Normativa para la regulación del dato de salud

AutorLucia Cristea Uivaru
Cargo del AutorDoctora en Derecho por la Universidad Abat Oliba CEU de Barcelona
Páginas61-123
CAPÍTULO II
61
Normativa para la regulación
del dato de salud
SUMARIO: 1. Tratamiento y cesión de los datos de salud. 1.1. El papel norma-
tivo y su protección. 1.1.1 Normativa de la Unión Europea. 1.1.2. Normativa
interna. 1.1.3. Ética sanitaria y carácter vinculante de los Códigos Deontoló-
gicos. 2. Principios que se aplican al tratamiento de los datos personales. 2.1.
Principio de calidad de datos. a) Adecuación de los datos. b) Finalidad de los
datos. c) Certeza de los datos. d) Cancelación de los datos. e) Almacenamiento
de los datos. f) Fraude en la recopilación de los datos. 2.2. Principio de infor-
mación. 2.3. Principio de consentimiento del afectado. 2.4. Consentimiento
informado. a) Excepciones al consentimiento. b) Vicios del consentimiento. c)
Revocación del consentimiento. 2.5. Conocimiento informado. 2.6. Principio
de seguridad. 2.7. Principio de condencialidad y secreto médico. a) Sanciones
en el ámbito Penal respecto a la revelación de secretos. 2.8. Transparencia o
publicidad en el tratamiento. 3. Derechos del paciente respecto a su historia
clínica. 3.1. Acceso. 3.2. Derecho a la recticación o cancelación de los datos
erróneos. 3.3. Derecho de oposición de los interesados.
Introducción
Los datos personales referidos a la salud de las personas, son datos sensibles
y especialmente protegidos que la Ley consagra como tales, y por ello, la normativa
vigente establece de manera taxativa la forma en que esta categoría especial de datos
ha de ser tratada por los profesionales que recopilan y habitualmente trabajan con
estos datos. Así también, se ha de comprobar que esos datos sean adecuados a la
nalidad asistencial que se brinde y en su caso, cómo ha de tratarse a este especial
grupo de datos sensibles y si los mismos han de ser comunicados a terceras personas
para la realización de los nes para los cuales han sido recabados.
Es importante analizar qué se entiende por tratamiento de los datos persona-
les y cuáles son sus límites normativos, porque los datos por sí mismos no constitu-
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
62
yen ningún riesgo. Lo que sí goza de amparo normativo es su tratamiento; el hecho
de que nuestros datos personales sean tratados por terceras personas conlleva un
peligro, y este denominado «tratamiento» es lo que encuentra un paraguas legal que
profundizaremos a continuación.
En éste Capítulo nos centraremos en analizar los principios jurídicos y éticos,
que deben observarse a la hora del tratamiento de los datos de salud, por parte del
facultativo médico y el personal sanitario, y nalmente explicaremos los derechos
que le asisten al interesado en relación con sus datos de salud.
1. Tratamiento y cesión de los datos de salud
No cabe duda de que los datos de salud se sitúan en la esfera más íntima de
la persona, particularmente, aquellos datos que su conocimiento por parte de otros
puede menoscabar el desarrollo de la personalidad. Nos referimos a datos tan de-
licados como, por ejemplo, la orientación sexual, el padecimiento de enfermedades
psiquiátricas o de transmisión sexual, embarazos interrumpidos, fertilidad, ser alco-
hólico o ex alcohólico, etc. Como se ha explicado en la primera parte de éste libro,
los datos de salud disfrutan de un status jurídico particular dada su calicación de
datos especialmente protegidos y es por ello, que, su tratamiento inadecuado puede
vulnerar derechos fundamentales111 y la normativa establece de forma contundente
cómo ha de llevarse a cabo el tratamiento de éste grupo de datos.
El tratamiento de datos debe entenderse como el conjunto de operaciones y
procedimientos técnicos de carácter automatizado o no, que permitan la recogida,
grabación, conservación, elaboración, modicación, bloqueo y cancelación, así como
las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias112. Por lo tanto, nuestros datos pueden ser recabados por cualquier me-
dio, ya sea en formato papel tradicional o a través de cualquier variante informática,
111 Pueden verse involucrados y por tanto afectados, el derecho a la intimidad, a la igualdad, a la no
discriminación, etc., es por ello que, el Artículo 7, de la LOPD calica los datos de salud como
especialmente protegidos y, al respecto, precisa en su apartado 3, que los datos de carácter per-
sonal que hagan referencia a la salud y a la vida sexual sólo podrán ser recabados, tratados y ce-
didos cuando, por razones de interés general, así lo disponga una Ley o el afectado lo consienta
expresamente. Vid. B A, J. L. (27.06.2012). La Protección de los datos persona-
les relacionados con la salud. Ponencia presentada en el Defensor del Pueblo de Navarra, junio
de 2012, Navarra. Disponible en Internet:
9C3B-442E-8651-61A7AE0490AD/226320/pdps.pdf> [Consulta: 7 julio 2015].
112 Artículo 3. c), de la LOPD.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 63
como ordenador, tablet, teléfono, etc. y los mismos pueden ser tratados para los nes
que han sido recabados, tal y como analizaremos más adelante.
Según ÁLVAREZ CIVANTOS113, «el concepto de tratamiento de datos se asien-
ta en un concepto superior que no es otro que el de conservación o utilización activa o pasiva
de los datos personales en continuo». Se reere el autor, a que existe tratamiento de los
datos, a pesar de que los mismos no sean utilizados de forma constante, sino por el
contrario, los datos siguen almacenados y serán utilizados en la medida de que el
responsable los necesite para la nalidad que fueren recogidos. En el mismo sentido,
concluye ÁLVAREZ HERNANDO114, quien sostiene que el tratamiento de datos
permite prácticamente todo. El autor arma que, se entiende que existe tratamiento
de datos por el mero hecho de poseerlos, conservarlos o visualizarlos, aunque, no
exista dolo o intención de usarlos, ya sea de forma lícita o ilícita.
Éste tratamiento de nuestros datos de salud puede llevarse a cabo de dos
maneras muy diferentes: con nuestro consentimiento o sin nuestro consentimiento.
Estos temas se abordarán más en profundidad en los siguientes epígrafes. Evidente-
mente, la relación jurídica que vinculará a la persona responsable del tratamiento de
nuestros datos con el individuo, será desigual según medie o no el consentimiento
de éste último, y como consecuencia de ello, la protección legal y las obligaciones
que la Ley impone serán distintas y sólo puede darse en determinados supuestos
que la Ley establece de forma taxativa115. En este sentido, maniesta APARICIO
SALOM116 que:
113 Á C, O. Normas para la implantación de una ecaz protección de datos de carácter
personal en empresas y entidades. 3ª edición, Auren, Granada, 2008, p.16.
114 Á H, J. Guía Práctica sobre Protección de Datos. Cuestiones y Formularios. Lex
Nova, Valladolid, 2011, p. 64.
115 Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual
sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo
disponga una Ley o el afectado consienta expresamente. Asimismo, cuando dicho tratamiento
resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia
sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho trata-
miento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra
persona sujeta asimismo a una obligación equivalente de secreto. Finalmente, también podrán
ser objeto de tratamiento los datos a que se reere el párrafo anterior cuando el tratamiento sea
necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que
el afectado esté física o jurídicamente incapacitado para dar su consentimiento, según preceptúa
el Artículo 7.3 y 7.6, de la LOPD.
116 A S, J. Estudio sobre la Protección de Datos. 4ª Edición, omson Reuters Aranzadi,
Pamplona, 2013, pp. 62-63.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
64
El tratamiento sin consentimiento se engloba en el concepto de relación jurídica ajena a la
voluntad, ya que nace a consecuencia del acto jurídico que, conforme a la Ley, el interesado
se ve obligado a aceptar el tratamiento de datos por parte de un tercero, que lo lleva a cabo
habilitado o por imperativo de la Ley, y provoca, desde su inicio y mientras se mantiene,
una pluralidad de obligaciones para dicho responsable así como el derecho de mantener
el tratamiento de los datos mientras concurran las circunstancias que justican la auto-
rización legal para el mismo, y paralelamente, la obligación del interesado de soportarlo.
1.1. El papel normativo y su protección
A continuación, haremos referencia al marco europeo, al marco español y a los
Códigos Deontológicos relevantes, que regulan el tratamiento de los datos de salud.
1.1.1. Normativa de la Unión Europea
El derecho comunitario tiene como función aproximar las legislaciones entre
los Estados miembros de la Unión Europea (en adelante, UE), y en este sentido, las
directivas son los instrumentos legislativos que consiguen dicha aproximación. Esta es
la razón por la cual en los años 90 se optó por esta fuente normativa para tratar la pro-
tección de datos en Europa. Hoy en día, los avances en la unicación han conseguido
que la regulación de esta materia se realice a través de un Reglamento comunitario
que será de obligado cumplimiento para todos los Estados miembros a partir de 2018.
A continuación, vamos a analizar la Directiva que ha servido de base para
inspirar la legislación española en materia de protección de datos
La Directiva 95/46/CE tiene como objetivo proteger los derechos y las li-
bertades de las personas en lo que respecta al tratamiento de datos personales, esta-
bleciendo principios de orientación para determinar la licitud de dicho tratamiento.
Estos principios han de entenderse vinculados tanto a la calidad de los datos, como a
su legitimación. Los datos personales serán tratados de manera leal y lícita, y recogi-
dos con nes determinados, explícitos y legítimos. Además, serán exactos y, cuando
sea necesario, actualizados. En cuanto a la legitimación, ésta sólo podrá efectuarse si
el interesado ha dado su consentimiento de forma inequívoca o si el tratamiento es
necesario para proteger el interés vital del interesado, en el caso que nos ocupa.
En este sentido, la Directiva 95/46/CE, establece como regla general a este
tipo de datos: la prohibición de su tratamiento respecto a una categoría especial de
datos relacionados con la información personal relativa a los aspectos más esenciales
de la persona. Se reere a esta categoría en su Considerando 33, manifestando que
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 65
los datos que por su naturaleza puedan atentar contra las libertades fundamentales
o la intimidad no deben ser objeto de tratamiento alguno, salvo en caso de que el
interesado haya dado su consentimiento explícito; que deberán constar de forma
explícita las excepciones a esta prohibición para necesidades especícas, en particular
cuando el tratamiento de dichos datos se realice con nes relacionados con la salud
por parte de personas físicas sometidas a una obligación legal de secreto profesional,
o para actividades legítimas por parte de ciertas asociaciones o fundaciones cuyo
objetivo sea hacer posible el ejercicio de libertades fundamentales117.
En efecto, su Artículo 8, sobre tratamiento de categorías especiales de da-
tos indica que: «Los Estados prohibirán el tratamiento de datos personales que revelen
el origen racial o étnico, las opiniones políticas, las convicciones religiosas o losócas, la
pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la
sexualidad»118. Sin embargo, a ésta regla genérica caben algunas excepciones que la
misma Directiva 95/46/CE anuncia en el apartado 2, del Artículo 8:
Lo dispuesto en el apartado 1 no se aplicará cuando: a) el interesado haya dado su
consentimiento explícito a dicho tratamiento, salvo en los casos en los que la legis-
lación del Estado miembro disponga que la prohibición establecida en el apartado
1 no pueda levantarse con el consentimiento del interesado […], c) el tratamiento
sea necesario para salvaguardar el interés vital del interesado o de otra persona, en
el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su
consentimiento119.
Asimismo, se exceptúa de la regla general de prohibición del tratamiento de
los datos relativos a la salud, cuando el tratamiento de datos resulte necesario para la
prevención o para el diagnóstico médico, la prestación de asistencia sanitaria, trata-
mientos médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento
de datos sea realizado por un profesional sanitario sujeto al secreto profesional, sea
en virtud de la legislación nacional, o de las normas establecidas por las autoridades
nacionales competentes, o por otra persona sujeta asimismo a una obligación equi-
valente de secreto120.
117 Considerando (33), de la Directiva 95/46/CE.
119 Artículos 8.1 y 8.2 a) y c), de la Directiva 95/46/CE. Éste último inciso citado de la Directiva
95/46/CE, ha sido incorporado a nuestra legislación nacional, casi sin modicación alguna, en
el Artículo 7.6 segundo párrafo, de la LOPD.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
66
Finalmente, la Directiva 95/46/CE da carta verde a los Estados miembros
para que dispongan las garantías adecuadas, con la nalidad de establecer otras ex-
cepciones siempre que se trate de motivos de interés público importantes121. Es evi-
dente que, la Directiva 95/46/CE sigue en éste sentido, la pauta establecida por el
Convenio 108122.
En consecuencia, advertimos, que el legislador ha puesto especial énfasis en
la regulación normativa sobre el tratamiento de los datos de salud, puesto que forma
parte del aspecto más personal e íntimo de la persona y, por tanto, debe salvaguardar-
se como derecho fundamental de la persona. Sin embargo, ésta protección no resultó
ser suciente, y así se pone de maniesto con la aprobación del nuevo Reglamento
peo y del Consejo, de 27 de abril de 2016123, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos y por el que se deroga la Directiva 95/46/CE, Reglamento que analiza-
remos en la Segunda Parte de éste libro.
1.1.2. Normativa interna
En éste apartado expondremos las diversas fuentes normativas de derecho
interno que rigen el tratamiento y la cesión de los datos de salud, explicando también
los casos en los que se puede realizar el tratamiento de los datos sin necesitar del
consentimiento del interesado.
SANTOS GARCÍA124 dene de manera genérica y con un amplio espectro
a la cesión de datos diciendo que:
Teniendo en cuenta los avances de la informática y los numerosos tipos de soportes
que existen cada vez más reducidos en los que se puede almacenar cada vez más in-
formación y transmitirla sin dejar rastro, resulta difícil a veces interceptar una comu-
122 El Artículo 6, del Convenio 108 sostiene que: «Los datos de carácter personal que revelen el origen
racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de ca-
rácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que
el derecho interno prevea garantías apropiadas. La misma regla regirá en el caso de datos de carácter
personal referentes a condenas penales».
123 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, op. cit.
124 S G, D. Nociones generales de La Ley Orgánica de Protección de Datos. Tecnos, Ma-
drid, 2005, p. 79.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 67
nicación de datos personales. Es cesión grabar los datos en un soporte y entregarlos a
otra persona, enviarlos por correo electrónico, cualquier otro tipo de transferencia de
datos personales incluso por correo postal en soporte de papel, una consulta de datos
o la comunicación verbal a otra persona.
Vemos que el autor pone de relieve que la transmisión y cesión de datos puede
realizarse en diferentes soportes y, además, de forma casi involuntaria por su cedente.
Es por ello, que entendemos ha de ponerse el acento en la regulación normativa a n
de que la protección de nuestros datos personales quede absolutamente blindada de
injerencias no deseadas.
Por ello, nuestra legislación contiene varias referencias al tratamiento y ce-
sión de los datos especialmente protegidos. En efecto, el RD 1720/2007 establece
como norma general que: «Los datos especialmente protegidos podrán tratarse y cederse
en los términos pr evistos en los artículos 7 y 8 de la Ley Orgánica 15/1999, de 13 de
diciembre»125.
Por su parte, la Ley 16/2003 de 28 de mayo, de cohesión y calidad del Sistema
Nacional de Salud126, en su Artículo 53.6 menciona que la cesión de los datos, inclui-
dos aquellos de carácter personal necesarios para el sistema de información sanitaria,
estará sujeta a la legislación en materia de protección de datos de carácter personal y a
las condiciones acordadas en el Consejo Interterritorial del Sistema Nacional de Salud.
Si bien el Artículo 10.1 del RD 1720/2007 requiere el consentimiento previo
del interesado para que sus datos puedan ser tratados, estableciendo que: «Los datos
de carácter personal únic amente podrán ser objeto de tratamiento o cesión si el interesado
hubiera prestado previamente su consentimiento para ello», en el apartado 5 del mismo
Artículo, exculpa esa necesidad del consentimiento, en los casos en los que la cesión
de los datos se realice para brindar asistencia sanitaria al afectado127.
Advertimos que los datos de carácter personal podrán tratarse sin necesidad
del consentimiento del interesado cuando en el terreno que nos ocupa, los mismos
126 Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud (BOE núm.
128, 29.05.2003).
127 El Artículo 10.5, del RD 1720/2007 en su segundo párrafo establece que: «En particular, no
será necesario el consentimiento del interesado para la comunicación de datos personales sobre la salud,
incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de
Salud cuando se realice para la atención sanitaria de las personas, conforme a lo dispuesto en el Capí-
tulo V de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud».
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
68
se recogen para el ejercicio de las funciones propias de las Administraciones Públicas
en el ámbito de las competencias que les atribuya una norma con rango de Ley, o una
norma de derecho comunitario, o en el caso de que el tratamiento de los datos tenga
por nalidad proteger un interés vital del interesado en los términos del apartado 6
del Artículo 7 de la LOPD128 y del apartado 3 del Artículo 10 del RD 1720/2007129.
Sobre este particular vemos que será la Ley la encargada de denir expresamente los
casos en los cuales no será necesario el consentimiento del afectado. En el mismo
sentido, PUENTE ESCOBAR130 se reere a la «habilitación legal» diciendo que:
«Se consagra así el principio de reserva de Ley en la determinación de posibles límites al
ejercicio por los ciudadanos de un derecho fundamental, de modo que sólo la Ley podrá es-
tablecer tales límites, tal y como consagra el artículo 53.1 CE».
Así, el Artículo 7 de la LOPD, circunscribe los supuestos en que cabe tra-
tamiento lícito de los datos especialmente protegidos, lo que, por tanto, signica
excluir todos los demás. Obsérvese, en este sentido las fórmulas que emplea: «2. Sólo
con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los
datos de carácter personal que revelen la ideología, aliación sindical, religión y creencias».
En el siguiente apartado del Artículo 7, la LOPD, hace referencia expresa a los datos
sobre la salud, manifestando que: «3. Los datos de carácter personal que hagan referencia
al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedi-
dos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta
expresamente». De ésta manera, y según el tema que nos ocupa, la información con-
cerniente al ámbito más personal del ser humano, sólo puede ser recabada y tratada
si se cuenta con el consentimiento expreso del afectado131 –en este sentido, como es
lógico, el interesado ha de estar debidamente informado y de forma inequívoca y
128 El Artículo 7.6, de la LOPD, establece que: «No obstante lo dispuesto en los apartados anteriores,
podrán ser objeto de tratamiento los datos de carácter personal a que se reeren los apartados 2 y 3 de
este Artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico mé-
dicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios,
siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesio-
nal o por otra persona sujeta asimismo a una obligación equivalente de secreto».
129 Artículo 10.3 apartados a) y c), del RD 1720/2007.
130 P E, A. «Legitimación para el tratamiento», en M M, R. (coor-
dinador). Protección de Datos. Comentarios al Reglamento de desarrollo de la LOPD. Tirant lo
Blanch, Valencia, 2009, pp. 23 y ss.
131 El Artículo 6.1, de la LOPD, se reere al consentimiento del afectado estableciendo que: «El
tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado».
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 69
no fraudulenta132 acerca de la nalidad que la revelación de sus datos tendrá–, como
así también de la posibilidad de ejercer sus derechos legales de acceso, recticación,
cancelación y por supuesto, la oposición133. Por tanto, podemos señalar que existe
una regla genérica y una regla restrictiva para el tratamiento de los datos de carácter
sanitario.
Como norma genérica, la Ley sólo autoriza que se traten los datos de carácter
personal referidos a la salud en tres supuestos134:
(i) En el caso de que el afectado lo consienta expresamente.
(ii) Cuando así lo disponga una Ley135.
(iii) Por razones de interés general136.
132 Expresamente se prohíbe en la LOPD, la recogida de datos a través de la utilización de medios
fraudulentos, desleales o ilícitos (Artículo 4.7, sobre calidad de los datos).
133 El Artículo 5.1, de la LOPD, sobre el derecho de información en la recogida de datos, consagra
que: «1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de
modo expreso, preciso e inequívoco: a) De la existencia de un chero o tratamiento de datos de carácter
personal, de la nalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter
obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias
de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los de-
rechos de acceso, recticación, cancelación y oposición. e) De la identidad y dirección del responsable del
tratamiento o, en su caso, de su representante».
134 Artículo 7.3, de la LOPD.
135 Por citar algún ejemplo del supuesto, Ley 14/1986, de 25 de abril, General de Sanidad establece
en su Capítulo V sobre la intervención pública en relación con la salud individual y colectiva,
en el Artículo 23 que: «Para la consecución de los objetivos que se desarrollan en el presente Capítulo,
las Administraciones sanitarias, de acuerdo con sus competencias, crearán los registros y elaborarán los
análisis de información necesarios para el conocimiento de las distintas sit uaciones de las que puedan
derivarse acciones de intervención de la autoridad sanitaria».
136 Razón de interés general denida e interpretada por la Jurisprudencia del Tribunal de Justicia
de las Comunidades Europeas como el orden público, la seguridad pública, la protección civil,
la salud pública, la preservación del equilibrio nanciero del régimen de seguridad social, la
protección de los derechos, la seguridad y la salud de los consumidores, de los destinatarios de
servicios y de los trabajadores, las exigencias de la buena fe en las transacciones comerciales,
la lucha contra el fraude, la protección del medio ambiente y del entorno urbano, la sanidad
animal, la propiedad intelectual e industrial, la conservación del patrimonio histórico y artístico
nacional y los objetivos de la política social y cultural. Asimismo, en la Sentencia del Tribunal de
Justicia Europeo (STJE) en el asunto Comisión / Italia C-531/06, y en los asuntos acumulados
C-171/07 y C-172/07, el STJE estableció que: «hay que tener presente que la salud y la vida de las
personas ocupan el primer puesto entr e los bienes e intereses protegidos por el Tratado y que el Estado
miembro puede decidir qué nivel de pr otección de la salud pública pretende asegurar y de qué manera
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
70
Sin embargo, existen algunas excepciones en las que la normativa vigente au-
toriza al personal sanitario perteneciente a Centros de Salud públicos o privados a
tener acceso a nuestra historia clínica, contemplando algunas particularidades137 a la
regla general comentada ut supra.
Estos supuestos excepcionales son los siguientes:
Cuando resulte necesario para la prevención o para el diagnóstico médico,
la prestación de asistencia sanitaria o tratamientos médicos o la gestión de
servicios sanitarios, siempre que dicho tratamiento de datos se realice por un
profesional sanitario sujeto al secreto profesional o por otra persona sujeta
asimismo a una obligación equivalente de secreto138.
Vemos aquí que el legislador incorpora garantías estrictas para el tratamiento
de este tipo de datos especialmente protegidos, puesto que únicamente podrán ser
tratados por profesionales sanitarios y guardando el secreto profesional los datos de
carácter personal139. Aunque, y coincidiendo con la opinión de SANCHEZ-CARO
y ABELLÁN140, la expresión «otra persona sujeta asimismo a una obligación equiva-
lente de secret puede resultar ambigua, ya que el Derecho español no es unánime
la cuestión relativa a cuáles son las actividades respecto de las que cabe armar un
deber de secreto profesional en sentido estricto.
También pueden ser objeto de tratamiento los datos de salud, cuando el tra-
tamiento sea necesario para salvaguardar el interés vital del afectado o de otra
persona, en el supuesto de que el afectado esté física o jurídicamente incapa-
debe alcanzarse ese nivel». STJUE, 19 de mayo de 2009 (Asunto Comisión / Italia C-531/06
44/2009). ECLI:EU:C:2009:316. Disponible en Internet:
ment/document.jsf;jsessionid=9ea7d0f130d696860d54c3404d8dbe76bbbba61bc4d1.e34Kaxi
Lc3eQc40LaxqMbN4PahuPe0?text=&docid=78517&pageIndex=0&doclang=ES&mode=lst
&dir=&occ=rst&part=1&cid=8024> [Consulta: 7 julio 2015]; STJUE, 19 de mayo de 2009
(Asuntos acumulados C-171/07 y C-172/07). ECLI:EU:C:2009:315 Disponible en Internet:
[Consulta: 7
julio 2015].
137 Artículo 7.6, de la LOPD.
138 Ibídem.
139 Recordamos que la referencia «datos personales» engloba aquellos datos que se reeren a la
ideología, aliación sindical, religión y creencias, origen racial, y especialmente a los datos que
en esta Tesis nos ocupan que son los vinculados a la salud.
140 Vid. S-C, J.; A, F. Datos de salud y datos genéticos. Comares, Granada, 2004,
p. 32.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 71
citado para dar su consentimiento. Se destaca muy especialmente que el pa-
ciente –el afectado– no pueda dar su consentimiento por hallarse impedido141.
Finalmente, los datos relativos a la salud, pueden ser comunicados a terceros
vinculados con el afectado, siempre que medie una urgencia o se tenga que
realizar algún estudio de carácter epidemiológico142.
Por su parte, el Artículo 8, de la LOPD establece y regula a propósito del
tratamientos de los datos relativos a la salud señalando que sin perjuicio de lo que se
dispone en el Artículo 11 de la LOPD respecto de la cesión, las instituciones y los
centros sanitarios públicos y privados y los profesionales correspondientes, podrán
proceder al tratamiento de los datos de carácter personal relativos a la salud de las
personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo
dispuesto en la legislación estatal o autonómica sobre sanidad. Fuera de estos casos,
es preciso el consentimiento expreso de los titulares de los datos, o la existencia de
una Ley que permita el tratamiento de dichos datos.
Sin embargo, y según la AEPD143, estas dos últimas especialidades al régimen
general, tanto la del Artículo 8 como la del Artículo 7.6 de la LOPD, no pueden
interpretarse de forma genérica o extensiva, (por ejemplo, en el sentido de que baste
para el tratamiento de los datos la simple expresión de la opinión de un facultativo en
tal sentido), sino que debe restringirse a los dos supuestos en que únicamente será de
aplicación, esto es: que una disposición normativa establezca y disponga con carácter
especíco un tratamiento de tales datos, o bien que el mismo resulte efectivamente
necesario e imprescindible, y ello se justique debidamente en cada caso concreto.
Fuera de estos dos supuestos excepcionales, el régimen aplicable con carácter general
es el del Artículo 7.3 de la LOPD, como recalca la AEPD, que establece que «Los
141 La LOPD dice expresamente en su Artículo 7.6, segundo párrafo que: «También podrán ser
objeto de tratamiento los datos a que se r eere el párrafo anterior cuando el tratamiento sea necesario
para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté
física o jurídicamente incapacitado para dar su consentimiento».
142 El Artículo 11.1, de la LOPD establece que: «Los datos de carácter personal objeto del tratamiento
sólo podrán ser comunicados a un tercero para el cumplimiento de nes directamente relacionados con
las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El
consentimiento exigido en el apartado anterior no será preciso: f) Cuando la cesión de datos de carácter
personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un
chero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre
sanidad estatal o autonómica».
143 Informe jurídico 2001/0000 de la AEPD, sobre el Tratamiento de los Datos de Salud. Dispo-
nible en Internet:
dicos/datos_esp_protegidos/index-ides-idphp.phpf> [Consulta: 13 agosto 2016].
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
72
datos de carácter personal que hagan referencia al origen racial, la salud y a la vida sexual
solo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así
lo disponga una Ley o el afectado consienta expresamente».
No sólo la LOPD regula el tratamiento de datos sanitarios, la Ley 14/1986,
de 25 de abril, General de Sanidad (LGS), establece en su Artículo 10.3 el derecho
del ciudadano a la condencialidad de sus datos y en el Artículo 23 de la citada Ley,
se recoge la potestad de la Administración sanitaria para crear registros y elaborar los
análisis de información necesarios para el conocimiento de las distintas situaciones
de las que puedan derivarse acciones de intervención de la autoridad sanitaria.
Por su parte, la LAP, establece en su Artículo 9, sobre el respeto a la autono-
mía del paciente, que:
Los facultativos podrán llevar a cabo las intervenciones clínicas indispensables en
favor de la salud del paciente, sin necesidad de contar con su consentimiento, en los
siguientes casos: a. Cuando existe riesgo para la salud pública a causa de raz ones
sanitarias establecidas por la Ley. En todo caso, una vez adoptadas las medidas perti-
nentes, de conformidad con lo establecido en la Ley O rgánica 3/1986, se comunica-
rán a la autoridad judicial en el plazo máximo de 24 horas siempre que dispongan el
internamiento obligatorio de personas. b) Cuando existe riesgo inmediato grave para
la integridad física o psíquica del enfermo y no es posible conseguir su autorización,
consultando, cuando las circunstancias lo permitan, a sus familiares o a las personas
vinculadas de hecho a él144.
Aquí, observamos que, si bien el consentimiento del paciente es necesario, la
Ley prevé una serie de acontecimientos dentro de los cuales, los profesionales de la
salud pueden actuar y llevar a cabo su labor, siempre y cuando se haga dentro de los
límites que la misma Ley establece. Sobre la citada Ley, BERROCAL LANZA-
ROT145 mantiene que la LAP ha innovado en su momento puesto que:
No sólo porque amplía y regula los derechos de los pacientes en materias tan vitales como
la información relativa a la salud o el consentimiento del paciente, sino también porque
se congura como instrumento de delimitación de los deberes u obligaciones del colec-
tivo sanitario y les exime de responsabilidad dentro del marco establecido en la norma.
144 Artículo 9, de la LAP.
145 B L, A. I. «El valor de la autonomía del paciente en la Ley 41/2002, de 14 de
noviembre, reguladora de los derechos y deberes de los pacientes», en C S,
D. (Coord.). Estudios en homenaje a Marcia Muñoz de Alba Medrano. Bioderecho, tecnología, salud
y derecho genómico. Universidad Nacional Autónoma de México, 2006, pp. 69-142.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 73
1.1.3. Ética sanitaria y el carácter vinculante
de los Códigos Deontológicos
Antiguamente, el arte de curar146 estaba regulado de forma escueta, aunque po-
demos apreciar varias normas referidas a las profesiones sanitarias, hasta el momento
actual, en el que nos encontramos, frente a una regulación genérica que requiere una
especicidad dada la complejidad que los temas de salud requieren. Frente a ésta
necesitad que la sociedad va desarrollando, los Códigos éticos vienen a dar una res-
puesta adecuada cuando los profesionales se ven desprotegidos y frente a lagunas ju-
rídicas. Por ello, coincidimos con GONZÁLEZ VARAS-IBÁÑEZ147, al decir que,
las regulaciones contenidas en los Códigos éticos son más acertadas porque existe
una clara proximidad entre el autor de la norma deontológica y su destinatario, y, por
tanto, las disposiciones contenidas en el Código deontológico, regulan la materia con
claro conocimiento de causa. Esto importa una buena inuencia para el legislador al
momento de buscar soluciones normativas.
146 La expresión «arte de curar» viene de la previsión que antiguamente contenía la Ley de 1855 y
la Instrucción General de 12 de enero de 1904, referidas a la práctica de la medicina. La primera
regulación de las profesiones sanitarias en España data de 1848 a través del Reglamento para las
Subdelegaciones de Sanidad Interior del Reino, de 24 de julio, que determinaba que el ejercicio
de las profesiones de Medicina, Farmacia y Veterinaria estaba comprendido dentro del ramo de
la Sanidad. Posteriormente se instituyeron los Jurados Médicos Provinciales de Calicación, a
través de la Ley de 28 de noviembre de 1855, sobre el Servicio General de Sanidad, y tenían por
cometido la prevención, amonestación y la calicación de las faltas que cometieran los profesio-
nales en el ejercicio de sus facultades, así como regularizar sus honorarios, reprimir los abusos y
establecer una severa moral médica. Ya en los años 1855 y 1904, la normativa se preocupó por
reglamentar el ejercicio profesional con el establecimiento de un registro de profesionales que
pusieron a cargo de los Subdelegados de Sanidad. A partir del año 1944, se promulgaron diver-
sas leyes sanitarias, entre las que la Ley de Bases de la Sanidad Nacional, de 25 de noviembre de
1944, que incorpora la existencia de corporaciones profesionales. Por su parte, la Ley 14/1986,
de 25 de abril, General de S anidad, únicamente se reere al ejercicio libre de las profesiones
sanitarias, pero sin afrontar su regulación, se trata de una norma de naturaleza predominante-
mente organizativa, cuyo objetivo primordial es establecer la estructura y el funcionamiento del
sistema sanitario público en el nuevo modelo político y territorial del Estado que deriva de la
Constitución de 1978. En consecuencia, sostenemos que la normativa española carece de una
regulación especíca y por ello, ha de observarse a las disposiciones diversas contenidas en la
regulación del sistema sanitario, las relaciones con los pacientes, y las relativas a los derechos
y deberes de los profesionales en cuanto tales o a las que regulan las relaciones de servicio de
los profesionales con los centros o las instituciones y cor poraciones públicas y privadas, y los
Códigos éticos y deontológicos que los vinculan a los profesionales.
147 G-V I, A. Derecho y conciencia en las profesiones sanitarias. Dykinson, Ma-
drid, 2009, pp. 169 y ss.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
74
Tal como se pretende poner de maniesto en ésta investigación, las normas
que regulan los datos de salud y la historia clínica, no están adaptados a los requeri-
mientos reales. Estamos frente a unos acontecimientos nuevos para la sociedad, que
poco a poco comienza a tomar conciencia de la importancia que reviste proteger sus
datos, datos tan especiales y sensibles como lo son los datos de salud, contenidos
en la HC y en otros soportes que hoy en día resultan posibles, como ordenadores,
tablets, teléfonos inteligentes, etc.
Cabe resaltar que la situación de inexistencia de normativa especíca y actua-
lizada, unida a la íntima conexión que el ejercicio de las profesiones sanitarias tiene
con el derecho a la protección de la salud, con el derecho a la vida y a la integridad
física, con el derecho a la intimidad personal y familiar, con el derecho a la dignidad
humana y con el derecho al libre desarrollo de la personalidad, aconseja el tratamien-
to legislativo especíco y diferenciado de las profesiones sanitarias148.
Ante los vacíos legales, que nuestro ordenamiento jurídico presenta al respec-
to de los temas que aquí se tratan, los Códigos éticos suelen dar respuesta y a la vez
sirven de «refugio moral» para los profesionales de la salud. En el mismo sentido,
GONZÁLEZ VARAS-IBÁÑEZ149 sostiene que: «En un ámbito de constante inno-
vación e implicaciones éticas como el sanitario, los contenidos deontológicos adquieren una
particular relevancia».
Señala, MARTÍNEZ-CALCERRADA150 que, en el ejercicio profesional
del sanitario, un fallo puede tener consecuencias irremediables, porque la vida que
se pierde es irrecuperable. En virtud de ello, el autor destaca, acertadamente desde
nuestro punto de vista, la responsabilidad moral del médico o de aquellos que coo-
peran con él. Por respecto a la dignidad del cuerpo humano, sobre el que tiene que
actuar el sanitario, los deberes de justicia nunca podrán medirse sólo por los términos
estrictos del contrato por lo que quedan ligados el enfermo y el profesional, sino
que en atención a esta singular relación humana hacia el semejante y a los valores
espirituales que encierra. En esta dirección la función médica es, más que un acto de
justicia social, un deber que impone la fraternidad universal con el n de hacer más
llevadero el dolor y la muerte, según entiende el autor.
148 Exposición de motivos I, de la Ley 44/2003, de 21 de noviembre, de ordenación de las profe-
siones sanitarias (BOE núm. 280, 22.11.2003).
149 G-V I, A., op. cit., pp. 149 y ss.
150 M-C, L. Derecho Médico. Volumen I. Derecho Médico General y Especial. Tec -
nos, Madrid, 1986, p. 139.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 75
Las reglas que contienen el Código Deontológico de la Organización Médica
Colegial de España (en adelante, CDOMCE)151 y el Código de Enfermería152, no
deben ser miradas como meras normas éticas a tener en cuenta. Los códigos éticos y
deontológicos, se aprueban por el respectivo colegio profesional, y sus disposiciones
tienen plena ecacia jurídica respecto a sus colegiados.
Cuando el profesional médico ejerce su profesión, está sujeto tanto a las leyes
como a las normas contenidas en el Código ético que rige su profesión. Para poder
desarrollarse profesionalmente, es requisito en España pertenecer a un Colegio Pro-
fesional. Por ello, el Colegio obliga al acatamiento de las prácticas contenidas en el
Código de ética y deontología. Es más, de hacer caso omiso a las disposiciones deon-
tológicas, el profesional incurrirá en una falta. La falta puede calicarse como menos
leve, leve y grave. Resulta importante la observancia de éstas disposiciones mientras
el sanitario ejerce su profesión, porque la falta le puede acarrear, según la gravedad de
la misma, la suspensión del Colegio profesional o, incluso en casos graves, se puede
llegar a apartar al profesional sanitario de su profesión.
MARTÍN MATEO153 sostiene que los Códigos deontológicos adquieren un
doble carácter vinculante para el destinatario. Considerado como miembro del co-
lectivo profesional, debe atenerse a su contenido en cuanto que informa la lex artis
de su profesión. En cuanto ciudadano, debe respetarlo del mismo modo que se de-
151 En España está vigente el denominado Código de Deontología Médica y Guía de Ética Mé-
dica de 1999 y actualizado por la Organización Médica Colegial en 2011 (CDOMCE). Su
contenido se puede dividir en tres grandes apartados: la relación con el paciente, la relación
interprofesional y la relación con la sociedad. Código de Deontología Médica. Guía de ética
médica. Organización Colegial Médica de España. Disponible en Internet:
cgcom.es/sites/default/les/codigo_deontologia_medica_1.pdf> [Consulta: 15 julio 2015].
El CDOMCE no es el único que existe en España, ya que el Consell de Col·legis de Metges
de Catalunya, tiene su propio Codi de Deontologia (CDC), aprobado en 1997 y actualizado
en 2005, donde hay que señalar, con respecto al nacional, que introdujo como novedad el
derecho a la huelga en los artículos 92 y 93. También fue novedoso el artículo 54 sobre la
relación con la industria farmacéutica, un aspecto que el CDM español no incluía en su ver-
sión de 1999, aunque el CDOMCE lo incorporó en la vigente actualización del CDM desde
2011. Codi de Deontologia. 1997. Consell de Col·legis de Metges de Catalunya. Disponible
en Internet: [Consulta: 16
julio 2015].
152 Código Deontológico de la Enfermería Española, de 14 de julio de 1989, aprobado por la
Resolución Nº 32/1989 del Consejo General de Enfermería Disponible en Internet:
www.codem.es/codigo-deontologico> [Consulta: 16 julio 2015].
153 M M, R. Bioética y derecho. Ariel, Barcelona, 1987, p. 57.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
76
ben observar las demás normas del ordenamiento jurídico. También CASADO154,
entiende del mismo modo, que el profesional de la medicina ha de estar vinculado
al Código deontológico de su profesión y en constante observancia de las leyes en
la materia.
Y todo ello, reviste especial trascendencia a la hora de proteger los datos de
salud que el personal sanitario trata diariamente y que toma conocimiento de ello
en base a su profesión, porque donde la normativa vigente sobre protección de datos
no alcance, el Código ético será el encargado de suplir tal laguna. En este sentido,
el secreto comporta para el médico la obligación de mantener la reserva y la con-
dencialidad de todo aquello que el paciente le haya revelado y conado, lo que haya
visto y deducido como consecuencia de su trabajo y tenga relación con la salud y la
intimidad del paciente, incluyendo el contenido de la historia clínica155. Asimismo,
la enfermera o enfermero, debe guardar en secreto toda la información sobre el pa-
ciente que haya llegado a su conocimiento en el ejercicio de su trabajo156.
2. Principios que se aplican al tratamiento
de los datos personales
Los datos personales únicamente pueden ser recabados157 atendiendo a las
limitaciones legales existentes. Estas limitaciones vienen a jugar el papel de las ga-
rantías que de ellas se desprenden a los afectados. Es por ello, que estas limitaciones
o principios han de ser observados por quienes recopilan datos sensibles o los tratan.
La legislación de protección de datos en nuestro país se asienta sobre ésta serie de
principios que constituyen una garantía para la protección de datos personales.
154 C, M. «Ética, Derecho y deontología profesional». Derecho y Salud. Vol. 6, núm. 1, 1998,
p. 34.
155 Artículo 27, del CDOMCE.
156 Artículo 19, Código Deontológico de la Enfermería Española, op. cit.
157 La recogida de datos hace referencia a cualquier procedimiento en virtud del cual los datos
del paciente llegan al conocimiento y disponibilidad del responsable del chero, siendo, por
tanto, la comunicación de los datos personales por el interesado al responsable del chero o la
obtención de dichos datos por otros medios distintos del propio afectado. Sostiene LESMES
SERRANO que los procedimientos de recogida de datos pueden ser diversos: declaraciones o
formularios, encuestas o entrevistas, transmisión electrónica de datos, directorios electrónicos o
comerciales, páginas Web, etc. Vid. L S, C. (Coordinador). La Ley de Protección
de Datos. Análisis y comentario de su jurisprudencia. Lex Nova, Valladolid, 2008, pp. 142 y ss.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 77
En referencia a los principios a los que deben observarse y respetarse para
poder tratar datos de salud, sostiene GUZMÁN GARCÍA158 que:
Estos principios sirven para delimitar el marco en el que debe desenvolverse cualquier
uso o cesión de los datos de carácter personal y para integrar la denición de los tipos
de infracción denidos en el Artículo 44 LOPD, pues este precepto aborda la tipi-
cación de las distintas infracciones mediante una remisión a los principios denidos
en la propia Ley.
La Agencia de Protección de Datos de la Comunidad de Madrid159 (en ade-
lante, APDCM), dene a los principios entendiendo que:
Estos principios constituyen la base mediante la cual se articula el derecho fundamen-
tal a la Protección de Datos de Carácter Personal, siendo de obligado cumplimiento
desde el momento en que se produce la recogida de datos de un afectado o interesado
(ciudadano), siempre y cuando dichos datos sean almacenados en un chero, ya sea
informatizado, manual o parcialmente automatizado.
La LOPD regula los principios de la protección de datos, abocándose a ellos
en el Título II160. Así también el RD 1720/2007, de 21 de diciembre, se ocupa de
legislar estos principios161.
Desde el ámbito comunitario, la Directiva 95/46/CE, otorga la pauta que
los Estados miembros han de tener en cuenta a la hora de legislar en sus propios
ordenamientos jurídicos con la nalidad de garantizar el proceso del tratamiento de
datos y establece de manera expresa una serie de principios relativos a la legitimación
de tratamiento de datos162.
158 G G, M. Á. El derecho fundamental a la protección de datos personales en México:
Análisis desde la inuencia del ordenamiento jurídico español. Tesis doctoral inédita. Universidad
Complutense de Madrid. Facultad de Derecho. Madrid, 2013, p. 208. Disponible en Internet:
[Consulta: 10 julio 2016].
159 APDCM. Protección de datos personales para Servicios Sanitarios Públicos. omson-Civitas, Ma-
drid, 2008, pp. 531 y ss.
160 Título II, Artículos 4 a 12, de la LOPD.
161 RD 1720/2007, Título II, Artículos 8 a 11.
162 En su Artículo 7, la Directiva 95/46/CE, establece que: «Los Estados miembros dispondrán que
el tratamiento de datos personales sólo pueda efectuarse si: a) el interesado ha dado su consentimiento
de forma inequívoca, o b) es necesario para la ejecución de un contrato en el que el interesado sea parte
o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o c) es necesario
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
78
Por su parte, la Carta de los Derechos Fundamentales de la Unión Europea163,
reere expresamente al derecho de la protección de datos en su Artículo 8, reconocién-
dolo como un derecho que tiene toda persona a los datos que le conciernen, como así
también que sus datos han de tratarse de manera leal y para nes concretos, y ello con el
consentimiento de la persona afectada, o en virtud de un fundamento legal y establece
que el control sobre estas normas ha de ser ejecutado por una autoridad independiente164.
A continuación, explicaremos brevemente en qué consiste cada uno de éstos
principios que deben considerarse a la hora de tratar datos personales, con especial
atención a los datos de salud.
2.1. Principio de calidad de datos
Este principio descansa en la premisa de la proporcionalidad de los datos, es
decir, es necesario que los datos sean adecuados a la nalidad que motiva su recogi-
da165. El principio de calidad de los datos viene recogido en el Artículo 4, de LOPD.
Asimismo, la APDCM entiende que el principio de calidad de los datos está
basado, además del criterio de proporcionalidad, en un criterio de racionalidad166. En
para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o d)
es necesario para proteger el interés vital del interesado, o e) es necesario para el cumplimiento de una
misión de interés público o inherente al ejercicio del poder público conf erido al responsable del trata-
miento o a un tercero a quien se comuniquen los datos, o f) es necesario para la satisfacción del interés
legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen
los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado
que requieran protección con arreglo al apartado 1 del Artículo 1 de la presente Directiva».
163 Carta de los Derechos Fundamentales de la Unión Europea (DOCE C 364, 18.12.2000, pp. 1-22).
164 El Artículo 8, de la Carta Europea de Derechos Fundamentales de la Unión Europea, de di-
ciembre de 2000, recoge expresamente el derecho a la protección de datos de carácter personal,
estableciendo que: «1. Toda persona tiene derecho a la protección de los datos de carácter personal que
la conciernan. 2. Estos datos se tratarán de modo leal, para nes concretos y sobre la base del consenti-
miento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona
tiene derecho a acceder a los datos recogidos que la conciernan y a su recticación. 3. El respeto de estas
normas quedará sujeto al control de una autoridad independiente».
165 Para profundizar más al respecto, véase: S C, L. Artículo 4. Calidad de los datos. La Ley
de Protección de Datos. Análisis y comentario de su jurisprudencia. Lex Nova, Valladolid, 2007, pp.
137 y ss.; A L, I. Artículo 8. Principios relativos a la calidad de los datos. Protección de
datos. Comentarios al Reglamento. Lex Nova, Valladolid, 2008, pp. 140 y ss.
166 APDCM, op. cit., pp. 531 y ss.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 79
esta investigación se sustenta idéntica premisa. En el mismo sentido, SANCHEZ-
CARO y ABELLÁN167, entienden que la recogida y el proceso debe estar presidido
por el principio del uso legítimo, en el sentido de que la recogida y el manejo de los
datos sobre la salud, debe obedecer estrictamente al propósito legítimo que justique
su utilización (que será normalmente la protección de la salud), sin que en ningún
caso terceras personas puedan tener acceso directo a los mismos.
El Artículo 5, del Convenio 108168, consagra el principio de calidad de los
datos y en él se engloban los principios de lealtad, licitud, nalidad, pertinencia,
proporcionalidad, exactitud o veracidad y conservación de los datos. Asimismo, el
Artículo 6 del Convenio 108169, reere expresamente a los datos especialmente pro-
tegidos, haciendo mención expresa a los datos de salud, promulgando que sólo pue-
den tratarse si los ordenamientos internos de los Estados miembros prevén garantías
para ello.
Los datos de carácter personal sólo se podrán recoger para su tratamiento, así
como someterlos al mismo, cuando sean adecuados, pertinentes y no excesivos en
relación con el ámbito y las nalidades determinadas, explícitas y legítimas para las
que se hayan obtenido170. Asimismo, resulta necesario para determinar la calidad de
los datos, que los mismos sean exactos y que se encuentren actualizados171. Lo que,
evidentemente, en el ámbito de los datos de salud es absolutamente necesario, puesto
que las patologías, enfermedades y tratamientos siempre tienen unas consecuencias
que, de no estar debidamente acreditado y actualizado, podría dar lugar a una ac-
167 S-C, J.; A, F., op. cit., p. 19.
168 El Artículo 5, del Convenio 108, en relación con la calidad de los datos establece que: «Los datos
de carácter personal que sean objeto de un tratamiento automatizado: a) Se obtendrán y tratarán leal
y legítimamente; b) se registrarán para nalidades determinadas y legítimas, y no se utilizarán de una
forma incompatible con dichas nalidades; c) serán adecuados, pertinentes y no excesivos en relación con
las nalidades para las cuales se hayan registrado; d) serán exactos y si fuera necesario puestos al día;
e) se conservarán bajo una forma que permita la identicación de las personas concernidas durante un
período de tiempo que no exceda del necesario para las nalidades para las cuales se hayan registrado».
169 El Artículo 6, del Convenio 108, hace referencia a las categorías particulares de datos, esta-
bleciendo que: «Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las
convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o
a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías
apropiadas. La misma norma regirá en el caso de datos de carácter personal referentes a condenas pe-
nales».
170 Artículo 4.1, de la LOPD.
171 Artículo 4.3, de la LOPD.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
80
tuación médica equivocada, a un mal diagnóstico o incluso a que no se prescriba un
determinado tratamiento.
En virtud de ello, los datos deben recogerse con un objetivo determinado y
jo. Además, cabe destacar, que, si los datos son transferidos con posterioridad, se
debe tener en cuenta y ha de mirarse al objetivo inicial para el cual fueron recopila-
dos. De lo contrario, es necesario el consentimiento expreso del interesado172.
La Directiva 95/46/CE consagra en su Artículo 6, que el tratamiento de los
datos, ha de hacerse de manera leal y lícita; con nes determinados, explícitos y
legítimos, y que los datos no sean tratados posteriormente de manera incompatible
con dichos nes. Aunque, destaca la norma, que no se considerará incompatible el
tratamiento posterior de datos con nes históricos, estadísticos o cientícos, siempre
y cuando, los Estados miembros establezcan las garantías oportunas. También men-
ciona que los datos recopilados han de ser adecuados, pertinentes y no excesivos con
relación a los nes para los que se recaben y para los que se traten posteriormente;
exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas
razonables para que los datos inexactos o incompletos, con respecto a los nes para
los que fueron recogidos o para los que fueron tratados posteriormente, sean supri-
midos o recticados; y nalmente, destaca que los datos han de ser conservados en
una forma que permita la identicación de los interesados durante un período no
superior al necesario para los nes para los que fueron recogidos o para los que se
traten ulteriormente173.
Sin embargo, y a la postre de lo analizado, se evidencia que la Directiva 95/46/
CE y el Convenio 108, no son homogéneos en la regulación de los principios de
tratamiento de los datos personales. ARENAS RAMIRO174 entiende que el amplio
margen de actuación deja en manos de los Estados miembros la posibilidad de dotar
172 Al respecto, el Informe jur ídico de la AEPD 0488/2008, sostuvo que: «la ausencia de una Ley
que legitime la recogida, tratamiento y comunicación de los datos de salud, determina que para ello se
deba obtener el consentimiento expreso del afectado». Informe jurídico 0488/2008 de la AEPD.
Disponible en Internet:
mes_juridicos/datos_esp_protegidos/common/pdfs/2008-0488_Tratamiento-y-Cesi-oo-n-
de-datos-de-salud-con-nalidad-desconocida.pdf> [Consulta: 18 septiembre 2016].
173 Artículo 6.1, de la Directiva 95/46/CE. Para profundizar más al respecto, véase: P A-
 , A. «La nueva Directiva europea sobre el tratamiento de los datos personales y la protec-
ción de la intimidad en el sector de las telecomunicaciones». La Ley. Año XXIII, núm. 5620, 26
de septiembre de 2002, pp. 1-3.
174 Vid. A R, M. El der echo fundamental a la pr otección de datos personales en Europa.
Tirant lo Blanch, Valencia, 2006, pp. 317.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 81
de más garantías a la protección de datos, no existiendo por dicha razón un criterio
unánime de los países, opinión que compartimos y que la UE ha intentado dar so-
lución a través del recientemente aprobado Reglamento General de Protección de
Datos, que analizaremos en la Segunda Parte de este trabajo.
Por tanto, dentro del principio de calidad de los datos, podríamos diferencias
algunos pilares que el mismo Artículo 4 de la LOPD establece, sobre el que se asien-
ta, y a continuación desarrollaremos.
a) Adecuación de los datos
El principio de adecuación de los datos, o lo que es lo mismo, según lo de-
nominan SÁNCHEZ-CARO y ABELLÁN175, principio de pertinencia y propor-
cionalidad, viene a establecer que los datos médicos que se recojan, siempre han de
ser los necesarios para los nes que han de ser tratados176. Asimismo, se añade otra
175 S-C, J.; A, F., op. cit., p. 19.
176 En este sentido se ha pronunciado la doctrina, véase al respecto: T R, A., «Tí-
tulo II. Principios de la Protección de Datos. Artículo 4», en T R, A. Comen-
tario a la Ley Orgánica de Protección de Datos de Carácter Personal. Civitas, Madrid, 2010, pp.
340-394.; A S, J. «Título II. Principios de la Protección de Datos. Artículo 4», en
T R, A. Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal.
Civitas, Madrid, 2010, pp. 323-340.; G C, M., «Problemas jurídicos derivados
de la aplicación del principio de calidad del dato por parte de las Administraciones Públicas».
REDUR. Núm. II, diciembre 2013, pp. 169-198. Disponible en Internet: .uni-
rioja.es/dptos/dd/redur/numero11/gutierrez.pdf> [Consulta: 10 julio 2016]; A P, M.
«Cumplir la normativa sobre protección de datos en el entorno laboral». Revista de Estudios
Locales. Núm. 113, septiembre, 2008, pp. 1-19. Disponible en internet: http://www.navarra.es/
NR/rdonlyres/DCF7A5483551481C8CE46CBD251352BC/162689/3CumplimientoNorm
ativaEntornoLaboral.pdf [Consulta: 10 julio 2016]. Asimismo, el principio de adecuación de
datos, es tratado por algunos Códigos éticos profesionales, al entenderse que, para la realización
de determinada práctica médica, intervención o tratamiento, es menester recabar exclusiva-
mente datos que guarden estricta relación con dic ha intervención, no pudiendo exceder de los
rigurosamente necesarios. Al respecto, el Código Tipo de Tratamiento de Datos de Carácter
Personal para Odontólogos y Estomatólogos de España, establece en su Artículo 5 que: «Los
datos de carácter personal recabados a los pacientes o usuarios de los servicios de salud bucodental por
parte de los Adhe ridos al Código, deberán ser adecuados, pertinentes y no excesivos en relación con el
ámbito y las nalidades determinadas, explícitas y legítimas para las que se hayan obtenido. En este
sentido únicamente se recabarán los datos necesarios para la prestación de los se rvicios de salud buco-
dental que resulten necesarios para la correcta atención del paciente o usuario de estos servicios y no
podrán recabarse otros datos personales que no sean completamente necesarios para su atención, salvo
consentimiento expreso». Disponible en Internet: .agpd.es/portalwebAGPD/canal-
documentacion/codigos_tipo/common/pdfs/codigo_tipo_cnsejo_estomat_odont_dic_2009.
pdf> [Consulta: 15 julio 2015]
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
82
exigencia y es que los mismos se encuentren actualizados para que el paciente pueda
recibir la correcta atención177.
En este sentido, la LOPD178 deja claro que los datos de carácter personal sólo
pueden ser recogidos para su tratamiento, así como sometidos a dicho tratamiento,
cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las
nalidades determinadas, explícitas y legítimas para las que se hayan obtenidos179.
La legislación sanitaria añade a la pertinencia y adecuación de los datos, el
calicativo de «trascendental» que refuerza la relación y la conservación de los datos
personales con las nalidades que motivan su recogida y su almacenamiento, par-
ticularidad que será valorada por el profesional sanitario. Según CRIADO DEL
RIO180, el contenido de la historia clínica debe ser completo, ordenado y actualizado,
inteligible, respetuoso, recticado y aclarado, veraz y en el soporte documental ade-
cuado, en relación con el principio en cuestión.
b) Finalidad de los datos
Cuando se recaben datos médicos del paciente, los mismos han de servir a una
necesidad especíca y concreta, que responda a la atención médica que deba recibir
el afectado. En relación con ésta nalidad se requerirán unos determinados datos181
y ésta nalidad tiene un doble límite. Por un lado, los datos recogidos no pueden
177 Ésta exigencia guarda estrecha relación con el principio de certeza de los datos, por el cual se
exige que los datos de los pacientes se encuentren al día para brindar una atención óptima al
afectado.
178 El Artículo 4.1, de la LOPD exige que los datos sean adecuados, pertinentes y no excesivos en
relación con las nalidades para las que se hayan recabado. La recogida y el tratamiento de datos
sanitarios persiguen una nalidad principal intrínsecamente ligada a la nalidad de la historia
clínica que es según el Artículo 16.1 de la Ley 41/2002 «garantizar una asistencia adecuada al
paciente». Esta nalidad determina a su vez la pertinencia y adecuación de los datos que recoja.
Así lo recoge el Artículo 15.2 al señalar que el n principal de la historia clínica es facilitar la
asistencia sanitaria para lo cual según el apartado primero incorporará «la inf ormación que se
considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente».
179 Ibídem.
180 Vid. C D R, Mª T. Aspectos médico-legales de la historia clínica. Colex, 1999, pp. 51 y ss.
181 Resulta interesante el Artículo 6, del Código Tipo de Tratamiento de Datos de Carácter Personal
para Odontólogos y Estomatólogos de España que regula expresamente ésta circunstancia, prohi-
biendo usos comerciales de los datos: «Los datos de carácter personal recabados por parte de los Adhe-
ridos al Código únicamente podrán utilizarse para la prestación de los servicios solicitados por el paciente
o usuario de los servicios de salud bucodental. En ningún caso, podrán utilizarse dichos datos para otras
nalidades. En este sentido queda expresamente prohibida la utilización de datos recabados de pacientes
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 83
no guardar relación con el proceso asistencial que deba llevarse a cabo. Así, por
ejemplo, si consultamos a un odontólogo para un tratamiento dental, no es necesario
que en el formulario que se nos presenta antes de la consulta informemos si hemos
sido sometidos a una cirugía estética, el estado civil, etc. Por otro lado, estos datos
que el paciente suministra única y exclusivamente pueden ser utilizados para el n
asistencial, por ejemplo, si he acudido al odontólogo para que se me practique una
limpieza dental, no pueden enviarme publicidad de productos para mantener una
higiene bucal, salvo que hayamos dado nuestro consentimiento expreso para recibir
esa información o publicidad.
La LOPD establece que: «Los datos de carácter personal objeto de tratamiento no
podrán usarse para nalidades incompatibles con aquellas para las que los datos hubieran
sido recogidos»182.
En el mismo sentido, la Directiva 95/46/CE contempla lo siguiente:
Considerando que todo tratamiento de datos personales debe efectuarse de forma
lícita y leal con respecto al interesado; que debe referirse, en par ticular, a datos ade-
cuados, pertinentes y no excesivos en relación con los objetivos perseguidos; que estos
objetivos han de ser explícitos y legítimos, y deben estar determinados en el momento
de obtener los datos; que los objetivos de los tratamientos posteriores a la obtención
no pueden ser incompatibles con los objetivos originalmente especicados183.
Cabe destacar aquí, la previsión legal que hace la legislación del País Vasco al
respecto, porque resulta muy claricadora del principio que nos ocupa, estableciendo
que: «[…] sólo podrán utilizarse para las nalidades determinadas, explícitas y legítimas
para las que se hubieran obtenido, sin perjuicio de su posible tratamiento posterior para
nes históricos, estadísticos o cientícos, de acuerdo con la legislación aplicable»184.
c) Certeza de los datos
Este principio consiste en que los datos que se recopilen deben guardar re-
lación con la realidad del paciente. Si es el mismo afectado el que declara sobre sus
para nes come rciales o publicitarios, salvo en aquellos casos en que previamente se haya informado y
recabado el consentimiento de la forma establecida en el presente Código Tipo para estos nes».
182 Artículo 4.2, de la LOPD.
183 Considerando (28), de la Directiva 95/46/CE.
184 Artículo 5, de la Ley 2/2004,de 25 de febrero, de Ficheros de Datos de Carácter Personal de
Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
84
datos personales, éstos se tienen por veraces ante la Ley. De esta manera, LOPD
establece que: «Los datos de carácter personal serán e xactos y puestos al día de forma que
respondan con veracidad a la situación actual del afectado»185. Este deber que pesa sobre
el paciente, en el ámbito de la sanidad resulta especialmente relevante en méritos
al interés vital que tiene el interesado en adecuar los datos incluidos en su historia
clínica, con su realidad. Y a la vez, la LOPD señala la obligación que corresponde al
responsable del chero acerca de la recticación, cancelación y sustitución de los da-
tos incompletos o inexactos por los correctos, tema que analizaremos más adelante.
De la misma manera lo recoge la LAP186 al disponer que la historia clínica
incorporará la información que se considere trascendental para el conocimiento ve-
raz y actualizado del estado de salud del paciente. También dispone en su Artículo
15.2 que la historia clínica tendrá como n principal facilitar la asistencia sanitaria,
dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el
conocimiento veraz y actualizado del estado de salud. Corresponderá a las Adminis-
traciones Sanitarias, según el Artículo 14.3, establecer los mecanismos que garan-
ticen la autenticidad del contenido de la historia clínica y los cambios operados en
ella. Por otro lado, el Artículo 17.3 habla de la responsabilidad de los profesionales
sanitarios en orden a la creación y mantenimiento de una documentación clínica
ordenada y secuencial del proceso asistencial de los pacientes, mientras que el Artí-
culo 17.5 responsabiliza de todo ello, a los profesionales sanitarios que trabajen de
manera individual.
Resulta relevante éste principio en el terreno sanitario, porque el hecho de
«tener al día» nuestra historia clínica, facilitará cualquier intervención médica que
deba practicarse en nuestro benecio. Por el contrario, no tener los datos de salud al
día puede suponer un grave perjuicio para el paciente.
d) Cancelación de los datos
El Artículo 4.5 de la LOPD, recoge la cancelación de los datos cuando hayan
dejado de ser necesarios o pertinentes en relación con la nalidad para la que fueron
recopilados. La vinculación entre el almacenamiento de los datos y su nalidad pre-
senta en el ámbito sanitario alguna singularidad puesto que es factible que sea nece-
sario mantener los datos sanitarios en caso de tratamientos médicos prolongados o
enfermedades crónicas en las que probablemente nunca llega a romperse la conexión
entre la nalidad y el mantenimiento del dato.
185 Artículo 4.3, de la LOPD.
186 Artículo 15.1, de la LAP.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 85
En relación con ello, el Artículo 17 de la LAP, señala la obligación de los
centros sanitarios de conservar la documentación clínica en condiciones que garanti-
cen su correcto mantenimiento y seguridad, aunque, aclara, que no resulta necesario
que tal almacenamiento se efectúe en soporte original, y deja a criterio del médico
el período necesario en cada caso, para mantener dicha información, sin embargo,
establece un tiempo mínimo de 5 años desde el momento del alta del paciente.
La excepción a la cancelación de los datos sanitarios la constituye su conser-
vación a efectos judiciales, por razones epidemiológicas, de investigación o de orga-
nización y funcionamiento del Sistema Nacional de Salud. En estos casos y dentro
de lo posible, se evita la relación de los datos con las personas afectadas187, utilizando
procesos de anonimización, según se explicará más adelante.
La posibilidad de que el paciente cancele sus datos sanitarios, contenidos en
su historial clínico, ha suscitado dudas desde el punto de vista legal y doctrinal188. Se
trata de un derecho con un alcance controvertido. Sostiene al respecto RODRIGO
DE LARRUCEA189 que nos encontraríamos en un vacío legal, si un paciente decide
cancelar sus datos contenidos en la historia clínica, y como consecuencia de una in-
tervención médica, se produce el fallecimiento del mismo. En este caso, si por parte
de sus herederos se pretende iniciar la vía judicial para despejar posibles responsabi-
lidades médicas, se carecerían de los datos necesarios para poder establecer el nexo
de causalidad entre el fallecimiento, la intervención médica y los antecedentes médi-
cos del paciente, que a la postre podrían indicarnos de forma evidente, por ejemplo,
que el difunto era alérgico a determinado medicamente y éste le fue suministrado
durante la intervención.
También la LOPD es la encargada de señalar al responsable del tratamiento
como el obligado de hacer efectivo el derecho de recticación o cancelación del in-
teresado y para ello, se le concede un plazo legal de tan sólo diez días190. Los datos
de carácter personal que deberán ser recticados o cancelados, cuando tales datos
resulten inexactos o incompletos, serán los indicados por el interesado. La cancela-
ción dará lugar al bloqueo de los datos, conservándose únicamente a disposición de
las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles
187 Artículo 17.2, de la LAP.
188 Ver al respecto M, J. D, J. R. El Estatuto del Paciente. A través de la nueva legislación
sanitaria estatal. omson-Civitas, Navarra, 2006, pp. 201 y ss.
189 R  L, C. Conversaciones informales en el marco de las reuniones de los
miembros de la Comisión de Derecho Sanitario del ICAB, Barcelona 2016.
190 Artículo 16, de la LOPD.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
86
responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.
Cumplido el citado plazo, deberá procederse a la supresión, según indica el precepto
legal.
Sin embargo, aquí advertimos un inconveniente que consiste en la falta de
preparación por parte del facultativo sanitario en el ámbito jurídico. Entendemos
que es una carga excesivamente onerosa que se añade al profesional médico, que
no tiene por qué conocer los plazos de prescripción que conlleva un procedimiento
judicial por responsabilidad médica191, que según sea el caso, no es el mismo.
Al respecto, también el CDOMCE192 tiene una previsión en la que se señala
que el médico y, en su caso, la institución para la que trabaja, están obligados a con-
servar la historia clínica y los elementos materiales de diagnóstico, mientras que se
considere favorable para el paciente y, en todo caso, durante el tiempo que dispone
la legislación vigente estatal y autonómica. Es muy recomendable que el responsable
de un servicio de documentación clínica sea un médico, sostiene el CDOMCE.
Nos resulta curiosa ésta previsión deontológica, puesto que al mencionar que la do-
cumentación clínica ha de mantenerse mientras resulte favorable para el paciente,
adolece de una ambigüedad maniesta. No se especica de manera alguna cómo ha
de interpretar el médico si los datos contenidos en la historia clínica de un paciente
le pueden resultar más o menos favorables, o que tengan alguna incidencia en futuras
posibles patologías. Así también, deja la puerta abierta a mantener los datos por el
tiempo que la legislación lo estipule. Porque, como hemos puesto de maniesto ut
supra, la normativa remite a las posibles responsabilidades médicas y a sus plazos
de prescripción. Por tanto, si conjugamos la Ley y el CDOMCE apreciamos una
clara incongruencia que lo único que haría es remitir de un ordenamiento a otro sin
ofrecer solución alguna.
e) Almacenamiento de los datos
Los datos de carácter personal serán almacenados de forma que permitan el
ejercicio del derecho de acceso, salvo que sean legalmente cancelados. En este punto
vemos que los datos sanitarios han de almacenarse, sin importar el soporte, y con las
peculiaridades que pusimos de maniesto ut supra, pero no queda claro si el paciente
decide cancelar sus datos, si en ese supuesto los datos sanitarios deben mantenerse,
únicamente a disposición de la Administración o de Jueces y Tribunales para poder,
191 Vid. R G, L.; G C, J. L. «Las historias clínicas y su incorporación a los
expedientes judiciales». Actualidad del Derecho Sanitario. Núm. 33, 1997.
192 Artículo 19.3, del CDOMCE.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 87
en su caso, dirimir posibles responsabilidades, tal y como prescribe el Artículo 16,
de la LOPD. Porque, a tenor de lo planteado, la LOPD establece que no serán con-
servados los datos personales en forma que permita la identicación del interesado
durante un período superior al necesario para los nes en base a los cuales hubieran
sido recabados o registrados193, existiendo desde nuestro punto de vista, una incohe-
rencia entre los preceptos citados.
f) Fraude en la recopilación de los datos
La recogida de datos personales por medios fraudulentos, desleales o ilíci-
tos está absolutamente prohibida. Se trata de una prohibición que lleva aparejada
una infracción y puede incluso derivar en responsabilidad penal. Concretamente la
LOPD, tipica como infracción muy grave en su Artículo 44.4.a), la recogida de
datos en forma engañosa o fraudulenta.
De la misma manera, la Directiva 95/46/CE consagra en su Artículo 6, que el
tratamiento de los datos ha de hacerse de manera leal y lícita194.
2.2. Principio de información
Este principio implica el deber y el derecho de información. Supone que antes
de tratar los datos personales habrá que informar al paciente sobre quién los tratará y
para qué, también se debe informar sobre la identidad y dirección del responsable del
tratamiento. Al respecto, SANCHEZ-CARO y ABELLÁN195, denen al principio
de información, diciendo que el afectado ha de estar informado sobre los datos que
se recaban sobre él, conociendo esencialmente quién, cómo y para qué se tratan sus
datos.
La LAP regula de forma separada dos conceptos que se encuentran vincula-
dos estrechamente entre sí. Por un lado, la información clínica o asistencial196 y, por
otro lado, el consentimiento informado. La distinción tiene su razón de ser en que el
derecho de información establece quién ha de informar y tiene el deber de hacerlo,
193 Artículo 4.5, de la LOPD.
195 S-C, J.; A, F. Datos de salud y datos genéticos. Comares, Granada, 2004, p. 30.
196 El Artículo 3, de la LAP, dene al concepto «Información clínica» como: «todo dato, cualquiera
que sea su forma, clase o tipo, que permite adquirir o ampliar conocimientos sobre el estado físico y la
salud de una persona, o la forma de preservarla, cuidarla, mejorarla o recuperarla».
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
88
a quién debe informar y de qué exactamente197. Por su parte, el derecho al consenti-
miento informado viene a formar parte de la faceta de quién debe consentir, cómo y
en qué casos el consentimiento no es necesario198.
La LAP199 responsabiliza al médico del deber de información y a los profe-
sionales que atienden a la persona afectada. En este sentido el CDOMCE sostiene
que, un elemento esencial de la información debida al paciente es darle a conocer la
identidad del médico que en cada momento le está atendiendo. Y también entiende
que el hecho de que la atención medica recaiga en un equipo de trabajo, esto no pue-
de ser óbice de que el paciente conozca cual es el médico responsable de la atención
que se le presta y que será su interlocutor principal ante el equipo asistencial200.
La LAP vislumbra algunas condiciones por parte del médico para que brinde
la información al paciente, con la nalidad de obtener su consentimiento. En su
Artículo, 10 establece que:
El facultativo proporcionará al paciente, antes de recabar su consentimiento escrito,
la información básica siguiente: Las consecuencias relevantes o de importancia que
la intervención origina con seguridad. Los riesgos relacionados con las circunstancias
personales o profesionales del paciente. Los riesgos probables en condiciones norma-
les, conforme a la experiencia y al estado de la ciencia o directamente relacionados con
el tipo de intervención. Las contraindicaciones.
Es decir, que ésta información, ha de ser clara, desde el punto de vista de la
comprensión del paciente, atendiendo a su edad y sus posibles conocimientos, para
que comprenda exactamente cuáles son las ventajas y cuáles podrían ser los inconve-
nientes que se podrían derivar de determinado tratamiento201.
197 La LAP regula principalmente en sus Artículos 4 y 5 el derecho de información.
198 La LAP se ocupa de las bases legales pr incipalmente en sus Artículos 8, 9 y 10 del consenti-
miento informado, de sus límites y de las condiciones para otorgarlo.
199 El Artículo 4.3, de la LAP establece que: «El médico responsable del paciente le garantiza el cum-
plimiento de su derecho a la información. Los profesionales que le atiendan durante el proceso asisten-
cial o le apliquen una técnica o un procedimiento concreto también serán responsables de informarle».
200 Artículo 10, apartados 2 y 3, del CDOMCE.
201 Especica el TS, que en cumplimiento del Ar tículo 10 (5) de la Ley General Sanitaria, la in-
formación debe ser completa, comprendiendo los pros y contras de la actuación sanitaria y las
opciones posibles al respecto, con inclusión de los riesgos, que la literatura cientíca conoce y
describe como anudados al tipo de intervención de que se trata, ydesde luego, personalizados
en función de las características del paciente (edad, padecimientos anteriores, etc.), (STS de 17
de Octubre de 2001, RJ 2001\8741). Para profundizar más sobre el análisis de ésta Sentencia,
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 89
A nivel europeo, y en relación con el principio de información que nos ocupa,
la Directiva 95/46/CE202, establece para el caso en que los datos sean recabados del
propio interesado, que el responsable del tratamiento o su representante deberán
comunicar a la persona de quien se recaben los datos que le conciernan, al menos la
siguiente información:
a) la identidad del responsable del tratamiento y, en su caso, de su representante;
b) los nes del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
los destinatarios o las categorías de destinatarios de los datos,
el carácter obligatorio o no de la respuesta y las consecuencias que ten-
dría para la persona interesada una negativa a responder,
la existencia de derechos de acceso y recticación de los datos que la
conciernen.
Asimismo, es obligación del titular del chero, informar a la persona sobre
su posibilidad de ejercer los derechos legales de acceso, recticación, cancelación y
oposición, si así lo estimase conveniente203. La LOPD204, ampliando las garantías
establecidas por la Directiva 95/46/CE, consagra que:
1. Los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco:
a) De la existencia de un chero o tratamiento de datos de carácter per-
sonal, de la nalidad de la recogida de éstos y de los destinatarios de la
información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
véase: D L, A. Derecho sanitario y responsabilidad médica. Comentarios a la Ley
41/2002 de 14 de noviembre, sobre derechos del paciente, inf ormación y documentación clínica.
Edición, Lex Nova, Valladolid, 2007, pp. 226 y ss.; G C, L. M.; B L,
J. M. Los riesgos del desarrollo en una visión comparada. Derecho argentino y Derecho español. Reus,
Madrid, 2010, pp. 260 y ss.
203 Artículo 5. 1, 15, 16 y 17, de la LOPD.
204 Artículo 5. 1, de la LOPD
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
90
d) De la posibilidad de ejercitar los derechos de acceso, recticación, can-
celación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.
Respecto al principio de información en el ámbito autonómico, fue recogido
de la siguiente manera. Por ejemplo, en Cataluña205 se ha establecido que:
Todas las personas, con relación a los ser vicios sanitarios públicos y privados, tienen
derecho a ser informadas sobre los servicios a que pueden acceder y los requisitos ne-
cesarios para su uso; sobre los tratamientos médicos y sus riesgos, antes de que les sean
aplicados; a dar el consentimiento para cualquier intervención; a acceder a la historia
clínica propia, y a la condencialidad de los datos relativos a la salud propia, en los
términos que se establecen por ley.
En la Comunidad Autónoma de Cataluña, es competencia de la Agencia Cata-
lana de Protección de Datos, la encargada de mediar en los asuntos relativos a los datos
de carácter personal. El Decreto que aprueba el Estatuto Catalán206, sostiene que: «6.1
la agencia Catalana de Protección de datos informará a las personas de los derechos que la ley
les reconoce en relación con el tratamiento de datos personales. a estos efectos podrá realizar
campañas de difusión. 6.2 la agencia atenderá y dará respuesta a las peticiones que le dirijan
las personas afectadas, sin perjuicio de los recursos que puedan interponer»207.
En la Comunidad de Madrid, se dispone a través de la Ley 8/2001, de 13 de
julio, de Protección de Datos de Carácter Personal, en relación con el derecho de
información en la recogida de datos de carácter personal, que: «Los interesados cuyos
datos personales sean objeto de tratamiento deberán ser previamente informados de modo
expreso, preciso e inequívoco de los extremos señalados en el artículo 5 de la Ley Orgánica
15/1999, de 13 de diciembre, en la forma y condiciones establecidas en ese mismo artículo».
Por su parte, la legislación del País Vasco208 introduce una diferencia sustan-
cial al respecto. Concibe su normativa que, queda en manos del Director de la Agen-
205 Artículo 23.3, del Estatuto de Autonomía de Cataluña (BOE núm. 172, 20.07.2006).
206 Artículo 6, de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal de la
Comunidad de Madrid (BOE núm. 245/2001, 12.10. 2001).
207 Artículo 5, del Decreto 48/2003, de 20 de febrero, por el que se aprueba el Estatuto de la Agen-
cia Catalana de Protección de Datos (DOGC núm. 3835, 4.03.2003).
208 El Artículo 6, de la L ey 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal
de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, op. cit.,
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 91
cia Vasca de Protección de Datos, dirimir si es menester o no informar al interesado
o a los interesados, si fuese el caso, cuando ello resulte complicado o difícil de realizar
conforme se haría normalmente, por parte del responsable del chero.
El derecho de información que asiste a la persona, también se deberá observar,
indistintamente de si los datos han sido recabados directamente por parte del mismo
paciente o no, con la salvedad de que una disposición legal prevea lo contrario209.
Asimismo, el CDOMCE210 expone que el médico está obligado a brindarle
toda la información al afectado, tanto información sobre los datos que se solicitan
a n de tratarle, como de hacerle conocer fehacientemente el diagnóstico, la enfer-
medad que padece y el tratamiento a seguir. Sin embargo, el afectado puede negarse
a oír esta información por parte del médico o de la persona encargada. Por tanto,
el principio de información es facultativo desde el punto de vista del paciente. En
éste sentido se rerió la Organización Mundial de la Salud211, al entender que, si el
paciente lo solicita explícitamente, no debe ser informado. Es por ello que, sostene-
mos, que el derecho a la información, es un derecho que ha de considerarse como
potencial, ya que es el mismo paciente el que puede decidir si quiere o no hacer uso
del mismo.
consagra que: «Los interesados a los que se soliciten datos de carácter personal serán previamente
informados, de conformidad con la legislación sobre protección de dichos datos. No obstante, cuando los
datos no hayan sido recabados del propio interesado y la información a éste r esulte imposible o exija
esfuerzos desproporcionados, en consideración al número de interesados, a la antigüedad de los datos y a
las posibles medidas compensatorias, el director de la Agencia Vasca de Protección de Datos, de acuerdo
con la susodicha legislación, podrá dispensar al responsable del chero de la obligación de informar a
los interesados».
209 El Artículo 5, de la LOPD establece que: «Los interesados a los que se soliciten datos personales
deberán ser previamente informados de modo expreso, preciso e inequívoco: 4. Cuando los datos de
carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa,
precisa e inequívoca, por el responsable del chero o su representante, dentro de los tres meses siguientes
al momento del r egistro de los datos, salvo que ya hubiera sido informado con anterioridad, del con-
tenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a, d y e del
apartado 1 del presente artículo».
210 El Artículo 10, del CDOMCE, maniesta que: «1. Los pacientes tienen derecho a recibir infor-
mación sobre su enfermedad y el médico debe esforzarse en dársela con delicadeza y de manera que
pueda comprenderla. Respetará la decisión del paciente de no ser informado y comunicará entonces los
extremos oportunos al familiar o allegado que haya designado para tal n».
211 Declaración para la promoción de los derechos de los pacientes en Europa. Consulta Europea
sobre los Derechos de los pacientes. Ámsterdam, 28-30 de marzo de 1994. Organización Mun-
dial de la Salud (OMS). EUR/ICP/HLE 121, 28.06.1994. Disponible en Internet:
www.s.es/ups/documentacion_ley_3_2009/Declaracion_promocion_derechos_pacientes_
en_Europa.pdf> [Consulta: 18 septiembre 2016].
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
92
En caso de no querer conocer la información sobre su salud, y tal como queda
de maniesto en la parte nal del Artículo 10.1 del CDOMCE212, el médico deberá
noticar a los parientes o amistades cercanas del diagnóstico efectuado.
Aunque, en este punto podemos apreciar una incongruencia con la LOPD, que
en su Artículo 7, sobre los datos espacialmente protegidos establece como norma ge-
neral la necesidad del consentimiento expreso del afectado para que sus datos puedan
ser tratados. Sin embargo, en el apartado 6, del mismo artículo acepta algunas excep-
ciones, manifestando que los datos pueden ser tratados sin el consentimiento de la
persona afectada cuando dicho tratamiento resulte necesario para la prevención o para
el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o
la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por
un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimis-
mo a una obligación equivalente de secreto. Pero si estamos ante un caso, por ejemplo,
de una enfermedad que le es diagnosticada a un paciente, y él mismo se niega a some-
terse al tratamiento indicado, y si él mismo no quiere que su familia esté enterada del
suceso a n de evitarles el sufrimiento, consideramos que el médico no puede hacer
prevalecer un derecho de información comunicándolo a los familiares para tratar al
paciente y por tanto relevar el derecho a la salud en pro del derecho a la información.
En este sentido, la LAP dice en su Artículo 5 que: «El titular del derecho a la
información es el paciente. También serán informadas las personas vinculadas a él, por
razones familiares o de hecho, en la medida que el paciente lo permita de manera expresa
o tácita». Entendemos que la interpretación que ha de hacerse sobre este precepto,
va en consonancia con lo manifestado anteriormente, es decir, si el paciente se niega
a que sus allegados conozcan la realidad sobre su estado de salud, ésta voluntad del
paciente debe prevalecer y debe respetarse por el profesional sanitario, que, en con-
secuencia, deberá abstenerse de brindar dicha información.
2.3. Principio de consentimiento del afectado
El principio del consentimiento, se erige como el eje fundamental de la pro-
tección de datos en el ámbito de la salud. Constituye un presupuesto indispensable
para el tratamiento de los datos del paciente, y a la vez, exigencia para la práctica de
cualquier proceso asistencial al interesado213.
212 Ibídem.
213 Vid. G S, P. «Deberes y responsabilidad en materia de protección de datos», en
C M, S. (Coordinador). Deberes y responsabilidades de los servidores de acceso y
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 93
El consentimiento consiste en la manifestación libre, voluntaria y conscien-
te de un paciente, otorgado en el pleno uso de sus facultades después de recibir la
información adecuada, para que tenga lugar una actuación que afecta a su salud214.
La LOPD expresa que el consentimiento del interesado es toda manifestación de
voluntad, libre, inequívoca, especíca e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen215.
Éstas características que debe reunir el consentimiento se materializan de la
siguiente manera:
(i) Libre: para que sea considerado que el consentimiento se ha otorgado libre-
mente, deberá haber sido obtenido sin la intervención de vicio alguno del
consentimiento, como explicaremos en los posteriores epígrafes.
(ii) Especíco: referido a una determinada operación de tratamiento y para una
nalidad determinada, explícita y legítima del responsable del chero. Por
tanto, no cabe un consentimiento genérico, sino que debe ser consultado el
paciente cada vez que sea sometido a un tratamiento diferente o una interven-
ción distinta.
(iii) Informado: el usuario debe conocer, con anterioridad al tratamiento, la exis-
tencia y las nalidades para las que se recogen los datos. Éste tema lo desarro-
llaremos en el siguiente epígrafe.
(iv) Inequívoco: es preciso que exista expresamente una acción que implique la
existencia del consentimiento, descartándose de la forma legal la posibilidad
del consentimiento presunto. Por lo tanto, el tratamiento de los datos de ca-
alojamiento. Un análisis multidisciplinar. Editorial Comares, Granada, 2005, pp. 195 y ss.; G-
 P, P. Tratamientos médicos: su responsabilidad penal y civil. 2da. Edición, Bosch, Barce-
lona, 2004, pp. 81 y ss.; P E, A. Consentimiento del afectado y deber de información.
Tirant lo Blanch, Valencia, 2009, pp. 37 y ss.
214 Artículo 3, de la LAP.
215 Artículo 3. h), de la LOPD. Resulta interesante destacar la denición que realiza la Ley 8/2001,
de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, en
su Artículo 3, sobre el consentimiento, expresando que es: «Toda manifestación de voluntad, libre,
inequívoca, especíca e informada, mediante la que el interesado consienta el tratamiento de datos per-
sonales que le conciernen», repitiendo textualmente la denición de la LOPD. Para profundizar
más al respecto, véase: P O, A.; G E, P. (Directores). Comentario
al Reglamento de desarrollo de la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter
personal (aprobado por RD 1720/2007, de 21 de diciembre). omson-Civitas, Navarra, 2008, pp.
157 y ss.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
94
rácter personal requerirá el consentimiento indudable del afectado, salvo que
la Ley disponga lo contrario216.
Como principio general, el RD 1720/2007217 establece que habrá de ser el
responsable del tratamiento el encargado de obtener el consentimiento para el tra-
tamiento de sus datos de carácter personal, exceptuándose aquellos supuestos en que
el mismo no sea exigible con arreglo a lo dispuesto en las leyes. Los supuestos que
legitiman el tratamiento o la cesión de los datos personales únicamente pueden ser
tratados si el interesado hubiera prestado previamente su consentimiento para ello218.
COUDERT219 indica que la LOPD no exige que el consentimiento se recabe
por escrito pero la forma expresa implica que las cláusulas de protección de datos
destinadas a los formularios u otras formas de recogida de estas categorías de datos
hagan mención especíca al tratamiento o a la cesión prevista. De esta forma, cuan-
do se recaben datos que hagan referencia a la salud, los formularios deberán contener
una cláusula que mencione que, a través del cumplimiento del mismo, el interesado
consiente de forma expresa el tratamiento de sus datos con la nalidad indicada.
El CDOMCE entiende que de requerirse un determinado tratamiento mé-
dico que suponga un riesgo signicativo y grave para el paciente, el consentimiento
ha de ser dado por escrito. Sin que medie el consentimiento inequívoco y especíco
para la realización de los tratamientos indicados, en principio220, el médico no podrá
practicar las intervenciones o prácticas diagnosticadas221.
El principio del consentimiento está íntimamente vinculado al principio de
información del paciente. Así lo recoge expresamente el Artículo 2 de la LAP222,
216 Artículo 6.1, de la LOPD.
219 C, F. op. cit., pp. 340 y ss.
220 Recordemos que la LOPD pondera la salvaguarda del interés vital del afectado, si éste se en-
cuentra impedido física o jurídicamente para dar su consentimiento, tal como queda reejado
en el Artículo 7.6, segundo párrafo.
221 El Artículo 10.4, del CDOMCE, expresa que: «Cuando las medidas propuestas supongan para el
paciente un riesgo signicativo el médico le proporcionará información suciente y ponderada a n de
obtener, referentemente por escrito, el consentimiento especico imprescindible para practicarlas».
222 El Artículo 2, de la LAP, consagra que: «2. Toda actuación en el ámbito de la sanidad requiere, con
carácter general, el previo consentimiento de los pacientes o usuarios. El consentimiento, que debe ob-
tenerse después de que el paciente reciba una información adecuada, se hará por escrito en los supuestos
previstos en la Ley. 3. El paciente o usuario tiene derecho a decidir libremente, después de recibir la
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 95
entendiendo que en algunos casos debe constar por escrito el referido consenti-
miento, como así también la negativa a someterse a un tratamiento determinado. Y
completa éste precepto, el Artículo 8 de la LAP223, entendiendo que, en principio, la
regla general para proporcionar el consentimiento será verbal, lo cual evidentemente,
puede suponer un problema a nivel probatorio si existe una reclamación judicial por
responsabilidad médica. Sin embargo, la LAP deja asentado los supuestos en los que
el consentimiento del paciente debe quedar recogido por escrito, y estos casos que
son taxativos, como las intervenciones quirúrgicas, los procedimientos diagnósticos
y terapéuticos invasores y, en aquellos procedimientos médicos que puedan suponer
riesgos de notoria y previsible repercusión negativa sobre la salud del paciente»224.
2.4. El consentimiento informado
Actualmente el consentimiento del interesado reviste fundamental importan-
cia para el médico a la hora de tratar a un paciente. Éste fenómeno, por un lado, es
consecuencia del incremento de demandas en el ámbito de la responsabilidad civil
de los médicos, y, por otro lado, porque ahora el que realmente decide si se somete
o no a un determinado tratamiento, intervención o proceso asistencial, es el mismo
paciente, una vez que está debidamente informado de las características y riesgos
de cada proceso médico, por el facultativo sanitario. En caso de tratamiento de esta
tipología de datos, será necesario que el responsable del chero acredite que ha obte-
nido el consentimiento del paciente, con todas las garantías establecidas por la Ley,
información adecuada, entre las opciones clínicas disponibles. 4. Todo paciente o usuario tiene derecho
a negarse al tratamiento, excepto en los casos determinados en la Ley. Su negativa al tratamiento
constará por escrito».
223 El Artículo 8, de la LAP, establece que: «1. Toda actuación en el ámbito de la salud de un paciente
necesita el consentimiento libre y voluntario del afectado, una vez que, recibida la información prevista
en el artículo 4, haya valorado las opciones propias del caso. 2. El consentimiento será verbal por regla
general. Sin embargo, se prestará por escrito en los casos siguientes: intervención quirúrgica, procedi-
mientos diagnósticos y terapéuticos invasores y, en general, aplicación de procedimientos que suponen
riesgos o inconvenientes de notoria y previsible repercusión negativa sobre la salud del paciente. 3. El
consentimiento escrito del paciente será necesario para cada una de las actuaciones especicadas en el
punto anterior de este artículo, dejando a salvo la posibilidad de incorporar anejos y otros datos de ca-
rácter general, y tendrá información suciente sobre el procedimiento de aplicación y sobre sus riesgos. 4.
Todo paciente o usuario tiene derecho a ser advertido sobre la posibilidad de utilizar los procedimientos
de pronóstico, diagnóstico y terapéuticos que se le apliquen en un proyecto docente o de investigación, que
en ningún caso podrá comportar riesgo adicional para su salud».
224 Ibídem.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
96
es decir, que además de que el consentimiento sea libre, inequívoco, especíco, infor-
mado, sea prestado de forma expresa, y por escrito en los casos que la Ley lo obliga225.
El principio del consentimiento en el derecho de protección de datos re-
presenta, según HERRÁN ORTIZ226, una condición indisponible sobre la que se
fundamenta la licitud del tratamiento de datos y su legitimidad. Hasta tal punto
reviste importancia que el paciente otorgue su consentimiento informado que, de
no prestarse, ello da lugar a que se ejercite una acción indemnizatoria por parte del
paciente, su representante o sus familiares más allegados, y será el médico y el Centro
Sanitario el encargado de probar que medió el consentimiento del paciente227.
Recordemos que el consentimiento informado se apoya en derechos funda-
mentales tales como la vida, a la integridad física y a la libertad de conciencia. En
este sentido, el TS maniesta al respecto que «es una de las últimas aportaciones rea-
lizada en la teoría de los derechos humanos, consecuencia necesaria o explicitación de los
clásicos derechos a la vida, a la integridad física y a la libertad de conciencia» (STS de
12 enero de 2001, y STS de 11 mayo de 2001)228. Por tanto, el fundamento del
225 Para profundizar más al respecto, véase: A O, M.; F C, F. Comentario
a la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y
obligaciones en materia de información y documentación clínica. omson Civitas, Madrid 2003, pp.
61 y ss.; A B, A.; G I, J. «Ley 41/2002 de derechos del paciente, avances, de-
ciencias y problemática», en G S, P.; L B, E. (coordinadores).
Autonomía del paciente, información e historia clínica (estudios sobre la Ley 41/2002, de 14 de no-
viembre). omson Civitas, Madrid, 2004, pp. 43-77.; P E, A., op. cit., pp. 37 y ss.
226 H O, A. I., op. cit., p. 57.
227 El TS ha expresado que: «el consentimiento informado constituye un derecho humano fundamental»,
en la medida en que es «el derecho a decidir por sí mismo en lo atinente a la propia persona y a la
propia vida y… a la autodisposición sobre el propio cuerpo», (STS 12 de enero de 2001, RJ 2001\3).
Además, el TS sostuvo que la carga de la pr ueba recae sobre el profesional de la medicina por
ser quién se halla en una posición más favorable para conseguir su prueba, (STS de 28 diciem-
bre de 1998, RJ 1998\10155 y STS de 19 abril de 1999, RJ 1999\2588). Para profundizar más
el tema, véase: V B, S. Responsabilidad Civil de los Médicos. Doctrina, Legislación
básica, Jurisprudencia, Formularios y Bibliografía. Tirant lo Blanch, Valencia, 2009, pp. 135 y ss.;
A R, V. «El deber médico de información: un derecho humano fundamental». Revista
La Ley. Tomo I, Año 2002, pp. 1831-1832.; B O, C. El equilibrio en la relación médico
– paciente. Bosch, Barcelona, 2006, pp. 46 y ss., 116 y ss.
228 En idéntico sentido, el TC maniesta que a través del reconocimiento del derecho fundamental a la
integridad física y moral, se protege la inviolabilidad de la persona, no sólo contra ataques di-
rigidos a lesionar su cuerpo o espíritu, sino también contra toda c lase de intervención en esos
bienes que carezca del consentimiento de su titular (STC120/1990, de 27 de junio (BOE núm.
181, 30.06.1990); STC137/1990, de 19 de julio (BOE núm. 181, 30.07.1990); STC 215/1994,
de 14 de julio (BOE núm. 197, 18.08.1994); STC 35/1996, de 11 de marzo (BOE núm. 93,
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 97
consentimiento informado, como procedimiento necesario para ejercer la libertad,
es el exponente fundamental del principio de autodeterminación personal ante los
tratamientos médicos. El respeto a la autonomía del paciente y el consentimiento
informado son indispensables en la relación médico-paciente.
Para denir al consentimiento informado, coincidimos con MÉNDEZ BAI-
GES229 que dice que: «puede de nirse al consentimiento informado como un acto me-
diante el cual el paciente, y después de que le hayan sido explicadas las principales caracte-
rísticas de una intervención, autoriza al médico a poner en práctica un tratamiento». Se
trata entonces del permiso que el paciente le otorga a su médico, una vez que éste
o su equipo de sanitarios le hayan informado debidamente respecto al diagnóstico
y al tratamiento que creen más conveniente aplicar en el caso. Sostiene, asimismo,
MÉNDEZ BAIGES230 que: «puede denirse el derecho al consentimiento inf ormado
como el derecho del paciente a ser informado, y a dar o negar su autorización, antes de la
puesta en práctica de cualquier tratamiento médico que le afecte».
Debemos recalcar que el consentimiento informado, requiere siempre y pre-
viamente la información terapéutica. El término consentimiento «informado» hace
justamente referencia a ello. Si el paciente conoce claramente cuál es su estado de
salud, si el diagnóstico del médico es sucientemente claro y si el tratamiento que
se le indica es plenamente comprendido por el paciente, tanto por conocer en qué
consiste, qué riesgos ha de asumir y qué probabilidades de resultados entraña, es
entonces cuando puede ser otorgado el «consentimiento», con plena certeza de que
ha estado debidamente «informado».
No obstante, se pueden apreciar dos puntos de vista diferentes respecto al
deber de informar, por parte del médico. Por un lado, tenemos el deber de infor-
17.04.1996); y STC 207/1996, de 16 de diciembre (BOE núm. 19, 22.01.1997). Asimismo, el
TC se ha pronunciado en distintas Sentencias al respecto del derecho a la intimidad personal,
en cuanto derivación directa de la dignidad reconocida en el Artículo 10.1 CE, conere a su
titular el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en
la esfera íntima, incluso privada sin la debida autorización (STC 231/1998, de 1 de diciembre
(BOE núm. 312, 30.12.1998); STC 197/1991, de 17 de octubre (BOE núm. 274, 15.11.1991),
de 1994 (BOE núm. 140, 13.05.1994), STC 207/1996, de 16 de diciembre (BOE núm. 19,
22.01.1997), STC 156/2001, de 2 de julio (BOE núm. 178, 26.07.2001), STC 127/2003, de
30 de junio (BOE núm. 181, 30.07.2003), y STC 196/2004, de 15 de noviembre (BOE núm.
306, 21.12.2004).
229 M B, V.; S G, H. C. Bioética y derecho. Editorial UOC, Barcelona,
2007, pp. 76 y ss.
230 Ibídem.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
98
mación como presupuesto del consentimiento informado; y, por otro lado, el deber
de información como presupuesto indispensable para llevar a cabo un tratamiento
determinado231.
Por su parte CORBELLA DUCH232 es contrario a la expresión «consenti-
miento informado». Sostiene el autor, que la información y el consentimiento son
inseparables, sin embargo, la expresión no es acertada, por un lado, aduce que la tra-
ducción que se ha hecho del derecho inglés «informed consend» es incorrecta puesto
que signica consentir después de la información, y por otro lado dice que la misma
locución «consentimiento informado» es contradictoria en tanto presupone que puede
existir un consentimiento sin información previa, lo que por denición es imposible.
Dentro del derecho comparado en el derecho argentino233, el consentimiento
informado también es de carácter obligatorio, pero los requisitos para obtenerlo son
aún más rigurosos que en España. Al enfermo le asiste el derecho de estar informado
acerca de su padecimiento, sobre la propuesta de tratamiento y terapias alternativas,
riesgos y probabilidad de resultados adversos, para poder tomar una decisión arma-
tiva. Al respecto, RODRÍGUEZ MARTÍN234 añade que:
No basta como información que el paciente lea el consentimiento. Es el médico que
va a realizar el procedimiento quien debe explicar convenientemente al paciente y
231 S-C, J. «El consentimiento informado ante el derecho: una nueva cultura». Revista
calidad asistencial. Vol. 14, núm. 2, 1999, pp. 128-144.
232 Vid. C D, J. Manual de Derecho Sanitario. Atelier, Barcelona, 2006, pp. 116 y ss.
233 En la legislación argentina, se establece la obligación de informar al paciente y a sus familiares
más cercanos de los riesgos del tratamiento indicado. Los contenidos mínimos que debe reunir
el consentimiento son: 1) Nombre y apellido del paciente y médico que informa. 2) Explicar
la naturaleza de la enfermedad y su evolución natural. 3) Nombre del procedimiento a realizar,
especicando en que consiste y como se llevará a cabo. 4) Explicar los benecios que razonable-
mente se puede esperar del tratamiento y consecuencia de la denegación. 5) Información sobre
riesgos de la cirugía (si procede), probables complicaciones, mortalidad y secuelas. 6) Planteo de
alternativas de tratamiento. 7) Explicación sobre el tipo de anestesia y sus riesgos (si conlleva).
8) Autorización para obtener fotografías, videos o registros grácos en el pre, intra y postope-
ratorio y para difundir resultados o iconografía en Revistas Médicas y/o ámbitos cientícos. 9)
Posibilidad de revocar el consentimiento en cualquier momento antes del sometimiento al tra-
tamiento. 10) Satisfacción del paciente por la información recibida y evacuación de sus dudas.
11) Fecha y rma aclarada del médico, paciente y testigos, si la hubiere. Para profundizar más el
tema, véase: la Ley 17.132 en los Artículos 896, 897, 902, 904, 905 del Código Penal Argentino
y a la Ley 21.541 Artículo 16 del Código Civil Argentino.
234 R M, J., et al. «Consentimiento Informado. ¿Un dilema ético o legal?» Revista
Argentina de Cirugía. Núm. 77, 1999, pp. 229-241.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 99
familiares sobre los diferentes tópicos arriba indicados. Esta información no debe
hacerse en una charla de pasillo, en lugares públicos o en encuentros casuales, sino con
la debida privacidad, necesaria para tal n.
En el Derecho Español, destaca la opinión de GALÁN CORTÉS235, que
deende el uso de protocolos especícos de información y consentimiento, evitando
así cualquier duda el respecto de si la información ha sido brindada correctamente y
si el paciente ha comprendido todos los parámetros de la misma.
La Jurisprudencia se ha pronunciado respecto a esto, entendiendo que, si el
médico o su equipo profesional ha brindado al paciente toda la información y le ha
explicado de forma comprensible, no meramente protocolaria, las consecuencias y
riesgos de la intervención, quedarán exonerados de responsabilidad civil, a pesar de
que se produzca el resultado de muerte236. Contrariamente, la Jurisprudencia entien-
235 Vid. G C, J. C. El Consentimiento informado del usuario de los servicios sanitarios.
Colex. Madrid, 1997, pp. 175 y ss.
236 En éste caso, el TS desestimó la demanda interpuesta por los herederos de un paciente que fue
intervenido de un quiste, con el fatídico resultado de muerte. En ésta Sentencia, el TS entendió
que al paciente se le brindó toda la información necesar ia, que el consentimiento otorgado
revestía la característica de ser informado y que la operación fue correcta en términos médicos.
A respecto sostuvo: «El paciente recibió la información necesaria que le permitió consentir o rechazar
intervención quirúrgica. Se le informó de los riesgos generales tanto del acto quirúrgico como de la
anestesia; de sus riesgos personalizados relacionados con su estado de salud o patologías que le aquejaban
y de la existencia de posibles complicaciones que pudieran aparecer en el curso de la inter vención, in-
clusive la muerte, así como de la inexistencia de un tratamiento alternativo ecaz para dar solución al
quiste pilonidal. Y ello tanto de forma escrita, sucientemente expresiva, como verbal y con antelación
bastante a la intervención, sin que pueda estimarse que la suscripción de los documentos escritos integre
en el caso litigioso mero acto protocolario. Como con reiteración ha dicho esta Sala, el consentimiento
informado es presupuesto y elemento esencial de la lex artis y como tal forma parte de toda actuación
13 y 27 de mayo de 2011), constituyendo una exigencia ética y legalmente exigible a los miembros de
la profesión médica, antes con la Le y 14/1986, de 25 de abril, General de Sanidad, y ahora, con más
precisión, con la ley 41/2002, de 14 de noviembre de la autonomía del paciente, en la que se contem-
pla como derecho básico a la dignida d de la persona y autonomía de su voluntad. Es un acto que debe
hacerse efectivo con tiempo y dedicación suciente y que obliga tanto al médico responsable del paciente,
como a los profesionales que le atiendan durante el proceso asistencial, como uno más de los que integran
la actuación médica o asistencial, a n de que pueda adoptar la solución que más interesa a su salud. Y
hacerlo de una forma comprensible y adecuada a sus necesidades, para permitirle hacerse cargo o valorar
las posibles consecuencias que pudieran derivarse de la intervención sobre su particular estado, y en
su vista elegir, rechazar o demorar una determinada terapia por razón de sus riesgos e incluso acudir
a un especialista o centro distinto, aún en aquellos supuestos en los que se actúa de forma necesaria
sobre el enfermo para evitar ulteriores consecuencias (SSTS 4 de marzo de 2011 , 8 de septiembre de
2015)». STS 1624/2016, de 12 de abril de 2016. Recurso 618/2014 (Roj: STS 1624/2016 -
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
100
de que, si bien cabe la buena praxis médica, la falta del consentimiento informado
del paciente, genera la responsabilidad del facultativo médico, y, por tanto, da dere-
cho a indemnización. Sostiene el TS que, si el médico no le informa al paciente de
todos los posibles riesgos a que se somete en una intervención quirúrgica, teniendo
en cuenta que no se trataba de una operación de urgencia sino programada, en un
paciente de alto riesgo posquirúrgico, incurre en responsabilidad237.
a) Excepciones al consentimiento
Sin embargo, el consentimiento al que se reere la Ley, y que hemos analizado
anteriormente, no será preciso cuando los datos de carácter personal son recogidos
en previsión de un imperativo legal, o para el ejercicio de las funciones propias de
las Administraciones Públicas en el ámbito de sus competencias o cuando el trata-
miento de los datos tenga por nalidad proteger un interés vital del interesado en
los términos del Artículo 7, apartado 6 de la LOPD238, o cuando los datos guren
en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del
interés legítimo perseguido por el responsable del chero o por el tercero a quien se
comuniquen los datos, siempre que no se vulneren los derechos y libertades funda-
mentales del interesado239. El RD 1720/2007, desarrolla este apartado de la Ley, en
237 En ésta Sentencia, el TS condena al médico y a su aseguradora al pago de una indemniz ación,
por no dar la información adecuada al paciente a n de que reste su consentimiento informado.
Concretamente entiende el TS que: «No informó al paciente de la gravedad de esta intervención,
ni de sus riesgos ni de las posibilidades alternativas. No se dier on por tanto los mínimos requisitos del
consentimiento informado. La sentencia del juzgado de primera instancia, partiendo de la adecuada
praxis del acto médico quirúrgico, hace descansar la responsabilidad civil del facultativo en la ausen-
cia de información médica para conseguir del paciente el oportuno consentimiento. Atendiendo a la
realidad de los hechos, y teniendo en cuenta que la operación provocó un agravamiento en el estado
del paciente, valora tal agravación en función de la ausencia de la información debida sobre el riesgo
inherente a la intervención o a la técnica operatoria empleada, y ponderando todas esas circunstancias
ja el quantum indemnizatorio en 60.101,21€, por haberse aumentado el grado de invalidez y por
el dolor sufrido. Consecuencia de lo anterior es que la responsabilidad del facultativo no nace del acto
médico quirúrgico practicado, sino del hecho de no haber facilitado la adecuada información al paciente
para que éste pudiese valorar someterse o no a la intervención quirúrgica, y hacerlo de forma consciente
y libre, conociendo las posibles consecuencias de ella». STS 1427/2016, de 8 de abril de 2016. Recur-
so 2050/2014 (Roj: STS1427/2016 – ECLI:ES:TS:2016:1427).
238 Artículo 7.6, segundo párrafo, de la LOPD. Asimismo, el RD 1720/2007, recoge el imperativo
legal del Artículo 7.6, de la LOPD, y establece en su Artículo 10.3, que: «Los datos de carácter
personal podrán tratarse sin necesidad del consentimiento del interesado cuando: c) El tratamiento de
los datos tenga por nalidad proteger un interés vital del interesado en los términos del apartado 6 del
Artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre». Al respecto, ver también el Artículo
8.2, apartados a) y c) de la Directiva 95/46/CE.
239 Artículo 6.2, de la LOPD.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 101
su Artículo 10, que contempla la posibilidad de que los datos sean tratados o cedidos
sin el consentimiento del afectado, cuando:
i) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en
particular, cuando concurra uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del
responsable del tratamiento o del cesionario amparado por dichas normas, siempre
que no prevalezca el interés o los derechos y libertades fundamentales de los interesa-
dos previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del
tratamiento cumpla un deber que le imponga una de dichas normas.
ii) Los datos objeto de tratamiento o de cesión guren en fuentes accesibles al público
y el responsable del chero, o el tercero a quien se comuniquen los datos, tenga un
interés legítimo para su tr atamiento o conocimiento, siempre que no se vulneren los
derechos y libertades fundamentales del interesado.
No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este
apartado los datos recogidos de fuentes accesibles al público a responsables de cheros
de titularidad privada cuando se encuentren autorizadas para ello por una norma con
rango de ley240.
Por lo tanto, ésta previsión normativa contenida en el primer supuesto – para
que no se requiera el consentimiento del afectado – ha de estar así regulado por
norma con rango de Ley241. Cualquier otro tipo de disposición que no tuviera esta
jerarquía, no puede mermar el consentimiento que la Ley exige de la persona intere-
sada en lo que reere a sus datos de carácter sensible.
Asimismo, si los datos son necesarios para salvaguardar la vida o integridad del
paciente y éste no puede darlo porque se encuentra impedido física o jurídicamen-
te incapacitado los datos sanitarios del mismo, serán tratados, aún sin que medie su
consentimiento. El CDOMCE242 deja en manos de la «conciencia profesional» del
médico, la decisión del tratamiento, si el enfermo no estuviese en condiciones de dar
su consentimiento por ser menor de edad, estar incapacitado o por la urgencia de la
situación, y resultase imposible obtenerlo de su familia o representante legal, en estos
casos, el médico deberá prestar los cuidados que le dicte su conciencia profesional.
241 Véase al respecto: Informe jurídico 0488/2008 de la AEPD, op. cit.
242 Artículo 10.5, del CDOMCE.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
102
Por su parte, la LAP establece taxativamente las circunstancias en las que se
exceptúa de la necesidad de contar con el consentimiento del paciente243, prescin-
diéndose, fundamentalmente, en caso de existir un riesgo para la salud pública a
causa de razones sanitarias establecidas por la Ley, o un grave riesgo para la propia
salud del paciente, en caso de no intervenir de forma inmediata.
Cabe resaltar que las excepciones al otorgamiento del consentimiento del
afectado para el tratamiento de sus datos de salud, no exime de la obligación de
informar a la persona de que sus datos van a ser tratados244.
b) Vicios del consentimiento
No obstante, como explicamos anteriormente, el consentimiento que la per-
sona brinda para que sus datos de salud sean tratados, ha de ser una manifestación
de voluntad, otorgada libremente, de forma inequívoca, especíca y que responda a
una información adecuada, veraz y certera sobre el tratamiento que se llevará a cabo
con los datos sensibles que está facilitando245. Evidentemente, la información que se
le otorga, debe ser comprensible para el paciente, evitando tecnicismos y el empleo
de recursos propios del ámbito médico, que no resulten entendibles por un paciente,
ajeno al mundo sanitario.
243 El Artículo 9, de la LAP, dispensa el consentimiento del paciente cuando: «2. Los facultativos
podrán llevar a cabo las intervenciones clínicas indispensables en favor de la salud del paciente, sin
necesidad de contar con su consentimiento, en los siguientes casos: Cuando existe riesgo para la salud
pública a causa de razones sanitarias establecidas por la Ley. En todo caso, una vez adoptadas las me-
didas pertinentes, de conformidad con lo establecido en la Ley Orgánica 3/1986, se comunicarán a la
autoridad judicial en el plazo máximo de 24 horas siempre que dispongan el internamiento obligatorio
de personas. Cuando existe r iesgo inmediato grave para la integridad f ísica o psíquica del enfermo y
no es posible conseguir su autorización, consultando, cuando las circunstancias lo permitan, a sus fa-
miliares o a las personas vincula das de hecho a él. 3. Se otorgará el consentimiento por representación
en los siguientes supuestos: Cuando el paciente no sea capaz de tomar decisiones, a criterio del médico
responsable de la asistencia, o su estado físico o psíquico no le permita hacerse cargo de su situación. Si
el paciente carece de representante legal, el consentimiento lo prestarán las personas vinculadas a él por
razones familiares o de hecho. Cuando el paciente esté incapacitado legalmente. Cuando el paciente
menor de edad no sea capaz intelectual ni emocionalmente de comprender el alcance de la intervención.
En este caso, el consentimiento lo dará el representante legal del menor después de haber escuchado su
opinión si tiene doce años cumplidos. Cuando se trate de menor es no incapaces ni incapacitados, pero
emancipados o con dieciséis años cumplidos, no cabe prestar el consentimiento por representación. Sin
embargo, en caso de actuación de grave r iesgo, según el criterio del facultativo, los padres serán infor-
mados y su opinión será tenida en cuenta para la toma de la decisión correspondiente».
244 Para profundizar más al respecto, véase: C, F., op. cit., p. .
245 Artículo 3.h), de la LOPD.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 103
Coincidimos con APARICIO SALOM246 cuando destaca entre los vicios del
consentimiento, el error en la prestación del consentimiento, puesto que para que la
manifestación de voluntad armativa sea dada conforme a la Ley, la comprensión del
alcance de lo que se está autorizando es de suma importancia. Destaca APARICIO
SALOM247 que: «cabe armar que, si la información no es completa, dicho defecto podrá
afectar a la validez de la autorización obtenida y, por tanto, a la legitimidad del t rata-
miento que se realiza respecto de los datos de quien prestó su consentimiento sin la debida
información».
Por tanto, el consentimiento ha de estar estrechamente vinculado a la na-
lidad para la cual los datos de salud son recabados, siendo necesario que la misma,
sea determinada. Y frente a esto, debemos añadir, que la nalidad ha de estar previa-
mente jada, y la recogida de datos debe siempre ser posterior, es decir, si no se sabe
exactamente para qué se necesitan los datos, no sería congruente recogerlos, porque
tampoco sabríamos con certeza qué datos son necesarios.
Se deduce de ésta premisa, la importancia del Artículo 4.2 de la LOPD, que
establece que: «Los datos de carácter personal objeto de tratamiento no podrán usarse para
nalidades incompatibles con aquellas para las que los datos hubieran sido recogidos». De
no ser así, estaríamos consintiendo el tratamiento de nuestros datos de carácter sa-
nitario creyendo que lo hacemos para una acción médica especíca y podría ocurrir
que los mismos fuesen destinados a otra nalidad.
Frente a ésta posibilidad, el legislador, pone el punto de mira en la persona
que trata los datos, para determinar su responsabilidad ante la eventualidad de la
utilización de los datos recabados para propósitos diferentes. Por tanto, en el caso de
que el encargado del tratamiento destine los datos a otra nalidad, los comunique
o los utilice incumpliendo las estipulaciones del contrato, será considerado también
responsable del tratamiento, respondiendo de las infracciones en que hubiera incu-
rrido personalmente248.
Asimismo, aún dado el consentimiento por parte del paciente, la Ley entiende
que será nulo, cuando la información que se facilite al interesado no le permita co-
nocer la nalidad a la que se destinarán los datos cuya comunicación se autoriza, o el
tipo de actividad de aquel a quien se pretenden comunicar, en caso de que los datos
246 A S, J. Estudio sobre la Ley Orgánica de Protección de Datos de carácter personal.
Edición, Aranzadi-omson Reuters, Navarra, 2009, pp. 154-157.
247 Ibídem.
248 Artículo 12.4, de la LOPD.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
104
personales recabados se cedan a un tercero249. Por lo tanto, cuando se comuniquen o
transmitan datos de salud, sólo será legítima si el paciente la autoriza y si la nalidad
es la misma para la cual se da brindado el consentimiento.
Vemos, en consecuencia, como la LOPD establece de forma imperativa que el
consentimiento debe existir, y siempre en relación con una nalidad determinada de
tratamiento del dato personal que se está revelando. En este sentido, incluso, prohíbe
la recogida y almacenamiento de datos por el mero hecho de almacenarlos250.
c) Revocación del consentimiento
Asimismo, la LOPD prevé la posibilidad de que el consentimiento sea re-
vocado siempre que exista causa justicada para ello y no se le atribuyan efectos
retroactivos251. En el mismo sentido, la LAP requiere que la revocación se realice por
escrito252.
El consentimiento prestado válidamente, puede ser revocado en cualquier
momento. Sorprende la estipulación que contiene el Artículo 7.4 de la LOPD, al
referirse a la existencia de una «causa justicada», porque resulta un concepto abso-
lutamente subjetivo. Si el paciente decide simplemente revocar su consentimiento,
no debe haber obstáculo legal para ello, toda vez que la revocación del consentimien-
to, tiene sentido antes de una práctica médica determinada. Es decir, si el paciente
ha otorgado su consentimiento para una intervención quirúrgica, y una vez operado
decide revocar ese consentimiento, evidentemente carecería de sentido porque la
actuación médica ya se materializó.
Asombra la estipulación que hace la LAP respecto a la forma en que debe
realizarse la revocación, estableciendo que la misma debe hacerse por escrito, según
el Artículo 8.5. Sin embargo, el Artículo 17 del RD 1720/2007, ja las condiciones
y el procedimiento a través del cual se permite revocar el consentimiento prestado,
ya sea de forma tácita o expresa. Para la materialización de dicha revocación, el
responsable del tratamiento debe ofrecer al interesado un medio sencillo, gratuito
y que no implique ingreso alguno para el responsable del chero o tratamiento.
Considera el RD 1720/2007 que la revocación del consentimiento puede llevarse a
249 Artículo 11.3, de la LOPD.
250 Artículo 7.4, de la LOPD.
251 Artículo 6.3, de la LOPD.
252 El Artículo 8, de la LAP establece en su apartado 5 que: «El paciente puede revocar libremente por
escrito su consentimiento en cualquier momento».
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 105
acabo mediante un envío prefranqueado al responsable del tratamiento o la llamada
a un número telefónico gratuito o a los servicios de atención al público que el mismo
hubiera establecido253.
Sostiene DOMÍNGUEZ LUELMO254 que, siendo la regla general para
otorgar el consentimiento de forma verbal, a su juicio, el legislador ha tenido en
cuenta los casos en los que el consentimiento se exige por escrito para establecer en
el caso del Artículo 8.5 de la LAP, que la revocación se realice por escrito, evitando
así dudas sobre si subsiste o no el consentimiento prestado.
Para proceder a la revocación, el responsable del tratamiento dispondrá de un
plazo de diez días. Y, en caso de haber cedido los datos, también será el responsable
del tratamiento el encargado de noticar a los cedentes para que procedan asimismo
a revocar los datos.
2.5. Conocimiento informado
La parte del conocimiento informado está directamente relacionada con el
paciente. Es él el que tiene que otorgar su consentimiento para la aplicación de cual-
quier tratamiento o intervención que el médico le haya indicado como más adecua-
do. Sin embargo, para que el enfermo sea plenamente capaz de consentir, ha de estar
debidamente informado, por tanto, el conocer exactamente y comprender todos los
parámetros que el médico le informa sobre su diagnóstico, tratamiento más adecua-
do, alternativas, secuelas, etc., es lo que denominamos conocimiento informado y le
permitirá al paciente dar su conformidad.
Por lo tanto, el conocimiento informado es la autorización que conlleva el
consentimiento informado, que hace una persona con plenas facultades físicas y
mentales para que los profesionales de la salud puedan realizar un tratamiento o
procedimiento. Es el derecho que tienen los pacientes de recibir la información com-
pleta sobre los riesgos y posibles complicaciones de un tratamiento o intervención.
Por tanto, el consentimiento es la justicación misma del acto médico, basado en
el derecho del paciente a su autonomía y autodeterminación, fundamentado en el
conocimiento informado.
253 Artículo 17, del RD 1720/2007. Para profundizar más el tema, véase: Á H, J.
op. cit., p. 64 y ss.
254 D L, A., op. cit., p. 309.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
106
Dentro del principio de autonomía de la voluntad, la persona puede aceptar o
rechazar las indicaciones del acto médico, como un tratamiento, o tomar uno que él
considere apropiado para su condición de salud, aunque no coincida con la indica-
ción médica. Pero para que se presuponga que jurídicamente se ha tenido un conoci-
miento informado, el médico debe realizar un diagnóstico e informar al paciente del
pronóstico, sobre sus circunstancias de salud, sobre las posibilidades terapéuticas o
quirúrgicas, las ventajas y los resultados esperados, los efectos secundarios, adversos,
inmediatos o tardíos como consecuencia del tratamiento o intervención, y el riesgo
previsto, de tal forma que el paciente pueda consentir en forma voluntaria y cons-
ciente.
Cabe añadir, que el conocimiento informado, implica que el paciente ha com-
prendido, ha entendido y ha interpretado de forma correcta la información médica
de quién la recibe, no bastando con brindar datos de una manera fría y mecánica,
instrumental o procedimental. Asimismo, el médico debe evaluar rigurosamente el
grado de percepción de la persona que recibe la información, y eso solo es posible
mediante una conversación abierta, sincera, con unos datos claros y precisos.
Por lo tanto, el paciente sabe de la existencia de los riesgos y otorga el con-
sentimiento conando en que el profesional actuará con la debida diligencia y con el
cuidado que le impone su profesión. Al otorgarse el consentimiento, el paciente sólo
acepta los riesgos propios del tratamiento o procedimiento, evidentemente no tiene
cabida la mala praxis médica o complicaciones que puedan surgir en la intervención
o durante un tratamiento médico255.
Sostiene JIMENA QUESADA256, que el conocimiento informado se com-
pone de dos variantes, una subjetiva que implica la autonomía de la voluntad del
paciente, y otra objetiva que implica el estado de progreso de la ciencia médica.
Coincidimos con el autor al hacer ésta puntualización, y ello nos lleva a la siguiente
reexión: por un lado, el avance de la medicina, de la investigación y los tratamientos
aplicados están cada vez más cerca de llegar a una precisión muy alta (aunque tam-
bién es menester destacar que muchas veces los tratamientos probados y ecientes
en algunos pacientes no obtienen el mismo resultado en otros enfermos o pueden
tener consecuencias diferentes, secuelas, etc.); y, por otro lado, la medicina no es
una profesión que implique la obligación de resultados, sino que se trata de una
255 Cfr. STS 1427/2016, de 8 de abril de 2016, op. cit.
256 Vid. J Q, L. «La tutela constitucional de la salud: Entre el consentimiento infor-
mado y la información consentida», en GARCÍA RUIZ, Y., et al. La salud: intimidad y liberta-
des informadas. Tirant lo blanch, Valencia, 2006, pp. 41-82.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 107
obligación de medios, es decir, el médico empleará su lex artis, sus conocimientos,
habilidades y aptitudes para llegar al mejor resultado, pero esto no quiere decir que
pueda o deba garantizar ese resultado buscado257.
2.6. Principio de seguridad
El responsable del chero y, en su caso, el encargado del tratamiento, son los
gestores que deben adoptar las medidas de índole técnica y organizativas necesarias
para garantizar la seguridad de los datos de carácter personal, con el n de evitar su
alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de
la tecnología, la naturaleza de los datos almacenados y los riesgos a los que puedan
estar expuestos, ya provengan de la acción humana, del medio físico o natural258.
Por su parte, la LAP, también establece que: «Las Comunidades Autónomas
aprobarán las disposiciones necesarias para que los centros sanitarios puedan adoptar las
medidas técnicas y organizativas adecuadas para archivar y proteger las historias clínicas
y evitar su destrucción o su pérdida accidental»259.
DEL PESO NAVARRO260 dene seguridad de la información como «la téc-
nica que permite que todas las personas autorizadas puedan acceder a la información, ésta
se encuentre disponible para ellas, que estando autorizadas podrán modicarla o variarla,
y que garantiza que quien está al otro lado de una red es quien dice ser». Por supuesto
que el autor se reere a la seguridad informática, pero la primera parte de la de-
nición que realiza, es plenamente adecuada a las medidas de seguridad que involu-
cran la gestión de los datos de salud. Ello es así, porque, tanto el médico como los
profesionales sanitarios son personas autorizadas para acceder a nuestra información
sanitaria; asimismo es su cometido modicarla o variarla en función de las consultas,
diagnóstico y tratamiento que se le realiza al paciente. Coincidimos con DEL PESO
257 T T, J.: «La protección de la salud (art. 43 CE)», en T T, J. (C-
). Los principios rectores de la política social y económica. Editorial Biblioteca Nueva, Ma-
drid, 2004, pp. 222-223.
258 Artículo 9.1, de la LOPD.
259 Artículo 14.4, de la LAP. En el mismo sentido, ver el Artículo 23.3 del Estatuto de Autonomía
de Cataluña (BOE núm. 172 de 20 de julio de 2006).
260 D P N, E., et al. Nuevo Reglamento de Protección de Datos de carácter personal. Me-
didas de Seguridad. Díaz de Santos, Madrid, 2008, pp. 291 y ss.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
108
NAVARRO261, al decir que la seguridad de la información se dene también por sus
características: condencialidad, integridad, disponibilidad y autenticidad.
En éste sentido, a continuación, explicaremos los criterios que han de obser-
varse a la hora de tratar datos de salud.
Las medidas de seguridad de los cheros de datos se clasican en tres nive-
les de seguridad, según establece el RD 1720/2007: nivel bajo, nivel medio y nivel
alto262. Estos tres niveles son acumulativos atendiendo a la naturaleza de la infor-
mación tratada y almacenada en los cheros de datos, y en relación con la menor o
mayor necesidad de garantizar la condencialidad y la integridad de la información
almacenada en dichos cheros según la LOPD263.
La aplicación acumulativa a la que hacíamos referencia ut supra, conlleva de-
terminar a qué tipo de dato se le está dando tratamiento, y en función de ello, se va
subiendo de nivel de protección. En este sentido, los tres niveles funcionan como a
continuación expondremos.
El nivel básico de seguridad, se aplica a los cheros que solo contienen datos
identicativos y, en virtud de la acumulación, se aplica a todos los niveles, es decir al
medio y al alto de seguridad. Podemos citar, por ejemplo, datos que hagan referen-
cia al nombre, domicilio, teléfono, DNI, número de aliación a la seguridad social,
fotografía, rmas, correos electrónicos, datos bancarios, edad, fecha de nacimiento,
sexo, nacionalidad, etc.
En el nivel medio de seguridad, se aplica, entre otros, a los cheros que con-
tienen datos relativos a solvencia patrimonial, operaciones nancieras y de crédito.
En éste nivel de seguridad, podemos citar, por ejemplo, los de personalidad, hábitos
de consumo, hábitos de carácter, datos de seguridad social, solvencia patrimonial y
crédito, antecedentes penales, sanciones administrativas, pruebas psicotécnicas, etc.
El nivel alto de seguridad es el que se aplica a los cheros que contienen datos
especialmente protegidos como los relativos a ideología, aliación sindical y política, re-
ligión y creencias, origen racial, salud, alimentación, bajas laborales, historias clínicas, etc.
En el ámbito de la protección de los datos vinculados a la salud, tal y como
acabamos de mencionar, ha de emplearse el nivel alto, los medios de seguridad deben
261 Ibídem.
263 Para profundizar más al respecto, véase: D P N, E.; R G, M. A.;
D P R, M. Documento de seguridad. Díaz de Santos, Madrid, 2004, pp. 45-62.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 109
extremarse a la hora de proteger estos datos especialmente sensibles. Es por ello, que
se aplica el nivel máximo de seguridad264.
Sin embargo, a éste principio general de aplicación del nivel alto de seguridad
en caso de tratarse de datos de carácter personal, hay que añadirle las excepciones
que nos plantea la misma normativa265. Si bien se trata de datos de salud, especial-
mente protegidos266, hay circunstancias en las que su conocimiento no revela en sí
una información altamente comprometida. El Artículo 81, del RD 1720/2007, con-
sagra tres excepciones a la aplicación del nivel alto de seguridad, y estas excepciones
se dan cuando:
a) Los datos se utilicen con la única nalidad de realizar una transferencia dine-
raria a las entidades de las que los afectados sean asociados o miembros.
b) Se trate de cheros o tratamientos no automatizados en los que de for ma
incidental o accesoria se contengan aquellos datos sin guardar relación con su
nalidad.
c) También podrán implantarse las medidas de seguridad de nivel básico en los
cheros o tratamientos que contengan datos relativos a la salud, referentes ex-
clusivamente al grado de discapacidad o la simple declaración de la condición
de discapacidad o invalidez del afectado, con motivo del cumplimiento de
deberes públicos.
En estos casos, lo que se busca a través de la información recopilada es
simplemente conocer si el afectado está sujeto a algún tipo de benecio o está
exento del mismo, la realización de una transferencia bancaria, etc., por citar algún
ejemplo. Se trata de tres excepciones al nivel alto de seguridad, que vincula estre-
chamente el tratamiento de los datos recabados con la nalidad para los cuales
son requeridos. En el mismo sentido, MARTÍNEZ MARTÍNEZ267 sostiene que:
«los tres casos tienen en común un elemento esencial que relaciona el tratamiento con la
nalidad del mismo».
264 El Artículo 83, del RD 1720/2007, establece lo siguiente: «3. Además de las medidas de nivel
básico y medio, las medidas de nivel alto se aplicarán en los siguientes cheros o tratamientos de datos
de carácter personal: a) Los que se re eran a datos de ideología, aliación sindical, religión, creencias,
origen racial, salud o vida sexual».
266 Artículo 7.3, de la LOPD.
267 M M, R. (coordinador). Protección de Datos. Comentarios al Reglamento de de-
sarrollo de la LOPD. Tirant lo Blanch, Valencia, 2009, pp. 99 y ss.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
110
Consideramos por ello, que exigir un nivel alto de seguridad en estos ca-
sos sería excesivo, aunque, no hay que olvidarse que éste tipo de datos de carácter
sensible lo requiere. En ésta línea se mantiene MARTÍNEZ MARTÍNEZ268 que
apunta que: «Se trata de supuestos en los que el objeto que persigue el responsable no es el
conocimiento del estado de salud sino la simple comprobación de un dato objetivo para el
cumplimiento de un deber público». Y cita el autor un ejemplo muy ilustrativo: «Se trata
de cuestiones como el cálculo y la práctica de las retenciones del IRPF o la atribución de
benecios y ayudas sociales como una matrícula gratuita».
2.7. Principio de conf‌idencialidad y secreto médico
En el ámbito sanitario, la protección de datos y la condencialidad de los
mismos, va intrínsecamente relacionado con el secreto médico269. Su fundamento
se encuentra en la relación de condencialidad entre el médico y el paciente. SISO
MARTÍN270 explica que. el posicionamiento del secreto en la gura de la conden-
cialidad, introdujo un cambio conceptual y normativo. En un principio existía la
obligación profesional y general del médico de guardar secreto (el Juramento Hi-
pocrático271 es el ejemplo evidente), pero sin el correlativo derecho del paciente. El
secreto médico se asentaba en obligaciones deontológicas, no legales. Hoy con la
obligación de condencialidad, el secreto es exigible como un derecho del titular
de la información, a que acceda sólo quien debe y a que se maneje bajo condiciones
legales. De este modo, según explica SISO MARTÍN, la exigencia de condencia-
lidad del usuario se complementa, en un solapamiento absoluto, con la obligación
de secreto de quien recibe la condencia. Este es el modo de que sea ecaz la pro-
268 Ibídem.
269 Vid. S J, M. E. «Algunas cuestiones relativas al derecho de información y al
deber de secreto profesional en un supuesto de responsabilidad médica». Derecho y Salud. Vol.
10, núm. 2, julio-diciembre 2002, pp. 162 y ss.; S C, C. La intimidad y el secreto
médico. Díaz de S antos, Madrid 2000, pp. 191-222.; S G, M. A. Intimidad y
condencialidad: su concepto e importancia. I Jornadas de Protección de Datos sanitarios en la
Comunidad de Madrid, Mapfre, Madrid, 2000, pp. 55 y ss.
270 S M, J. «Responsabilidad profesional en secreto médico», en Ponencia del Master
en valoración médica de la incapacidad laboral y dependencia. Tema 2, Universidad de
Alcalá, Disponible en Internet: -
DICO%20-%20RESPONSABILIDAD%20PROFESIONAL.pdf> [Consulta: 23 marzo
2017].
271 Disponible en Internet: .pdf> [Consulta:
23 marzo 2017].
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 111
tección, porque, tal como explica el autor, un derecho no es nada sin un sistema de
garantías que lo sustente.
Al respecto, la CE dentro del Título I referido a los Derechos y Libertades
fundamentales, hace referencia a que la Ley regulará el secreto profesional272. Asi-
mismo, la LOPD establece en su Artículo 10 que:
El responsable del chero y quienes intervengan en cualquier fase del tratamiento
de los datos de carácter personal están obligados al secreto profesional respecto de
los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de
nalizar sus relaciones con el titular del chero o, en su caso, con el responsable del
mismo.
Por su parte, la LAP entiende que: «1. Toda persona tiene derecho a que se respete
el carácter condencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos
sin previa autorización amparada por la Ley»273. Asimismo, establece en su Artículo 1
apartado 7, que: «La persona que elabore o tenga acceso a la información y la documenta-
ción clínica está obligada a guardar la reserva debida».
También, se reconoce el derecho a la condencialidad de toda la informa-
ción relacionada con el proceso asistencial del paciente, y con su estancia en insti-
tuciones sanitarias públicas y privadas que colaboren con el sistema público, según
la LGS274.
En el mismo sentido, es un imperativo médico y así queda recogido en el
CDOMCE que promulga que el secreto médico es uno de los pilares en los que se
fundamenta la relación médico-paciente, basada en la mutua conanza, cualquiera
que sea la modalidad de su ejercicio profesional275. El secreto comporta para el mé-
dico la obligación de mantener la reserva y la condencialidad de todo aquello que el
paciente le haya revelado y conado, lo que haya visto y deducido como consecuencia
de su trabajo y tenga relación con la salud y la intimidad del paciente, incluyendo
272 Artículo 20.1.d), de la CE.
273 Artículo 7, de la LAP.
274 Artículo 10.3, de la LGS. Resulta interesante y esclarecedor, el Artículo 6, de la Ley 8/2001,
de 13 de julio, de Protección de Datos de Carácter Personal de la Comunidad de Madrid, que
dispone que: «El responsable del chero y quienes intervengan en cualquier fase del tratamiento de
los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aun después de nalizar sus relaciones con el titular del chero
o, en su caso, con el responsable del mismo».
275 Artículo 27.1, del CDOMCE.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
112
el contenido de la historia clínica276. Incluso el CDOMC va más allá, y obliga al
médico a preservar en su ámbito social, laboral y familiar, la condencialidad de
los pacientes277. Apreciamos por tanto la rigurosidad que emplea el CDOMC con
respecto al secreto médico que se debe guardar, no ya sólo referido al contenido de la
historia clínica, sino a las condencias entre paciente y médico que frecuentemente
ocurren en base a esa relación estrecha que nutre tal relación de conanza.
Además, el secreto médico constituye un deber no sólo del médico que inter-
viene, sino que se extiende a todo el personal sanitario que tienen acceso al paciente,
ya sea la enfermera en la misma consulta, el equipo médico en una intervención, o el
personal administrativo que gestiona los datos de salud del paciente278, poniéndose
el énfasis en el médico principal la facultad de exigir esa discreción y observancia
estricta del secreto profesional.
Así también, el secreto profesional, es una obligación que perdura en el tiem-
po. El médico debe guardar secreto de todo lo que el paciente le haya conado y de
lo que de él haya conocido en el ejercicio de la profesión y la muerte del paciente
no exime al médico del deber del secreto279. Vemos, en ésta parte nal, que tanto el
CDOMCE como la LOPD, han querido dejar de maniesto que el deber de con-
dencialidad ha de mantenerse y perpetuarse en el tiempo, con indiferencia de la
extinción de la relación del paciente con el médico en cuestión o incluso la muerte
del paciente, puesto que estamos ante una información especialmente sensible, tal
como explicamos al principio de éste libro.
A nivel internacional, la Asociación Médica Mundial (WMA, en inglés)280,
ha publicado una serie de normas que resultan obligatorias en el ámbito ético del
desarrollo de la profesión sanitaria. Al respecto, el Código Internacional de Ética
Médica dispone que el médico debe guardar absoluto secreto de todo lo que se le
haya conado, incluso después de la muerte del paciente. Asimismo, establece que:
276 Artículo 27.2, del CDOMCE.
277 Artículo 27.7, del CDOMCE.
278 Artículos 29.1 y 29.2., del CDOMCE.
279 Artículo 28.5, del CDOMCE.
280 Ver al respecto el apartado referido a los deberes de los médicos hacia los enfermos, del Código
Internacional de Ética Médica, adoptado por la 3ª Asamblea General de la AMM, Londres,
Inglaterra, octubre 1949 y enmendado por la 22ª Asamblea Médica Mundial, Sydney, Aus-
tralia, agosto 1968 y la 35ª Asamblea Médica Mundial, Venecia, Italia, octubre 1983. Aso-
ciación Médica Mundial (WMA, en inglés). Disponible en Internet:
es/30publications/10policies/c8/> [Consulta: 6 agosto 2016].
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 113
«El médico debe respetar los derechos del paciente, de los colegas y de otros profesionales de la
salud, y debe salvaguardar las condencias de los pacientes». En igual sentido, promulgó
la denominada Declaración de Ginebra281, que contiene las promesas que los mé-
dicos han de realizar para ejercer la profesión, establece en una de sus disposiciones
que el médico debe: «Guardar y respetar los secretos conados a mí, incluso después del
fallecimiento del paciente».
En este punto, ha de hacerse una breve referencia, acerca del acceso a los datos
de un paciente fallecido. Debemos puntualizar en este sentido, que la LOPD no le-
gisla sobre el particular, aunque cabe destacar que es la AEPD, así como las Agencias
que algunas Comunidades Autónomas poseen, las encargadas de pronunciarse ante
este tipo de cuestiones. Hasta el momento, la AEPD permite a los familiares de un
paciente fallecido, acceder al historial clínico y solicitar al responsable del chero, la
cancelación de sus datos.
Sin embargo, y a pesar del deber de secreto que obliga a todos los profesiona-
les de la medicina282, el CDOMCE, admite la revelación del secreto médico, man-
teniendo que, con discreción, exclusivamente ante quien tenga que hacerlo, en sus
justos y restringidos límites y, si lo estimara necesario, solicitando el asesoramiento
del Colegio, el médico podrá revelar el secreto en los siguientes casos283:
(i) En las enfermedades de declaración obligatoria.
(ii) En las certicaciones de nacimiento y defunción.
(iii) Si con su silencio diera lugar a un perjuicio al propio paciente o a otras perso-
nas, o a un peligro colectivo.
(iv) Cuando se vea injustamente perjudicado por mantener el secreto del paciente
y éste permita tal situación.
281 Declaración de Ginebra, adoptada por la 2ª Asamblea General de la AMM, Ginebra, S uiza,
septiembre 1948 y enmendada por la 22ª Asamblea Médica Mundial, Sydney, Australia, agosto
1968 y la 35ª Asamblea Médica Mundial, Venecia, Italia, octubre 1983 y la 46ª Asamblea Ge-
neral de la AMM, Estocolmo, Suecia, septiembre 1994. Asociación Médica Mundial. Disponi-
ble en Internet:
CION-DE-GINEBRA_A4_ESP.pdf> [Consulta: 6 agosto 2016].
282 Artículo 14, del CDOMC, establece en su apartado 1 que: «El secreto médico es inherente al
ejercicio de la prof esión y se establece como un derecho del paciente a salvaguardar su intimidad ante
terceros». Y seguido, agrega que: «El secreto profesional obliga a todos los médicos cualquiera que sea la
modalidad de su ejercicio».
283 Artículo 30, del CDOMCE.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
114
(v) En caso de malos tratos, especialmente a niños, ancianos y discapacitados
psíquicos o actos de agresión sexual.
(vi) Cuando el médico sea citado por el Colegio Profesional para testicar en
materia disciplinaria.
(vii) Aunque el paciente lo autorice, el médico procurara siempre mantener el se-
creto por la importancia que tiene la conanza de la sociedad en la conden-
cialidad profesional.
(viii) Por imperativo legal:
a) En el parte de lesiones, que todo médico viene obligado a enviar al juez
cuando asiste a un lesionado.
b) Cuando actúe como perito, inspector, médico forense, juez instructor o
similar.
c) Ante el requerimiento en un proceso judicial por presunto delito, que
precise de la aportación del historial médico del paciente, el médico
dará a conocer al juez que éticamente está obligado a guardar el secreto
profesional y procurará aportar exclusivamente los datos necesarios y
ajustados al caso concreto.
Al respecto, reconoce EGUISQUIZA BALMASEDA284, la tutela de intere-
ses colectivos, reconocidos socialmente, ha llevado a que se compela a los profesio-
nales de la medicina a informar de lo conocido por su actividad profesional cuando
se produzcan determinadas situaciones. Este deber está previsto legalmente para tres
materias: la actuación ante los Tribunales de Justicia, las enfermedades de declara-
ción obligatoria y las anotaciones registrales.
MARTÍ MERCADAL y BUISÁN ESPELETA285, entienden que no hay
un derecho absoluto del paciente a su condencialidad, lo cual compartimos am-
pliamente. Nosotros entendemos que la realidad social obliga al médico a revelar
en según qué circunstancias, informaciones concernientes a la salud de su paciente
y ello hace que el derecho no pueda ser considerado absoluto. Podríamos decir que
estamos ante un derecho absoluto de condencialidad médico-paciente, si la Ley
no prevé las excepciones a las cuales aludimos en este punto. Por tanto, el deber de
284 E B, Mª Á. Protección de datos: Intimidad y salud. Aranzadi, Navarra, 2009,
pp. 36 y ss.
285 M M, J. A.; B E, L. El secreto profesional en la medicina. Espasa
Calpe, Madrid, 1988, p. 81.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 115
secreto legislado en el Artículo 10 de la LOPD, no es ni mucho menos que una
premisa imperativa, sino que admite excepciones tal como se ha comentado ut supra.
a) Sanciones en el ámbito Penal respecto a la revelación de secretos
El Código Penal (en adelante, CP), castiga con prisión la revelación de secre-
tos. De manera general, el descubrimiento y la revelación de secretos286, con penas de
prisión de uno a cuatro años y multa de doce a veinticuatro meses. Y serán castigados
con una pena de prisión de tres a cinco años cuando los hechos afecten a datos de ca-
rácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida
sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesi-
tada de especial protección, se impondrán las penas previstas en su mitad superior.
Y, en caso de tratarse de un médico en ejercicio de su profesión, la pena se
agrava con la inhabilitación para el desempeño de su trabajo. Así, el CP establece que:
1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su
ocio o sus relaciones laborales, será castigado con la pena de prisión de uno a tres
años y multa de seis a doce meses. 2. El profesional que, con incumplimiento de su
obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con
la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabi-
litación especial para dicha profesión por tiempo de dos a seis años287.
Sin embargo, ese deber de sigilo cede ante lo preceptuado por el Artículo 262,
de la Ley de Enjuiciamiento Criminal, consagra que:
Los que por razón de sus cargos, profesiones u ocios tuvieren noticia de algún delito
público, estarán obligados a denunciarlo inmediatamente al Ministerio scal, al Tri-
286 Artículos 197, 197 bis, 197 ter y 197 quater, del Código Penal. Para profundizar más al respecto,
véase: M P, F. «El Código Penal y la protección de datos personales». Jornadas sobre
el Derecho Español de la protección de datos personales. Agencia de Protección de Datos, Madrid,
1996.; M-P R, J. M. «La Protección penal del secreto médico en el
derecho español». Actualidad Laboral. Núm. 20. Semana del 4 al 10 de marzo, 1996.
287 Artículo 199, del Código Penal. La peculiaridad penal reside en que este tipo de delitos son
perseguidos a instancia de una denuncia, salvo que se trate de casos que afecten a una pluralidad
de personas o vulnere intereses generales, según el Artículo 201, del Código Penal. En Argen-
tina, la Ley 25.326, inciso 1º del Artículo 10, obliga al encargado del tratamiento de los datos
sensibles a mantener la condencialidad de los datos cuyo conocimiento ha tenido en razón o
con ocasión de su profesión, y la ley es más rigurosa aún que en España, y únicamente permite
que estas personas puedan ser relevadas de este deber de secreto por resolución judicial y cuando
medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
116
bunal competente, al Juez de instrucción y, en su defecto, al municipal o al funcionario
de policía más próximo al sitio, si se tratare de un delito agrante.
Los que no cumpliesen esta obligación incurrirán en la multa señalada en el artículo
259, que se impondrá disciplinariamente.
Si la omisión en dar parte fuere de un profesor de Medicina, Cirugía o Farmacia y
tuviese relación con el ejercicio de sus actividades profesionales, la multa no podrá ser
inferior a 125 pesetas ni superior a 250.
Se aprecia en el caso de los facultativos médicos, que ellos sí tienen deber de
informar de hechos delictivos de los que puedan tener conocimiento, contrariamente
a lo que ocurre en nuestra esfera de Abogados, o a los Procuradores y Eclesiásticos.
Pero entendemos que la diferencia estriba en que la Ley ampara el derecho de de-
fensa y el derecho de libertad religiosa, de nuestros clientes, en el ámbito legal, y de
los creyentes en el ámbito religioso, aun existiendo el deber de secreto, cosa que en el
ámbito médico deja de prevalecer.
2.8. Transparencia o publicidad en el tratamiento
SANCHEZ CARO y ABELLÁN288 entienden que la transparencia en el
tratamiento de los datos va relacionada con la obligatoriedad de que se informe al
interesado sobre el objetivo del tratamiento de sus datos personales, sobre la iden-
tidad del responsable del mismo y, en su caso, de su representante, y sobre cualquier
otro elemento preciso para garantizar un trato leal.
Este principio implica que el interesado conozca quién es el responsable del
chero, quién es el personal que inter viene en el tratamiento, qué datos se poseen,
y para qué serán utilizados. Además, comporta la garantía de que se lleven a cabo
las revisiones pertinentes en los sistemas de tratamiento de datos, conforme a la
normativa vigente.
Cabe resaltar que el principio de transparencia requiere que el interesado pue-
da ejercer sus derechos de información, además de los derechos de acceso, rectica-
ción y oposición, como a continuación se desarrollará en relación con los derechos
del paciente.
288 S-C, J.; A, F. Datos de salud y datos genéticos. Comares, Granada, 2004, p. 4.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 117
3. Derechos del paciente respecto
a su historia clínica
La LOPD289 regula los derechos de acceso, recticación, cancelación y opo-
sición (denominados derechos ARCO), que poseen los pacientes para ejercer la ob-
servancia y control, sobre sus datos de salud290. La LAP291 recoge sólo el derecho de
acceso a la historia clínica y a la conservación de los datos. A continuación, analiza-
remos en qué consiste cada uno de éstos derechos en relación con los datos sanitarios
del individuo contenidos en su historia clínica (en adelante, HC).
3.1. Acceso
El derecho de acceso a los propios datos, consiste en que el interesado puede
solicitar acceder a la información que sobre sus datos de salud existe en posesión del
médico o del centro asistencial.
La persona afectada está facultada por la Ley para solicitar la información que
existiere relacionada a su persona. El Artículo 15.1, de la LOPD permite al paciente
conocer qué datos de salud obran en su HC. El interesado tendrá derecho a solicitar
y obtener gratuitamente información acerca de sus datos de carácter personal some-
tidos a tratamiento, sobre el origen de dichos datos, así como sobre las comunicacio-
nes realizadas o que se prevean hacer de los mismos.
Este derecho de acceso a los propios datos, evita que se mantengan datos
erróneos, incompletos o falsos, de manera que el afectado pueda ejercer ante esto
su derecho de recticación, cancelación u oposición. Los centros sanitarios deben
contemplar y regular un procedimiento, con el n de garantizar la observancia del
derecho de acceso a los propios datos del paciente, contenidos en su HC.
La LOPD al referirse a la calidad de los datos, establece que: «Si los datos de
carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos,
serán cancelados y sustituidos de ocio por los correspondientes datos recticados o completa-
289 Artículos 15, 16 y 17, de la LOPD.
290 Vid. C R, Mª B. Derechos de acceso, recticación, cancelación y oposición en el nuevo
reglamento de desarrollo de LOPD. Tirant lo Blanch, Valencia, 2008, pp. 201 y ss.
291 Artículos 18 y 7.2, de la LAP.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
118
dos, sin perjuicio de las facultades que a los afectados reconoce el artículo 16»292. El Artículo
16, de la LOPD consagra el derecho a la recticación o cancelación si fuese nece-
sario, en caso de que los datos de carácter personal tratados en la HC del paciente
no se ajusten a lo dispuesto por la LOPD o cuando tales datos resulten inexactos o
incompletos.
Así también, la Directiva 95/46/CE al tratar el acceso del interesado a sus
datos293, maniesta fundamentalmente que los Estados miembros, tienen la obliga-
ción de garantizar a los interesados el derecho de conocer si existen datos sobre ellos,
cuál es el origen de esos datos y para qué van a ser tratados. Y, mantiene la Directiva
95/46/CE, que éste derecho debe poder ejercerse libremente, sin restricciones y sin
gastos excesivos. Observamos como se contempla la posibilidad de imponer algún
tipo de coste, pero el legislador español ha preferido establecer este derecho de ac-
ceso a los propios datos, para el interesado, sin que ello le conlleve gasto alguno294.
En Cataluña también se ha legislado en su Estatuto de Autonomía sobre el
particular, estableciéndose que todas las personas, con relación a los ser vicios sani-
tarios públicos y privados, tienen derecho a ser informadas sobre los servicios a que
pueden acceder y los requisitos necesarios para su uso; sobre los tratamientos médi-
cos y sus riesgos, antes de que les sean aplicados; a dar el consentimiento para cual-
292 Artículo 4.4, de la LOPD.
293 El Artículo 12, de la Directiva 95/46/CE, sostiene que: «Los Estados miembros garantizarán a
todos los interesados el derecho de obtener del responsable del tratamiento: a) libremente, sin restriccio-
nes y con una periodicidad razonable y sin retrasos ni gastos excesivos:
la conrmación de la existencia o inexistencia del tratamiento de datos que le conciernen,
así como información por lo menos de los nes de dichos tratamientos, las categorías de
datos a que se reeran y los destinatarios o las categorías de destinatarios a quienes se
comuniquen dichos datos;
la comunicación, en forma inteligible, de los datos objeto de los tratamientos, así como toda
la información disponible sobre el origen de los datos;
el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos re-
feridos al interesado, al menos en los casos de las decisiones automatizadas a que se reere
el apartado 1 del artículo 15;
b) en su caso, la recticación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste
a lasdisposiciones de la presente Directiva, en particular a causa del carácter incompleto o
inexacto de los datos;
c) la noticación a los tercer os a quienes se hayan comunicado los datos de toda recticación,
supresión o bloqueo efectuado de confor midad con la letra b), si no resulta imposible o supone
un esfuerzo desproporcionado».
294 Artículo 17.2, de la LOPD.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 119
quier intervención; a acceder a la historia clínica propia, y a la condencialidad de los
datos relativos a la salud propia, en los términos que se establecen por Ley295. Por su
parte, la Ley 2/2004, del País Vasco296, reconoce en su Artículo 8, el procedimiento
para el ejercicio de los derechos de los interesados, es decir, los derechos ARCO, sin
que ello pueda dar lugar a ningún tipo de contraprestación.
Para poder ejercer el derecho de acceso que nos ocupa, el paciente puede
solicitar la información mediante la mera consulta de los datos por medio de su vi-
sualización, o la indicación de los datos que son objeto de tratamiento mediante es-
crito, copia, telecopia o fotocopia, certicada o no, en forma legible e inteligible, sin
utilizar claves o códigos que requieran el uso de dispositivos mecánicos especícos297.
Asimismo, el derecho de acceso del paciente a la HC puede ejercerse también
a través de un representante, pero dicha representación, según exige la Ley, ha de
estar debidamente acreditada298. Aquí cabe preguntarse si ésta representación tiene
un plazo de duración, o, por el contrario, una vez otorgada por el paciente, no tiene
«caducidad» alguna. Creemos que la solución frente a esto, es que el escrito de repre-
sentación contemple, como requisito, una duración, o, que contenga la formula, hasta
su revocación. Pero sí que vemos necesaria una consideración al respecto, porque, de
lo contrario, puede hacerse un uno indebido de una representación otorgada para
una circunstancia puntual, e incluso, pueden coexistir varias representaciones, con el
consiguiente inconveniente del centro de salud al no saber a quién proporcionarle la
información requerida.
También, según nuestro punto de vista, sorprende la previsión que hace el
Artículo 15.3, limitando dicho acceso a un plazo de doce meses. Es decir, salvo que
295 Artículo 23.3, del Estatuto de Autonomía de Cataluña. Asimismo, en el Artículo 31 del Esta-
tuto de Autonomía de Cataluña, se consagra el derecho a la protección de los datos personales
diciendo que: «Todas las personas tienen derecho a la protección de los datos personales contenidos en
los cheros que son competencia de la Generalitat y el derecho a acceder a los mismos, a su examen y a
obtener su corrección».
296 El Artículo 8, de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de
Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, especica que:
«1. Los interesados podrán ejercitar los derechos de oposición, acceso, recticación, cancelación y cuales-
quiera otros que les reconozca la ley. El contenido material de los mismos será el determinado en la ley.
2. Cada administración, institución o corporación regulará reglamentariamente el procedimiento para
el ejercicio de los derechos señalados en el número anterior, en relación con los cheros de su titularidad
a los que es de aplicación esta Ley. No se exigirá contraprestación alguna por ello».
297 Artículo 15.2, de la LOPD.
298 Artículo 18.2, de la LAP.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
120
determinadas circunstancias relevantes hagan necesario un acceso más frecuente,
la LOPD señala que dicho acceso no se podrá realizar en intervalos más cortos de
doce meses. Entendemos que dicha previsión la tuvo en cuenta el legislador para
evitar colapsos de gestión a la hora de pacientes que soliciten el acceso a sus datos
de forma constante. Pero, ésta previsión legal nos parece desacertada y que carece
de trascendencia jurídica, toda vez que, si un paciente necesita acceder a los datos
de salud contenidos en su HC, es por alguna razón en concreto, es decir, porque,
por ejemplo, porque ha de someterse a una segunda opinión de un médico privado,
porque quiere conocer si los datos de salud son correctos, etc., pero una vez realizado
esto, no necesitará nuevos accesos a los mismos, porque, salvo que se someta a más
tratamientos o consultan, los datos contenidos no sufrirán modicación alguna. Es
por ello, que entendemos que es una previsión legal vacía de relevancia.
No obstante, el derecho al acceso del paciente a la documentación contenida
en su HC, no puede ejercitarse en perjuicio del derecho de terceras personas a la
condencialidad de los datos que constan en ella, recogidos en interés terapéutico
del paciente, ni en perjuicio del derecho de los profesionales participantes en su
elaboración, los cuales incluso, pueden oponer al derecho de acceso la reserva de sus
anotaciones subjetivas, tema que desarrollaremos más adelante.
Finalmente, en caso de personas fallecidas, los centros sanitarios sólo facili-
tarán el acceso a la HC, a las personas vinculadas al difunto, por razones familiares
o, de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así conste
acreditado, por ejemplo, con un testamento vital. En cualquier caso, el acceso de un
tercero a la HC motivado por un riesgo para su salud se limitará a los datos perti-
nentes. No se facilitará información que afecte a la intimidad del fallecido, ni a las
anotaciones subjetivas de los profesionales, ni que perjudique a terceros299.
3.2. Derecho a rectif‌icación o cancelación
de los datos erróneos
Una vez vericado el derecho de acceso por parte del paciente, si constata
que la información contenida en su HC no es correcta, tiene el derecho de solicitar
la recticación de los datos erróneos, inexactos, incorrectos o incompletos, a n de
ser corregidos, o, incluso, su cancelación, si lo que preere es que no consten deter-
minados datos. En éste caso, el responsable del tratamiento tendrá la obligación de
299 Artículo 18.4, de la LAP.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 121
hacer efectivo el derecho de recticación o cancelación del interesado en el plazo de
diez días.
Si lo que se solicita, es la cancelación, entonces ésta dará lugar al bloqueo de
los datos, conservándose únicamente a disposición de las Administraciones Públicas,
de los Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas
del tratamiento, durante el plazo de prescripción de éstas300. Una vez se cumpla di-
cho plazo, se deberá proceder a la supresión. Ante ésta previsión legal, detectamos
un inconveniente, y ello es el desconocimiento por parte de los facultativos médicos
o centros de salud de los plazos de prescripción para dirimir posibles responsabilida-
des, que varía signicativamente según se trate de responsabilidad civil, y dentro de
ella, en los amplios ámbitos que puedan generarse, y a su vez, los plazos de responsa-
bilidad penal y que puedan originarse que no coinciden con el ámbito civil.
Por lo tanto, dicha estipulación en la LOPD, puede acarrear un problema, y
es, a tenor de lo manifestado, que el centro de salud, preera mantener los datos, a
pesar de obrar una solicitud de cancelación por parte del paciente, solamente a los
nes de exonerarse de posibles responsabilidades, tal y como está legislado. Por tan-
to, el ejercicio del derecho que tiene atribuido el paciente, no se vería materializado,
obstaculizado, en parte, por la misma previsión legal.
3.3. Derecho de oposición de los interesados
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el
tratamiento de sus datos de carácter personal o se cese en el mismo en determinados
supuestos:
(i) Cuando no sea necesario su consentimiento para el tratamiento, como con-
secuencia de la concurrencia de un motivo legítimo y fundado, referido a su
concreta situación personal, que lo justique, siempre que una Ley no dispon-
ga lo contrario301.
(ii) Cuando se trate de cheros que tengan por nalidad la realización de activi-
dades de publicidad y prospección comercial302.
300 Articulo 16, de la LOPD.
LA PROTECCIÓN DE DATOS DE CARÁCTER SENSIBLE: HISTORIA CLÍNICA DIGITAL Y BIG DATA EN SALUD
Lucia Cristea Uivaru
122
(iii) Cuando el tratamiento tenga por nalidad la adopción de una decisión refe-
rida al afectado y basada únicamente en un tratamiento automatizado de sus
datos de carácter personal. Es decir, los interesados tienen derecho a no verse
sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de
manera signicativa, que se base únicamente en un tratamiento automatizado
de datos destinado a evaluar determinados aspectos de su personalidad, tales
como su rendimiento laboral, crédito, abilidad o conducta303.
Tanto la normativa de la Unión Europea304 como la nacional305, contemplan
la posibilidad de que la persona afectada pueda oponerse al tratamiento de sus datos.
La Directiva 95/46/CE delimita las razones que puedan dar lugar a una opo-
sición en el tratamiento de los datos de carácter personal, estableciendo que el inte-
resado puede realizar dicha oposición en cualquier momento, y por razones legítimas
propias de su situación particular, a que los datos que le conciernan que sean objeto
de tratamiento, salvo cuando la legislación nacional disponga otra cosa306.
Por su parte, la LOPD prevé también la posibilidad del afectado a oponerse al
tratamiento de sus datos, en los casos en los que no sea necesario el consentimiento
del afectado para el tratamiento de los datos de carácter personal, y siempre que una
Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan
motivos fundados y legítimos relativos a una concreta situación personal. En tal
supuesto, el responsable del chero excluirá del tratamiento los datos relativos al
afectado307. La normativa impone un plazo de diez días, muy breve desde nuestro
punto de vista, para que el encargado del tratamiento de los datos haga efectiva la
oposición solicitada por un interesado308.
Finalmente, y común a todos los derechos ARCO, es la circunstancia que no
se puede exigir contraprestación alguna para ejercer los derechos de oposición, acce-
so, recticación o cancelación309.
305 Artículos 34, 35 y 36, del RD 1720/2007; Artículo 17, de la LOPD.
307 Artículo 6.4, de la LOPD.
309 Artículo 17.2, de la LOPD.
PARTE I | CAPÍTULO II | NORMATIVA PARA LA REGULACIÓN DEL DATO DE SALUD 123
Conclusión
Según todo lo analizado anteriormente, queda plasmada la necesidad de que
las personas conozcan fehacientemente si sus datos personales de salud son tratados,
y en ese caso, se deberá conocer quién los trata y con qué nalidad. Ello facilitará
ejercer los derechos que la normativa otorga a los interesados. También es menester
que las personas tomen conciencia de la importancia que reviste que sus datos sani-
tarios puedan ser conocidos por terceros, y ello debe llevarlos a la conclusión de velar
por su protección.
Creo fervientemente que las personas aún no han tomado conciencia de la
magnitud de datos que se manejan diariamente, y lo sencillo que resulta que se
recopilen, y que los mismos tarde o temprano, pueden afectar a nuestra esfera más
íntima, personal y hacernos vulnerables.
Tan sólo pensemos que manejamos teléfonos móviles que podemos activar
con nuestra huella dactilar, pero, ¿alguien se ha puesto a pensar que en verdad lo que
estamos haciendo es proporcionar nuestros datos biométricos a una plataforma que
los registra y almacena, que ni siquiera está en España, y por tanto escapa a nuestra
normativa en materia de protección de datos? Sin embargo, son prácticas cotidianas,
que nos facilitan el día a día, el estar conectados, poder trabajar, mantener una vida
social, etc., pero que al día de hoy desconocemos el «precio» de suministrar tan lige-
ramente nuestros datos más personales.

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR