LA OBLIGACIÓN DE CUSTODIA DE DATOS ES EXIGIBLE COMO RESPONSABILIDAD OBJETIVA

Las noticias de sanciones por parte de la Agencia Española de Protección de Datos por la falta de custodia y destrucción de datos personales de los clientes, incluso de una cadena de supermercados, (AGPD. Resolución 00467/2006 de 7 de Julio de 2006), pone de manifiesto en relación a datos salud en Clínicas y Hospitales que tanto el Tribunal Supremo como la Agencia Española de protección de Datos entienden la obligación de custodia como una responsabilidad objetiva.

El artículo 9 de la Ley Orgánica de Protección de Datos establece el principio de seguridad de los datos, imponiendo al responsable del fichero la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, con la finalidad de evitar, entre otros aspectos, el acceso no autorizado por parte de ningún tercero.

A tenor de lo expuesto la Audiencia Nacional en Sentencia de fecha 23 de Marzo de 2006 declaró que lo establecido en el artículo 9 de la Ley Orgánica de Protección de Datos (LOPD), impone un obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se extravíen o acaben en manos de terceros , por lo que , todo responsable de un fichero debe asegurarse de que los mecanismos se implementen de manera efectiva sin que por tanto datos de carácter personal puedan llegar a terceras personas.

Centrada así esta cuestión, debemos llamar la atención sobre otra realidad que no deja de sorprender a los profesionales de otros sectores ya que, pese a la informatización de las consultas sanitarias, son todavía muchas las que continúan conservando en ficheros manuales los datos personales y, en concreto, clínicos de sus pacientes.

No hay lugar a dudas, en cuanto a las medidas de seguridad aplicables a los ficheros informatizados, que cuentan con un Reglamento de medidas de seguridad aprobado por Real Decreto 994/1999, de 11 de junio. Sin embargo, los ficheros manuales carecen de una normativa específica que indique las medidas a adoptar para garantizar la seguridad de los datos en ellos contenidos, lo que ha venido originando en unos casos una gran incertidumbre, y en otros, también una gran despreocupación.

No ajena a la inseguridad que está generando este escenario, la Agencia Española de Protección de Datos se pronunció a través de su Aclaración sobre la aplicación del Reglamento de Seguridad a los ficheros en soporte no automatizado, entendiendo que el RD 994/1999 resulta aplicable a los ficheros en soporte no automatizado, creados con posterioridad a la entrada en vigor de la Ley Orgánica de Protección de Datos, mientras que los existentes con anterioridad a dicha fecha, gozan de un período de adaptación que finaliza en octubre de 2007.

La Agencia de Protección de Datos de la Comunidad de Madrid, en su Recomendación 2/2004, de 30 de julio, sobre custodia, archivo y seguridad de los datos de carácter personal de las historias clínicas no informatizadas, ha aportado una serie de pautas entre las que se pueden destacar las relativas al documento de seguridad, el control de acceso físico y la gestión de documentos que constan en la historia clínica. Pese a que esta Recomendación tiene por destinatarios a los centros sanitarios públicos de la Comunidad de Madrid, los criterios aportados por la misma resultan, en su mayoría, extrapolables a las clínicas privadas, pues, en definitiva, el tipo de datos es el mismo, sanitarios en todo caso, y los historiales clínicos presentan un contenido similar, afectando de igual modo a los derechos e intereses de los pacientes. Ahora bien, es preciso señalar que, pese a constituir un importante instrumento clarificador de esta situación, la referida Recomendación carece de carácter normativo.

En definitiva, las obligaciones que de la normativa de protección de datos y documentación clínica se derivan para los profesionales sanitarios, es ineludible insistir en la importancia que la conservación diligente de la información sanitaria tiene para el conjunto de la actividad del facultativo, sin perder de vista que los datos relativos a la salud son calificados por el artículo 7 de la Ley Orgánica de Protección de Datos como especialmente protegidos, exigiendo por ello el máximo nivel de seguridad y garantías

Publicado en Redacción Médica el Martes 27 de Marzo de 2007.Número 528.AÑO III