acceso y cesión de la información genética contenida en la historia … · 2011. 9. 26. · nio...

RESUMENUna de las cuestiones más delicadas relacionadas con el trata-miento de los datos genéticos en el sector sanitario, es la relati-va a las posibilidades de acceso y uso de esta información,objeto de interés para terceros ajenos al ámbito sanitario. Elobjetivo del estudio, es delimitar los requisitos, condiciones ysujetos que pueden tener acceso a la información contenida enla historia clínica. Para ello, se ha analizado críticamente la nor-mativa internacional y nacional que regula el tratamiento deestos datos, delimitando los conceptos legales, los principiosfundamentales que rigen su protección y los derechos del afec-tado en relación con el tratamiento de este tipo de información.Se ha detectado la ausencia en el Ordenamiento jurídico espa-ñol de una norma específica que regule el tratamiento de losdatos genéticos y de una mención particular dentro de las nor-mas que regulan los derechos del paciente en materia de docu-mentación clínica, al reconducir la protección de la informacióngenética a la categoría genérica de datos relativos a la salud y alas normas reguladoras de los mismos. Esto se traduce en unainsuficiente protección para esta información de carácter perso-nal, cuya divulgación puede colocar al individuo en una situaciónde vulnerabilidad frente a intereses de terceros. Por ello, ha deapelarse a una aplicación estricta de los principios y derechosque rigen en materia de protección de datos, pues los derechosfundamentales constituyen un pilar básico a tener en cuenta enel tratamiento de los datos genéticos.

Palabras clave:

Historia clínica. Información genética. Habeas data. Derechosdel paciente. Información personal.

ABSTRACT One of the most delicated questions in relation with thegenetic data processing in the health sector, is the relative tothe access and use possibilities of this information, an inte-rest point for third persons outside the health area. Theobjective of this investigation is to delimit the requisites, con-ditions and individuals who can access to the informationcontent in the case-history. For that, it has been criticallyanalyzed the international and national guidelines whichregulate the data treatment, delimiting the legal concepts,the fundamental principles that rules its protection and therights of the affected in relation with the treatment for thiskind of information. It has detected the absence of a specificnorm in the Spanish Legislation which rules the genetic datatreatment and a particular mention inside the norms thatrules the patient´s rights in the matter of clinic documents,to renew the protection of the genetic information to thegeneric category of data relative to the health and the rulednorms of selfsame. That means, no enough protection forthis personal information, for which circulation can cause avulnerable situation to the individual in relation with third per-sons. For that, it is necessary a severe application of theprinciples and rights that rules in matter of data protection,because the fundamental rights are one of the main pointsto take in account in the genetic data treatment.

Key words:Medical records, genetic information, patients rights, personalgenetic data.

Acceso y cesión de la información genéticacontenida en la historia clínica (2.ª parte)

«The access and use possibil i t ies of the geneticinformation content in medical records»

CorrespondenciaA. Garriga Domínguez

Despacho 25Facultad de Derecho. Universidad de Vigo

As Lagoas s/n 32004 Ourense

Este trabajoha sido subvencionado por

FUNDACIÓN MAPFRE, a través de una beca deinvestigación, convocatoria 2003/2004

Garriga Domínguez A. 1

Álvarez González S. 2

Ricoy Casas R. M. 3

1 Profesora Titular de Filosofía del Derechode la Universidad de Vigo.

2 Profesora Asociada de Filosofía del Derechode la Universidad de Vigo

3 Becaria Predoctoral de la Universidad de Vigo.Área de Filosofía del Derecho (Departamento deDerecho Privado). Facultad de Derecho de laUniversidad de Vigo.

MAPFRE MEDICINA, 2006; 17 (3): 172-201

METODOLOGÍA

Se ha abordado una investigación de carácter fun-damentalmente jurídico, si bien orientada a la apli-cación práctica y no meramente a un nivelespeculativo teórico. La metodología empleada prin-cipalmente ha consistido en la búsqueda y estudio delas fuentes de producción y de conocimiento de losmarcos normativos de referencia –nacionales, comu-nitarios e internacionales–, así como en el análisis delas instituciones productoras y aplicadoras de dichasfuentes –administrativas y judiciales–. A la conse-cución de dichos materiales debe añadirse la de losestudios que sobre ellos y con más significación se hanrealizado. Obtenidos los materiales, se ha procedidoa su análisis y comprensión, sistematización y refle-xión sobre puntos clave, causas, consecuencias ypropuestas a adoptar. Finalmente, se han agrupadosistematizadamente los resultados de la investigaciónpara su exposición conjunta y utilizable para losdiversos actores sociales a quienes pueda interesar.

PRINCIPIOS DE CALIDAD DE LOS DATOS

La Ley Orgánica 15/1999, al igual que la Directi-va sobre Protección de Datos Personales, el Conve-nio 108 del Consejo de Europa o su antecesora laLORTAD (Ley Orgánica de regulación del trata-miento automático de los datos de carácter personal),intenta conjurar los riesgos que para los derechos delas personas suponen el tratamiento de sus datos per-sonales y al mismo tiempo garantizar los diversos inte-reses legítimos, públicos o privados, con lo que enningún caso se va a prohibir el tratamiento de la infor-mación personal. Las disposiciones sobre protec-ción de datos, a fin de conseguir ese doble objetivo,establecen una serie de cautelas, límites y pautas decomportamiento que deberán de ser respetadas,tanto en el momento de la obtención de los datos per-sonales como en cualquier otra fase del tratamiento,incluida su cesión. Tanto en el Convenio de 28 deenero de 1981, como en la Directiva 95/46/CE, seexpresa la necesidad de conciliar el respeto de los dere-chos de las personas con la libre circulación de infor-mación entre los pueblos y a este fin deberánestablecerse unas garantías suficientes «para quelas innegables ventajas que pueden obtenerse deltratamiento automatizado de datos no den lugar a lavez a un debilitamiento de la posición de las personas

a las cuales hacen referencia los datos registrados» (1).Este objetivo se logra, principal aunque no exclusi-vamente, a través del establecimiento de una serie degarantías en forma de límites y modos en los que lasinformaciones personales pueden y deben obtener-se, registrarse y ser tratadas y en forma de derechossubjetivos que dotan de contenido efectivo a lasanteriores cautelas y con lo que se conseguirá un sis-tema eficaz de protección de los derechos funda-mentales de los ciudadanos. Estos principios sonde aplicación para el tratamiento de la informacióncualquiera que sea su clase, aunque la regulación delas normas citadas se verá completada por la natu-raleza de los datos genéticos –datos sensibles espe-cialmente regulados– con las específicas previsionesde la Ley 41/2002, de 14 de noviembre básica regu-ladora de la autonomía del paciente y de derechos yobligaciones en materia de información y docu-mentación clínica y por lo previsto en la Ley 14/1986,de 25 de abril, General de Sanidad, en cuanto no hayasido expresa o tácitamente derogada por la anterior.Igualmente, hemos de tener en cuenta lo dispuesto enel Convenio del Consejo de Europa de 4 de abril de1997 para la protección de los derechos humanos yla dignidad del ser humano respecto de las aplica-ciones de la biología y la medicina (Convenio sobrelos derechos del hombre y biomedicina), que entró envigor en España en enero de 2000 y en la Reco-mendación R (97) 5, sobre protección de datosmédicos, adoptada el 13 de febrero de 1997 por elComité de Ministros del Consejo de Europa.

El Título II de la Ley Orgánica de Protección deDatos Personales (en adelante LOPDP) sobre «prin-cipios de la protección de datos», incluye entre su arti-culado, tanto los principios que hacen referencia a lacalidad de los datos como determinados derechos delos afectados, a pesar de que es el Título III de laLOPDP el que teóricamente regula los derechos de lostitulares de los datos personales. En este apartadoestudiaremos los que, en nuestra opinión, son estric-tamente principios de calidad de los datos y en el epí-grafe siguiente examinaremos de manera conjunta losderechos de las personas, regulados en la Ley deforma dispersa en ambos Títulos.

La preocupación por asegurar una determinadacalidad de los datos personales es constante en lalegislación sobre protección de datos personales desdela que podemos calificar como segunda generación deleyes de protección de datos (2). Desde la Privacy

Garriga Domínguez A., Álvarez González S.,

Ricoy Casas R.M.

Acceso y cesión de la información genética contenida en la historia clínica (2.ª parte)

Act de 1974, las leyes de protección de datos personalescomienzan a incluir entre sus disposiciones normas quehacen referencia a los principios de finalidad, perti-nencia o lealtad en la obtención y posterior utilizaciónde información personal. Sin embargo, serán las leyesde la tercera generación –entre las que debemos situarla LOPDP– las que completen el catálogo de principiosque han de ordenar la recogida, tratamiento y cesiónde los datos personales.

El artículo cuarto de la LOPDP regula la calidad delos datos estableciendo los principios básicos quedeberán respetarse en la recogida, tratamiento, usoy almacenamiento de los datos personales, de mane-ra que sólo tendrán una calidad adecuada aquellosdatos respecto de los cuales se cumplan estos prin-cipios. Son normas que regulan la recogida, registroy uso de los datos personales y están encaminados agarantizar tanto la veracidad de la información con-tenida en los datos, como la congruencia y raciona-lidad de su utilización. Son los siguientes:

1. Principio de pertinencia

Exige que los datos personales estén relaciona-dos con el fin perseguido por lo que deberán ser«adecuados y no excederán de las finalidades para lasque se hayan registrado» (3). Es decir, los datosdeben «servir» para la finalidad para la que se obtie-nen de forma que exista una «clara conexión entre lainformación que se recaba (...) y el objetivo para elque se solicitó» (4). Por lo tanto, no van a poder soli-citarse ni registrarse más datos personales que losestrictamente necesarios para llevar a cabo la inves-tigación de que se trate o cumplir la finalidad legíti-mamente encomendada al organismo público oempresa privada solicitante. Además, no podránrecabarse más datos que aquellos que sean estricta-mente necesarios en ese momento, aunque fuesen sus-ceptibles de serlo para cumplir objetivos futuros.

2. Principio de finalidad

La LOPDP establece que sólo se podrán recoger ytratar los datos personales que «sean adecuados(...) en relación con el ámbito y las finalidades deter-minadas, explícitas y legítimas para las que se hayanobtenido». Además, los datos personales objeto detratamiento «no podrán usarse para finalidadesincompatibles con aquellas para las que los datoshubieran sido recogidos» (5).

Según esto, los datos sólo podrán recogerse y tra-

tarse de acuerdo con una finalidad legítima y deter-minada y, por lo tanto, no podrán recogerse datospara finalidades contrarias a las leyes o al ordenpúblico, debiendo ser respetuosas con los valoresconstitucionales y los derechos fundamentales. Tam-poco se recabarán datos personales para el cumpli-miento de objetivos imprecisos o inconcretos y, enúltimo término, los datos personales no podrán serutilizados de forma incompatible con las finalidadespara las que fueron recabados.

El principio de finalidad se encuentra íntimamen-te conectado con el principio de pertinencia, hasta elpunto de que el cumplimiento del segundo implicanecesariamente el respeto al primero, ya que losdatos han de ser adecuados para una finalidad con-creta. No obstante el principio de finalidad es másamplio en su contenido que el de pertinencia alaportar el requisito de que los datos deberán de serusados exclusivamente para la finalidad para la quefueron recabados y ésta deberá de ser respetuosa conel Ordenamiento jurídico.

Un ejemplo muy interesante sobre la estrecha rela-ción que existe entre el principio de pertinencia y elde finalidad nos lo ofrece la sentencia del TribunalConstitucional 202/1999, de 8 de noviembre. ElTribunal Constitucional resolvió el recurso de ampa-ro presentado por un trabajador de una entidadbancaria, que estimaba violado su derecho a la inti-midad y a la libertad informática, por mantener sinsu consentimiento un fichero de datos personales rela-tivos a la salud. La empresa alegaba que la existenciade ese fichero de datos respondía a las exigencias lega-les en materia de prevención de riesgos laborales(en concreto las obligaciones que en materia de vigi-lancia de la salud de los trabajadores impone alempresario la Ley 31/1995, de 8 de noviembre) y, porlo tanto, podía ampararse en la excepción del artículo7.3 de la LORTAD que permitía la obtención y tra-tamiento de los datos relativos a la salud cuando porrazones de interés general así lo estableciese unaLey. En este caso, era imprescindible averiguar cuálera la finalidad del fichero de los datos personales delos trabajadores, si la vigilancia de la salud como adu-cía la empresa, o el control del absentismo laboral,como afirmaba el representante de los trabajadores.Los datos que obraban en el fichero eran exclusiva-mente una relación de partes de baja en los que seconsignaban «las correspondientes fechas de baja yalta laboral, el motivo de la baja (enfermedad común


Ricoy Casas R.M.


o accidente laboral), los días durante los cuales se pro-longó la situación de incapacidad temporal y el diag-nóstico médico». A juicio del Tribunal Constitucional,«a la vista del contenido del fichero, forzoso resultaconvenir que su mantenimiento no se dirige a lapreservación de la salud de los trabajadores, sino alcontrol del absentismo laboral (...) habida cuenta deque en el fichero en cuestión no se reflejan los datosarrojados por la vigilancia periódica –y consentida porlos afectados– del estado de salud de los trabajadoresen función de los riesgos inherentes a su actividadlaboral, sino tan sólo la relación de períodos de sus-pensión de la relación jurídico–laboral dimanantes deuna situación de incapacidad del trabajador». Esdecir, los datos que se encuentran registrados en elfichero no son pertinentes en relación con la finalidadalegada por el empresario al no existir «una nítidaconexión entre la información personal que se reca-ba y trata informáticamente y el legítimo objetivo parael que se solicita» (fundamento jurídico cuarto). Porello y en atención al contenido del fichero, entiendeel Tribunal Constitucional que su finalidad es la delcontrol del absentismo laboral, que no justifica laobtención y registro de datos relativos a la salud de lostrabajadores sin su consentimiento.

El cumplimiento del requisito de finalidad impideasimismo que, una vez que los datos personaleshayan sido utilizados para la finalidad legal para laque hubiesen sido recabados, puedan ser reutilizadospara el cumplimiento de objetivos distintos a aquellospara los que se solicitaron y registraron. En estesentido el artículo 4.5 de la LOPDP establece que «losdatos de carácter personal serán cancelados cuandohayan dejado de ser necesarios o pertinentes para lafinalidad para la cual hubieran sido recabados oregistrados». Cumplida la finalidad legítima queautorizó su recogida y tratamiento, los datos perso-nales habrán de ser cancelados, no pudiendo con-servarse, durante más tiempo que el necesario para elcumplimiento de esos fines «en forma que permita laidentificación del interesado.» (6)

Finalmente, debemos detenernos en el único cam-bio introducido por la LOPDP en la regulación delprincipio de finalidad respecto de la Ley anterior. LaLey Orgánica 15/1999, a diferencia de la LORTADque prohibía el uso de los datos personales parafinalidades «distintas» de aquellas para las que losdatos hubieran sido recogidos, prohíbe que éstossean utilizados para finalidades «incompatibles».

El nuevo texto del artículo 4 acoge la redacción de laDirectiva 95/46/CE. De acuerdo con la exigenciade que la finalidad de la recogida de los datos sea legí-tima, explícita y determinada, ésta deberá definirse dela forma más precisa posible y el uso que sea haga deesos datos con posterioridad, deberá ser compatiblecon la finalidad de la recogida de los mismos. Expre-samente sólo se establece que serán compatibles lostratamientos posteriores con fines históricos, esta-dísticos o científicos al igual que hace la Directiva. Enel considerando 29 de ésta se aclara, además, que losfines anteriores no se considerarán incompatiblesen la medida en que se establezcan las garantíasadecuadas para impedir que los datos sean utilizadospara tomar medidas, debe interpretarse el artículo 4de la Ley 15/1999.

Las normas establecidas en el artículo 4 de laLOPDP hemos de completarlas con lo dispuestoen los artículos 7 y 8 de la LOPDP, con independenciade que volveremos a ellos más adelante, con lo esta-blecido en la Ley 41/2002, de 14 de noviembre,básica reguladora de la autonomía del paciente y dederechos y obligaciones en materia de informacióny documentación clínica y en las normas interna-cionales aplicables.

El artículo 7.3 de la LOPDP, que regula los datosrelativos a la salud establece que estos datos sólopodrán ser recabados, tratados y cedidos cuando,por razones de interés general, así lo disponga una leyo el afectado consienta expresamente. Por su parte enel apartado sexto de ese mismo artículo se dispone quepodrán ser objeto de tratamiento los datos relativos ala salud cuando dicho tratamiento resulte necesariopara la prevención o para el diagnóstico médicos, laprestación de asistencia sanitaria o tratamientosmédicos o la gestión de servicios sanitarios, siempreque dicho tratamiento de datos se realice por unprofesional sanitario sujeto al secreto profesional o porotra persona sujeta asimismo a una obligación equi-valente de secreto. También podrán ser objeto detratamiento cuando el tratamiento sea necesario parasalvaguardar el interés vital del afectado o de otra per-sona, en el supuesto de que el afectado esté física o jurí-dicamente incapacitado para dar su consentimiento.

Estas normas se completan con lo dispuesto en elartículo 8 de la LOPDP que permite el tratamiento alas instituciones y los centros sanitarios públicos y pri-vados y los profesionales correspondientes de losdatos de carácter personal relativos a la salud de


Ricoy Casas R.M.


las personas que a ellos acudan o hayan de ser tra-tados en los mismos, de acuerdo con lo dispuesto enla legislación estatal o autonómica sobre sanidad. Enconcreto y coherentemente con la normativa anterior,el artículo 16 de la Ley de derechos del pacienteestablece los usos lícitos de la historia clínica.

Debemos destacar que la finalidad principal de lahistoria clínica es la de garantizar la asistencia ade-cuada al paciente, es decir, la protección de su salud.También se regulan otros usos posibles de la infor-mación personal recogida en la historia clínica. En pri-mer lugar, su fines judiciales, epidemiológicos, desalud pública, de investigación o de docencia– eneste caso su utilización se regirá por lo dispuesto en laLOPDP y en la Ley 14/1986, General de Sanidad, ydemás normas de aplicación en cada caso. En estecaso, el acceso a la historia clínica obliga a preservarlos datos de identificación personal del paciente,separados de los de carácter clínico-asistencial, demanera que como regla general quede asegurado elanonimato, salvo que el propio paciente haya dado suconsentimiento para no separarlos. Se exceptúanlos supuestos de investigación de la autoridad judicialen los que se considere imprescindible la unifica-ción de los datos identificativos con los clínico-asis-tenciales, en los cuales se estará a lo que dispongan losjueces y tribunales en el proceso correspondiente.

En segundo lugar, se podrán tratar los datos per-sonales para realizar funciones de inspección, eva-luación, acreditación y planificación por parte depersonal sanitario debidamente acreditado en elcumplimiento de sus funciones de comprobaciónde la calidad de la asistencia, el respeto de los derechosdel paciente o cualquier otra obligación del centro enrelación con los pacientes y usuarios o la propiaAdministración sanitaria.

Igualmente, es un fin lícito de la información per-sonal contenida en la historia clínica la gestión de ser-vicios sanitarios realizada por el personal deadministración y gestión de los centros sanitarios, sibien éstos sólo podrán acceder a los datos de la his-toria clínica relacionados con sus propias funciones.No obstante, esta última es una norma que se aplicaa todas las finalidades legalmente previstas que-dando, de acuerdo con los principios de pertinenciay finalidad, el tratamiento de toda la información per-sonal de la historia clínica limitado estrictamente a losfines específicos y a los datos personales necesa-rios, adecuados y no excesivos en cada caso.

Visto lo anterior y puesto que el objeto de esteestudio es la regulación de la información genética,conviene advertir que toda la normativa comentadase refiere a los datos relativos a la salud, ya que ni laLey de protección de datos personales ni la Ley41/2002 regulan de manera específica se refierenen ningún momento a los datos genéticos. Por ello, lasfinalidades legítimas para el tratamiento de la infor-mación genética hemos de buscarla en el Derechointernacional ratificado por España. En concreto, seráel artículo 12 del Convenio Europeo relativo a losderechos humanos y la biomedicina la norma queestablezca las finalidades permitidas para la recogi-da y tratamiento de esta información. Así este pre-cepto reduce la posibilidad de la realización depruebas predictivas de enfermedades genéticas oque permitan identificar a un sujeto como portadorde un gen responsable de una enfermedad, o detectaruna predisposición o una susceptibilidad genética auna enfermedad, con fines médicos o de investigaciónmédica y con el asesoramiento genético apropiado.

Por su parte, la Recomendación (97) 5 sobre pro-tección de los datos médicos nos ofrece pautas com-plementarias para el procesamiento de estainformación; ya que contiene criterios específicos enrelación con las posibilidades de utilización de losdatos genéticos. En concreto en los puntos 4.7, 4.8 y4.9, se determinan las siguientes reglas:

1. Los datos genéticos recogidos y procesadospara el tratamiento preventivo, el diagnóstico o el tra-tamiento del afectado o para investigación científicasólo deben emplearse con esos fines o para permitiral afectado tomar una decisión libre e informada enestas materias.

2. Su procesamiento con fines judiciales o deinvestigación criminal debe ser objeto de una leyespecífica que ofrezca medidas de salvaguardia ade-cuadas.

3. Los datos sólo deben utilizarse para establecersi hay un eslabón genético en el conjunto de pruebasaportadas, para prevenir un peligro real o parareprimir un delito específico. En ningún caso debenemplearse para determinar otras características quepueden ser establecidas genéticamente.

4. La recogida y procesamiento de datos genéticoscon cualquier otra finalidad distinta de los anterio-res sólo debe permitirse por razones de salud y en par-ticular para evitar un serio perjuicio a la salud delafectado o de terceros. Sin embargo, puede permitirse


Ricoy Casas R.M.


la recogida y procesamiento de datos genéticos enorden a predecir enfermedades en casos en que exis-ta un interés superior y de acuerdo con las medidasde salvaguardia definidas por la ley.

Según todo lo anterior, a excepción de los fines judi-ciales o de investigación criminal y siempre que unaley lo disponga con las garantías adecuadas (7) sólola protección de la salud de interesado o de terceros,podrán amparar la obtención y tratamiento de lainformación genética. Así pues, este tipo de infor-mación personal nunca podrá ser utilizada parafinalidades diferentes de aquellas, aunque otras cla-ses de informaciones personales contenidas en lahistoria clínica sí son susceptibles de ser tratadas legí-timamente en cumplimiento de dichas finalidadesdiferentes de la protección de la salud del interesadoo de terceros, etc. Por ejemplo, la gestión de los ser-vicios sanitarios justificaría el tratamiento de deter-minados datos personales registrados en la historiaclínica, pero nunca el tratamiento de datos genéticos.

El cumplimiento estricto de estos principios esespecialmente importante porque, como ya se haexpuesto, la información genética hace especial-mente vulnerable y transparente a los seres humanosy esa transparencia posibilita claramente el controlde los individuos con el consiguiente menoscabode su autonomía y derechos, fundamentalmentepor las posibilidades de utilizar el perfil genéticopara discriminar a las personas en las más diversasfacetas de su vida. «La complejidad y la sensibilidadde la información genética hacen que sean grandestanto el riesgo de abuso como el de reutilizacióncon distintos fines por el responsable del tratamien-to o por terceros. Los riesgos de reutilización existen,por ejemplo en el caso del uso de la información gené-tica ya obtenida o de análisis complementarios delmaterial inicial (por ejemplo, muestra de sangre)» (8).

Por ello, de la mayor importancia es el respecto a losprincipios de pertinencia o proporcionalidad deforma que la finalidad legítima, específica y explíci-ta que se pretende cumplir, no pueda ser alcanzada deotra forma diferente y menos intrusiva en la libertady derechos de las personas. Los datos genéticos solopodrán utilizarse si en relación con una finalidad legí-tima concreta son adecuados, pertinentes y no exce-sivos. Es imprescindible, pues, que de manera previaa su obtención se evalúen de forma precisa la nece-sidad y la proporcionalidad de su recogida, anali-zando la posibilidad de utilización de otras vías

menos lesivas con los derechos de las personas paracumplir aquella finalidad. Es decir, si existiese otra víamenos lesiva para los derechos del individuo y que sir-viese a la finalidad legitima perseguida, diferentede la obtención y tratamiento de sus datos genéticos,debería optarse por ella (9).

3. Principio de veracidad y de exactitud

El artículo 4.3 exige que los datos sean «exactos ypuestos al día de forma que respondan con veracidada la situación del afectado». Son dos los requisitos quela Ley exige para el cumplimiento del principio deveracidad. Por una parte, que los datos personalesestén al día, es decir, que estén actualizados y no res-pondan a una situación anterior a la de la recogida delos mismos y en este momento inexistente y, porotra, que los datos sean veraces.

Podemos definir la veracidad como «la perfectacorrespondencia entre el discurso que marcan loshechos y el que se trasmite al receptor de la infor-mación» (10), por lo que corresponderá al respon-sable del fichero asegurarse de que los datosregistrados se adecuan a la realidad, ya que la Leyexige la cancelación de oficio de los datos que resul-taran inexactos o incompletos y sus sustitución porlos datos rectificados.

El principio de «veracidad informática» exigeforma que el responsable del fichero adopte todos losmecanismos y prevenciones necesarios para garan-tizar la adecuación a la realidad de los datos regis-trados, empleando el nivel de diligencia exigiblepara garantizar la veracidad de éstos (11). Por otraparte, lo dispuesto en la LOPDP se encuentra refor-zado con el deber, regulado en el artículo 2.5 de la Ley41/2002, de facilitar los datos sobre su estado físicoo sobre su salud de manera leal y verdadera, asícomo el de colaborar en su obtención, especialmen-te cuando sean necesarios por razones de interéspúblico o con motivo de la asistencia sanitaria.

4. Principio de lealtad

Los datos personales deberán recogerse sin engañoso falsedades por parte de quien los solicita, prohi-biendo la Ley de forma contundente la utilización demedios fraudulentos, desleales o ilícitos (12).

5. Principio de seguridad de los datos

Deberán adoptarse las medidas necesarias paragarantizar la seguridad de los datos personales evi-


Ricoy Casas R.M.


tando su alteración, pérdida, tratamiento o acceso noautorizados. Por ello «no se registrarán datos decarácter personal en ficheros automatizados queno reúnan las condiciones que se determinen por víareglamentaria con respecto a su integridad y seguri-dad y las de los centros de tratamiento, locales,equipos, sistemas y programas» (13).

La importancia del principio de seguridad, enorden a garantizar los derechos de los afectados,ha crecido en los últimos años. Al mismo tiempo quese ha producido un espectacular desarrollo de lascapacidades de proceso de los ordenadores, en lamicroelectrónica y en el software, lo que ha permitidola proliferación de sistemas informáticos potentes yfáciles de utilizar, se han incrementado «los riesgosque amenazan a los datos almacenados y procesadospor ellos y, en consecuencia, a los ciudadanos aquienes dichos datos conciernen» (14) pues mayoresson los medios para «atravesar» las barreras deseguridad de un fichero. Por ello, las medidas de segu-ridad deben mejorarse y adecuarse a éstos avances.

El concepto de seguridad debe abarcar tanto la con-fidencialidad de la información como la disponibi-lidad e integridad de la misma. La Ley,consecuentemente, exige que se adopten todas lasmedidas necesarias, de índole técnica y organizativa,que «garanticen la seguridad de los datos de carácterpersonal y eviten su alteración, pérdida o trata-miento o acceso no autorizado» (15).

Por disponibilidad de la información debe entenderse«la recepción a tiempo por parte de quienes hayan deser sus destinatarios autorizados, así como la posibi-lidad de acceso por quienes estén autorizados y cuan-do la necesiten» (16). La integridad de la informaciónse ve afectada «cuando se producen variaciones noautorizadas» (17), añadiendo información, modifi-cándola o borrándola. La confidencialidad, terceraspecto de la seguridad informativa, se cumple cuan-do el conocimiento de los datos corresponde exclusi-vamente a las personas autorizadas.

Por tanto, el principio de seguridad de los datos vaa estar orientado en tres direcciones (18) debiéndo-se adoptar las medidas necesarias para garantizar, enprimer lugar, que los destinatarios legítimos de losdatos puedan recibirlos a tiempo y acceder a ellos; ensegundo lugar, que no se altere o pierda la informa-ción y en tercero y último lugar, que sólo las personasautorizadas tengan conocimiento de los datos decarácter personal registrados (19).

Las amenazas a la seguridad de los datos pueden serde distintos signos:

–Sucesos fortuitos por fuerza mayor: incendiosno provocados, terremotos, inundaciones, etc.

–Errores involuntarios, que afecten a la seguridadde los datos, por parte de los encargados de su segu-ridad.

–Fraudes y delitos (20): manipulación de progra-mas de datos, accesos no autorizados, apodera-miento de los ficheros, copias ilegales, etc.

Ante tal variedad y cantidad de los riesgos, loscontroles para impedir que se produzcan éstos han deser «completos a la vez que simples, fiables, revisables,adecuados y rentables» (21) y deberán estar orien-tados a prevenir, detectar y corregir los problemas deseguridad.

El Reglamento de medidas de seguridad de losficheros automatizados (22) que contengan datos decarácter personal, establece un marco de referenciaobligada para que los responsables del fichero adop-ten las medidas necesarias y adecuadas para garan-tizar su seguridad, habida cuenta del estado de latecnología, la naturaleza de los datos almacenados ylos riesgos a que estén expuestos. Las medidas deseguridad exigibles se califican en tres niveles distintos–básico, medio y alto–, en función del tipo de datospersonales almacenados. Los ficheros que contengandatos relativos a la salud y como hemos visto los datosgenéticos deben incluirse dentro de esta categoría, deacuerdo con lo establecido en el artículo 4.3 delReal Decreto 994/1999 deberán reunir, además de lasmedidas de nivel básico y medio, las calificadas denivel alto, entendiendo que dichos niveles tienen lacondición de mínimos exigibles.

El principio de seguridad y los demás principios decalidad de los datos responden a la finalidad generalde encontrar un equilibrio adecuado entre el respe-to a los derechos de las personas y la utilización y cir-culación de la información personal. El individuo, enla medida en que se desenvuelve dentro de la comu-nidad social, no posee un derecho absoluto e ilimi-tados sobre sus datos, pero sí es titular del derecho aque la «utilidad social» de sus datos personales res-pete unos límites que garanticen sus derechos fun-damentales. Estas razones hacen imprescindibleque, la obtención y los tratamientos a los que seasometida cualquier información de carácter personal,respete los principios anteriores; puesto que, si losderechos de los individuos sobre sus datos son limi-


Ricoy Casas R.M.


tados, también los que otros pudieran tener sobreellos están sujetos igualmente a límites que, en primerlugar, exigen el cumplimiento impecable a los crite-rios anteriores que garantizan la suficiente calidad delos datos y de su tratamiento y ello es especialmenteacuciante en el tratamiento de la información gené-tica, por su propia naturaleza de datos sensibles y porlos riesgos de su obtención y uso.

LOS DERECHOS DEL INTERESADO

Recogidos en el Título II, entre los principios de cali-dad de los datos, nos encontramos con una serie dederechos subjetivos que junto con los «derechos delas personas» del Título III formarían el núcleoesencial del elemento positivo del derecho a la auto-determinación informativa: el habeas data.

Los derechos que la Ley garantiza a los titulares dedatos personales, así como los deberes jurídicos quela misma impone al responsable del fichero y a lasdemás personas que intervengan en alguna fase deltratamiento de los datos genéticos, consecuencia deaquellos, constituyen el conjunto de instrumentos delos que la LOPDP se sirve para hacer realidad los prin-cipios de protección de datos y garantizar a las per-sonas un control efectivo sobre sus datos personales.

1. El derecho de información

De entre el haz de facultades que configuran el dere-cho a la autodeterminación informativa, el dere-cho a ser informado se nos presenta como unrequisito evidente e inicial si queremos, en serio,controlar quiénes, cómo, dónde y para qué, tienennuestros datos; pues el «poder de disposición sobrelos propios datos personales nada vale si el afectadodesconoce qué datos son los que se poseen por ter-ceros, quiénes los poseen y con qué fin» (23).

Este derecho genérico «a estar informado» se rea-liza en la LOPDP a través de una doble vía: por unlado, se garantiza al afectado el derecho a ser infor-mado en el momento de la recogida de sus datos delos aspectos relativos a su tratamiento informático;y, por otro, se regula el derecho a «conocer, recabandoa tal fin la información oportuna del Registro Gene-ral de Protección de Datos, la existencia de ficherosde datos de carácter personal, su finalidad y la iden-tidad del responsable del fichero». La segunda ver-tiente del derecho de información, pública y gratuita,se regula en el artículo 14 de la LOPDP (24).

Del derecho a obtener directamente informa-ción de quienes soliciten datos personales se ocupaen artículo 5 de la LOPDP. En este precepto seestablece que las personas de las que se soliciteninformaciones personales deberán ser informa-das, de manera previa a la recogida de los mismos,de modo expreso, preciso e inequívoco a cerca delas siguientes cuestiones (25):

–De la existencia de un fichero o tratamiento dedatos personales, de la finalidad con la que estos serecogen y de los destinatarios de la información.

–Del carácter obligatorio o facultativo de las res-puestas a las cuestiones planteadas.

–De las consecuencias de la obtención de los datoso de la negativa a facilitarlos.

–De la posibilidad de ejercitar los derechos deacceso, rectificación, cancelación y oposición (26).

–De la identidad y dirección del responsable del tra-tamiento o de su representante (27).

En la Ley Orgánica15/1999, siguiendo la pautamarcada por la Directiva 95/46/CE, el artículo 4.5establece la obligatoriedad de informar a los intere-sados cuando los datos no hayan sido recabadosdirectamente de ellos en los términos y sobre lascuestiones anteriores (28), en el plazo de los tresmeses siguientes al momento del registro de losdatos, salvo que ya se le hubiera informado conanterioridad.

Ahora bien, aunque la norma general es la deinformar al interesado cuando los datos no se obten-gan directamente de él, se prevén varias excepcionesa esta obligación:

a) Cuando expresamente una ley lo prevea;b) Cuando el tratamiento tenga fines históricos,

estadísticos o científicos; c) Cuando la información al interesado resulte

imposible o exija esfuerzos desproporcionados; d) Cuando los datos procedan de fuentes accesibles

al público y se destinen a las actividades de publici-dad o prospección comercial.

La tercera y la cuarta de las excepciones previstasen el artículo 5.5 de la LOPDP nunca podrán apli-carse a los datos genéticos, ya que respecto de la pri-mera de ellas, el que el grupo de las personas afectadasestá perfectamente identificadas y respecto de lassegunda, el interés comercial nunca justificaría unalesión tan grave de los derechos fundamentales,pero además es imposible que entre las denominadasfuentes accesibles al público se encuentren datos


Ricoy Casas R.M.


genéticos. Finalmente, respecto de los datos genéti-cos obtenidos con fines históricos, científicos o esta-dísticos y, puesto que se consideran finalidadescompatibles en la LOPDP, parece que la excepciónqueda justificada por lo dispuesto en el artículo 4,siempre y cuando –como se dijo respecto del princi-pio de finalidad– se establezcan las garantías ade-cuadas para impedir que los datos sean utilizadospara tomar medidas o decisiones contra cualquier per-sona y se cumplan los límites impuestos en el artículo16 de la Ley 41/2002.

El derecho de información en la recogida de datosdel artículo 5 de la LOPDP, es condición indispensablepara que se pueda prestar el consentimiento delafectado regulado en el artículo siguiente. El intere-sado antes de prestar su consentimiento ha de cono-cer las consecuencias que se derivarán del mismo, lascaracterísticas y la naturaleza del fichero, etc. Estosupone que quien recaba esta información personaldeberá informar al afectado, previa, expresa, preci-sa e inequívocamente, de las consecuencias de su con-sentimiento para que, de esta forma, «pueda ejercersu derecho a la autodeterminación informativa conpleno conocimiento del alcance de sus actos» (29). Esdecir, el derecho de información entendido comorequisito previo a la recogida de datos personales,posibilita determinar al titular de los mismos elnivel de protección y reserva que desea para ellos y,por tanto, prestar su consentimiento de forma «cons-ciente e informada» (30).

El derecho de información de la Ley de protecciónde datos se ve completado, respecto de los datosgenéticos con lo dispuesto en los artículos 4 y 5 de laLey 41/2002 y en el artículo 10 del Convenio sobrederechos humanos y biomedicina.

La ley de autonomía del paciente establece que eltitular del derecho a la información es el paciente, sibien también podrán ser informadas las personas vin-culadas a él, por razones familiares o de hecho, en lamedida que el paciente lo permita de manera expre-sa o tácita. Además, el paciente tiene derecho a serinformado, incluso en caso de incapacidad, de modoadecuado a sus posibilidades de comprensión, aun-que esta información no exime al facultativo de sudeber de informar también a su representante legal.

La Ley básica de autonomía del paciente regula elderecho de información asistencial cuya titularidadle corresponde exclusivamente a éste y sólo cuandoconsienta de manera expresa o tácita o carezca de

capacidad para entender la información a causa de suestado físico o psíquico, podrá informarse a las per-sonas a él vinculadas por razones familiares o dehecho. Este derecho a recibir información puedeverse limitado por la existencia acreditada de unestado de necesidad terapéutica, es decir, cuando a jui-cio del médico y por razones objetivas, el conoci-miento de su propia situación pueda perjudicar demanera grave la salud del paciente.

El derecho «a no saber», en nuestra opinión y así lorecoge el artículo 10.2 del Convenio Europeo relativoa los derechos humanos y la biomedicina, es unauténtico derecho subjetivo del paciente por lo quela norma del artículo 5.4 de Ley 41/2002 debe inter-pretarse en un sentido muy restrictivo. La facultad delmédico de decidir cuando y en que circunstanciasinforma o no al paciente, resultaría en nuestra opiniónexcesiva, si no se exigiese que las razones que justi-fican la limitación de su autonomía y derechos fue-sen de la suficiente entidad para justificar una medidatan grave (31). De lo contrario ésta sería una normaen exceso paternalista (32) difícil de justificar eincoherente con la norma recogida en el artículo9.1 de la Ley de autonomía del paciente. En dicho pre-cepto se regula el derecho de las personas a no serinformadas, que deberá manifestarse de maneraexpresa y ser recogido documentalmente. Es decir, esla persona la que debe decidir si desea o no conocerla información que se refiere a su salud, desde su res-ponsabilidad y haciendo ejercicio de su propia liber-tad, asumiendo las consecuencias de su decisión ytambién la posibilidad de que las noticias que elmédico le facilite sobre su salud sean adversas eincluso extremadamente graves y, por ello entende-mos, que tanto por lo que se refiere al deseo de nosaber como al derecho a ser informado, debe respe-tarse la voluntad del paciente, salvo circunstanciasmuy extremas.

Pues es necesario tener en cuenta que, el derechoa recibir información o, en su caso a no recibirla,«cumple una función distinta, más amplia, convir-tiéndose en una información no para la sanación,sino para la autodeterminación» (33). Por tanto, laregla debe ser la de presumir que, en principio y entanto no existan pruebas suficientes en contra, elpaciente está suficientemente capacitado para deci-dir. Esta presunción de capacidad «emana directa-mente de la consideración de todos los sujetos comoseres con suficiente autonomía moral, y por tanto,


Ricoy Casas R.M.


con las aptitudes necesarias para poder expresar éstaen todos sus actos» (34). Defender lo contrarioequivaldría a dejar en manos del personal sanitariola decisión de informar o no a los pacientes, pri-vándole de su capacidad de elección y decisión. Si elpaciente no se considera lo suficientemente fuertepara encajar noticias sobre su salud adversas, siem-pre podrá, ante la incertidumbre, manifestar sudeseo de ejercer el derecho a no saber en los térmi-nos establecidos en la Ley 41/2002. Por todo loanterior, sólo cuando la capacidad de hecho delpaciente –capacidad distinta de la jurídica y quese refiere al estado psicológico momentáneo y en rela-ción directa con una decisión sanitaria concreta–, seencuentre afectada a juicio del médico en base a razo-nes objetivas, podrá éste ocultarle informaciónsobre su propia salud. Es decir, solamente cuando eldaño que se prevé que cause la información sea de talmagnitud que claramente ello justifique la retenciónde la información de manera que la «”excepciónterapéutica” únicamente está justificada en cir-cunstancias muy excepcionales» (35). Correspondeal facultativo asegurarse con la debida diligencia delgrado de afectación de la capacidad del interesado,antes de impedirle el ejercicio de su derecho a la infor-mación, puesto que el consentimiento informadoaparece como uno de los pilares fundamentales en larelación médico–paciente y corresponde al sanitarioasegurarse su validez y este deber ineludible quese quebrantaría «si no se cerciora de la capacidad dehecho del sujeto» (36).

La Ley 41/2002 garantiza un tercer derecho alpaciente en relación con la información que le con-cierne: el derecho de acceso a la historia clínica. Setrata de una particularización del derecho de accesoa los propios datos en los términos que luego veremosal analizar el artículo 15 de la LOPDP.

2. El consentimiento del interesado

En el artículo 6 de la LOPDP se regula el derechodel afectado a que se le solicite su consentimiento parala recogida y tratamiento de sus datos personales. Esteprecepto se completa con lo dispuesto en el artículo11 que establece las reglas para la comunicación ocesión de los datos personales.

La Ley Orgánica 15/1999 instituye la norma segúnla cual, con carácter general, el tratamiento de losdatos personales «requerirá el consentimiento ine-quívoco del afectado» (37). Por otra parte, resulta

indispensable ahora recordar, que el articulo tercerode la Ley establece el concepto legal de consentimientodel interesado, configurándolo como toda manifes-tación de voluntad, libre, inequívoca, específica einformada. El consentimiento debe prestarse «enunas condiciones específicas y para unas finalidadesconcretas» (38), pero además por tratarse de datossensibles el consentimiento ha de se expreso deacuerdo con las reglas establecidas en el artículo 7 dela LOPDP. No existe la posibilidad de consentirtácitamente la obtención y tratamiento de los datosgenéticos.

Es especialmente importante recordar que estamoshablando de datos extremadamente sensibles y quela finalidad de la LOPDP es la de garantizar el dere-cho a la autodeterminación informativa de las per-sonas y que, de acuerdo con la interpretación delcontenido esencial del artículo 18.4 de la Constitu-ción hecha por el Tribunal Constitucional, el con-sentimiento forma parte del haz de facultades queintegran ese derecho, por lo que no es admisibleque una norma o cualquier establezca límites a underecho fundamental, más allá de lo establecido enla Ley Orgánica que lo desarrolla y que, en todo caso,habrá de respetar su contenido esencial por impe-rativo del artículo 53 de la Constitución. Así pues, enaquellos caso en los que la propia LOPDP u otranorma legal no exima de la necesidad de solicitar elconsentimiento del interesado éste habrá de prestarseen las condiciones que la propia Ley Orgánica esta-blece en sus artículos 3.h) y 7.3.

Este derecho, junto con los controles y facultades yavistos y los que se estudiarán seguidamente, formanel contenido esencial del derecho a la autodetermi-nación informativa que la LOPDP garantiza; pues,«son elementos característicos de la definición cons-titucional del derecho fundamental a la protección dedatos personales los derechos del afectado a con-sentir sobre la recogida y uso de sus datos y a saber delos mismos. Y resultan indispensables para hacerefectivo ese contenido el reconocimiento del derechoa ser informado de quién posee sus datos y con quéfin» (39). Es decir, corresponde al titular de los datosdeterminar cuales de sus datos pueden ser registradosy tratados, por quién y para qué y para ello resultaimprescindible que, previamente, se le haya dadocumplimiento a la exigencia de información en los tér-minos vistos anteriormente. Es importante insistir enla idea de que es condición indispensable para que el


Ricoy Casas R.M.


interesado pueda prestar el consentimiento a que serefiere la Ley, el cumplimiento previo del contenido delderecho de información en la recogida de datos.Pues, para poder autorizar el tratamiento de susdatos, ha de conocer las consecuencias que se deri-varán del mismo, así como las características y natu-raleza del fichero o su finalidad, ya que a través delconsentimiento las personas tienen la posibilidad dedeterminar el nivel de protección de las informacio-nes personales que les atañen lo que hace necesario quese preste de forma consciente e informada, sabiendocual será realmente el alcance de sus actos. Además,el consentimiento se presta en unas condiciones espe-cíficas y para unas finalidades determinadas, condi-ciones y finalidades que el interesado debe conocerpreviamente. Así lo establece también el artículo 5 delConvenio de derechos humanos y biomedicina queexige que cualquier actuación en el ámbito de lasanidad –y la obtención de la información genética loes– sólo podrá efectuarse cuando el interesado hayadado su libre e informado consentimiento una vez quese le haya proporcionado una información adecuadaacerca de la finalidad y naturaleza de la intervención,sus consecuencias y sus riesgos.

El consentimiento es revocable cuando existacausa justificada para ello, si bien la revocación noproducirá efectos retroactivos. No será preciso deacuerdo con lo establecido en el artículo 6 de laLOPDP cuando una Ley así lo autorice o el trata-miento de los datos tenga por finalidad proteger elinterés vital del interesado en los términos del artículo7 de la LOPDP.

De acuerdo con lo establecido en el artículo 7.3 dela LOPDP, los datos genéticos no podrán ser reco-gidos, tratados o cedidos salvo que el interesado con-sienta expresamente o cuando, por razones deinterés general, lo disponga una ley. Es decir, seexige siempre el consentimiento expreso para su tra-tamiento y sólo cuando simultáneamente una Leylo autorice y un interés general lo justifique, podráprescindirse del consentimiento del interesado.

Conviene recordar aquí la doctrina del TribunalConstitucional a este respecto, que si bien en este casose refiere a los datos relativos a la salud, es plenamenteaplicable, incluso con un mayor rigor si cabe, a losdatos genéticos. En la sentencia, ya citada, 202/1999,considera que no es suficiente para el tratamiento delos datos relativos a la salud de los trabajadores, laautorización genérica de verificación de la enfer-

medad alegada por el trabajador para justificar su ina-sistencia al trabajo del artículo 20.4 del Estatutode los Trabajadores. El interés empresarial de controldel absentismo laboral, si bien es un interés legítimoamparado por la Ley, no tiene el carácter de interésgeneral que exige el artículo 7 de la LOPDP, por loque no es suficiente para tratar datos relativos a lasalud de los trabajadores sin su consentimiento. Esdecir, aunque esté contemplado en una norma conrango de ley, cualquier interés legítimo no es «un inte-rés suficiente», sino que para que se pueda prescin-dir del consentimiento del interesado será necesarioque estemos ante un interés que general, por su pro-pia naturaleza superior a un interés particular.

Por otra parte, el artículo 6.2 excluye la necesidadde autorización cuando el tratamiento de los datospersonales tenga como finalidad proteger un interésvital del interesado en el caso de que esté física o jurí-dicamente incapacitado para prestar su consenti-miento. Esta excepción, que si bien no se especifica,se refiere a los datos relativos a la salud y dentro deesta categoría situamos los datos genéticos, se encuen-tra plenamente justificada por el bien jurídico que sepretende proteger, la vida o la salud del interesado ode terceras personas: se trata de proteger un interésesencial. Por otra parte, debe entenderse que, sólocuando el interesado esté física o jurídicamente inca-pacitado, podrá prescindirse de su consentimiento deacuerdo con lo previsto en el artículo 6.2 en relacióncon el 7.6, ambos de la Ley Orgánica 15/1999. Estaexcepción se completa con la prevista para la comu-nicación de los datos relativos a la salud en el artículo11.2.f) para solucionar una urgencia o realizar estu-dios epidemiológicos de acuerdo con la legislaciónsanitaria. Como en el caso anterior la excepción sejustifica por la protección de un interés superior: lasalud del interesado, de terceros o la salud pública quees un bien que debe prevalecer sobre el requisito deconsentimiento.

Por su parte, en el artículo 11 de la LOPDP secompletan las reglas del consentimiento del intere-sado, limitándose la comunicación de los datos decarácter personal a un tercero, a aquellas cesiones quecumplan dos requisitos: la autorización previa delinteresado y que la comunicación se produzca enrazón de fines directamente relacionados con lasfunciones legítimas del cedente y del cesionario.

El artículo 11 de la Ley no permite un consenti-miento incondicionado y falto de requisitos, de


Ricoy Casas R.M.


forma que el consentimiento será nulo cuando recai-ga sobre un cesionario indeterminado o indetermi-nable o cuando al interesado no le sea posibleconocer la finalidad de la cesión que consiente, queen todo caso al tratarse de datos genéticos de acuer-do con su regulación en le artículo 7.3 de la LOPDPy lo dispuesto en el artículo 16 de la Ley 41/2002, asícomo lo previsto en el artículo 12 del Convenio deOviedo de 1997, sólo cuando por razones de interésgeneral una ley lo autorice podrá prescindirse del con-sentimiento del interesado en la comunicación de susdatos genéticos. Es decir, cuando la comunicación res-ponda a la protección de la salud del interesado, deun tercero, a razones de interés público –de saludpública, de investigación médica o en relación con laprevención o comisión de delitos en las condicionesprevistas en el artículo 16 de la Ley 41/2002 y en laRecomendación R(97) 5 del Comité de Ministros delConsejo de Europa, ya tratadas– y dicho interésesté amparado por una Ley. En los demás casoshabrá de contarse siempre con el consentimientoinformado del interesado. Como en el caso del con-sentimiento para la recogida y tratamiento de losdatos, el consentimiento para su comunicación aterceros sirve para que los individuos fijen los límitesdentro de los cuales cabe el tratamiento de sus datosgenéticos, que deberá prestarse en cada ocasión.Igualmente procura los medios necesarios paragarantizar que el uso que se haga de los datos per-sonales concuerde con los términos en que el afectadoexpresó su voluntad y, para mayor garantía, el artí-culo 11.4 establece que el consentimiento para lacesión de datos tiene carácter revocable.

Las normas del artículo 11, sin embargo, no seránde aplicación si, antes de que se produzca la cesión,se efectúa el procedimiento de disociación; es decir,cuando a los datos de carácter personal objeto de lacomunicación se les aplique un tratamiento tal, quela información obtenida no pueda relacionarse conuna persona concreta. No obstante, esta cuestión seplantea como muy problemática respecto de losdatos genéticos pues ¿hasta que punto se puedehacer anónima una información que revela lo más sin-gular de un ser humano? Debe tenerse en cuenta quela interrelación entre un individuo y su informa-ción genética se produce en unos términos sustan-cialmente diferentes del resto de la informaciónpersonal: un individuo puede no estar identificado enrelación a determinada información genética a la que

se le haya aplicado el procedimiento de disociación,pero en todo caso por la singularidad de ésta, esa per-sona siempre será un sujeto identificable en rela-ción a ella.

3. Derecho de oposición

Con la finalidad de compensar al interesado cuan-do no sea necesario solicitar su consentimiento parael tratamiento de sus datos personales, el artículo 6.4de la LOPDP recoge el derecho del interesado aoponerse al tratamiento de sus datos personales enaquellos casos en los que no sea exigible su con-sentimiento, siempre que una ley no disponga locontrario y existan motivos fundados y legítimos rela-tivos a una concreta situación personal. En estoscasos el responsable del tratamiento deberá excluirlos datos relativos al interesado. El derecho de opo-sición «se configura como un instrumento garante decarácter netamente preventivo o cautelar» (40) fren-te a las soluciones típicas de remedio a posteriori, pro-pias del sistema judicial. Tiene su razón de ser encuanto instrumento de defensa que impida el vacia-miento legal del derecho a la autodeterminacióninformativa en los casos en los que la Ley establececriterios de legitimación para el tratamiento de datospersonales distintos de la voluntad o el interés del afec-tado, ya que «se limita un derecho fundamental de lapersona por entrar en juego otros derechos jurídi-camente protegidos» (41). Por ello, la existencia derazones legítimas y la situación particular del afectadojustificarán el derecho de oposición, ya que «el prin-cipal objetivo de la Ley en cualquier caso ha de ser laprotección de los principios» (42) reconocidos en laConstitución. El artículo 17 de la LOPDP completala regulación del derecho de oposición, cuyo ejerci-cio será gratuito y remite al posterior desarrolloreglamentario, para la determinación del procedi-miento de ejercicio.

4. El derecho a una protección especial de losdatos sensibles

Las informaciones sensibles, como ya hemosadelantado, son aquellas que se refieren a cuestionesíntimamente ligadas al núcleo de la personalidad yde la dignidad humana. Los datos genéticos sondatos sensibles y, por ello, las posibles agresiones ala libertad, a la intimidad, las posibilidades de serdiscriminado o cualquier otra contra el ejercicio delos derechos fundamentales de las personas, se


Ricoy Casas R.M.


van a ver agravadas cuando los datos tratadossean de esta clase. Su especial naturaleza, por lo ínti-mo de las informaciones a las que hacen referencia,así como por lo particularmente graves que puedenser las consecuencias de su utilización fraudulentapara las personas a las que se refieren, hacen nece-sario que se refuercen las medidas adoptadas parasu garantía y protección.

Las normas que establecen determinadas caute-las para la especial protección de los datos sensiblesse encuentran en el artículo 7 de la LOPDP. Res-pecto de los datos genéticos, en la medida en quelos hemos incluido en el grupo de los datos rela-tivos a la salud, estas normas se completan con lorecogido en el artículo siguiente y en su legislaciónespecífica. Como ya se ha dicho la garantía fun-damental que la Ley de protección de datos per-sonales brinda a los datos genéticos es que sólo vana poder tratarse con el consentimiento expreso delinteresado o cuando una ley, por razones de inte-rés genera, así lo autorice.

Los datos genéticos podrán ser objeto de trata-miento –se entiende que sin el consentimiento delinteresado– cuando resulte necesario «para la pre-vención o para el diagnóstico médicos, la prestaciónde asistencia sanitaria o tratamientos médicos o lagestión de servicios sanitarios, siempre que dicho tra-tamiento de datos se realice por un profesionalsanitario sujeto a secreto profesional o por otrapersona sujeta asimismo a una obligación equivalentede secreto» (43). Igualmente, en los casos en los queel tratamiento de datos sea necesario para salva-guardar el interés vital del afectado o de otra personay éste se encuentre física o jurídicamente incapacitadopara prestar su consentimiento.

Las condiciones para el tratamiento legítimo de losdatos genéticos vendrán establecidas en la legislaciónespecífica, en la cuál además encontramos definidoslos posibles intereses justificadores del tratamientode dichos datos. Éste estará justificado, en la mayo-ría de los casos para proteger la salud del interesado,pero también podrán respaldarlo otras razones deinterés general como puede ser la salud de la pobla-ción en general o de terceras personas. El trata-miento de los datos relativos a la salud podrállevarse a cabo, por lo tanto, no sólo en beneficio dela salud del propio afectado, sino también cuando serealice para dar satisfacción a un interés generalcontenido en la Ley –prevención y diagnóstico

médicos, prestación de asistencia sanitaria, trata-mientos médicos–, y el tratamiento de datos lo rea-lice el personal sanitario u otras personas, sujetos asecreto profesional.

Para el tratamiento de la información genéticaha de tenerse presente lo dispuesto en el artículo 10de la Ley General de Sanidad, parcialmente derogadopor la Ley 41/2002 (44) que garantiza los dere-chos de los afectados al respeto de su personali-dad, dignidad e intimidad y a la confidencialidad detoda la información relacionada con su proceso yestancia en instituciones sanitarias, públicas o pri-vadas. Igualmente, la Ley 41/2002 incluye los dere-chos anteriores entre sus principios básicos, lo quesignifica que el tratamiento de los datos genéticosdebe responder a la regla fundamental «de asegurarque la utilización de los datos médicos se hace nosolamente con el fin de suministrar a los indivi-duos los mejores cuidados y servicios médicos, sinotambién, de tal forma que se respeten la dignidad eintegridad física y mental de los mismos» (45).

Las normas básicas para el tratamiento de la infor-mación genética se encuentran en el Capítulo I de laLey 41/2002 sobre «principios generales» que secompletan con lo establecido en los dos capítulossiguientes sobre «el derecho de información sanita-ria» y «el derecho a la intimidad». Es especialmenteimportante para la materia que nos ocupa, la regla-mentación prevista en el artículo segundo de la Ley.Así, debe destacarse que la dignidad de la persona, elrespeto a la autonomía de su voluntad y a su inti-midad, deberán orientar toda la actividad encaminadaa obtener, utilizar, archivar, custodiar y transmitir lainformación y documentación clínica (46) y, ennuestra opinión, estos derechos deberán servir tam-bién de canon interpretativo para ponderar los inte-reses en conflicto en aquellos supuestos en los que lainformación genética sobre la salud de una personadeba servir a otros fines diferentes de la protección dela suya propia. Este principio se complementa con elderecho a la intimidad del paciente, cuyo contenidoen el ámbito sanitario se desarrolla en el artículo 7 dela Ley 41/2002 estableciendo que «toda personatiene derecho a que se respete el carácter confidencialde los datos referentes a su salud, y a que nadiepueda acceder a ellos sin previa autorización ampa-rada por la Ley». Además corresponderá a los centrossanitarios adoptar todas las medidas necesarias paragarantizar la intimidad de las personas y la confi-


Ricoy Casas R.M.


dencialidad de la información, debiendo asimismo,elaborar las normas y procedimientos protocolizadospara garantizar el acceso legal a los datos de lospacientes. Estas normas completan lo ya visto res-pecto del principio de seguridad y se complementancon la exigencia del deber de secreto al que nosreferiremos posteriormente Igualmente se establecenobligaciones relativas al mantenimiento y conser-vación en condiciones de seguridad de acuerdo conlo establecido en la LOPDP.

Por otra parte, los datos relativos genéticos,como ocurre con demás datos personales, sensibleso no, se encuentran amparados por el principio definalidad de modo que no podrán ser utilizadospara usos distintos de los estrictamente sanita-rios; esto es, para prevenir, controlar y tratar lasenfermedades o epidemias, realizar investigaciones,etc. (47) La Ley 41/2002 establece que los usoslegales de la historia clínica en los artículos 15.2 y16, que ya hemos visto.

El cumplimiento estricto de estos principios esespecialmente importante, porque los datos sensiblesy muy especialmente los genéticos son fácilmente uti-lizables para discriminar a la personas, conculcan-do sus derechos fundamentales (48). En la actualidadlos dos ámbitos en los que se comienza a manifestaresta incidencia directa de la información genética, sonel laboral y el de los seguros, pudiendo llegar aintroducirse «una nueva forma de discriminaciónmucho mayor que las hasta ahora conocidas y quepodría conducir a la creación de una clase de per-sonas “incontratables” (...) e “inasegurables”» (49).No obstante, este fenómeno puede extenderse rápi-damente a otros ámbitos, a medida que se avance enel descifrado genético y los costes de las pruebas gené-ticas se vayan reduciendo y, además, el riesgo de«estigmatización y discriminación sociales (existe)no sólo para la persona que se someta a la prueba(genética), sino también para sus familiares» (50). Poresta razón y ante los avances producidos en el des-ciframiento del mapa genético humano, el Conveniorelativo a los derechos humanos y la biomedicinaprohíbe en su artículo 11 «toda forma de discrimi-nación de una persona a causa de su patrimoniogenético». Igualmente, en la Declaración Universalsobre el Genoma Humano y los Derechos Humanosde 11 de noviembre de 1997 se insiste en el respetoa la dignidad y derechos de los individuos, conindependencia de sus rasgos genéticos, lo que impi-

de que se reduzca a los individuos a estos rasgos, res-petando el carácter único de cada uno y su diversi-dad (51). Por ello, «nadie podrá ser objeto dediscriminaciones fundadas en sus característicasgenéticas, cuyo objeto o efecto sería atentar contrasus derechos humanos y libertades fundamentales yel reconocimiento de su dignidad» (52).

Ahora bien, los problemas relativos a los posiblesusos de la información genética relativa a una per-sona identificada o identificable, distintos de lasfinalidades estrictamente médicas –para diagnosti-car, prevenir o tratar enfermedades–, no se reducena los ataques a la igualdad, discriminado a los aptosgenéticamente de los no aptos. La dignidad personalse encuentra directamente afectada por otras razo-nes. Por un lado, el ser humano podría pasar de serconsiderado «sujeto a mero objeto de la técnica» (53)y, por otro, se está produciendo una nueva suerte dedeterminismo, el determinismo genético, que afir-maría que las cualidades e, incluso, el comporta-miento humano estaría determinado genéticamente,produciéndose un nuevo reduccionismo biológicoque atribuiría «a los genes toda la riqueza socio-cultural del comportamiento humano» (54).

Los datos genéticos proporcionan informaciónsobre el estado de salud actual, pero también sobresu pasado y futuro, por lo que «esta nueva técnicapuede ser caracterizada sumariamente como uninstrumento para presentar públicamente el cuadromás amplio posible de las características y, hasta psi-cológicas, de una persona» (55). De entre los posi-bles análisis o pruebas genéticas (56) sonespecialmente relevantes para la intimidad y losderechos fundamentales de las personas, las pruebasde detección genética (genetic screening). Estas téc-nicas consisten en examinar el código genético com-pleto de un individuo con la finalidad de averiguardistintos atributos. Una de sus aplicaciones es ladetección de enfermedades, o la predisposición aellas, monogenéticas –causadas por un único gen– omultifactoriales –que se derivan de los efectos de unoo más genes y de su interacción con diversos facto-res medioambientales–. La utilización de esta infor-mación personal puede ser muy útil y beneficiosa –enlos casos en que la enfermedad detectada tenga tra-tamiento y/o pueda prevenirse–, pero también podráser utilizada en perjuicio de la persona y sus derechos,bien cuando, por ejemplo, no exista tratamiento y sele crea al individuo una inquietud y ansiedad inne-


Ricoy Casas R.M.


cesaria sabiéndose portador de un determinadogen «defectuoso» o cuando esta información sea uti-lizada para tomar decisiones perjudiciales para elinteresado. Por esa razón deberá exigirse con un rigormáximo el respeto a los principios de protección dedatos personales y a los derechos de los interesados.Sin embargo, a diferencia de lo que ocurre conotros datos personales relativos a la salud, por lanaturaleza de la información que contienen datosgenéticos, pueden producirse conflictos entre losintereses entre el titular de los datos y sus familiareso incluso terceras personas.

De acuerdo con lo establecido en la Ley 41/2002,el interesado tiene derecho a que se preserve su inti-midad y la confidencialidad de su informaciónpersonal, a ser informado y acceder a su historia clí-nica, a cancelar los datos personales relativos a lasalud en los términos previstos en la Ley y a nosaber. A diferencia del resto de la informaciónrelativa a la salud, la información genética no se cir-cunscribe a una única persona, sino que revelaasimismo información sobre sus parientes bioló-gicos y puede tener consecuencias para sus des-cendientes. Por ello, el derecho del interesado a laconfidencialidad de sus datos puede entrar en con-flicto con el derecho de sus familiares consanguíneosa ser informados. En la mayoría de los casos, el sen-tido común nos indica que la persona que haya sidosometida a una prueba de detección genética ycuyo resultado pueda reflejar la posibilidad deque los emparentados biológicamente con ellapuedan padecer determinada enfermedad, acce-derá a que esa información personal relativa a susalud les sea comunicada. Sin embargo, puedesuceder que por determinadas razones o circuns-tancias, el interesado se niegue a que dicha infor-mación les sea facilitada. Otro caso extremo posiblese presentaría cuando el interesado haya expresa-do su deseo a «no saber» sobre el resultado delas pruebas de detección genética y éstas indiquencircunstancias como las descritas en la situaciónanterior.

No hay duda de que el titular del derecho deinformación es el paciente y sólo cuando el lo permitade manera tácita o expresa se podrán comunicar asus familiares sus datos genéticos. Igualmente laLey garantiza su intimidad y el deber de confiden-cialidad, sin que nadie pueda acceder a sus datos sinautorización previa amparada por la Ley (57). Por

lo tanto, deberán ponderarse los bienes en conflic-to atendiendo a criterios de razonabilidad y pro-porcionalidad, teniéndose en cuenta la gravedadde la posible enfermedad detectada y las alternativasexistentes a la comunicación de los datos persona-les del interesado. Por otra parte, deberán comuni-carse exclusivamente aquella informaciónimprescindible respetándose en lo demás su intimi-dad. La norma general será la de obtener y comu-nicar la información genética con el consentimientode su titular y el principio de consentimiento sólopodrá quebrarse de forma excepcional y en casosextremos en los que sea la única alternativa posiblepara prevenir un peligro grave y real para la salud deterceros. Somos de la opinión de que en lo que serefiere a la información genética deben extremarselas medidas de protección de los derechos a la inti-midad y a la autodeterminación informativa de laspersonas, garantizándose plenamente su confiden-cialidad, pues «las previsibles consecuencias nega-tivas que para la atención sanitaria en general sederivarían si se levantasen las normas sobre confi-dencialidad en el caso de los servicios genéticos,son de tal envergadura que superan ampliamente losposibles beneficios que pudieran obtener los fami-liares si lo servicios genéticos tuvieran la obliga-ción legal de informarles» (58).

5. El derecho de acceso (59)

Está regulado en el artículo 15 que lo configuracomo el derecho de las personas a solicitar y obtenergratuitamente información de sus datos persona-les sometidos a tratamiento, del origen de los mismosy de las comunicaciones realizadas o previstas. Parasu ejercicio la Ley establece un límite temporal: sólopodrá ejercitarse a intervalos no inferiores a docemeses, salvo que se acredite un interés legítimo quejustifique un nuevo acceso.

Las normas de la LOPDP que regulan el derecho deacceso se encuentran completadas con las disposi-ciones contenidas en el artículo 12 del Real Decreto1332/1994, de 20 de julio que establece que el dere-cho de acceso se ejercerá mediante petición o solicituddirigida al responsable del fichero, formulada por cual-quier medio que garantice la identificación del afec-tado y en la que conste el fichero o ficheros a consultar.

Para hacer efectivo el acceso y siempre que laconfiguración de fichero lo permita, el afectadopodrá optar por uno o varios de los siguientes sis-


Ricoy Casas R.M.


temas: visualización en pantalla, escrito, copia o foto-copia remitida por correo, telecopia o cualquierotro procedimiento que sea adecuado a la configu-ración e implantación material del fichero, ofrecidopor su responsable. Sea cual sea el sistema elegido porel afectado, la información deberá facilitársele enforma legible e inteligible, transcribiendo los datosdel fichero si fuera necesario, sin usar códigos oclaves que requieran el uso de dispositivos mecáni-cos específicos. Además, la información que se le faci-lite al interesado deberá necesariamente referirse alos siguientes extremos: los datos de base del afec-tado, los resultantes de cualquier elaboración oproceso informático, el origen de los datos perso-nales, los cesionarios de los mismos y la especifica-ción de los concretos usos y finalidades para los quese almacenaron (60).

El afectado tendrá derecho a ser informado delas comunicaciones de sus datos personales, que sehan hecho a terceros, así como de la identidad delcesionario y de las finalidades de la cesión, debiendo«ser puesto al tanto de todos los extremos que le ata-ñen» (61). Y ello aunque se hubiera producido elsupuesto contemplado en el artículo 27 del la Ley. Esdecir, aunque el responsable de un fichero de titula-ridad privada hubiese informado de ello al afectado,en el momento en que se efectuó la primera comu-nicación indicando la finalidad del fichero, la natu-raleza de los datos que han sido cedidos, y el nombrey la dirección del cesionario (62), deberá informar-le nuevamente de ello cuando éste decida ejercer elderecho de acceso.

El responsable del tratamiento contará con unmes de plazo, desde la recepción de la solicitud,para resolver sobre la petición de acceso. Si no hayrespuesta expresa a la solicitud, deberá entendersedenegada y si la resolución fuera estimatoria, elacceso se hará efectivo en el plazo de los diez díassiguientes a la notificación de aquella (63). Si el deacceso fuese denegado, parcial o totalmente, el inte-resado podrá ponerlo en conocimiento del Directorde la Agencia de Protección de Datos o del organis-mo competente de cada Comunidad Autónoma,para que éste estime la procedencia o improcedenciade la denegación.

El artículo 18 de la ley de autonomía del pacientegarantiza el derecho de acceso a la documentación dela historia clínica y a la obtención de copia de losdatos que figuren en ella. El derecho del paciente no

es como en el caso de derecho de acceso de la LOPDPun derecho personalísimo, por lo que puede serejercido por el propio paciente o por representantedebidamente acreditado.

El acceso a los propios datos relativos a la salud ya los datos genéticos recogidos en la historia clínicatiene dos limitaciones:

–El derecho de terceras personas a la confidencia-lidad de los datos que constan en la historia clínica yque fueron recogidos en interés terapéutico delpaciente; es decir, el acceso a la historia clínica tienecomo límite el derecho a la intimidad y a la autode-terminación informativa de terceros.

–El derecho de los profesionales participantes en suelaboración, quienes pueden oponer al derecho deacceso la reserva de sus anotaciones subjetivas.

6. Derechos de rectificación y cancelación

Se trata de dos derechos diferentes, aunque esténregulados de forma conjunta en el artículo 16 deLOPDP. Por un lado, el interesado tiene derecho a quelos datos que figuren de manera inexacta o erróneaen un fichero sean corregidos e integrados y, por otro,de la facultad de eliminar de un fichero aquellosdatos de carácter personal «que no deban figura enél, ya sea por que nunca debieron ser registrados, yasea porque habiéndose recogido legalmente, diversascausas exigen su supresión» (64). Es decir, los da-tosserán rectificados, o en su caso cancelados, cuandosean incompletos, erróneos, excesivos, no adecuados,se hayan obtenido de manera desleal o engañosa, sinel consentimiento del afectado cuando éste seaimprescindible, o se haya vulnerado algún otro pre-cepto legal en su recogida o tratamiento.

Los derechos de rectificación y cancelación supo-nen para el responsable del tratamiento, no sólo laobligación de rectificar o cancelar los datos perso-nales, sino además, en caso de comunicación, eldeber de notificar a quien se hayan comunicado losdatos, la rectificación o cancelación efectuada enlos datos personales cedidos. La LOPDP (65) obligaal cesionario de los datos a proceder también a la can-celación de los datos, en los casos anteriores y cuan-do aún mantenga su tratamiento, aunque lo lógicosería entender que cuando el responsable del trata-miento originario haya rectificado los datos perso-nales y se lo comunique al responsable cesionario, ésteprocederá igualmente a rectificarlos.

El responsable del fichero deberá hacer efectivo el


Ricoy Casas R.M.


derecho de rectificación del afectado dentro delplazo de los diez días siguientes al de la recepción dela solicitud y, en idéntico plazo se notificará al cesio-nario la rectificación operada (66). Por la rectificacióno la cancelación de los datos no se le podrá exigir alinteresado contraprestación alguna de acuerdo conel artículo 17.2 de la Ley, además, el artículo 4 de laLey establece para los responsables de los trata-mientos la carga de mantenerlos en consonanciacon la situación real del titular de los datos personalesregistrados y de cancelarlos cuando hayan dejado deser necesarios o pertinentes para la finalidad para laque fueron obtenidos.

Por su parte, la norma tercera de la Instrucción dela Agencia de Protección de Datos 1/1998 en supunto octavo dispone que la cancelación exigirá elborrado físico de los datos, sin que sea suficiente aestos efectos una marca lógica o el mantenimiento deotro fichero alternativo en el que figuren las bajas pro-ducidas. Además la actual reglamentación de derechode cancelación establece que la cancelación darálugar al bloqueo de los datos (67) conservándose enexclusiva a disposición de las Administracionespúblicas, Jueces y Tribunales, para la atención de lasposibles responsabilidades nacidas del tratamientodurante el plazo de prescripción de éstas, transcurridoel cual deberá procederse a su supresión. Por lotanto, si el bloqueo de los datos sólo procede eneste caso, en los demás la cancelación significa siem-pre la supresión física de los mismos.

Respecto de los datos genéticos contenidos en la his-toria clínica se establece un período de tiempo duran-te los cuales éstos no podrán ser cancelados: elartículo 17 de la Ley 41/2002 establece el plazo de almenos cinco años desde el alta del proceso asistencialpara la conservación de la historia clínica

7. Derecho a no verse sometido a una decisióncon efectos jurídicos basada exclusivamente enun tratamiento de datos y a impugnar las valora-ciones que apoyan tal decisión

El derecho que regulan las disposiciones del artículo13 de la LOPDP es absoluto respecto de los datosgenéticos, habida cuenta del estricto acotamiento desus usos legítimos y la prohibición de discriminaciónpor razones genéticas. El perfil genético sólo podráobtener y utilizarse por razones de salud de unapersona o de terceros, o por razones de interés gene-ral en los términos antedichos.

8. Confidencialidad de la información y exi-gencia del secreto profesional

Al tratarse de informaciones sumamente sensi-bles, las legislaciones tanto internacionales comonacionales, insisten en asegurar, a través de cláusulasde confidencialidad, la intimidad y privacidad de laspersonas afectadas. Igualmente lo hacen así las nor-mas sectoriales sobre derechos de los pacientes en lamayoría de los Estados. Por ello, la obtención y tra-tamiento de la información genética sólo podrá serrealizado por un profesional sanitario sujeto alsecreto profesional o por otra persona sujeta a unaobligación equivalente a esta. Todo aquel que porrazón de su profesión conoce datos sobre otros conlos que se relaciona, tiene un deber general de no que-brantar la confianza que ha recibido. Este debergeneral de discreción «alcanza un grado distintocuando la ley lo configura como un deber positivo deguardar secreto profesional» (68). Respecto de losdatos genéticos se debe afirmar el deber positivode secreto profesional de todos los que intervenganen su recogida y tratamiento, con independenciade que se trate de personal sanitario o no. Es decir, nosólo se obliga al sigilo profesional al personal sanitarioque tenga conocimiento o acceso a la informacióngenética, sino a cualquiera que incluso por razones demera gestión acceda a esos datos.

Así se hace en el artículo 10 de la LOPDP se regu-la la obligación para el responsable del fichero yquienes intervengan en cualquier fase del trata-miento de datos de carácter personal de respetar elsecreto profesional respecto de los mismos y al deberde guardarlos. Además estas obligaciones subsistiránaun después de finalizar sus relaciones con el titulardel fichero o con el responsable del tratamiento, ensu caso. El responsable del tratamiento o quienintervenga en alguna fase de éste se encuentra doble-mente obligado cuando la información personal serefiera a la salud de las personas (incluida la infor-mación genética), ya que al deber general de secretoestablecido en la Ley de protección de datos perso-nales debe sumarse el regulado en el artículo 2.7 y16.7 de la Ley 41/2002, de 14 de noviembre. LaLey reguladora de la autonomía del paciente y de losderechos y obligaciones en materia de información ydocumentación clínica dispone que la persona queelabore o tenga acceso a la información y docu-mentación clínica está obligada a guardar la reserva


Ricoy Casas R.M.


debida. El deber de confidencialidad es tambiénuna exigencia constante en la normativa internacionalespecífica y en nuestro ordenamiento se encuentrareforzada en el Título X del Código Penal (69).

LA COMUNICACIÓN DE LOS DATOSGENÉTICOS

a) La comunicación de datos personales

La ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal define, enel artículo 3, la cesión o comunicación como todarevelación de datos realizada a una persona distintadel interesado, entendiendo por interesado la personatitular de los datos que sea objeto de tratamiento.

Se encuentra regulada, en términos generales, en elartículo 11 de la LOPDP en los siguientes térmi-nos: «los datos de carácter personal objeto de tra-tamiento sólo podrán ser comunicados a un terceropara el cumplimiento de fines directamente relacio-nados con las funciones del cedente y del cesionariocon el previo consentimiento del interesado (…)». Enéste se fijan, por una parte las condiciones en las cua-les la comunicación ha de producirse –apartadoprimero del artículo 11–, por otra, las excepciones aestos requisitos –apartado segundo–. El preceptolegal se completa por el artículo 12 de la LOPDP queestablece un supuesto en el cual, a pesar de existir unacomunicación en los términos señalados en el artículo3 LOPDP, ésta en términos legales no se produce: «nose considerará comunicación de datos el acceso de untercero a los datos cuando dicho acceso sea necesa-rio para la prestación de un servicio al responsable deltratamiento». Esto es, cuando el tratamiento dedatos sea realizado por un tercero, posibilitando, deesta forma la contratación externa del mismo (70).No obstante, este acceso de terceros queda sometidoa una serie de condiciones formales:

–La realización del tratamiento por cuenta de ter-ceros tiene que estar regulada por un contrato escri-to o por cualquier forma que permita acreditar sucelebración y contenido (artículo 12, apartado 2, dela LOPDP). Aunque la Ley permita esta última posi-bilidad, la jurisprudencia viene exigiendo, al igual quesucedía con el artículo 27 de la derogada LORTAD,que el contrato se celebre de forma escrita, inter-pretando el término ‘figurar’ que aparece en elmismo artículo –‘que no los aplicará o utilizará confin distinto al que figure en el contrato’– sólo tiene sen-

tido en relación con un contrato escrito y con lafinalidad de la ley. La razón que fundamenta talinterpretación es la existencia material de comuni-cación, aunque jurídicamente ésta no se produzca. Lacomunicación de facto supone un peligro o riesgo depublicidad adicional del dato pues se encuentra enpoder de un tercero distinto a aquel a quien el afec-tado prestó su consentimiento (71).

–Obligación del encargado del tratamiento de nousar los datos con fines distintos de aquellos que figu-ren en el contrato y de no comunicar a otras personasdichos datos (72).

–Obligación de implantar las medidas de segu-ridad previstas legal y reglamentariamente, ydeber de sigilo profesional respecto a los datoscomunicados.

–Obligación de devolución o destrucción de losdatos, incluso de cualquier soporte o documentoen que éstos se encuentren, una vez finalizada larelación contractual (73).

Retomando el análisis del artículo 11 LOPDP enel que se encuentra recogida la regla general de lacomunicación, éste fija dos

acceso y cesión de la información genética contenida en la historia … · 2011. 9. 26. · nio...

Documents