sábado, 11 de marzo de 2000

Ficheros automatizados con datos sobre Salud

Desde HispaSec ya se viene hablando de la seguridad en los datos
personales desde que salieron las leyes que lo regulaban, así la
antigua LORTAD de 1992 vigente hasta principios de año, y la actual
LPD que también regula el tema. Esta última bastante continuista de
la anterior exige el consentimiento inequívoco (artículo. 6) del
particular cuando sus datos personales vayan a formar parte de un
fichero automatizado.
La ley regula para los llamados datos sensibles (la ideología,
religión, creencias, afiliación sindical, origen racial, salud, vida
sexual o comisión de infracciones penales o administrativas) un
sistema de protección reforzada.

¿Hay algún dato más privado que la historia clínica de una persona?.
Para la Ley, parece que no. De hecho le da el tratamiento de mayor
seguridad, veamos:

La especial naturaleza del fichero sanitario, se demuestra en la
regulación que recibía en la LORTAD y sigue otorgándole la LOPD.

La ley permite el tratamiento de datos relativos a la salud cuando
éste resulte necesario "para la prevención o para el diagnóstico
médico o la gestión de servicios sanitarios" (artículo 7.6) o "para
salvaguardar el interés vital del afectado o de otra persona, en el
supuesto de que el afectado esté física o jurídicamente incapacitado
para dar su consentimiento" (artículo 7.6.2).

La ley exige que el tratamiento de los datos se realice por un
profesional sanitario sujeto al secreto médico o por otro persona
igualmente sujeta "a una obligación equivalente de secreto".
El secreto médico abarca hoy día según la doctrina y la
jurisprudencia al equipo clínico y médico, teniendo el paciente
derecho a la confidencialidad de toda la información relacionada con
su enfermedad e incluso con su estancia en el centro sanitario
(art. 10.3 y 61 Ley General Sanidad).

Este es el refuerzo legal que establece, es decir, además de tratarlo
como "dato sensible" obligado a todas las medidas legales que se
establecen, está protegido también por el secreto profesional. Lo
cual quiere decir que en caso de violación del mismo, el enfermo
tendría dos vías de defensa como mínimo, así la propia L.P.D
(protección de datos), la LGS (y deontología profesional), y la Ley
Orgánica de Protección al Honor, la Intimidad y la Propia Imagen.

La ley dedica el artículo octavo, a la recogida y tratamiento de los
datos de salud, y completa la regulación del artículo 7.3 al añadir
que los centros sanitarios y los profesionales (médicos privados)
podrán proceder a la automatización de los datos de salud "de las
personas que a ellos acudan o hayan de ser tratados en los mismos"
de acuerdo con lo dispuesto en la legislación sanitaria estatal (es
decir, Ley General de Sanidad , Ley del Medicamento, Ley de Medidas
Especiales en materia de Salud Pública). En otras palabras, se
pueden establecer Bases de datos Sanitarios de la población.


Para la comunicación a terceros de los datos personales sobre salud
se establece un requisito doble: el consentimiento del afectado por
un lado, y la legitimidad y relación íntima del fin al que va a
servir la entrega, por otro.

Excepción a la regla.- No será necesario el consentimiento cuando
los destinatarios de los ficheros sean la Justicia (Ministerio
Fiscal, y/o Jueces), ni cuando la cesión se produce entre
Administraciones Públicas y los fines de la cesión sean
estadísticos o científicos, me pregunto hasta que punto esto puede
ser constitucional, sobre todo la cesión para materias estadísticas.
Existe también la excepción para los casos de estudio epidemiológico
y para los casos de urgencia, aunque la ley no especifica que sea un
caso de urgencia (supongo que quedará al arbitrio del médico
establecer si es o no urgente, es decir se introduce un aspecto
subjetivo totalmente peligroso para dicho tratamiento de datos).


El artículo 9 habla de la seguridad de los ficheros, y dice que por
vía reglamentaria se establecerán los requisitos y condiciones que
deberán reunir tanto las personas que intervengan en el tratamiento
de los datos especialmente protegidos (o sensibles) como los
propios ficheros. Es decir, se esperan modificaciones en breve, y
mientras tanto sigue en vigor el Reglamento de Medidas de Seguridad
de los Ficheros Automatizados. Lo cual quiere decir que sobre estos
datos pesan las siguientes medidas de seguridad a tomar por
empresas, organismos públicos y administradores de sistemas o bases
de datos.


Al ser datos sobre salud, requieren el "nivel alto de seguridad",
se han de identificar las personas que pueden acceder a los
ficheros, informar de la existencia de copias de seguridad o de
respaldo, hay normas propias sobre traslado y guarda de ficheros.
Además, es necesario realizar una auditoría cada dos años para
verificar el cumplimiento de las normas de seguridad. La auditoría
puede realizarse de tres formas: a través del autodiagnóstico, con
una auditoría interna y con un servicio de auditoría externo. La
no incorporación de estos sistemas de seguridad tiene establecido
multas de 10 a 50 millones de pts.

Por supuesto, además, estos datos tienen la protección del Código
Penal, así su artículo 197.4 que se aplica a los responsables de
ficheros con penas de 3 a 5 años, regula este artículo el
apoderamiento, utilización y modificación de datos de carácter
personal o familiar, en perjuicio de tercero y sin estar
autorizado, y también regula-prohibe el acceso a sistemas sin
autorización aunque no haya perjuicio. Como agravante se establece
la difusión, revelación o cesión a terceros, y el ánimo de lucro.
Las penas van de 1 a 5 años.




Eusebio del Valle
evalle@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada