|
LA PUBLICIDAD DE LOS ARCHIVOS JUDICIALES Y LA CONFIDENCIALIDAD DE LOS DATOS SANITARIOS |
D. Pablo Lucas Murillo de la Cueva Vocal del Consejo General del Poder Judicial |
El
asunto que se me ha encomendado tratar enlaza dos materias que parecen
estar inspiradas por criterios contrapuestos: por una parte, el régimen
de los archivos judiciales, sobre el que es preciso saber si se proyecta
la regla de la publicidad que el artículo 120.1 de la Constitución
quiere que presida las actuaciones judiciales y, por la otra, el
estatuto de los datos sanitarios, respecto del cual la norma sería la
de su confidencialidad. Al abordar estas cuestiones vamos a comprobar
que las cosas no son exactamente lo que parecen ser y que esa
contraposición es más aparente que real. Para apreciarlo es preciso
examinar las líneas generales que informan la regulación jurídica de
cada una de esas materias. Comenzaremos con las que se refieren a los
archivos judiciales.
1.-
La protección de datos personales y los ficheros del Poder Judicial. Las normas relativas a los datos
personales que manejan los ficheros de los órganos judiciales se
integran en el conjunto de las que componen el Derecho de la Protección
de Datos Personales, el cual descansa en el artículo 18.4 de la
Constitución y tiene en la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal (LOPD) su disciplina
principal(2). Tales
reglas buscan armonizar su utilización de los archivos judiciales en
todos los casos en que sea preciso, y con toda la intensidad y extensión
que sean procedentes, con la salvaguardia de los derechos que asisten a
las personas a las que los datos en ellos contenidos se refieren. Y,
como es natural, fuera de los supuestos en los que se haya establecido
otra cosa, esa garantía implica la confidencialidad de tal información,
la cual, en la medida en que deba existir, se proyecta fundamentalmente
sobre terceros distintos del interesado y del órgano judicial que
conoce de un proceso determinado en el que se maneja esa información
personal. Tal exigencia de confidencialidad o reserva implica, para el
órgano judicial, una serie de obligaciones en lo que se refiere a la
seguridad de la información personal que almacena --derivadas del Título II de la LOPD (artículos 9 y
10)(3)-- y a las condiciones en que puede facilitarla o cederla.
Correlativamente, están presentes restricciones a la posibilidad de
acceder a ella por parte de terceros, así como límites respecto de los
datos personales que pueden ser tenidos en consideración y,
posteriormente, incorporados a los ficheros judiciales. Así, pues, la
publicidad que debe caracterizar las actuaciones judiciales no es la
pauta que inspira el régimen del acceso a los datos obrantes en los
archivos judiciales. Ahora
bien, el problema que estas regulaciones y, en particular, la LOPD,
presentan es que buena parte de sus disposiciones no son aplicables, o
lo son sólo en parte, a los tratamientos de datos realizados en el seno
del Poder Judicial y, especialmente, en los Juzgados y Tribunales(4). Un
examen de su contenido revela que las reglas sectoriales (Títulos IV,
V, VI, VII) no se refieren al Poder Judicial, lo cual es llamativo
porque, luego, en las disposiciones adicionales, no se adopta ninguna
previsión para él. La
LORTAD sí se refería en una de ellas al Consejo General del Poder
Judicial que, desde luego, no es el que va a crear, ni a padecer,
excesivas complicaciones en este punto. No obstante, su disposición
adicional 1ª lo mencionaba para excluirle de la aplicación, entre
otros, de los Títulos VI (Agencia de Protección de Datos) y VII
(Infracciones y sanciones) de aquélla ley orgánica. Esa disposición
tuvo, sin embargo, la virtud, de poner de manifiesto que, en lo demás,
en lo no exceptuado, las normas legales regían también para los
ficheros judiciales. Especialmente las referidas a los principios y
derechos (Títulos II y III) enunciados por ese texto legal, y las
normas definitorias contenidas en su Título I. Es evidente que, aun en
el caso de que la anterior ley no diera pié a esta interpretación a
contrario, la solución sería la misma por virtud de la fuerza
normativa de la Constitución. Me refiero, en particular, a cuanto
resulta del Convenio 108 del Consejo de Europa que, de acuerdo con el
artículo 10.2 del texto fundamental, sirve para llenar de contenido el
artículo 18.45. No obstante, esta es una materia de la suficiente
importancia como para que el legislador se hubiera preocupado ya de
establecer disposiciones que la regulen directamente despejando, así
las dudas -y, también, la inseguridad jurídica-- que
todavía existen en ella. La
Ley Orgánica 16/1994, 8 de noviembre, de reforma de la del Poder
Judicial, en la nueva redacción que dio al artículo 230, reconoció la
aplicación de los principios y derechos explicitados en la LORTAD a los
ficheros judiciales, pero no fue mucho más allá. En efecto, se limita
a: a)
Autorizar la utilización por los órganos judiciales de medios electrónicos
informáticos y telemáticos, si bien sometiendo ese uso a las
limitaciones derivadas de la Ley Orgánica 5/92. b)
Salvaguardar la confidencialidad, privacidad y seguridad de los datos
contenidos en los ficheros judiciales y c)
Encomendar al Consejo General del Poder Judicial la determinación de
los requisitos y demás condiciones que afecten al establecimiento y
gestión de los ficheros automatizados que se encuentran bajo la
responsabilidad de los órganos judiciales de forma que se asegure el
cumplimiento de las garantías y derechos establecidos en la LORTAD. Como
se puede apreciar, estamos ante simples normas de habilitación y de
remisión, que, hoy por hoy, siguen siendo las únicas de este rango que
se dirigen expresamente a regular el tratamiento de datos personales
realizado por los distintos órganos del Poder Judicial. Porque la LOPD
--a la que hay que referir la remisión de la LOPJ a la
LORTAD-- guarda silencio, no contiene ninguna previsión
para el Consejo General del Poder Judicial ni para los órganos
judiciales, y las referencias puntuales a ellos como receptores de datos
o las relativas a la tutela jurisdiccional, no alteran la situación: se
les aplican las normas legales sobre principios y derechos en lo que no
sea incompatible con la posición propia de los órganos del Poder
Judicial y con la disciplina del proceso. Esta situación no deja de
llamar la atención ya que, siendo evidente la necesidad de una regulación
legal suficiente de los tratamientos de datos personales que tienen
lugar en la Administración de Justicia y siendo, igualmente, manifiesto
que la LORTAD no la contenía, el legislador de 1999, que se ha tomado
con tanta parsimonia la transposición de la Directiva para, después
acabar produciendo una nueva ley de un modo tan atípico como
discutible(6), no haya tenido tiempo para terminar con esta carencia, máxime
cuando ha ampliado notablemente el ámbito de aplicación de las
previsiones legales sobre la protección de los datos personales.
2. - El régimen de los ficheros judiciales. En todo caso, en virtud
de esa determinación del artículo 230 de la LOPJ, el Consejo General
del Poder Judicial aprobó el Reglamento 5/1995, de 7 de junio, de
Aspectos Accesorios de las Actuaciones Judiciales (RAA), cuyos Títulos
V y VI pretenden dar respuesta a algunas de las cuestiones que la
articulación de una tutela efectiva de los datos personales en este ámbito
suscita(7) . .
Sin embargo, tales previsiones reglamentarias son, secundarias,
accesorias, instrumentales, respecto de las normas derivadas de la
Constitución y de la Ley Orgánica. No era posible otra alternativa,
pues no es el reglamento una norma hábil para más ambiciosos
objetivos. Ni cuanto se refiere a la configuración de los derechos de
las personas, ni cuanto hace a la fijación de sus límites o lo
relativo a la imposición de deberes, la tipificación de infracciones y
la previsión de sanciones, puede ser regulado por una norma de este carácter.
Corresponde, por el contrario, al legislador establecer los perfiles básicos
de la disciplina de esta materia. De ahí las insuficiencias que se le
imputan a la situación vigente. Pero ése no es un defecto achacable al
reglamento --que intenta sacar todo el partido posible a una
fuente secundaria-- sino que es una consecuencia de la
inactividad de legislador. Veamos, pues, qué es lo que se ha
establecido para los ficheros de los órganos judiciales que, recordémoslo,
rige tanto para los que han sido automatizados como para aquellos otros
de carácter convencional, siempre que estén estructurados de tal
manera que puedan llevarse a cabo en ellos operaciones y procedimientos
técnicos que permitan la recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así como las cesiones de datos
que resulten de comunicaciones, consultas, interconexiones y
transferencias.
2.1.- Los datos personales y el consentimiento del afectado. Tal vez una de
las principales innovaciones que convendría realizar en el momento en
el que se legisle sobre esta específica materia consista en atribuir a
los datos personales obrantes en los ficheros judiciales la consideración
de sensibles(9). Desde luego, en buena parte de los casos así lo serán
por entrar en las categorías a las que se refiere el artículo 7 de la
LOPD: ideología, religión, creencias, origen racial, salud, vida
sexual, infracciones penales o administrativas. Pero sucede que,
incluso, los que no tengan que ver directamente con estas cuestiones
pueden guardar con ellas alguna relación que justifique su especial
protección o, simplemente, por constar en un proceso judicial, es
posible que adquieran un sesgo o connotación potencialmente perjudicial
para el afectado, si esa información es susceptible de utilización por
terceros fuera de las actuaciones judiciales. Naturalmente, al efectuar
esta propuesta no se pretende restringir las potestades de los jueces en
el ejercicio de su función jurisdiccional, sino solamente asegurar a
los datos personales que éstos deben manejar la máxima protección
frente a terceros que la configuración constitucional del proceso
permite. No
se debe olvidar que, en aplicación de las leyes de enjuiciamiento, con
las que concuerda la LOPD [artículos 6.1 y 11.2,d)], la mayor parte de
la información personal existente en los ficheros de datos judiciales
se habrá obtenido sin que medie el consentimiento de aquél a quien
pertenecen por ofrecer la ley la correspondiente cobertura para
lograrla. Así, por ejemplo, en aplicación de las normas de la Ley
General Tributaria [artículo 113 a), f) y h)] y de las contenidas en la
LORTAD [artículo 11 d)] que permiten las cesiones a los juzgados y
tribunales, el Consejo General del Poder Judicial ha suscrito un
Convenio con la Agencia Estatal de Administración Tributaria para que
los órganos judiciales accedan, en el ejercicio de sus funciones
jurisdiccionales, a los datos de los ficheros tributarios. Otro tanto,
sucede con el Ministerio del Interior, de conformidad con el citado artículo
11 d) de la LORTAD y con las normas que imponen la obligación de
colaborar con los Jueces y Tribunales en el marco del proceso (artículos
118 de la Constitución y 17.1 LOPJ), en este caso para el acceso
judicial a los datos personales registrados en los ficheros de la
Dirección General de Tráfico y de la Dirección General de la Policía.
Obviamente, dichos convenios se hallan ahora bajo el amparo normativo de
la LOPD. Pero
no es preciso ilustrar con muestras concretas esta realidad. Basta con
tener en cuenta las facultades de las que disponen los jueces, tanto en
el orden jurisdiccional penal, como en los de otro carácter, para
recabar de particulares y autoridades, todos los cuales están
constitucionalmente obligados a colaborar con los tribunales según el
artículo 118 de la Constitución(10), la información que proceda
aportar al proceso, la cual se documentará debidamente. Tampoco
ha de desconocerse que su titular no podrá normalmente recuperar la
disposición y el control sobre cuanto sobre él consta en esos
registros informatizados. De ahí que sea preciso compensar esa pérdida
de autodeterminación informativa restringiendo la comunicación o
exhibición a terceros que no sean parte en el proceso de los datos
personales del afectado o subordinándolas a su consentimiento o la
decisión motivada del responsable del ficheros' que habrá de moverse
dentro de los márgenes que las leyes le consienten.
2.2.- Clases de ficheros. El RAA sí ha podido, en cambio, ocuparse de la
clasificación de los ficheros judiciales, distinguiendo los de carácter
jurisdiccional de aquellos otros de tipo gubernativo (artículo 78) en
función de la naturaleza del procedimiento del que surge la información.
A los primeros los llama ficheros de datos jurisdiccionales y a los
segundos ficheros de datos no jurisdiccionales. Ha precisado, también,
el reglamento los datos que cada uno ha de recoger (artículos 78.2 y
78.3) y su procedencia (artículo 79). Así,
en los ficheros de datos jurisdiccionales solamente constarán los que
deriven de las actuaciones de esa naturaleza. El artículo 78.2 RAA señala,
a título de ejemplo, los siguientes: los que en atención a las leyes
sean necesarios para el registro e identificación de procedimiento o
asunto jurisdiccional con el que se relacionan; los precisos para
identificar y localizar a las partes; los necesarios para identificar a
abogados, procuradores y, en general, a quienes desempeñen labores de
defensa o representación procesal, así como a cualquier persona que
deba intervenir, en cualquier calidad, en el proceso; también se
recogerán los datos que exterioricen las resoluciones dictadas y las
actuaciones realizadas y los derivados de la instrucción y de las
diligencias judiciales. En cambio, en los ficheros de datos no
jurisdiccionales, los que se registrarán serán aquellos que deriven de
los procedimientos gubernativos y los que, con arreglo a las normas
vigentes, definan la relación existente con las personas que prestan
servicios en los órganos de gobierno y los que guarden conexión con
las situaciones o incidencias que en aquélla sucedan. Los
datos se tomarán de los documentos o escritos que obren en el proceso o
en las actuaciones que se practiquen en ellos y, tratándose de ficheros
gubernativos, directamente de las personas afectadas y
--cuando y como la Ley lo permita-- de los órganos
competentes sobre los cuerpos o carreras a los que pertenezcan (12). Conviene
advertir de la relatividad que tiene esta clasificación. En efecto,
puede ser útil para distinguir, por materias, los datos que van a los
de cada tipo. No obstante, no debe concluirse, sin más, que los que
recogen la información que es realmente valiosa o que puede originar
mayores dificultades son los ficheros jurisdiccionales. Lo mismo cabe
decir de otras clasificaciones que se han establecido en el seno de los
ficheros de datos jurisdiccionales. Me refiero a la que diferencia
dentro de ellos los que hacen referencia a los asuntos en tramitación y
los relacionados con los asuntos terminados (13). Esta distinción
--no prevista reglamentariamente-- posee también
un claro sentido práctico y puede conducir a pensar que son los
primeros los merecedores de mayor atención por ser los que
previsiblemente darán lugar a mayores restricciones de los derechos de
los afectados. No obstante, en relación con los ficheros de asuntos
terminados surgirán sin duda problemas de singular relieve, aunque sólo
sea bajo el aspecto del acceso a las resoluciones judiciales que en
ellos estén recogidas (14).
2.3.- Las comunicaciones de datos. En lo que a las cesiones o comunicaciones
de datos almacenados en estos ficheros respecta, el RAA no puede sino
adaptarse totalmente a las previsiones de la ley. Por eso, el margen en
el que puede moverse en esta materia tan delicada es muy estrecho. De ahí
que solamente haga referencia a los casos en los que, como consecuencia
de la actividad judicial, sea obligado facilitar información a otro órgano
judicial. Y esos casos son los indicados en el artículo 81: el auxilio
jurisdiccional, la aplicación de las normas sobre competencia o sobre
la organización de los servicios que incidan en la atribución del
conocimiento de un asunto o procedimiento, o de alguna de sus
incidencias, o en la realización de alguna actuación. Cuestiones todas
estas sometidas a estricta regulación legal. Dicho de otro modo, el
reglamento no habilita supuestos de cesión de datos distintos de los
contemplados en el artículo 11 LOPD. Si lo pretendiera incurriría en
ilegalidad. Teniendo esto presente, se aclara toda duda que pudiera
surgir a la hora de interpretar este artículo 80: en él lo que se
contiene es, simplemente, la mención de aquellas funciones judiciales
que pueden dar lugar a procesos de cesión de datos, o sea las que
activan la excepción contenida en el apartado d) de ese artículo 11. Por
lo que se refiere a la utilización de datos procedentes de estos
ficheros por las Administraciones Públicas, otro tanto cabe decir del
artículo 83 RAA: sólo puede ser interpretado de conformidad con la
ley. De ahí que deba ser entendido como la regulación de la manera de
proceder en las ocasiones en las que, bajo la cobertura del artículo 11
LOPD, sea posible la comunicación de datos desde los ficheros
judiciales', como, por ejemplo, sucede con el supuesto previsto por el
artículo 112.3 de la Ley General Tributaria en la redacción que le ha
dado la disposición adicional 48 LOPD. Se trata, por tanto, de una
norma de procedimiento, de carácter exclusivamente formal y no de
habilitación de comunicaciones de datos de carácter personal.
2.4.- Los responsables del fichero. Igualmente, ha establecido el RAA a quién
corresponde la responsabilidad --al secretario judicial, si
bien sus decisiones son revisables por el juez, las Salas de Gobierno y,
eventualmente, por el Consejo General del Poder Judicial (artículo
4.3)-- de los ficheros y de los tratamientos que se lleven a
cabo en los órganos judiciales (artículo 82).
2.5.- Los derechos del afectado. A propósito de los derechos del afectado, el
reglamento ha introducido algunas modulaciones a la forma de ejercer los
de acceso, rectificación y cancelación (artículo 84). Dichas
especialidades dimanan de las previsiones legales que regulan el secreto
sumarial --en el campo penal--, de la tutela de
la intimidad ajena, motivos ambos por los que se puede denegar el acceso
(artículo 84.3 y 4) y de la cautela encaminada a impedir que derechos
de autodeterminación informativa se utilicen para alterar
circunstancias que constan en el proceso, lo que puede fundamentar la
denegación de la rectificación o de la cancelación (artículo
84.5)(16). Aunque
parece claro que no rigen para los ficheros y tratamientos de datos
jurisdiccionales las normas excepcionales que en beneficio de las
Administraciones Públicas establece la LOPD en sus artículos 23 y
2417, es también evidente que las exigencias derivadas de la actuación
judicial, muy especialmente pero no de modo exclusivo, en el ámbito
penal condicionan con intensidad la posición del afectado. En este
sentido, puede entenderse que no podrá ejercer sus derechos de manera
que impidan o perjudiquen la función jurisdiccional. Naturalmente, esta
no es una consecuencia que derive de la extensión, más o menos
justificada, al campo judicial de la posición que el legislador ha
asegurado a las Administraciones Públicas. Por el contrario, no hace
falta acudir a razonamientos analógicos, ya que la primacía de la
actuación del juez está firmemente establecida por el ordenamiento jurídico
en atención a la garantía de todos los derechos e intereses legítimos
de las personas que tiene encomendada. Esto
explica la solución dada por el reglamento a la cuestión de la
conservación de los datos y, por tanto, al derecho de cancelación. A
este respecto, la regla que fija el artículo 80 RAA es que corresponde
al juez decidir sobre ella. Naturalmente, al hacerlo deberá tener en
cuenta el principio establecido en la LOPD (artículo 4.5) según el
cual los datos de carácter personal serán cancelados cuando hayan
dejado de ser necesarios o pertinentes para la finalidad para la cual
hubieran sido recabados o registrados o, en general, cuando su
tratamiento no se ajuste a lo dispuesto en la LOPD (artículo 16.2).
Ahora bien, la apreciación de cuando haya ocurrido ese efecto no puede
quedar a la sola decisión del afectado que ejerce el derecho de
cancelación. En el caso de los ficheros y tratamientos judiciales, en
especial en los de carácter jurisdiccional, los intereses públicos
pueden demandar el sacrificio en todo o en parte de los particulares,
pues, como se acaba de decir, no son otros los fines que mueven las
actuaciones judiciales. Es natural, por tanto, que el llamado a velar
por los derechos e intereses legítimos de los ciudadanos, es decir, el
juez, adopte la decisión que proceda. Y eso es lo que ha explicitado el
artículo 80 RAA. Fuera
de los límites mencionados, rige la disciplina contenida en la LOPD que
aporta algunas novedades. Entre ellas, el plazo para obtener la
rectificación o la cancelación, cuando procedan, que ahora se ha
consignado en la propia ley y que se fija en diez días (artículo
16.1)(18) , mientras que el establecido para que el responsable del
fichero resuelva sobre el acceso sigue siendo de un mes(19). Este
derecho consiste en la facultad de solicitar y obtener información de
los datos de carácter personal sometidos a tratamiento, de su origen y
de las comunicaciones de los mismos realizadas o que se prevean (artículo
15.1). Asimismo, se ha establecido legalmente su gratuidad y, en
general, la de los procedimientos relativos al ejercicio de los derechos
del afectado. Es importante subrayarlo pues la LORTAD sólo la disponía
para los casos de rectificación y cancelación de datos inexactos. En
cambio, ahora su alcance es general. Así, el artículo 17.2 establece,
en este sentido, que "no se exigirá contraprestación alguna por
el ejercicio de los derechos de oposición, acceso, rectificación y
cancelación". Adviértase que la fórmula seguida por la LOPD
impide toda tentativa de los responsables del fichero de obtener alguna
compensación en los casos en los en que, finalmente, no se atienda la
demanda del afectado, lo que no excluía la redacción del artículo
16.2 de la LORTAD. Se
acaba de mencionar el derecho de oposición. Conviene, referirse a él
ya que se trata, junto con el de ser informado del tratamiento de datos
que no se obtengan del interesado de los nuevos derechos que la LOPD
reconoce y ambos proceden de la Directiva europea. Este último tiene
por objeto poner en conocimiento del afectado la información personal
que sobre él se ha recogido, aunque no opera cuando así lo prevea una
ley, el tratamiento tenga fines históricos, estadísticos o científicos
o resulte imposible o exija esfuerzos desproporcionados a juicio de la
Agencia de Protección de Datos o se den las circunstancias contempladas
en el último párrafo del artículo 5.52°. Por su parte, el derecho de
oposición le faculta al afectado a oponerse a un tratamiento de sus
datos personales. La LOPD lo recoge en su artículo 6.4. Es una de las
innovaciones exigidas por la Directiva Europea. Está directamente
relacionado con la captación de datos personales sin consentimiento del
interesado. Cuando esto haya sucedido, y siempre que no lo impida una
ley que establezca lo contrario, ese interesado cuyos datos personales
se hayan recogido lícitamente pero sin su acuerdo, si le asisten
motivos fundados y legítimos relacionados con su situación personal,
tiene derecho a que el responsable del fichero excluya del tratamiento
los datos que le afectan. Ahora bien, lo que sucede con esta facultad y
con el derecho a ser informado de los tratamientos es que la naturaleza
de la función jurisdiccional dificulta notablemente la existencia de
supuestos en que deban entrar en juego. Así, la información recogida
es la que se desprende de las actuaciones procesales que están todas
ellas documentadas, por lo que es difícil, fuera de los casos de la
declaración del secreto --por definición, de duración
limitada-- que el afectado la desconozca. Por otro lado,
siempre que la ley autorice a prescindir de su consentimiento, este
derecho carecerá de sentido. Del
mismo modo, en el caso de la oposición al tratamiento es difícil que
se den las condiciones para que el interés personal del afectado
prevalezca frente a las exigencias del desenvolvimiento de la función
jurisdiccional: lo habitual será que el órgano judicial cuente con la
cobertura legal suficiente para registrar y tratar esos datos. Con todo,
no cabe excluir tajantemente la posibilidad de que pueda tener aplicación.
Desde luego, es verdad que el grueso de los datos que se hayan tomado de
una persona se habrán logrado, aunque sea a través de sus mismas
manifestaciones, al margen de su consentimiento. Y tampoco debe
descartarse que el juez incurra en algún exceso a la hora de recabar
del afectado o, sobre todo, de terceros información sobre éste.
Naturalmente, lo que no es posible, supuesto que se den las
circunstancias que permiten el ejercicio de este derecho y que no sea
atendido por el responsable del fichero, acudir a la Agencia de Protección
de Datos en demanda de que establezca la procedencia o improcedencia de
esa actitud(21). Las posibles vulneraciones de los derechos de
autodeterminación informativa habrán de combatirse mediante los
recursos que contra las decisiones del responsable del fichero o del
tratamiento prevé el RAA. Ahora
bien, ya que el ejercicio de la función jurisdiccional, en especial, en
el orden penal, altera seriamente el alcance de las facultades de
autodeterminación que la LOPD contempla, tanto en el momento de la
recogida de datos, como en el de su tratamiento y conservación, así
como en lo que se refiere a su cancelación, dado que estará cubierta
por las normas legales que lo permiten, cobran, por esa razón, una
importancia de primer orden los deberes especiales que para los
responsables de los ficheros de datos personales de los órganos
judiciales dimanan del Título II de la LOPD. Me refiero a los
principios de la protección de datos allí positivizados, a los que más
adelante haré alusión. Ahora me limitaré a llamar la atención sobre
la prohibición de recoger datos por medios fraudulentos, desleales ilícitos
(artículo 4.7), sobre la obligación de cancelar y rectificar de oficio
los datos inexactos en todo o en parte o incompletos, sin perjuicio de
los derechos de los afectados (artículo 4.4), ya que los que pueden ser
registrados y tratados han ser "exactos y puestos al día, de forma
que respondan con veracidad a la situación actual del afectado"
(artículo 4.3). Asimismo, importa tener presente la ya mencionada
exigencia de cancelar los datos que hayan dejado de ser necesarios o
pertinentes para la finalidad para la que hubieran sido recabados o
registrados (artículo 4.5). Habida
cuenta que los órganos judiciales son poderes públicos y que, en
cuanto tales, están sujetos a la Constitución y la ley de un doble
modo, negativo y positivo, no existe ninguna duda sobre el peso que
estas normas objetivas han de alcanzar, ni sobre la intensidad de la
exigencia que proyectan sobre los responsables del fichero. La vinculación
que producen será inversamente proporcional a la constricción que
experimenten los derechos de los afectados. Sólo esta circunstancia
hace tolerable la merma que pueda padecer el contenido de un derecho
fundamental. Y por esta razón califico de especiales los deberes que, a
mi juicio, aquí existen.
2.6.- La creación de los ficheros judiciales. Las normas del artículo 86
sobre la creación de ficheros han permanecido prácticamente inéditas,
como es bien sabido, lo cual es un claro indicio de la poca importancia
que, en el ámbito judicial, se le da al Derecho de la Protección de
Datos Personales. Siendo cierto que no se trata sino de un reflejo de la
escasa conciencia que en la sociedad existe sobre los peligros que, en
este campo asoman y, correlativamente, sobre la trascendencia de las
derechos y principios que deben protegernos frente a ellos(23), no cabe
duda de que la actitud del Poder Judicial, en cuanto garante natural de
nuestros derechos e intereses legítimos, debería ser diferente. Por
otra parte, es interesante observar que el Título VI de ese mismo
reglamento se ha ocupado de la aprobación de los programas,
aplicaciones y sistemas informáticos que utilicen los órganos
judiciales. Aprobación que, a propuesta de la Comisión de Informática
Judicial, corresponde al Consejo General del Poder Judicial, el cual ha
establecido los criterios en virtud de los que resolverá cada caso. Me
refiero al Acuerdo del Pleno de 2 de diciembre de 1996. Esa aprobación
deberá producirse solamente cuando programas, aplicaciones y sistemas
satisfagan, entre otros requisitos, los relacionados con la seguridad
fisica y lógica de los datos personales. Con posterioridad, el Pleno de
8 de septiembre de 1999 ha avanzado en este campo, estableciendo un test
de compatibilidad que servirá para facilitar el avance en el proceso de
integración de los sistemas informáticos de la Administración de
Justicia.
3. - El acceso a las resoluciones judiciales. Por lo que hace a la
publicidad de las resoluciones judiciales, es decir, al acceso a ellas
por parte de terceros no personados en la causa a la que se refieren o,
en cualquier caso, ajenos a las actuaciones del juzgado o tribunal, el
Consejo General del Poder Judicial(24) ha modificado el RAA,
incorporando a su texto una nueva disposición --el artículo
5 bis--que asume los criterios que venía aplicando en la
interpretación del concepto de interesado que recogen los artículos
234, 235 y 266.1 LOPJ, los cuales han sido confirmados por el Tribunal
Supremo, a través de la Sentencia de su Sala Tercera, de 3 de marzo de
1995(25). El nuevo precepto traza las pautas adecuadas para afrontar las
exigencias de la publicidad sin mengua de la protección que merece la
autodeterminación informativa de las personas a las que se refieren o
mencionan dichas resoluciones. Esa disposición se aplica a
---la base de datos que el Centro de Documentación
Judicial del Consejo General del Poder Judicial, en cumplimiento de la
obligación que el artículo 107.10 de la LOPJ impone a este órgano de
gobierno de publicar la colección de jurisprudencia del Tribunal
Supremo, ha creado y mantiene no sólo con las decisiones de este alto
Tribunal, sino, también, con las resoluciones de otros órganos
judiciales que, por su interés, lo justifiquen. En particular, ese artículo
5 bis.2 dispone: "En
el tratamiento y difusión de las resoluciones judiciales se procurará
la supresión de los datos de identificación para asegurar en todo
momento la protección del honor e intimidad personal y familiar". Y,
en su apartado 3, añade: "Salvo
lo dispuesto en el artículo 266 de la Ley Orgánica del Poder Judicial,
no se facilitarán por los órganos jurisdiccionales copias de las
resoluciones judiciales a los fines regulados en el presente artículo,
sin perjuicio del derecho de acceder, en las condiciones establecidas al
efecto, a la información jurídica de que disponga el Centro de
Documentación Judicial del Consejo General del Poder Judicial"
(26). Pero
conviene examinar los términos en los que se pronunció el Tribunal
Supremo porque de ellos se desprenden claramente los criterios que han
de servir para atender aquellas solicitudes de acceso a las actuaciones
judiciales que reciban los órganos judiciales y provengan de personas
distintas del afectado y pretendan conocer su contenido íntegro. Esta
sentencia es una decisión que, razonando desde la perspectiva del
derecho a la intimidad, confirma la interpretación llevada a cabo por
el Consejo General del Poder Judicial del concepto de interesados al que
se refieren los artículos 235 y 266.1 de la Ley Orgánica del Poder
Judicial. La cuestión debatida era la de a quiénes reconoce el
legislador el interés para acceder al contenido de las resoluciones
judiciales que constan en los libros, registros y archivos
judiciales(27). A juicio de la Sala, es necesario precisar la noción de
interesado. En particular, dice lo siguiente: "El
interés legítimo que es exigible en el caso, sólo puede reconocerse
en quien, persona física o jurídica, manifiesta y acredita, al menos
"prima facie", ante el órgano judicial, una conexión de carácter
concreto y singular bien con el objeto mismo del proceso -y, por
ende, de la sentencia que lo finalizó en la instancia-, bien con
alguno de los actos procesales a través de los que aquél se ha
desarrollado y que están documentados en autos, conexión que, por otra
parte, se halla sujeta a dos condicionamientos: a) que no afecte a
derechos fundamentales de las partes procesales o de quienes de algún
modo hayan intervenido en el proceso, para salvaguardar esencialmente el
derecho a la privacidad e intimidad personal y familiar, el honor y el
derecho a la propia imagen que eventualmente pudiera afectar a aquellas
personas; y b) que si la información es utilizada, como actividad
mediadora, para satisfacer derechos o intereses de terceras personas, y
en consecuencia adquiere, como es el caso, un aspecto de globalidad o
generalidad por relación no a un concreto proceso, tal interés se
mantenga en el propio ámbito del Ordenamiento jurídico y de sus
aplicadores, con carácter generalizado, pues otra cosa sería tanto
como hacer participe o colaborador al órgano judicial en tareas o
actividades que, por muy lícitas que sean, extravasan su función
jurisdiccional" (fundamento 5°). A
falta, pues, de esa específica conexión con el proceso no se posee la
condición de interesado. Ni la publicidad procesal a la que se refiere
el artículo 120.1 de la Constitución, ni el derecho a comunicar y
recibir libremente información veraz reconocido en su artículo
20.1-d) impiden este entendimiento, pues no padecen como
consecuencia de él. En efecto, la primera no equivale a la distribución
general e íntegra del texto de las sentencias y otras resoluciones y el
segundo no estaba en causa en el proceso que concluye con la decisión
que nos ocupa. Lo que el recurrente en realidad pretendía era hacerse
sistemáticamente con la información de carácter personal consignada
en esos documentos para nutrir con ella sus bases de datos y desarrollar
en mejores condiciones una de las actividades que constituyen su objeto
social: suministrar a sus clientes, mediante contraprestación, informes
sobre solvencia económica de terceros. Por eso, la Sala, en consideración
a cuanto señalan el artículo 18.4 de la Constitución y la LORTAD y
visto que, con arreglo a los criterios establecidos en esta sentencia,
la empresa recurrente no podía aspirar a la condición de interesado,
optó por proteger el derecho a la intimidad de los afectados
--que es, como se ha dicho, el que sirve de apoyo a los
razonamientos del Tribunal-- y desestimó el recurso(28)
4. - Recapitulación. De cuanto se ha expuesto es posible concluir
que, frente a la publicidad que caracteriza el desarrollo del proceso,
el acceso a los archivos y resoluciones judiciales sólo en muy escasa
medida se rige por ese principio. En efecto, el afectado, es decir, la
persona a la que la información se refiere y que se habrá logrado,
normalmente, sin su consentimiento, no siempre tiene expedito el camino
hacia ella. Hay casos en los que entran en juego reglas que, atención a
los fines que persigue el ejercicio de la potestad jurisdiccional, se lo
impiden. Por otra parte, las demás autoridades judiciales, el
Ministerio Fiscal, el Defensor del Pueblo o las Administraciones Públicas,
solamente pueden acceder a los datos obrantes en los archivos judiciales
en los casos y en los términos en los que la ley se lo permita y nunca
de modo general e incondicionado. Y los terceros únicamente podrán
hacerlo en los supuestos en que hayan sido parte o acrediten una conexión
concreta con el proceso al que la resolución por la que $e interesen
pertenece, nunca de un modo general e incondicionado. Fuera de estos
supuestos, sólo para propósitos científicos y mediando la disociación
de los datos personales o el consentimiento de los afectados cabría un
acceso de terceros de esas características. Sentadas
estas bases, es menester comprobar en qué medida experimentan alguna
variación cuando lo que está en juego son los datos sanitarios. Antes,
no obstante, hace falta determinar en qué consisten.
5. - Los datos relativos a la salud (29). Parece claro que los datos
sanitarios se refieren a una variedad particular de la información
personal. La LOPD no utiliza esa denominación --tampoco lo
hacía la LORTAD--, sino que habla --al igual
que la Directiva europea-- de datos relativos a la salud. No
obstante, a los efectos que ahora interesan, es posible considerar ambas
expresiones equivalentes con la condición de no extender la
correspondencia a aquellos datos de carácter personal que puedan
constar en tratamientos automatizados o en ficheros automatizados o no
automatizados de las instituciones sanitarias pero que no guarden relación
con la salud ni, en general, con ninguno de los aspectos que se precisarán
en las páginas sucesivas(30) todos los cuales se enmarcan en relaciones
que, con motivo de la prestación de diversas formas de asistencia médica
o sanitaria, se establecen entre el afectado y los profesionales y las
instituciones sanitarias del sistema público o del sector privado. La
LOPD incluye la variedad de información personal que nos ocupa dentro
de la categoría de datos especialmente protegidos. Este tipo de datos
son aquéllos que, por afectar a los aspectos más íntimos de la
personalidad, reciben el más alto nivel de protección establecido. La
Directiva 95/46 lo expresa con claridad cuando establece la regla que
les es aplicable: la prohibición de su tratamiento (31). La información
que contienen es tan delicada que, en principio, nadie puede recabarla.
Esto es especialmente claro en lo que hace a las convicciones ideológicas,
sindicales, religiosas o filosóficas, pues, de acuerdo con el artículo
16 de nuestra Constitución, nadie puede ser obligado a manifestarlas si
no desea hacerlo. Y, en lo que hace al origen racial, a la salud o a la
sexualidad, el derecho fundamental a la intimidad, reconocido en el artículo
18 de ese mismo cuerpo normativo, produce, en principio, los mismos
efectos. Por eso, la LOPD, aún sin ser tan explícita como la
Directiva, posee la suficiente contundencia a la hora de precisar que,
únicamente a título excepcional y en los términos previstos
legalmente, los terceros pueden acceder a estos datos. Los
apartados 2° y 3° del artículo 7 lo demuestran, pues circunscriben
los supuestos de tratamiento lícito de esos datos y, por tanto,
excluyen todos los demás no enunciados por las normas. Por otra parte,
las condiciones en las que lo admite son coherentes con lo delicado de
este tipo de información. Así, en el caso de los datos relativos a la
ideología, afiliación sindical, religión o creencias, la singularidad
de su régimen jurídico consiste en la exigencia del consentimiento
previo, expreso y escrito del afectado, quien ha debido ser advertido
por quien pretenda obtenerlo de su derecho a no prestarlo(32). Por lo
que hace a los que tienen que ver con el origen racial, la salud o la
vida sexual, además de en los supuestos en que medie el consentimiento
explícito del afectado, que en este caso no es necesario que se
manifieste por escrito, podrán ser objeto de registro, tratamiento y
cesión cuando así lo disponga una Ley, en atención a razones de interés
general (artículo 7.3)(33). Ambos
grupos de datos especialmente protegidos, con la salvedad de los de
salud, comparten una ulterior cautela: están prohibidos aquellos
ficheros creados con la finalidad exclusiva de almacenar datos de carácter
personal que revelen la ideología, religión, creencias, origen racial
o vida sexual (artículo 7.4). La exclusión de las informaciones médicas
de esta norma prohibitiva se explica sin dificultad: los registros y
tratamientos de datos de salud son imprescindibles para diversas
finalidades legítimas, entre las que se cuentan la prevención de
enfermedades, la prestación de asistencia sanitaria o la investigación
científica. Por
otra parte, hay que tener en cuenta que la LOPD (artículo 7.6) autoriza
expresamente el tratamiento, no sólo de los relativos a la salud, sino
también de todos los restantes datos sensibles siempre que sea
necesario para la prevención o el diagnóstico médicos, para la
prestación de asistencia sanitaria o de tratamientos médicos o,
simplemente, para la gestión de servicios sanitarios. El único
requisito añadido en estos supuestos es que esos datos sean tratados
por profesionales sanitarios sujetos a deberes de secreto profesional o
por personas sujetas a obligaciones equivalentes de secreto (artículo
10). E, incluso, la misma LOPD autoriza dichos tratamientos cuando sean
necesarios para salvaguardar el interés vital del interesado ó de otra
persona, en el caso de que aquél se halle fisica o jurídicamente
incapacitado para dar su consentimiento (en el mismo artículo 7.6, con
el que concuerda el artículo 6.2). Lo que parece perfectamente
razonable. Una
vez establecidos los supuestos en los que cabe el tratamiento de los
datos relativos a la salud, la LOPD se refiere a los sujetos que pueden
llevarlo a cabo. Así, en el artículo 8 habilita al efecto a las
instituciones y centros sanitarios públicos y privados y a los
profesionales correspondientes respecto de las informaciones que
correspondan a las personas que a ellos acudan o que deban ser atendidas
en ellos. Autorización que se somete a lo dispuesto en la legislación
estatal o autonómica sobre sanidad. La
LOPD, en fin, se vuelve a ocupar de los datos relativos a la salud al
regular las cesiones, para excluir la necesidad del consentimiento del
afectado en los casos en que "sea (n) necesaria (s) para solucionar
una urgencia que requiera acceder a un fichero automatizado o para
realizar los estudios epidemiológicos en los términos establecidos por
la legislación sobre sanidad estatal o autonómica" (artículo
11.2-f). A
la vista de cuanto se ha dicho, es posible establecer algunas
conclusiones. En
primer lugar, respecto del alcance de la expresión "datos
relativos a la salud", parece que ha de incluir los "de carácter
médico"(34) pero también los que guarden conexión con
"fines relacionados con la salud (35) y sean tratados en sectores
como "la salud pública y la protección social (...), así como
(...) para resolver las reclamaciones de prestaciones y de servicios en
el régimen del seguro de enfermedad, la investigación científica y
las estadísticas públicas" 36. Sin duda, incorporan cuanto tiene
que ver --desde esas perspectivas-- con el
cuerpo humano en su conjunto y, en particular, lo relacionado con la
sexualidad, la raza, el código genético. Además, incluyen los
antecedentes familiares, los hábitos de vida, de alimentación y
consumo, así como las enfermedades actuales, pasadas o futuras
previsibles, bien de tipo físico o psíquico (37). Incluso, según se
ha señalado, pueden incluir referencias a las ideas y creencias del
afectado en la medida en que sean relevantes para su salud. Se trata,
pues, de una noción amplia que puede abarcar prácticamente toda la
biografía de una persona(38) Importa,
asimismo, subrayar que la LOPD abre amplios espacios para el tratamiento
de esta información sin consentimiento del afectado. Autoriza con carácter
general en su artículo 8 a todos los centros sanitarios y a los
profesionales de este carácter a tratar los datos relativos a la salud
de las personas que a ellos acudan o que hayan de ser tratados en los
mismos. Y lo mismo sucede con el régimen de las cesiones. En
cuanto a las finalidades a las que han de dirigirse los tratamientos,
son de dos tipos las que entran en juego. Por un lado, las encaminadas
al diagnóstico, a la terapia y a la prevención, y, por la otra, la
relacionada con la investigación. Es fácil resolver los supuestos
relacionados con la primera, pues la conexión posee, normalmente, la
entidad y la claridad imprescindibles. En cuanto al segundo objetivo,
ningún problema suscita la utilización de datos personales relativos a
la salud que hayan sido sometidos a un procedimiento de disociación. En
cambio, en los casos en los que no sea posible efectuarla, dada la
naturaleza de la investigación, o en que, pese a la disociación, pueda
existir el riego de la posterior personalización de esos datos, parece
obligado contar, en principio, con el consentimiento expreso e informado
del afectado. No obstante, su ausencia no ha de impedir las cesiones y
tratamientos imprescindibles para llevar a término una investigación
científica, siempre que existan garantías consistentes que preserven
su intimidad y aseguren que la información solamente se usa a tales
efectos(39) En
cualquier caso, las medidas de seguridad fisica y lógica, junto con la
obligación de guardar secreto de quienes tengan acceso a esta información,
han de jugar un papel esencial en cuanto se refiere a los tratamientos
relacionados con la salud son la contrapartida indispensable a la
necesidad de utilizar este material tan sensible.
6.
- La Recomendación N° R (97) 5, del Comité de Ministros del
Consejo de Europa a los Estados miembros Después
de que se pusieran en marcha diversas experiencias de protección de
datos personales en algunos países europeos --unas de ámbito
estatal, otras de alcance regional-- el Consejo de Europa,
que ya había influido en la formación de los textos legales a que
condujeron esas iniciativas, elaboró su Convenio n° 108, de 28 de
enero de 1981, para la protección de las personas con respecto al
tratamiento automatizado de los datos de carácter personal con el propósito
de sentar las bases para el establecimiento de un régimen jurídico
homogéneo en la materia. La importancia de los principios contenidos en
ese documento internacional se ha visto corroborada por la recepción
que de ellos han hecho las legislaciones nacionales. Por lo que se
refiere a España, la LORTAD reconocía expresamente en su Exposición
de Motivos esa fuente de inspiración y, después, diversas normas
presentes en sus disposiciones la reflejan con claridad41. Por su parte,
la STC 254/1993 ha determinado los efectos prácticos que ese Convenio
produce en el ordenamiento interno a través de la conexión del artículo
10.2 con el 18.4, ambos de la Constitución42 Pues
bien, la Recomendación a la que me refiero, busca profundizar en la
consecución del objetivo de aproximar las regulaciones nacionales, en
este caso, en el particular campo de los que llama datos médicos. Esa
labor la lleva a cabo a partir del principio general sentado en el artículo
6 del Convenio orientado a proteger de manera especial los datos
relativos a la salud y ante la evidencia de que el tratamiento
automatizado de datos médicos se halla cada vez más extendido tanto en
materia de cuidados sanitarios, cuanto en la investigación de esa
naturaleza, además de en la gestión hospitalaria y en la de la sanidad
pública, así como en otros ámbitos. Todo ello, junto al cada vez más
intenso y rápido progreso tecnológico, enfatiza la importancia de
asegurar la calidad, integridad y disponibilidad de esta información
personal, al tiempo que se afianzan las cautelas que hacen efectiva la
confidencialidad y seguridad de tales datos. Por eso, el Consejo de
Europa ha estimado necesario revisar su anterior Recomendación en la
materia(43). Lo
interesante de este documento es que reconstruye el sistema de protección
de datos personales desde la perspectiva concreta de los que se refieren
a la salud. En
particular, además de precisar lo que ha de entenderse por "datos
médicos", determina las reglas a observar para asegurar su calidad
y seguridad y los derechos que asisten al titular de este tipo de
información personal. Al tratarse de una mera recomendación, no parece
posible predicar de ella los efectos jurídicos que son propios de los
tratados y otros acuerdos internacionales a los que se refiere el artículo
10.2 de la Constitución. No obstante, es indudable su utilidad para el
intérprete. En especial, porque, dado el fundamento en el que descansa
--el Convenio 108-- y, por tanto, su sintonía
con el espíritu y con los principios que informan los distintos
sistemas europeos de protección de datos personales, sigue criterios
plenamente compatibles con los asumidos por las normas vigentes en España. Señalaré,
a continuación, los aspectos que, a mi juicio, revisten mayor
relevancia para el asunto que se me ha encomendado desarrollar. Así, en
lo que hace a la definición de los "datos médicos", utiliza
una noción que, por su estructura, permite incluir todos los que de
alguna forma se refieran a la salud. Entre ellos incluye a los datos genéticos
que son aquellos relacionados con los caracteres hereditarios de un
individuo o los que, "vinculados a dichos caracteres, (componen) el
patrimonio de un grupo de individuos emparentados" (apartado 1). En
relación con los afectados, aporta la novedad de incorporar entre ellos
al feto, cuyos datos médicos se equiparan a los de los menores
(apartado 4). La
recomendación propone que la recogida de los datos se produzca de
manera honesta y lícita y para fines determinados, tomándose
directamente del interesado cuyo consentimiento debe ser libre, expreso
e informado, o, si no, de otras fuentes, siempre que sea necesario para
la finalidad del tratamiento pretendido. Además, habrá de mediar la
correspondiente previsión legislativa y el propósito perseguido ha de
consistir en la salud pública, la prevención de un peligro determinado
o la sanción de una específica infracción penal, un interés público
de importancia o la protección de los derechos y libertades de los demás.
Por otra parte, la ley puede autorizar el tratamiento para fines médicos
preventivos, de diagnóstico o terapéuticos referidos a la persona
interesada o de un pariente de línea genética en cuyo caso también
podrán tratarse con la finalidad de gestionar un servicio sanitario.
Asimismo, la salvaguarda de intereses vitales del afectado o de otro, el
respeto de obligaciones contractuales específicas o la comprobación,
ejercicio o defensa de un derecho judicialmente (apartado 4 en relación
con los apartados 6 y 7) son objetivos que la Recomendación admite. Son
interesantes, por su parte, las previsiones encaminadas a especificar
las reglas que se estiman apropiadas para los datos genéticos. Tales
especialidades se manifiestan en la restricción de los fines y de los
usos de esos datos. Así, se afirma que los recabados y tratados con
propósitos preventivos, de diagnóstico o terapéuticos respecto del
interesado o con objetivos de investigación científica sólo deben ser
utilizados para esos fines y para permitir que la persona afectada tome
una decisión libre y fundamentada (apartado 4.7). En lo que toca a los
tratamientos que tengan lugar debido a las necesidades de un
procedimiento judicial o de una investigación penal, la Recomendación
opta por defender que sirvan únicamente para comprobar la existencia de
un vínculo genético en el marco de la actividad probatoria o para
prevenir un peligro concreto o la sanción de una infracción penal. En
cambio, entiende que nunca deberían emplearse para determinar otras
características que puedan estar genéticamente relacionadas, pero sí
por motivos sanitarios y para evitar perjuicios serios para la salud del
afectado o de un tercero o, incluso, para detectar enfermedades
(apartados 4.8 y 4.9). Sobre
el consentimiento, la Recomendación se detiene en la información que
ha de facilitarse al interesado para que pueda decidir con pleno
conocimiento. Eso quiere decir que ha de incluir, al menos, los
siguientes extremos: la existencia de un fichero con sus datos médicos,
los fines para los que se tratan, el origen de los datos que en él se
contienen, el destino que recibirán y todas las referencias necesarias
para el ejercicio de los derechos de acceso y rectificación (identidad
del responsable del fichero y de su representante y requisitos técnicos
para ejercer esos derechos). Si se tratara de datos genéticos, la
información tendría que incluir los objetivos que se pretenden
mediante el análisis a través del que se van a obtener. En cuanto a la
forma en que se debe facilitar, se recomienda que se facilite a la
persona interesada de manera individual (apartado 5). Naturalmente,
el derecho a ser informado previamente a la prestación del
consentimiento puede verse restringido, siempre que exista una previsión
legislativa que lo autorice en atención a la prevención de peligros
concretos o a la represión de una infracción penal. Lo mismo puede
suceder por razones de salud pública o para proteger al interesado o a
los derechos y libertades de los demás. Además, claro está, de en los
casos de urgencia (apartado 5.6). La
cesión de los datos médicos --comunicación, dice la
Recomendación-también ha merecido la atención del Consejo de
Europa, el cual, en coherencia con la especial protección que para
ellos pretende intensificar, entiende que la regla ha de ser negativa:
los datos médicos no deben ser comunicados, salvo consentimiento del
afectado. Las excepciones, por su parte, se ven sujetas al cumplimiento
de requisitos precisos y proporcionados. Con carácter general, el
destinatario debe estar sometido a las normas de confidencialidad
propias de los profesionales sanitarios. Además, hace falta que se
persigan los mismos fines para los que la ley autoriza el tratamiento de
esta información o, en el contexto preventivo, de diagnóstico 0 terapéutico
libremente escogido, cuando la cesión no sea obligatoria, para fines
que no sean incompatibles con el que justificó la recogida de los datos
y el tratamiento, en especial, la prestación de cuidados al paciente o
la gestión de un servicio sanitario en interés del paciente (apartado
7). Los
derechos de autodeterminación informativa de los afectados han sido
también tomados en consideración por este documento. Las
recomendaciones más llamativas son, en el plano positivo, las que amplían
las facultades del interesado. En el negativo, las que justifican
restricciones al acceso, a la rectificación y a la cancelación. Veamos
en qué consisten. Las
primeras sientan las bases para afirmar un derecho a ser informado de
los denominados "descubrimientos inesperados" en el curso de
un análisis genético y de su relevancia terapéutica o preventiva
directa siempre que el interesado lo solicite explícitamente. No
obstante, entienden admisible que esa información esté prohibida por
la legislación interna o que no se facilite cuando pueda causar un
grave perjuicio a la salud de la persona o a la de quienes estén genéticamente
vinculados con ella. Por lo que hace a los restantes datos médicos, las
causas por las que cabe negar, limitar o diferir el acceso son las
siguientes: la protección de la seguridad del Estado o de la seguridad
pública, así como la represión de las infracciones penales; asimismo,
la posibilidad de que su conocimiento origine un grave atentado a la
salud del afectado o desvele datos de terceras personas; en fin, la
inexistencia de riesgos para la vida privada, cuando los datos se traten
con fines estadísticos o de investigación (apartado 8). El
derecho a obtener la cancelación ha de operar también frente a los
datos médicos. Sin embargo, la recomendación contempla el supuesto de
su conservación siempre que se conviertan en anónimos o que entren en
juego intereses superiores o legítimos, entre los que enuncia los
siguientes: el interés legítimo de la salud pública, de la Ciencia Médica,
del responsable del tratamiento médico o del fichero con el fin de
permitirle el ejercicio o la defensa judicial de derechos. Además,
justificarán la conservación los fines de antecedentes estadísticos
(apartado 10). El
último aspecto de la Recomendación que conviene resaltar es el que se
refiere a la seguridad (apartado 9), en el que se aprecia una profunda
preocupación por asegurar la confidencialidad, integridad y exactitud
de los datos, evitando el acceso a las instalaciones que los contienen,
su conocimiento, alteración o utilización por quienes no estén
autorizados o su uso para fines diferentes de los legítimos.
Igualmente, se insiste en la necesidad de adoptar las medidas necesarias
para impedir la destrucción --accidental o ilícita-y
la pérdida accidental. Para
el logro de esos objetivos, la Recomendación avanza propuestas
encaminadas establecer diversos controles que cubran todas las hipótesis.
Así, se habla del control de acceso, del control de comunicación, del
control de introducción, junto al control de transporte y el de
disponibilidad.
7. - La realidad de la protección de los datos relativos a la salud.
En 1995, la Agencia de Protección de Datos decía que "los datos
personales relativos a salud son sometidos a tratamiento automatizado de
modo generalizado y a gran escala, como consecuencia de la extensión de
la asistencia sanitaria a toda la población y del valioso papel de la
informática para su gestión"(44). Ahora bien, los primeros
resultados de la inspección que sobre el sistema hospitalario español
llevó a cabo este organismo no fueron especialmente brillantes desde la
perspectiva de la protección a la que se refiere el artículo 18.4 de
la Constitución, pues condujo, entre otras, a las siguientes
conclusiones: •
Existe "un escaso conocimiento y control por parte de la dirección
de los hospitales sobre
aspectos fundamentales que afectan a los datos
personales que en ellos se gestionan "(45), desconocimiento
que se extiende a los
profesionales de la sanidad46 "Se
han detectado cesiones de datos en las que la información al
afectado y su prestación de consentimiento no han quedado
acreditadas"(47) En
materia de derechos de las personas "no se proporciona a los
pacientes, cuyos datos se recogen y procesan automatizadamente, la
información prevista al efecto por el artículo 5 de la Ley Orgánica",
ni "existen procedimientos establecidos para incluir datos de
pacientes en ficheros, ni para facilitar a los mismos el ejercicio de
los derechos de. acceso, rectificación o cancelación de datos
personales"(48). En
fin, la seguridad de los datos "es muy deficiente, habiéndose
detectado una protección insuficiente o inadecuada de la información
personal en sus diversos soportes y etapas de tratamiento (ordenadores,
aplicaciones, soportes magnéticos, listados, historias clínicas;
etc.), ausencia de controles adecuados y escasa sensibilidad del
personal hospitalario para los problemas de seguridad de los datos
personales"(49). Estas
apreciaciones, establecidas durante los años 1995 y 1996 no parecen
haber sido distintas en 1997. Importa señalar que, junto a otras
observaciones, fueron consignadas en un informe que la Agencia remitió
al INSALUD(50) con el objeto de facilitar la corrección de las
disfunciones observadas y este organismo, distribuyó, en septiembre de
1997 una circular con instrucciones dirigidas a asegurar el cumplimiento
del Derecho de la Protección de Datos Personales en su ámbito de
actuación. En
las memorias de los años sucesivos no se recogen valoraciones generales
del carácter de las que se han mencionado y nada se indica de los
progresos que se hayan hecho, en este sector de la sanidad, en lo
relativo a la protección de datos personales. Sí se da cuenta de las
actuaciones de la Inspección de Datos en centros hospitalarios
concretos, en Registro Nacional del SIDA y en el sistema informatizado
de recetas (TAIR). De ellas se desprende la existencia de algunos
incumplimientos y deficiencias en la adaptación a las exigencias de la
ley (51). La ausencia de una valoración general actualizada da motivos
para pensar, sin embargo, que, más de ocho años después de la entrada
en vigor de las normas sobre protección de datos personales, no se ha
logrado todavía el nivel de cumplimiento que sería deseable. De esta
manera, unas informaciones que han de gozar de una especial defensa y
sobre las que penden riesgos evidentes, toda vez que, por su propia
naturaleza se prestan a ser usadas con fines distintos a los que
motivaron su recogida carecen aún en la práctica de la tutela que les
corresponde(52) . Es,
por tanto, imprescindible promover las condiciones necesarias para que
el panorama cambie radicalmente y las previsiones constitucionales y
legales se cumplan de manera satisfactoria. Especialmente, a la vista de
la existencia de ficheros y de tratamientos de datos relativos a la
salud, no sólo en la red hospitalaria y asistencial, pública y
privada, sino también en manos de entidades de seguros, centros médicos
de empresas y entidades de diagnóstico, así como en poder de
laboratorios químicos, farmacéuticos y ópticos y de asociaciones y
entidades dedicadas a la prestación 'de servicios sociales (53). A tal
efecto, pienso que las actividades de tipo educativo y divulgativo
encaminadas a la formación de quienes tienen relación con los datos
sobre la salud, así como las dirigidas a informar a los afectados de
los derechos que les asisten, son imprescindibles.
8.- Criterios aplicables a la utilización de los datos sanitarios en los archivos judiciales. De cuanto ya se ha expuesto pueden deducirse los
criterios que integran el régimen de los datos sanitarios en los
archivos judiciales. Criterios que, por lo demás, se desprenden de los
principios informadores del Derecho de la Protección de Datos de Carácter
Personal explicitados por la propia LOPD(54) y, también, de la
Recomendación R (97) 5, antes examinada, lo que no es casual ya que ese
documento se funda, precisamente en tales principios. Entiendo
que las cuestiones que pueden originar mayores dificultades son las que
se refieren a la incorporación de tales datos a los ficheros
judiciales, pues para los que ya están en ellos las reglas generales
que les son aplicables en materia de cesiones y acceso por terceros
ofrecen suficiente garantía a la confidencialidad que merecen. Porque,
como ha habido ocasión de comprobar, no rige un régimen de publicidad
que permita a extraños conocer lo que consta en tales archivos. Sólo
el afectado dispone de la posibilidad de hacerlo y, en algunos casos, ni
siquiera él: cuando haya sido declarado el secreto del sumario en el
proceso penal o cuando pueda verse perjudicado el derecho a la intimidad
de otra persona son los supuestos más claros que contempla el RAA, si
bien en este último supuesto pueden surgir algunas complicaciones de
relieve, como, por ejemplo, las que aborda la Sentencia del Tribunal
Europeo de Derechos Humanos que resolvió el llamado caso Gaskin(55). Por
lo que se refiere a las resoluciones judiciales, la jurisprudencia del
Tribunal Supremo ha establecido una interpretación ajustada del
concepto de interesados que utiliza la LOPJ para circunscribir el ámbito
de los sujetos que pueden acceder a las resoluciones judiciales. Esa
doctrina, que excluye un régimen de publicidad plena para las mismas y
que exige en tales sujetos una conexión directa con el proceso de que
se trate o con actuaciones derivadas de él, al tiempo que considera que
la salvaguarda de la publicidad del proceso y de la libertad de informar
se satisface facilitando el texto de la resolución sin las referencias
personales, cuando ello sea preciso para proteger la intimidad de los
afectados, brinda cautelas suficientes. Naturalmente, hace falta vigilar
para que se apliquen. Los
problemas principales están, sin embargo, en el momento previo, en el
del registro del dato sanitario. Los archivos y ficheros judiciales se
nutren, según ha habido ocasión de señalar, con las informaciones que
resultan de los distintos procesos de los que conoce cada juzgado o
tribunal. Informaciones que, unas veces, se logran con el consentimiento
del afectado --por ejemplo, si las ofrece al ejercer una
acción determinada-- y otras muchas sin él, porque, por
ejemplo, surgen de las averiguaciones practicadas en el curso del
proceso a partir de documentos aportados o de testimonios realizados por
terceros. O porque los datos sanitarios de otra persona apoyan las
pretensiones que el actor pretenda hacer valer enjuicio. Además, están
todos aquellos casos en los que es el juez el que los recaba de las
partes o de sujetos externos al proceso. Incluso cabe que los pida a
otro órgano judicial. En
tales supuestos, cuando es el juez el que toma la iniciativa ¿qué límites
circunscriben sus facultades?. No hay ninguna duda de que ha de disponer
de todos los datos, incluidos los sanitarios, que sean necesarios para
perseguir las infracciones penales de las que le corresponda conocer en
aplicación de las reglas de la competencia o para dirimir los
conflictos jurídicos, privados o públicos, que en virtud de esas mimas
reglas se sometan a su jurisdicción. En estas ocasiones, el superior
interés general que el proceso realiza, la preservación del orden jurídico
y la garantía de los derechos que hayan sido vulnerados justifican
sobradamente que se le brinden sin restricciones los datos de hecho
requeridos para que, a partir de ellos, pueda determinar cuál es la
respuesta que el ordenamiento ofrece en cada litigio. La
clave está, no obstante, en la noción de necesidad. El juez tiene el
derecho y el deber de hacerse con todos los datos necesarios pero
solamente los necesarios. Y tal necesidad no es un concepto vacío que
admite cualquier contenido. Desde luego no puede quedar a la mera
voluntad del juez, ni, mucho menos, a las demandas que las partes,
incluido el Ministerio Fiscal, expresen. Esa necesidad tiene un sentido
concreto en cada caso: el que resulta de la finalidad que en él se
persiga. De ahí que nociones como las de adecuación, pertinencia,
proporción que, junto a las de veracidad, actualidad e integridad,
definen la calidad de los datos personales, según la LOPD y el Convenio
108, sean las herramientas con las que han de fijarse los límites de
las facultades judiciales y, en consecuencia, las restricciones de los
derechos de los afectados y la intensidad del deber de quienes, no
siendo los titulares de la información personal, dispongan lícitamente
de ella: por ejemplo, un profesional médico o un centro hospitalario. Esto
quiere decir que el juez no puede pedir los datos sanitarios que no
guarden esa relación de necesidad con el proceso y que aquél a quien
se los requiera puede oponerse a la decisión judicial mediante los
recursos que el ordenamiento prevé. Es verdad que este criterio, así
esbozado, es sencillo y difícilmente discutible. Del mismo modo, es
cierto que su aplicación será complicada. No obstante, es de esperar
que la jurisprudencia vaya despejando las dudas que surjan en la práctica
mediante la ponderación de las circunstancias que concurran en cada
ocasión. En
cuanto a la cancelación, las mismas razones que abogan a favor de la
conservación de este tipo de datos --el cuidado de la salud
propia del afectado o de un tercero o la realización de estudios e
investigaciones epidemiológicas-despliegan toda su fuerza de
convicción en este caso y se ven, además, reforzadas por las que se
refieren a los fines que motivan el proceso en cuyo seno fueron
recogidos. Por
esas razones y por lo delicado de su contenido, es imprescindible
reiterar aquí la importancia que tiene la observancia del deber de
secreto de quienes, por razón de su cargo o de su oficio, tengan que
acceder a los datos sanitarios, así como la existencia de unas
verdaderas medidas de seguridad que preserven del conocimiento ajeno
indebido los obrantes en los archivos judiciales. Medidas de seguridad
que deben hacer efectiva la confidencialidad propia de estas
informaciones. Tal exigencia brota, en este caso, no sólo del derecho a
la autodeterminación informativa, sino también del derecho a la
intimidad que, también se proyecta sobre los datos de esta naturaleza.
NOTAS 1
A propósito de los ficheros judiciales, cfr. el artículo 230.5 de la
Ley Orgánica del Poder Judicial y los artículos 77 y sigs. del
Reglamento 5/1995, de 8 de junio, de Aspectos Accesorios de las
Actuaciones Judiciales. Sobre el particular, cfr. Pablo Lucas Murillo de
la Cueva, "La confidencialidad de los datos personales: garantías
en el proceso judicial", en José María Alvarez-Cienfuegos
Suárez (dir.), La protección del derecho a la intimidad de las
personas ficheros de datos), cit., págs. 228 y sigs., así como los
restantes trabajos contenidos en ese libro. Véase, igualmente, Miguel
Revenga Sánchez (dir.), Acceso judicial a la obtención de datos, cit.
Analiza también estas normas reglamentarias Etxeberría Guridi, La
protección de los datos de carácter personal en el ámbito de la
investigación penal, cit., págs. 59 y sigs. 2
Cfr., al respecto, Pablo Lucas Murillo de la Cueva, "La construcción
del derecho a la autodeterminación informativa", en Revista de
Estudios Políticos, n° 104/1999, págs. 35 y sigs. Las referencias
hechas a la Ley Orgánica 511992, de 29 de octubre, de Regulación del
Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD),
han de entenderse referidas a la vigente LOPD. Sobre la sustitución de
aquélla por ésta, véase mi trabajo "Las vicisitudes del Derecho
de la Protección de Datos Personales", de próxima publicación en
la Revista Vasca de Administración Pública. 3
A
estos efectos hay que 'tener en cuenta que el Reglamento de medidas de
seguridad de los ficheros automatizado que contengan datos de carácter
personal, aprobado por el Real Decreto 994/1999, también rige para los
ficheros judiciales. 4
Cfr., sobre el particular, José María Alvarez-Cienfuegos Suárez,
"La protección de los datos personales en el ámbito de la
Administración de Justicia", en Actualidad Jurídica Aranzadi, n°
273, de 12 de diciembre de 1996, págs. 1-6; Id. La defensa de la
intimidad de los ciudadanos y la tecnología informática, cit., págs
79 y sigs. Además, véase Lucas Murillo de la Cueva, "La
construcción del derecho a la autodeterminación informativa",
cit., págs., 53 y sigs. 5
Véase el texto del Convenio en la publicación El Consejo de Europa y
la protección de datos personales. Agencia de Protección de Datos,
Madrid, 1997, págs. 13 y sigs. Sobre su virtualidad para dotar de
contenidos concretos la remisión del artículo 18.4 al legislador, véase
la STC 254/1993, que comento en mi estudio "La construcción del
derecho a la autodeterminación informativa", págs. 42 y sigs.
Respecto del alcance del artículo 10.2 de la Constitución, véase
Alejandro Sáiz Arnáiz, La apertura constitucional al Derecho
internacional y europeo de los derechos humanos. El articulo 10.2 de la
Constitución Española. Premio "Rafael Martínez Emperador".
Consejo General del Poder Judicial, Madrid, 1999. 6
Cfr. Pablo Lucas Murillo de la Cueva, "Las vicisitudes del Derecho
de la Protección de Datos Personales", cit. Juan José Martín-Casallo
López, "La Agencia de Protección de Datos y los ficheros
jurisdiccionales", en José María Alvarez-Cienfuegos Suárez
(dir.), La protección del derecho a la intimidad de las personas
ficheros de datos). 7
Cuadernos de Derecho Judicial, n° 13/1997, págs., 87 y sigs., se
muestra muy crítico con la regulación establecida por este reglamento.
En cambio, Alvarez-Cienfuegos, La defensa de la intimidad de los
ciudadanos y la tecnología informática, cit., págs., 86 y sigs.,
considera, en general, razonables sus soluciones. En la misma línea se
mueven las valoraciones de Etxeberría Guridi, La protección de los
datos de carácter personal en el ámbito de la investigación penal,
cit., págs., 54 y sigs. 8
El conjunto de estas prácticas es lo que la LOPD define como
tratamiento de datos en su artículo 3 c). 9
En este sentido, Alvarez-Cienfuegos Suárez, "La protección
de datos personales ...", cit, pág. 4. Reitera este criterio en La
defensa de la intimidad de los ciudadanos y la tecnología informática,
cit., pág. 85. 10
Obligación que reitera el artículo 17 de la LOPJ. 11Cfr.,
Alvarez-Cienfuegos Suárez, "La protección de datos
personales ...", cit., pág. 5, quien, sin embargo, refiere la
autorización en este último caso al titular del órgano
jurisdiccional. 12
De conformidad con el artículo 79 RAA. 13
Alvarez-Cienfuegos Suárez, La defensa de la intimidad de los
ciudadanos y la tecnología informática, cit., págs. 85 y sigs. 14
Véase, a este propósito, cuanto se dice más abajo sobre el acceso a
las resoluciones judiciales. 15
La redacción de este artículo 83 no es la más afortunada. En este
punto coinciden las críticas de loa autores: véase, por ejemplo, Martín-Casallo
López, "La Agencia de Protección de Datos y los ficheros
jurisdiccionales", cit., págs. 87 y sigs. 16
Esta última restricción tiene el mismo sentido que posee el artículo
15.1, párrafo segundo, del Real Decreto 1332/1994, de 20 de junio, el
cual pretende evitar que se utilicen los derechos del afectado para
modificar lo que consta en el expediente administrativo del que proceden
los datos obrantes en el fichero automatizado. Por lo demás, no suscita
especial dificultad la denegación del derecho de acceso cuando medie el
secreto sumarial o ya se haya ejercido en los doce meses anteriores y no
exista ahora un interés legítimo que ampare la nueva pretensión
(cfr., en este sentido, el artículo 15.3 LOPD). La referencia al
perjuicio a la intimidad de otros como posible causa limitadora del
derecho de acceso, se explica por la posibilidad de que algunos datos
personales propios se encuentren asociados a los de personas distintas. 17
Véase la crítica a esas excepciones, ya previstas por la LORTAD, en
Pablo Lucas Murillo de la Cueva, Informática y protección de datos
personales. Centro de Estudios Constitucionales, Madrid, 1993, págs. 99
y sigs. 18
La garantía que representa la legalización del plazo se ve compensada,
no obstante, con su ampliación al doble de tiempo, ya que el R.D
1332/1994, en su artículo 15, señalaba el de cinco días desde la
solicitud de la rectificación o cancelación para que el responsable del
fichero la llevase a efecto. 19
Conforme al artículo 12 del R.D. 1332/1994. 20
En particular, que "los datos procedan de fuentes accesibles al público
y se destinen a la actividad de publicidad o prospección comercial, en
cuyo caso, en cada comunicación que se dirija al interesado se le
informará del origen de los datos y de la identidad del responsable del
tratamiento, así como de los derechos que le asisten". 21
Me refiero a la intervención prevista en el artículo 18.2 de la LOPD.
Aunque la LOPD, a diferencia de la LORTAD, no contiene normas que excluyan
para determinados órganos la aplicación de las normas referidas a la
Agencia de Protección de Datos y a las infracciones y sanciones, no debe
ser dificil concluir que, en ejercicio de sus competencias, los juzgados y
tribunales no están sujetos a las decisiones de autoridades
administrativas, aunque sean independientes. 22
No son muchas las ocasiones en las que se ha dado cumplimiento a las
previsiones reglamentarias del RAA en materia de ficheros automatizados de
datos personales dependientes de órganos judiciales. En sus dos primeros
años de vigencia sólo se hizo en tres casos. 23
Cfr., al respecto, cuanto se dice en Lucas Murillo de la Cueva, "La
construcción del derecho a la autodeterminación informativa", cit.,
págs. 53 y sigs. 24
Por acuerdo de 18 de junio de 1997, publicado en el BOE del 2 de julio de
1997. 25
Cuya doctrina ha sido reiterada últimamente por la STS (Sala 311) de 7 de
febrero de 2000, dictada a propósito de los cometidos del Centro de
Documentación Judicial. 26
Por lo demás, en el texto. que, a modo de preámbulo, antecede a las
nuevas normas reglamentarias, el Consejo dice: " la realización en
condiciones adecuadas del proceso de recopilación, tratamiento y difusión
de las sentencias y de otras resoluciones judiciales que por su interés
lo requieran, permitirá garantizar el acceso de todos los interesados a
dichas resoluciones y a su contenido doctrinal y cientifico, asegurando al
propio tiempo la protección de los derechos fundamentales al honor,
intimidad y propia imagen, puesto que, si bien corresponde primariamente a
los propios Juzgados y Tribunales excluir de la publicidad de sus
resoluciones aquellos contenidos que pudieran afectar a tales derechos,
conforme a lo que disponen los artículos 1793 de la Ley de Enjuiciamiento
Civil y 906 de la Ley de Enjuiciamiento Criminal, es indudable que la
centralización, tratamiento y difusión de las resoluciones judiciales
dictadas por los distintos órganos jurisdiccionales por los órganos de
gobierno del poder judicial ha de contribuir también a la preservación
de dichos valores en los términos requeridos tanto por la doctrina
constitucional, como por la doctrina jurisprudencial, señaladamente de la
Sala Tercera del Tribunal Supremo, que ha venido poniendo de manifiesto la
necesidad de salvaguardar los derechos fundamentales y libertades públicas
en el acceso a las resoluciones judiciales". 27
El Consejo había consignado su criterio en dos acuerdos de su Pleno de 10
de abril de 1991. 28
Cfr., sobre esta sentencia Pedro Grimalt Servera, "El tratamiento
automatizado de datos sobre solvencia patrimonial obtenidos de
resoluciones judiciales (Comentario a la STS, Sala 3', de 3 de marzo de
1995)", en Derecho Privado y Constitución, n° 6/1995, págs., 216 y
sigs. 29
Al respecto, véase, Pedro A. Munar Bernat, " El tratamiento
automatizado de los datos relativos a la salud. Sus limites en el Derecho
Comunitario y en el Derecho español", en Revista del Poder Judicial,
n° 45, tercera época, 1997, pp. 101 ss. Por lo que hace a los datos
relativos a la salud, véase Pablo Lucas Murillo de la Cueva, "La
protección de datos sanitarios. Aspectos Juridicos (I)", en Primeras
Jornadas de Protección de Datos Sanitarios en la Comunidad de Madrid.
Agencia de Protección de Datos de la Comunidad de Madrid/Editorial Mapfre
S.A., Madrid, 2000, págs. 153 y sigs.; Id., "El tratamiento jurídico
de los documentos y registros sanitarios informatizados y no
informatizados", en Información y documentación clínica, vol. II.
CGPJ/Ministerio de Sanidad y Consumo, Madrid, 1997, págs. 577 y sigs. y
la bibliografía en estos trabajos citada. 30
Estoy pensando en ficheros o tratamientos como, por ejemplo, los que se
refieren a aspectos de la gestión económico-administrativa de un
hospital: los de personal, los de proveedores, etc. 31
Así, su artículo 8.1 dice: "Los Estados prohibirán el tratamiento
de datos personales que revelen el origen racial o étnico, las opiniones
políticas, las convicciones religiosas o filosóficas, la pertenencia a
sindicatos, así como el tratamiento de los datos relativos a la salud o a
la sexualidad" (cursiva del autor). La Directiva sigue, pues, la
pauta establecida por el Convenio 108 del Consejo de Europa, en su artículo
6, conforme al cual "los datos de carácter personal que revelen el
origen racial, las opiniones políticas, las convicciones religiosas u
otras convicciones, así como los datos de carácter personal relativos a
la salud o a la vida sexual, no podrán tratarse automáticamente a menos
que el derecho interno prevea garantías suficientes. La misma regla regirá
en el caso de datos de carácter personal relativos a condenas
penales". 32
Estos requisitos no rigen para los ficheros y tratamientos de los partidos
políticos, sindicatos, iglesias y confesiones o comunidades religiosas y
asociaciones, fundaciones y otras entidades sin ánimo de lucro cuya
finalidad sea política, filosófica, religiosa o sindical respecto de los
datos de sus miembros, sin perjuicio de que las eventuales cesiones de
tales datos requieran siempre el previo y explícito consentimiento del
afectado (artículo 7.2 LOPD). 33
Este artículo de la LOPD dice: "Los datos de carácter personal que
hagan referencia al origen racial, a la salud y a la vida sexual sólo
podrán ser recabados, tratados y cedidos cuando, por razones de interés
general, así lo disponga una Ley o el afectado consienta
expresamente". La LOPD, al igual que la Directiva 95/46, se sitúa,
así, en la estela del Convenio 108 del Consejo de Europa, el cual, en su
artículo 6, se refiere a las "categorías especiales de datos". 34
A los que se refiere el considerando 42° de la Directiva 95/46/CE.
"Dato médico" es la fórmula utilizada por el Consejo de Europa
en sus Recomendaciones. Cfr. infra. 35
El considerando 33° de la Directiva 95/46/CE contiene esta expresión. 36
Considerando 34° de la Directiva 95/46/CE. 37
Cfr., al respecto, el punto 45° de la Introducción al Convenio 108 del
Consejo de Europa. 38
En este sentido, conviene recordar la noción de historia clinica como
relato biográfico o el entendimiento de la enfermedad como un modo de
vivir de la persona. Sobre el particular, cfr. Pedro Laín Entralgo, La
historia clínica (historia y teoría del relato patográfico 2 `a..
Barcelona, 1961, págs. 626 y sigs. Además, véase Ricardo de Angel Yagüez,
"Problemática de la historia clínica", en Información y
documentación clínica, vol. I,
cit., págs. 95
y sigs. En ese mismo volumen se recogen otras contribuciones sobre la
cuestión. 39
Sobre estas cuestiones, cfr. Munar Bernat, "El tratamiento
automatizado de los datos relativos a la salud ...", cit., Págs. 101
y sigs. 40
Fue adoptada el 13 de febrero de 1997. Véase su texto en la Memoria de
1997.Agencia de Protección de Datos, Madrid, 1998, págs. 305 y sigs. 41
Sobre el particular, cfr. Pablo Lucas Murillo de la Cueva, El derecho a la
autodeterminación informativa. Tecnos, Madrid, 1990, págs. 130 y sigs. 42
Véase lo senalado más arriba y en la nota 6.3 43
En particular, la Recomendación n° R (81) 1, referida a la reglamentación
aplicable a los bancos de datos médicos automatizados. 44
En su Memoria 1995. Agencia de Protección de Datos, Madrid, 1996, pág.
89. 45
Entre ellos figuran las cesiones de datos, el acceso de terceros a los
datos personales, así como las transferencias internacionales. Memoria
1995, cit, pág. 91. 46
Memoria 1996. Agencia de Protección de Datos, Madrid, 1997, pág. 99. 47
Memoria 1995, cit. pág. 92. 48
Memoria 1995, cit, pág. 92. 49
Ibidem. 50
Véase la Memoria de 1997. Agencia de Protección de Datos. Madrid, 1998,
págs. 138 y sigs. Las conclusiones recogidas en ese informe son las
siguientes: 1) No existe el necesario conocimiento e implicación por
parte de los órganos directivos de los centros, en lo que a protección
de datos se refiere, así como tampoco una mentalización adecuada
respecto de los problemas de seguridad. 2) No existen definiciones del
nivel de confidencialidad de los datos que se utilizan desde los distintos
puntos de tratamiento de los centros. 3) No están definidos ni
documentados los procedimientos en materia de cesión de datos médicos ni
los requisitos legales necesarios para su cesión a otros centros. 4) No
existen procedimientos sobre los tipos de datos que pueden transferirse
internacionalmente así como los posibles destinatarios. 5) No existe
control de salida de datos de los centros. 6) No se informa a los
afectados de los puntos indicados en el artículo 5 de la LORTAD. 7) No
existen procedimientos para ofrecer información a los afectados ante el
ejercicio de su derecho de acceso. 8) No están correctamente declarados
los ficheros existentes. 9) No existe, generalmente, un plan de seguridad,
ni conciencia respecto de los riesgos asociados a una seguridad
deficiente. 51
Véanse la Memoria de 1998. Agencia de Protección de Datos, Madrid, 1999,
págs. 157 y sigs. y la Memoria de 1999. Agencia de Protección de Datos,
Madrid, 2000, págs. 164 y sigs. 52
Como dice la Memoria 1996, cit., págs. 95-96, los motivos para esa
utilización divergente del propósito inicial pueden ser "desde la
publicidad directa hasta la clasificación de riesgo para la emisión de
una póliza de seguros, el pago de una indemnización derivada de una de
estas pólizas o para fines científicos o de investigación". 53
Cfr. la Memoria de 1997, de la Agencia de Protección de Datos, cit., pág.
46. 54
Sobre tales principios objetivos y su virtualidad, cfr. Lucas Murillo de
la Cueva, "La construcción del derecho a la autodeterminación
informativa", cit., págs. 52-53. 55
Se trata de la STEDH de 7 de julio de 1989 en la que se condena al Reino
Unido. |