LOPD y residencias geriátricas
| Autor | Victor Roselló Mallol |
| Cargo | Abogado |
0. INTRODUCCIÓN
El mes de enero de 2006, fecha de redacción de este trabajo, se cumplen los 6 años desde la entrada en vigor en España de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo, "LOPD"). Esta norma, no era la primera que, en nuestro país, se promulgaba sobre esta materia, ya que vino a sustituir la ya derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (en lo sucesivo, "LORTAD").
El objeto de estudio jurídico-práctico de este artículo es, por tanto, una materia que, a pesar del advenimiento de nuevas formas de recoger, almacenar y tratar información personal, se ha incorporado a aquellos ámbitos de actuación jurídico-legal, que requieren mayor atención y ha calado con mayor profusión en los espacios y bloques informativos de asesorías y consultorías. Sin embargo, no estamos ante la aparición de un nuevo aspecto deshilvanado de las nuevas tecnologías, sino de un marco normativo que viene haciendo historia en nuestro ámbito de la Unión Europea desde hace ya más de una década.
Trataremos entonces de ofrecer una guía básica, una síntesis, para entender y analizar el fondo de una normativa que afecta a un sector tan concreto y especialmente sensible como es el de las residencias geriátricas. Con cierta frecuencia, se tiene la falsa impresión que la LOPD es "una ley nueva" o que únicamente afecta a quienes actúan por Internet o en actividades eminentemente tecnologizadas. Lo cierto es que nos resulta difícil encontrar una empresa u organización que no se vea afectada por esta ley, ya que su ámbito de aplicación se define por "(...) los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado" (artículo 2.1 LOPD). No queremos abrir un debate jurídico sobre la definición de dato personal o el concepto de tratamiento, pero resulta evidente que cualquier empresa u organización que, en el ámbito de sus actuaciones, recoja información de personas, deberá someterse a lo establecido en la LOPD y demás normas de desarrollo. ¿Qué empresas no disponen de datos de clientes, proveedores o trabajadores para su día a día?
Visto el amplio abanico de supuestos a los que se aplica la LOPD, ¿por qué decimos que el sector de las residencias es "especialmente sensible"? Una primera razón la apunta, en su Memoria del año 2004, el organismo independiente encargado de velar por el cumplimiento de la LOPD, la Agencia Española de Protección de Datos (en lo sucesivo, "AEPD"), al señalar que las residencias tratan información de un sector de la población, el de la tercera edad, que "precisa una especial protección, ya que en muchas ocasiones se encuentran en una situación que les impide conocer y ejercitar sus derechos en igualdad de condiciones". La condición de los titulares de los datos es, por consiguiente, una razón esencial para determinar la necesidad de que, quienes recojan y tratan dichos datos, es decir, las residencias, cumplan con lo dispuesto por la LOPD. Pero, aun siendo esencial, no es lo más importante.
Todo el sistema de protección de datos está basado en el principio de que cualquier información relacionada con una persona es susceptible de ser considerada dato personal. Pero, además, existe información que, por su naturaleza, merece un nivel superior de protección. La LOPD define esta información, en su artículo 7, como datos especialmente protegidos y parece indiscutible que las residencias, por el propio desarrollo de su actividad, precisan de ciertos datos, especialmente protegidos, de los residentes, como los relativos a su saludi. Estos datos exigen una mayor cautela en su recogida, almacenamiento y tratamiento y, en consecuencia, la principal razón por la que esta normativa tiene especial impacto en el ámbito de las residencias geriátricas.
Existe otro elemento que ha representado un importante impulso en la implantación de la LOPD en el sector, como es la publicación en el Registro General de Protección de Datos, el 27/12/2004, del Código Tipo de la Asociación Catalana de Recursos Asistenciales (ACRA). Los Códigos Tipo, previstos en la LOPD, representan una importante herramienta para adaptar las disposiciones de la ley, genéricas en muchos casos, a un sector de actividad concreto. Es por eso, y a pesar que solo pueden solicitar la adhesión a esta norma autorreguladora, los miembros del ACRA que, a lo largo de este trabajo, haremos referencias al Código Tipo del ACRAii.
Revisado el panorama normativo, la aplicación práctica de una implantación LOPD se centrará en la protección del flujo de datos de los residentes tratados por las residencias. Aunque, conviene señalar que también pueden verse afectados por el arco normativo de la ley los datos de trabajadores, colaboradores externos, proveedores, etc... Así es que uno de los primeros trabajos a realizar por el auditor sería analizar las obligaciones de las residencias respecto a los mencionados datos, siguiendo cronológicamente la vida de los mismos, es decir, desde el primer momento, el de su recogida, pasando por su almacenamiento (informático o no), su tratamiento y, finalmente, las posibles comunicaciones a terceros del dato, fuera del ámbito de actuación de la residencia.
1. OBLIGACIÓN FORMAL: NOTIFICACIÓN DE LOS FICHEROS
Antes de analizar los requisitos para la recogida y tratamiento de datos, es necesario comenzar con una obligación de tipo formal que deben cumplir cualquier organización que disponga ficheros donde se archiven de datos de carácter personal de sus clientes, proveedores, trabajadores, etc...: la notificación de los mismos ante la AEPD. Además de la necesidad de notificar los ficheros creados por dichas organizaciones, será necesario hacer lo propio con cualquier modificación o cancelación de dichos ficheros.
A pesar que el procedimiento de notificación de los ficheros es ciertamente sencillo, respondiendo a facilitar el cumplimiento de esta obligación formal de la LOPD, es necesario tener en cuenta, a efectos de una mejor gestión de los ficheros comunicados a la AEPD, la recomendación de seguir los criterios fijados por dicho organismo, a la hora de agrupar los distintos ficheros físicos de que disponga la residencia en ficheros lógicos, de forma que éstos agrupen aquellos ficheros físicos que respondan a una misma finalidad. Por último, cabría apuntar que la obligación de notificar los ficheros ante la AEPD, es el punto de partida de todo el proceso, pero no es en ningún caso la única de las obligaciones establecidas por la LOPD, como veremos a partir de ahora.
2. LA RECOGIDA DEL DATO DE SALUD
El criterio general establecido por la LOPD para la recogida de cualquier tipo de dato personal, es el del consentimiento informado. Esto significa que existe la regla general de la necesidad del consentimiento del titular de un dato personal, para proceder a recabar dicha información. No obstante, este consentimiento debe ser consecuencia de una información previa que debe facilitar quien recoge el dato. Sin información, el consentimiento carece de sentido y validez. La forma, sea tácita, expresa o por escrito, de prestar este consentimiento, cambia en función de lo que se apuntó anteriormente, el tipo de dato afectado.
2.1 Consentimiento
¿Cuál es la forma en que las residencias deben recoger los datos (de salud) de los residentes? Por dato de salud, en el caso de las residencias, debemos entender los informes médicos previos a la entrada en el centro, las prescripciones médicas de seguimiento y medicación y los...
Para continuar leyendo
Solicita tu prueba