Datos de salud y datos genéticos

Es un motivo de satisfacción poder presentar el libro Datos de salud y datos genéticos. Su protección en la Unión Europea y en España, escrito de Javier Sánchez-Caro y Fernando Abellán, autores ya consagrados en el ámbito del Derecho Sanitario. Ambos han escrito distintos libros entre los que destacaría La historia clínica, Telemedicina y protección de datos sanitarios y Derechos y deberes de los pacientes y tienen por ello la consideración de expertos en la materia que no requieren ya de presentación 1. Mi actividad profesional me ha deparado la oportunidad de mantener una interesante relación profesional con uno de los dos autores de este libro, Javier Sánchez-Caro, cuando él era Jefe de los Servicios Jurídicos del Instituto Nacional de la Salud y yo acababa de ser nombrado Director de Gabinete de la Subsecretaría del Ministerio de Sanidad y Consumo, relación profesional que se ha reanudado de nuevo él como Director de la Unidad de Bioética y Orientación Sanitaria de la Consejería de Sanidad y Consumo de la Comunidad de Madrid y yo como Director de la Agencia de Protección de Datos de la Comunidad de Madrid 2. Menciono ambas situaciones para que se me permita afirmar -como testigo directo- cómo la Administración sanitaria se ha beneficiado siempre de la brillantez y del rigor intelectual de Javier Sánchez Caro, que ha enriquecido y ha dado seguridad jurídica a la actividad sanitaria pública desde finales de los años 70. Si el mayor activo de la Administración pública es el conocimiento que atesoran sus funcionarios, esta afirmación es especialmente evidente en el caso de uno de los autores de este trabajo.

El libro que tengo la satisfacción de prologar analiza la protección de los datos de salud y de los datos genéticos, que son también datos de salud. Los autores estudian cómo afecta al régimen jurídico de la protección de los datos de salud de las personas la recientemente aprobada Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Así, se analizan los derechos básicos de los ciudadanos en materia de protección de datos sobre salud, sin olvidar las dificultades para la aplicación de la Ley, analizando también las especificidades que presenta la protección de datos en algunos ámbitos como los ensayos clínicos, la reproducción humana asistida o la farmacia comunitaria. Un apartado con relevancia propia es el análisis de la protección de los datos genéticos. En el se analizan tanto los datos genéticos, los datos proteómicos y las muestras biológicas y, en general, algunos conflictos bioéticos y jurídicos que provoca la información genética. Por último, los autores exponen la doctrina elaborada hasta la fecha por el Tribunal Constitucional y por los distintos Tribunales de Justicia, sin olvidar algunas resoluciones e informes de la Agencia Española de Protección de Datos.

Antes de abordar el problema de la protección de los datos de salud y de los datos genéticos de las personas, hay que recordar, como ya henos hecho en alguna otra ocasión, que las tecnologías de la información y la comunicación son un instrumento muy positivo para la actividad sanitaria que redunda en la mejora de la calidad asistencial de los pacientes. Proyectos como la historia clínica electrónica y la tarjeta sanitaria, que requieren el establecimiento de depositorios de información sanitaria básica del ciudadano que permita poner a disposición de cada ciudadano sus datos sanitarios y de los profesionales información sanitaria sobre sus pacientes contribuyen al progreso de la atención sanitaria de los ciudadanos. Lo mismo se puede decir de proyectos como la información sanitaria personalizada a través de la red, la posibilidad de ofrecer servicios interactivos como la cita previa, la receta electrónica o los proyectos de telemedicina 3. Además, los sistemas sanitarios públicos se encuentran con un aumento de las demandas de los ciudadanos, que requieren cada vez más prestaciones, lo que obliga a aumentar la eficiencia en el ahorro del gasto corriente. Las tecnologías de la información facilitan el almacenamiento de las pruebas diagnósticas, evitando su repetición y permiten reducir el tiempo que el personal facultativo dedica a la gestión -a la búsqueda de la información-, con la mejora consiguiente en la atención a los pacientes. Por tanto, las tecnologías de la información se constituyen en un auténtico motor del cambio y del progreso en la calidad asistencial y en la equidad en el acceso a las prestaciones 4. Lo mismo se puede decir de la investigación genética, que tiene que ser aprovechada para la mejora del derecho a la salud.

Lógicamente, estos proyectos deben ser compatibles con los derechos de las personas a las que queremos ofrecer una mejor atención. Como señala el documento Principios Éticos de la Sanidad en la Sociedad de la Información, elaborado por el Grupo Europeo de Etica de la Ciencia y de las Nuevas Tecnologías en su dictamen para la Comisión Europea, de 30 de julio de 1999, existen en este campo importantes valores en conflicto ya que la sociedad de la información y la comunicación afecta a la privacidad de las personas 5. La búsqueda de la calidad asistencial a través del control en el desempeño de la actividad sanitaria mediante protocolos, guías y pautas clínicas conlleva el manejo de datos personales. La mejora de la efectividad del trabajo y la autonomía de los profesionales requiere en muchas ocasiones el tratamiento masivo de información de los pacientes. Igualmente, existe un interés social que comprende los beneficios colectivos de la investigación médica, de la planificación sanitaria, de las políticas de prevención y de salud pública, actividades éstas que se materializan sobre información sanitaria de personas. Al mismo tiempo, la necesidad de buscar la eficiencia en el recurso a las prestaciones sanitarias requiere una información precisa que permita adaptar y equilibrar los recursos para evitar dar a unos pacientes unos cuidados más costosos en detrimento de los cuidados más básicos y necesarios de otras personas 6.

Por tanto, todos los proyectos de mejora de la actividad asistencial sanitaria, tanto aquellos que se apoyan sobre las tecnologías de la información y la investigación genética, como aquellos otros vinculados a políticas de calidad y de evaluación del desempeño tienen que ser desarrollados respetando los derechos de las personas reconocidos en nuestra Constitución. En especial, el art. 18.1 garantiza "el derecho al honor, a la intimidad personal y familiar y a la propia imagen", al tiempo que el art. 18.4 CE señala que la ley "limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar y el pleno ejercicio de los derechos". Así, el Tribunal Constitucional ha reconocido un derecho específico a la protección de datos personales en la reciente Sentencia 292/2000, de 30 de noviembre, definiéndolo como el derecho que tiene toda persona a controlar sus datos personales, lo que le faculta para decidir quién posee esos datos, y para qué los va a usar, pudiendo oponerse a esa posesión o uso. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -LOPD- señala como objeto "garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, de su honor, intimidad personal y familiar". Esta Ley tiene como ámbito de aplicación "los datos personales registrados en soportes físicos, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos", art. 2 7.

La LOPD establece para todos los tratamientos de datos personales y, por tanto, también para los tratamientos de datos de salud un conjunto de principios de protección de datos -arts. 4-12 LOPD- y unos derechos de los pacientes en este ámbito -arts. 13-19 LOPD 8. Así, el responsable del fichero debe garantizar la calidad de los datos, el principio de información en la recogida de los mismos o el principio de consentimiento inequívoco del afectado. Sin embargo, este principio general de consentimiento del afectado presenta en el ámbito sanitario un conjunto de excepciones que no siempre son claras. Así, a pesar de que los datos de salud son datos especialmente protegidos, que "sólo podrán ser recabados, tratados y cedidos cuando así lo disponga una ley o el afectado consienta expresamente" -art. 7 9-, la propia LOPD autoriza los tratamientos de datos sanitarios, junto con otros datos especialmente protegidos como el origen racial, la religión o la vida sexual "cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto". Este sería el sentido y el desarrollo de la excepción del consentimiento del art. 6.2 LOPD "cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del afectado" 10. No obstante, parece que lo más adecuado es mantener que el propio art. 7 prevé una excepción general del consentimiento para el tratamiento de estos datos con finalidad sanitaria 11. Esto estaría justificado en la vertiente objetiva -prestacional- del derecho a la vida, que anima toda la gestión sanitaria. Además, el art. 8 vuelve a autorizar expresamente que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes "podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad". En esta dirección, el art. 11 señala que no será preciso el consentimiento cuando "la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica". La Directiva Comunitaria 95/46, de 24 de octubre, apunta la presencia de otros intereses generales como los estudios epidemiológicos, las situaciones de riesgo grave para la salud de la colectividad, la investigación y los ensayos clínicos, que, cuando estén incluidos en normas de rango de Ley, pueden justificar una excepción motivada a los derechos del paciente, lo que implica previsión legal 12.

El ejercicio del derecho a la oposición al tratamiento de datos personales no se encuentra expresamente regulado en la LOPD, salvo la mención indirecta del art. 6.5. No obstante, la oposición a los tratamientos de datos sanitarios no se produce en la práctica dada la finalidad de la actividad sanitaria. En todo caso, como señala Martín Casallo, de producirse dicha oposición, podría evidentemente ser rechazada en aplicación de un criterio de primacía del derecho a la vida frente al derecho a la intimidad 13.

En todo caso, hay que reconocer que la LOPD es confusa y representa un ejemplo de técnica legislativa deficiente, además de que no es fácilmente adaptable a las peculiaridades propias de la realidad asistencial. Así, el principio general de información expresa, precisa e inequívoca para el tratamiento de los datos personales -art. 5 LOPD- debe ser armonizado con las exigencias del normal funcionamiento de la actividad sanitaria, de manera que, como señalan los autores de este libro, no todos los actos asistenciales repetitivos o múltiples requieran la aplicación formal de este principio. En muchas ocasiones, la existencia de un fichero de datos personales o la finalidad de la información recabada se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. Como señalan los autores, en todo caso, el cumplimiento de este principio de información podría llevarse a efecto en el momento de la entrada en el sistema sanitario bajo diferentes formas -por ejemplo, en el momento de la obtención de la tarjeta individual sanitaria-, pero sería de muy difícil implantación, por no decir imposible, en cada uno de los actos sanitarios que se lleven a cabo con los pacientes o usuarios y que requieran un nuevo tratamiento de datos personales. Es necesario, por tanto, una regulación específica que adapte la normativa general de protección de datos a la realidad sanitaria y que contemple también otras garantías frente al tratamiento de otros datos de salud derivados de la investigación genética, de los avances de la biotecnología y de la clonación terapéutica 14.

Muy recientemente, se ha aprobado la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica 15, que representa una regulación específica de los tratamientos de datos sanitarios que se materializan a través de los distintos documentos de información y documentación clínica 16. La aprobación de esta norma viene a paliar parcialmente la posible insuficiencia de la LOPD para regular la problemática específica de los tratamientos de datos sanitarios.

La Ley 41/2002, de 14 de noviembre, desarrolla los principios de calidad, información, consentimiento y seguridad de los datos en el ámbito de la información y de la documentación clínica. Así, por una parte, se regula el principio de calidad de los datos en las historias clínicas, definiendo su contenido mínimo 17. Pero, además, establece un deber nuevo de tratamiento de datos por parte del facultativo. Así, el art. 15 señala que "la historia clínica incorporará la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente. Todo paciente tiene derecho a que quede constancia, por escrito o en soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales realizados por el servicio de salud, tanto en el ámbito de la atención primaria como de la atención especializada" 18. Igualmente, se resalta el principio de calidad y de seguridad al indicar que las Administraciones sanitarias "establecerán los mecanismos que garanticen la autenticidad del contenido de la historia clínica y de los cambios operados en ella, así como la posibilidad de su reproducción futura -art. 14.3-. Así, se establece en el art. 19 que el paciente tiene derecho a que los centros sanitarios establezcan un mecanismo de custodia activa y diligente de las historias clínicas. Si hasta ahora no existía certeza jurídica sobre cuándo las historias clínicas han dejado de ser necesarias o pertinentes o cuando pueden ser canceladas, esta Ley establece un plazo básico de custodia de las historias clínicas. Así, el art. 17 expresamente señala que los centros sanitarios están obligados a conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, y como mínimo cinco años desde la fecha del alta de cada proceso asistencial 19.

La Ley 41/2002, de 14 de noviembre, regula el derecho de acceso a la historia clínica, del que es titular el paciente, y trata de poner fin a las denegaciones de este derecho. El art. 18 señala que el paciente tiene el derecho de acceso a la documentación de la historia clínica y a obtener una copia de los datos que figuran en ella. Esta obligación se extiende tanto al centro sanitario público como al centro sanitario privado. Su omisión es una lesión grave del derecho fundamental a la protección de los datos y justifica la apertura de un procedimiento contencioso administrativo o un procedimiento civil preferente y sumario de tutela de los derechos fundamentales. Lógicamente, el derecho de acceso del paciente a la documentación de la historia clínica tiene como límite el derecho de terceras personas a la confidencialidad de los datos que hacen constar en ellas, recogidos en interés terapéutico del paciente; es decir, el derecho de acceso no puede ir en perjuicio de los derechos de los profesionales sanitarios, los cuales pueden negar el derecho de acceso a las anotaciones subjetivas -art. 18.3-. De esta forma, los datos aportados por terceros y las anotaciones personales del médico que no constituyan propiamente juicios clínicos no formarían parte de la historia clínica y no serían objeto del derecho de acceso. Esta Ley recoge así los principios de los textos internacionales y una jurisprudencia ya firme del Tribunal Supremo 20.

La Ley señala que "el titular del derecho a la información es el paciente" -art. 5-. Así, se indica que "toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley". Sin embargo, se establece también qué personas pueden acceder a la información clínica del paciente, tratando de esta forma de resolver situaciones conflictivas. Por una parte, se reconoce que tienen acceso a la historia clínica los profesionales sanitarios del centro que realizan el diagnóstico o el tratamiento del paciente porque este acceso es instrumento fundamental para su adecuada asistencia -art. 16.1- 21. Por otra, se regula el derecho de información y acceso de los familiares del paciente. Así, en relación con la información asistencial, se indica que serán informadas las personas vinculadas a él, por razones familiares o de hecho, en la medida que el paciente lo permita de manera expresa o tácita 22. En caso de fallecimiento del paciente, los centros sanitarios y los facultativos facilitarán el acceso a la historia clínica a las personas vinculadas a él por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite 23. Por último, se regula el acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia. Inicialmente, el acceso a la historia clínica con estos fines debe ser disociado, lo que obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial. No obstante, se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico-asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente -art. 16.3-. El acceso a los datos de los órganos judiciales está vinculado a otro derecho, el de tutela judicial efectiva -art. 24 CE-, que tiene el mismo nivel de derecho fundamental que el derecho a la intimidad. De hecho, el propio conocimiento de los Tribunales es la garantía de todos los derechos. El acceso a la historia clínica por parte de los órganos judiciales no plantea ningún inconveniente cuando se cuenta con la autorización del paciente. En el caso de que ésta no dé, el médico podría invocar el secreto profesional -art. 24.2 CE-. El problema es que este secreto profesional está en contradicción, no con la voluntad del órgano judicial sino con el derecho a la tutela judicial efectiva de otro ciudadano. Este conflicto entre el derecho a la intimidad y a la protección de los datos personales y el derecho a la tutela judicial efectiva debe ser valorado y resuelto por el juez, no por el médico. Es decir, no le corresponde al médico valorar la solicitud judicial y la intimidad del paciente y decidir en consecuencia; la tutela de los derechos y la resolución de los conflictos está en el Estado de Derecho en manos de los jueces, única instancia independiente, inamovible, responsable y sometida únicamente al imperio de la Ley -art. 117 CE-.

Si bien es cierto que la legislación de protección de datos personales no se adapta plenamente a la realidad sanitaria, también es verdad que la LOPD admite la posibilidad de que los responsables de los ficheros y tratamientos puedan ampliar o adecuar la regulación de protección de datos a las peculiaridades del sector en el que operan, mediante la aprobación de unos Códigos Tipo. Estos establecen una serie criterios interpretativos de las disposiciones de la LOPD, dirigidas a implantar un régimen homogéneo de protección de datos de carácter personal entre los miembros de un sector 24. No obstante, la adhesión al Código Tipo en ningún caso modifica el régimen de obligaciones establecido por la LOPD y por el resto de normativa vigente en materia de protección de datos 25. Como ejemplos de Códigos Tipo para el sector sanitario que figuran inscritos en la Agencia Española de Protección de Datos, los autores analizan los promovidos a instancia de sendas agrupaciones empresariales de centros sanitarios catalanes, constituidas en 1977: el Código Tipo de la Agrupación Catalana de Establecimientos Sanitarios (ACES), y el Código Tipo de la Unión Catalana de Hospitales (UCH) 26.

Tiene un particular interés el estudio de la protección de los datos genéticos de las personas. De entre los datos sobre la salud de las personas, los datos genéticos tienen que ser objeto de una especial protección porque contienen informaciones muy específicas no solo respecto del individuo en cuestión sino también sobre los miembros de su familia consanguínea. Si bien la información genética primaria, relativa a la especie humana como tal, pertenece al dominio público y no permite una identificación del individuo, la información genética secundaria identifica plenamente a la persona y a las patologías que le afectan o le pueden afectar. Se habla así de identidad genética, que sería la dimensión individual de la información genética y que se correspondería con la constitución genética de la persona (su ADN); de individualidad genética, asociada a la dimensión familiar de la información y que se traduciría en la expresión fenotípica de la persona con sus propensiones, predisposiciones y factores de riesgo; y por último, de la integridad genética, que abarcaría los aspectos sociales de la genética humana y en la que sería necesario articular mecanismos contra la discriminación 27.

Los datos genéticos reflejan la individualidad de la persona y aportan una información de su salud pasada, presente y futura, siendo el máximo exponente de la medicina predictiva y preventiva. Sin embargo, el tratamiento de los datos genéticos es susceptible de generar importantes repercusiones en el estilo de vida de los individuos e, incluso, puede condicionar sus opciones reproductivas o puede permitir la aparición de criterios de "normalidad genética". Son muchos los riesgos inherentes a un recurso inadecuado a la información genética. A primera vista, el principal riesgo es la posible vulneración del derecho a la intimidad -art. 18.1 CE-, en su dimensión de intimidad genética, que ha sido definida como el derecho a determinar las condiciones de acceso a la información genética 28. Además, como describe Rodríguez Seoane, un tratamiento indebido de los datos genéticos puede representar una vulneración de la libertad personal -art. 17.1 CE- y del libre desarrollo de la personalidad -art. 10.1 CE-, ya que supone una pérdida o minoración de la capacidad de autodeterminación de los individuos 29. Además, el tratamiento indebido de la información genética puede afectar al principio de igualdad de oportunidades -art. 14 CE- ya que el conocimiento de las predisposiciones genéticas de un individuo podría llegar a producir discriminaciones en el ámbito social o laboral 30.

Estas Declaraciones establecen el principio de consentimiento informado del interesado para la obtención de sus datos genéticos y también para cruzar datos genéticos y proteómicos 34. Además, estos datos no pueden utilizarse con una finalidad distinta que sea incompatible con el consentimiento original, a menos que se haya obtenido un nuevo consentimiento, o que el derecho interno disponga que la utilización propuesta responde a motivos importantes de interés público. Así, cualquier regulación sobre el uso y acceso a la información genética debe partir de la previa necesidad de obtener el consentimiento del afectado. No obstante, este consentimiento no será en muchas ocasiones suficiente. En situaciones de desempleo, como señalan los autores, es conocida la predisposición a aceptar cualquier tipo de condición para obtener un trabajo, prestándose este consentimiento por necesidades materiales y no por el ejercicio de la libertad personal. Como señalan los autores, se debe limitar al máximo la posibilidad de recurrir a los datos genéticos en el ámbito laboral y de las compañías de seguros para realizar evaluaciones prospectivas de las personas, como garantía del principio de igualdad y de la supresión de toda discriminación. "Reducir las posibilidades de cualquier persona para contratar un seguro de vida o enfermedad podría dar lugar a una organización social que clasificara a los individuos en función de su predisposición genética, estableciendo jerarquías sociales con arreglo a dicho criterio, lo que a la postre supondría una reducción de la ciudadanía y la negación del derecho fundamental a la salud". Por ello, la investigación y el consejo genético se encuentran justificados principalmente en el ámbito médico para la determinación de una enfermedad genética existente -finalidad diagnóstica-, del hecho de ser portador de un gen responsable de una enfermedad o de tener predisposición o susceptibilidad genética a una enfermedad 35.

También debe limitarse la utilización de datos genéticos para evitar que los criterios de justicia social sean desvirtuados. Hasta ahora las desigualdades naturales eran consideradas producto del azar. Si en el futuro está en nuestro poder el prevenir lo que ahora consideramos la desgracia de una constitución enfermiza -un sistema inmune débil- o el padecimiento de una enfermedad degenerativa como puede ser la demencia de Alzheimer, quizá ya no la podamos considerar una desgracia sino que lleguemos a la conclusión de que la persona que sufre estas discapacidades, bien por falta de información a sus progenitores, bien por falta de posibilidades de acceso de estos últimos al consejo genético, es objeto de una injusticia.

Estas son algunas reflexiones que se encuentran en el libro de Javier Sánchez-Caro y Fernando Abellán Datos de salud y datos genéticos. Su protección en la Unión Europea y en España. Si toda labor investigadora tiene que tener necesariamente una finalidad social, este libro cumple sobradamente esta dimensión.





Antonio TRONCOSO REIGADA

Director de la Agencia de Protección de Datos

de la Comunidad de Madrid