ha de hacer referencia a un aspecto
íntimo de la persona cuya referencia se trate, y, por otro lado, esta información debe
ser por sí misma suciente para poder lograr la identicación de la persona de cuya
información se hace referencia.
54 En éste caso, la recurrente había denunciado la publicación en una red social de una fotografía
de pequeñas dimensiones que la mostraba de perl, caminando, imagen que la denuncian-
te reconocía como propia, si bien no iba acompañada de ningún otro dato que permitiera la
identicación de la denunciante, considerando en su resolución la Sala que no se puede predi-
car la condición expuesta del carácter identicable de la denunciante, desestimando el recurso
planteado. SAN de 11 de marzo de 2013, Recurso 510/2011 (Roj: SAN 1133/2013 ECLI:
ES:AN:2013:1133) Disponible en Internet:
action?action=contentpdf&databasematch=AN&reference=6668869&links=%22510%2F201
1%22&optimize=20130403&publicinterface=true> [Consulta: 10 septiembre 2016].
55 Un ejemplo, es el DNI que hace plenamente identicable a la persona física a la que pertenece.
56 Las direcciones de correo electrónico, en la medida en que nos proporcionan información que
llegue a determinar la identidad de una persona, son considerados datos identicables. En el
mismo sentido el ADN a priori contiene información genética de una persona, sin embargo,
hasta que no se realice un determinado estudio no podremos asociarlo a una persona en parti-
cular.
57 Artículo 5.o), del Real Decreto 1720/2007, op. cit.
58 Ibídem.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
44
En consecuencia, la identidad hace referencia a los atributos de una per-
sona que la diferencian de otras59. Así, por ejemplo, los rasgos que caracterizan
a un ser humano como pueden ser su nombre y apellido, ADN, DNI, entre
otros, atendiendo a tipologías siológicas, económicas, sociales o culturales, que
forman parte del carácter personal protegido como tal por la normativa de pro-
tección de datos60.
2.2. Datos sensibles o especialmente protegidos
2.2.1. Los datos sensibles
Dentro de los datos de carácter personal, situamos los datos que por su im-
portancia son considerados sensibles. Asimismo, reciben la denominación de «datos
especialmente protegidos» y ello es así en virtud de la especial atención que le brinda
el legislador desde el punto de vista de su protección.
Los datos sensibles pueden categorizarse desde un prisma material y un pris-
ma formal. Desde un punto de vista material, son datos sensibles los que revelan o
son susceptibles de poner de maniesto datos que hacen referencia a las cualidades
de la persona relacionadas con su dignidad, con aspectos que afectan a su personali-
dad, que dibujan su forma de ser y de comportarse. Y desde un punto de vista formal,
los datos que requieren unas especiales y reforzadas garantías de uso que alcanzan
su recogida y tratamiento y que sopesan, en estas fases concretas del tratamiento, la
voluntad de la persona.
59 R C, C. M. «Persona identicada o identicable, el afectado o interesado y el
procedimiento de disociación en la protección de datos de carácter personal», en T
R, A. Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal. omson-
Civitas, Pamplona, 2010, p. 227.
60 El Artículo 13.2, de la Ley 12/1989, de 9 de mayo de la Función Estadística Pública viene a
dar respuesta a cuándo los datos personales hacen identicable a una persona, consagrando que:
«Son datos personales los referentes a personas físicas o jurídicas que o bien permiten la identicación
inmediata de los interesados o bien conduzca por su estructura, contenido, o grado de desagregación a
la identicación». Si bien esta Ley recoge a las personas jurídicas, consideramos que ello carece
de trascendencia toda vez que las personas jurídicas no son titulares de derechos relativos a la
protección de datos de carácter personal, salvo las últimas inclusiones de la Jurispr udencia que
ha venido a incorporar el derecho a la imagen y al honor como un derecho personal a ser pro-
tegido por los Tribunales. Ley 12/1989, de 9 de mayo de la Función Estadística Pública (BOE
núm. 112, 11.05.1989).
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 45
HERRÁN ORTIZ61 hace una diferenciación entre los datos sensibles, dis-
tinguiendo entre un criterio referido al contenido de los datos y otro criterio referido
al mayor o menor nivel de protección que ampara a los mismos. Agrupa así, a las
informaciones referidas a la libertad ideológica o creencias religiosas en un primer
grupo, y en un segundo grupo que involucra, según HERRÁN ORTIZ62, datos de
origen racial, comportamiento sexual y salud.
En el mismo sentido, CORTÉS63, comenta que los datos sensibles pueden
dividirse en tres bloques. En primer lugar, sitúa la autora a los datos que revelen la
ideología, aliación sindical, religión y creencias. Cuando se proceda a su recogida
será preciso que se advierta sobre el derecho que se tiene a no facilitar este tipo
de datos y, además, solo será posible con consentimiento expreso y por escrito del
afectado. En un segundo bloque, coloca los datos que hagan referencia al origen
racial, la salud y la vida sexual. En cuanto a estos datos, solo podrán ser recogidos,
tratados y cedidos cuando exista una nalidad de interés general, lo disponga una ley
o lo consienta el protagonista de forma expresa. También existen excepciones. Por
ejemplo, cuando exista una razón de prevención, prestación de asistencia sanitaria o
tratamiento médico no hará falta el consentimiento siempre que el sujeto que trata
los datos sea un profesional sanitario u otro sujeto al secreto profesional. Por último,
sitúa a los datos relativos a las infracciones penales o administrativas. Aunque éstos
datos sólo pueden ser incluidos en cheros que posean las Administraciones Públi-
cas en determinados supuestos.
Ahora bien, ¿por qué es trascendente conceptualizar y diferenciar el concepto de
dato personal del dato sensible? Porque, no todos los datos personales tienen la catego-
ría de sensibles. Serán considerados datos personales si revelan aspectos de nuestra
vida privada, pero serán considerados datos sensibles si son datos que revelan aspec-
tos íntimos de las personas64.
61 H O, A. I. La violación de la intimidad en la protección de datos personales. Dykinson,
Madrid, 1998, pp. 263-273.
62 Ibídem.
63 C, E. (..) Los tres candados que una empresa debe poner sobre los dados es-
pecialmente protegidos. [Blog post]. Blog Sage. Disponible en Internet:
economia-empresa/que-son-los-datos-especialmente-protegidos-en-proteccion-de-datos/>
[Consulta: 18 septiembre 2016].
64 Para claricar y ejemplicar el concepto, basta con pensar en la declaración de renta que hace-
mos, claramente es un dato personal que forma parte de nuestra vida privada, pero si padezco
una enfermedad como puede ser el cáncer, eso es un dato personal sensible.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
46
Por lo tanto, los datos sensibles son datos que nos identican y que hacen
referencia a la ideología, origen racial o étnico, aliación sindical, la situación pa-
trimonial, la situación nanciera, las opiniones políticas, color de pelo, losócas,
religiosas, las condenas penales, la salud o vida sexual, ente los más signicativos, as-
pectos absolutamente personales e intrínsecos de cada individuo. En base a ello, po-
demos sostener que tendrán la consideración de datos sensible, aquellos que, en caso
de divulgarse de manera indebida, perturbarían la esfera más íntima del ser humano.
2.2.2. Los datos relativos a la salud
Dentro de los considerados datos sensibles o especialmente protegidos, tiene
un lugar especial el dato de salud que será la unidad mínima de referencia para este
trabajo. Los datos de salud consisten en las informaciones que se reeren a la salud
pasada, presente o futura, en personas sanas o enfermas, con enfermedades de carác-
ter físico o psicológico, y que incluye la adicción al alcohol o a las drogas. También
forma parte de los datos sobre la salud, la información de datos genéticos65. En este
sentido, DIETRICH PLAZA66 entiende que, desde la perspectiva de la protección
de datos, los datos genéticos y las muestras biológicas, en cuanto permiten la identi-
cación de la persona física, van a tener la consideración de dato personal especial-
mente protegido, ya que pueden dar información sobre la salud de las personas, así
como revelar su origen racial o étnico.
Los datos personales, referidos a la salud, contienen información de las per-
sonas que permite conocer las dolencias o enfermedades que han padecido, padecen
o incluso podrán padecer o tendrán tendencia a padecer en el futuro. Se trata, en
denitiva, de datos personales que forman parte de la esfera más íntima de la per-
sona, que pueden estar revelando situaciones críticas relativas a determinadas enfer-
medades a la aplicación de técnicas de reproducción asistida o relativa a información
genética, cuyo potencial vulnerador de la intimidad personal nadie se atreve a poner
en duda67.
65 Ésta denición ha sido sustentada por la Agencia de Protección de Datos de la Comunidad
de Madrid (APDCM) en la redacción de la Guía de protección de datos personales para Servicios
Sanitarios Públicos. omson Civitas, Madrid, 2004, p. 69.
66 D P, C. «Datos genéticos y protección de datos personales», en B, L.; S-
 U, A. (coordinadoras). Intimidad, condencialidad y protección de datos de salud.
omson Reuters, Navarra, 2011, pp. 109 y ss.
67 P M, J. L. «La Protección de Datos en el ámbito Sanitario». El Médico. Anuario 2004,
pp. 42-44.
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 47
Esta versión amplia sobre los datos de salud, permite incluir todas aquellas
informaciones sobre el cuerpo humano, la sexualidad, la raza, el código genético, los
antecedentes familiares, los hábitos de vida, de alimentación y consumo68.
El profesor que más aportaciones destacadas ha realizado sobre la materia es
MURILLO DE LA CUEVA69. Sostiene el autor sobre los datos de salud, que:
Son aquéllos que, por afectar a los aspectos más íntimos de la personalidad, reciben
el más alto nivel de protección establecido. Y eso se debe a que se sitúan en un plano
en el que conuyen dos derechos fundamentales al menos: el derecho a la intimidad
y el derecho a la autodeterminación informativa. E, incluso, pueden proyectarse sobre
otros estrechamente relacionados con los anteriores, como la libertad ideológica reco-
nocida en el artículo 16 de la Constitución o con el propio derecho a la protección de
la salud. Contienen, por tanto, una información personal especialmente cualicada y
esencialmente ligada a la dignidad y libertad de aquél a quien pertenecen70.
Por su parte, la doctrina mayoritaria71, entiende que la denición de los da-
tos referidos a la salud abarca tanto a los datos de carácter médico como a aquellos
otros que guarden relación con la salud. Quedarían comprendidos, por tanto, todos
aquellos datos que tiene que ver con el cuerpo humano, como la sexualidad, la raza,
el código genético, pero, además, los antecedentes familiares, los hábitos de vida, de
68 S-C, J.; A, F. Datos sobre la salud y datos genéticos. Su protección en la Unión
Europea y en España. Comares, Granada, 2004, p. 15.
69 M   C, P. L. «El derecho a la autodeterminación informativa y la protección
de datos personales». Cuadernos de Derecho. Núm. 20, 2008, pp.43-58.; Ídem. «La protección de
los datos de carácter personal en el horizonte de 2010». Anuario de la Facultad de Derecho. Núm.
2, 2009, pp.131-142.; Ídem. «Perspectivas del derecho a la autodeterminación informativa».
Revista de Internet, Derecho y Política. Núm. 5, 2007, pp. 18-32.
70 M   C, P. L. «El derecho a la autodeterminación informativa y la protección
de datos personales», op. cit., pp. 43-58.
71 En este sentido se han pronunciado académicos de reconocido prestigio como M 
 C, P. L., «La publicidad de los archivos judiciales y la condencialidad de los datos sanita-
rios». VII Congreso Nacional de Derecho Sanitario, octubre, 2000. Editorial Fundación Mapfre
Medicina, Madrid, 2001.; R C, S.(ed.); B M, J.(coord.). Estudios de
protección de datos de carácter personal en el ámbito de la salud. APDCAT Agencia Catalana de
Protección de Datos. Marcial Pons, 2006.; D L  M, R. «¿Qué se entiende por
dato de salud?». Revista Redacción Médica. 21.06.2007, núm. 585, Año III.; G R,
C. La protección penal de los datos sanitarios. Especial referencia al secreto profesional médico. Coma-
res, Granada, 2007, pp. 35 y ss.; G N, J. La protección de datos personales. omson-
Civitas, Navarra, 2005, pp. 425-430.; L A, M. La Protección constitucional de la salud.
La Ley, Madrid, 2010, pp. 135 y ss.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
48
alimentación, de consumo, así como las enfermedades actuales, pasadas o futuras
previsibles, bien sean de tipo físico o psíquico; y las informaciones relativas al abuso
de alcohol o al consumo de drogas. En denitiva, abarcaría todos los datos que de
alguna forma se reeran a la salud tanto de individuos con buena salud, enfermos o
fallecidos72.
GÓMEZ RIVERO73, completa estas deniciones doctrinarias, y entiende
que el conocimiento de los datos propios de salud por parte de terceros, afectaría no
sólo a la parcela íntima y personal del individuo, sino que proporcionaría informa-
ción sobre nuestras dolencias, rutinas diarias, etc. Al respecto, arma que:
Los datos relativos a la salud afectan de forma indiscutida a la esfera más íntima y
personal del individuo, en cuanto que proporciona una información que, como pocas,
permite acceder a su esfera privada y llegar a conocer no sólo su reducto más personal,
como es el estado de su cuerpo o de su mente sino, a partir de ahí, obtener detalles
sobre su padecimiento, hábitos de vida, tratamiento, etc.74.
Por su parte, DE LORENZO75, señala que la referencia a datos de salud, no
ha de limitarse sólo a aquéllos datos que se reeran a enfermedades o a problemas de
salud, sino también a aquéllos datos que indiquen un buen nivel de salud.
2.2.3. La regulación de los datos sensibles
o especialmente protegidos
a) Marco normativo español
Los datos personales relativos a la salud no están tratados de manera unitaria
en el ordenamiento jurídico nacional. Por el contrario, la regulación normativa es
tanto de carácter estatal76 como de carácter autonómico77. La CE78, es la clave del
Derecho Sanitario que en su Artículo 43 marca el inicio del reconocimiento del de-
72 Vid. A B, Mª C. «La Protección de Datos». Revista de la Salud Mental, Sección Salud
Mental, Implicaciones Legales y Forenses. Disponible en Internet: .saludmental.info/
Secciones/Juridica/2008/proteccion-datos-feb08.html> [Consulta: 18 septiembre 2016].
73 G R, Mª C., op. cit., pp. 35 y ss.
74 Ibídem.
75 D L  M, R., op. cit.
76 LOPD, op. cit. y el correspondiente RD 1720/2007, op. cit.; Ley 14/1986,de 25 de abril,
General de Sanidad (BOE núm. 102, 29.04.1986); Ley 41/2002, de 14 de noviembre, básica
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 49
recho a la salud. Asimismo, otorga las competencias necesarias a los poderes públicos
para que estructure, organice y administre un sistema sanitario que comprenda a
todos los ciudadanos, para prestarles una atención sanitaria adecuada. Por su parte, el
reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información
y documentación clínica (BOE núm. 274, 15.11.2002).
77 En el caso de Catalunya, destaca la Ley 21/2000, de 29 de diciembre, sobre los derechos de
información concerniente a la salud y a la autonomía del paciente, y a la documentación clíni-
ca. En la Comunidad Autónoma de Andalucía cuentan con la Ley 1/2014, de 24 de junio, de
Transparencia Pública (BOE núm. 172, 16.07.2014). En el País Vasco, Ley 2/2004, de 25 de
febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la
Agencia Vasca de Protección de Datos (BOPV núm. 44, 4.03.2004); Decreto 272/1986 de 25
de noviembre por el que se regula el uso de la Historia Clínica de los Centros Hospitalarios de
la Comunidad Autónoma del País Vasco (BOPV núm. 242, 6.12.1986); Decreto 38/2012, de
13 de marzo, sobre historia clínica y derechos y obligaciones de pacientes y profesionales de la
salud en materia de documentación clínica (BOPV núm. 65, 29.03.2012); la Ley 8/1997, de 26
de junio, de Ordenación sanitaria de Euskadi (BOE núm. 9, 11.01.2012); y el Decreto 45/1998,
de 17 de marzo, por el que se establece el contenido y se regula la valoración, conservación y
expurgo de los documentos del Registro de Actividades Clínicas de los Servicios de Urgencias
de los Hospitales y de las Historias Clínicas Hospitalarias (BOPV núm. 67, 8.04.1998). En
Aragón, la Ley 6/2002, de 15 de abril, de Salud de Aragón (BOE núm. 121, 21.05.2002);
Decreto 19/2015, de 24 de febrero, del Gobierno de Aragón, por el que se crea el Registro de
solicitudes de acceso a la información pública y el chero de datos de carácter personal «Solici-
tantes de acceso a la información pública» (BOA núm. 43, 4.03.2015). En Galicia, Ley 3/2001,
de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes
(BOE núm. 158, 3.07.2001). En La Rioja, L ey 2/2002, de 17 de abril, de Salud (BOR núm.
49, 23.04.2002). En la Comunidad Valenciana, disponen del Decreto 56/1988, de 25 de abril,
del Consell de la Generalitat Valenciana (DOGV núm. 817, 4.05.1988); la Ley 3/2003, de 6
de febrero, de Ordenación Sanitaria de la Comunidad Valenciana (BOE núm. 55, 5.03.2003);
Orden de 17 de febrero de 1994, de la Conselleria de Sanitat i Consum, por la que se regula la
condencialidad y custodia de los datos médicos de los servicios médicos de empresa (D OCV
núm. 2227, 13.03.1994); y la Orden de 14 de septiembre de 2001, de la Conselleria de Sani-
dad, por la que se normalizan los documentos básicos de la historia clínica hospitalaria de la
Comunidad Valenciana y se regula su conservación (DOGV núm. 4111, 22.10.2001). En la
Comunidad Autónoma de Castilla y León, cuentan con el Decreto 101/2005 de 22 de diciem-
bre, por el que se regula la historia clínica (BOCyL núm. 249, 28.12.2005); Ley 8/2003, de 8 de
abril, sobre derechos y deberes de las personas en relación con la salud, Comunidad Autónoma
de Castilla y León (BOE núm. 103, 30.04.2003). La Comunidad Extremeña cuenta con la Ley
10/2001, de 28 de junio, de S alud de Extremadura (DOE núm. 76, 3.07.2001); Ley 7/2011,
de 23 de marzo, de salud pública de Extremadura (DOE núm. 59, 25.03.2011); Ley 3/2005,
de 8 de julio, de inf ormación sanitaria y autonomía del paciente, Comunidad Autónoma de
Extremadura (BOE núm. 186, 5.08.2005). En Navarra, disponen de la Ley Foral 11/2002, de 6
de mayo, sobre los derechos del paciente a las voluntades anticipadas, a la información y a la do-
cumentación clínica de Navarra (BON núm. 58, 13.05.2002). En Madrid, la Ley 8/2001, de 13
de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid (BOE núm.
245, 12.10. 2001); Ley 12/2001,de 21 de diciembre, de Ordenación Sanitaria de la Comunidad
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
50
Artículo 51 de la CE, insta a los poderes públicos a garantizar el derecho a la salud79.
En cumplimiento del mandato constitucional, se promulga la Ley 14/1986, de 25 de
abril, General de Sanidad (en adelante, LGS), que establece y garantiza un sistema
sanitario para toda la población, sienta las bases de la intervención pública en dicha
materia y conere una estructura básica y organizativa del sistema de salud.
En el ámbito de la protección de datos de carácter sanitario debemos foca-
lizarnos principalmente en dos normas. Por un lado, en la LOPD, y, por otro lado,
para completar la legislación de aquél momento en la materia, se promulgó la Ley
41/2002, de 14 de noviembre, ley básica reguladora de la autonomía del paciente y
de derechos y obligaciones en materia de información y documentación clínica (en
adelante, LAP), que completa las previsiones que la LGS enuncia como principios
generales. Si bien la LAP tiene su origen en la LGS, ha venido a legislar el vacío que
imperaba en nuestro cuerpo normativo al respecto a la tutela especíca sobre la HC.
Finalmente, la citada normativa se conjuga necesariamente con la LOPD, que
calica a los datos relativos a la salud de los ciudadanos como datos especialmen-
te protegidos, estableciendo un régimen especialmente riguroso para su obtención,
custodia y eventual cesión. En su Artículo 3 dene a los datos de carácter personal,
diciendo que se trata de «cualquier información concerniente a personas físicas identi-
cadas o identicables». Sin embargo, la norma no dene expresamente al dato de
salud como tal. En el Artículo 7.3, la LOPD alude a los datos de salud como «datos
de carácter personal que hagan referencia a la salud». Por su parte, el Artículo 8 de la
LOPD, limita el tratamiento que los profesionales de los centros de salud respecto a
los datos de salud recopilados80.
de Madrid (BOCM núm. 306, 26.12.2001). En Murcia cuentan con la Ley 4/1994, de 26 de
julio, de Salud de Murcia (BOE núm. 243, 11.10.1994). Finalmente, en Asturias disponen de
la Ley 1/1992, de 2 de julio, del Servicio de Salud del Principado de Asturias (BOE núm. 211,
2.09.1992).
78 Artículo 43, de la CE.
79 Al respecto, mantuvo el TC que: «De la interpretación sistemática de todos esos preceptos se inere
la exigencia constitucional de que exista un sistema normativo de la sanidad nacional, puesto que los
derechos que en tal sentido reconoce la Constitución en los artículos 43 y 51 o, complementariamente, en
otros como el 45.1, que reconoce el derecho que todos tienen a disfrutar de un medio ambiente adecuado
para el desarrollo de la persona, pertenecen a todos los españoles y a todos se les garantiza por el Estado
la igualdad en las condiciones básicas para el ejercicio de los mismos». STC 32/1983, de 28 de abril
(BOE núm. 117, 17.05.1983).
80 El Artículo 8, de la LOPD, establece que: «Sin perjuicio de lo que se dispone en el artículo 11
respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales
correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 51
Podemos apreciar la generalidad que el legislador le otorga a tal denición.
Quizás, desde nuestro punto de vista, ambigua, porque entendemos que ha sido
intención del legislador, tal y como se explicó anteriormente, que la Ley perdurara
más en el tiempo, hecho que sólo podía alcanzarse si el objeto de protección no es-
taba estrictamente limitado, sino que englobaba una serie de datos que podían hacer
referencia a la salud y por tanto contar con la protección más alta de la normativa.
Sin embargo, esta norma, si bien se reere explícitamente a los datos de salud,
considerándolos expresamente protegidos y limitando la posibilidad de su recopila-
ción y cesión, no establece un concepto concreto de este tipo de datos.
Por tanto, realizada esta apreciación, a n de denir a los datos de salud des-
de el punto de vista legal, se deberá partir del concepto que las normas nacionales
e internacionales, vigentes en España dan al mismo81, labor que realizaremos en el
siguiente apartado.
las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la
legislación estatal o autonómica sobre sanidad».
81 Destacan la Declaración de Helsinki de la Asociación Médica Mundial de 1964 (Adoptada por
la 18ª Asamblea Médica Mundial, Helsinki, Finlandia, junio de 1964 y enmendada por la 29
Asamblea Médica Mundial, Tokio, Japón, octubre de 1975, la 35ª Asamblea Médica Mundial,
Venecia, Italia, octubre de 1983 y la 41ª Asamblea Médica Mundial, Hong Kong, septiembre
de 1989), como una propuesta de principios éticos para investigación médica en seres huma-
nos, incluida la investigación del material humano y de información identicables. Disponible
en Internet: .wma.net/es/30publications/10policies/b3/17c_es.pdf> [Consulta: 2
septiembre 2016]; Recomendación (97) 5, de 13 de febrero de 1997, del Comité de Ministros
del Consejo de Europa a los Estados miembros sobre Protección de Datos Médicos. Disponible
en Internet: .com/recomendaciasn-nao-r-97-5-de-13-de-febrero-
de-1997-del-comitac-de-ministros-del-consejo-de-europa-a-los-estados-miembros-sobre-
protecciasn-de-datos-macdicos/> [Consulta: 2 septiembre 2016]; la Declaración Universal
sobre el Genoma Humano y los Derechos Humanos, 28 de abril de 1977. Disponible en Inter-
net:
SECTION=201.html> [Consulta: 18 septiembre 2016]; la Declaración Internacional sobre los
datos genéticos humanos, adoptada por unanimidad en la Conferencia General de la UNESCO
el 16 de octubre de 2003. Disponible en Internet: .php-URL_
ID=17720&URL_DO=DO_TOPIC&URL_SECTION=201.html> [Consulta: 18 septiem-
bre 2016]; el Convenio para la Protección de los Derechos Humanos y de la Dignidad del Ser
Humano con Respecto a las Aplicaciones de la Biología y de la Medicina, hecho en Oviedo
el 4 de abril de 1997. Instrumento de Raticación del Convenio para la protección de los de-
rechos humanos y la dignidad del ser humano con respecto a las aplicaciones de la Biología y
la Medicina (Convenio relativo a los derechos humanos y la biomedicina), hecho en Oviedo
el 4 de abril de 1997 (BOE núm. 251, 20.10.1999, pp. 36825-36830); y la Carta de Derechos
Fundamentales de la Unión Europea, de 18 de diciembre de 2000 (DOCE C 364, 18.12.2000,
pp.1-22).
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
52
Por su parte, la CE reriéndose a los derechos fundamentales y a las liberta-
des públicas, recoge en el Artículo 10 el derecho a la dignidad de la persona82, y el
derecho a la intimidad personal según el en el Artículo 18. Aunque es en su artículo
43.1 donde la CE reconoce expresamente el derecho a la salud estableciendo en su
apartado primero que: «Se reconoce el derecho a la protección de la salud».
La LOPD, consagra en su Artículo 7, referido a los datos especialmente pro-
tegidos que:
De acuerdo con lo establecido en el apar tado 2 del artículo 16 de la Constitución,
nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando
en relación con estos datos se proceda a recabar el consentimiento a que se reere el
apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
Por su parte, Convenio relativo a los derechos humanos y la biomedicina83 (en
adelante, Convenio de Oviedo), también establece que «Toda persona tendrá derecho a
que se respete su vida privada cuando se trate de informaciones relativas a su salud».
b) Marco jurídico internacional y europeo
b)1. Marco jurídico internacional
La protección de datos tiene origen europeo y se incorpora como primera
formulación del ordenamiento jurídico como el reconocimiento y la profundización
en el derecho a la intimidad personal y familiar de la persona.
Sin ánimo de hacer un estudio pormenorizado de la normativa internacional
y europea al respecto porque excede del objeto de estudio de éste libro, sí que resulta
necesario enmarcar a los datos de salud en el contexto jurídico que traspasa nuestras
fronteras, dando una breve aproximación al lector en la normativa existente en la
materia.
82 El Artículo 10, de la CE establece que: «La dignidad de la persona, los derechos inviolables que le
son inherentes, el libre desarrollo de la personalidad, el respeto a la ley y a los derechos de los demás son
fundamento del orden político y de la paz social. 2. Las normas relativas a los derechos fundamentales
y a las libertades que la Constitución reconoce se interpretarán de conformidad con la Declaración
Universal de Derechos Humanos y los tratados y acuerdos internacionales sobre las mismas materias
raticados por España». Al respecto, varios autores entienden que el origen de la protección de
datos está en la intimidad y ésta a su vez viene contenida en la dignidad humana. Vid. M
  C, P. L. La construcción del derecho a la autodeterminación informática y las garantías
para su efectividad., op. cit., pp. 11-12.; B, V., op. cit. pp. 85-139.
83 Artículo 10, sobre la vida privada y el derecho a la información, del Convenio de Oviedo, op. cit.
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 53
El marco jurídico internacional de la protección de datos se edica a partir del
Artículo 12 de la Declaración Universal de los Derechos del Hombre, que protege a
toda persona en su vida privada frente a injerencias o ataques84.
Posteriormente, en la década del ‘50 se aprobó el Convenio para la Pro-
tección de los Derechos Humanos y de las Libertades Fundamentales85, (en ade-
lante, CEDH), que en su Artículo 8 hace referencia expresa a la vida privada y
familiar. Y también ha supuesto un avance el Convenio en lo que respecta a la
extensión a los extranjeros la protección que se concede a la vida familiar en éste
Artículo 886.
Este Artículo ha sido ampliado en su aplicación por la Jurisprudencia que
el Tribunal Europeo de Derechos Humanos (en adelante, TEDH) ha dictado en
84 La Declaración Universal de los Derechos Humanos, establece que: «Nadie será objeto de inje-
rencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a
su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injeren-
cias o ataques». Declaración Universal de los Derechos del Hombre, declaración adoptada en
París por la Asamblea General de las Naciones Unidas en su Resolución 217 A (III), de 10
de diciembre de 1948. Disponible en Internet:
human-rights/> [Consulta: 2 septiembre 2016].
85 En el Artículo 8 del CEDH, se establece que: «1. Toda persona tiene derecho al respeto de su
vida privada y familiar, de su domicilio y de su cor respondencia. 2. No podrá haber injerencia de la
autoridad pública en el ejercicio de este derecho sino en tanto en cuanto esta injerencia esté prevista
por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad
nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de
las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las liber-
tades de los demás». Convenio para la Protección de los Derechos Humanos y de las Libertades
Fundamentales, de 4 de noviembre de 1950, raticado por España el 26.09.1979 (BOE núm.
243, 10.10.1979).
86 En el Caso Abdulaziz, Cabales y Balkandali, se trata de tres residentes legales en el Reino
Unido que contraen matrimonio en su país de origen, y a cuyos maridos se les niega la resi-
dencia en el Reino Unido como consecuencia de las leyes inmigratorias del Reino Unido. Las
recurrentes alegaron que esa negativa, implicaba necesariamente una injerencia ilícita por parte
de las autoridades británicas en su vida familiar, al impedir la misma. El TEDH consideró que
el Convenio puede generar obligaciones positivas de los Estados inherentes a un efectivo res-
peto a la vida familiar que no excluyen de por sí su adopción en el campo de la inmigración y
determinó en su sentencia el TEDH que el legítimo control de los estados sobre la inmigración
debe ejercerse de forma compatible con el Convenio ( Sentencia TEDH,28.05.1985, Abdula-
ziz, Cabales y Balkandali contra Reino Unido (Serie A nº 94) apartados 60-69). En el mismo
sentido, en el Caso Berrehab contra Países Bajos, el TEDH ha considerado que la negativa a
conceder un permiso de residencia a un extranjero que pretende visitar con frecuencia a un hijo
de corta edad constituye un límite desproporcionado al derecho al respeto a la vida familiar y,
por lo tanto, es incompatible con el Convenio (Sentencia TEDH, 21.06.1988, Caso Berrehab
contra Países Bajos).
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
54
la materia. En este sentido, arma el TEDH que a esta obligación negativa de no
injerencia pueden añadirse obligaciones positivas inherentes al respeto a la vida
privada y familiar, entre las cuales pueden encontrarse la adopción de medidas
tendentes a asegurar el respeto de la vida privada, incluso en las relaciones entre
los individuos87.
FREIXES SANJUÁN88 sostiene que este posicionamiento del TEDH abre
nuevas vías de interpretación del Convenio, postulando no únicamente una acción
de protección de los derechos contra los poderes públicos, sino incluyendo la pro-
tección frente a violaciones realizadas por particulares, lo cual rompe con la función
clásica de los tratados internacionales (creación de obligaciones interestatales) para
dotarlos de una ecacia objetiva, que comporta la vinculación de los particulares a
las disposiciones del Convenio.
Ya en el año 1966, el Pacto Internacional de Derechos Civiles y Políticos89,
siguió el mismo criterio que el mantenido en su predecesor, y se reere a la pro-
tección de la vida privada, otorgándole protección frente a las injerencias arbitrales
o ilegales.
87 La pretensión del Convenio de asegurar el goce de los derechos protegidos, partiendo de que
su nalidad consiste no en proclamar derechos ilusorios sino en garantizar la efectividad de
los mismos, En este sentido, el TEDH arma que a esta obligación negativa de no injerencia
pueden añadirse obligaciones positivas inherentes al respeto a la vida privada y familiar, en-
tre las cuales pueden encontrarse la adopción de medidas tendentes a asegurar el respeto de
la vida privada, incluso en las relaciones entre los individuos. Para profundizar más el tema,
véase al respecto: F S, T. «Las principales construcciones jurisprudenciales del
Tribunal Europeo de Derechos Humanos. El standard mínimo exigible a los sistemas internos
de derechos en Europa». Proyecto DGICY T. «Integración europea y derechos fundamentales:
Integración de la jurisprudencia del Tribunal Europeo de Derechos Humanos y del Tribunal
de Justicia de la Unión Europea en las sentencias del Tribunal Constitucional» (PB93-0851).
Disponible en Internet:
EUROPEO%20DE%20DERECHOS%20HUMANOS/JURISPRUDENCIA%20TEDH/
PRINCIPALES%20CRITERIOS%20JURISPRUDENCIALES%20DEL%20TEDH.pdf>
[Consulta: 18 septiembre 2016].
88 F S, T., op. cit.
89 El Pacto Internacional de Derechos Civiles y Políticos, en su Artículo 17, establece que: «1.
Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o
su correspondencia, ni de ataques ilegales a su honra y reputación. 2. Toda persona tiene derecho a la
protección de la ley contra esas injerencias o esos ataques». Pacto Internacional de Derechos Civiles
y Políticos, adoptado y abierto a la rma, raticación y adhesión por la Asamblea General en su
resolución 2200 A (XXI), de 16 de diciembre de 1966, en vigor desde 3.01.1976 (BOE núm.
103, 30.04.1977). Disponible en Internet: hchr.org/SP/ProfessionalInterest/Pa-
ges/CESCR.aspx> [Consulta: 2 septiembre 2016].
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 55
TELLES90 y NAVALPOTRO91 consideran que los primeros pasos en la ma-
teria se han visto dados a través de la Resolución 22/1973, de 20 de noviembre, del
Consejo de Europa, sobre regulación jurídica de los cheros electrónicos en el sector
privado y con la Resolución 29/1974, de 29 de noviembre de 1974, del Consejo de
Europa, para establecer las pautas ordenadoras del sector público de la informática.
Con posterioridad, el Convenio 108, del Consejo de Europa, para la Protec-
ción de las Personas con respecto al Tratamiento Automatizado de Datos de Carác-
ter Personal, de 28 de enero de 198192, (en adelante, el Convenio 108), advierte sobre
la necesidad de llevar a cabo una unión más íntima entre los miembros del Consejo
de Europa, basada en el respeto particularmente de la preeminencia del derecho así
como de los derechos humanos y de las libertades fundamentales y se reconoce que
es deseable ampliar la protección de los derechos y de las libertades fundamenta-
les de cada uno, concretamente el derecho al respeto de la vida privada, teniendo
en cuenta la intensicación de la circulación a través de las fronteras de los datos
de carácter personal que son objeto de tratamientos automatizados. Asimismo, esta
norma destaca la importancia de conciliar los valores fundamentales del respeto a la
vida privada y de la libre circulación de la información entre los pueblos93.
El Convenio 108 vino a ser el primer instrumento a nivel europeo en el cual
los países rmantes reconocen de forma unánime la necesidad de legislar sobre el
intercambio de datos personales que la sociedad estaba experimentando en aquellos
tiempos94. Como consecuencia de la posición común de los Estados miembros del
Consejo Europeo, sobre la necesidad de establecer un marco de criterios a seguir
por todos ellos, al objeto de tutelar de forma amplia la protección de los derechos y
libertades fundamentales de los individuos en un momento en el que el ujo de los
datos de carácter personal trasfronterizo había incrementado, como consecuencia de
90 T A, A. La protección de datos en la Unión Europea. Divergencias normativas y
anhelos unicadores. Edisofer, Madrid, 2002, pp. 29 y ss.
91 N N, Y. «Antecedentes de la Ley Orgánica 15/1999, de 13 de diciem-
bre, de Protección de Datos de Carácter Personal (LOPD)», en A A, C.
(Coordinadora). Estudio práctico sobre la protección de datos de carácter personal. Lex Nova,
2ª Edición, Valladolid, 2007, p. 34.
92 Convenio Nº 108, del Consejo de Europa, para la Protección de las Personas con respecto al
Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de
enero de 1981, raticado por España el 27 de enero de 1984 (BOE núm. 274, 15.12.1985, pp.
36000-36004).
93 Según se recoge en las consideraciones previas del Convenio 108.
94 Ibídem.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
56
los avances tecnológicos, persiguiendo establecer un adecuado equilibrio entre el res-
peto a la vida privada y la libre circulación de la información en los distintos países.
El aspecto más destacable al objeto de análisis en esta redacción, es que el
Convenio 108, enuncia las categorías especiales de datos, es decir los datos sensibles,
a los que hacemos referencia en la primera parte de éste trabajo, estipulando que el
tratamiento de los datos de salud no podrá tratarse automáticamente a menos que el
derecho interno prevea garantías apropiadas95.
El apartado 45 de la Memoria Explicativa del Convenio 108, se reere a los
datos de carácter personal relativos a la salud, considerando que su concepto abarca
«las informaciones concernientes a la salud pasada, presente y futura, física o mental, de
un individuo», pudiendo tratarse de informaciones sobre un individuo de buena sa-
lud, enfermo o fallecido96. Añade el apartado 45 que: «debe entenderse que estos datos
comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de
drogas»97.
Ya más aproximados a la denición de los datos de salud que en éste libro nos ocupa,
la Recomendación nº R (97) 5, del Comité de Ministros del Consejo de Europa, referente
a la protección de datos médicos, arma que: «la expresión datos médicos hace referencia a
todos los datos de carácter personal relativos a la salud de una persona. Afecta igualmente
a los datos maniesta y estrechamente relacionados con la salud, así como con las informa-
95 El Artículo 1, del Convenio 108, establece que: «El n del presente Convenio es garantizar, en el
territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia,
el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con
respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona
(«protección de datos»). En su Artículo 2, dene el concepto de «Datos de carácter personal»,
diciendo que signica cualquier información relativa a una persona física identicada o iden-
ticable «persona concernida» Referido a las categorías de datos en particular, estipula en el
Artículo 6, que: «Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las
convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o
a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías
apropiadas. la misma norma regirá en el caso de datos de carácter personal referentes a condenas pe-
nales». Para profundizar más al respecto, véase: B D, J. «Derecho comunitario sobre
protección de datos», en G M, C. (Director). Derecho a la intimidad y nuevas
tecnologías. Consejo General del Poder Judicial, Madrid, 2004, pp. 45-76.
96 En la Memoria Explicativa del Convenio 108, se considera que el concepto de datos de salud
abarca «las informaciones concernientes a la salud pasada, presente y futura, física o mental, de
un individuo», pudiendo tratarse de informaciones sobre un individuo de buena salud, enfermo
o fallecido.
97 Ibídem.
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 57
ciones genéticas»98. Según COUDERT99, éste concepto de dato de salud es el más
conveniente para su delimitación.
Por su parte, la Organización Mundial de la Salud (en adelante, OMS) tam-
bién elabora una denición, destacando que se trata de información referida al bien-
estar físico, mental o social, y no solo a la ausencia de enfermedades o dolencias.
Hasta el presente, podemos sostener que aquí encontramos la denición más exacta
sobre el dato de salud en sí. La OMS concluye diciendo que: «La salud es un estado
de completo bienestar físico, mental y social, y no solamente la ausencia de afecciones o
enfermedades»100. Ésta denición no ha sido modicada desde 1948.
b)2. Marco jurídico europeo
Recuerdan FERNÁNDEZ CONTE y LEÓN BRUGOS101 que por los años
‘70, los Estados miembros de la UE comenzaron a desarrollar en sus ordenamientos
jurídicos internos, el derecho a la protección de datos. Alemania siendo el primer
país en abordar el tema del derecho a la protección de datos codicando su conte-
nido y regulación102.
Posteriormente, en la UE se adoptó la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos103, cuyo objetivo primordial es la tutela sobre el derecho a
la intimidad en el tratamiento de los datos de carácter personal, y cuya trasposición
98 Recomendación nº R (97) 5, de 13 de febrero de 1997, del Comité de Ministros del Consejo de
Europa a los Estados miembros sobre Protección de Datos Médicos.
99 C , F. «Tratamiento de datos especialmente protegidos», en A A, C.
(Coordinadora). Estudio práctico sobre la protección de datos de carácter personal. Lex Nova,
Edición, Valladolid, 2007, pp. 340 y ss.
100 Preámbulo de la Constitución de la Organización Mundial de la Salud, que fue adoptada por la
Conferencia Sanitaria Internacional, celebrada en Nueva York del 19 de junio al 22 de julio de
1946, rmada el 22 de julio de 1946 por los representantes de 61 Estados (Ocial Records of
the World Health Organization, Nº 2, p. 100), y entró en vigor el 7 de abril de 1948.
101 Vid. F C, J.; L B, D. «Antecedentes y proceso de reforma sobre pro-
tección de Datos en la Unión Europea», en P M, J. L. (Director). Reglamento General
de Protección de Datos, hacia un modelo europeo de privacidad. Reus, Madrid, 2016, p. 37.
102 En el Estado Alemán de Hesse se codicó por primera vez una norma de protección de datos
Datenschutzgesetz Gesetz vom: 07.10.1970 (GVBI.I Nr. 41 S.625-627, 12.10.1970).
103 Directiva 95/46/CE, op. cit.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
58
a nuestro ordenamiento jurídico dio como resultado la LOPD104, Ley desarrollada
La Directiva 95/46/CE persigue especialmente que los Estados miembros
apliquen unas medidas equivalentes para tutelar el respeto a la intimidad en el tra-
tamiento automatizado de datos de carácter personal. En la actualidad, la Directiva
95/46/CE es la piedra angular de la legislación vigente de la UE en materia de
protección de datos, que fue adoptada hace dos décadas con un doble objetivo: por
un lado, defender el derecho fundamental a la protección de datos protegiendo el
derecho a la intimidad en el tratamiento de los datos de carácter persona y, por otro
lado, garantizar la libre circulación de estos datos entre los Estados miembros. Se
complementó mediante la Decisión Marco 2008/977/JAI, en su calidad de instru-
mento general a escala de la Unión para la protección de datos personales tratados
en el marco de la cooperación policial y judicial en materia penal106.
Uno de los instrumentos normativos más recientes e importantes desde el
punto de vista de su carácter vinculante y supranacional, es el Convenio sobre Dere-
chos Humanos y la Biomedicina del Consejo de Europa107 (en adelante, Convenio
de Asturias), que consagra la necesidad de informar al paciente sobre su estado de
salud y sobre las terapias posibles y también la obligación de obtener el libre consen-
timiento del enfermo de forma previa a cualquier intervención médica108.
Por último, con la rma de del Convenio de Oviedo109, que ha sido objeto
de elaboración y discusión durante una década en el seno del Consejo de Europa,
éste instrumento legal se convirtió en el primer texto jurídico internacional sobre
este asunto y, según SANCHEZ-CARO110, viene a marcar la senda en el desarrollo
cientíco en los ámbitos de la biología y la medicina que, a partir de su aprobación,
104 LOPD, op. cit.
105 RD 1720/2007, op. cit.
106 Para profundizar más el tema, véase: N N, Y., op. cit., pp. 34 y ss.
107 Conocido también como Convenio de Asturias de Bioética, rmado por España el 4 de abril
de 1997, en Oviedo. Entró en vigor el 1 de enero de 2000 (BOE núm. 251, 20.10.1999). El
ministro de Sanidad en aquel momento, José Manuel Romay Beccaría, equiparó la relevancia
108 Artículo 6, del Convenio de Oviedo, op. cit.
109 Ibídem.
110 S-C, J. «El consentimiento previo a la inter vención y la protección de los incapa-
ces», en R C, C. M. El Convenio de derechos Humanos y Biomedicina. Su ent rada
en vigor en el ordenamiento jurídico español. Comares, Granada, 2002, pp. 123-127.
PARTE I | CAPÍTULO I | ASPECTOS BÁSICOS EN TORNO A LOS DATOS DE SALUD 59
quedó supeditado siempre el respeto de los derechos y la dignidad de la persona,
requiriéndose el consentimiento expreso del individuo al tratar sus datos.
Conclusión
En consecuencia, podemos advertir que la legislación nacional se ha visto
directamente inuida por el marco internacional. Conjugando las opiniones de los
diversos autores citados, podríamos decir que los datos referidos a la salud no sólo
se reeren a los datos médicos en sentido estricto, sino que engloban todos aquellos
datos referidos al cuerpo humano, enfermedades presentes y futuras tanto físicas
como psíquicas, o datos sobre el fallecimiento.
Consideramos que la normativa legal presente carece de una denición con-
creta de datos de salud, lo que conlleva a una cierta inseguridad jurídica en el sector
del derecho sanitario. Debemos resaltar que tratar los datos de salud, datos espe-
cialmente protegidos por la ley, requiere de unas garantías mayores. Por tanto, si la
legislación no contiene una conceptualización más concreta, estaremos frente a una
ambigüedad de lo que implica un dato de salud y si ha de considerarse como tal o no,
y en ese caso saber qué garantías han de aplicarse.

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR