LEY DE PROTECCIÓN DE DATOS

CONTENIDO

LOPD. Obligaciones de los profesionales y centros asistenciales u hospitalarios

01 | OBLIGACIONES PREVIAS AL TRATAMIENTO DE LOS DATOS

02 | OBLIGACIONES A CUMPLIR DURANTE EL TRATAMIENTO DE LOS DATOS

 Recordemos que el Responsable del Fichero o Tratamiento es la persona
física o jurídica que, en relación a los datos que recoge, decide sobre la
finalidad, contenido y uso de los mismos.

Esta figura, en el sector sanitario, será el médico (cuando ejerza su

actividad a título meramente privado) o el centro u hospital, cuando
recaiga en el mismo la figura de Responsable del Fichero que ha de
recabar datos para desempeñar su actividad.

Comencemos, pues, a conocer cuáles son esas obligaciones:

INTRODUCCIÓN Obligaciones previas al tratamiento de los datos

Estas obligaciones son, básicamente, la declaración de los
ficheros tanto de titularidad pública como privada y la inscripción
Conociendo ya lo que es el derecho a la protección de los datos
de los mismos.
y las figuras fundamentales que intervienen en el panorama
de este derecho fundamental, vamos ahora a comenzar por el Notificación de los ficheros
análisis de las obligaciones que impone la LOPD y su Reglamento
¿En qué consiste la notificación de ficheros?
de desarrollo para aquellas Entidades Públicas o Privadas que
posean ficheros con datos de carácter personal. La notificación de los ficheros es el procedimiento mediante el
cual se informa a la Agencia Española de Protección de Datos
Para poder examinar cuáles son estas obligaciones, cuyo
de la existencia de un fichero de datos, con el fin de que tras
cumplimiento recaen en el Responsable del Fichero o Tratamiento,
haberse comprobado que cumple con los requisitos legalmente
vamos a distinguir entre aquellas que deberá observar con
establecidos, se acuerde su inscripción en el Registro General de
carácter previo al tratamiento de los datos y las que deberá tener
Protección de Datos.
en cuenta posteriormente, las cuales, como veremos, encuentran
en muchos casos su fundamento en el cumplimiento de una serie
de principios.
01
¿A quién incumbe la obligación de notificación?
Teniendo en cuenta que, tal y como ya se indicó, la forma de
creación de los ficheros de titularidad pública es distinta a la de
los ficheros de titularidad privada (los primeros se crean en virtud
de una norma o acuerdo que deberá ser publicado en el diario
oficial que corresponda, en tanto que los segundos se crean por
una simple decisión), la obligación notificar los ficheros de uno u
otro tipo es diferente. Así:
Los ficheros de titularidad pública deberán ser notificados por el
órgano competente de la Administración que sea responsable del
Fichero para ser inscrito en el Registro General de Protección de
Datos, dentro del plazo de 30 a partir de la publicación de la norma
o acuerdo de creación en el diario oficial correspondiente.
Los ficheros de titularidad privada deben ser notificados por la
persona o entidad privada que pretenda crearlos con carácter
previo a su creación.
¿En qué consiste el procedimiento de notificación e
inscripción de ficheros?
El procedimiento atraviesa por las siguientes fases:
• Notificación
N del fichero, mediante la cumplimentación de un
formulario electrónico gratuito denominado NOTA, que se
descarga desde la página web de la Agencia.
• Tras
T la cumplimentación del formulario NOTA, éste deberá
ser enviado a la AEPD por internet o se presentará el
formulario en papel directamente ante la Agencia.
• Si
S la notificación cumple la totalidad de los requisitos legales,
el Director de la AEPD, a propuesta del Registro General de
Protección de Datos acordará la inscripción del fichero y le
asignará el correspondiente código de inscripción.
• Si
S la documentación aportada para la inscripción no contuviera
los requisitos legales correspondientes, el Director de la
AEPD, a propuesta del Registro General de Protección de
Datos, dictará resolución denegando la inscripción.
• Si
S en el plazo de un mes el Director de la AEPD no hubiera
dictado una resolución expresa acerca de la inscripción del
fichero, éste se considerará inscrito a todos los efectos.
02
 Este principio se recoge en el artículo 5 de la LOPD, cuyo texto
inicial señala que:

“Los interesados a los que se soliciten datos personales, deberán

ser previamente informados de modo expreso, preciso e inequívoco
de:

• La
L existencia de un fichero o tratamiento de datos de carácter
personal.

• La
L finalidad de la recogida de los datos.

OBLIGACIONES A CUMPLIR DURANTE EL TRATAMIENTO • Los

L destinatarios de la información.

DE LOS DATOS L posibilidad de ejercer los derechos de acceso, rectificación,

• La
cancelación u oposición.

El cumplimiento de las obligaciones que el Responsable del • El

E carácter obligatorio o facultativo de la respuesta de los
Fichero deberá tener en cuenta durante el tratamiento de los interesados a las preguntas que les sean planteadas.
datos son, básicamente, las siguientes:
• Las
L consecuencias de la obtención de los datos o de la
Información negativa a suministrarlos”.

Concepto: Se trata de un principio que la Ley obliga a cumplir con

carácter previo a la recogida de datos del interesado.

El deber de información se traduce en el derecho de los interesados

a conocer qué datos sobre su salud van a ser recogidos e
incorporados al correspondiente fichero.

03
Como podemos ver, en el cumplimiento de este principio,
intervienen tanto el Responsable del Fichero, que va a recabar los
datos, como los propios interesados, ya que:
• A
Al Responsable del Fichero le corresponde articular el
sistema que permita informar a los interesados.
• L
Los interesados tienen que participar en la medida requerida
por el Responsable para garantizar el cumplimiento de esta
obligación con carácter previo a facilitar sus datos y a la
prestación de su consentimiento para tratarlos.
En virtud, pues, del principio de información, sólo cuando el
interesado ha sido informado de forma expresa, precisa e
inequívoca de la finalidad de la recogida de sus datos, podrá decidir
si quiere que los mismos sean tratados y estén almacenados o
incorporados en un fichero y se puedan utilizar para la finalidad
que de la que se ha informado.
¿Cómo se debe facilitar al interesado o afectado los extremos
relativos al principio de información que hemos citado?
Como se ha señalado antes, el artículo 5 LOPD únicamente indica
que la información debe facilitarse de forma expresa, precisa e
inequívoca, pero no regula el medio concreto a través del cual
deberá proporcionarse.
Esta laguna de la Ley la resuelve el Reglamento de desarrollo de
la misma, al disponer que:
“El deber de información al que se refiere el artículo 5 de la LOPD
deberá llevarse a cabo a través de un medio que permita acreditar su
cumplimiento, debiendo conservarse mientras persista el tratamiento
de los datos del afectado.
El responsable del fichero o tratamiento deberá conservar el
soporte en el que conste el cumplimiento del deber de informar.
Para el almacenamiento de los soportes, el responsable del fichero
o tratamiento podrá utilizar medios informáticos o telemáticos.
En particular, podrá proceder al escaneado de la documentación
en soporte papel, siempre y cuando se garantice que en dicha
automatización no ha mediado alteración alguna de los soportes
originales”.
04
En definitiva, el cumplimiento del deber de informar debe poder
acreditarse y conservarse en un soporte, ya sea automatizado o
en papel.
Ello significa que para acreditar que efectivamente se ha
informado, deberá constar por escrito (con la firma del afectado),
siendo también admisible una grabación en vídeo o medio similar
que permita acreditar su cumplimiento.
No obstante, la Agencia Española de Protección de Datos ha
señalado que el cumplimiento del deber de información se
cumple de manera suficiente mediante la existencia de un cartel
anunciador, que esté colocado en un lugar claramente visible por
el interesado.
Ámbito temporal del deber de información
A diferencia de lo que se entiende por consentimiento informado
en la práctica asistencial, sobre el que hablaremos en la segunda
parte de esta formación, cuyo cumplimiento deberá observarse
sistemáticamente en todos y en cada uno de los supuestos de
actuaciones en el ámbito de la salud en los que legalmente es
exigible, facilitándose la información clínica concerniente a cada
nuevo acto médico, el cumplimiento del deber de información en
la recogida de datos debe llevarse a cabo una única vez cuando el
paciente tiene acogida en el centro u hospital en el que va a recibir
atención sanitaria.
CONSENTIMIENTO
Concepto
El consentimiento es la piedra angular sobre la que se asienta
toda la normativa en materia de protección de datos de carácter
personal.
La LOPD define el consentimiento como toda manifestación de
voluntad, libre, inequívoca, específica e informada, mediante la
que el interesado consienta el tratamiento de los datos personales
que le conciernen.
La regla general en materia de consentimiento, se establece en
el artículo 6.1 LOPD, cuando señala que: “El tratamiento de los
datos de carácter personal requerirá el consentimiento inequívoco
del afectado, salvo que la ley disponga otra cosa”.
Clases de consentimiento
La LOPD se refiere a dos de consentimiento:
• Tácito: Se deriva de la falta de actuación del interesado (en
el ámbito sanitario, del paciente), de su silencio. A modo
de ejemplo,se manda una comunicación a los pacientes de
la clínica en la que se les indica que salvo que manifiesten
lo contrario, sus datos van a ser tratados con determinada
finalidad.
05
 • Expreso: Exige que se declare de forma clara e inequívoca por
parte del interesado que acepta o consiente el tratamiento
de sus datos para una finalidad, mediante la expresión de su
voluntad, que podrá ser por escrito, verbalmente, mediante
comunicación telemática o por cualquier otro medio.
Consentimiento exigido en cada caso
L Regla General es que es válido el consentimiento tácito.
• La
• Si
S se trata de datos especialmente protegidos (a los que ya
hemos hecho referencia), debemos distinguir:
- Si se trata de datos relativos a la Salud, Origen racial o Vida
sexual, el consentimiento deberá ser siempre expreso.
- Si se trata de datos de ideología, afiliación sindical, religión y
creencias: expreso y por escrito.
La realidad es que en la práctica asistencial diaria, la acreditación
por parte del centro asistencial o de la clínica de que se ha recabado
el consentimiento correspondiente sólo podrá realizarse mediante
la conservación de la documentación en la que conste la firma de
los pacientes, lo que implicará un consentimiento expreso y por
escrito.
El consentimiento en el tratamiento de los datos de salud
El artículo 7.3 de la LOPD señala, en cuanto a los datos de salud,
que sólo podrán ser recabados, tratados y cedidos cuando así lo
disponga una ley o el afectado lo consienta expresamente.
Sin embargo, el mismo precepto establece una excepción a esa
regla general, al disponer en su apartado 6 que pueden ser objeto
de tratamiento los datos de salud sin consentimiento:
• C
Cuando resulte necesario para la prevención o para el
diagnóstico médico.
• L
La prestación de asistencia sanitaria o tratamientos médicos.
• L
La gestión de servicios sanitarios, siempre que dicho
tratamiento se realice:
- Por un profesional sanitario sujeto al secreto profesional.
- Por otra persona sujeta asimismo a una obligación equivalente
de secreto.
Parece evidente que en el ámbito de la asistencia sanitaria, tiene
razón de ser que el interesado consienta el tratamiento de sus
datos en función de la atención sanitaria que va a recibir y el hecho
de que se requiera que así lo disponga una ley,viene a reforzar la
protección de tales datos especialmente sensibles como son los
de salud.
06
Por su parte, la LOPD habilita a las instituciones y centros
sanitarios, tanto públicos como privados, para tratar los datos
relativos a la salud de las personas que a ellos acudan o hayan
de ser tratados en los mismos, de acuerdo con lo dispuesto en la
legislación estatal o autonómica sobre sanidad.
Ello implicaría que será suficiente con el consentimiento previo
que se deriva de la relación de los usuarios o pacientes con
los centros y profesionales sanitarios para permitir también
el tratamiento de tales datos sin necesidad de que presten un
consentimiento específico, al dar por sentado que la presencia del
mismo en tales centros hospitalarios persiguiendo una finalidad
de asistencia sanitaria y consintiendo en ello se extiende también
al tratamiento de datos sanitarios.
Finalmente, la LOPD añade que también pueden ser objeto de
tratamiento los datos de salud cuando:
• D
Dicho tratamiento sea necesario para salvaguardar el interés
vital del afectado o de otra persona, en el supuesto de que.
• E
El afectado esté física o jurídicamente incapacitado para dar
su consentimiento.
En este caso, puede verse claramente como la Ley hace prevalecer
el derecho a la vida sobre el derecho a la intimidad o la protección
de los datos personales, pues como el TC señaló “sin vida no hay
derecho a la intimidad”.
Calidad de los datos
Los tres primeros apartados del artículo 4 de la LOPD disponen
textualmente que:
L datos de carácter personal sólo se podrán recoger para
1. Los
su tratamiento, así como someterlos a dicho tratamiento,
cuando sean adecuados, pertinentes y no excesivos en
relación con el ámbito y las finalidades determinadas,
explícitas y legítimas para las que se hayan obtenido.
2. Los
L datos de carácter personal objeto de tratamiento no
podrán usarse para finalidades incompatibles con aquellas
para las que los datos hubieran sido recogidos. No se
considerará incompatible el tratamiento posterior de éstos
con fines históricos, estadísticos o científicos.
L datos de carácter personal serán exactos y puestos al día
3. Los
de forma que respondan con veracidad a la situación actual
del afectado.
07
Parece evidente que del contenido del artículo 4 de la LOPD La realidad es que para que un dato pueda ser considerado más
pueden distinguirse 3 principios diferentes que deben cumplirse o menos pertinente deberá ponerse necesariamente en relación
inexorablemente en el tratamiento de los datos. con la finalidad para la que los datos fueron recabados.

Por una parte, el principio de “finalidad” que impone que “los
datos de carácter personal objeto de tratamiento no podrán
usarse para finalidades incompatibles con aquellas para las que
los datos hubieran sido recogidos. No se considerará incompatible
el tratamiento posterior de éstos con fines históricos, estadísticos
o científicos”.
Por otra parte, el principio de “pertinencia”, que implica que
“los datos de carácter personal sólo se podrán recoger para su
tratamiento, así como someterlos a dicho tratamiento, cuando
sean adecuados, pertinentes y no excesivos en relación con el
ámbito y las finalidades determinadas, explícitas y legítimas para
las que se hayan obtenido”
Y, finalmente, el principio de “veracidad”, según el cual “los datos
de carácter personal serán exactos y puestos al día de forma que
respondan con veracidad a la situación actual del afectado”.
Y, por otra parte, los datos son pertinentes o no, para el
cumplimiento de una finalidad determinada.
Lo mismo puede decirse del principio de veracidad, ya que
para que los datos puedan cumplir con el fin para el que fueron
recabados es preciso que esos datos estén actualizados y que
respondan siempre a la realidad, pues iría en contra de la esencia
de la propia normativa el tratamiento datos de carácter personal
con un fin determinado si los mismos son erróneos.
Teniendo claro lo anterior y centrando el principio de calidad
de los datos en el principio de finalidad, la conclusión respecto
del mismo es que si la recogida de datos se realizó con una
finalidad determinada, cualquier tratamiento posterior que no
esté íntimamente relacionado con esos fines para los que fueron
suministrados o facilitados, es incompatible con la finalidad que
motivó la entrega.

Aunque, a priori, podría entenderse que cada uno de estos

principios presenta unas características y cometidos propios,
parece unánime la postura que defiende que los tres principios
girarían alrededor del de finalidad, como fundamental dentro del
marco regulador del derecho a la protección de los datos.

08
Deber de Secreto
El deber de secreto que incumbe cumplir tanto al Responsable del
Fichero como a cualquier persona que, por razón del trabajo que
desempeñe, representa o viene a ser la otra cara de la moneda del
derecho a que se mantenga la confidencialidad de los datos.
Este deber se recoge en el artículo 10 de la LOPD, al señalar que:
“El Responsable del Fichero y quienes intervengan en cualquier fase
del tratamiento de los datos de carácter personal están obligados al
secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones
con el titular del fichero o, en su caso, con el responsable del mismo”.
La observancia de este deber es de tan vital importancia que
el Código Penal tipifica como delito la revelación de secretos
profesionales.
Observar lo dispuesto en la normativa LOPD cuando
deba procederse a comunicar o ceder los datos
obrantes en los ficheros y regular los tratamientos
de datos por cuenta de terceros.
Esta obligación será objeto de análisis posteriormente, en un
epígrafe independiente.
Adoptar las medidas técnicas y organizativas que se
recogen en el Reglamento de desarrollo de la LOPD,
entre las que se incluyen la redacción del Documento
de Seguridad y realizar la correspondiente Auditoría
de Seguridad en materia de Protección de Datos.
Medidas de seguridad en el tratamiento de datos personales
Con carácter general, el Responsable del Fichero está obligado
a implantar las medidas de seguridad adecuadas al grado de
protección que requieran los datos contenidos en cada uno de los
ficheros, de acuerdo con la normativa.
Las medidas de seguridad a implantar se clasifican, dependiendo de
la naturaleza de la información tratada, en: medidas de seguridad
de nivel básico, de nivel medio y de nivel alto, siendo todas ellas
de aplicación a los ficheros automatizados, no automatizados o
mixtos.
El nivel de seguridad a aplicar a los ficheros estará directamente
relacionado con el grado de necesidad de garantizar la
confidencialidad de la información que se contiene en ellos.
Como regla general, a todos los ficheros les serán de aplicación
las medidas de seguridad de nivel básico (por ejemplo, fichero de
agenda o contactos).
09
Debe tenerse presente que los distintos niveles de seguridad
son acumulativos, de tal manera que los ficheros a los que les
corresponda observar medidas de seguridad de nivel alto, como
aquellos que contengan datos de salud, deberán cumplir, además
con las medidas de seguridad de nivel básico y medio.
Teniendo que en cuenta, conforme a lo señalado, que a los ficheros
que contengan datos de salud, como es el caso de las clínicas y
hospitales, la normativa impone la implantación de medidas de
nivel alto, pasaremos por alto cuáles son las relativas al nivel
básico y medio y enumeraremos cuáles son aquéllas:

Además de las medidas de nivel básico y medio, las medidas de • M

Medidas de seguridad de nivel básico y medio.
nivel alto se aplicarán en los siguientes ficheros o tratamientos de
• S
Seguridad en la distribución de soportes (Cifrado).
datos de carácter personal:

• R
Registro de acceso (tanto para soportes automatizados como
• Los
L que se refieran a datos de ideología, afiliación sindical,
papel).
religión, creencias, origen racial, salud o vida sexual.

• A
Adopción de medidas adicionales en las copias de respaldo
L que contengan o se refieran a datos recabados para fines
• Los
(copia en un lugar diferente).
policiales sin consentimiento de las personas afectadas.

• C
Cifrado de telecomunicaciones.
• Aquellos
A que contengan datos derivados de actos de violencia
de género. • A
Almacenamiento de ficheros no automatizados o en soporte
papel bajo llave y en áreas de acceso restringido.
Teniendo que en cuenta, conforme a lo señalado, que a los ficheros
que contengan datos de salud, como es el caso de las clínicas y
hospitales, la normativa impone la implantación de medidas de
nivel alto, pasaremos por alto cuáles son las relativas al nivel
básico y medio y enumeraremos cuáles son aquéllas:

10
Redacción del Documento de Seguridad

Las medidas de seguridad a las que se ha hecho referencia,

deberán documentarse en el manual denominado “Documento de
Seguridad”.

La funcionalidad del Documento de Seguridad no es otra que

incorporar las medidas de carácter técnico y organizativo que
deben ser implantadas en los ficheros por parte del Responsable
de cara a garantizar la integridad, confidencialidad y disponibilidad
de los datos incorporados en los mismos.

El Documento de Seguridad, que deberá estar a disposición de la

Agencia Española de Protección de Datos, por si lo requiriera.

Auditoría

Será obligatoria la realización de una auditoría cada dos años

del cumplimiento de la legislación y de los procedimientos de
seguridad.

Cumplir con los derechos ARCO

Esta obligación la analizaremos posteriormente, en epígrafe

independiente.

11