La Directiva 95/46/CE de protección de las personas frente al tratamiento de sus datos personales y de la libre circulación de estos datos no incluye una definición expresa de los datos relativos a la salud, por lo que, generalmente, se aplica un concepto amplio. A este respecto, el SEPD se ha mostrado muy favorable a la adopción de una definición más concreta de la expresión «datos relativos a la salud» tanto en el contexto de la propuesta de directiva sobre derechos de los pacientes en la asistencia sanitaria transfronteriza, como en el marco de futuros textos jurídicos pertenecientes a la CE
Madrid, 23 de junio 2009 (medicosypacientes.com)
La propuesta de Directiva sobre derechos de los pacientes en la asistencia sanitaria transfronteriza, de la que se ha venido informando en anteriores boletines ?Europa al día?, del Departamento de Internacional del Consejo General de Colegios de Médicos, se enmarca dentro de un programa más ambicioso encaminado a mejorar la salud de los ciudadanos en la sociedad de la información, ámbito en el que la UE ve grandes posibilidades gracias al uso de las nuevas tecnologías.
La creación de un marco comunitario que regule la asistencia sanitaria transfronteriza exige el intercambio, entre organizaciones y profesionales sanitarios autorizados, de datos sobre la salud de los pacientes que se consideran sensibles y se incluyen entre las normas más rigurosas de protección de datos previstas en el artículo 8 de la Directiva 95/46/CE.
Por este motivo, se ha consultado oficialmente al Supervisor Europeo de Protección de Datos (SEPD), que es una autoridad de control independiente cuya misión principal es garantizan que las instituciones y órganos de la Unión Europea respeten el derecho fundamental de la protección de datos de carácter personal.
Así, y como se informa en el último boletín «Europa al Día», es la primera vez que se consulta al Supervisor Europeo de Protección de Datos sobre una propuesta de Directiva en el ámbito de la asistencia sanitaria. El SEPD ha aprovechado esta oportunidad para formular observaciones de carácter más general y poner de manifiesto las dificultades a las que se va a enfrentar la UE para la adopción de un planteamiento uniforme de protección de datos en la asistencia sanitaria, en particular por lo que atañe al uso de tecnologías TIC.
Hasta ahora, se han llevado a cabo varias iniciativas importantes en el contexto del programa general de la CE para mejorar la salud de los ciudadanos en la sociedad de la información, como por ejemplo: la Directiva y la Comunicación sobre donación y el trasplante de órganos humanos; la Recomendación sobre la interoperabilidad transfronteriza de los sistemas de historiales médicos electrónicos; así como la comunicación prevista sobre la telemedicina.
Entre estas disposiciones no hay nexos o interconexiones en materia de protección de la intimidad y seguridad de los datos, por lo que aún no existe una perspectiva general claramente definida de la protección de la intimidad en la asistencia sanitaria.
Esto mismo se observa en la presente propuesta, en la que el SEPD lamenta que no se abordan de manera concreta las repercusiones en el ámbito de la protección de datos. Es cierto que pueden encontrarse menciones relativas a la protección de datos, pero éstas son principalmente de carácter general y no reflejan adecuadamente las necesidades y exigencias específicas de la asistencia sanitaria transfronteriza en lo que respecta a la protección de la intimidad.
Definición de datos relativos a la salud
Los datos relativos a la salud se consideran una categoría especial de datos, que son acreedores de una protección superior, tal como lo señaló recientemente el Tribunal Europeo de Derechos Humanos en el contexto del artículo 8 del Convenio Europeo de Derechos Humanos: «La protección de los datos personales, en concreto de los datos médicos, es de esencial importancia en el disfrute de un individuo del derecho al respeto de su vida privada y familiar, tal y como garantiza el artículo 8 del Convenio».
La Directiva 95/46/CE no incluye una definición expresa de los datos relativos a la salud por lo que, generalmente, se aplica un concepto amplio que los define como datos personales que tienen una relación clara y estrecha con la descripción del estado de salud de una persona.
En este sentido, los datos relativos a la salud incluyen:
?datos médicos (por ejemplo, derivaciones de pacientes y recetas médicas, protocolos de exploración clínica, pruebas de laboratorio, radiografías, etc.),
?datos financieros y administrativos relativos a la salud (por ejemplo, documentos relativos a hospitalizaciones, número de la seguridad social, programación de citas médicas, facturas por la prestación de servicios de asistencia sanitaria, etc.).
La norma ISO 27799 define los «datos relativos a la salud» como: «cualquier información relacionada con la salud física o mental de una persona o con la prestación de un servicio sanitario a la persona, que puede incluir:
- Información sobre el registro de la persona a efectos de la prestación de servicios sanitarios.
- Información sobre pagos o sobre la posibilidad de la persona de acogerse a la asistencia sanitaria.
- Un número, símbolo o seña particular atribuido a una persona para identificarla de manera exclusiva a efectos sanitarios.
- Cualquier información sobre la persona recabada en el curso de la prestación de servicios sanitarios a esa persona.
- Información derivada de pruebas clínicas o del examen clínico de una parte del cuerpo o de una sustancia corporal.
- Identificación de una persona (profesional sanitario) como proveedor de asistencia sanitaria a la persona».
El SEPD es muy favorable a la adopción de una definición concreta de la expresión «datos relativos a la salud» en el contexto de la presente propuesta, que podría utilizarse también en el futuro en el marco de otros textos jurídicos pertinentes de la CE.
Conclusiones del SEPD
El Supervisor Europeo de Protección de Datos considera, por tanto, que las actuales disposiciones de la propuesta en materia de protección de datos son excesivamente generales, no fijan requisitos específicos de protección de la intimidad y se refieren a las responsabilidades de los Estados miembros de manera algo selectiva y dispersa.
Además, como ya se ha mencionado, no existe nexo ni referencia alguna a los aspectos relativos a la intimidad abordados en otros instrumentos jurídicos de la CE en el ámbito de la asistencia sanitaria, especialmente en relación con el uso de nuevas aplicaciones de TIC, como la telemedicina o las historias clínicas electrónicas.
Por último, el SEPD formula una serie de recomendaciones consistentes en cinco fases básicas de modificación que son: descripción de los datos relativos a la salud; introducción de un artículo específico relativo a la protección de datos; disposición específica sobre armonización de la seguridad; integración de la protección de la intimidad en el modelo de receta médica electrónica; y utilización ulterior de los datos relativos a la salud con fines estadísticos y de seguimiento.
Normativa europea sobre protección de datos relativos a la salud
El artículo 8.1 de la Directiva 95/46/CE declara expresamente que los Estados miembros prohibirán el tratamiento, entre otras cosas, de los datos relativos a la salud. En los apartados siguientes de este artículo se recogen diversas excepciones a esta norma, Por ejemplo, la prohibición no se aplicará si el interesado ha dado su consentimiento explícito (art. 8.2.a). El artículo 8.3 establece que no se aplicará la prohibición del apartado 1 cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.
El apartado 4 del artículo 8, por ejemplo, permite que los Estados miembros establezcan otras excepciones a la prohibición del tratamiento de datos sensibles por motivos de interés público importantes, siempre que se dispongan las garantías adecuadas. Con esto se subraya, en líneas generales, la responsabilidad de los Estados miembros de poner especial cuidado en el tratamiento de datos sensibles, como son los relativos a la salud.
A pie de página se incluye este proyecto de Dictamen del SEPD.
Enlaces relacionados:
- Boletín ?Europa al día? 294. «Derechos de los pacientes en la asistencia sanitaria transfronteriza. Informe del Supervisor Europeo de Protección de Datos»
- Departamento de Internacional del Consejo General de Colegios de Médicos
