294. Derechos de los pacientes en la asistencia sanitaria transfronteriza. Informe del Supervisor Europeo de Protección de Datos

El Supervisor Europeo de Protección de Datos, SEPD, pide que se incluya una definición expresa de los datos relativos a la salud en la Directiva sobre servicios de los pacientes en la asistencia sanitaria transfronteriza.

También destaca las dificultades a las que se va a enfrentar la UE para adoptar un planteamiento uniforme de protección de datos en la asistencia sanitaria, en particular por lo que atañe al uso de tecnologías TIC.

La propuesta de Directiva sobre derechos de los pacientes en la asistencia sanitaria transfronteriza, de la que hemos venido informando en anteriores Boletines “Europa al día”, se enmarca dentro de un programa más ambicioso encaminado a mejorar la salud de los ciudadanos en la sociedad de la información, ámbito en el que la UE ve grandes posibilidades gracias al uso de las nuevas tecnologías.

La creación de un marco comunitario que regule la asistencia sanitaria transfronteriza exige el intercambio, entre organizaciones y profesionales sanitarios autorizados, de datos sobre la salud de los pacientes que se consideran sensibles y se incluyen entre las normas más rigurosas de protección de datos previstas en el artículo 8 de la Directiva 95/46/CE.

Por este motivo, se ha consultado oficialmente al Supervisor Europeo de Protección de Datos, SEPD, que es una autoridad de control independiente cuya misión principal es garantizan que las instituciones y órganos de la Unión Europea respeten el derecho fundamental de la protección de datos de carácter personal.

Es la primera vez que se consulta al Supervisor Europeo de Protección de Datos sobre una propuesta de Directiva en el ámbito de la asistencia sanitaria. El SEPD ha aprovechado esta oportunidad para formular observaciones de carácter más general y poner de manifiesto las dificultades a las que se va a enfrentar la UE para la adopción de un planteamiento uniforme de protección de datos en la asistencia sanitaria, en particular por lo que atañe al uso de tecnologías TIC.

Hasta ahora, se han llevado a cabo varias iniciativas importantes en el contexto del programa general de la CE para mejorar la salud de los ciudadanos en la sociedad de la información, como por ejemplo:

  • la Directiva y la Comunicación sobre donación y el trasplante de órganos humanos,
  • la Recomendación sobre la interoperabilidad transfronteriza de los sistemas de historiales médicos electrónicos,
  • así como la Comunicación prevista sobre la telemedicina,

Entre estas disposiciones no hay nexos o interconexiones en materia de protección de la intimidad y seguridad de los datos, por lo que aún no existe una perspectiva general claramente definida de la protección de la intimidad en la asistencia sanitaria.

Esto mismo se observa en la presente propuesta, en la que el SEPD lamenta que no se abordan de manera concreta las repercusiones en el ámbito de la protección de datos. Es cierto que pueden encontrarse menciones relativas a la protección de datos, pero éstas son principalmente de carácter general y no reflejan adecuadamente las necesidades y exigencias específicas de la asistencia sanitaria transfronteriza en lo que respecta a la protección de la intimidad.

Definición de datos relativos a la salud:

Los datos relativos a la salud se consideran una categoría especial de datos, que son acreedores de una protección superior, tal como lo señaló recientemente el Tribunal Europeo de Derechos Humanos en el contexto del artículo 8 del Convenio Europeo de Derechos Humanos: «La protección de los datos personales, en concreto de los datos médicos, es de esencial importancia en el disfrute de un individuo del derecho al respeto de su vida privada y familiar, tal y como garantiza el artículo 8 del Convenio».

La Directiva 95/46/CE no incluye una definición expresa de los datos relativos a la salud por lo que generalmente se aplica un concepto amplio que los define como datos personales que tienen una relación clara y estrecha con la descripción del estado de salud de una persona. En este sentido, los datos relativos a la salud incluyen:

  • datos médicos (por ejemplo, derivaciones de pacientes y recetas médicas,
    protocolos de exploración clínica, pruebas de laboratorio, radiografías, etc.),
  • datos financieros y administrativos relativos a la salud (por ejemplo,
    documentos relativos a hospitalizaciones, número de la seguridad social,
    programación de citas médicas, facturas por la prestación de servicios de
    asistencia sanitaria, etc.).

La norma ISO 27799 define los «datos relativos a la salud» como: «cualquier información relacionada con la salud física o mental de una persona o con la prestación de un servicio sanitario a la persona, que puede incluir:

  1. información sobre el registro de la persona a efectos de la prestación de servicios sanitarios;
  2. información sobre pagos o sobre la posibilidad de la persona de acogerse a la asistencia sanitaria;
  3. un número, símbolo o seña particular atribuido a una persona para identificarla de manera exclusiva a efectos sanitarios;
  4. cualquier información sobre la persona recabada en el curso de la prestación de servicios sanitarios a esa persona;
  5. información derivada de pruebas clínicas o del examen clínico de una parte del cuerpo o de una sustancia corporal; y
  6. identificación de una persona (profesional sanitario) como proveedor de asistencia sanitaria a la persona».

El SEPD es muy favorable a la adopción de una definición concreta de la expresión «datos relativos a la salud» en el contexto de la presente propuesta, que podría utilizarse también en el futuro en el marco de otros textos jurídicos pertinentes de la CE.

Normativa europea sobre protección de datos relativos a la salud:

El artículo 8.1 de la Directiva 95/46/CE declara expresamente que los Estados miembros prohibirán el tratamiento, entre otras cosas, de los datos relativos a la salud. En los apartados siguientes de este artículo se recogen diversas excepciones a esta norma, Por ejemplo, la prohibición no se aplicará si el interesado ha dado su consentimiento explícito (art. 8.2.a). El artículo 8.3 establece que no se aplicará la prohibición del apartado 1 cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

El apartado 4 del artículo 8, por ejemplo, permite que los Estados miembros establezcan otras excepciones a la prohibición del tratamiento de datos sensibles por motivos de interés público importantes, siempre que se dispongan las garantías adecuadas. Con esto se subraya, en líneas generales, la responsabilidad de los Estados miembros de poner especial cuidado en el tratamiento de datos sensibles, como son los relativos a la salud.

Conclusiones del Supervisor Europeo de Protección de Datos:

EL SEPD considera que las actuales disposiciones de la propuesta en materia de protección de datos son excesivamente generales, no fijan requisitos específicos de protección de la intimidad y se refieren a las responsabilidades de los Estados miembros de manera algo selectiva y dispersa.

Además, como ya hemos mencionado, no existe nexo ni referencia alguna a los aspectos relativos a la intimidad abordados en otros instrumentos jurídicos de la CE en el ámbito de la asistencia sanitaria, especialmente en relación con el uso de nuevas aplicaciones de TIC, como la telemedicina o las historias clínicas electrónicas.

Por último, el SEPD formula una serie de recomendaciones consistentes en cinco fases básicas de modificación que son:

  • Descripción de los datos relativos a la salud.
  • Introducción de un artículo específico relativo a la protección de datos.
  • Disposición específica sobre armonización de la seguridad.
  • Integración de la protección de la intimidad en el modelo de receta médica electrónica.
  • Utilización ulterior de los datos relativos a la salud con fines estadísticos y de seguimiento.

Incluimos, en el presente Boletín “Europa al día”, el texto del proyecto de Dictamen del Supervisor Europeo de Protección de Datos.