Derecho Sanitario: LA AUTORREGULACIÓN DE LA PROTECCIÓN DE DATOS

La estrecha relación que los especialistas en Derecho Sanitario y específicamente en protección de datos de carácter personal en el sector sanitario, nos une a los profesionales sanitarios permite afirmar que la aplicación de las obligaciones impuestas por la normativa vigente en materia de protección de datos no les está resultando una tarea fácil, sino todo lo contrario, dada la complejidad de este ámbito, en el que se entrecruzan las disposiciones generales en esta materia y las específicas del sector, encontrándose, pese a ello, lagunas en numerosos aspectos. Los profesionales y los centros sanitarios en las que ejercen su profesión se enfrentan, constantemente, a complejas situaciones e importantes problemas a la hora de aplicar dicha normativa y hallar soluciones prácticas que permitan el funcionamiento eficaz de los servicios sanitarios.

La autorregulación puede suponer una gran ayuda para estos especialistas, ya sea desde su condición de responsables de los ficheros o tratamientos de datos de carácter personal, Artículo 3.c) LOPD: “Responsable del fichero o del tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento” o de usuarios, “personas autorizadas por el responsable del fichero para que, en cumplimiento de sus funciones, acceda a datos de carácter personal”, de los mismos, adaptando la aplicación de las previsiones de protección de datos a las peculiaridades propias de su profesión a través de los denominados códigos tipo. La elaboración de estos códigos, así como la adhesión a los mismos por parte de los responsables de tratamientos debe ir en aumento, en todos los sectores, pero resulta especialmente importante en aquellos, como el sanitario, en los que se están planteando mayores dificultades a la hora de aplicar la normativa de protección de datos. Pese a ello, las dudas planteadas por los profesionales sanitarios demuestran que nos movemos en un campo en el que existe un desconocimiento generalizado en relación con estos códigos y, en concreto, respecto a su existencia, qué son realmente y su grado de exigibilidad.

Antes de centrarnos en los códigos tipo específico de protección de datos, es conveniente definir los códigos tipo de forma genérica como conjunto de normas de buena conducta, adoptados por entidades, generalmente pertenecientes al mismo sector, como modelos a seguir para el desarrollo de sus actividades profesionales; asimilables a los códigos deontológicos o de buena práctica profesional. Las actividades reguladas a través de un código tipo pueden ser de muy diversa naturaleza, dado que el objetivo perseguido en su elaboración se centra en predefinir pautas o estándares de actuación generales a tener en cuenta por los sujetos englobados en un determinado sector.

Como decíamos al comienzo, una de las dudas que más frecuentemente se plantea entre los profesionales sanitarios se encuentra íntimamente relacionada con la naturaleza de estos códigos y, en concreto, se refiere a su grado de vinculación y obligatoriedad. En relación con esta cuestión, la propia LOPD en su Articulo 32.1 y 3 ,establece, únicamente, la posibilidad de formular códigos tipo y reconoce su carácter de códigos deontológicos o de buena práctica profesional. Con base en ello, podemos afirmar que es voluntaria su implementación y la adscripción a los mismos por parte de los profesionales. Además, la adhesión a los mismos no implica el cumplimiento de la LOPD y su normativa de desarrollo. Importa dejar claro que los responsables de ficheros no están obligados a participar en la elaboración de este tipo de códigos y, por otra parte, una vez que se encuentran elaborados e inscritos, están, del mismo modo, facultados para elegir libremente sobre su adhesión o suscripción.

No obstante, si un responsable se adhiere a un código tipo concreto, a partir de ese momento, queda obligado al cumplimiento de las disposiciones incluidas en él y su incumplimiento podría ser sancionado por el órgano creada a estos efectos. Consecuencia de ello, el responsable suscriptor o adherido estará sometida a un control periódico por parte del citado Órgano, que deberá verificar que cada una de las obligaciones aceptadas voluntariamente continúan siendo objeto de cumplimiento, resultando frecuente la creación de comités de control orientados a velar por el buen funcionamiento y aplicabilidad del código tipo.

Sin embargo, la utilización de éstos Códigos tipo por empresas de software informático están llevando a los profesionales sanitarios al convencimiento de que su compra conlleva automáticamente el cumplimiento de todas las obligaciones legales de la Ley Orgánica de protección de datos , sin mas controles posteriores como los citados, razón por la que se debe insistir en que los códigos tipo no tienen carácter normativo, sino, como ya hemos dicho, de códigos deontológicos o de buena práctica profesional, recordándoles que la adhesión a los mismo no significa que se esté cumpliendo con las obligaciones establecidas por la normativa aplicable en materia de protección de datos.

Para ello, resulta conveniente el sometimiento a una auditoría de protección de datos como medio para conseguir la adaptación de las clínicas y organizaciones sanitarias a la regulación vigente en esta materia; labor que resulta prácticamente imposible sin la ayuda de profesionales especializados. Una vez conseguido esto, es fundamental contar con un mantenimiento periódico, con el fin de estar informados de todos los posibles cambios que puedan afectarles y velar por un cumplimiento constante.