lunes, 23 de noviembre de 2009

Protección de datos médicos

Recomendación nº R (97) 5, de 13 de febrero de 1997, del Comité de Ministros del
Consejo de Europa a los Estados miembros sobre Protección de Datos Médicos
Autor Francisco José
martes, 10 de agosto de 2004
Modificado el jueves, 09 de febrero de 2006

El Comité de Ministros, bajo los términos del artículo 15.b del Estatuto del Consejo de Europa
Considerando que el fin del Consejo de Europa es alcanzar una mayor unidad entre sus miembros;
Recordando los principios generales sobre protección de datos de la Convención para la Protección de los Individuos en
relación al ...

El Comité de Ministros, bajo los términos del artículo 15.b del Estatuto del Consejo de Europa
Considerando que el fin del Consejo de Europa es alcanzar una mayor unidad entre sus miembros;
Recordando los principios generales sobre protección de datos de la Convención para la Protección de los Individuos en
relación al Tratamiento Automatizado de Datos Personales (Series Tratados Europeos, n. 108) y en particular su artículo
6, que estipula que los datos personales relativos a la salud no pueden ser procesados automatizadamente a menos
que el ordenamiento nacional proporcione medidas de seguridad apropiadas;
Consciente del incremento del uso de datos médicos tratados automatizadamente por sistemas de información, no sólo
para la asistencia médica, la investigación médica, la gestión hospitalaria y la salud pública, sino también fuera del
sector sanitario;
Convencido de la importancia de la calidad, integridad y disponibilidad de los datos médicos para el afectado por tales
datos y su familia;
Consciente de que el progreso de la ciencia médica depende en buena medida de la disponibilidad de datos médicos
sobre individuos;
Convencido de que es deseable regular la recogida y procesamiento de datos médicos, salvaguardar la
confidencialidad y la seguridad de los datos personales relativos a la salud, y asegurar que se emplean de acuerdo con
los derechos y libertades fundamentales del individuo, y en particular con el derecho a la intimidad;
Consciente de que el progreso en la ciencia médica y los avances en la tecnología informática desde 1981 hacen
necesario revisar varias disposiciones de la Recomendación N. R (81) sobre la regulación de los bancos de datos médicos
automatizados;



Recomienda que los gobiernos de los Estados miembros:



- den pasos para asegurar que los principios contenidos en el apéndice a esta recomendación se reflejen en sus leyes y
en la práctica;
- aseguren una amplia difusión de los principios contenidos en el apéndice a esta recomendación entre las personas
implicadas, por razón de su profesión, en la recogida y procesamiento de datos médicos;



Decide que esta recomendación sustituirá a la Recomendación N. R (81) sobre la regulación de bancos de datos médicos
automatizados.



APENDICE A LA RECOMENDACION nº R (97) 5, de 13 de febrero de 1997.



1. Definiciones



A los fines de esta recomendación:
- la expresión "datos personales" abarca cualquier información relativa a un individuo identificado o identificable. Un
individuo no se considerará "identificable" si la identificación requiere una cantidad de tiempo y de medios no razonables.
En los casos en que el individuo no sea identificable, los datos son denominados anónimos;
- la expresión "datos médicos" se refiere a todos los datos personales relativos a la salud de un individuo. Se refiere
también a los datos que tengan una clara y estrecha relación con la salud y los datos genéticos;
- la expresión "datos genéticos" se refiere a todos los datos, cualquiera que sea su clase, relativos a las características
Bioética en la Red
http://www.bioeticaweb.com ¡Producido por Laicidad! Generado: 1 February, 2008, 22:40
hereditarias de un individuo o al patrón hereditario de tales características dentro de un grupo de individuos emparentados.
También se refiere a todos los datos sobre cualquier información genética que el individuo porte (genes) y a los datos de
la línea genética relativos a cualquier aspecto de la salud o la enfermedad, ya se presente con características
identificables o no.
La línea genética es la línea constituida por similaridades genéticas resultantes de la procreación y compartidas por dos o
más individuos.



2. Ambito
2.1 Esta recomendación es aplicable a la recogida y tratamiento automatizado de datos médicos, salvo que la ley
nacional, en un contexto específico fuera del sector sanitario, proporcione otras medidas de seguridad apropiadas.
2.2. Un Estado miembro puede extender los principios establecidos en esta recomendación a datos médicos no
procesados automatizadamente.



3. Respeto a la intimidad
3.1. Se garantizará el respecto a los derechos y libertades fundamentales, y en particular al derecho a la intimidad,
durante la recogida y procesamiento de datos médicos.
3.2. Los datos médicos sólo pueden recogerse y procesarse si existen medidas de protección adecuadas establecidas por
la ley nacional.
En principio, los datos médicos deben ser recogidos y procesados sólo por profesionales sanitarios o por individuos u
órganos que trabajen en representación de profesionales sanitarios. Los individuos u órganos que trabajen en representación
de profesionales sanitarios recogiendo y procesando datos médicos deben estar sujetos a las mismas normas de
confidencialidad que pesan sobre los profesionales sanitarios o a normas de confidencialidad comparables.
Los administradores de archivos que no son profesionales sanitarios sólo deben recoger y procesar datos médicos
cuando estén sujetos a normas de confidencialidad comparables a las que pesan sobre el profesional sanitario o a
medidas de seguridad igualmente eficaces proporcionadas por la ley nacional.



4. Recogida y procesamiento de datos médicos.
4.1. Los datos médicos deben ser recogidos y procesados honrada y legalmente y sólo para fines especificados.
4.2. Los datos médicos deben obtenerse, en principio, del afectado. Sólo pueden ser obtenidos de otras fuentes si se
hace de acuerdo con los Capítulos 4, 6 y 7 y si esto es necesario para alcanzar los fines del procesamiento o si el
afectado no está en posición de proporcionarlos.
4.3. Los datos médicos deben ser recogidos y procesados:
a. si lo dispone la ley por:
i. razones de salud pública; o
ii. bajo las condiciones del Principio 4.8, la prevención de un riesgo real o la represión de un crimen específico; o
iii. otro interés público importante; o
b. si lo permite la ley:
i. para fines médicos preventivos o para fines diagnósticos o terapéuticos relativos al afectado o a un pariente en línea
genética; o
ii. para salvaguardar intereses vitales del afectado o de una tercera persona; o
iii. para el cumplimiento de obligaciones contractuales específicas; o
iv. para establecer, ejercitar o defender una reclamación legal; o
c. si el ha dado su consentimiento el afectado, su representante legal o la autoridad, persona u órgano previsto por la ley,
y en la medida en que la ley nacional no disponga otra cosa.
4.4. Si los datos médicos se han recogidos con fines médicos preventivos, diagnósticos o terapéuticos relativos al
afectado o a un pariente en línea genética, también pueden procesarse para la gestión de un servicio médico que trabaje
en interés del paciente, en los casos en que su manejo esté previsto por el profesional sanitario que los recogió, o
cuando los datos sean comunicados de acuerdo con los principios 7.2 y 7.3.



Niños no nacidos
4.5. Los datos médicos relativos a niños no nacidos deben considerse datos personales y gozar de una protección
comparable a la de los datos médicos de un menor.
4.6. Salvo que la ley nacional disponga otra cosa, quien ostente la responsabilidad paterna o materna puede actuar
como la persona legalmente legitimada para actuar por el niño no nacido como sujeto de los datos.



Bioética en la Red
http://www.bioeticaweb.com ¡Producido por Laicidad! Generado: 1 February, 2008, 22:40
Datos genéticos
4.7. Los datos genéticos recogidos y procesados para el tratamiento preventivo, el diagnóstico o el tratamiento del
afectado o para investigación científica sólo deben emplearse con esos fines o para permitir al afectado tomar una decisión
libre e informada en estas materias.
4.8. El procesamiento de datos genéticos con fines judiciales o de investigación criminal debe ser objeto de una ley
específica que ofrezca medidas de salvaguardia adecuadas.
Los datos sólo deben emplearse para establecer si hay un eslabón genético en el conjunto de pruebas aportadas, para
prevenir un peligro real o para reprimir un delito específico. En ningún caso deben emplearse para determinar otras
características que pueden ser establecidas genéticamente.
4.9. La recogida y procesamiento de datos genéticos con cualquier otro fin distinto de los previstos en los Principios 4.7
y 4.8 sólo debe permitirse, en principio, por razones de salud y en particular para evitar un serio perjuicio a la salud del
afectado o de terceros.
Sin embargo, puede permitirse la recogida y procesamiento de datos genéticos en orden a predecir enfermedades en
casos en que exista un interés superior y bajo la sujección a las medidas de salvaguardia definidas por la ley.



5. Información a los afectados.
5.1. Los afectados deben ser informados de los siguientes extremos:
a. la existencia de un archivo que contiene sus datos médicos y el tipo de datos recogidos o que se van a recoger;
b. el fin o fines para los que son o serán procesados;
c. en su caso, el individuo u organismos de los que han sido o serán obtenidos;
d. las personas u órganos a los que pueden ser comunicados y con qué fines.
e. la posibilidad, si existe, de que el afectado niegue su consentimiento o retire el ya dado, y las consecuencias de tal
cesación del consentimiento;
f. la identidad del administrador del archivo y de su representante, si existe, así como las condiciones bajo las que se
puede ejercer el derecho de acceso y de rectificación.
5.2. Se debe informar al afectado, como muy tarde, en el momento de recogerlos. Sin embargo, cuando los datos no se
obtengan del afectado, se le debe comunicar tal recogida tan pronto como sea posible y, en una forma apropiada, la
información a que hace referencia el Principio 5.1, salvo que claramente sea no razonable o impracticable, o salvo que el
afectado haya recibido ya la información.
5.3. La información al afectado será apropiada y adaptada a las circunstancias. La información se dará preferiblemente a
cada uno de los afectados de forma individual.
5.4. Antes de llevar a cabo un análisis genético, se debe informar al afectado sobre los objetivos del análisis y la
posibilidad de hallazgos inesperados.



Personas legalmente incapacitadas
5.5. Si el afectado es una persona legalmente incapacitada, incapaz de tomar una decisión libre y consciente, y la ley
nacional no le permite actuar en su propia representación, la información se facilitará a la persona reconocida como
legalmente habilitada para actuar en interés del afectado.
Si una persona legalmente incapacitada es capaz de entender, se le debe informar antes de recoger o procesar sus
datos.



Derogaciones
5.6 Cabe hacer derogaciones a los principios 5.1, 5.2 y 5.3 en los siguientes casos:
a. la información al sujeto de los datos puede restringirse si así lo dispone la ley y constituye una medida necesaria en una
sociedad democrática:
i. para prevenir un peligro real o reprimir un crimen.
ii. por razones de salud pública;
iii. para proteger al afectado y los derechos y libertades de otros;
b. en emergencias médicas, los datos considerados necesarios para el tratamiento médico pueden recogerse
previamente a la información.



6. Consentimiento
6.1. Al solicitar el consentimiento del afectado, éste debe ser libre, expreso e informado.
6.2. Los resultados de cualquier análisis genético se deben formular dentro de los límites de los objetivos de la
consulta, el diagnóstico o el tratamiento para el que se obtuvo el consentimiento.
6.3. Cuando se trate de procesar datos médicos de una persona legalmente incapacitada que es incapaz de una
decisión libre, y cuando la ley nacional no le permita actuar en su propia representación, es preciso obtener el
Bioética en la Red
http://www.bioeticaweb.com ¡Producido por Laicidad! Generado: 1 February, 2008, 22:40
consentimiento de la persona legalmente habilitada para actuar en interés de éste, o de la autoridad o persona u órgano
designados por la ley con este fin.
Si, de acuerdo con el Principio 5.5, una persona legalmente incapacitada ha sido informada de la intención de recoger o
procesar sus datos médicos, sus deseos deben tenerse en cuenta, a menos que la ley nacional disponga otra cosa.



7. Comunicación
7.1. Los datos médicos no se comunicarán, salvo en las condiciones establecidas en este capítulo y en el Capítulo 12.
7.2. En particular, salvo que la ley nacional proporcione otras medidas de salvaguardia, los datos médicos sólo pueden
comunicarse a una persona sujeta a las normas de confidencialidad que pesan sobre un profesional sanitario o a
normas de confidencialidad comparables, y que acate las normas de esta recomendación.
7.3 Los datos médicos pueden comunicarse si son relevantes y:
a. si la comunicación está prevista por la ley y constituye una medida necesaria en una sociedad democrática por:
i. razones de salud píblica; o
ii. la prevención de un peligro real o la represión de un delito específico; o
iii. otro interés público importante; o
iv. la protección de los derechos y las libertades de otros; o
b. si la comunicación es permitida por la ley con fines de:
i. protección del sujeto de los datos o de un pariente en línea genética;
ii. salvaguarda de intereses vitales del afectado o de una tercera persona; o
iii. el cumplimiento de obligaciones contractuales específicas; o
iv. el establecimiento, ejercicio o defensa de una reclamación legal; o
c. si el afectado o su representante legal o la autoridad o persona u órgano previstos por la ley han dado su
consentimiento para uno o más fines, y en la medida en que la ley nacional no disponga otra cosa; o
d. sentado que el afectado o su representante legal o la autoridad, persona u órgano previstos por la ley no se ha opuesto
explícitamente a cualquier comunicación no obligatoria, si los datos han sido recogidos en un contexto de prevención,
diagnóstico o terapia libremente elegidos, y el propósito de la comunicación, en particular si se trata de la prestación de
cuidado al paciente o del funcionamiento de un servicio médico que trabaje en interés del paciente, no es incompatible
con el fin del procesamiento para los que los datos fueron recogidos.



8. Derechos del afectado



Derechos de acceso y de rectificación
8.1. Se permitirá a toda persona el acceso a sus datos médicos, ya directamente o a través de un profesional sanitario
o, si lo permite la ley nacional, a través de una persona designada por el titular de los datos. La información debe ser
facilitada de modo inteligible.
8.2. El acceso a los datos médicos puede ser denegado, limitado o rechazado sólo si lo prevé la ley y si:
a. constituye una medida necesaria en una sociedad democrática por su interés en proteger la seguridad del Estado, la
seguridad pública o la represión de crímenes; o
b. el conocimiento de la información es probable que cause un serio daño a la salud del afectado; o
c. la información sobre el afectado revela también información sobre terceros o, respecto a los datos genéticos, si esta
información es probable que cause un serio daño a un pariente consanguíneo o uterino o a una persona que tiene un
vínculo directo en línea germinal; o
d. los datos son empleados para fines de investigación científica o estadística y se aprecia con nitidez que no hay riesgo
alguno de violación de la intimidad del afectado, especialmente el de usar los datos en decisiones o medidas que afecten
a un individuo en particular.
8.3. El afectado puede pedir la rectificación de los datos erróneos sobre su persona y, en caso de negativa, tendrá la
capacidad de recurrir la decisión.



Hallazgos inesperados
8.4. La persona sometida a un análisis genético debe ser informada de los hallazgos inesperados si concurren las
siguientes condiciones:
a. la ley nacional no prohibe dar tal información;
b. la persona en cuestión la ha solicitado;
c. no es probable que la información le cause un daño serio:
i. a su salud; o
ii. a su parentela consanguínea o uterina, a un miembro de su familia social o a una persona que tenga un vínculo directo
con su línea genética, salvo que la ley nacional proporcione otras medidas de salvaguarda adecuadas.
Bioética en la Red
http://www.bioeticaweb.com ¡Producido por Laicidad! Generado: 1 February, 2008, 22:40
Sin perjuicio de lo dispuesto en el sub-parágrafo a), la persona debe ser también informada si tal información es de
importancia directa para él en el ámbito del tratamiento o la prevención.



9. Seguridad
9.1. Se tomarán las medidas técnicas y de organización adecuadas para proteger los datos personales procesados de
acuerdo con esta recomendación contra su destrucción accidental o ilegal y su pérdida accidental, así como contra el
acceso, alteración, comunicación o cualquier otra forma de procesamiento no autorizados.
Estas medidas asegurarán un nivel apropiado de seguridad, teniendo en cuenta, de una parte, el estado de la técnica
y, de otra, la naturaleza sensible de los datos médicos y la evaluación de los riesgos potenciales.
Estas medidas serán revisadas periódicamente.
9.2. En orden a asegurar en particular la confidencialidad, integridad y exactitud de los datos procesados, así como la
protección de los pacientes, se tomarán medidas apropiadas para:
a. impedir que cualquier persona no autorizada tenga acceso a las instalaciones de procesamiento de datos personales
(control de entrada a las instalaciones);
b. impedir que el soporte de los datos sea leído, copiado, alterado o retirado por personas no autorizadas (control del
soporte de los datos);
c. impedir la introducción no autorizada de datos en el sistema de información, y cualquier consulta, modificación o borrado
no autorizados de datos personales procesados (control de memoria);
d. impedir que los sistemas de procesamiento automatizado de datos sean usados por personas no autorizadas a
través de equipos de transmisión de datos (control de utilización);
e. asegurar -teniendo en cuenta, por un lado, el acceso selectivo a los datos y, por otro, la seguridad de los datos
médicos- que el diseño del sistema de procesamiento, como norma general, es tal que permite la separación de:
- identificadores y datos relativos a la identidad de las personas,
- datos administrativos,
- datos médicos,
- datos sociales,
- datos genéticos (control de acceso);
f. garantizar la posibilidad de comprobar y verificar a qué personas u órganos se pueden comunicar los datos a través de
equipos de transmisión de datos (control de comunicación);
g. garantizar que es posible comprobar y establecer 'a posteriori' quién ha tenido acceso al sistema y qué datos
personales han sido introducidos en el sistema de información, cuándo y por quién (control de introducción de datos);
h. impedir la lectura, copia, alteración o borrado no autorizados de datos personales durante la comunicación de datos
personales y el traslado de soportes de datos (control de transporte);
i. salvaguardar los datos mediante copias de seguridad (control de disponibilidad).
9.3. Los administradores de archivos médicos deben, de acuerdo con la ley nacional, elaborar normas internas
apropiadas que respeten los principios pertinentes de esta recomendación.
9.4. Cuando sea necesario, los administradores de archivos de procesamiento de datos médicos deben designar a una
persona independiente como responsable de la seguridad de los sistemas de información y de la protección de los datos, y
que sea competente para asesorar en estas materias.



10. Conservación
10.1. En general, los datos médicos no deben conservarse más tiempo del necesario para alcanzar el propósito para el
que se recogieron y procesaron.
10.2. Cuando se acredite la necesidad de conservar los datos médicos que ya no tienen uso alguno para el fin con el
que se recabaron por un interés legítimo de la salud pública o de la ciencia médica, o de la persona a cargo del
tratamiento médico o del controlador del archivo en orden a permitirles la defensa en o el ejercicio de una reclamación
legal, o por razones históricas o estadísticas, se adoptarán las medidas técnicas oportunas para asegurar su correcta
conservación y seguridad, teniendo en cuenta la intimidad del paciente.
10.3 A petición del afectado, sus datos mÚdicos deben ser eliminados, a menos que se hayan anonimizado o concurran
intereses superiores y legítimos para no hacerlo, en particular los reseñados en el Principio 10.2, o si existe una
obligación de conservar los datos grabados.



11. Flujos transfronterizos
11.1 Los principios de esta recomendación son aplicables al flujo transfronterizo de datos médicos.
11.2 No debe someterse a condiciones especiales de protección de la intimidad el flujo transfronterizo de datos médicos
a un Estado que ha ratificado la Convención para la Protección de los Individuos en relación al Tratamiento Automatizado
de Datos Personales, y que dispone de legislación que proporciona al menos una protección equivalente de los datos.
11.3. Donde la protección de los datos médicos pueda considerarse en línea con el principio de protección equivalente
sentado por la convención, no se debe aplicar restricción alguna al flujo transfronterizo de datos médicos a un Estado que
Bioética en la Red
http://www.bioeticaweb.com ¡Producido por Laicidad! Generado: 1 February, 2008, 22:40
no haya ratificado la Convención, pero que disponga de normas legales que aseguren una protección acorde con los
principios de tal Convención y de esta recomendación.
11.4. Salvo que la ley nacional disponga otra cosa, el flujo transfronterizo de datos médicos a un Estado que no
asegura la protección de acuerdo con la Convención y con esta recomendación, el flujo no debe tener lugar a menos que:
a. se hayan tomados las medidas necesarias, incluidas aquellas de naturaleza contractual, para que se respeten los
principios de la Convención y de esta recomendación, y el afectado haya tenido la posibilidad de oponerse a la
transferencia; o
b. el afectado haya dado su consentimiento.
11.5. Salvo en caso de emergencia o de una transferencia a la que el titular de los datos haya dado su consentimiento
informado, se deben tomar medidas apropiadas para asegurar la protección de los datos médicos transferidos de un país
a otro, y en particular:
a. la persona responsable de la transferencia debe indicar al destinatario los fines específicos y legítimos para los que se
recogieron los datos, así como las personas u organismos a los que éstos pueden comunicarse;
b. salvo que la legislación nacional disponga otra cosa, el destinatario debe comprometerse ante la persona responsable
de la transferencia a respetar los fines específicos y legítimos que éste último ha aceptado, y a no comunicar los datos a
personas u organismos distintos de los indicados por la persona responsable de la transferencia.



12. Investigación científica
12.1. Siempre que sea posible, los datos médicos usados para fines de investigación científica deben ser anónimos. Los
profesionales y organizaciones científicas y las autoridades píblicas deben promover el desarrollo de técnicas y
procedimientos para asegurar el anonimato.
12.2. Sin embargo, si tal anonimización hiciese imposible un proyecto científico de investigación, y el proyecto se va a
realizar con fines legítimos, podría llevarse a cabo con datos personales a condición de que:
a. el titular de los datos haya dado su consentimiento informado para uno o más fines de investigación; o
b. otorguen el consentimiento el representante legal o la autoridad o persona u órgano previstos por la ley cuando el
afectado sea una persona legalmente incapacitada e incapaz de una decisión libre, y la ley nacional no le permita actuar
en su propia representación, siempre que este consentimiento se dé en el marco de un proyecto de investigación
relacionado con la condición médica o la enfermedad del afectado; o
c. el órgano u órganos designados por la ley nacional hayan autorizado la revelación de los datos con el fin de llevar a cabo
un proyecto de investigación médica relacionado con un interés público importante, pero sólo si:
i. el titular de los datos no se ha opuesto expresamente a la revelación; y
ii. a pesar de los esfuerzos razonables que se puedan adoptar, sería impracticable contactar con el titular de los datos
para pedir su consentimiento; y
iii. el interés del proyecto de investigación justifica la autorización; o
d. la investigación científica está prevista por la ley y constituye una medida necesaria por razones de salud pública.
12.3. Bajo las previsiones complementarias que la ley nacional establezca, debe permitirse a los profesionales sanitarios
habilitados para realizar su propia investigación médica el uso de los datos médicos que tienen en la medida en que el
sujeto afectado haya sido informado de esta posibilidad y no se haya opuesto.
12.4. Respecto a cualquier investigación científica basada en datos personales, los problemas incidentales -incluidos
aquellos de naturaleza ética y cientifica- que puedan surgir como consecuencia del respeto a las disposiciones de la
Convención para la Protección de los Individuos en relación al Tratamiento Automatizado de Datos Personales deben ser
examinados también a la luz de otros instrumentos pertinentes.
12.5. Los datos personales usados para investigación científica no pueden publicarse en forma que permita identificar a
los titulares de los datos, salvo que éstos hayan dado su consentimiento a la publicación y ésta sea permitida por la ley
nacional.
Bioética en la Red
http://www.bioeticaweb.com ¡Producido por Laicidad! Generado: 1 February, 2008, 22:40

No hay comentarios:

Publicar un comentario