Salud

Privacidad y salud digital

¿Alguien ha visto la película GATTACA? La película se desarrolla en un mundo futuro donde la genética lo determina todo. Un buen perfil genético cuenta más que un master en el MIT y te convierte en candidato para salir con el chico más guapo y genéticamente más apto. El protagonista (Ethan Hawke) es sometido a constantes análisis de sangre y tejido en cualquier ocasión cotidiana: para entrar en la empresa, por parte de la policía, de su pretendiente, etc.

¿Es ciencia-ficción? No lo creemos. El futuro ya ha llegado: tenemos a una famosa actriz que, previendo un futuro cáncer por obra de análisis genéticos, se somete a una intervención preventiva; la selección genética de embriones ha llegado a otra dimensión, por ejemplo, en Bélgica, donde se permite la selección in vitro del sexo de tu bebe, y otros muchos casos.
No, el futuro ya está aquí, y es por ello que la mayoría de nosotros comenzamos a valorar las antes desconsideradas leyes de privacidad, protección de datos o la ley que regula el acceso a la historia clínica.

Protección de los datos de salud bajo la actual normativa española

La Constitución Española del año 1978 ya contemplaba la protección de datos de salud garantizando el honor y la intimidad personal y familiar de los ciudadanos (art. 18.4) y el derecho a la protección de la salud (Art. 43).

No obstante, a medida en que la tecnología y en consecuencia la accesibilidad de los datos por vía electrónica ha ido aumentando, la normativa española –con ayuda de la Unión Europea- se ha visto avocada a adaptarse, llegando incluso a adelantarse, a la tecnología.

La normativa que protege nuestros datos de salud (entre otras) es la siguiente:

  • Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (Ley de Autonomía del Paciente).
  • Para el caso de una entidad aseguradora, la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras (LOSSEAR) que entrará en vigor el 1 de enero de 2016.

Tratamiento y cesión de los datos de salud (por profesionales sanitarios)

Todas las normas que acabo de citar pretenden garantizar la información de su salud, el consentimiento informado y la intimidad de la información.

Como regla general, los datos de salud, sólo pueden ser recabados, tratados y cedidos cuando así lo disponga una Ley o el afectado CONSIENTA EXPRESAMENTE. No obstante, hay varias excepciones con bastante sentido común a esta regla general, como por ejemplo: se podrán tratar datos de salud sin consentimiento del afectado cuando sea necesario para la prestación de asistencia sanitaria o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario o asimilado sometido al secreto profesional. Es decir, que cuando entre por la puerta de un Hospital y le cuente a su médico su problema de salud, este no tendrá que interrumpirle y decir “Perdone, ¡no continúe!, antes de informarme de su problema de salud firme este consentimiento”.

Una vez se recaban sus datos de salud (en forma de historia clínica), estos serán custodiados por el centro o profesional médico que le haya asistido o donde se haya hecho las pruebas. El uso que estos podrán dar a sus datos estará limitado a su asistencia o diagnóstico médico o a cualquier otra finalidad que usted haya consentido expresamente.

A día de hoy, la historia clínica está en general informatizada, permitiendo así al personal médico un acceso rápido y completo a todos los datos de salud del paciente que sean imprescindibles para su tratamiento o diagnóstico. Evidentemente el profesional sanitario que trabaje en un centro/sociedad médica estará habilitado para acceder a la historia clínica y datos de salud de su paciente pero de manera limitada. No debe tener acceso a los mismos datos una enfermera que le va a poner una vacuna que un médico que debe conocer su historia clínica completa para tratar un cuadro alérgico. Por ese motivo, de nuevo, la tecnología sale en ayuda de la asistencia médica y proporciona accesos limitados a la función de cada profesional y la seguridad necesaria a este tipo de información.

Tratamiento y cesión de los datos de salud (por no profesionales sanitarios)

Por el contrario, si el que recaba sus datos de salud no es un profesional sanitario, será necesario que le pida su consentimiento para el tratamiento y/o cesión de sus datos siempre limitando su uso a ciertas finalidades.

Ahora mismo, por ejemplo, estoy trabajando en un buen ejemplo de esto último. Sanitas se ha puesto como objetivo concienciar a otras empresas de los beneficios de cuidar la salud y bienestar de sus empleados para, en posteriores años, expandirlo a toda una ciudad.

Para ello ha organizado un programa de deporte gratuito dirigido a los propios empleados de Sanitas y de otras empresas terceras. Todas estas personas juntas sumarán puntos (medidos en calorías) para obtener financiación para la Fundación Española del Corazón.

La forma de medir el consumo de calorías de los participantes será a través una variedad de apps que los participantes se hayan podido descargar en sus móviles (p.e Runkeeper, Nike+, Runtastic, Garmin, etc.) y que recaban información sobre actividad deportiva, salud y nutrición del usuario.

Los datos que haya introducido en estas apps podrán ser comunicados o no a Sanitas dependiendo de los consentimientos que haya dado a la propia app, donde se mide su actividad física y se recogen otros datos que podrían ser considerados de salud.
Pues, ¡tranquilo! Las 3 o 4 apps cuyos avisos legales he revisado son muy respetuosas con la información que recaban y no ceden sus datos de salud, seguramente por la dificultad que entraña recabar un consentimiento expreso e inequívoco para estos fines y por la reserva que, en general, el usuario desea sobre este tipo de datos.

No obstante, hay que estar alerta, puesto que algunas de estas apps no tienen su sede en la Unión Europea y pueden entender estar sometidas a otras normas mucho más permisivas que las que acabo de explicar.

En cualquier caso, suponiendo que la app fuese europea, debería recabar el consentimiento expreso del usuario para recoger sus datos de salud en relación con los tratamientos y finalidades que se pretende dar a los mismos y además, recabar su consentimiento para la cesión de los mismos para ciertos usos comerciales. Todo ello vendrá señalado en la política de privacidad de cada app, que debe aceptar expresamente para acceder a la misma con el típico “He leído y acepto… ” que nadie lee.
Todo esto debería llevarle a pensar que es muy conveniente leer estas políticas de privacidad antes de descargarse una app. ¡Imagine lo que hasta ahora ha consentido que se haga con sus datos!

Sol Fernández-Rañada López-Dóriga

“Privacidad en la ciencia ficción”

Sol Fernández-Rañada López-Dóriga, Abogado, Asesoría Jurídica