Congresos de la AEDS

VII CONGRESO NACIONAL DE DERECHO SANITARIO

Ilustre Colegio Oficial de Médicos de Madrid

(Madrid, 19, 20 y 21 de Octubre de 2000)

  

 

LA PUBLICIDAD DE LOS ARCHIVOS JUDICIALES Y LA CONFIDENCIALIDAD DE LOS DATOS SANITARIOS

D. Pablo Lucas Murillo de la Cueva

Vocal del Consejo General del Poder Judicial

 

El asunto que se me ha encomendado tratar enlaza dos materias que parecen estar inspiradas por criterios contrapuestos: por una parte, el régimen de los archivos judiciales, sobre el que es preciso saber si se proyecta la regla de la publicidad que el artículo 120.1 de la Constitución quiere que presida las actuaciones judiciales y, por la otra, el estatuto de los datos sanitarios, respecto del cual la norma sería la de su confidencialidad. Al abordar estas cuestiones vamos a comprobar que las cosas no son exactamente lo que parecen ser y que esa contraposición es más aparente que real. Para apreciarlo es preciso examinar las líneas generales que informan la regulación jurídica de cada una de esas materias. Comenzaremos con las que se refieren a los archivos judiciales.

 

1.- La protección de datos personales y los ficheros del Poder Judicial.
Principios e instrumentos
(1).

Las normas relativas a los datos personales que manejan los ficheros de los órganos judiciales se integran en el conjunto de las que componen el Derecho de la Protección de Datos Personales, el cual descansa en el artículo 18.4 de la Constitución y tiene en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) su disciplina principal(2).

Tales reglas buscan armonizar su utilización de los archivos judiciales en todos los casos en que sea preciso, y con toda la intensidad y extensión que sean procedentes, con la salvaguardia de los derechos que asisten a las personas a las que los datos en ellos contenidos se refieren. Y, como es natural, fuera de los supuestos en los que se haya establecido otra cosa, esa garantía implica la confidencialidad de tal información, la cual, en la medida en que deba existir, se proyecta fundamentalmente sobre terceros distintos del interesado y del órgano judicial que conoce de un proceso determinado en el que se maneja esa información personal. Tal exigencia de confidencialidad o reserva implica, para el órgano judicial, una serie de obligaciones en lo que se refiere a la seguridad de la información personal que almacena --derivadas del Título II de la LOPD (artículos 9 y 10)(3)-- y a las condiciones en que puede facilitarla o cederla. Correlativamente, están presentes restricciones a la posibilidad de acceder a ella por parte de terceros, así como límites respecto de los datos personales que pueden ser tenidos en consideración y, posteriormente, incorporados a los ficheros judiciales. Así, pues, la publicidad que debe caracterizar las actuaciones judiciales no es la pauta que inspira el régimen del acceso a los datos obrantes en los archivos judiciales.

Ahora bien, el problema que estas regulaciones y, en particular, la LOPD, presentan es que buena parte de sus disposiciones no son aplicables, o lo son sólo en parte, a los tratamientos de datos realizados en el seno del Poder Judicial y, especialmente, en los Juzgados y Tribunales(4). Un examen de su contenido revela que las reglas sectoriales (Títulos IV, V, VI, VII) no se refieren al Poder Judicial, lo cual es llamativo porque, luego, en las disposiciones adicionales, no se adopta ninguna previsión para él.

La LORTAD sí se refería en una de ellas al Consejo General del Poder Judicial que, desde luego, no es el que va a crear, ni a padecer, excesivas complicaciones en este punto. No obstante, su disposición adicional 1ª lo mencionaba para excluirle de la aplicación, entre otros, de los Títulos VI (Agencia de Protección de Datos) y VII (Infracciones y sanciones) de aquélla ley orgánica. Esa disposición tuvo, sin embargo, la virtud, de poner de manifiesto que, en lo demás, en lo no exceptuado, las normas legales regían también para los ficheros judiciales. Especialmente las referidas a los principios y derechos (Títulos II y III) enunciados por ese texto legal, y las normas definitorias contenidas en su Título I. Es evidente que, aun en el caso de que la anterior ley no diera pié a esta interpretación a contrario, la solución sería la misma por virtud de la fuerza normativa de la Constitución. Me refiero, en particular, a cuanto resulta del Convenio 108 del Consejo de Europa que, de acuerdo con el artículo 10.2 del texto fundamental, sirve para llenar de contenido el artículo 18.45. No obstante, esta es una materia de la suficiente importancia como para que el legislador se hubiera preocupado ya de establecer disposiciones que la regulen directamente despejando, así las dudas -y, también, la inseguridad jurídica-- que todavía existen en ella.

La Ley Orgánica 16/1994, 8 de noviembre, de reforma de la del Poder Judicial, en la nueva redacción que dio al artículo 230, reconoció la aplicación de los principios y derechos explicitados en la LORTAD a los ficheros judiciales, pero no fue mucho más allá. En efecto, se limita a:

a) Autorizar la utilización por los órganos judiciales de medios electrónicos informáticos y telemáticos, si bien sometiendo ese uso a las limitaciones derivadas de la Ley Orgánica 5/92.

b) Salvaguardar la confidencialidad, privacidad y seguridad de los datos contenidos en los ficheros judiciales y

c) Encomendar al Consejo General del Poder Judicial la determinación de los requisitos y demás condiciones que afecten al establecimiento y gestión de los ficheros automatizados que se encuentran bajo la responsabilidad de los órganos judiciales de forma que se asegure el cumplimiento de las garantías y derechos establecidos en la LORTAD.

Como se puede apreciar, estamos ante simples normas de habilitación y de remisión, que, hoy por hoy, siguen siendo las únicas de este rango que se dirigen expresamente a regular el tratamiento de datos personales realizado por los distintos órganos del Poder Judicial. Porque la LOPD --a la que hay que referir la remisión de la LOPJ a la LORTAD-- guarda silencio, no contiene ninguna previsión para el Consejo General del Poder Judicial ni para los órganos judiciales, y las referencias puntuales a ellos como receptores de datos o las relativas a la tutela jurisdiccional, no alteran la situación: se les aplican las normas legales sobre principios y derechos en lo que no sea incompatible con la posición propia de los órganos del Poder Judicial y con la disciplina del proceso. Esta situación no deja de llamar la atención ya que, siendo evidente la necesidad de una regulación legal suficiente de los tratamientos de datos personales que tienen lugar en la Administración de Justicia y siendo, igualmente, manifiesto que la LORTAD no la contenía, el legislador de 1999, que se ha tomado con tanta parsimonia la transposición de la Directiva para, después acabar produciendo una nueva ley de un modo tan atípico como discutible(6), no haya tenido tiempo para terminar con esta carencia, máxime cuando ha ampliado notablemente el ámbito de aplicación de las previsiones legales sobre la protección de los datos personales.

 

2. - El régimen de los ficheros judiciales.

En todo caso, en virtud de esa determinación del artículo 230 de la LOPJ, el Consejo General del Poder Judicial aprobó el Reglamento 5/1995, de 7 de junio, de Aspectos Accesorios de las Actuaciones Judiciales (RAA), cuyos Títulos V y VI pretenden dar respuesta a algunas de las cuestiones que la articulación de una tutela efectiva de los datos personales en este ámbito suscita(7) .

. Sin embargo, tales previsiones reglamentarias son, secundarias, accesorias, instrumentales, respecto de las normas derivadas de la Constitución y de la Ley Orgánica. No era posible otra alternativa, pues no es el reglamento una norma hábil para más ambiciosos objetivos. Ni cuanto se refiere a la configuración de los derechos de las personas, ni cuanto hace a la fijación de sus límites o lo relativo a la imposición de deberes, la tipificación de infracciones y la previsión de sanciones, puede ser regulado por una norma de este carácter. Corresponde, por el contrario, al legislador establecer los perfiles básicos de la disciplina de esta materia. De ahí las insuficiencias que se le imputan a la situación vigente. Pero ése no es un defecto achacable al reglamento --que intenta sacar todo el partido posible a una fuente secundaria-- sino que es una consecuencia de la inactividad de legislador. Veamos, pues, qué es lo que se ha establecido para los ficheros de los órganos judiciales que, recordémoslo, rige tanto para los que han sido automatizados como para aquellos otros de carácter convencional, siempre que estén estructurados de tal manera que puedan llevarse a cabo en ellos operaciones y procedimientos técnicos que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

 

2.1.- Los datos personales y el consentimiento del afectado.

Tal vez una de las principales innovaciones que convendría realizar en el momento en el que se legisle sobre esta específica materia consista en atribuir a los datos personales obrantes en los ficheros judiciales la consideración de sensibles(9). Desde luego, en buena parte de los casos así lo serán por entrar en las categorías a las que se refiere el artículo 7 de la LOPD: ideología, religión, creencias, origen racial, salud, vida sexual, infracciones penales o administrativas. Pero sucede que, incluso, los que no tengan que ver directamente con estas cuestiones pueden guardar con ellas alguna relación que justifique su especial protección o, simplemente, por constar en un proceso judicial, es posible que adquieran un sesgo o connotación potencialmente perjudicial para el afectado, si esa información es susceptible de utilización por terceros fuera de las actuaciones judiciales. Naturalmente, al efectuar esta propuesta no se pretende restringir las potestades de los jueces en el ejercicio de su función jurisdiccional, sino solamente asegurar a los datos personales que éstos deben manejar la máxima protección frente a terceros que la configuración constitucional del proceso permite.

No se debe olvidar que, en aplicación de las leyes de enjuiciamiento, con las que concuerda la LOPD [artículos 6.1 y 11.2,d)], la mayor parte de la información personal existente en los ficheros de datos judiciales se habrá obtenido sin que medie el consentimiento de aquél a quien pertenecen por ofrecer la ley la correspondiente cobertura para lograrla. Así, por ejemplo, en aplicación de las normas de la Ley General Tributaria [artículo 113 a), f) y h)] y de las contenidas en la LORTAD [artículo 11 d)] que permiten las cesiones a los juzgados y tribunales, el Consejo General del Poder Judicial ha suscrito un Convenio con la Agencia Estatal de Administración Tributaria para que los órganos judiciales accedan, en el ejercicio de sus funciones jurisdiccionales, a los datos de los ficheros tributarios. Otro tanto, sucede con el Ministerio del Interior, de conformidad con el citado artículo 11 d) de la LORTAD y con las normas que imponen la obligación de colaborar con los Jueces y Tribunales en el marco del proceso (artículos 118 de la Constitución y 17.1 LOPJ), en este caso para el acceso judicial a los datos personales registrados en los ficheros de la Dirección General de Tráfico y de la Dirección General de la Policía. Obviamente, dichos convenios se hallan ahora bajo el amparo normativo de la LOPD.

Pero no es preciso ilustrar con muestras concretas esta realidad. Basta con tener en cuenta las facultades de las que disponen los jueces, tanto en el orden jurisdiccional penal, como en los de otro carácter, para recabar de particulares y autoridades, todos los cuales están constitucionalmente obligados a colaborar con los tribunales según el artículo 118 de la Constitución(10), la información que proceda aportar al proceso, la cual se documentará debidamente.

Tampoco ha de desconocerse que su titular no podrá normalmente recuperar la disposición y el control sobre cuanto sobre él consta en esos registros informatizados. De ahí que sea preciso compensar esa pérdida de autodeterminación informativa restringiendo la comunicación o exhibición a terceros que no sean parte en el proceso de los datos personales del afectado o subordinándolas a su consentimiento o la decisión motivada del responsable del ficheros' que habrá de moverse dentro de los márgenes que las leyes le consienten.

 

2.2.- Clases de ficheros.

El RAA sí ha podido, en cambio, ocuparse de la clasificación de los ficheros judiciales, distinguiendo los de carácter jurisdiccional de aquellos otros de tipo gubernativo (artículo 78) en función de la naturaleza del procedimiento del que surge la información. A los primeros los llama ficheros de datos jurisdiccionales y a los segundos ficheros de datos no jurisdiccionales. Ha precisado, también, el reglamento los datos que cada uno ha de recoger (artículos 78.2 y 78.3) y su procedencia (artículo 79).

Así, en los ficheros de datos jurisdiccionales solamente constarán los que deriven de las actuaciones de esa naturaleza. El artículo 78.2 RAA señala, a título de ejemplo, los siguientes: los que en atención a las leyes sean necesarios para el registro e identificación de procedimiento o asunto jurisdiccional con el que se relacionan; los precisos para identificar y localizar a las partes; los necesarios para identificar a abogados, procuradores y, en general, a quienes desempeñen labores de defensa o representación procesal, así como a cualquier persona que deba intervenir, en cualquier calidad, en el proceso; también se recogerán los datos que exterioricen las resoluciones dictadas y las actuaciones realizadas y los derivados de la instrucción y de las diligencias judiciales. En cambio, en los ficheros de datos no jurisdiccionales, los que se registrarán serán aquellos que deriven de los procedimientos gubernativos y los que, con arreglo a las normas vigentes, definan la relación existente con las personas que prestan servicios en los órganos de gobierno y los que guarden conexión con las situaciones o incidencias que en aquélla sucedan.

Los datos se tomarán de los documentos o escritos que obren en el proceso o en las actuaciones que se practiquen en ellos y, tratándose de ficheros gubernativos, directamente de las personas afectadas y --cuando y como la Ley lo permita-- de los órganos competentes sobre los cuerpos o carreras a los que pertenezcan (12).

Conviene advertir de la relatividad que tiene esta clasificación. En efecto, puede ser útil para distinguir, por materias, los datos que van a los de cada tipo. No obstante, no debe concluirse, sin más, que los que recogen la información que es realmente valiosa o que puede originar mayores dificultades son los ficheros jurisdiccionales. Lo mismo cabe decir de otras clasificaciones que se han establecido en el seno de los ficheros de datos jurisdiccionales. Me refiero a la que diferencia dentro de ellos los que hacen referencia a los asuntos en tramitación y los relacionados con los asuntos terminados (13). Esta distinción --no prevista reglamentariamente-- posee también un claro sentido práctico y puede conducir a pensar que son los primeros los merecedores de mayor atención por ser los que previsiblemente darán lugar a mayores restricciones de los derechos de los afectados. No obstante, en relación con los ficheros de asuntos terminados surgirán sin duda problemas de singular relieve, aunque sólo sea bajo el aspecto del acceso a las resoluciones judiciales que en ellos estén recogidas (14).

 

2.3.- Las comunicaciones de datos.

En lo que a las cesiones o comunicaciones de datos almacenados en estos ficheros respecta, el RAA no puede sino adaptarse totalmente a las previsiones de la ley. Por eso, el margen en el que puede moverse en esta materia tan delicada es muy estrecho. De ahí que solamente haga referencia a los casos en los que, como consecuencia de la actividad judicial, sea obligado facilitar información a otro órgano judicial. Y esos casos son los indicados en el artículo 81: el auxilio jurisdiccional, la aplicación de las normas sobre competencia o sobre la organización de los servicios que incidan en la atribución del conocimiento de un asunto o procedimiento, o de alguna de sus incidencias, o en la realización de alguna actuación. Cuestiones todas estas sometidas a estricta regulación legal. Dicho de otro modo, el reglamento no habilita supuestos de cesión de datos distintos de los contemplados en el artículo 11 LOPD. Si lo pretendiera incurriría en ilegalidad. Teniendo esto presente, se aclara toda duda que pudiera surgir a la hora de interpretar este artículo 80: en él lo que se contiene es, simplemente, la mención de aquellas funciones judiciales que pueden dar lugar a procesos de cesión de datos, o sea las que activan la excepción contenida en el apartado d) de ese artículo 11.

Por lo que se refiere a la utilización de datos procedentes de estos ficheros por las Administraciones Públicas, otro tanto cabe decir del artículo 83 RAA: sólo puede ser interpretado de conformidad con la ley. De ahí que deba ser entendido como la regulación de la manera de proceder en las ocasiones en las que, bajo la cobertura del artículo 11 LOPD, sea posible la comunicación de datos desde los ficheros judiciales', como, por ejemplo, sucede con el supuesto previsto por el artículo 112.3 de la Ley General Tributaria en la redacción que le ha dado la disposición adicional 48 LOPD. Se trata, por tanto, de una norma de procedimiento, de carácter exclusivamente formal y no de habilitación de comunicaciones de datos de carácter personal.

 

2.4.- Los responsables del fichero.

Igualmente, ha establecido el RAA a quién corresponde la responsabilidad --al secretario judicial, si bien sus decisiones son revisables por el juez, las Salas de Gobierno y, eventualmente, por el Consejo General del Poder Judicial (artículo 4.3)-- de los ficheros y de los tratamientos que se lleven a cabo en los órganos judiciales (artículo 82).

 

2.5.- Los derechos del afectado.

A propósito de los derechos del afectado, el reglamento ha introducido algunas modulaciones a la forma de ejercer los de acceso, rectificación y cancelación (artículo 84). Dichas especialidades dimanan de las previsiones legales que regulan el secreto sumarial --en el campo penal--, de la tutela de la intimidad ajena, motivos ambos por los que se puede denegar el acceso (artículo 84.3 y 4) y de la cautela encaminada a impedir que derechos de autodeterminación informativa se utilicen para alterar circunstancias que constan en el proceso, lo que puede fundamentar la denegación de la rectificación o de la cancelación (artículo 84.5)(16).

Aunque parece claro que no rigen para los ficheros y tratamientos de datos jurisdiccionales las normas excepcionales que en beneficio de las Administraciones Públicas establece la LOPD en sus artículos 23 y 2417, es también evidente que las exigencias derivadas de la actuación judicial, muy especialmente pero no de modo exclusivo, en el ámbito penal condicionan con intensidad la posición del afectado. En este sentido, puede entenderse que no podrá ejercer sus derechos de manera que impidan o perjudiquen la función jurisdiccional. Naturalmente, esta no es una consecuencia que derive de la extensión, más o menos justificada, al campo judicial de la posición que el legislador ha asegurado a las Administraciones Públicas. Por el contrario, no hace falta acudir a razonamientos analógicos, ya que la primacía de la actuación del juez está firmemente establecida por el ordenamiento jurídico en atención a la garantía de todos los derechos e intereses legítimos de las personas que tiene encomendada.

Esto explica la solución dada por el reglamento a la cuestión de la conservación de los datos y, por tanto, al derecho de cancelación. A este respecto, la regla que fija el artículo 80 RAA es que corresponde al juez decidir sobre ella. Naturalmente, al hacerlo deberá tener en cuenta el principio establecido en la LOPD (artículo 4.5) según el cual los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados o, en general, cuando su tratamiento no se ajuste a lo dispuesto en la LOPD (artículo 16.2). Ahora bien, la apreciación de cuando haya ocurrido ese efecto no puede quedar a la sola decisión del afectado que ejerce el derecho de cancelación. En el caso de los ficheros y tratamientos judiciales, en especial en los de carácter jurisdiccional, los intereses públicos pueden demandar el sacrificio en todo o en parte de los particulares, pues, como se acaba de decir, no son otros los fines que mueven las actuaciones judiciales. Es natural, por tanto, que el llamado a velar por los derechos e intereses legítimos de los ciudadanos, es decir, el juez, adopte la decisión que proceda. Y eso es lo que ha explicitado el artículo 80 RAA.

Fuera de los límites mencionados, rige la disciplina contenida en la LOPD que aporta algunas novedades. Entre ellas, el plazo para obtener la rectificación o la cancelación, cuando procedan, que ahora se ha consignado en la propia ley y que se fija en diez días (artículo 16.1)(18) , mientras que el establecido para que el responsable del fichero resuelva sobre el acceso sigue siendo de un mes(19). Este derecho consiste en la facultad de solicitar y obtener información de los datos de carácter personal sometidos a tratamiento, de su origen y de las comunicaciones de los mismos realizadas o que se prevean (artículo 15.1). Asimismo, se ha establecido legalmente su gratuidad y, en general, la de los procedimientos relativos al ejercicio de los derechos del afectado. Es importante subrayarlo pues la LORTAD sólo la disponía para los casos de rectificación y cancelación de datos inexactos. En cambio, ahora su alcance es general. Así, el artículo 17.2 establece, en este sentido, que "no se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación y cancelación". Adviértase que la fórmula seguida por la LOPD impide toda tentativa de los responsables del fichero de obtener alguna compensación en los casos en los en que, finalmente, no se atienda la demanda del afectado, lo que no excluía la redacción del artículo 16.2 de la LORTAD.

Se acaba de mencionar el derecho de oposición. Conviene, referirse a él ya que se trata, junto con el de ser informado del tratamiento de datos que no se obtengan del interesado de los nuevos derechos que la LOPD reconoce y ambos proceden de la Directiva europea. Este último tiene por objeto poner en conocimiento del afectado la información personal que sobre él se ha recogido, aunque no opera cuando así lo prevea una ley, el tratamiento tenga fines históricos, estadísticos o científicos o resulte imposible o exija esfuerzos desproporcionados a juicio de la Agencia de Protección de Datos o se den las circunstancias contempladas en el último párrafo del artículo 5.52°. Por su parte, el derecho de oposición le faculta al afectado a oponerse a un tratamiento de sus datos personales. La LOPD lo recoge en su artículo 6.4. Es una de las innovaciones exigidas por la Directiva Europea. Está directamente relacionado con la captación de datos personales sin consentimiento del interesado. Cuando esto haya sucedido, y siempre que no lo impida una ley que establezca lo contrario, ese interesado cuyos datos personales se hayan recogido lícitamente pero sin su acuerdo, si le asisten motivos fundados y legítimos relacionados con su situación personal, tiene derecho a que el responsable del fichero excluya del tratamiento los datos que le afectan. Ahora bien, lo que sucede con esta facultad y con el derecho a ser informado de los tratamientos es que la naturaleza de la función jurisdiccional dificulta notablemente la existencia de supuestos en que deban entrar en juego. Así, la información recogida es la que se desprende de las actuaciones procesales que están todas ellas documentadas, por lo que es difícil, fuera de los casos de la declaración del secreto --por definición, de duración limitada-- que el afectado la desconozca. Por otro lado, siempre que la ley autorice a prescindir de su consentimiento, este derecho carecerá de sentido.

Del mismo modo, en el caso de la oposición al tratamiento es difícil que se den las condiciones para que el interés personal del afectado prevalezca frente a las exigencias del desenvolvimiento de la función jurisdiccional: lo habitual será que el órgano judicial cuente con la cobertura legal suficiente para registrar y tratar esos datos. Con todo, no cabe excluir tajantemente la posibilidad de que pueda tener aplicación. Desde luego, es verdad que el grueso de los datos que se hayan tomado de una persona se habrán logrado, aunque sea a través de sus mismas manifestaciones, al margen de su consentimiento. Y tampoco debe descartarse que el juez incurra en algún exceso a la hora de recabar del afectado o, sobre todo, de terceros información sobre éste. Naturalmente, lo que no es posible, supuesto que se den las circunstancias que permiten el ejercicio de este derecho y que no sea atendido por el responsable del fichero, acudir a la Agencia de Protección de Datos en demanda de que establezca la procedencia o improcedencia de esa actitud(21). Las posibles vulneraciones de los derechos de autodeterminación informativa habrán de combatirse mediante los recursos que contra las decisiones del responsable del fichero o del tratamiento prevé el RAA.

Ahora bien, ya que el ejercicio de la función jurisdiccional, en especial, en el orden penal, altera seriamente el alcance de las facultades de autodeterminación que la LOPD contempla, tanto en el momento de la recogida de datos, como en el de su tratamiento y conservación, así como en lo que se refiere a su cancelación, dado que estará cubierta por las normas legales que lo permiten, cobran, por esa razón, una importancia de primer orden los deberes especiales que para los responsables de los ficheros de datos personales de los órganos judiciales dimanan del Título II de la LOPD. Me refiero a los principios de la protección de datos allí positivizados, a los que más adelante haré alusión. Ahora me limitaré a llamar la atención sobre la prohibición de recoger datos por medios fraudulentos, desleales ilícitos (artículo 4.7), sobre la obligación de cancelar y rectificar de oficio los datos inexactos en todo o en parte o incompletos, sin perjuicio de los derechos de los afectados (artículo 4.4), ya que los que pueden ser registrados y tratados han ser "exactos y puestos al día, de forma que respondan con veracidad a la situación actual del afectado" (artículo 4.3). Asimismo, importa tener presente la ya mencionada exigencia de cancelar los datos que hayan dejado de ser necesarios o pertinentes para la finalidad para la que hubieran sido recabados o registrados (artículo 4.5).

Habida cuenta que los órganos judiciales son poderes públicos y que, en cuanto tales, están sujetos a la Constitución y la ley de un doble modo, negativo y positivo, no existe ninguna duda sobre el peso que estas normas objetivas han de alcanzar, ni sobre la intensidad de la exigencia que proyectan sobre los responsables del fichero. La vinculación que producen será inversamente proporcional a la constricción que experimenten los derechos de los afectados. Sólo esta circunstancia hace tolerable la merma que pueda padecer el contenido de un derecho fundamental. Y por esta razón califico de especiales los deberes que, a mi juicio, aquí existen.

 

2.6.- La creación de los ficheros judiciales.

Las normas del artículo 86 sobre la creación de ficheros han permanecido prácticamente inéditas, como es bien sabido, lo cual es un claro indicio de la poca importancia que, en el ámbito judicial, se le da al Derecho de la Protección de Datos Personales. Siendo cierto que no se trata sino de un reflejo de la escasa conciencia que en la sociedad existe sobre los peligros que, en este campo asoman y, correlativamente, sobre la trascendencia de las derechos y principios que deben protegernos frente a ellos(23), no cabe duda de que la actitud del Poder Judicial, en cuanto garante natural de nuestros derechos e intereses legítimos, debería ser diferente.

Por otra parte, es interesante observar que el Título VI de ese mismo reglamento se ha ocupado de la aprobación de los programas, aplicaciones y sistemas informáticos que utilicen los órganos judiciales. Aprobación que, a propuesta de la Comisión de Informática Judicial, corresponde al Consejo General del Poder Judicial, el cual ha establecido los criterios en virtud de los que resolverá cada caso. Me refiero al Acuerdo del Pleno de 2 de diciembre de 1996. Esa aprobación deberá producirse solamente cuando programas, aplicaciones y sistemas satisfagan, entre otros requisitos, los relacionados con la seguridad fisica y lógica de los datos personales. Con posterioridad, el Pleno de 8 de septiembre de 1999 ha avanzado en este campo, estableciendo un test de compatibilidad que servirá para facilitar el avance en el proceso de integración de los sistemas informáticos de la Administración de Justicia.

 

3. - El acceso a las resoluciones judiciales.

Por lo que hace a la publicidad de las resoluciones judiciales, es decir, al acceso a ellas por parte de terceros no personados en la causa a la que se refieren o, en cualquier caso, ajenos a las actuaciones del juzgado o tribunal, el Consejo General del Poder Judicial(24) ha modificado el RAA, incorporando a su texto una nueva disposición --el artículo 5 bis--que asume los criterios que venía aplicando en la interpretación del concepto de interesado que recogen los artículos 234, 235 y 266.1 LOPJ, los cuales han sido confirmados por el Tribunal Supremo, a través de la Sentencia de su Sala Tercera, de 3 de marzo de 1995(25). El nuevo precepto traza las pautas adecuadas para afrontar las exigencias de la publicidad sin mengua de la protección que merece la autodeterminación informativa de las personas a las que se refieren o mencionan dichas resoluciones. Esa disposición se aplica a ---la base de datos que el Centro de Documentación Judicial del Consejo General del Poder Judicial, en cumplimiento de la obligación que el artículo 107.10 de la LOPJ impone a este órgano de gobierno de publicar la colección de jurisprudencia del Tribunal Supremo, ha creado y mantiene no sólo con las decisiones de este alto Tribunal, sino, también, con las resoluciones de otros órganos judiciales que, por su interés, lo justifiquen. En particular, ese artículo 5 bis.2 dispone:

"En el tratamiento y difusión de las resoluciones judiciales se procurará la supresión de los datos de identificación para asegurar en todo momento la protección del honor e intimidad personal y familiar".

Y, en su apartado 3, añade:

"Salvo lo dispuesto en el artículo 266 de la Ley Orgánica del Poder Judicial, no se facilitarán por los órganos jurisdiccionales copias de las resoluciones judiciales a los fines regulados en el presente artículo, sin perjuicio del derecho de acceder, en las condiciones establecidas al efecto, a la información jurídica de que disponga el Centro de Documentación Judicial del Consejo General del Poder Judicial" (26).

Pero conviene examinar los términos en los que se pronunció el Tribunal Supremo porque de ellos se desprenden claramente los criterios que han de servir para atender aquellas solicitudes de acceso a las actuaciones judiciales que reciban los órganos judiciales y provengan de personas distintas del afectado y pretendan conocer su contenido íntegro.

Esta sentencia es una decisión que, razonando desde la perspectiva del derecho a la intimidad, confirma la interpretación llevada a cabo por el Consejo General del Poder Judicial del concepto de interesados al que se refieren los artículos 235 y 266.1 de la Ley Orgánica del Poder Judicial. La cuestión debatida era la de a quiénes reconoce el legislador el interés para acceder al contenido de las resoluciones judiciales que constan en los libros, registros y archivos judiciales(27). A juicio de la Sala, es necesario precisar la noción de interesado. En particular, dice lo siguiente:

"El interés legítimo que es exigible en el caso, sólo puede reconocerse en quien, persona física o jurídica, manifiesta y acredita, al menos "prima facie", ante el órgano judicial, una conexión de carácter concreto y singular bien con el objeto mismo del proceso -y, por ende, de la sentencia que lo finalizó en la instancia-, bien con alguno de los actos procesales a través de los que aquél se ha desarrollado y que están documentados en autos, conexión que, por otra parte, se halla sujeta a dos condicionamientos: a) que no afecte a derechos fundamentales de las partes procesales o de quienes de algún modo hayan intervenido en el proceso, para salvaguardar esencialmente el derecho a la privacidad e intimidad personal y familiar, el honor y el derecho a la propia imagen que eventualmente pudiera afectar a aquellas personas; y b) que si la información es utilizada, como actividad mediadora, para satisfacer derechos o intereses de terceras personas, y en consecuencia adquiere, como es el caso, un aspecto de globalidad o generalidad por relación no a un concreto proceso, tal interés se mantenga en el propio ámbito del Ordenamiento jurídico y de sus aplicadores, con carácter generalizado, pues otra cosa sería tanto como hacer participe o colaborador al órgano judicial en tareas o actividades que, por muy lícitas que sean, extravasan su función jurisdiccional" (fundamento 5°).

A falta, pues, de esa específica conexión con el proceso no se posee la condición de interesado. Ni la publicidad procesal a la que se refiere el artículo 120.1 de la Constitución, ni el derecho a comunicar y recibir libremente información veraz reconocido en su artículo 20.1-d) impiden este entendimiento, pues no padecen como consecuencia de él. En efecto, la primera no equivale a la distribución general e íntegra del texto de las sentencias y otras resoluciones y el segundo no estaba en causa en el proceso que concluye con la decisión que nos ocupa. Lo que el recurrente en realidad pretendía era hacerse sistemáticamente con la información de carácter personal consignada en esos documentos para nutrir con ella sus bases de datos y desarrollar en mejores condiciones una de las actividades que constituyen su objeto social: suministrar a sus clientes, mediante contraprestación, informes sobre solvencia económica de terceros. Por eso, la Sala, en consideración a cuanto señalan el artículo 18.4 de la Constitución y la LORTAD y visto que, con arreglo a los criterios establecidos en esta sentencia, la empresa recurrente no podía aspirar a la condición de interesado, optó por proteger el derecho a la intimidad de los afectados --que es, como se ha dicho, el que sirve de apoyo a los razonamientos del Tribunal-- y desestimó el recurso(28)

 

4. - Recapitulación.

De cuanto se ha expuesto es posible concluir que, frente a la publicidad que caracteriza el desarrollo del proceso, el acceso a los archivos y resoluciones judiciales sólo en muy escasa medida se rige por ese principio. En efecto, el afectado, es decir, la persona a la que la información se refiere y que se habrá logrado, normalmente, sin su consentimiento, no siempre tiene expedito el camino hacia ella. Hay casos en los que entran en juego reglas que, atención a los fines que persigue el ejercicio de la potestad jurisdiccional, se lo impiden. Por otra parte, las demás autoridades judiciales, el Ministerio Fiscal, el Defensor del Pueblo o las Administraciones Públicas, solamente pueden acceder a los datos obrantes en los archivos judiciales en los casos y en los términos en los que la ley se lo permita y nunca de modo general e incondicionado. Y los terceros únicamente podrán hacerlo en los supuestos en que hayan sido parte o acrediten una conexión concreta con el proceso al que la resolución por la que $e interesen pertenece, nunca de un modo general e incondicionado. Fuera de estos supuestos, sólo para propósitos científicos y mediando la disociación de los datos personales o el consentimiento de los afectados cabría un acceso de terceros de esas características.

Sentadas estas bases, es menester comprobar en qué medida experimentan alguna variación cuando lo que está en juego son los datos sanitarios. Antes, no obstante, hace falta determinar en qué consisten.

 

5. - Los datos relativos a la salud (29).

Parece claro que los datos sanitarios se refieren a una variedad particular de la información personal. La LOPD no utiliza esa denominación --tampoco lo hacía la LORTAD--, sino que habla --al igual que la Directiva europea-- de datos relativos a la salud. No obstante, a los efectos que ahora interesan, es posible considerar ambas expresiones equivalentes con la condición de no extender la correspondencia a aquellos datos de carácter personal que puedan constar en tratamientos automatizados o en ficheros automatizados o no automatizados de las instituciones sanitarias pero que no guarden relación con la salud ni, en general, con ninguno de los aspectos que se precisarán en las páginas sucesivas(30) todos los cuales se enmarcan en relaciones que, con motivo de la prestación de diversas formas de asistencia médica o sanitaria, se establecen entre el afectado y los profesionales y las instituciones sanitarias del sistema público o del sector privado.

La LOPD incluye la variedad de información personal que nos ocupa dentro de la categoría de datos especialmente protegidos. Este tipo de datos son aquéllos que, por afectar a los aspectos más íntimos de la personalidad, reciben el más alto nivel de protección establecido. La Directiva 95/46 lo expresa con claridad cuando establece la regla que les es aplicable: la prohibición de su tratamiento (31). La información que contienen es tan delicada que, en principio, nadie puede recabarla. Esto es especialmente claro en lo que hace a las convicciones ideológicas, sindicales, religiosas o filosóficas, pues, de acuerdo con el artículo 16 de nuestra Constitución, nadie puede ser obligado a manifestarlas si no desea hacerlo. Y, en lo que hace al origen racial, a la salud o a la sexualidad, el derecho fundamental a la intimidad, reconocido en el artículo 18 de ese mismo cuerpo normativo, produce, en principio, los mismos efectos. Por eso, la LOPD, aún sin ser tan explícita como la Directiva, posee la suficiente contundencia a la hora de precisar que, únicamente a título excepcional y en los términos previstos legalmente, los terceros pueden acceder a estos datos.

Los apartados 2° y 3° del artículo 7 lo demuestran, pues circunscriben los supuestos de tratamiento lícito de esos datos y, por tanto, excluyen todos los demás no enunciados por las normas. Por otra parte, las condiciones en las que lo admite son coherentes con lo delicado de este tipo de información. Así, en el caso de los datos relativos a la ideología, afiliación sindical, religión o creencias, la singularidad de su régimen jurídico consiste en la exigencia del consentimiento previo, expreso y escrito del afectado, quien ha debido ser advertido por quien pretenda obtenerlo de su derecho a no prestarlo(32). Por lo que hace a los que tienen que ver con el origen racial, la salud o la vida sexual, además de en los supuestos en que medie el consentimiento explícito del afectado, que en este caso no es necesario que se manifieste por escrito, podrán ser objeto de registro, tratamiento y cesión cuando así lo disponga una Ley, en atención a razones de interés general (artículo 7.3)(33).

Ambos grupos de datos especialmente protegidos, con la salvedad de los de salud, comparten una ulterior cautela: están prohibidos aquellos ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, religión, creencias, origen racial o vida sexual (artículo 7.4). La exclusión de las informaciones médicas de esta norma prohibitiva se explica sin dificultad: los registros y tratamientos de datos de salud son imprescindibles para diversas finalidades legítimas, entre las que se cuentan la prevención de enfermedades, la prestación de asistencia sanitaria o la investigación científica.

Por otra parte, hay que tener en cuenta que la LOPD (artículo 7.6) autoriza expresamente el tratamiento, no sólo de los relativos a la salud, sino también de todos los restantes datos sensibles siempre que sea necesario para la prevención o el diagnóstico médicos, para la prestación de asistencia sanitaria o de tratamientos médicos o, simplemente, para la gestión de servicios sanitarios. El único requisito añadido en estos supuestos es que esos datos sean tratados por profesionales sanitarios sujetos a deberes de secreto profesional o por personas sujetas a obligaciones equivalentes de secreto (artículo 10). E, incluso, la misma LOPD autoriza dichos tratamientos cuando sean necesarios para salvaguardar el interés vital del interesado ó de otra persona, en el caso de que aquél se halle fisica o jurídicamente incapacitado para dar su consentimiento (en el mismo artículo 7.6, con el que concuerda el artículo 6.2). Lo que parece perfectamente razonable.

Una vez establecidos los supuestos en los que cabe el tratamiento de los datos relativos a la salud, la LOPD se refiere a los sujetos que pueden llevarlo a cabo. Así, en el artículo 8 habilita al efecto a las instituciones y centros sanitarios públicos y privados y a los profesionales correspondientes respecto de las informaciones que correspondan a las personas que a ellos acudan o que deban ser atendidas en ellos. Autorización que se somete a lo dispuesto en la legislación estatal o autonómica sobre sanidad.

La LOPD, en fin, se vuelve a ocupar de los datos relativos a la salud al regular las cesiones, para excluir la necesidad del consentimiento del afectado en los casos en que "sea (n) necesaria (s) para solucionar una urgencia que requiera acceder a un fichero automatizado o para realizar los estudios epidemiológicos en los términos establecidos por la legislación sobre sanidad estatal o autonómica" (artículo 11.2-f).

A la vista de cuanto se ha dicho, es posible establecer algunas conclusiones.

En primer lugar, respecto del alcance de la expresión "datos relativos a la salud", parece que ha de incluir los "de carácter médico"(34) pero también los que guarden conexión con "fines relacionados con la salud (35) y sean tratados en sectores como "la salud pública y la protección social (...), así como (...) para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, la investigación científica y las estadísticas públicas" 36. Sin duda, incorporan cuanto tiene que ver --desde esas perspectivas-- con el cuerpo humano en su conjunto y, en particular, lo relacionado con la sexualidad, la raza, el código genético. Además, incluyen los antecedentes familiares, los hábitos de vida, de alimentación y consumo, así como las enfermedades actuales, pasadas o futuras previsibles, bien de tipo físico o psíquico (37). Incluso, según se ha señalado, pueden incluir referencias a las ideas y creencias del afectado en la medida en que sean relevantes para su salud. Se trata, pues, de una noción amplia que puede abarcar prácticamente toda la biografía de una persona(38)

Importa, asimismo, subrayar que la LOPD abre amplios espacios para el tratamiento de esta información sin consentimiento del afectado. Autoriza con carácter general en su artículo 8 a todos los centros sanitarios y a los profesionales de este carácter a tratar los datos relativos a la salud de las personas que a ellos acudan o que hayan de ser tratados en los mismos. Y lo mismo sucede con el régimen de las cesiones.

En cuanto a las finalidades a las que han de dirigirse los tratamientos, son de dos tipos las que entran en juego. Por un lado, las encaminadas al diagnóstico, a la terapia y a la prevención, y, por la otra, la relacionada con la investigación. Es fácil resolver los supuestos relacionados con la primera, pues la conexión posee, normalmente, la entidad y la claridad imprescindibles. En cuanto al segundo objetivo, ningún problema suscita la utilización de datos personales relativos a la salud que hayan sido sometidos a un procedimiento de disociación. En cambio, en los casos en los que no sea posible efectuarla, dada la naturaleza de la investigación, o en que, pese a la disociación, pueda existir el riego de la posterior personalización de esos datos, parece obligado contar, en principio, con el consentimiento expreso e informado del afectado. No obstante, su ausencia no ha de impedir las cesiones y tratamientos imprescindibles para llevar a término una investigación científica, siempre que existan garantías consistentes que preserven su intimidad y aseguren que la información solamente se usa a tales efectos(39)

En cualquier caso, las medidas de seguridad fisica y lógica, junto con la obligación de guardar secreto de quienes tengan acceso a esta información, han de jugar un papel esencial en cuanto se refiere a los tratamientos relacionados con la salud son la contrapartida indispensable a la necesidad de utilizar este material tan sensible.  

6. - La Recomendación N° R (97) 5, del Comité de Ministros del Consejo de Europa a los Estados miembros
relativa a la protección de los datos médicos
(40).

Después de que se pusieran en marcha diversas experiencias de protección de datos personales en algunos países europeos --unas de ámbito estatal, otras de alcance regional-- el Consejo de Europa, que ya había influido en la formación de los textos legales a que condujeron esas iniciativas, elaboró su Convenio n° 108, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal con el propósito de sentar las bases para el establecimiento de un régimen jurídico homogéneo en la materia. La importancia de los principios contenidos en ese documento internacional se ha visto corroborada por la recepción que de ellos han hecho las legislaciones nacionales. Por lo que se refiere a España, la LORTAD reconocía expresamente en su Exposición de Motivos esa fuente de inspiración y, después, diversas normas presentes en sus disposiciones la reflejan con claridad41. Por su parte, la STC 254/1993 ha determinado los efectos prácticos que ese Convenio produce en el ordenamiento interno a través de la conexión del artículo 10.2 con el 18.4, ambos de la Constitución42

Pues bien, la Recomendación a la que me refiero, busca profundizar en la consecución del objetivo de aproximar las regulaciones nacionales, en este caso, en el particular campo de los que llama datos médicos. Esa labor la lleva a cabo a partir del principio general sentado en el artículo 6 del Convenio orientado a proteger de manera especial los datos relativos a la salud y ante la evidencia de que el tratamiento automatizado de datos médicos se halla cada vez más extendido tanto en materia de cuidados sanitarios, cuanto en la investigación de esa naturaleza, además de en la gestión hospitalaria y en la de la sanidad pública, así como en otros ámbitos. Todo ello, junto al cada vez más intenso y rápido progreso tecnológico, enfatiza la importancia de asegurar la calidad, integridad y disponibilidad de esta información personal, al tiempo que se afianzan las cautelas que hacen efectiva la confidencialidad y seguridad de tales datos. Por eso, el Consejo de Europa ha estimado necesario revisar su anterior Recomendación en la materia(43).

Lo interesante de este documento es que reconstruye el sistema de protección de datos personales desde la perspectiva concreta de los que se refieren a la salud.

En particular, además de precisar lo que ha de entenderse por "datos médicos", determina las reglas a observar para asegurar su calidad y seguridad y los derechos que asisten al titular de este tipo de información personal. Al tratarse de una mera recomendación, no parece posible predicar de ella los efectos jurídicos que son propios de los tratados y otros acuerdos internacionales a los que se refiere el artículo 10.2 de la Constitución. No obstante, es indudable su utilidad para el intérprete. En especial, porque, dado el fundamento en el que descansa --el Convenio 108-- y, por tanto, su sintonía con el espíritu y con los principios que informan los distintos sistemas europeos de protección de datos personales, sigue criterios plenamente compatibles con los asumidos por las normas vigentes en España.

Señalaré, a continuación, los aspectos que, a mi juicio, revisten mayor relevancia para el asunto que se me ha encomendado desarrollar. Así, en lo que hace a la definición de los "datos médicos", utiliza una noción que, por su estructura, permite incluir todos los que de alguna forma se refieran a la salud. Entre ellos incluye a los datos genéticos que son aquellos relacionados con los caracteres hereditarios de un individuo o los que, "vinculados a dichos caracteres, (componen) el patrimonio de un grupo de individuos emparentados" (apartado 1). En relación con los afectados, aporta la novedad de incorporar entre ellos al feto, cuyos datos médicos se equiparan a los de los menores (apartado 4).

La recomendación propone que la recogida de los datos se produzca de manera honesta y lícita y para fines determinados, tomándose directamente del interesado cuyo consentimiento debe ser libre, expreso e informado, o, si no, de otras fuentes, siempre que sea necesario para la finalidad del tratamiento pretendido. Además, habrá de mediar la correspondiente previsión legislativa y el propósito perseguido ha de consistir en la salud pública, la prevención de un peligro determinado o la sanción de una específica infracción penal, un interés público de importancia o la protección de los derechos y libertades de los demás. Por otra parte, la ley puede autorizar el tratamiento para fines médicos preventivos, de diagnóstico o terapéuticos referidos a la persona interesada o de un pariente de línea genética en cuyo caso también podrán tratarse con la finalidad de gestionar un servicio sanitario. Asimismo, la salvaguarda de intereses vitales del afectado o de otro, el respeto de obligaciones contractuales específicas o la comprobación, ejercicio o defensa de un derecho judicialmente (apartado 4 en relación con los apartados 6 y 7) son objetivos que la Recomendación admite.

Son interesantes, por su parte, las previsiones encaminadas a especificar las reglas que se estiman apropiadas para los datos genéticos. Tales especialidades se manifiestan en la restricción de los fines y de los usos de esos datos. Así, se afirma que los recabados y tratados con propósitos preventivos, de diagnóstico o terapéuticos respecto del interesado o con objetivos de investigación científica sólo deben ser utilizados para esos fines y para permitir que la persona afectada tome una decisión libre y fundamentada (apartado 4.7). En lo que toca a los tratamientos que tengan lugar debido a las necesidades de un procedimiento judicial o de una investigación penal, la Recomendación opta por defender que sirvan únicamente para comprobar la existencia de un vínculo genético en el marco de la actividad probatoria o para prevenir un peligro concreto o la sanción de una infracción penal. En cambio, entiende que nunca deberían emplearse para determinar otras características que puedan estar genéticamente relacionadas, pero sí por motivos sanitarios y para evitar perjuicios serios para la salud del afectado o de un tercero o, incluso, para detectar enfermedades (apartados 4.8 y 4.9).

Sobre el consentimiento, la Recomendación se detiene en la información que ha de facilitarse al interesado para que pueda decidir con pleno conocimiento. Eso quiere decir que ha de incluir, al menos, los siguientes extremos: la existencia de un fichero con sus datos médicos, los fines para los que se tratan, el origen de los datos que en él se contienen, el destino que recibirán y todas las referencias necesarias para el ejercicio de los derechos de acceso y rectificación (identidad del responsable del fichero y de su representante y requisitos técnicos para ejercer esos derechos). Si se tratara de datos genéticos, la información tendría que incluir los objetivos que se pretenden mediante el análisis a través del que se van a obtener. En cuanto a la forma en que se debe facilitar, se recomienda que se facilite a la persona interesada de manera individual (apartado 5).

Naturalmente, el derecho a ser informado previamente a la prestación del consentimiento puede verse restringido, siempre que exista una previsión legislativa que lo autorice en atención a la prevención de peligros concretos o a la represión de una infracción penal. Lo mismo puede suceder por razones de salud pública o para proteger al interesado o a los derechos y libertades de los demás. Además, claro está, de en los casos de urgencia (apartado 5.6).

La cesión de los datos médicos --comunicación, dice la Recomendación-­también ha merecido la atención del Consejo de Europa, el cual, en coherencia con la especial protección que para ellos pretende intensificar, entiende que la regla ha de ser negativa: los datos médicos no deben ser comunicados, salvo consentimiento del afectado. Las excepciones, por su parte, se ven sujetas al cumplimiento de requisitos precisos y proporcionados. Con carácter general, el destinatario debe estar sometido a las normas de confidencialidad propias de los profesionales sanitarios. Además, hace falta que se persigan los mismos fines para los que la ley autoriza el tratamiento de esta información o, en el contexto preventivo, de diagnóstico 0 terapéutico libremente escogido, cuando la cesión no sea obligatoria, para fines que no sean incompatibles con el que justificó la recogida de los datos y el tratamiento, en especial, la prestación de cuidados al paciente o la gestión de un servicio sanitario en interés del paciente (apartado 7).

Los derechos de autodeterminación informativa de los afectados han sido también tomados en consideración por este documento. Las recomendaciones más llamativas son, en el plano positivo, las que amplían las facultades del interesado. En el negativo, las que justifican restricciones al acceso, a la rectificación y a la cancelación. Veamos en qué consisten.

Las primeras sientan las bases para afirmar un derecho a ser informado de los denominados "descubrimientos inesperados" en el curso de un análisis genético y de su relevancia terapéutica o preventiva directa siempre que el interesado lo solicite explícitamente. No obstante, entienden admisible que esa información esté prohibida por la legislación interna o que no se facilite cuando pueda causar un grave perjuicio a la salud de la persona o a la de quienes estén genéticamente vinculados con ella. Por lo que hace a los restantes datos médicos, las causas por las que cabe negar, limitar o diferir el acceso son las siguientes: la protección de la seguridad del Estado o de la seguridad pública, así como la represión de las infracciones penales; asimismo, la posibilidad de que su conocimiento origine un grave atentado a la salud del afectado o desvele datos de terceras personas; en fin, la inexistencia de riesgos para la vida privada, cuando los datos se traten con fines estadísticos o de investigación (apartado 8).

El derecho a obtener la cancelación ha de operar también frente a los datos médicos. Sin embargo, la recomendación contempla el supuesto de su conservación siempre que se conviertan en anónimos o que entren en juego intereses superiores o legítimos, entre los que enuncia los siguientes: el interés legítimo de la salud pública, de la Ciencia Médica, del responsable del tratamiento médico o del fichero con el fin de permitirle el ejercicio o la defensa judicial de derechos. Además, justificarán la conservación los fines de antecedentes estadísticos (apartado 10).

El último aspecto de la Recomendación que conviene resaltar es el que se refiere a la seguridad (apartado 9), en el que se aprecia una profunda preocupación por asegurar la confidencialidad, integridad y exactitud de los datos, evitando el acceso a las instalaciones que los contienen, su conocimiento, alteración o utilización por quienes no estén autorizados o su uso para fines diferentes de los legítimos. Igualmente, se insiste en la necesidad de adoptar las medidas necesarias para impedir la destrucción --accidental o ilícita-y la pérdida accidental.

Para el logro de esos objetivos, la Recomendación avanza propuestas encaminadas establecer diversos controles que cubran todas las hipótesis. Así, se habla del control de acceso, del control de comunicación, del control de introducción, junto al control de transporte y el de disponibilidad.

 

7. - La realidad de la protección de los datos relativos a la salud. 

En 1995, la Agencia de Protección de Datos decía que "los datos personales relativos a salud son sometidos a tratamiento automatizado de modo generalizado y a gran escala, como consecuencia de la extensión de la asistencia sanitaria a toda la población y del valioso papel de la informática para su gestión"(44). Ahora bien, los primeros resultados de la inspección que sobre el sistema hospitalario español llevó a cabo este organismo no fueron especialmente brillantes desde la perspectiva de la protección a la que se refiere el artículo 18.4 de la Constitución, pues condujo, entre otras, a las siguientes conclusiones:

• Existe "un escaso conocimiento y control por parte de la dirección de  los hospitales sobre aspectos fundamentales que afectan a los datos  personales que en ellos se gestionan "(45), desconocimiento que se  extiende a los profesionales de la sanidad46  "Se han detectado cesiones de datos en las que la información al  afectado y su prestación de consentimiento no han quedado  acreditadas"(47)

En materia de derechos de las personas "no se proporciona a los pacientes, cuyos datos se recogen y procesan automatizadamente, la información prevista al efecto por el artículo 5 de la Ley Orgánica", ni "existen procedimientos establecidos para incluir datos de pacientes en ficheros, ni para facilitar a los mismos el ejercicio de los derechos de. acceso, rectificación o cancelación de datos personales"(48).

En fin, la seguridad de los datos "es muy deficiente, habiéndose detectado una protección insuficiente o inadecuada de la información personal en sus diversos soportes y etapas de tratamiento (ordenadores, aplicaciones, soportes magnéticos, listados, historias clínicas; etc.), ausencia de controles adecuados y escasa sensibilidad del personal hospitalario para los problemas de seguridad de los datos personales"(49).

Estas apreciaciones, establecidas durante los años 1995 y 1996 no parecen haber sido distintas en 1997. Importa señalar que, junto a otras observaciones, fueron consignadas en un informe que la Agencia remitió al INSALUD(50) con el objeto de facilitar la corrección de las disfunciones observadas y este organismo, distribuyó, en septiembre de 1997 una circular con instrucciones dirigidas a asegurar el cumplimiento del Derecho de la Protección de Datos Personales en su ámbito de actuación.

En las memorias de los años sucesivos no se recogen valoraciones generales del carácter de las que se han mencionado y nada se indica de los progresos que se hayan hecho, en este sector de la sanidad, en lo relativo a la protección de datos personales. Sí se da cuenta de las actuaciones de la Inspección de Datos en centros hospitalarios concretos, en Registro Nacional del SIDA y en el sistema informatizado de recetas (TAIR). De ellas se desprende la existencia de algunos incumplimientos y deficiencias en la adaptación a las exigencias de la ley (51). La ausencia de una valoración general actualizada da motivos para pensar, sin embargo, que, más de ocho años después de la entrada en vigor de las normas sobre protección de datos personales, no se ha logrado todavía el nivel de cumplimiento que sería deseable. De esta manera, unas informaciones que han de gozar de una especial defensa y sobre las que penden riesgos evidentes, toda vez que, por su propia naturaleza se prestan a ser usadas con fines distintos a los que motivaron su recogida carecen aún en la práctica de la tutela que les corresponde(52) .

Es, por tanto, imprescindible promover las condiciones necesarias para que el panorama cambie radicalmente y las previsiones constitucionales y legales se cumplan de manera satisfactoria. Especialmente, a la vista de la existencia de ficheros y de tratamientos de datos relativos a la salud, no sólo en la red hospitalaria y asistencial, pública y privada, sino también en manos de entidades de seguros, centros médicos de empresas y entidades de diagnóstico, así como en poder de laboratorios químicos, farmacéuticos y ópticos y de asociaciones y entidades dedicadas a la prestación 'de servicios sociales (53). A tal efecto, pienso que las actividades de tipo educativo y divulgativo encaminadas a la formación de quienes tienen relación con los datos sobre la salud, así como las dirigidas a informar a los afectados de los derechos que les asisten, son imprescindibles.

 

8.- Criterios aplicables a la utilización de los datos sanitarios en los archivos judiciales. 

De cuanto ya se ha expuesto pueden deducirse los criterios que integran el régimen de los datos sanitarios en los archivos judiciales. Criterios que, por lo demás, se desprenden de los principios informadores del Derecho de la Protección de Datos de Carácter Personal explicitados por la propia LOPD(54) y, también, de la Recomendación R (97) 5, antes examinada, lo que no es casual ya que ese documento se funda, precisamente en tales principios.

Entiendo que las cuestiones que pueden originar mayores dificultades son las que se refieren a la incorporación de tales datos a los ficheros judiciales, pues para los que ya están en ellos las reglas generales que les son aplicables en materia de cesiones y acceso por terceros ofrecen suficiente garantía a la confidencialidad que merecen. Porque, como ha habido ocasión de comprobar, no rige un régimen de publicidad que permita a extraños conocer lo que consta en tales archivos. Sólo el afectado dispone de la posibilidad de hacerlo y, en algunos casos, ni siquiera él: cuando haya sido declarado el secreto del sumario en el proceso penal o cuando pueda verse perjudicado el derecho a la intimidad de otra persona son los supuestos más claros que contempla el RAA, si bien en este último supuesto pueden surgir algunas complicaciones de relieve, como, por ejemplo, las que aborda la Sentencia del Tribunal Europeo de Derechos Humanos que resolvió el llamado caso Gaskin(55).

Por lo que se refiere a las resoluciones judiciales, la jurisprudencia del Tribunal Supremo ha establecido una interpretación ajustada del concepto de interesados que utiliza la LOPJ para circunscribir el ámbito de los sujetos que pueden acceder a las resoluciones judiciales. Esa doctrina, que excluye un régimen de publicidad plena para las mismas y que exige en tales sujetos una conexión directa con el proceso de que se trate o con actuaciones derivadas de él, al tiempo que considera que la salvaguarda de la publicidad del proceso y de la libertad de informar se satisface facilitando el texto de la resolución sin las referencias personales, cuando ello sea preciso para proteger la intimidad de los afectados, brinda cautelas suficientes. Naturalmente, hace falta vigilar para que se apliquen.

Los problemas principales están, sin embargo, en el momento previo, en el del registro del dato sanitario. Los archivos y ficheros judiciales se nutren, según ha habido ocasión de señalar, con las informaciones que resultan de los distintos procesos de los que conoce cada juzgado o tribunal. Informaciones que, unas veces, se logran con el consentimiento del afectado --por ejemplo, si las ofrece al ejercer una acción determinada-- y otras muchas sin él, porque, por ejemplo, surgen de las averiguaciones practicadas en el curso del proceso a partir de documentos aportados o de testimonios realizados por terceros. O porque los datos sanitarios de otra persona apoyan las pretensiones que el actor pretenda hacer valer enjuicio. Además, están todos aquellos casos en los que es el juez el que los recaba de las partes o de sujetos externos al proceso. Incluso cabe que los pida a otro órgano judicial.

En tales supuestos, cuando es el juez el que toma la iniciativa ¿qué límites circunscriben sus facultades?. No hay ninguna duda de que ha de disponer de todos los datos, incluidos los sanitarios, que sean necesarios para perseguir las infracciones penales de las que le corresponda conocer en aplicación de las reglas de la competencia o para dirimir los conflictos jurídicos, privados o públicos, que en virtud de esas mimas reglas se sometan a su jurisdicción. En estas ocasiones, el superior interés general que el proceso realiza, la preservación del orden jurídico y la garantía de los derechos que hayan sido vulnerados justifican sobradamente que se le brinden sin restricciones los datos de hecho requeridos para que, a partir de ellos, pueda determinar cuál es la respuesta que el ordenamiento ofrece en cada litigio.

La clave está, no obstante, en la noción de necesidad. El juez tiene el derecho y el deber de hacerse con todos los datos necesarios pero solamente los necesarios. Y tal necesidad no es un concepto vacío que admite cualquier contenido. Desde luego no puede quedar a la mera voluntad del juez, ni, mucho menos, a las demandas que las partes, incluido el Ministerio Fiscal, expresen. Esa necesidad tiene un sentido concreto en cada caso: el que resulta de la finalidad que en él se persiga. De ahí que nociones como las de adecuación, pertinencia, proporción que, junto a las de veracidad, actualidad e integridad, definen la calidad de los datos personales, según la LOPD y el Convenio 108, sean las herramientas con las que han de fijarse los límites de las facultades judiciales y, en consecuencia, las restricciones de los derechos de los afectados y la intensidad del deber de quienes, no siendo los titulares de la información personal, dispongan lícitamente de ella: por ejemplo, un profesional médico o un centro hospitalario.

Esto quiere decir que el juez no puede pedir los datos sanitarios que no guarden esa relación de necesidad con el proceso y que aquél a quien se los requiera puede oponerse a la decisión judicial mediante los recursos que el ordenamiento prevé. Es verdad que este criterio, así esbozado, es sencillo y difícilmente discutible. Del mismo modo, es cierto que su aplicación será complicada. No obstante, es de esperar que la jurisprudencia vaya despejando las dudas que surjan en la práctica mediante la ponderación de las circunstancias que concurran en cada ocasión.

En cuanto a la cancelación, las mismas razones que abogan a favor de la conservación de este tipo de datos --el cuidado de la salud propia del afectado o de un tercero o la realización de estudios e investigaciones epidemiológicas-despliegan toda su fuerza de convicción en este caso y se ven, además, reforzadas por las que se refieren a los fines que motivan el proceso en cuyo seno fueron recogidos.

Por esas razones y por lo delicado de su contenido, es imprescindible reiterar aquí la importancia que tiene la observancia del deber de secreto de quienes, por razón de su cargo o de su oficio, tengan que acceder a los datos sanitarios, así como la existencia de unas verdaderas medidas de seguridad que preserven del conocimiento ajeno indebido los obrantes en los archivos judiciales. Medidas de seguridad que deben hacer efectiva la confidencialidad propia de estas informaciones. Tal exigencia brota, en este caso, no sólo del derecho a la autodeterminación informativa, sino también del derecho a la intimidad que, también se proyecta sobre los datos de esta naturaleza.

 

NOTAS

1 A propósito de los ficheros judiciales, cfr. el artículo 230.5 de la Ley Orgánica del Poder Judicial y los artículos 77 y sigs. del Reglamento 5/1995, de 8 de junio, de Aspectos Accesorios de las Actuaciones Judiciales. Sobre el particular, cfr. Pablo Lucas Murillo de la Cueva, "La confidencialidad de los datos personales: garantías en el proceso judicial", en José María Alvarez-Cienfuegos Suárez (dir.), La protección del derecho a la intimidad de las personas ficheros de datos), cit., págs. 228 y sigs., así como los restantes trabajos contenidos en ese libro. Véase, igualmente, Miguel Revenga Sánchez (dir.), Acceso judicial a la obtención de datos, cit. Analiza también estas normas reglamentarias Etxeberría Guridi, La protección de los datos de carácter personal en el ámbito de la investigación penal, cit., págs. 59 y sigs.

2 Cfr., al respecto, Pablo Lucas Murillo de la Cueva, "La construcción del derecho a la autodeterminación informativa", en Revista de Estudios Políticos, n° 104/1999, págs. 35 y sigs. Las referencias hechas a la Ley Orgánica 511992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), han de entenderse referidas a la vigente LOPD. Sobre la sustitución de aquélla por ésta, véase mi trabajo "Las vicisitudes del Derecho de la Protección de Datos Personales", de próxima publicación en la Revista Vasca de Administración Pública.

3 A estos efectos hay que 'tener en cuenta que el Reglamento de medidas de seguridad de los ficheros automatizado que contengan datos de carácter personal, aprobado por el Real Decreto 994/1999, también rige para los ficheros judiciales.

4 Cfr., sobre el particular, José María Alvarez-Cienfuegos Suárez, "La protección de los datos personales en el ámbito de la Administración de Justicia", en Actualidad Jurídica Aranzadi, n° 273, de 12 de diciembre de 1996, págs. 1-6; Id. La defensa de la intimidad de los ciudadanos y la tecnología informática, cit., págs 79 y sigs. Además, véase Lucas Murillo de la Cueva, "La construcción del derecho a la autodeterminación informativa", cit., págs., 53 y sigs.

5 Véase el texto del Convenio en la publicación El Consejo de Europa y la protección de datos personales. Agencia de Protección de Datos, Madrid, 1997, págs. 13 y sigs. Sobre su virtualidad para dotar de contenidos concretos la remisión del artículo 18.4 al legislador, véase la STC 254/1993, que comento en mi estudio "La construcción del derecho a la autodeterminación informativa", págs. 42 y sigs. Respecto del alcance del artículo 10.2 de la Constitución, véase Alejandro Sáiz Arnáiz, La apertura constitucional al Derecho internacional y europeo de los derechos humanos. El articulo 10.2 de la Constitución Española. Premio "Rafael Martínez Emperador". Consejo General del Poder Judicial, Madrid, 1999.

6 Cfr. Pablo Lucas Murillo de la Cueva, "Las vicisitudes del Derecho de la Protección de Datos Personales", cit. Juan José Martín-Casallo López, "La Agencia de Protección de Datos y los ficheros jurisdiccionales", en José María Alvarez-Cienfuegos Suárez (dir.), La protección del derecho a la intimidad de las personas ficheros de datos).

7 Cuadernos de Derecho Judicial, n° 13/1997, págs., 87 y sigs., se muestra muy crítico con la regulación establecida por este reglamento. En cambio, Alvarez-Cienfuegos, La defensa de la intimidad de los ciudadanos y la tecnología informática, cit., págs., 86 y sigs., considera, en general, razonables sus soluciones. En la misma línea se mueven las valoraciones de Etxeberría Guridi, La protección de los datos de carácter personal en el ámbito de la investigación penal, cit., págs., 54 y sigs.

8 El conjunto de estas prácticas es lo que la LOPD define como tratamiento de datos en su artículo 3 c).

9 En este sentido, Alvarez-Cienfuegos Suárez, "La protección de datos personales ...", cit, pág. 4. Reitera este criterio en La defensa de la intimidad de los ciudadanos y la tecnología informática, cit., pág. 85.

10 Obligación que reitera el artículo 17 de la LOPJ.

11Cfr., Alvarez-Cienfuegos Suárez, "La protección de datos personales ...", cit., pág. 5, quien, sin embargo, refiere la autorización en este último caso al titular del órgano jurisdiccional.

12 De conformidad con el artículo 79 RAA.

13 Alvarez-Cienfuegos Suárez, La defensa de la intimidad de los ciudadanos y la tecnología informática, cit., págs. 85 y sigs.

14 Véase, a este propósito, cuanto se dice más abajo sobre el acceso a las resoluciones judiciales.

15 La redacción de este artículo 83 no es la más afortunada. En este punto coinciden las críticas de loa autores: véase, por ejemplo, Martín-Casallo López, "La Agencia de Protección de Datos y los ficheros jurisdiccionales", cit., págs. 87 y sigs.

16 Esta última restricción tiene el mismo sentido que posee el artículo 15.1, párrafo segundo, del Real Decreto 1332/1994, de 20 de junio, el cual pretende evitar que se utilicen los derechos del afectado para modificar lo que consta en el expediente administrativo del que proceden los datos obrantes en el fichero automatizado. Por lo demás, no suscita especial dificultad la denegación del derecho de acceso cuando medie el secreto sumarial o ya se haya ejercido en los doce meses anteriores y no exista ahora un interés legítimo que ampare la nueva pretensión (cfr., en este sentido, el artículo 15.3 LOPD). La referencia al perjuicio a la intimidad de otros como posible causa limitadora del derecho de acceso, se explica por la posibilidad de que algunos datos personales propios se encuentren asociados a los de personas distintas.

17 Véase la crítica a esas excepciones, ya previstas por la LORTAD, en Pablo Lucas Murillo de la Cueva, Informática y protección de datos personales. Centro de Estudios Constitucionales, Madrid, 1993, págs. 99 y sigs.

18 La garantía que representa la legalización del plazo se ve compensada, no obstante, con su ampliación al doble de tiempo, ya que el R.D 1332/1994, en su artículo 15, señalaba el de cinco días desde la solicitud de la rectificación o cancelación para que el responsable del fichero la llevase a efecto.

19 Conforme al artículo 12 del R.D. 1332/1994.

20 En particular, que "los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten".

21 Me refiero a la intervención prevista en el artículo 18.2 de la LOPD. Aunque la LOPD, a diferencia de la LORTAD, no contiene normas que excluyan para determinados órganos la aplicación de las normas referidas a la Agencia de Protección de Datos y a las infracciones y sanciones, no debe ser dificil concluir que, en ejercicio de sus competencias, los juzgados y tribunales no están sujetos a las decisiones de autoridades administrativas, aunque sean independientes.

22 No son muchas las ocasiones en las que se ha dado cumplimiento a las previsiones reglamentarias del RAA en materia de ficheros automatizados de datos personales dependientes de órganos judiciales. En sus dos primeros años de vigencia sólo se hizo en tres casos.

23 Cfr., al respecto, cuanto se dice en Lucas Murillo de la Cueva, "La construcción del derecho a la autodeterminación informativa", cit., págs. 53 y sigs.

24 Por acuerdo de 18 de junio de 1997, publicado en el BOE del 2 de julio de 1997.

25 Cuya doctrina ha sido reiterada últimamente por la STS (Sala 311) de 7 de febrero de 2000, dictada a propósito de los cometidos del Centro de Documentación Judicial.

26 Por lo demás, en el texto. que, a modo de preámbulo, antecede a las nuevas normas reglamentarias, el Consejo dice: " la realización en condiciones adecuadas del proceso de recopilación, tratamiento y difusión de las sentencias y de otras resoluciones judiciales que por su interés lo requieran, permitirá garantizar el acceso de todos los interesados a dichas resoluciones y a su contenido doctrinal y cientifico, asegurando al propio tiempo la protección de los derechos fundamentales al honor, intimidad y propia imagen, puesto que, si bien corresponde primariamente a los propios Juzgados y Tribunales excluir de la publicidad de sus resoluciones aquellos contenidos que pudieran afectar a tales derechos, conforme a lo que disponen los artículos 1793 de la Ley de Enjuiciamiento Civil y 906 de la Ley de Enjuiciamiento Criminal, es indudable que la centralización, tratamiento y difusión de las resoluciones judiciales dictadas por los distintos órganos jurisdiccionales por los órganos de gobierno del poder judicial ha de contribuir también a la preservación de dichos valores en los términos requeridos tanto por la doctrina constitucional, como por la doctrina jurisprudencial, señaladamente de la Sala Tercera del Tribunal Supremo, que ha venido poniendo de manifiesto la necesidad de salvaguardar los derechos fundamentales y libertades públicas en el acceso a las resoluciones judiciales".

27 El Consejo había consignado su criterio en dos acuerdos de su Pleno de 10 de abril de 1991.

28 Cfr., sobre esta sentencia Pedro Grimalt Servera, "El tratamiento automatizado de datos sobre solvencia patrimonial obtenidos de resoluciones judiciales (Comentario a la STS, Sala 3', de 3 de marzo de 1995)", en Derecho Privado y Constitución, n° 6/1995, págs., 216 y sigs.

29 Al respecto, véase, Pedro A. Munar Bernat, " El tratamiento automatizado de los datos relativos a la salud. Sus limites en el Derecho Comunitario y en el Derecho español", en Revista del Poder Judicial, n° 45, tercera época, 1997, pp. 101 ss. Por lo que hace a los datos relativos a la salud, véase Pablo Lucas Murillo de la Cueva, "La protección de datos sanitarios. Aspectos Juridicos (I)", en Primeras Jornadas de Protección de Datos Sanitarios en la Comunidad de Madrid. Agencia de Protección de Datos de la Comunidad de Madrid/Editorial Mapfre S.A., Madrid, 2000, págs. 153 y sigs.; Id., "El tratamiento jurídico de los documentos y registros sanitarios informatizados y no informatizados", en Información y documentación clínica, vol. II. CGPJ/Ministerio de Sanidad y Consumo, Madrid, 1997, págs. 577 y sigs. y la bibliografía en estos trabajos citada.

30 Estoy pensando en ficheros o tratamientos como, por ejemplo, los que se refieren a aspectos de la gestión económico-administrativa de un hospital: los de personal, los de proveedores, etc.

31 Así, su artículo 8.1 dice: "Los Estados prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad" (cursiva del autor). La Directiva sigue, pues, la pauta establecida por el Convenio 108 del Consejo de Europa, en su artículo 6, conforme al cual "los datos de carácter personal que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías suficientes. La misma regla regirá en el caso de datos de carácter personal relativos a condenas penales".

32 Estos requisitos no rigen para los ficheros y tratamientos de los partidos políticos, sindicatos, iglesias y confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical respecto de los datos de sus miembros, sin perjuicio de que las eventuales cesiones de tales datos requieran siempre el previo y explícito consentimiento del afectado (artículo 7.2 LOPD).

33 Este artículo de la LOPD dice: "Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente". La LOPD, al igual que la Directiva 95/46, se sitúa, así, en la estela del Convenio 108 del Consejo de Europa, el cual, en su artículo 6, se refiere a las "categorías especiales de datos".

34 A los que se refiere el considerando 42° de la Directiva 95/46/CE. "Dato médico" es la fórmula utilizada por el Consejo de Europa en sus Recomendaciones. Cfr. infra.

35 El considerando 33° de la Directiva 95/46/CE contiene esta expresión.

36 Considerando 34° de la Directiva 95/46/CE.

37 Cfr., al respecto, el punto 45° de la Introducción al Convenio 108 del Consejo de Europa.

38 En este sentido, conviene recordar la noción de historia clinica como relato biográfico o el entendimiento de la enfermedad como un modo de vivir de la persona. Sobre el particular, cfr. Pedro Laín Entralgo, La historia clínica (historia y teoría del relato patográfico 2 `a.. Barcelona, 1961, págs. 626 y sigs. Además, véase Ricardo de Angel Yagüez, "Problemática de la historia clínica", en Información y documentación clínica, vol. I, cit., págs. 95 y sigs. En ese mismo volumen se recogen otras contribuciones sobre la cuestión.

39 Sobre estas cuestiones, cfr. Munar Bernat, "El tratamiento automatizado de los datos relativos a la salud ...", cit., Págs. 101 y sigs.

40 Fue adoptada el 13 de febrero de 1997. Véase su texto en la Memoria de 1997.Agencia de Protección de Datos, Madrid, 1998, págs. 305 y sigs.

41 Sobre el particular, cfr. Pablo Lucas Murillo de la Cueva, El derecho a la autodeterminación informativa. Tecnos, Madrid, 1990, págs. 130 y sigs.

42 Véase lo senalado más arriba y en la nota 6.3

43 En particular, la Recomendación n° R (81) 1, referida a la reglamentación aplicable a los bancos de datos médicos automatizados.

44 En su Memoria 1995. Agencia de Protección de Datos, Madrid, 1996, pág. 89.

45 Entre ellos figuran las cesiones de datos, el acceso de terceros a los datos personales, así como las transferencias internacionales. Memoria 1995, cit, pág. 91.

46 Memoria 1996. Agencia de Protección de Datos, Madrid, 1997, pág. 99.

47 Memoria 1995, cit. pág. 92.

48 Memoria 1995, cit, pág. 92.

49 Ibidem.

50 Véase la Memoria de 1997. Agencia de Protección de Datos. Madrid, 1998, págs. 138 y sigs. Las conclusiones recogidas en ese informe son las siguientes: 1) No existe el necesario conocimiento e implicación por parte de los órganos directivos de los centros, en lo que a protección de datos se refiere, así como tampoco una mentalización adecuada respecto de los problemas de seguridad. 2) No existen definiciones del nivel de confidencialidad de los datos que se utilizan desde los distintos puntos de tratamiento de los centros. 3) No están definidos ni documentados los procedimientos en materia de cesión de datos médicos ni los requisitos legales necesarios para su cesión a otros centros. 4) No existen procedimientos sobre los tipos de datos que pueden transferirse internacionalmente así como los posibles destinatarios. 5) No existe control de salida de datos de los centros. 6) No se informa a los afectados de los puntos indicados en el artículo 5 de la LORTAD. 7) No existen procedimientos para ofrecer información a los afectados ante el ejercicio de su derecho de acceso. 8) No están correctamente declarados los ficheros existentes. 9) No existe, generalmente, un plan de seguridad, ni conciencia respecto de los riesgos asociados a una seguridad deficiente.

51 Véanse la Memoria de 1998. Agencia de Protección de Datos, Madrid, 1999, págs. 157 y sigs. y la Memoria de 1999. Agencia de Protección de Datos, Madrid, 2000, págs. 164 y sigs.

52 Como dice la Memoria 1996, cit., págs. 95-96, los motivos para esa utilización divergente del propósito inicial pueden ser "desde la publicidad directa hasta la clasificación de riesgo para la emisión de una póliza de seguros, el pago de una indemnización derivada de una de estas pólizas o para fines científicos o de investigación".

53 Cfr. la Memoria de 1997, de la Agencia de Protección de Datos, cit., pág. 46.

54 Sobre tales principios objetivos y su virtualidad, cfr. Lucas Murillo de la Cueva, "La construcción del derecho a la autodeterminación informativa", cit., págs. 52-53.

55 Se trata de la STEDH de 7 de julio de 1989 en la que se condena al Reino Unido.

 

Indice