El acceso a la información

Por Mª Belén ANDREU MARTÍNEZ, Profesora Titular de Derecho Civil de la Universidad de Murcia, España1.

§ 1 – La irrupción de las TIC en el ámbito de la salud. Su impulso en la UE

Las TIC (tecnologías de la información y la comunicación) han entrado con fuerza en los últimos años en el ámbito de la salud, tanto en lo que se refiere a la prestación de los servicios sanitarios propiamente dichos, como también en la gestión de la actividad sanitaria.

Existe un impulso decidido por parte de la Unión Europea en materia de sanidad electrónica. Como botón de muestra nos encontramos con el Plan de acción sobre salud electrónica 2012-2020 de la Comisión Europea para una atención sanitaria innovadora en el s. XXI (Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones de 6 de diciembre de 2012 – COM-2012-736 final). Destaca este documento el papel que deben jugar las TIC en los sistemas sanitarios, en un contexto de limitaciones presupuestarias y en el que se debe hacer frente a retos como el envejecimiento de la población, el aumento de las expectativas de los ciudadanos y la movilidad de pacientes y profesionales. Entiende la Comisión que la salud electrónica puede redundar en beneficio de los distintos actores en juego (ciudadanos, pacientes, profesionales, organizaciones sanitarias y poderes públicos), al permitir una mayor eficacia y sostenibilidad del sistema, una atención sanitarias más personalizada, efectiva y eficaz, mayor transparencia y capacitación, así como nuevas oportunidades de innovación y negocio en el mercado de los servicios y productos de salud electrónica, entre otros2. Para ello, prevé entre sus objetivos conseguir una mayor interoperabilidad de los servicios de salud electrónica, apoyar la investigación e innovación en materia de salud electrónica y bienestar o facilitar la asimilación y garantizar una implantación más amplia de la salud electrónica (a través del mecanismo Conectar Europa o de la capacitación de los pacientes y de la cultura sanitaria digital)3.

Previamente la Directiva 2011/24/UE, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (en adelante, Directiva sobre asistencia sanitaria transfronteriza), ya contenía previsiones en materia de sanidad electrónica como mecanismo para facilitar la prestación de asistencia sanitaria dentro de la UE, además de prever la creación de la red de autoridades nacionales en materia de sanidad electrónica4. El artículo 14 de la Directiva establecía como objetivos de la red: La consecución de beneficios económicos y sociales sostenibles gracias a sistemas y servicios europeos de sanidad electrónica y a aplicaciones interoperables ; Elaborar directrices en relación con una lista no exhaustiva de datos que deben incluirse en las historias clínicas y que podrán ser compartidos por los profesionales sanitarios para propiciar una continuidad en la asistencia transfronteriza; o métodos para utilizar los datos médicos en beneficio de la salud pública y la investigación; El impulso de medidas comunes de identificación y autenticación para facilitar la transferibilidad de los datos de salud.

La actividad de la red ha dado ya algunos frutos, como las Directrices sobre el conjunto de datos mínimo/no exhaustivo en los historiales clínicos o en la receta electrónica para el intercambio electrónico dentro de las fronteras de la UE, así como el marco de organización del punto nacional de contacto en salud electrónica, entre otros5.

En España, cada vez es más frecuente la utilización de las TIC en la prestación y gestión de los servicios sanitarios. Así, desde la simple solicitud de citas por vía telemática a la consulta médica por medios electrónicos (e-mail u otros) o la utilización de dispositivos que recogen datos de salud del paciente, que permiten su monitorización a distancia o su localización, o que aplican realidad virtual como parte del tratamiento6. Todo ello sin contar con lo que más que probablemente será una de las nuevas fuentes de datos de salud de una persona (dispositivos móviles, wearables…) y que podrían eventualmente tenerse en cuenta para la prestación del servicio sanitario.

Junto a lo anterior, los esfuerzos en materia de gestión sanitaria se han centrado fundamentalmente en los últimos años en el desarrollo del sistema de historia clínica electrónica y de receta electrónica7. La implementación de ambos en España se encuentra bastante avanzada8 y se caracteriza, por un lado, por atribuirse competencia al Estado para el establecimiento de sistemas de intercambio de información, que van a permitir la creación de sistemas a nivel nacional de historia clínica y receta electrónica9; y, por otro lado, en la existencia de una normativa que permite (sin necesidad de contar con el consentimiento del paciente) la cesión de datos de salud por medios electrónicos (entre organismos y centros del sistema nacional de salud) para la prestación de asistencia sanitaria y farmacéutica (art. 10.5 Reglamento de desarrollo de la Ley orgánica de protección de datos de carácter personal, Real Decreto nº 1720/2007, 21 de diciembre 2007, España10; arts. 79.8 y 88.1 del Texto refundido de la Ley de garantías y uso racional de los medicamentos y productos sanitarios, Real Decreto Legislativo nº 1/2015, 24 de julio 2015, España11).

Al margen de la necesidad de implementar mecanismos de intercambio de información en materia de salud derivada de un Estado descentralizado como es España, el establecimiento de sistemas de historia clínica o de receta electrónica buscan como se ha señalado anteriormente una mejora en la eficiencia del sistema y en la calidad de la prestación asistencial (así, por ejemplo, reducción de costes derivados de la no duplicidad de pruebas; reducción del gasto farmacéutico; una mayor disponibilidad de la información relativa al paciente de cara a prestarle una mejor asistencia…). Pero, a efectos del tema tratado en este trabajo, plantea especial interés la disponibilidad de la información sanitaria en soporte electrónico, lo que permite plantear la posibilidad de su utilización con otros fines no directamente relacionados con la prestación asistencial (ej. investigación médica, salud pública, gestión sanitaria…). Y es que la incorporación de los datos a soporte electrónico permite muchísimas más posibilidades de utilización (y reutilización) de la información, aunque evidentemente también aumentan los riesgos en cuanto a las posibilidades de un incorrecto uso y su incidencia en los derechos de los ciudadanos12.

Es más, actualmente nos encontramos en un momento en que podemos decir que la información sanitaria es uno de los grandes petróleos de nuestra época, tanto desde el punto de vista de la administración sanitaria, que la considera esencial para mejorar el servicio que presta, como para terceros prestadores de servicios. La sanidad que está por venir (aunque podríamos decir que ya la tenemos aquí) es una sanidad que se va a caracterizar por: La incorporación de nuevos actores al marco de la prestación de los servicios de salud; El papel más central y activo que se quiere dar al paciente. Se habla, en este sentido, de colocar al paciente en el centro del sistema y no tanto al profesional (lo que podría dar lugar incluso a un replanteamiento de las infraestructuras sanitarias y a una nueva forma de práctica clínica); de una medicina personalizada; así como de la capacitación del paciente, de manera que éste disponga de un mayor control sobre su propia salud, lo que incluye la toma de iniciativa por su parte (permitiéndole responsabilizarse de su propia salud con ayuda, por ejemplo, de captores que detectan y comunican signos vitales, o de aplicaciones que fomentan el respeto de regímenes alimentarios y prescripciones médicas); Y, sobre todo, por el papel de la información de salud, que sí que se va a convertir en el eje del sistema. Información que, como hemos dicho, proviene de distintos agentes, de nuevas fuentes (ej., la llamada autocuantificación o quantified self) y que incluso es también una nueva forma de avance científico, junto a los tradicionales ensayos clínicos.

En este sentido, cada vez se está planteando con mayor fuerza la aplicación de técnicas de big data, utilizando la información de que dispone el sistema sanitario, para combinarla con otro tipo de datos que permita predecir patrones con los que adoptar decisiones a nivel institucional, organizativo y asistencial, con el fin de conseguir una mayor eficiencia del sistema y una mejora en la calidad de la asistencia sanitaria.

Existe, además, un fuerte impulso como hemos visto desde las propias instituciones a nivel europeo a favor de la utilización de la información generada en el sistema sanitario. Así, por ejemplo, la Directiva sobre asistencia sanitaria transfronteriza, a la que se ha hecho referencia anteriormente, con la creación de la red en sanidad electrónica; o el plan de acción en materia de salud electrónica 2012-2020, para el que el intercambio de información sanitaria constituye también un punto clave para avanzar en la materia. Impulso que, como se analizará más adelante, se ha visto también reflejado a nivel normativo, por ejemplo, en el Reglamento general de protección de datos personales europeo.

§ 2 – Marco normativo español sobre tratamiento, acceso y reutilización de la información sanitaria

A la vista de la situación descrita en el apartado anterior, podemos preguntarnos cómo se aborda legislativamente esta materia en España. Sin ánimo de ser exhaustivo, pues el análisis detallado de la profusa y fragmentada regulación española en la materia desbordaría con mucho el propósito de este trabajo, nos referiremos sucintamente tanto a la normativa sobre acceso y reutilización de la información en poder de las Administraciones públicas (partiendo de que, en España, son éstas las que acumulan la mayor parte de información sanitaria), como a la legislación sanitaria y a la correspondiente en materia de protección de datos personales.

Legislación administrativa sobre acceso y reutilización de la información pública

El artículo 13.1.d de la Ley del procedimiento administrativo común de las administraciones públicas, 1 octubre 2015, nº 39/2015 (España; en adelante, Ley de procedimiento administrativo), reconoce entre los derechos de los ciudadanos en sus relaciones con la Administración pública, el de acceso a la información pública, archivos y registros, de acuerdo con lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y el resto del Ordenamiento Jurídico 13.

De esta manera, y por lo que se refiere al ámbito de nuestro trabajo, en la medida en que el servicio sanitario se preste por una Administración pública será aplicable la Ley de transparencia, acceso a la información pública y buen gobierno, 9 de diciembre de 2013, nº 19/2013 (España; en adelante, Ley de transparencia). Entre otras previsiones, esta Ley establece en materia de transparencia de la actividad pública una serie de obligaciones sobre publicidad de cierta información relevante para el control de la actividad pública (publicidad activa, arts. 5 y ss.), así como el derecho de todas las personas a acceder a la información pública (art. 12), entendida ésta como los contenidos o documentos, cualquiera que sea su soporte, que obren en poder de las Administraciones públicas (art. 13). No obstante, hay que tener en cuenta que la Ley de transparencia se aplica no solo a éstas últimas, sino también a otros sujetos descritos en su artículo 2.1, entre ellos algunos que pueden tener incidencia en el sector sanitario, como las fundaciones del sector público (figura jurídica a la que han acudido algunos hospitales14) o a las mutuas de accidentes de trabajo y enfermedades profesionales colaboradoras de la Seguridad Social. Adicionalmente, la Ley de transparencia, respecto de otros sujetos (personas físicas o jurídicas) que eventualmente presten servicios públicos (por ej., un prestador privado de servicios sanitarios que tenga un concierto con una Administración pública sanitaria para la prestación de determinados servicios), establece la obligación de suministrar a la Administración a la que se encuentren vinculados toda la información necesaria para el cumplimiento por ésta de las obligaciones establecidas en la Ley (art. 4).

La Ley de transparencia ha supuesto un importante impulso al derecho de acceso a la información en poder de las Administraciones, derecho que se encontraba deficientemente regulado en España hasta entonces15. Ahora bien, la Ley establece unos límites al ejercicio de este derecho que afectan claramente al ámbito sanitario. Esta Ley dedica un artículo específicamente a la protección de datos personales (art. 15), siendo clásica, como sabemos, la discusión de los límites entre el derecho de acceso y la protección de datos personales16. La Ley de transparencia, respecto de los datos de salud (y, en general, con los datos sensibles), adopta un criterio restrictivo, estableciendo que sólo podrá autorizarse el acceso con el consentimiento expreso del afectado o si estuviera amparado por una norma con rango de Ley (art. 15.1.II)17. Permite, en cambio, el acceso con carácter general si se realiza una previa disociación de los datos de carácter personal, de modo que no sea posible la identificación de las personas afectadas (art. 15.4)18. Esta previsión está en consonancia con el hecho de que, conforme a la normativa de protección de datos personales, en estos casos no habría datos de carácter personal19.

No obstante, como sabemos, la anonimización no es una tarea fácil, ni se puede garantizar siempre una absoluta irreversibilidad (la propia normativa considera que hay anonimización cuando no es posible identificar a una persona utilizando medios o esfuerzos razonables20). Sobre este tema se ha pronunciado el Grupo de Trabajo del Artículo 29 en su Dictamen 5/2014, sobre técnicas de anonimización, de 10 de abril de 201421, en donde se destaca la importancia de la anonimización en un contexto de datos abiertos. Como se reconoce en el documento Conforme aumentan los volúmenes de información y los tipos de datos que generan los dispositivos electrónicos, los sensores y las redes y se reduce el coste de almacenamiento hasta cantidades insignificantes, crecen el interés de los ciudadanos y la demanda de reutilización de estos datos . El Grupo entiende que la Directiva 95/46/CE parte de un concepto de anonimización riguroso y que la desidentificación debe ser irreversible. Para determinar si la identificación es razonablemente imposible y, por tanto, si la técnica de anonimización es suficientemente sólida, hay que tener en cuenta el contexto y las circunstancias particulares de cada caso. Por otra parte, destaca el factor de riesgo implícito en la anonimización, lo que deberá tenerse en cuenta a la hora de evaluar la validez de la técnica de anonimización (así los usos que se vaya a hacer de los datos o el tipo de datos de que se trate; o la probabilidad de la reidentificación y su gravedad, en cuanto a su impacto en las personas)22. También distingue entre anonimización y pseudoanonimización (concepto éste último que ahora define el nuevo Reglamento europeo de protección de datos23), para destacar que éste último no es un método de anonimización y que entra dentro del ámbito de aplicación de la protección de datos, dada la alta probabilidad de identificación en este caso.

Volviendo a la Ley de transparencia española, se acude igualmente a un criterio restrictivo en relación con las obligaciones de publicidad activa (arts. 5 y ss.). Así, la obligación de los sujetos sometidos a la Ley de publicar la información relevante para garantizar la transparencia de su actividad, se encuentra limitada por el derecho a la protección de datos personales. Y, en concreto, tratándose de datos sensibles, la publicidad solo se llevará a cabo previa disociación (art. 5.3)24.

Junto a la Ley de transparencia, también debe tenerse en cuenta la normativa sobre reutilización de la información del sector público, principalmente, la Ley de 16 de noviembre de 2007, nº 37/2007 (España; en adelante, Ley sobre reutilización) y su Reglamento de desarrollo cuando se trata de información de la Administración General del Estado25. La Ley de reutilización incorpora la normativa europea en la materia26, con la finalidad de promover la disponibilidad de la información del sector público y su reutilización con fines comerciales y no comerciales. En los últimos tiempos se observa cada vez más una concienciación sobre el valor de la información pública, existiendo un decidido impulso por parte de las instituciones europeas en favorecer la circulación de información hacia los agentes económicos y la ciudadanía (así, por ej., para facilitar la creación de productos y servicios de información basados en documentos del sector público)27. La propia Ley de transparencia establece entre los principios generales de la publicidad activa que deben realizar las Administraciones públicas en materia de transparencia, el de reutilización de la información pública (art. 5.4)28. La Ley de reutilización se aplica a los documentos elaborados o custodiados por las Administraciones y organismos del sector público, cuya reutilización no esté limitada por éstos (art. 3.2), si bien los límites que disponen para la reutilización afectan también de forma directa a la documentación sanitaria. Así, entre los documentos a los que no será aplicable la Ley de reutilización (art. 3.3) se señalan: aquéllos sobre los que existan prohibiciones o limitaciones en el derecho de acceso, conforme a lo establecido en la Ley de transparencia (apartado a); los documentos relacionados con actuaciones sometidas por una norma al deber de secreto o confidencialidad (apartado b); o aquellos documentos a los que no pueda accederse o el acceso esté limitado en virtud de regímenes de acceso por motivos de protección de datos personales (apartado j). Adicionalmente, el artículo 3.4 de la Ley de reutilización señala que en ningún caso podrá ser objeto de reutilización la información en que la ponderación a la que se refieren los artículos 5.3 y 15 de la Ley de transparencia (a los que anteriormente hemos hecho referencia), arroje como resultado la prevalencia del derecho fundamental a la protección de datos, a menos que se lleve a cabo la previa disociación29.

En definitiva, no es posible la reutilización de la información pública en los mismos casos en que se limita el derecho de acceso. Límite que, como ya hemos visto, se produce especialmente en el caso de datos de salud en cuanto datos sensibles, y que se autorizará únicamente con el consentimiento expreso del afectado, cuando lo disponga una Ley o previa disociación de los datos de carácter personal. Aún así, y previendo la posibilidad de reidentificación del sujeto a la que anteriormente se ha hecho referencia, el artículo 8 de la Ley establece entre las condiciones de reutilización, la prohibición de revertir el proceso de disociación mediante la adición de nuevos datos provenientes de otras fuentes, en aquellos casos en que la información (aun siendo disociada) contenga elementos suficientes que permitan la identificación del interesado en el proceso de reutilización. Por lo demás, el artículo 4.6 de la Ley establece que la reutilización de documentos que contengan datos de carácter personal se regirá por la Ley de protección de datos30.

Por lo que hace a la legislación en materia sanitaria, podemos encontrar en ella referencias al uso, acceso y publicidad de la información sanitaria y de los datos de salud y, en particular, de las historias clínicas. Destacaremos básicamente dos normas, la Ley general de salud pública (Ley de 4 de octubre de 2011, nº 33/2001, España; en adelante, Ley general de salud pública) y la Ley básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (Ley de 14 de noviembre de 2002, nº 41/2002, España; en adelante, Ley de autonomía del paciente)31.

La Ley general de salud pública reconoce primeramente el derecho a la información de los ciudadanos (art. 4), entre otros aspectos, sobre los condicionantes de salud como factores que influyen en el nivel de salud de la población y, en particular, sobre los riesgos biológicos, químicos, físicos, medioambientales, climáticos o de otro carácter, relevantes para la salud de la población y sobre su impacto […] 32 ; y, paralelamente, establece la obligación de la Administración de suministrar información sobre los riesgos para la salud de la población (art. 10). Por otra parte, y entre las actuaciones de la Administración en materia de salud pública, contiene la Ley previsiones en materia de vigilancia de la salud (art. 12), que se define como el conjunto de actividades destinadas a recoger, analizar, interpretar y difundir información relacionada con el estado de la salud de la población y los factores que la condicionan, con el objeto de fundamentar las actuaciones de salud pública ; acciones de promoción (art. 16, dirigidas a incrementar los conocimientos y capacidades de los individuos, así como a modificar las condiciones sociales, laborales, ambientales y económicas, con el fin de favorecer su impacto positivo en la salud individual y colectiva ) y prevención de la salud (art. 19) ; o de protección de la salud de la población (art. 27, que comprenderá el análisis de los riesgos para la salud, e incluirá su evaluación, gestión y comunicación, art. 28), entre otros. El cumplimiento de las obligaciones establecidas en la Ley conlleva evidentemente la utilización de la información sanitaria en poder de la Administración pública con dichos fines33. De hecho, la Ley regula el Sistema de información en salud pública (arts. 40 y ss.), previendo la posibilidad de que las autoridades sanitarias puedan requerir a los servicios y profesionales sanitarios informes, protocolos u otros documentos con fines de información sanitaria34. Adicionalmente y para el cumplimiento de estos fines, en un futuro no muy lejano como se ha señalado al inicio de este trabajo, podrían aplicarse soluciones de big data que permitan mejorar la toma de decisiones en materia de salud pública.

Al igual que en los casos anteriores, la utilización de la información sanitaria con estos fines tiene también su contrapeso en el respeto a los derechos y libertades de los ciudadanos. El artículo 7 de la Ley regula, entre los derechos reconocidos a éstos, la intimidad, confidencialidad y respeto de la dignidad de la persona. Y remite, para el uso de información personal en las actuaciones de salud pública, a lo dispuesto en la normativa de protección de datos personales y en la Ley de autonomía del paciente.

Si analizamos esta última, la Ley de Autonomía del Paciente, veremos que establece entre sus principios básicos la dignidad de la persona, el respeto a su autonomía y a su intimidad, que orientarán toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la información y la documentación clínica (art. 2) ; y reconoce, en relación con el derecho a la intimidad del paciente, la confidencialidad de sus datos de salud (a los que no se podrá acceder sin previa autorización legal, art. 7).

En particular, regula esta Ley la historia clínica, estableciendo un régimen bastante estricto en cuanto a su uso y acceso. Así, configura la historia clínica como un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente (arts. 16.1, 15.2). Y permite su acceso al propio paciente (art. 18), a los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente (art. 16.2) ; al personal de administración y gestión de los centros sanitarios (sólo respecto de los datos relacionados con sus propias funciones, art. 16.4) ; al personal sanitario que ejerza funciones de inspección, evaluación, acreditación y planificación (para el cumplimiento de las finalidades previstas en dicho en el precepto, art. 16.5) ; y con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia (en donde habrá que tener en cuenta la normativa aplicable, en su caso) y en los que la regla general es que se deben preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos (art. 16.3). No obstante, el propio precepto excepciona la regla general del anonimato cuando se considere imprescindible la identificación en el ámbito de una investigación judicial o por razones epidemiológicas o de protección de la salud pública, cuando sea necesario para la prevención de un riesgo o peligro grave para la salud de la población35.

Por lo que hace a la legislación sobre protección de datos personales, hay que hacer referencia especialmente a la Ley orgánica de protección de datos de carácter personal, de 13 de diciembre de 1999, nº 15/1999 (España; en adelante, Ley de protección de datos) y su Reglamento de desarrollo (Real Decreto nº 1720/2007, 21 de diciembre 2007, España; en adelante, Reglamento de protección de datos).

Muy sucintamente podemos destacar que la Ley de protección de datos, siguiendo lo establecido en la Directiva 95/46/CE, otorga la máxima protección a los datos de salud, al considerarlos datos especialmente protegidos. De esta manera, la regla general es que estos datos solo podrán ser tratados o cedidos cuando, por razones de interés general, así lo disponga una ley o consienta el interesado expresamente (art. 7.3). Si bien, se añaden otros supuestos de legitimación para el tratamiento (la salvaguarda de un interés vital del interesado o tercero; la prevención, diagnóstico, asistencia sanitaria o gestión de los servicios sanitarios, cuando se realice por profesional sujeto a obligación de secreto, arts. 7.6, 8), o la cesión de datos de salud (urgencia médica, realización de estudios epidemiológicos, con sujeción a la normativa correspondiente, art. 11.2.f), sin consentimiento del afectado36. Por otra parte, dentro del principio de calidad de los datos regulado en el artículo 4 Ley de protección de datos, se dispone que los datos personales no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos, si bien se considera que no es incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos, lo que puede tener relevancia (en particular, el último) en el ámbito sanitario37. Adicionalmente, se prevé la necesidad de aplicar medidas de seguridad de nivel alto para el tratamiento de este tipo de datos.

En consonancia con lo anterior, como ya hemos avanzado, la Ley de transparencia en su artículo 15 limita el acceso a información con datos especialmente protegidos (dentro de los cuáles se incluyen los de salud), a aquellos casos en que se cuente con el consentimiento expreso del afectado o lo autorice una norma con rango de ley. Igualmente, y siguiendo asimismo la normativa de protección de datos, la Ley admite el acceso si se efectúa una previa disociación de los datos de carácter personal, de modo que se impida la identificación de las personas afectadas (ya que, en teoría, no nos encontraríamos ante datos de carácter personal a los que aplicar la correspondiente normativa)38. Y sigue este criterio igualmente la Ley de reutilización de información del sector público.

Por su parte, el Reglamento de protección de datos remite en esta materia a lo dispuesto en la Ley, añadiendo únicamente el supuesto al que ya se ha hecho referencia respecto a la legitimación para la cesión de datos entre los organismos del Sistema Nacional de Salud para la atención sanitaria de las personas, conforme a la Ley de cohesión y calidad del sistema nacional de salud (art. 10.5).

En cualquier caso, estas previsiones contenidas en la legislación de protección de datos personales sobre los datos de salud deben completarse con la correspondiente regulación en la normativa sanitaria (anteriormente analizada), a la que la primera remite39.

Hasta aquí hemos visto el impulso que se ha dado en materia de acceso y reutilización de información en poder de instituciones públicas, así la dificultad de aplicación en un ámbito, como el sanitario, en el que se manejan datos altamente sensibles, lo que obliga a adoptar medidas adicionales de protección de los derechos de los interesados (anonimización, consentimiento, principio de finalidad, proporcionalidad…). Vamos a detenernos a continuación en cuáles son las tendencias de futuro en lo que al tratamiento y acceso a la información sanitaria se refiere y en si la aprobación del nuevo Reglamento europeo de protección de datos personales modifica en algo las reglas señaladas anteriormente.

Recientemente se ha aprobado a nivel europeo el Reglamento general de protección de datos (Reglamento UE 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; DOUE L 119/1, 4.5.2016), que deroga la Directiva 95/46/CE y que será aplicable a partir del 25 de mayo de 2018. El Reglamento contiene, por un lado, una referencia genérica al derecho de acceso a los documentos oficiales; y, por otro, recoge una definición de datos de salud40, regulando el tratamiento de este tipo de datos con algunos cambios en relación con la Directiva41.

Respecto a la primera cuestión, el artículo 86 del Reglamento (titulado tratamiento y acceso del público a documentos oficiales ) establece la posibilidad de que se comuniquen datos personales que consten en documentos oficiales de conformidad con el Derecho de la Unión o de alguno de los Estados miembros, a fin de conciliar el derecho de acceso con el derecho a la protección de datos personales en virtud del Reglamento42. Por tanto, el precepto únicamente recuerda la necesidad de conciliar ambos derechos, debiendo estarse para ello a las normas reguladoras del derecho de acceso comunitarias y de los Estados miembros, a quienes les corresponde esta labor a la vista de la regulación de la protección de datos personales establecida en el propio Reglamento.

En relación con los datos de salud, el Reglamento parte, al igual que lo hacía la Directiva del 95, de la prohibición de tratamiento de los datos sensibles, entre ellos, los de salud (art. 9), disponiendo a continuación una serie de excepciones. Y es en estas excepciones donde podemos considerar que la regulación es en algunos casos más amplia, con especial incidencia como veremos en el ámbito sanitario.

En principio, se mantienen sin modificaciones las relativas a aquellos casos en que se cuente con el consentimiento explícito del interesado, cuando el tratamiento sea necesario para proteger un interés vital de éste o de un tercero (y no esté capacitado para dar su consentimiento) o cuando se refiera a datos que el interesado haya hecho manifiestamente públicos (apartado 2.a, c y e del art. 9).

Respecto de la clásica excepción relativa al tratamiento de los datos de salud en el ámbito de la asistencia sanitaria, se sigue disponiendo la necesidad de que se traten por un profesional sujeto a la obligación de secreto, pero se amplían los fines para los que es posible su tratamiento (apartado 2.h y 3 del art. 9). Así, de la idea tradicional de que se pueden tratar los datos de salud para la asistencia sanitaria al paciente (prevención, diagnóstico, prestación o tratamiento médico) o la gestión de la asistencia sanitaria (Directiva del 95), se pasa a la posibilidad de tratamiento con fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social . Se acoge, por tanto, una idea de asistencia y gestión sanitarias más amplia y acorde con la nueva realidad, incluyendo campos como la medicina en el ámbito laboral o el tratamiento de datos de salud en el marco del tratamiento y asistencia social.

En relación con la excepción de interés público importante recogida en el artículo 8.4 Directiva 95/46/CE y que ha venido constituyendo también una base jurídica para el tratamiento de datos de salud, el Reglamento la recoge igualmente (habla de razones de interés público esencial, con los requisitos que dispone el apartado 2.g del art. 9). Pero, además, añade otras dos excepciones relacionadas con este interés público (apartados 2.i y j del art. 9) y que en la Directiva únicamente se mencionaban en un considerando (nº 34). Así, el tratamiento por razones de interés público en el ámbito de la salud pública (como la protección contra riesgos sanitarios transfronterizos graves, o para garantizar altos niveles de calidad y seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, con las garantías adecuadas para proteger los derechos y libertados de los interesados)43 o el tratamiento con fines de investigación histórica o científica o con fines estadísticos. Respecto de este último, el artículo 89 precisa la necesidad de adoptar garantías adecuadas en el tratamiento de datos con estos fines de investigación y permite la posibilidad de excepcionar en este ámbito ciertos derechos de los interesados (acceso, rectificación…)44. El precepto destaca especialmente la necesidad de garantizar el principio de minimización de los datos y opta por la seudonimización o la anonimización, siempre que los fines de la investigación se puedan alcanzar de ese modo, por lo que serán dichos fines los que marquen la posibilidad de utilizar o no datos personales de salud. Precisamente la utilización de los datos personales con fines de investigación y, en particular, cuándo pueden tratarse sin anonimizar o hacerse públicos y el papel que debe jugar el consentimiento del interesado, ha sido una cuestión bastante discutida, habiendo dado lugar a muy diversas redacciones a lo largo de la tramitación del Reglamento45. Se ha destacado de forma reiterada la importancia para la investigación científica y epidemiológica de la utilización de los datos de salud46, y su conciliación con el derecho a la protección de datos personales no siempre ha resultado sencilla, dando lugar a posturas dispares, como las que se han reflejado en las distintas propuestas de redacción del artículo 89 del Reglamento. La redacción definitiva tiende en cualquier caso hacia el lado de facilitar la investigación.

Por lo demás, el Reglamento permite a los Estados miembros introducir condiciones adicionales, incluidas limitaciones, al tratamiento de los datos de salud. Se deja, por tanto, margen a las legislaciones nacionales, si bien se pierde en este ámbito la buscada armonización que pretendía el Reglamento.

En definitiva, el nuevo Reglamento regula de una manera más detallada, y se puede decir también que más amplia, las posibilidades de tratamientos de datos relacionados con la salud (sobre todo sin consentimiento del sujeto). Como se puede observar, en particular los dos últimos supuestos mencionados están llamados a convertirse en la base para la medicina que nos viene y a la que se ha hecho referencia anteriormente en este trabajo. Las posibilidades de actuación en el ámbito de la salud pública y la investigación científica plantean la necesidad de contar con la información de que dispone el sistema sanitario para mejorar su calidad y eficiencia y el Reglamento va en la dirección de apoyar esta tendencia. En este sentido, pueden consultarse entre otros los considerandos 33, 52, 53, 73, 156, 157 o 159 del Reglamento. En ellos se explicitan condiciones que van a permitir el tratamiento de datos personales y que pueden ser de aplicación en el ámbito de la salud. Y se incide especialmente en los fines de interés general, en la salud pública, en la sanidad pública y la gestión de los servicios sanitarios, así como en la investigación científica. Por ejemplo, se precisan las condiciones en las que se puede prestar el consentimiento para el tratamiento de datos en una investigación científica (considerando 33); o el tratamiento de datos con fines de salud únicamente para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto (considerando 53)47; o la posibilidad de obtener nuevos conocimientos de gran valor sobre condiciones médicas extendidas (como enfermedades cardiovasculares, el cáncer y la depresión) combinando información procedente de registros (considerando 157)48. Señala claramente este último considerando que para facilitar la investigación científica los datos personales pueden tratarse con fines científicos (a reserva de las condiciones y garantías adecuadas que se establezcan en el Derecho de la UE y de los Estados miembros).

De esta manera, hemos pasado de una norma como la Directiva 95/46/CE, en la que apenas se contenían referencias a los datos de salud (más allá de las reglas genéricas establecidas para el tratamiento de categorías especiales de datos, art. 8) a otra como el Reglamento general de protección de datos, que incorpora definiciones y referencias múltiples al tratamiento de estos datos y que responde a las necesidades planteadas en los últimos tiempos de utilización de la información sanitaria en ámbitos como la salud pública, la gestión de los servicios sanitarios y de protección social y la investigación científica, creemos que apostando claramente por un mayor aprovechamiento de la información y la utilización de los datos personales.

Siendo éste el camino trazado por el Reglamento, la clave estará en cómo se apliquen las garantías de los derechos de las personas afectadas a los que también se hace referencia en estas normas. Por lo que habrá que hacer especial hincapié en esas medidas de protección de los derechos de los interesados que se van a implementar fundamentalmente por las legislaciones nacionales, dado el amplio margen de actuación que tienen los Estados miembros en esta materia.

La tendencia en cuanto al uso de la información en el ámbito de la salud es clara, tal y como se desprende de las páginas anteriores, y las voces que reclaman un mayor uso y una gestión avanzada de la información en el ámbito de la salud también. Se trata de obtener utilidad a los datos para la prestación de otros servicios, sin perjuicio de la necesaria protección de los derechos de las personas.

En este sentido, se ha apuntado la necesidad de avanzar, como premisa inexcusable, hacia un nuevo modelo de gestión documental, en el que el eje principal va a ser el dato, la información (y no el documento entendido como un soporte en el que consta la información de manera estática), de manera que se permita su procesamiento para ofrecer nuevos usos o servicios (esto es, el uso de la información fuera de su contexto original o de manera fragmentada)49; modelo avanzado de gestión que debe hacerse compatible, por otra parte, con la tutela de los distintos intereses en juego, tanto públicos como privados, en particular, los de los interesados50.

La tendencia señalada en las páginas anteriores está impulsando que la idea de gobierno abierto u open data se plantee también en el ámbito sanitario. Es muy elocuente en este sentido la aprobación en Francia de la Ley n° 2016-41 du 26 janvier 2016, de modernisation de notre système de santé, cuyo capítulo V se dedica precisamente a crear las condiciones para un acceso abierto a los datos de salud (constituye el sistema nacional de datos de salud, estableciendo reglas sobre el tratamiento de estos datos, objetivos de la puesta a disposición de los datos de salud, tipos de acceso, etc.). En España, la doctrina también ha señalado la necesidad de avanzar desde el acceso a la información sanitaria con base en la Ley de transparencia hacia un auténtico open data (impulsado por la normativa de reutilización de la información en manos del sector público); siendo necesario para ello, no solo que la información sea accesible por medios electrónicos, sino que se haga en determinadas condiciones que permita su uso posterior51. En esta línea, el artículo 17.2 de la nueva Ley de procedimiento administrativo establece en relación con el archivo electrónico único de documentos que debe tener cada Administración, que los formatos deben permitir la reutilización de la información52; en contraste con el artículo 11 Ley transparencia que dispone, en relación con los principios técnicos de la publicidad activa y, en concreto, respecto de la reutilización, que se fomentará que la información sea publicada en formatos que permita su reutilización.

En cualquier caso, ya existen experiencias en este sentido también en España53. El primero a gran escala y que ha suscitado cierto rechazo inicial (con reflejo en la opinión pública y política) fue el proyecto Visc+ en Cataluña, dirigido a abrir la información del sistema público de salud catalán. Aunque el proyecto se ha ido modificando con el tiempo y restringiendo ante las críticas recibidas, su finalidad es la de poner a disposición de forma anonimizada los datos incluidos en ciertos ficheros (encuestas de salud, historias clínicas, prestación farmacéutica…), en principio para estudios de investigación médica o de evaluación del sistema de salud. Esta información estaría disponible para los centros del sistema sanitario y centros de investigación autorizados (excluyéndose farmacéuticas, aseguradoras, empresas de marketing, consultoras…)54.

La aplicación del big data en el ámbito sanitario también es una realidad que va a ir aumentando con el paso del tiempo. En principio, y como ya se ha señalado, los proyectos de big data tienden a una mejor toma de decisiones (y, por tanto, a una mejor gestión y eficiencia de los servicios y a un aumento de la calidad asistencial) con base en las predicciones y en la segmentación que se puede conseguir aplicando esta técnica, aunque por el momento no se han abordado con detenimiento, y menos desde el ámbito normativo, los desafíos que plantea. Un ejemplo de big data sanitario que ya está en fase de prueba de campo en la sanidad española es el proyecto Hikari, sobre aplicación del big data en salud mental. Mediante un análisis avanzado de datos55 se trata de valorar y prevenir el riesgo de suicidio y comportamientos violentos (episodios de agravamiento de salud mental, crisis psicóticas…). Se persigue con ello crear un sistema de ayuda en la toma de decisiones al profesional, de manera que le permita un diagnóstico más correcto y prescribir un tratamiento más adecuado.

La situación en que se encuentra el tratamiento, acceso y reutilización de la información sanitaria se caracteriza por una mayor disponibilidad de los datos en formato electrónico y un impulso, consecuencia del enorme avance tecnológico, hacia su utilización con otros fines más allá de la directa asistencia sanitaria al paciente; impulso, por otra parte, propiciado por las instituciones tanto a nivel europeo como estatal y con cada vez mayor reflejo en el ámbito legislativo.

Por lo que hace al ordenamiento jurídico español, éste no es ajeno a esta tendencia, si bien se afronta con ciertos desajustes, tanto desde el punto de vista legislativo, como de aplicación. Así, una práctica administrativa en la que todavía no ha calado plenamente la cultura de la apertura, con formatos no adaptados a la reutilización; una descentralización territorial en la prestación del servicio sanitario, que puede añadir dificultades a la gestión y uso posterior de la información; y una legislación sobre tratamiento y acceso a datos de salud dispersa, fragmentada y carente de sistemática (en la normativa sanitaria y de protección de datos) y, en general, poco adaptada al nuevo escenario tecnológico.

Frente a ello, no deben desdeñarse los beneficios que puede aportar una política de apertura de la información sanitaria y una reutilización eficaz de los datos de salud, así como eventualmente la aplicación de técnicas de análisis masivo de datos de salud; como tampoco la protección de los derechos de las personas cuya información de salud se maneja. Por lo que deberá prestarse especial atención a la hora de definir las políticas legislativas en la materia al papel que deberán jugar principios como la anonimización de datos, la finalidad, minimización, el interés legítimo, entre otros, más allá del consentimiento del sujeto.

A.A.V.V., El derecho a la protección de datos en la historia clínica y la receta electrónica, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2009.

Aberasturi Gorriño U., La protección de datos en la sanidad, Thomson Reuters-Aranzadi, Cizur menor (Navarra), 2013.

Aberasturi Gorriño U., Lasagabaster Herrarte I., “La cesión de datos de salud fuera del ámbito sanitario. Análisis de supuestos concretos en que la información sanitaria se transmite para el cumplimiento de fines distintos al de la protección de la salud de las personas”, Revista Vasca de Administración Pública, nº 91, septiembre-diciembre 2011, pp. 17-101.

Andreu Martínez M.B., Alarcón Sevilla V., Salcedo Hernández J.R., Soro Mateo B., “Sanidad electrónica e intercambio de información sanitaria en Europa a la luz de la nueva regulación sobre protección de datos personales”, Revista Derecho y Salud, nº 23, 2014, pp. 276-286.

Barrero C., “Transparencia: ámbito subjetivo”, en GUICHOT E. (coord.), Transparencia, acceso a la información pública y buen gobierno, Tecnos, Madrid, 2014, pp. 63-96.

De Miguel Asensio N., “Datos de carácter personal relativos a la salud: una obligada remisión a la normativa del sector sanitario”, en Troncoso Reigada A., Comentario a la Ley orgánica de protección de datos de carácter personal, Civitas-Thomson Reuters, Cizur Menor (Navarra), 2010, pp. 708-734.

De Miguel Sánchez N., Tratamiento de datos personales en el ámbito sanitario: intimidad versus interés público, Tirant lo Blanch, Valencia, 2004.

Guichot E., “El sentido, el contexto y la tramitación de la Ley de transparencia, acceso a la información pública y buen gobierno”, en Guichot E. (coord.), Transparencia, acceso a la información pública y buen gobierno, Tecnos, Madrid, 2014, pp. 17-34.

Guichot E., “El sentido, el contexto y la tramitación de la Ley de transparencia, acceso a la información pública y buen gobierno”, en Guichot, E. (coord.), Transparencia, acceso a la información pública y buen gobierno, Tecnos, Madrid, 2014, pp. 97-142.

Guichot E., Transparencia y buen gobierno. Estudio y ley, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2014.

Ibañez García I., “Comentario a los artículos 12 a 17”, en De La Nuez Sánchez-Cascado E., Tarín Quirós E. (coords.), Transparencia y buen gobierno. Comentarios a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno, La Ley, Madrid, 2014, pp. 328 y ss.

López Ulla J.M., “El consentimiento del afectado en el tratamiento de datos relativos a la salud”, en Troncoso Reigada A., Comentario a la Ley orgánica de protección de datos de carácter personal, Civitas-Thomson Reuters, Cizur Menor (Navarra), 2010, pp. 671-685.

Martínez R., “De la opacidad a la casa de cristal. El conflicto entre privacidad y transparencia”, en Valero Torrijos J., Fernández Salmerón M., Régimen jurídico de la transparencia del sector público. Del derecho de acceso a la reutilización de la información, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2014, pp. 241-280.

Pérez Gómez J.M., “La protección de los datos de salud”, en A. Rallo Lombarte, R. García Mahamut (coords.), Hacia un nuevo derecho europeo de protección de datos, Tirant lo Blanch, Valencia, 2015, pp. 621-668.

Pérez Gómez J.M., “Protección de datos personales de salud en materia de información sanitaria”, en A.A.V.V., Protección de datos e investigación médica, Thomson Reuters-Aranzadi, Cizur Menor [Navarra], 2009, pp. 37-48.

Romeo Casabona C.M., “La protección de datos de salud en la investigación médica”, en A.A.V.V., Protección de datos e investigación médica, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2009, pp. 49-82.

Sánchez Sánchez Z., “Las nuevas leyes de régimen jurídico y procedimiento administrativo: afianzamiento de la administración electrónica en las relaciones internas de la administración con los ciudadanos”, en Rivero Ortega R., Calvo Sánchez M.D., Fernando Pablo M., Instituciones de procedimiento administrativo común. Novedades de la Ley 39/2015, ed. Juruá, Lisboa, 2016, pp. 43-66.

Serrano Pérez M.M., “Big data o la acumulación masiva de datos sanitarios: derechos en riesgo en el marco de la sociedad digital”, Revista Derecho y Salud, nº 25, 2015, pp. 51-64.

Serrano Pérez M. M., “Salud pública, epidemiología y protección de datos”, en Palomar Olmeda A., Cantero Martínez J., Tratado de Derecho Sanitario, Vol. II, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2013, pp. 1091-1113.

Valero Torrijos J., “Acceso, reutilización y gestión avanzada de la información sanitaria en el ámbito de la Administración sanitaria: implicaciones jurídicas desde la perspectiva de la innovación tecnológica”, en Valero Torrijos J., Fernández Salmerón M., Régimen jurídico de la transparencia del sector público. Del derecho de acceso a la reutilización de la información, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2014, pp. 631-667.

1 Este trabajo se enmarca en el proyecto de investigación financiado por la Fundación SENECA de la Región de Murcia (España) E-salud y autonomía del paciente vulnerable a la luz del Bioderecho (Ref. 19486/PI/14).

2 Ejemplifica la Comisión como beneficios demostrados de la salud electrónica el recurso a la telemedicina en las enfermedades crónicas, la salud mental y el fomento de la salud ; en relación con las terapias asistidas por la tecnología, que pueden complementar la atención médica rutinaria y mejorar la rentabilidad de los tratamientos o el uso de historiales clínicos y sistemas de prescripción electrónica interoperables.

3 Presentan también interés en la materia la Recomendación de la Comisión de 2 de julio de 2008, sobre La interoperabilidad transfronteriza de los sistemas de historiales médicos electrónicos (2008/594/CE; DOUE L 190, 18.07.2008) o El Libro verde sobre salud móvil, de 10 de abril de 2014 [COM(2014) 219 final].

4 A través de la Decisión de ejecución de la Comisión Europea de 22 de diciembre de 2011 (2011/890/UE ; DOUE L 344/48, 28.12.2011) se establecieron las normas que regulan la red de sanidad electrónica europea, a la que España se encuentra adherida (art. 23 Real Decreto por el que se establecen las normas para garantizar la asistencia sanitaria transfronteriza, de 7 de febrero, nº 81/2014). Sobre el tema puede consultarse, M.B. Andreu Martínez, V. Alarcón Sevilla, J.R. Salcedo Hernández, B. Soro Mateo, « Sanidad electrónica e intercambio de información sanitaria en Europa a la luz de la nueva regulación sobre protección de datos personales », Revista Derecho y Salud, nº 23, 2014, pp. 276-286.

5 Puede consultarse la actividad de la red europea de salud electrónica en: [http://ec.europa.eu/health/ehealth/policy/network/index_en.htm].

6 A título de ejemplo, el Punto de Acceso Electrónico del Servicio Murciano de Salud (sistema sanitario de la Comunidad Autónoma de Murcia, en España), contiene servicios al paciente como la cita previa con el profesional sanitario por Internet, el acceso tanto a la historia clínica electrónica regional como a la historia clínica digital del sistema nacional de salud (sobre la historia clínica a nivel regional y nacional en España nos detenemos a continuación en este trabajo), o la consulta telemática con el médico de atención primaria. Por otra parte, el Servicio Murciano de Salud participa en un proyecto europeo (FICHe, Future Internet CHallenge eHealth ) que está pilotando la implantación de siete proyectos de salud electrónica (entre otros, un mecanismo de localización en tiempo real así como la trazabilidad de pacientes, profesionales y equipos dentro de un hospital; un sistema de identificación inequívoca de personas que emplea el reconocimiento de la huella digital y el iris para evitar errores con pacientes en tratamiento oncológico; o un mecanismo de realidad virtual a través de tecnología móvil para aplicarlo en el ámbito de la salud mental, por ejemplo, en fobias).

7 Indica U. Aberasturi Gorriño, La protección de datos en la sanidad, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2013, pp. 29 y ss. que la evolución de la telemedicina ha venido de la mano de la incorporación de herramientas dirigidas a manipular la información sanitaria de manera más eficiente, destacando especialmente la historia clínica electrónica, la receta electrónica y la tarjeta sanitaria electrónica. En relación con ésta última, como señala este autor, la identificación del ciudadano es algo fundamental en los sistemas sanitarios, en especial en la actualidad, si se pretende que la información fluya de forma rápida y constante. Existen distintos tipos de tarjetas sanitarias (las que simplemente permiten la identificación ; las magnética ; las inteligentes… ; siendo las que más cuestiones plantean aquéllas que permiten procesar información de salud del paciente). En España, de momento la tarjeta sanitaria individual sirve a los efectos de identificación del paciente y le permite el acceso a los servicios sanitarios. La tarjeta sanitaria individual incorpora datos básicos del ciudadano y un código de identificación personal a efectos sanitarios, que sirve de clave de vinculación de los diferentes códigos de identificación personal autonómicos que cada persona pueda tener asignado a lo largo de su vida (art. 57 Ley de cohesión y calidad del sistema nacional de salud, 28 de mayo de 2003, nº 16/2003 ; Real Decreto por el que se regula la tarjeta sanitaria individual, 30 de enero 2004, nº 183/2004, España). Ello permite, por tanto, la prestación de asistencia sanitaria en todo el territorio nacional, pero igualmente puede servir de base para la identificación del paciente a efectos de la prestación de asistencia sanitaria a nivel europeo.

8 Por ejemplo, la implantación del sistema de receta electrónica se encuentra casi en el 100% del territorio nacional (datos de abril de 2016) en lo que se refiere a centros de salud de atención primaria y oficinas de farmacia, siendo algo más bajo en los hospitales (72,45%). Fuente: Ministerio de Sanidad, Asuntos Sociales e Igualdad, accesible en [http://www.msssi.gob.es/profesionales/recetaElectronicaSNS/home.htm].

9 La competencia en materia de sanidad en España se encuentra compartida entre el Estado y las Comunidades Autónomas. Conforme al art. 149.1.16º de la Constitución española, al Estado le corresponden, entre otros, las bases y coordinación general de la sanidad . A su vez, la Ley de cohesión y calidad del sistema nacional de salud, en su artículo 56 asigna al Ministerio de Sanidad la coordinación de los mecanismos de intercambio electrónico de información clínica y de salud individual, con el fin de que tanto el interesado como los profesionales sanitarios puedan acceder a la historia clínica, cualquiera que sea la Administración que proporcione la información (vid. asimismo el art. 40.13 y 16 de la Ley General de Sanidad, de 25 de abril de 1986, nº 14/1986, España, sobre La competencia del Estado en materia de información y J.M. Pérez Gómez, “Protección de datos personales de salud en materia de información sanitaria”, en A.A.V.V., Protección de datos e investigación médica, Thomson Reuters-Aranzadi, Cizur Menor [Navarra], 2009, pp. 37 y ss.). En este sentido, el Estado ha puesto en marcha, por un lado, un proyecto de interoperabilidad de receta electrónica en el Sistema Nacional de Salud con el que se pretende, entre otros, disponer de un sistema integrado nacional de receta electrónica y conseguir que el ciudadano pueda obtener su medicación en cualquier oficina de farmacia del país, independientemente del lugar donde le hayan realizado la prescripción. Y ello porque hasta ahora cada Comunidad Autónoma ha creado su aplicación de receta electrónica que, en principio, funciona únicamente en su territorio. Iguales consideraciones se pueden hacer respecto del sistema de historia clínica electrónica, que persigue fundamentalmente que cuando un ciudadano se desplaza fuera de su Comunidad Autónoma de residencia, pueda accederse a los datos más relevantes acerca de su salud (vid. el Real Decreto por el que se aprueba el conjunto mínimo de datos de los informes clínicos en el Sistema Nacional de Salud, de 3 de septiembre de 2010, nº 1093/2010, España). Puede consultarse la información sobre ambos proyectos en la página del Ministerio de Sanidad, Asuntos Sociales e Igualdad:

[http://www.msssi.gob.es/home.htm].

10 Art. 10.5 RD 1720/2007: Los datos especialmente protegidos podrán tratarse y cederse en los términos previstos en los artículos 7 y 8 de la Ley Orgánica 15/1999, de 13 de diciembre. En particular, no será necesario el consentimiento del interesado para la comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de Salud cuando se realice para la atención sanitaria de las personas, conforme a lo dispuesto en el Capítulo V de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud .

11 Art. 79.8 RDL 1/2015, de 24 julio: […] No será necesario el consentimiento del interesado para el tratamiento y la cesión de datos que sean consecuencia de la implantación de sistemas de información basados en receta médica en soporte papel o electrónico, de conformidad con lo dispuesto en los artículos 7, apartados 3 y 6; 8; y 11, apartado 2.a), de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Las citadas actuaciones deberán tener por finalidad facilitar la asistencia médica y farmacéutica al paciente y permitir el control de la prestación farmacéutica del Sistema Nacional de Salud. Pueden consultarse, asimismo, los arts. 6 y ss. del Real Decreto sobre receta médica y órdenes de dispensación, de 17 diciembre de 2010, nº 1718/2010 (España), dedicados a la recete médica electrónica oficial del Sistema Nacional de Salud.

12 U. Aberasturi Gorriño, ob. cit., pp. 29 y ss. considera la historia clínica electrónica como un paso necesario para que la información fluya de manera rápida, segura y sencilla; permitiendo, además, incluir cualquier información de salud del individuo, no solo la generada por el sistema sanitario (información de tipo social, hábitos de salud…), pudiendo cooperar a ello el propio paciente. Por otra parte, considera este autor que en el posible conflicto entre TIC y manipulación de información sanitaria y el derecho a la autodeterminación informativa, debe adoptarse una postura flexible en la interpretación de las normas sobre protección de datos sanitarios, atendiendo a las circunstancias que concurran en cada caso. J. Valero Torrijos, « Acceso, reutilización y gestión avanzada de la información sanitaria en el ámbito de la Administración sanitaria: implicaciones jurídicas desde la perspectiva de la innovación tecnológica », en J. Valero Torrijos, M. Fernández Salmerón, Régimen jurídico de la transparencia del sector público. Del derecho de acceso a la reutilización de la información, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2014, pp. 635 y ss., destaca igualmente la importancia del soporte electrónico de la historia clínica para permitir el acceso inmediato a la información. Pero, sobre todo, pone el acento este autor en el uso de las TIC para facilitar un modelo innovador de gestión de la información caracterizado, entre otros aspectos, por el carácter masivo en el tratamiento de la información, la aparición de nuevos protagonistas (el usuario y la intermediación de base tecnológica), o el uso avanzado de medios electrónicos para desvincular los datos del documento original en que se contengan (de manera que solo se pongan a disposición de terceros aquellos datos estrictamente necesarios para el ejercicio de sus funciones o la satisfacción de sus intereses legítimos).

13 Esta norma entra en vigor el 2 de octubre de 2016. Tradicionalmente el derecho de acceso a la información pública se ha regulado en el art. 37 de la Ley de régimen jurídico de las administraciones públicas y del procedimiento administrativo común, de 26 de noviembre de 1992, nº 30/1992 (España).

14 Sobre la dificultad de determinar cuándo estamos ante una fundación del sector público y la aplicación de la Ley a las fundaciones públicas sanitarias, vid. C. Barrero, « Transparencia: ámbito subjetivo », en E. Guichot (coord.), Transparencia, acceso a la información pública y buen gobierno, Tecnos, Madrid, 2014, pp. 82 y ss.

15 Y que se reducía básicamente al ya citado art. 37 de la Ley de régimen jurídico de las administraciones públicas y del procedimiento administrativo común, de 26 de noviembre de 1992, nº 30/1992 (España). Vid. E. Guichot, « El sentido, el contexto y la tramitación de la Ley de transparencia, acceso a la información pública y buen gobierno », en E. Guichot (coord.), Transparencia, acceso a la información pública y buen gobierno, Tecnos, Madrid, 2014, pp. 19 y ss.

16 Destaca, entre otros, R. Martínez, « De la opacidad a la casa de cristal. El conflicto entre privacidad y transparencia », en J. Valero Torrijos, M. Fernández Salmerón, Régimen jurídico de la transparencia del sector público. Del derecho de acceso a la reutilización de la información, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2014, pp. 241 y ss., el riesgo de una aproximación excesivamente literal o lineal al derecho a la protección de datos personales que se convierta en un obstáculo para la transparencia. Y señala en esta línea que los expertos en protección de datos deben de ser capaces de recomendar metodologías que, salvaguardando al máximo la privacidad, faciliten la publicación de la información, así como de abordar casos difíciles en los que pueda prevalecer el derecho a la protección de datos.

17 Señala E. Guichot, « Límites a la transparencia y el acceso a la información », en E. Guichot (coord.), Transparencia, acceso a la información pública y buen gobierno, Tecnos, Madrid, 2014, p. 132, que la opción del legislador es acorde con la Ley de protección de datos, pero demasiado positivista, pudiendo haberse acogido, por ejemplo en el caso de salud o de sanciones, un criterio último de ponderación con el interés público en la divulgación. Con anterioridad a la aprobación de la Ley de transparencia, U. Aberasturi Gorriño, I. Lasagabaster Herrarte, « La cesión de datos de salud fuera del ámbito sanitario. Análisis de supuestos concretos en que la información sanitaria se transmite para el cumplimiento de fines distintos al de la protección de la salud de las personas », Revista Vasca de Administración Pública, nº 91, septiembre-diciembre 2011, pp. 91 y ss., consideraban que el derecho a la autodeterminación informativa no puede constituir sin más un límite al derecho de acceso en el ámbito sanitario y que debía ponderarse caso por caso en aquellos supuestos en que la disociación desvirtuara el derecho de acceso (adoptando medidas adicionales de protección de la intimidad de las personas).

18 El art. 3.j de la Ley orgánica de protección de datos de carácter personal, de 13 de diciembre de 1999, nº 15/1999 (España) define el procedimiento de disociación como: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable ; y como dato de carácter personal, a la información concerniente a personas físicas identificadas o identificables (art. 3.a). El Reglamento de desarrollo de la Ley de protección de datos (Real Decreto nº 1720/2007, 21 de diciembre 2007, España), también recoge las definiciones de procedimiento de disociación (todo tratamiento de datos personales que permita la obtención de datos disociados, art. 5.1.p) y de dato disociado (aquél que no permite la identificación de un afectado o interesado, art. 5.1.e). Y en el ámbito de los datos de salud, la Ley de investigación biomédica (Ley 14/2007, de 3 de julio de 2007, España) distingue en su art. 3 entre dato anónimo (registrado sin nexo con una persona física identificada o identificable), anonimizado o irreversiblemente disociado (cuando se ha destruido el nexo con una persona identificada o identificable o asociarlo exige un esfuerzo no razonable) y dato codificado o reversiblemente disociado (no asociado a un persona física identificada o identificable por haberse sustituido su identificación por un código).

19 El Considerando 26 de la Directiva 95/46/CE señala que los principios de protección de datos no serán aplicables a los que se hayan hecho anónimos, de manera que no sea posible identificar al interesado. Vid. C. Gómez Piqueras, « Disociación/Anonimización de los datos de salud », Revista Derecho y Salud, Vol. 18, nº 1, enero-junio 2009, pp. 47, 48.

20 Vid. las referencias contenidas en las dos notas anteriores. Igualmente, el art. 3 de la Ley de investigación biomédica española considera la anonimización como el proceso por el cual deja de ser posible establecer por medios razonables el nexo entre un dato y el sujeto al que se refiere. Así lo señala también R. Martínez, ob. cit., pp. 250, 270 y ss., a la vista de la Directiva 95/46/CE y de los dictámenes del Grupo de Trabajo del Artículo 29 (al que se hará referencia inmediatamente): para que se pueda hablar de datos anónimos es necesario que la información relativa a una persona física no permita su identificación por el responsable del tratamiento de los datos o por cualquier otra persona (en nuestro caso, la identificación ya no es posible por quienes acceden a la información pública), teniendo en cuenta el conjunto de medios que puedan razonablemente ser utilizados por el responsable del tratamiento o por cualquier otra persona. Destaca, asimismo, este autor la importancia para el desarrollo de la transparencia, entre otras, de estrategias de anonimización.

21 WP 216. Accesible en :

[http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/].

22 Se señala en el documento que Una solución de anonimización eficaz impide a todos singularizar a una persona en un conjunto de datos, vincular dos registros en un conjunto de datos (o dos registros pertenecientes a conjuntos diferentes) e inferir cualquier tipo de información a partir de dicho conjunto. En definitiva, como norma general, no basta con eliminar los elementos que pueden servir para identificar directamente a una persona para garantizar que ya no se puede identificar al interesado. Con frecuencia habrá que tomar medidas adicionales para evitar dicha identificación, las cuales dependerán una vez más del contexto y de los fines del tratamiento de que van a ser objeto los datos (apartado 2.2.2). Para el Grupo, si la solución de anonimización adoptada no cumple con alguno de los criterios señalados que la hacen eficaz, deberán de evaluarse exhaustivamente los riesgos de identificación; además, la evaluación de riesgos residuales debe hacerse de forma regular, incluso una vez publicados los datos.

23 El nuevo Reglamento europeo de protección de datos personales (Reglamento UE 2016/679, de 27 de abril de 2016), al que posteriormente nos referiremos, define la seudonimización como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable . La seudonimización pretende reducir los riesgos para los interesados (no excluir la aplicación de otras reglas de protección de datos) y ayudar a los responsables a cumplir con sus obligaciones en la materia. Por lo tanto, no se trata de una auténtica anonimización, aunque más adelante se analizará su relevancia en el ámbito de la protección de datos de salud.

24 E. Guichot, « Límites a la transparencia y el acceso a la información », ob. cit., pp. 133, 141, pone como ejemplo el de la publicidad de subvenciones asociadas al apoyo a las personas con discapacidades o enfermedades). Considera, por otra parte, este autor que en este caso también debería aplicarse la excepción de que una ley prevea la publicidad (ej. previsión legal de de publicidad de listados de maltratadores o defraudadores).

25 Real Decreto de 24 de octubre de 2001, nº 1495/2011, por el que se desarrolla la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público, para el ámbito del sector público estatal (España).

26 Directiva 2003/98/CE, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público (DOUE L345/90, 31.12.2003).

27 Preámbulo de la Ley de 19 de julio de 2015, nº 18/2015, por la que se modifica la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público. Con esta Ley del año 2015 se pretende incorporar al ordenamiento jurídico español las modificaciones introducidas en el régimen de la reutilización por la Directiva 2013/37/UE, de 26 de junio de 2013, por la que se modifica la Directiva 2003/98/CE relativa a la reutilización de la información del sector público (DOUE L 175/1, 27.6.2013).

28 Art. 5.4 Ley transparencia: La información sujeta a las obligaciones de transparencia será publicada en las correspondientes sedes electrónicas o páginas web y de una manera clara, estructurada y entendible para los interesados y, preferiblemente, en formatos reutilizables. Se establecerán los mecanismos adecuados para facilitar la accesibilidad, la interoperabilidad, la calidad y la reutilización de la información publicada así como su identificación y localización. Y en cuanto a los principios técnicos, el art. 11.c establece el de reutilización, disponiendo que se fomentará que la información sea publicada en formatos que permita su reutilización, de acuerdo con lo previsto en la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público y en su normativa de desarrollo.

29 Vid. también el art. 11 del Reglamento de desarrollo de la Ley de reutilización para el sector público estatal (Real Decreto de 24 de octubre de 2001, nº 1495/2011).

30 También la Ley de transparencia dispone en el art. 15.5 que la normativa de protección de datos personales será de aplicación al tratamiento posterior de los obtenidos a través del ejercicio del derecho de acceso. Como señala R. Martínez, ob. cit., pp. 256 y ss., más allá de principios como el de proporcionalidad o finalidad, la reutilización de datos personales obtenidos por medio de información pública conduce al principio de interés legítimo como fuente de legitimación.

31 Presenta también gran interés en la materia la regulación del tratamiento de datos realizado por la Ley de investigación biomédica española (Ley de 3 de julio de 2007, nº 14/2007, entre otros, en su art. 5). Sobre uso de la información y en relación con una norma analizada anteriormente, la Ley de garantías y uso racional de los medicamentos y productos sanitarios, puede verse su art. 106, que dispone que: La información agregada resultante del procesamiento de las recetas del Sistema Nacional de Salud, incluyendo las de la Mutualidad de Funcionarios de la Administración Civil del Estado, las de la Mutualidad General Judicial y las de Instituto Social de las Fuerzas Armadas, es de dominio público, salvando siempre la confidencialidad de la asistencia sanitaria y de los datos comerciales de empresas individualizadas. Puede consultarse más ampliamente sobre la normativa (sanitaria y de protección de datos) en materia de tratamiento datos sanitarios, U. Aberasturi Gorriño, ob. cit., pp. 41 y ss.

32 Igualmente, el art. 6 de la Ley de autonomía del paciente reconoce el derecho a la información epidemiológica en los siguientes términos: Los ciudadanos tienen derecho a conocer los problemas sanitarios de la colectividad cuando impliquen un riesgo para la salud pública o para su salud individual, y el derecho a que esta información se difunda en términos verdaderos, comprensibles y adecuados para la protección de la salud, de acuerdo con lo establecido por la Ley.

33 Destaca el papel esencial que para este tipo de actuaciones juegan los sistemas de tratamiento y gestión de la información N. De Miguel Sánchez, Tratamiento de datos personales en el ámbito sanitario: intimidad versus interés público, Tirant lo Blanch, Valencia, 2004, p. 49.

34 En los términos establecidos en el art. 41 Ley general de salud pública: […] 2. Las Administraciones sanitarias no precisarán obtener el consentimiento de las personas afectadas para el tratamiento de datos personales, relacionados con la salud, así como su cesión a otras Administraciones públicas sanitarias, cuando ello sea estrictamente necesario para la tutela de la salud de la población. 3. A los efectos indicados en los dos apartados anteriores, las personas públicas o privadas cederán a la autoridad sanitaria, cuando así se las requiera, los datos de carácter personal que resulten imprescindibles para la toma de decisiones en salud pública, de conformidad con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. En cualquier caso, el acceso a las historias clínicas por razones epidemiológicas y de salud pública se someterá a lo dispuesto en el apartado 3 del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica .

35 Con base, entre otros, en este precepto, la Agencia Española de Protección de Datos consideró amparada legalmente la cesión de datos relativos a diversos tumores, incluidos datos identificativos de los pacientes (sin necesidad de su consentimiento), desde laboratorios de anatomía patológica para ser incorporados a un Registro de cáncer creado por la Comunidad Autónoma. Considera la Agencia que la necesidad de conocer datos tales como la supervivencia o la evaluación clínica, entre otros aspectos, parece requerir el conocimiento y la incorporación a los citados registros de datos identificativos de los pacientes, viniendo así a constituir un supuesto encuadrable en lo previsto en el último párrafo del artículo 16.3 de Ley de autonomía del paciente; si bien, con base en el principio de calidad de los datos, se debían únicamente ceder los estrictamente necesarios para el cumplimiento de la finalidad pretendida. Informe 0262/2011, accesible en: [http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/datos_esp_protegidos/common/pdfs/2011-0262_Cesi-oo-n-de-datos-a-Registro-de-c-aa-ncer.pdf]. Como señala U. Aberasturi Gorriño, ob. cit., pp. 238 y ss., la normativa sanitaria habilita en numerosas ocasiones la cesión de datos de salud sin consentimiento del afectado, con el fin de proteger la salud pública. Ahora bien, la excepción prevista en el art. 16.3 Ley autonomía paciente no se aplica a todo estudio epidemiológico, sino que habrá que atender al bien jurídico que se protege con la investigación y a las características particulares de los datos que se pretenden tratar. Por su parte, J. Valero Torrijos, ob. cit., p. 650 destaca que el carácter restrictivo de este precepto supone en última instancia un importante impedimento a la hora de facilitar su interconexión con otras bases de datos.

36 Para un mayor desarrollo del tema vid. U. Aberasturi Gorriño, ob. cit., pp. 115 y ss.; N. De Miguel Sánchez, Tratamiento de datos personales en el ámbito sanitario…cit., pp. 57 y ss., y en « Datos de carácter personal relativos a la salud: una obligada remisión a la normativa del sector sanitario », en A. Troncoso Reigada, Comentario a la Ley orgánica de protección de datos de carácter personal, Civitas-Thomson Reuters, Cizur Menor (Navarra), 2010, pp. 709 y ss.; J.M. López Ulla, « El consentimiento del afectado en el tratamiento de datos relativos a la salud », en A. Troncoso Reigada, Comentario a la Ley orgánica de protección de datos de carácter personal, Civitas-Thomson Reuters, Cizur Menor (Navarra), 2010, pp. 671 y ss.

37 Señala C. Gómez Piqueras, ob. cit., p. 49, que la legislación española no ha desarrollado las garantías que se requerirían para tratar los datos con finalidades científicas, aunque, por ejemplo, se hubiesen recabado para el tratamiento y diagnóstico médico.

38 I. Ibáñez García, Comentario a los artículos 12 a 17, en E. De La Nuez Sánchez-Casado, E. Tarín Quirós (coords.), Transparencia y buen gobierno. Comentarios a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno, La Ley, Madrid, 2014, pp. 328 y ss. Critica E. Guichot, Transparencia y buen gobierno. Estudio y ley, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2014, pp. 19 y ss., la excesiva influencia del informe de la Agencia española de protección de datos en la regulación de esta cuestión en la Ley de transparencia, lo que ha producido importantes distorsiones en el entendimiento del derecho de acceso.

39 El propio art. 8 Ley protección de datos legitima el tratamiento por las instituciones y centros sanitarios públicos y privados y los profesionales de los datos de salud de las personas que a ellos acudan o hayan de ser tratados, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad. Remisiones a la normativa sanitaria que también se contienen, como hemos visto, a propósito de la cesión de datos en los arts. 11.2.f Ley de protección de datos y art. 10.5 Reglamento de protección de datos. Vid. en este sentido, N. De Miguel Asensio, « Datos de carácter personal relativos a la salud: una obligada remisión a la normativa del sector sanitario », ob. cit., pp. 709 y ss. Considera esta autora que un análisis comparativo de la Ley de autonomía del paciente y de la Ley de protección de datos personales pone de manifiesto, por un lado, la especialidad del régimen establecido en la primera respecto de la segunda; y, por otro, la delimitación de un marco más restrictivo para el acceso a la historia clínica cuando el fin no es asistencial (pp. 725 y ss.).

40 A diferencia de la Directiva, que no lo hacía, aunque se incorpora en la definición el trabajo ya realizado por los Dictámenes del Grupo de Trabajo del Artículo 29 o en Sentencias del Tribunal de Justicia de la UE, entre otros. El art. 4.15) Reglamento define los datos de salud como datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud (el considerando 35 precisa el tipo de información que se debe considerar incluida en esta definición de una forma bastante amplia). También se incorpora un concepto para los datos genéticos (apartado 13, del art. 4).

41 Un análisis detallado de la regulación de los datos de salud en la Propuesta de Reglamento puede consultarse en J.M. Pérez Gómez, « La protección de los datos de salud », en A. Rallo Lombarte, R. García Mahamut (coords.), Hacia un nuevo derecho europeo de protección de datos, Tirant lo Blanch, Valencia, 2015, pp. 629 y ss.

42 Se trata de un precepto que no estaba presente en la propuesta originaria de Reglamento de enero de 2012, y que se introdujo mediante enmienda del Parlamento europeo en el año 2014. Otro precepto introducido también con posterioridad y que se expresaba en términos similares respecto a la conciliación del derecho a la protección de datos personales con la reutilización de la información del sector público finalmente fue suprimido del texto de Reglamento definitivo. No obstante, la referencia a la reutilización se encuentra en el considerando 154 que habla de la necesidad de conciliar el derecho de acceso y la reutilización de la información del sector público con la protección de datos personales.

43 Aclara el Reglamento en su considerando 54 que en este contexto el término salud pública debe interpretarse conforme a la definición del Reglamento (CE) nº 1338/2008, esto es, todos los elementos relacionados con la salud (el estado de salud, determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, el acceso universal a la misma, gastos y financiación de la asistencia sanitaria…), lo que amplía enormemente el ámbito en el que se enmarca la excepción prevista en el Reglamento. También aclara que ello no debe conllevar que terceros (como aseguradoras, bancos…) sometan a tratamiento estos datos personales.

44 Además, el art. 5.e del Reglamento permite períodos más largos de conservación de los datos cuando vayan a utilizarse exclusivamente con estos fines (y bajo las condiciones establecidas en el art. 89).

45 Así, por ejemplo, entre las enmiendas introducidas por el Parlamento europeo al texto de la propuesta en marzo de 2014, algunas iban dirigidas a reforzar las garantías en el tratamiento de los datos de salud y darle una mayor participación al consentimiento del interesado, por ejemplo, para el tratamiento con fines de investigación.

46 Vid., entre otros, C.M. Romeo Casabona, « La protección de datos de salud en la investigación médica », en A.A.V.V., Protección de datos e investigación médica, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2009, pp. 49 y ss.; M. M. Serrano Pérez, « Salud pública, epidemiología y protección de datos », en A. Palomar Olmeda, J. Cantero Martínez, Tratado de Derecho Sanitario, Vol. II, Thomson Reuters-Aranzadi, Cizur Menor (Navarra), 2013, pp. 1095 y ss. Como señala esta autora, en materia de epidemiología no siempre el trabajo con datos anónimos es aconsejable, ya que se obtendría un resultado incompleto y sesgado (ej., cuando sea necesario conocer la evolución del paciente para hacer un seguimiento de la enfermedad y ofrecer resultados valiosos); otra cosa sería la publicación de los resultados que, como regla general, debe ser anónima, salvo con el consentimiento expreso del paciente (p. 1105).

47 En particular, señala el considerando en el contexto de la gestión de los servicios y sistemas sanitarios o de protección social, incluido el tratamiento de esos datos por las autoridades gestoras de la sanidad y las autoridades sanitarias nacionales centrales con fines de control de calidad, gestión de la información y supervisión general nacional y local del sistema sanitario o de protección social, y garantía de la continuidad de la asistencia sanitaria o la protección social y la asistencia sanitaria transfronteriza o fines de seguridad, supervisión y alerta sanitaria, o con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, basados en el Derecho de la Unión o del Estado miembro que ha de cumplir un objetivo de interés público, así como para estudios realizados en interés público en el ámbito de la salud pública .

48 Partiendo de registros, los resultados de las investigaciones pueden ser más sólidos, ya que se basan en una población mayor. Dentro de las ciencias sociales, la investigación basada en registros permite que los investigadores obtengan conocimientos esenciales acerca de la correlación a largo plazo, con otras condiciones de vida, de diversas condiciones sociales, como el desempleo y la educación. Los resultados de investigaciones obtenidos de registros proporcionan conocimientos sólidos y de alta calidad que pueden servir de base para la concepción y ejecución de políticas basada en el conocimiento, mejorar la calidad de vida de numerosas personas y mejorar la eficiencia de los servicios sociales.

49 J. Valero Torrijos, ob. cit., pp. 650 y ss. El desafío jurídico, según este autor, radica entonces en que este tratamiento avanzado de datos en que consiste la descontextualización no implique la pérdida de la información relevante a la hora de determinar su origen y, por tanto, aplicar las limitaciones en cuanto a accesos y usos posteriores, todo ello sin identificar al titular de la información, cuando esta posibilidad no sea lícita. Igualmente señala el autor que, al carecer de utilidad los datos aislados, resulta imprescindible vincularlos con otros obtenidos de otras fuentes y proveedores de información. La información no puede almacenarse en compartimentos estancos sino que, antes al contrario, ha de ser gestionada con criterios de apertura -open data-, accesibilidad por medios telemáticos y estándares tecnológicos de gestión que permitan su tratamiento automatizado. Lo que, como también señala, implica superar la tradicional dicotomía entre paciente y prestador de servicios, con las dificultades añadidas que esto supone.

50 Así lo indica J. Valero Torrijos, ob. cit., pp. 654 y ss., quien destaca las garantías que se deben adoptar en cuanto a las condiciones tecnológicas de acceso o el reforzamiento de la posición jurídica del titular de los datos. Como señala este autor, las políticas de apertura de los datos sanitarios en poder de las Administraciones tienen que resultar compatibles con las exigencias de anonimato y, por tanto, requieren el rediseño de las aplicaciones utilizadas para la gestión administrativa y la prestación de los servicios sanitarios desde parámetros avanzados, más allá de las exigencias técnicas de seguridad e interoperabilidad impuestas por la normativa sobre administración electrónica. Destaca, asimismo, el papel central que está llamado a jugar el paciente en este nuevo modelo, en cuanto a la gestión de sus datos de salud y como mecanismo de control. Y que, en última instancia, el planteamiento a favor de la innovación no puede suponer un perjuicio para el paciente, tanto en lo que se refiere a la calidad de los servicios prestados, como en el respeto a sus derechos.

51 En este sentido, J. Valero Torrijos, ob. cit., pp. 662 y ss., quien señala, entre otras, que sea susceptible de tratamiento automatizado por parte del reutilizador o que no se impongan restricciones injustificadas por lo que respecta a los fines de los usos posteriores. Como destaca este autor, la accesibilidad de la información sanitaria y de salud en poder de las Administraciones se plantea como una oportunidad de ejercer un menor control social sobre las mismas.

52 Dispone, entre otras cuestiones, este precepto que se asegurará en todo caso la posibilidad de trasladar los datos a otros formatos y soportes que garanticen el acceso desde diferentes aplicaciones. Como señala Z. Sánchez Sánchez, « Las nuevas leyes de régimen jurídico y procedimiento administrativo: afianzamiento de las administración electrónica en las relaciones internas de la administración con los ciudadanos », en R. Rivero Ortega, M.D. Calvo Sánchez, M. Fernando Pablo, Instituciones de procedimiento administrativo común. Novedades de la Ley 39/2015, ed. Juruá, Lisboa, 2016, p. 52, con ello se avanza en las exigencias del open data, que afectan de manera directa al derecho de acceso a la información. Por otra parte, hay que tener en cuenta que la nueva Ley de procedimiento administrativo entra en vigor en octubre de 2016, si bien conforme a la disposición transitoria segunda y la disposición final séptima para los archivos electrónicos únicos se establece un proceso gradual de adaptación.

53 Más allá de la información que se publica en el Portal Estadístico del Sistema Nacional de Salud (sistema de información del Sistema Nacional de Salud), accesible en:

[http://www.msssi.gob.es/estadEstudios/estadisticas/sisInfSanSNS/home.htm].

En España, no obstante, el hecho de que la prestación y gestión de los servicios sanitarios se encuentre descentralizada territorialmente, tal y como se ha apuntado anteriormente en este trabajo, dificulta una gestión avanzada de la información sanitaria. Así lo ponen de manifiesto, entre otros, J. Valero Torrijos, ob. cit., p. 664.

54 M.M. Serrano Pérez, « Big data o la acumulación masiva de datos sanitarios: derechos en riesgo en el marco de la sociedad digital », Revista Derecho y Salud, nº 25, 2015, pp. 55 y ss., critica la forma en la que se ha implementado el proyecto, entre otros, por la inconcreción de ciertos aspectos por parte de la Resolución que lo pone en marcha (Resolución de 16 de marzo de 2015, por la que se hace público un encargo de gestión que formalizan el Departamento de Salud, el Servicio Catalán de la Salud y el Instituto Catalán de la Salud con la Agencia de Calidad y Evaluación Sanitarias de Cataluña – AQuAS –). Puede consultarse información al respecto en la web de la AQuAS, ente encargado de la ejecución del proyecto:

[http://aquas.gencat.cat/ca/projectes/analitica_dades/].

Por otra parte, con base en este proyecto, desde junio de 2015 se han cedido datos anonimizados a centros de investigación públicos mediante la firma de convenios de cesión de información.

55 Datos anonimizados de pacientes, que podrían combinarse eventualmente con otros datos (meteorológicos, sociodemográficos…). Puede consultarse información acerca del proyecto en:

[http://www.fujitsu.com/es/about/resources/news/press-releases/2016/spain-fujitsu-presenta-los-primeros-resultados-del-proyecto.html].