ENCICLOPEDIA de BIODERECHO y BIOÉTICA

Carlos María Romeo Casabona (Director)

Cátedra de Derecho y Genoma Humano

datos de salud (Jurídico)

Autor: JESÚS RUBÍ NAVARRETE

La referencia a la salud y a los datos de salud es una constante en todo tipo de disposiciones de cualquier ordenamiento jurídico.
Desde declaraciones de derechos, tratados o convenios internacionales y Constituciones, hasta las regulaciones sectoriales que afectan al ámbito sanitario o a otros como la protección de los datos personales, se constata que la referencia a los datos de salud es un fenómeno generalizado.
Sin embargo, no es fácil encontrar una definición o un concepto de datos de salud que permita identificar claramente su contenido y sus fronteras. Y ello, pese a las amplias y variadas consecuencias jurídicas que pueden producirse según que determinadas informaciones puedan ser o no consideradas como datos de salud.

I. El contenido de la información sobre la salud.— La Declaración Universal de los Derechos Humanos, adoptada y proclamada por la Resolución de la Asamblea General de las Naciones Unidas 217 A(iii), de 10 de diciembre de 1948, reconoce en su artículo 25 el derecho de toda persona a un adecuado nivel de vida que le asegure, entre otros aspectos, «la salud y el bienestar», así como la asistencia médica. Sin embargo, no ofrece indicaciones adicionales sobre el concepto de datos de salud.
El Pacto Internacional de Derechos Económicos, Sociales y Culturales adoptado por la misma Asamblea General en su Resolución 2200 (XXI), de 16 de diciembre de 1966, aporta algunos criterios adicionales al reconocer a toda persona el derecho «al disfrute del más alto nivel posible de salud física y mental» y al contemplar como medidas que deben adoptar los Estados Partes para asegurar su efectividad las necesarias para:
a) La reducción de la mortalidad infantil y el sano desarrollo de los niños.
b) El mejoramiento en todos sus aspectos de la higiene del trabajo y del medio ambiente.
c) La prevención y el tratamiento de enfermedades epidémicas, endémicas, profesionales y de otra índole, y la lucha contra ellas.
d) La creación de condiciones que aseguren a todos asistencia médica y servicios médicos en caso de enfermedad (art. 12).
La delimitación de estas medidas pone de manifiesto una concepción amplia de la salud relacionada, no sólo con el concepto de datos de salud en sentido estricto, sino también con otros entornos sociológicos. De ellas, las que suponen una aproximación más precisa son las referidas al apartado c) y, también, la del apartado d) en la medida en que, aunque no ofrece criterios conceptuales sobre el contenido de la voz «datos de salud», las vincula a la asistencia sanitaria.
El Diccionario de la Lengua Española señala respecto del término «salud» las siguientes acepciones: «1. Estado en que el ser orgánico ejerce normalmente sus funciones. 2. Condiciones físicas en que se encuentra un organismo en un momento determinado».
De esta mención no cabe obtener una perspectiva precisa sobre el contenido de los datos de salud pero sí, al menos, una primera apreciación: que los datos de salud pueden hacer referencia tanto a una situación temporal como a una situación permanente de la persona.
La Carta Magna de la Organización Mundial de la Salud aporta elementos adicionales al definir la salud como «el estado de completo bienestar físico, mental o social, y no solamente la ausencia de afecciones o enfermedades».
Por su parte la Constitución de la Organización Panamérica de la Salud, al fijar los propósitos fundamentales de la organización, incluye los de «combatir las enfermedades, prolongar la vida y estimular el mejoramiento físico y mental» de las personas.
El concepto de datos de salud ha sido, asimismo, abordado desde la perspectiva de la protección de la información personal frente al tratamiento automatizado de aquélla.
Así, el Convenio núm. 108 del Consejo de Europa, de 28 de enero de 1981, contempla los datos relativos a la salud como una categoría particular cuyo tratamiento sólo puede realizarse si se prevén garantías apropiadas (art. 6). El Convenio tampoco aporta elementos de referencia sobre el concepto de datos de salud, si bien ha servido de base para su desarrollo posterior.
En este sentido, el Comité de Ministros del Consejo de Europa, consciente de la trascendencia del tratamiento automatizado de los datos médicos, adoptó la Recomendación núm. R (81) que, ante «los avances conseguidos por la Ciencia Médica y los progresos registrados por la tecnología de la información», fue sustituida por la Recomendación núm. R (97) 5, adoptada el 13 de febrero de 1997, en la que se recomienda a los Gobiernos de los Estados miembros «que tomen medidas para que los principios contenidos en el Anexo a la presente Recomendación se reflejen en su Derecho y en su práctica».
El Anexo de la Recomendación núm. R (97) 5 comienza abordando la cuestión crucial de delimitar el entorno al que deben referirse las garantías que propugna. Y, para ello, incorpora un apartado de definiciones dirigidas a concretar el concepto de datos de salud.
En el mismo se señala que la expresión «datos médicos» hace referencia a «todos los datos de carácter personal relativos a la salud de una persona ». Añadiendo que «afecta igualmente a los datos manifiesta y estrechamente relacionados con la salud, así como con las informaciones genéticas». Respecto de las informaciones genéticas aclara que «la expresión datos genéticos» se refiere a todos los datos, de cualquier tipo, relacionados con los caracteres hereditarios de un individuo o que, vinculados a dichos caracteres, compongan el patrimonio de un grupo de individuos emparentados »; que «hace referencia de la misma manera a todos los datos que afectan a intercambios de información genética (genes) de un individuo o línea genética, con relación a cualquier aspecto de la salud o de una enfermedad, constituya o no un carácter identificable» y que «la línea genética estará constituida por similitudes genéticas resultantes de una procreación y compartidas por dos o más individuos».
La consideración de los datos genéticos como datos de salud no se encuentra condicionada a que algunos usos de dicha información no se produzcan en el ámbito de la actividad sanitaria o de investigación científica. Así la Recomendación núm. (97) 5 mantiene aquella calificación incluso en los casos en que su tratamiento se lleve a cabo en el marco de un procedimiento judicial o una investigación penal para comprobar la existencia de un vínculo genético en el contexto de la administración de la prueba.
Del conjunto de referencias que se han transcrito pueden deducirse algunas conclusiones:
— La primera y principal es que el concepto de «datos de salud» se caracteriza por tener una naturaleza expansiva tanto en los documentos de las organizaciones que lo contemplan desde la perspectiva de garantizar el derecho a la salud, como desde las que lo abordan vinculado a la protección de los datos personales y al sistema de garantías que debe aplicárseles como datos sensibles o especialmente protegidos. Y, adicionalmente, que esta misma conclusión es predicable respecto de la categoría de datos de salud que son a los «datos genéticos».
Desde esta última perspectiva la Recomendación núm. R (97) 5 del Comité de Ministros del Consejo de Europa suscita una cuestión adicional, que se abordará posteriormente, sobre si la delimitación de la información genética y de su régimen de garantías depende de que «constituya o no un carácter identificable». Cuestión que, desde la aplicación del sistema de garantías regulado en la normativa de protección de datos personales, está vinculada a que los datos genéticos puedan ser o no una información disociada o anonimizada.
— En segundo lugar, debe concluirse que las referencias que apuntan a la inclusión dentro del concepto de «datos de salud» de las informaciones relacionada con la buena salud de las personas o a la ausencia de enfermedades, aconsejan un comentario adicional. A este respecto es preciso distinguir, al menos, dos enfoques.
Por un lado, el que está asociado al concepto de datos de salud desde la perspectiva de las políticas sanitarias vinculadas, en último término, a la declaración en instrumentos internacionales o al reconocimiento constitucional del derecho fundamental a la salud. En ellas alcanza plena virtualidad la faceta que afecta al «estado de buena salud », en la medida en que condiciona u obliga a que se desarrollen políticas dirigidas a promover el estado de salud de los ciudadanos, evaluar la calidad de la asistencia dirigida a la consecución de dicho objetivo o a planificar acciones que permitan alcanzarlo.
Y, por otro, el que se refiere al reconocimiento normativo de garantías específicas relacionadas con la recolección, acceso, conservación y cesión de los datos de salud, como informaciones que exigen un sistema cualificado de protección, al ser datos vinculados a la intimidad de las personas. O, de forma más rigurosa, como informaciones cuya protección reforzada está asociada a un derecho autónomo y diferenciado del derecho a la intimidad, como es el derecho a la protección de datos personales.
Desde esta última perspectiva la consideración de los datos relativos a la «buena salud» de las personas como datos sensibles o especialmente protegidos conduciría a una conclusión difícilmente asumible con carácter general: que el régimen reforzado de protección de estas informaciones tuviera que generalizarse universalmente a cualquier referencia sobre la ausencia de afecciones o enfermedades de la persona.
Los límites entre una y otra perspectiva son imprecisos y deben ser analizados en el marco de las circunstancias concretas en que se traten los datos personales relativos a la salud, pues no es lo mismo considerar la situación de la persona que ha recuperado su estado de salud tras una pérdida de la misma; la de una persona que, por estar sujeta a una situación de riesgo gozando de buena salud puede perderla o la de quien disfruta de buena salud sin relación alguna con la posibilidad de que sea previsible que la pierda.
En todo caso, la información genética presenta, por su propia naturaleza, características específicas que exigen una consideración particular.
En el marco de la anterior reflexión se han suscitado dudas sobre el alcance del concepto de datos de salud respecto de situaciones dudosas o fronterizas.
Como ejemplo de ellas puede citarse la cuestión prejudicial planteada por un órgano jurisdiccional sueco ante el Tribunal de Justicia de las Comunidades Europeas (TJCE) sobre si la divulgación en una página web por parte de un particular «de la circunstancia de que un compañero de trabajo, designado por su nombre, se ha lesionado el pie y está en situación de baja parcial», constituye un dato relativo a la salud con arreglo a la Directiva 95/46/CE, que contempla un régimen reforzado de protección sobre tales datos. La respuesta de TJCE se pronuncia sobre la cuestión de forma breve pero rotunda afirmando que «teniendo en cuenta el objeto de la Directiva es preciso dar una interpretación amplia a la expresión «datos relativos a la salud» empleada en el artículo 8, apartado 1, de modo que comprende la información relativa a todos los aspectos, tanto físicos como psíquicos, de la salud de una persona», concluyendo que, «por tanto, procede responder a la cuestión que la indicación de que una persona se haya lesionado en un pie y esté en situación de baja parcial constituye un dato relativo a la salud en el sentido del artículo 8, apartado 1. de la Directiva 95/46/CE».
Otra cuestión fronteriza sobre el alcance del concepto de datos de salud se ha planteado respecto de si la mera mención de los datos sobre el grado de discapacidad de una persona, (como sucede en ocasiones en la información tributaria a los efectos de atribuirle beneficios específicos) están o no incluidos per se en aquel concepto. Pues se ha discutido que la situación de discapacidad no es un dato de salud en la medida en que una persona discapacitada puede disfrutar de buena o mala salud, de forma que la simple referencia a su grado de discapacidad no es suficiente para que dicha información sea necesariamente incluida en el concepto de datos de salud.
A este respecto, algún órgano jurisdiccional ha entendido que no es necesario acudir al concepto de salud que resulta del Diccionario de la lengua española para entender que el porcentaje de discapacidad es un dato relativo a la salud y que cualquier forma de discapacidad conlleva, en sí misma, una minusvalía o una disfunción en el órgano del cuerpo afectado. Añadiendo que «el argumento utilizado (…) que pretende diferenciar entre la causa (enfermedad) y el efecto (situación de discapacidad) se basa en una distinción artificiosa que carece de base suficiente y la realidad es que toda discapacidad afecta o tiene relación con la salud del interesado (con su buena salud), por lo que los datos que afectan a esta materia deben gozar de la mayor protección que se concede a los datos relativos a la salud» (Sentencia, en España, de la Sala de lo Contencioso- Administrativo de la Audiencia Nacional, de 25 de abril de 2005).
El carácter expansivo del concepto de datos de salud ha sido en ocasiones reconocido normativamente zanjando de este modo cualquier duda que pueda surgir sobre la protección que debe dispensarse a aquella información. Esta delimitación normativa puede encontrarse tanto en normas que regulan los que pueden denominarse «derechos de autonomía del paciente» respecto de las actuaciones preventivas, diagnósticas o terapéuticas relacionada con la salud, como en las regulaciones generales relacionadas con la protección de los datos personales.
Entre las primeras pueden citarse, de modo meramente ejemplificativo, las definiciones de historia clínica e información clínica recogidas en España en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
En ella se define la historia clínica como «el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial»; y la información clínica como «todo dato, cualquiera que sea su forma, clase o tipo, que permite adquirir o ampliar conocimientos sobre el estado físico y la salud de un apersona o la forma de preservarla, cuidarla, mejorarla o recuperarla».
En ambas definiciones se aprecia una clara voluntad del legislador sobre la amplitud del concepto al considerar como datos de salud cualesquiera («informaciones de cualquier índole», «todo dato cualquiera que sea su forma clase o tipo») que puedan ser relevantes para garantizar la asistencia sanitaria a la persona.
Entre las segundas es significativa alguna definición específica de los datos de salud como «las informaciones concernientes a la salud pasada, presente y futura, física o mental de un individuo», añadiendo que «en particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética» (art. 5.g) del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, vigente en España –RLOPD—).
En cualquier caso, de la naturaleza expansiva del concepto «datos de salud», han de derivarse dos consecuencias relevantes: que en caso de duda, el tratamiento de la información ha de ir acompañada del régimen de garantías de todo tipo que, conforme a las legislaciones nacionales, está vinculada a los datos de salud. Y, que cualquier limitación a dicho régimen de garantías tiene que ser interpretada restrictivamente.

II. La incidencia de la disociación de la información en los datos de salud.—Según se ha indicado, el concepto «datos de salud» se caracteriza por tener una naturaleza expansiva relacionada con el conjunto de garantías de todo orden que se atribuyen a su titular. Sin embargo, esta afirmación parte de la premisa de que la información sobre la salud está vinculada una persona concreta y determinada. Por ello cabe plantear la cuestión de qué sucede cuando los datos de salud se desvinculan de la persona a través de procedimientos de disociación. Es decir, si los datos de salud están disociados de su titular, ¿deben seguir considerándose como datos de salud a todos los efectos? Y, aún entendiendo que es así ¿la disociación puede afectar al régimen de garantías que se les haya atribuido?
Según Rubí Navarrete, la primera pregunta debe ser respondida en sentido positivo pues el que una información pueda calificarse como dato de salud está en íntima conexión con la propia naturaleza de la información, en los términos antes expuestos, con independencia de que se encuentren asociados o no a la persona.
Así, la información estadística sanitaria, aún sujeta al conocido como «secreto estadístico» —que implica una anonimización radical de los sujetos concretos a que se refiere— seguirá siendo una información sobre «datos de salud». Y lo mismo sucederá con la información sobre la salud disociada de sus titulares que se utilice con fines de planificación y evaluación de la calidad de la asistencia sanitaria, la investigación, la docencia, la epidemiología o la farmacovigilancia, entre otros casos.
Cuestión distinta es que al romper el vínculo entre los datos de salud y la persona a que se refieren aquellas informaciones, aún siendo datos de salud, puedan dejar de tener la consideración de datos de carácter personal. Partiendo de esta premisa el uso de información anónima sobre la salud de las personas puede afectar parcialmente al régimen de garantías propio de los datos de salud en aquellos aspectos que estén relacionados, básicamente, con la protección de la información personal.
Como ejemplo de lo anterior podemos considerar el caso de los datos de salud utilizados en la práctica de ensayos clínicos con medicamentos. En estos supuestos es una práctica frecuente que el promotor del ensayo clínico —normalmente un laboratorio farmacéutico— reciba la información del investigador asociada a un código identificativo que sustituye la identidad del sujeto del ensayo, es decir, de forma anónima.
Si la disociación responde a las exigencias de la normativa de protección de datos, como se comentará posteriormente, no cabe duda de que el sujeto del ensayo clínico sigue siendo titular de los derechos que habitualmente se le reconocen, como prestar su consentimiento informado para someterse al mismo o revocarlo y dejar de participar en el ensayo.
Pero al haber perdido la información sobre la salud el carácter de dato personal, el sistema de garantías inherente a esta condición puede resultar afectado. De este modo difícilmente podrá, por ejemplo, ejercer el derecho de acceso a la información que está tratando el laboratorio pues al no permitir su vinculación con el sujeto del ensayo no será posible identificarla cuando éste quiera acceder a ella.
Ahora bien, en relación con la disociación de la información la cuestión que se plantea es la de qué características debe reunir para que pueda considerarse que estamos en presencia de datos anónimos. Su análisis hace necesario considerar el concepto de dato personal y el carácter reversible o irreversible del procedimiento de disociación. En las regulaciones sobre protección de datos personales, uno de cuyos exponentes más representativos es la normativa europea recogida en la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, el concepto de dato personal aparece asociado a «toda información sobre una persona física identificada o identificable »; considerándose como identificable aquella persona «cuya identidad se pueda determinar, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, económica, cultural o social» (art. 2.a).
Para determinar si una persona es identificable «hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento [de los datos] o por cualquier otra persona, para identificar a dicha persona » (Considerando 26).
Otras regulaciones han aportado elementos adicionales sobre el carácter identificable de la persona. Así, se ha considerado que «una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas » (art. 5.1.o) del RLOPD antes citado.
Esta definición incorpora dos parámetros para medir la proporcionalidad de los medios que permiten la asociación de la información a una persona concreta: el lapso de tiempo que vaya a transcurrir para alcanzar aquel resultado y la complejidad de las acciones necesarias para ello.
El reverso de la identificabilidad de la persona es que los datos sean anónimos por encontrarse disociados de la persona a la que se refieren. En este punto, la principal polémica que se ha suscitado es la de qué características debe tener la disociación de la información personal y, en particular, si puede considerarse que la información está disociada cuando la misma es reversible, es decir, cuando es posible volver a relacionar la información con la persona.
En el marco de la normativa europea de protección de datos citada parece apuntarse la exigencia de que la disociación sea irreversible al señalar «que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado»; o cuando indica que los códigos de conducta (instrumentos de autorregulación) «pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado» (Considerando 26, in fine). De forma aún más rotunda algunas normas regulan los datos disociados como aquellos «que no permiten la identificación de un afectado o interesado » (art. 5.1.e) RLOPD citado).
La consecuencia derivada de la disociación de los datos estriba en que no resultan exigibles las garantías específicas contempladas en la normativa de protección de datos personales, en aquellos países que la han adoptado. Con el importante efecto adicional de que tampoco serán de aplicación las garantías que han de aportarse cuando se realizan transferencias internacionales de datos de salud desde aquellos países, a países terceros que no dispongan de un nivel equivalente de protección de la información personal.
Estas consecuencias pueden ser particularmente relevantes en algunos tratamientos de datos de salud, que implican transferencias internacionales de datos entre diversos países como es el caso ya comentado de los ensayos clínicos con medicamentos. En ellos puede plantearse con mayor intensidad la cuestión de la disociación de los datos personales.
En efecto, como se indicó, es frecuente que la identificación de los sujetos que voluntariamente participan en un ensayo clínico en diversos lugares del mundo sean sustituidos por un código identificativo cuando son transferidos por el investigador al promotor del ensayo. Esta sustitución parece que, en principio, conduciría a que los datos de salud resultan anónimos para dicho promotor. Sin embargo, la realización de ensayos clínicos con medicamentos suele ir acompañada de un abanico de obligaciones que podrían conducir a que el promotor tuviera que proceder a la identificación de los sujetos del ensayo. Entre ellas pueden citarse, por ser habituales, la obligación de comprobar el protocolo del ensayo, garantizando que los datos son registrados de forma correcta y completa; comunicar las reacciones adversas, graves o inesperadas que se produzcan o contratar un seguro de responsabilidad u otra garantía financiera que cubra los daños y perjuicios que puedan derivar para el sujeto del ensayo. El cumplimiento de estas obligaciones supone, en principio, la identificación del sujeto, de forma que la mera sustitución de sus datos identificativos por un código podría considerarse insuficiente para entender que la información es efectivamente anónima.
Respecto de esta relevante cuestión, el Grupo de Trabajo contemplado en el art. 29 de la Directiva 95/46/CE ha manifestado un criterio específico. El citado Grupo (GT 29) está integrado por representantes de la Comisión Europea y de Autoridades de Protección de Datos de los Estados Miembros de la UE. El criterio a que se ha hecho referencia se transcribe a continuación: «Datos cifrados: Los datos cifrados son un ejemplo clásico de «seudonimización». La información contenida en esos datos se refiere a un individuo al que se asigna un código cifrado, mientras que la clave para descifrarlos, es decir para establecer la correspondencia entre el código y los identificadores habituales de la persona (nombre, fecha de nacimiento, dirección, etc.) se guardan por separado».
Esta clase de datos se utiliza comúnmente en ensayos clínicos con medicamentos. La Directiva 2001/20/CE, de 4 de abril de 2001, sobre la aplicación de buenas prácticas clínicas en la realización de ensayos clínicos de medicamentos de uso humano establece el marco jurídico para llevar a cabo estas actividades. El médico/investigador («investigador») que ensaya los medicamentos recopila la información sobre los resultados clínicos de cada paciente, asignándoles un código.
El investigador proporciona la información a la empresa farmacéutica o a otras partes interesadas («patrocinadores») únicamente de forma cifrada, puesto que sólo les interesa la información bioestadística. No obstante, el investigador guarda por separado la clave que permite asociar este código con la información utilizada usualmente para identificar individualmente a los pacientes. Para proteger la salud de los pacientes en caso de que los medicamentos planteen peligros, el investigador está obligado a guardar esta clave, de modo que cada paciente pueda ser identificado y recibir el tratamiento apropiado en caso necesario.
La cuestión que se plantea aquí es saber si se puede considerar que los datos utilizados para el ensayo clínico se refieren a personas físicas «identificables » y están, por lo tanto, sujetos a las normas de protección de datos. Según el análisis descrito anteriormente, para determinar si una persona es identificable se debe tener en cuenta el conjunto de medios que puedan razonablemente ser utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona. En este caso, la identificación de los pacientes (para aplicarles los cuidados apropiados en caso necesario) es una de las finalidades del tratamiento de los datos cifrados. La empresa farmacéutica ha analizado sistemáticamente los medios para el tratamiento de los datos, incluidas las medidas organizativas y sus relaciones con el investigador que guarda la clave, para que la identificación de personas físicas no sólo sea algo que puede suceder, sino más bien algo que debe suceder en determinadas circunstancias.
La identificación de pacientes encaja pues en las finalidades y los medios del tratamiento. En este caso, se puede concluir que esos datos cifrados constituyen información relativa a personas físicas identificables para todas las partes interesadas en su posible identificación, y deben estar sujetos a las normas de protección de datos. Esto no significa, sin embargo, que cualquier otro responsable del tratamiento de datos que trate el mismo conjunto de datos codificados esté tratando datos personales si dentro del sistema específico en el cual trabajan esos otros responsables se excluye explícitamente la reidentificación y se han tomado a este respecto las medidas técnicas adecuadas.
En otros campos de investigación del mismo proyecto, puede haberse excluido la reidentificación del interesado al diseñar los protocolos y el procedimiento; por ejemplo, porque no se tocan aspectos terapéuticos. Por razones técnicas o de otro tipo, aún puede haber una manera de descubrir a qué persona corresponden determinados datos clínicos, aunque la identificación no esté prevista ni se espere en ningún caso y se hayan adoptado las medidas técnicas adecuadas (por ejemplo, cifrado, comprobación aleatoria irreversible, etc.) para evitar que eso suceda. En este caso, aunque la identificación de determinados interesados pueda producirse a pesar de todos esos protocolos y medidas (debido a circunstancias imprevistas como el descubrimiento accidental de cualidades del interesado que revelen su identidad), no cabe considerar que la información procesada por el responsable original del tratamiento se refiera a personas físicas identificadas o identificables, teniendo en cuenta el conjunto de medios que puedan razonablemente ser utilizados por el responsable del tratamiento o por cualquier otra persona. Así pues, el tratamiento de esa información puede no estar sujeto a las disposiciones de la Directiva. Otra cosa distinta sería que el nuevo responsable del tratamiento lograra acceder a información identificable, aquí la información obtenida debería considerarse sin lugar a dudas como «datos personales».

III. Referencia específica a los datos genéticos.— Los datos genéticos, aún siendo datos de salud, presentan características específicas que aconsejan un comentario adicional.
Entre estas características se encuentra la posibilidad de que ofrezcan información sobre la predisposición a contraer enfermedades, el ser constantes a lo largo de la vida de la persona y el que se compartan con terceros miembros de la familia biológica en sentido ascendente y descendente. De lo que se deriva que las garantías vinculadas al tratamiento de datos genéticos deban modularse, en particular, por la necesidad de tener que abordar los derechos que puedan atribuirse a aquellas terceras personas.
Como se indicó anteriormente, en el marco del Consejo de Europa la Recomendación núm. R (97)5 del Comité de Ministros considera expresamente que la expresión datos genéticos comprende todos los datos de cualquier tipo relacionados con los caracteres hereditarios de un individuo «constituya o no un carácter identificable».
Sin embargo, en algunos ordenamientos jurídicos se han incorporado regulaciones que distinguen con precisión diversas categorías de datos genéticos en función, precisamente, de que puedan asociarse o no con la persona.
En tales casos, a los efectos de su derecho interno, las garantías específicas previstas en la normativa de protección de datos personales podrían no resultar aplicables cuando los datos sean anónimos o disociados en los términos que ya se han expuesto.
Así, puede citarse el caso de leyes que han regulado la investigación biomédica (como la española Ley 14/2007, de 3 de julio) distingue entre «datos genéticos» y «muestras biológicas» y dentro de cada una de ellas define nítidamente según que puedan asociarse o no con la personal.
Esta normativa toma como punto de referencia los criterios recogidos en la Recomendación núm. (2006)4 del Comité de Ministros del Consejo de Europa sobre investigación con material biológico de origen humano, de 15 de marzo de 2006.
De este modo se diferencia entre «dato anonimizado o irreversiblemente disociado» y «dato codificado o reversiblemente disociado». El primero es el que «no puede asociarse con una persona identificada o identificable por haberse destruido el nexo con toda información que identifique al sujeto, o porque dicha asociación exige un esfuerzo no razonable, entendiendo por tal el empleo de una cantidad de tiempo, gastos y trabajo desproporcionados».
En el segundo, por el contrario, aunque el dato no está asociado a una persona identificada o identificable por haberse utilizado un código que sustituye o lo desliga de la persona, es posible la operación inversa, es decir, la vinculación al sujeto.
Y lo mismo sucede con la distinción entre «muestra biológica anonimizada o irreversiblemente disociada» y la «muestra biológica codificada o reversiblemente disociada». Si bien cabe contemplar categorías adicionales como la «muestra biológica no identificable o anónima» por la circunstancia específica de que, en el momento de la recogida, no existe un nexo con una persona identificada o identificable de forma que no se conoce su procedencia ni es posible trazar su origen. Atendiendo a esta ausencia de nexo con la persona en el momento de su registro puede, también, diferenciarse la categoría de «dato genético anónimo».

Véase: Confidencialidad, Datos genéticos, Derecho a la intimidad, Enfermedad, Historia clínica, Protección de datos de salud, Salud, Secreto profesional.

Bibliografía: NICOLAS JIMÉNEZ, Pilar, «El concepto de dato médico y genético», en Estudios de protección de datos de carácter personal en el ámbito de la salud (Santiago Ripol Carulla, ed., Jordi Bacaria Martrus, coord…), Agencia Catalana de Protección de Datos, Marcial Pons, Barcelona, Madrid, 2006; Recomendación núm. R (97) 5, de 13 de febrero de 1997, del Comité de Ministros del Consejo de Europa, sobre protección de datos médicos; RUBÍ NAVARRETE, Jesús, «El concepto de dato personal relativo a la salud en la ley orgánica de protección de datos personales» en Revista de Derecho y Genoma Humano, núm. 25, 2006.


Buscador

Con la colaboración de:

2024 © Cátedra Interuniversitaria de Derecho y Genoma Humano | Política de Privacidad | Condiciones de uso | Política de Cookies | Imprimir