PROTECCIÓN DE DATOS EN LA SANIDAD PÚBLICA

El contenido de este manual es propiedad de:

ICB S.L. (Interconsulting Bureau S.L.)

Avda. Ortega y Gasset, 198

P.I. Alameda 29006 – MALAGA

Tfno: 902 33 99 00

www.icbeditores.com

info@icbeditores.com

CÓDIGO: F13_00018

DEPÓSITO LEGAL: No está permitida la reproducción total o

parcial del presente manual bajo cualquiera de

sus formas gráficas o audiovisuales sin la

autorización previa y por escrito de los

titulares del depósito legal.

Impreso en España- Printed in Spain

Distribuido por Espacio Formación S.L.

Avda. Ortega y Gasset, 198

P.I. Alameda 29006 – MALAGA

www.espacioformacion.com

info@espacioformacion.com

Tfno: 952 28 87 67

PRÓLOGO

La profunda experiencia de profesionales dedicados a la enseñanza ha

hecho posible la elaboración de este manual. Se caracterizan por su

hondo conocimiento sobre las necesidades del alumnado, por el uso de

una innovadora metodología de aprendizaje así como por aplicar

diferentes técnicas de motivación garantizando de este modo el éxito de

la formación que imparten.

El propósito de este manual es el de ser una guía útil para el aprendizaje,

siendo eminentemente práctica y didáctica.

La estructura del manual en módulos, temas y epígrafes facilita la

comprensión de los contenidos, que pueden estar apoyados por

ilustraciones, esquemas, resúmenes, bibliografía, glosario,…

Además, también puede incluir diferentes tests, cuestionarios de

evaluación, actividades o casos prácticos con el objeto de que el alumno

asimile los conceptos teórico-prácticos del curso.

Para lograr la calidad educativa se ha precisado del asesoramiento de

pedagogos, profesionales de la enseñanza y expertos conocedores en

cada una de las disciplinas, con el objeto de que el resultado final sea

óptimo y el más apropiado a las necesidades educativas.

Desde la humildad del formador, queremos aportar a este apasionante

mundo en el que vivimos, caracterizado por profundos cambios

tecnológicos, de mentalidad y de actitud ante los acontecimientos,

herramientas que faciliten la adaptación a un futuro condicionado por el

cambio continuo.

Por último, agradecer la colaboración de todos los compañeros en este

proyecto, sin la cual éste no habría sido una realidad.

Módulo 1: Protección de datos en la administración sanitaria

TEMA 1: Ámbito legal. La protección de datos como derecho fundamental.

Ámbito Legal. La Protección de Datos como Derecho Fundamental

Introducción

Definiciones y Conceptos Básicos

Objeto y Ámbito de Aplicación de la LOPD

La Agencia Española de Protección de Datos

Objetivos:

Familiarizarse con los diferentes conceptos utilizados en la

normativa de protección de datos.

Conocer el ámbito de aplicación de la Ley Orgánica de

Protección de Datos.

Conocer la naturaleza, régimen jurídico, funciones y estructura

de la Agencia Española de Protección de Datos.

5

6

Introducción

El derecho a la intimidad de las personas fue reconocido por vez primera en

la Declaración Universal de Derechos Humanos de 1944. Desde entonces, numerosas

han sido las leyes que han tratado la protección de datos, siendo pionera Alemania,

que en 1970 ya promulgó la primera ley europea. Pocos años después, en 1974,

Estados Unidos dictó la conocida como Privacy Act. Por su parte, en España, se reconoce este derecho en la Constitución, concretamente en

el Capítulo Segundo “Derechos y libertades”, Sección 1ª “De los derechos

fundamentales y de las libertades públicas”, artículo 18.1, cuya expresión literal es la

siguiente:

“Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen”.

En 1992, se redacta la Ley Orgánica 5/92, de 29 de octubre, de regulación del

tratamiento automatizado de datos de carácter personal (LORTAD), desarrollándose el

mandato constitucional recogido en el artículo 18.4 de nuestra Constitución, que

disponía que “La Ley limitará el uso de la informática para garantizar el honor y la

intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Como desarrollo de la LORTAD se promulgó el Real Decreto 1332/1994, de 20 de junio y

el Real Decreto 994/1999 por el que se aprobaba el Reglamento de Medidas de

Seguridad de los ficheros automatizados que contienen datos de carácter personal.

En 1995, la Unión Europea aprobó la Directiva 95/46/CE, de 24 de octubre, relativa a la

protección de las personas físicas en lo que respecta al tratamiento de datos personales

y a la libre circulación de los datos, estableciéndose de esa forma una serie de requisitos

mínimos comunes para todos los miembros de la Unión Europea.

En 1999 se dicta la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos

de carácter personal (LOPD), adaptando el sistema jurídico español a lo establecido en la

citada Directiva. Esta Ley mejora las carencias de la LORTAD, que únicamente se

aplicaba a los ficheros automatizados.

Por último, en 2007 se aprueba el Real Decreto 1720/2007, de 21 de diciembre, por el

que se aprueba el Reglamento de desarrollo de la Ley Orgánica de protección de datos

de carácter personal. Su finalidad, al igual que la de la LOPD es hacer frente a los riesgos

que para los derechos de la personalidad pueden suponer el acopio y tratamiento de

datos personales. Nos dice el preámbulo del Reglamento que la norma nace con

vocación de no reiterar los contenidos de la norma que desarrolla, dando mayor

contenido no sólo a los mandatos de la misma, sino también a aquellos que en los años

de vigencia de la Ley se ha demostrado que precisan un mayor desarrollo normativo.

7

Definiciones y Conceptos Básicos

A continuación podemos ver una serie de definiciones y conceptos que nos ayudarán a

comprender los diferentes términos empleados en la LOPD y en su Reglamento:

Datos de carácter personal: cualquier información numérica, alfabética, gráfica,

fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas

identificadas o identificables.

Datos de carácter personal relacionados con la salud: las informaciones

concernientes a la salud pasada, presente y futura, física o mental, de un

individuo. En particular, se consideran datos relacionados con la salud de las

personas los referidos a su porcentaje de discapacidad y a su

información genética.

Afectado o interesado: Persona física titular de los datos que sean objeto del

tratamiento.

Fichero: todo conjunto organizado de datos de carácter personal, que permita el

acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la

forma o modalidad de su creación, almacenamiento, organización y acceso.

Ficheros de titularidad privada: los ficheros de los que sean responsables las

personas, empresas o entidades de derecho privado, con independencia de quien

ostente la titularidad de su capital o de la procedencia de sus recursos

económicos, así como los ficheros de los que sean responsables las

corporaciones de derecho público, en cuanto dichos ficheros no se encuentren

estrictamente vinculados al ejercicio de potestades de derecho público que a las

mismas atribuye su normativa específica.

Ficheros de titularidad pública: los ficheros de los que sean responsables los

órganos constitucionales o con relevancia constitucional del Estado o las

instituciones autonómicas con funciones análogas a los mismos, las

Administraciones públicas territoriales, así como las entidades u organismos

vinculados o dependientes de las mismas y las Corporaciones de derecho público

siempre que su finalidad sea el ejercicio de potestades de derecho público.

Fichero no automatizado: todo conjunto de datos de carácter personal organizado

de forma no automatizada y estructurado conforme a criterios específicos

relativos a personas físicas, que permitan acceder sin esfuerzos

desproporcionados a sus datos personales, ya sea aquél centralizado,

descentralizado o repartido de forma funcional o geográfica.

Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son

necesarios para un tratamiento ocasional o como paso intermedio durante la

realización de un tratamiento.

8

Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no

automatizado, que permita la recogida, grabación, conservación, elaboración,

modificación, consulta, utilización, modificación, cancelación, bloqueo o

supresión, así como las cesiones de datos que resulten de comunicaciones,

consultas, interconexiones y transferencias.

Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza

pública o privada, u órgano administrativo, que sólo o conjuntamente con otros

decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase

materialmente. Podrán ser también responsables del fichero o del tratamiento los

entes sin personalidad jurídica que actúen en el tráfico como sujetos

diferenciados.

Responsable de seguridad: persona o personas a las que el responsable del

fichero ha asignado formalmente la función de coordinar y controlar las medidas

de seguridad aplicables.

Encargado del tratamiento: La persona física o jurídica, pública o privada, u

órgano administrativo que, solo o conjuntamente con otros, trate datos

personales por cuenta del responsable del tratamiento o del responsable del

fichero, como consecuencia de la existencia de una relación jurídica que

le vincula con el mismo y delimita el ámbito de su actuación para la prestación

de un servicio. Podrán ser también encargados del tratamiento los entes

sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Cesión o comunicación de datos: Tratamiento de datos que supone su revelación

a una persona distinta del interesado.

Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano

administrativo, al que se revelen los datos. Podrán ser también destinatarios los

entes sin personalidad jurídica que actúen en el tráfico como sujetos

diferenciados.

Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser

realizada, por cualquier persona, no impedida por una norma limitativa o sin más

exigencia que, en su caso, el abono de una contraprestación.

Sistema de información: conjunto de ficheros, tratamientos, programas, soportes

y en su caso, equipos empleados para el tratamiento de datos de carácter

personal.

Sistema de tratamiento: modo en que se organiza o utiliza un sistema de

información. Atendiendo al sistema de tratamiento, los sistemas de información

podrán ser automatizados, no automatizados o parcialmente automatizados.

9

Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos.

Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.

Recurso: cualquier parte componente de un sistema de información.

Autenticación: procedimiento de comprobación de la identidad de un usuario.

Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso.

Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.

Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

Identificación: procedimiento de reconocimiento de la identidad de un usuario.

Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Perfil de usuario: accesos autorizados a un grupo de usuarios.

Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada.

Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el Reglamento, una transferencia de datos de carácter personal a un país tercero.

10

Importador de datos personales: la persona física o jurídica, pública o privada, u

órgano administrativo receptor de los datos en caso de transferencia

internacional de los mismos a un tercer país, ya sea responsable del tratamiento,

encargada del tratamiento o tercero.

Tercero: la persona física o jurídica, pública o privada u órgano administrativo

distinta del afectado o interesado, del responsable del tratamiento, del

responsable del fichero, del encargado del tratamiento y de las personas

autorizadas para tratar los datos bajo la autoridad directa del responsable del

tratamiento o del encargado del tratamiento. Podrán ser también terceros los

entes sin personalidad jurídica que actúen en el tráfico como sujetos

diferenciados.

Persona identificable: toda persona cuya identidad pueda determinarse, directa o

indirectamente, mediante cualquier información referida a su identidad física,

fisiológica, psíquica, económica, cultural o social. Una persona física no se

considerará identificable si dicha identificación requiere plazos o actividades

desproporcionados.

Procedimiento de disociación: Todo tratamiento de datos personales que permita

la obtención de datos disociados.

Dato disociado: aquél que no permite la identificación de un afectado o

interesado.

Dentro de la Sanidad, el paciente tiene derecho a que se mantenga la

confidencialidad de toda la información relacionada con su atención en cualquier

centro sanitario; así como a ceder a los datos personales obtenidos durante la

misma.

Que quede constancia escrita o en soporte técnico adecuado de su proceso,

guardando la información en su historia clínica. La información que deberá ser

al menos única por institución sanitaria, incluirá estado de salud y evolución,

así como pruebas y tratamientos que recibe.

Que se mantenga la confidencialidad de la información de su genoma y que no sea

utilizada para ningún tipo de discriminación.

Derecho a la confidencialidad de los datos referidos a creencias, filiación, opción

sexual, al hecho de haber sido objeto de malos tratos y, en general, de cuantos datos

e informaciones puedan tener especial relevancia para salvaguardar la intimidad

personal y familiar. Todo ello sin perjuicio del posible levantamiento de la

confidencialidad en cumplimiento de los deberes de comunicación y denuncia.

11

Objeto y Ámbito de Aplicación de la LOPD

El objeto de la LOPD es garantizar y proteger, en lo concerniente al tratamiento de los

datos personales, las libertades públicas y los derechos fundamentales de las personas

físicas, y especialmente a su honor e intimidad personal y familiar.

La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico,

que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos

datos por los sectores público y privado. Como hemos visto con anterioridad, el artículo 5.1.f) del Reglamento considera datos de

carácter personales a “cualquier información numérica, alfabética, gráfica, fotográfica,

acústica o de cualquier otro tipo concerniente a personas físicas identificadas o

identificables”.

Según la Directiva Comunitaria 95/46/CE, una persona será identificable cuando pueda

determinarse su identidad, directa o indirectamente, en particular mediante un número

de identificación o uno o varios elementos característicos de su identidad física,

fisiológica, psíquica, económica, cultural o social. Por otra parte, para la aplicación de la norma, no se requiere únicamente la simple

posibilidad de utilización de datos de carácter personal, sino que se precisa que estos

datos estén registrados en un soporte físico que permita realizar operaciones con ellos.

Es decir, debe existir un soporte físico organizado o estructurado conforme a

determinados criterios que permita el tratamiento de estos datos, o lo que es lo mismo,

deberá existir un fichero.

En resumen, para que sea de aplicación la normativa sobre protección de datos hay que

cumplir las siguientes premisas:

Deben existir datos de carácter personal que permitan identificar a una persona

física.

De existir un tratamiento de esos datos (almacenamiento, conservación, etc.),

entendiendo como tratamiento de datos a aquellas operaciones y procedimientos

técnicos de carácter automatizado o no, que permita la recogida, grabación,

conservación, elaboración, modificación, bloqueo y cancelación, así como las

cesiones de datos que resulten de comunicaciones, consultas, interconexiones y

transferencias.

Debe existir una organización de los datos en un fichero. Entendiendo como

fichero a todo conjunto estructurado de datos personales, accesibles con arreglo

a criterios determinados, ya sea centralizado, descentralizado o repartido de

forma funcional o geográfica.

Respecto al ámbito de aplicación territorial la normativa de protección de datos se aplica:

Cuando el tratamiento sea efectuado en territorio español en el marco de las

12

actividades de un establecimiento del responsable del tratamiento.

Cuando al responsable del tratamiento no establecido en territorio español, le sea

de aplicación la legislación española en aplicación de normas de Derecho

Internacional público.

Cuando el responsable del tratamiento no esté establecido en territorio de la

Unión Europea y utilice en el tratamiento de datos medios situados en territorio

español, salvo que tales medios se utilicen únicamente con fines de tránsito. En

este supuesto, el responsable del tratamiento deberá designar un representante

establecido en territorio español.

El Reglamento especifica, dentro de su ámbito subjetivo de aplicación que:

No será aplicable a los tratamientos de datos referidos a personas jurídicas, ni

a los ficheros que se limiten a incorporar los datos de las personas

físicas que presten sus servicios en aquéllas, consistentes únicamente

en su nombre y apellidos, las funciones o puestos desempeñados, así

como la dirección postal o electrónica, teléfono y número de fax profesionales.

No será de aplicación a los datos referidos a personas fallecidas. No obstante,

las personas vinculadas al fallecido, por razones familiares o análogas,

podrán dirigirse a los responsables de los ficheros o tratamientos que

contengan datos de éste con la finalidad de notificar el óbito, aportando

acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la

cancelación de los datos.

Por último conviene destacar que existen una serie de ficheros no regulados por la

LOPD y que se regirán por sus disposiciones específicas, y por lo especialmente

previsto, en su caso, por la LOPD, siendo estos:

Los ficheros regulados por la legislación de régimen electoral.

Los ficheros que sirvan a fines exclusivamente estadísticos, y estén

amparados por la legislación estatal o autonómica sobre la función estadística

pública.

Los ficheros que tengan por objeto el almacenamiento de los datos contenidos

en los informes personales de calificación a que se refiere la legislación del

régimen del personal de las Fuerzas Armadas.

Los ficheros derivados del Registro Civil y del Registro Central de penados y

rebeldes.

Los ficheros procedentes de imágenes y sonidos obtenidos mediante la utilización de

videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la

legislación sobre la materia.

13

La Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) se trata de un Ente de Derecho

Público con personalidad jurídica propia y plena capacidad pública y privada que actúa

con independencia de las Administraciones Públicas en el ejercicio de sus funciones.

La AEPD se presenta en la normativa española como el órgano de control y fiscalización

del cumplimiento de la LOPD, si bien, de cara al exterior se percibe como un órgano

meramente sancionador.

Las funciones de la AEPD son las siguientes (art. 37 LOPD):

Velar por el cumplimiento de la legislación sobre protección de datos y controlar

su aplicación, en especial en lo relativo a los derechos de información, acceso,

rectificación, oposición y cancelación de datos.

Emitir las autorizaciones previstas en la Ley o en sus disposiciones

reglamentarias.

Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las

instrucciones precisas para adecuar los tratamientos a los principios de la

presente Ley.

Atender las peticiones y reclamaciones formuladas por las personas afectadas.

Proporcionar información a las personas acerca de sus derechos en materia de

tratamiento de los datos de carácter personal.

Requerir a los responsables y los encargados de los tratamientos, previa

audiencia de éstos, la adopción de las medidas necesarias para la adecuación del

tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la

cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste

a sus disposiciones.

Ejercer la potestad sancionadora.

Informar, con carácter preceptivo, los proyectos de disposiciones generales que

desarrollen esta Ley.

Recabar de los responsables de los ficheros cuanta ayuda e información estime

necesaria para el desempeño de sus funciones.

Velar por la publicidad de la existencia de los ficheros de datos con carácter

personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros

con la información adicional que el Director de la Agencia determine.

Redactar una memoria anual y remitirla al Ministerio de Justicia.

14

Ejercer el control y adoptar las autorizaciones que procedan en relación con los

movimientos internacionales de datos, así como desempeñar las funciones de

cooperación internacional en materia de protección de datos personales.

Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Al artículo 37 de la LOPD (funciones de la AEPD), la Ley 62/2003, de 30 de diciembre, de

medidas fiscales, administrativas y de orden social, le añadió el apartado 2 que

establece que se harán públicas las resoluciones de la Agencia, una vez hayan sido

notificadas a los interesados. Dicha publicación se llevará a cabo preferentemente a

través de medios informáticos o telemáticos.

La composición de la AEPD es la siguiente:

El Director: ostenta la representación de la Agencia y la dirige. Es nombrado de

entre los componentes del Consejo Consultivo por un periodo de 4 años.

El Consejo Consultivo: asesora al Director, emite informes sobre todas las

cuestiones que solicite el Director y formula propuestas en materia de protección

de datos. Se reúne como mínimo semestralmente.

El Registro General de Protección de Datos: se encarga de velar por la publicidad

de los tratamientos de datos, mediante la inscripción de los ficheros de titularidad

público y privada.

La Inspección de datos: se encarga de la comprobación de la legalidad de los

tratamientos.

La Secretaría General de la Agencia: apoya en el funcionamiento de la Agencia.

Una herramienta fundamental de la Agencia de Protección de Datos es su página web:

www.agpd.es que permite entre otras cosas:

Consulta de dudas en materia de protección de datos.

Conocer los derechos de los afectados.

Consulta del Registro General de la Agencia Española de Protección de Datos, en

el cual se encuentran inscritos los ficheros de las empresas de todo el territorio

español.

Conocer las últimas novedades sobre protección de datos, etc.

15

LO QUE HEMOS APRENDIDO

El derecho a la intimidad de las personas fue reconocido por vez primera en la

Declaración Universal de Derechos Humanos de 1944.

La Constitución española garantiza el derecho al honor, a la intimidad personal y

familiar y a la propia imagen.

En 1999 se dicta la Ley Orgánica 15/1999, de 13 de diciembre, de protección de

datos de carácter personal.

Un dato de carácter personal es cualquier información numérica, alfabética,

gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas

físicas identificadas o identificables.

Un fichero es todo conjunto organizado de datos de carácter personal, que

permita el acceso a los datos con arreglo a criterios determinados, cualquiera que

fuere la forma o modalidad de su creación, almacenamiento, organización y

acceso.

El objeto de la LOPD es garantizar y proteger, en lo concerniente al tratamiento de

los datos personales, las libertades públicas y los derechos fundamentales de las

personas físicas, y especialmente a su honor e intimidad personal y familiar.

La LOPD es de aplicación a los datos de carácter personal registrados en soporte

físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso

posterior de estos datos por los sectores público y privado.

La Agencia Española de Protección de Datos (AEPD) se trata de un Ente de

Derecho Público con personalidad jurídica propia y plena capacidad pública y

privada que actúa con independencia de las Administraciones Públicas en el

ejercicio de sus funciones.

La página web de la Agencia de Protección de Datos es www.agpd.es.