LA PROTECCIÓN DE LOS DATOS SANITARIOS.

LA HISTORIA CLÍNICA.
Prof. Asoc. Mª Mercedes Serrano Pérez
Derecho Constitucional. UCLM

Introducción. 2. El marco legislativo internacional y nacional de referencia.

3. El concepto de datos sobre la salud. La historia clínica. 4. El responsable
del fichero en el sector de la salud. 4. El tratamiento de datos sanitarios. 4.1
La recogida de datos sobre la salud. El consentimiento informado del
afectado. 4.2 La comunicación o cesión de datos sobre la salud. 5. Los
principios de la protección de datos de la LOPD y sus particularidades en la
Ley 41/2002. 5.1 El principio de confidencialidad. 5.2. El principio de
adecuación y pertinencia. 5.3. El principio de exactitud. 5.4. El principio de
cancelación. 5.5 El principio de lealtad. 5.6 El principio de seguridad. 6. Los
derechos de los interesados. 6.1. El derecho de acceso a la historia clínica.
6.2. Los derechos de rectificación y cancelación. 6.3. El derecho de
oposición. 7. Bibliografía.

1. Introducción.
La acumulación de información es una necesidad de las sociedades actuales en
cualquiera de sus manifestaciones. La información resulta imprescindible para realizar
con eficacia todas las tareas a las que se ha de dar respuesta a diario. Podríamos afirmar,
sin temor a exagerar, que sin la acumulación y circulación de información las
sociedades actuales se paralizarían en sus múltiples actividades. El acopio de
información presenta múltiples proyecciones y en todas ellas ha de preservarse su
contenido. Si la información versa sobre las personas, es decir, se refiere a datos de
carácter personal ha de someterse a principios y reglas y controlarse para no provocar
una lesión en los derechos de los individuos. Si esa información incorpora además
revelaciones sobre la salud, es decir, se convierten en datos sobre la salud- las garantías
deben extremarse. Los datos sobre la salud constituyen un elemento intrínseco y
primordial en la vida de una persona. La asistencia sanitaria -tanto en atención primaria
como en atención especializada, en la urgencia o en la hospitalaria- no constituye una

1
cuestión circunstancial, sino que forma parte de nuestra propia existencia. De una
acertada, rápida y eficaz atención sanitaria depende nuestra salud y en ocasiones
extremas nuestra propia vida. Por ello, la asistencia sanitaria adecuada requiere una
información correcta sobre aspectos de la vida y la salud del paciente y una
conservación perfecta de los mismos. Junto al interés particular de cada uno en su
propia salud, ésta constituye un bien social que el Estado ha de promover y preservar
mediante las campañas de prevención y vacunación o mediante la investigación. Estos
aspectos sociales de la sanidad requieren también la utilización de los datos de los
pacientes, uso que habrá de realizarse con los controles adecuados para no lesionar sus
derechos y sus intereses. La necesidad de controlar la información que revela aspectos
de la salud de una persona resulta primordial para mantener intactos en su disfrute y su
ejercicio los derechos fundamentales del individuo y evitar despojar a la persona de su
dignidad como ser humano. Ciertamente la asistencia sanitaria adecuada nos obliga a
revelar al profesional médico datos extremadamente confidenciales, aspectos de nuestra
vida que en condiciones normales no revelaríamos a nadie salvo en el supuesto de
encontrarse en juego nuestra salud, razón por la cual han de ser especialmente
protegidos. Por ello el respeto a los derechos de los individuos debe ser contemplado a
un nivel de protección equivalente a la necesidad de preservar nuestra salud.

Hablamos de prestación sanitaria, de respeto a la dignidad de la persona, de

derechos, y de información acumulada y utilizada. Ciertamente aunque en el tema que
nos ocupa se entrecruzan una multiplicidad de intereses y derechos como el derecho a la
salud del art. 43 CE, el derecho a la intimidad personal y familiar del art. 18.1, el
derecho a la vida del art. 15, el derecho a la igualdad del art, 14, etc, podemos prestar la
atención constitucional exigida a todos los bienes en juego refiriéndonos al derecho a la
protección de datos de carácter personal del art. 18.4 CE. El derecho a la protección de
datos de carácter personal del art. 18.4 CE, según ha sido diseñado por la sentencia
292/2000, de 30 de noviembre1, del Tribunal Constitucional de acuerdo con los textos
internacionales sobre la materia, consiste en un poder de disposición y de control sobre
los datos personales que le faculta para decidir sobre ellos. Ese poder de disposición se
articula a través de un contenido esencial que incluye el derecho a que se requiera el
previo consentimiento para la recogida y uso de los datos personales, el derecho a saber

1
B.O.E. núm. 4, de 4 de enero de 2001.

2
y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y
cancelar dichos datos. En definitiva el poder de control sobre esos datos (con todo su
contenido esencial) constituye un derecho fundamental que gozará por lo tanto de la
más alta protección en nuestro ordenamiento. Su desarrollo se contiene en la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal2
que recoge el régimen general de la protección de los datos personales y que constituye
una de las referencias legislativas a tener en cuenta.

Por tanto en el tema que nos ocupa se interrelacionan un derecho fundamental y

la necesidad de asistencia sanitaria para preservar la salud. Este segundo valor
implicado obliga a buscar también la normativa sanitaria implicada. En este caso
hablamos de la Ley 14/1986, de 25 de abril, General de Sanidad3, de la Ley 41/2002, de
14 de noviembre, básica reguladora de los derechos del paciente y en nuestro
comunidad de la Ley 8/2000, de 30 de noviembre de Ordenación Sanitaria de Castilla-
La Mancha y la Ley 6/2005, de 7 de julio de 2005, sobre la Declaración de Voluntades
Anticipadas en materia de la propia salud4. Con carácter general hay que señalar que
prima la asistencia sanitaria en atención al valor defendido por ella en última instancia
–la vida- aunque ello sin menoscabo de la protección de los derechos de la persona, es
decir, que habrá que complementar una norma con otra con el fin de equilibrar los
intereses en juego y lograr la protección adecuada de todos los elementos afectados.

2. El marco legislativo internacional y nacional de referencia.

La exigencia de armonizar la asistencia sanitaria y la acumulación de
información personal ha sido ya objeto de preocupación y de atención desde los foros
más autorizados en la materia. En unos casos desde un punto de vista general y en otros
desde una perspectiva mas sectorial. En el primer caso ya el Convenio 108 del Consejo
de Europa para la Protección de las Personas con respecto al Tratamiento

2
B.O.E. núm. 298, de 14 de diciembre de 1999.
3
B.O.E. núm. 102, de 29 de abril de 1986. La Disposición derogatoria única de la Ley 41/2002 deroga los
apartados 5, 6, 8, 9 y 11 del artículo 10, el apartado 4 del artículo 11 y el artículo 61 de la Ley 14/1986.
4
D.O.C.M., núm. 126, de 19 de diciembre de 2000 y D.O.C.M., núm. 141, de 15 de julio de 2005. Otras
normas autonómicas son la Ley 21/2000, de 29 de diciembre, Catalana sobre los derechos de
información concernientes a la salud y a la autonomía del paciente, y la documentación clínica; Ley
3/2001, de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes
de la Comunidad de Galicia; Ley 10/2001, de 28 de junio, de Salud de Extremadura; Ley Foral 11/2001
de la Comunidad Navarra sobre los derechos del paciente, a la información y a la documentación clínica;
Ley aragonesa 6/2002, de 15 de abril de Salud y la Ley 2/2002, de 17 de abril, de Salud de la Rioja

3
Automatizado de Datos de Carácter Personal (ratificado por España el 27 de enero de
1984), contemplaba ya una definición de datos sanitarios. Por otra parte la Directiva
95/46, de 24 de octubre relativa a la protección de las personas físicas y en lo que
respecta al tratamiento de los datos personales y a la libre circulación de estos datos5,
recoge la necesidad de extremar las garantías y la protección cuando la información se
refiera a datos sobre la salud. Por último la Carta Europea de Derechos Fundamentales,
de 7 de diciembre de 20006, eleva a la categoría de derecho fundamental el derecho a la
protección de datos personales. De una forma más sectorial (y complementaria respecto
de ésta), el Convenio sobre Derechos Humanos y Biomedicina (Convenio de Oviedo) de
19977, relativo a los derechos humanos y a la biomedicina proclama en su art. 10 el
derecho de todos al respeto a la vida privada en el ámbito de la salud y el derecho a
conocer cualquier información recogida sobre su salud, es decir, cualquier dato
registrado al respecto. De una forma más detallada el documento Principios Éticos de
la Sanidad en la Sociedad de la Información, de 30 de julio de 1999, elaborado por el
Grupo Europeo de Ética de la Ciencia y de las Nuevas Tecnologías, eleva a la Comisión
Europea un informe en el que se relaciona el manejo de información personal y la
prestación asistencial, siendo necesarias ambas para redundar en beneficio de la
persona. Este documento señala cuatro principios básicos en el tratamiento de datos
sobre la salud:

- Recogida de los datos, siempre que sea posible del propio interesado (aunque
también ha de contemplarse como supuesto normal en el ámbito sanitario la
recogida de los datos por parte de los familiares del paciente, circunstancia
olvidada por la ley 41/2002).
- Control de los datos sobre la salud por parte del propio interesado, es decir,
la concreción del derecho fundamental a la protección de datos en el campo
de la salud, controlando y disponiendo de los propios datos.
- El derecho de oposición al uso de los datos personales siempre cuando la
finalidad del uso no corresponde con la de la recogida.
- Justificación de la utilización de los datos personales en la proyección social
de la salud.

5
D.O.L. núm. 281, de 23 de noviembre de 1995.
6
D.O.C.E. núm. 364, de 18 de diciembre de 2000.
7
B.O.E. núm. 251, de 20 de octubre de 2000. El Convenio es de aplicación directa en España desde el 1
de enero del 2000.

4
 En el ámbito interno, además de la Ley Orgánica 15/1999 y de la Ley 41/2002,
hay que referirse a la Ley General sanitaria donde se contienen los grandes principios
fundamentales a respetar en el ámbito sanitario. En concreto los arts. 10 y 11 en lo no
derogado por la Ley 41/2002 hacen referencia a la dignidad de la persona, la libertad
individual, el respeto al derecho a la intimidad del paciente y a la garantía de la
confidencialidad respecto de la información personal utilizada. Los grandes principios
de la Ley General de Sanidad (dado la fecha de su elaboración no tiene todavía la
capacidad de proyección sobre las nuevas tecnologías) han sido reelaborados con la
irrupción de la Sociedad de la Información y son los que quedan actualizados en las
leyes citadas. En el ámbito de nuestra Comunidad la Ley 8/2000, de Ordenación
Sanitaria reconoce en el art. 4.a) el derecho de la persona al respeto a su personalidad,
dignidad humana e intimidad, sin ningún tipo de discriminación.

Por tanto, en materia de protección de datos sanitarios habrá que prestar atención
a la Ley Orgánica 15/1999 que regula las reglas generales de los tratamientos de datos,
sin atender a especificidades y a la Ley 41/2002, que además de regular cuestiones
puramente sanitarias especifica para el campo sanitario la legislación general de
protección de datos contenida en la Ley Orgánica. Ambas constituyen el marco
normativo interno de los datos sobre la salud y su tratamiento.

El instrumento sanitario en el que convergen todos los elementos citados

anteriormente, esto es, datos sanitarios, derechos y prestación asistencial- es la
HISTORIA CLÍNICA8 documento informativo excepcional regulado por la Ley 41/2002
y sobre el que recaerá parte de nuestra exposición. El ámbito de aplicación de la Ley
art. 1.1- es “la regulación de los derechos y obligaciones de los pacientes, usuarios y
profesionales, así como de los centros y servicios sanitarios, públicos y privados, en
materia de autonomía del paciente y de información y documentación clínica”. Es decir,
la ley contiene los derechos y obligaciones de la persona desde el punto de vista de su
condición de paciente –interesado en recibir prestación sanitaria- pero desde el punto de
vista de la condición de interesado en la protección de los datos que forman parte de su

8
Sobre la historia clínica se puede leer SÁNCHEZ CARO, J., ABELLÁN, F., La historia clínica,
Fundación Salud, 2000; SANCHEZ CARO, Javier y Jesús, El médico y la intimidad, Díaz de Santos,
Madrid 2001.

5
historial clínico. En este segundo sentido y según el art. 2.1 de la Ley “la dignidad de la
persona humana, el respeto a la autonomía de su voluntad y a su intimidad orientarán
toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la
información y la documentación clínica”, criterios que habrá que tener presentes en todo
tratamiento de datos sanitarios y que la Ley va desarrollando posteriormente.

3. El concepto de datos sobre la salud. La historia clínica.

Para centrar el tema es preciso delimitar el concepto de datos sanitarios y aludir
también a algunos conceptos más que son característicos de la materia protección de
datos y con los que hay que familiarizarse. La Ley 15/1999 no contiene una definición
de datos sanitarios. Si la tiene sobre los datos personales que es cualquier información
concerniente a personas físicas identificadas o identificables. La Ley Orgánica reserva
mas adelante la calificación de datos sensibles para los datos referidos a materia
especialmente delicada y, por lo que ahora nos interesa, a la salud. Las reglas para los
datos sensibles aparecen respecto de las reglas generales expresadas de forma más
rigurosa en lo que se refiere a su recogida, su custodia y su posible cesión.

La definición de datos sobre la salud hay que encontrarla en los textos

internacionales. El considerando 45 del Convenio 108 del Consejo de Europa de 28 de
enero de 1981 ya definía los datos relativos a la salud como “las informaciones
concernientes a la salud pasada, presente y futura, física o mental de un individuo”,
igualmente incluía en estos datos “las informaciones relativas al abuso de alcohol o al
consumo de drogas”. Por su parte, la Recomendación Nº R(97)5, de 13 de febrero de
1997, del Comité de Ministros del Consejo de Europa incluye dentro de los datos
médicos los relativos a la salud de una persona, así como a las informaciones genéticas.
Por otro lado la Recomendación Nº R(91)15, relativa a los estudios epidemiológicos en
el ámbito de la salud mental alude a la necesidad de establecer las garantías precisas
para proteger los datos reveladores de este tipo de perturbación. Por su parte la
Directiva 95/46 que tampoco contiene una definición de datos sobre la salud, se refiere
a ellos en el art. 8 como datos con especial protección9. Conviene aclarar antes de
entrar a fondo en el concepto de datos sobre la salud que las diferentes expresiones
utilizadas no responden a ninguna diferencia apreciable en cuanto al contenido, al

9
También el art. 6 del Convenio 108 del Consejo de Europa prohíbe el tratamiento de los datos sobre la
salud –entre otros- a menos que el derecho interno prevea las garantía apropiadas para ello.

6
contrario, a mi modo de ver, aluden a realidades semejantes. En efecto, tanto las
Recomendaciones del Consejo de Europa como la Directiva en su considerando 42
emplea la expresión “datos médicos”, aunque en el considerando 33 de la Directiva
habla de datos y “fines relacionados con la salud”. Todas ellas como decimos se
enmarcan dentro de un concepto amplio de datos sobre la salud, datos médicos o datos
sanitarios, y que de acuerdo con los contenidos aportados por todos los textos
comentados podemos definir en cualquiera de sus versiones como “las informaciones
que se refieren a la salud pasada, presente o futura, en personas sanas o enfermas, con
enfermedades de carácter físico o psicológico, y que incluye la adicción al alcohol o a
las drogas. También forma parte de los datos sobre la salud la información de datos
genéticos”10. Siguiendo con esta visión amplia de los datos sobre la salud incluimos
también las informaciones relacionadas con el cuerpo humano, la sexualidad, la raza, el
código genético, los antecedentes familiares, los hábitos de vida, de alimentación y
consumo 11, los trastornos mentales, las enfermedades, las adicciones, es decir, todo
aquello que en un contexto sanitario pudiera afectar a la salud presente, pasada o futura
de una persona. Dado que las expresiones aludidas no aportan matices diferenciadores
se emplearán indistintamente, aunque mi preferencia se inclina por la expresión datos
sobre la salud.

Junto al concepto de datos sobre la salud resultan necesarios también introducir

otros conceptos más propios de la protección de datos pero que adquieren características
propias en el ámbito sanitario. La Ley 15/1999 los recoge y es preciso referirse a ellos.
La Ley Orgánica define en el art. 3 c) tratamiento de datos como todas las operaciones
que se pueden realizar con los datos, con independencia de su carácter informatizado o
manual y se pueden referir a recogida, grabación, conservación, elaboración,
modificación, bloqueo, cancelación, y cesiones. Es decir, el concepto de tratamiento es
omnicomprensivo en el contexto de la protección de datos ya que incluye todas las
actividades que se pueden realizar con los datos. Por su parte fichero es la organización
de datos de carácter personal con independencia de la forma de creación,
almacenamiento, organización y acceso. Es decir es el elemento físico que recoge,
almacena y mantiene en orden las informaciones personales.

10
APDCM, Guía de protección de datos personales para Servicios Sanitarios Públicos, Thomson-
Cívitas, Madrid, 2004, pág. 69.
11
J. SÁNCHEZ-CARO Y F. ABELLÁN, Datos de salud y datos genéticos. Su protección en la Unión
Europea y en España, Ed. Comares, Granda 2004, pág. 15.

7
 Hay un tipo de fichero en relación con los datos sanitarios que es fácilmente
identificable y que constituye un fichero personal, que almacena datos individuales e
incluye las aportaciones de los diferentes profesionales que trabajan la medicina en
equipo. Este fichero es la historia clínica, que se convierte por ello en el epicentro del
interés de un individuo. Junto a ello no podemos obviar el interés universal o social que
adquieren las informaciones sobre la salud que incorpora la historia clínica derivado de
su valor científico y las aportaciones subjetivas de los profesionales que intervienen en
su elaboración. Ambos intereses están también reflejados en la Ley 41/2002. La
definición de la historia clínica se contiene en los arts. 3 y 14 de la Ley 41/2002.
Según el art. 3 la historia clínica “es el conjunto de documentos que contienen los
datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución
clínica de un paciente a lo largo del proceso asistencial” 12. La definición de lo que es la
historia clínica se completa en el art. 14 donde se hace referencia además a la
identificación de los profesionales que atienden al paciente y se alude a la necesidad de
la integración de la documentación clínica de cada paciente al menos en el ámbito de
cada centro, criterio que modifica el art. 61 de la Ley General de Sanidad que aludía a la
integración en todo el Sistema de Salud. La historia clínica es, por lo tanto, al margen de
su valor como elemento médico, el almacén de informaciones sobre la salud de una
persona y, como de acuerdo, con la definición de la ley 15/1999 constituye un fichero,
habrá de resguardar los datos contenidos en la historia clínica y cumplir las
prescripciones de la Ley 41/2002. La importancia de la historia clínica como fichero
individual de datos sobre la salud es compatible con su valor social y universal que se
satisface con el derecho de acceso a la utilización de la información sobre la salud que
recoge la historia clínica y lo desarrollaremos más adelante.

La historia clínica no es el único fichero sobre la salud que existe. Lo hemos

identificado como el fichero de carácter personalizado, único para cada persona y que a
diferencia de otros ficheros que recaban datos sanitarios en los que podemos o no
constar hay una historia clínica para cada uno de nosotros. Pero en el ámbito de la salud

12
LAÍN ENTRALGO, P., identifica el contenido de la historia clínica con un relato biográfico y la propia
enfermedad padecida como el reflejo de la manera de vivir de una persona, La historia clínica (historia
y teoría del relato patográfico, 3ª ed, Madrid, Ed. Triacastela, 1998, pags. 659 y ss.

8
la creación de ficheros es mucho más ambiciosa y es una tendencia creciente en el
ámbito sanitario 13.

4. El responsable del fichero en el sector de la salud.

Según el art. 3 d) de la LOPD responsable del fichero o tratamiento es la persona
física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida
sobre la finalidad, contenido y uso del tratamiento”. La figura del responsable en un
tratamiento de datos es esencial para la protección del derecho del interesado pues sobre
él recaen funciones fundamentales como la declaración de los ficheros sanitarios, el
ejercicio ante él de los derechos de acceso, rectificación y cancelación, el cuidado sobre
el estado de los datos en él contenidos, etc. En el terreno sanitario la figura del
responsable del fichero o tratamiento de datos que es la historia clínica sobre la salud
resulta claramente identificada tras la aprobación de la Ley 41/2002, desde un doble
aspecto. En primer lugar existe una responsabilidad individualizada de la historia
clínica en el preciso momento de su utilización corresponde al profesional médico que
atiende al paciente pues según el art. 15.3 “la cumplimentación de la historia clínica, en
los aspectos relacionados con la asistencia directa al paciente, será responsabilidad de
los profesionales que intervengan en ella”. Junto a ello el art. 17.3 de la Ley 41/2002,
“los profesionales sanitarios tienen el deber de cooperar en la creación y el
mantenimiento de una documentación clínica ordenada y secuencial del proceso de
asistencia de los pacientes”. Ahora bien, la gestión de la historia clínica, según dice el
art. 17.4, se realiza “a través de la unidad de admisión y documentación clínica,
encargada de integrar en un solo archivo las historias clínicas. La custodia de dichas
historias clínicas estará bajo la responsabilidad de la dirección de centro sanitario”. Por

13
Por citar los ejemplos de ficheros creados en la Comunidad de Castilla-La Mancha la Orden de 27-04-
2000, por la que se crean diversos ficheros con datos de carácter personal (enfermedades de declaración
obligatoria; de vigilancia de la infección por el virus de inmunodeficiencia humana; registro de población
de cáncer, registro regional de sida, registro de interrupciones voluntarias de embarazo; Orden de 22-05-
2000, por la que se crea el fichero sistema informático de vacunas; Orden de 23-05-2000, por la que se
crea el fichero de drogodependientes; Ley 24/2002,de 5 de diciembre, de Garantías en la Atención
Sanitaria Especializada, que crea el fichero automatizado de pacientes en lista de espera; Orden de 24-01-
2003, de creación del fichero automatizado del registro de paciente en lista de espera; Decreto 8/2003, de
28-01-2003, del Registro de pacientes en lista de espera de Castilla-La Mancha; Orden de 8-04-2003, de
creación del fichero automatizado del programa de detección precoz del Cáncer de Mama; Orden de 10-
07-2003, de creación del fichero automatizado de datos del Registro de Enfermos Renales de Castilla-La
Mancha en Tratamiento Sustitutivo; Orden de 23-05-2005, por la que se desarrolla el registro de
hemovigilancia de Castilla-La Mancha y se crea su fichero automatizado de datos; Orden de 24-05.2005,
por la que se desarrolla el registro de donantes de sangre de Castilla-La Mancha y se crea su fichero
automatizado de datos; La Ley 6/2005, de 7 de julio de 2005, sobre la Declaración de Voluntades
Anticipadas en materia de la propia salud, que crea en el art. 9 el Registro de voluntades anticipadas.

9
otro lado, el art. 17.5 se refiere a los profesionales sanitarios que desarrollen su
actividad de manera individual siendo “responsables de la gestión y de la custodia de la
documentación asistencial que generen”. Es decir, se trata de una responsabilidad
compartida entre el responsable individualizado que en la prestación asistencial concreta
atiende al paciente y de la dirección del centro sanitario en lo que se refiere a la
conservación y custodia de las mismas, aunque estas últimas funciones recaen en el
profesional que trabaja de manera individual.

Es preciso recordar las diferencias existentes entre el responsable de un fichero

privado y el responsable de un fichero público, diferencias que se trasladan a los
ficheros de la sanidad pública y a los ficheros de la sanidad privada. Los ficheros de la
sanidad pública están sometidos a un régimen más riguroso en cuanto a su creación,
modificación y supresión. En efecto para la creación, modificación y supresión de
ficheros públicos se exige una disposición de carácter general y su publicación en el
Diario Oficial correspondiente, según el art. 20 de la LOPD, mientras que los ficheros
de centros sanitarios privados se pueden crear mediante la notificación previa a la
Agencia Española de Protección de Datos, según el art. 25 de la LOPD. El contenido
que ha de incluir la disposición de creación del fichero es una manera de conocer las
particularidades del fichero y una garantía para los interesados acerca de los datos por él
almacenados extremos que, a priori, se desconocen en un fichero privado. En concreto
la finalidad del fichero permite valorar la adecuación y pertinencia de los datos, los
ciudadanos sobre los que se pretenden recabar los datos, lo cual identifica previamente a
los interesados, el procedimiento de recogida de los datos que permitirá saber si su
recogida ser realiza por medios fraudulentos o ilícitos; la estructura del fichero y los
tipos de datos que se incluirán; las cesiones previstas, los órganos de la Administración
responsables del fichero; los servicios ante los cuales se pueden ejercitar los derechos de
acceso, rectificación y cancelación lo cual permite al interesado identificar el órgano al
que dirigir las reclamaciones y las medidas de seguridad que ha de incorporar el fichero
en atención al tipo de datos.

10
 4. El tratamiento de los datos sanitarios.
4.1 La recogida de datos sobre la salud. El consentimiento informado del
afectado.
Los datos sobre la salud son datos especialmente protegidos por lo que según el
art. 7.3 de la LOPD “solo podrán ser recabados, tratados y cedidos cuando así lo
disponga una ley o el afectado consienta expresamente”. Es decir, los datos sobre la
salud serán objeto de tratamiento si se consiente en ello o sin necesidad de
consentimiento su tratamiento está previsto en una Ley. Ahora bien, el art. 6 establece
con carácter general el consentimiento inequívoco de la persona para el tratamiento de
datos personales excepto que el tratamiento tenga por finalidad proteger un interés vital
del interesado en los términos del art. 7.6 de la LOPD, es decir, cuando el tratamiento
resulte necesario para la prevención o para el diagnóstico médicos, la prestación de
asistencia sanitaria o la gestión de servicios sanitarios siempre que dicho tratamiento de
datos se realice por un profesional o por otra persona sujeta asimismo a una obligación
equivalente de secreto”. En estos mismos supuestos se permite también el tratamiento
de datos referidos a la ideología, afiliación sindical, religión, creencias, origen racial, la
salud y la vida sexual, es decir, todo el conjunto de datos sensibles del art. 7.3 antes
citado.

Por ordenar un poco la LOPD que en este tema resulta algo confusa. El
tratamiento de datos de carácter personal requiere el previo consentimiento del
interesado, salvo que la ley disponga otra cosa, primer caso. Como estamos en el
supuesto de datos sobre la salud las garantías para su tratamiento han de cuidarse
especialmente, por ello y segundo caso, cuando se trate de datos sobre la salud, por
gozar de la calificación de especialmente protegidos, solo se tratarán en dos situaciones:
cuando por razones de interés general así los disponga una ley o el interesado consienta
esta vez expresamente (art. 7.3 LOPD). En el caso de la prestación asistencial parece
lógico que el propio interesado consienta el tratamiento de sus datos en función de la
contraprestación sanitaria que recibirá, mientras que la garantía de una Ley (entiendo
que prevé su tratamiento al margen de la prestación del consentimiento) se revela como
una garantía suficiente para asegurar la protección de estos datos. Ahora bien, y tercer
caso, tanto para los datos de carácter personal como para todos los datos sensibles se
permite el tratamiento de datos al margen de las condiciones generales, esto es al
margen del consentimiento, -art. 7.6 de la LOPD- cuando por razones de diagnóstico

11
médico, prestación sanitaria o de gestión de servicios sanitarios realizados por un
profesional de la medicina o equivalente pero obligado igualmente por el secreto
profesional. En este último caso llama la atención que se permita el tratamiento de datos
sobre la salud al margen del consentimiento “por una persona sujeta asimismo a una
obligación equivalente de secreto”14. Ahora bien, para añadir más confusión al tema de
las condiciones de la recogida de datos sobre la salud y del consentimiento el art. 8 de la
LOPD permite a las instituciones y los centros sanitarios públicos y privados y a los
profesionales correspondientes el tratamiento de datos sobre la salud de las personas que
a ellos acudan o deban de ser tratados en los mismos, se acuerdo con lo que indique la
legislación sanitaria estatal o autonómica sobre la materia. El art. 8 parece referirse a
varias cuestiones. Por una parte está identificando a los sujetos que pueden llevar a cabo
el tratamiento de datos sobre la salud15 (aunque esto ya está contemplado en la
excepción del art. 7.6 de la LOPD para todos los datos sensibles incluidos los sanitarios,
pues al contemplar los supuestos sanitarios en que cabe el tratamiento de estos datos
limita su utilización a los profesionales sanitarios) Aunque la interpretación del precepto
no es pacífica parece ser que el artículo permite la recogida de datos sanitarios en el
supuesto citado sin que sea necesario que medie el consentimiento del interesado,
entendiendo que la presencia del interesado en estos centros persiguiendo una finalidad
de asistencia sanitaria y consintiendo en ello se extiende también al tratamiento de datos
sanitarios16. Esta interpretación parece guardar coherencia con la excepción que para el
consentimiento se contempla en el art. 6.2 de la LOPD en relación con los datos de
carácter personal cuando sean tratados por las Administraciones Públicas en el ámbito
de sus competencias, entendiendo como Administración Pública la sanitaria y sus
competencias las relacionadas con la necesidad de prestar atención sanitaria a la
población. El problema de esta interpretación es que no permite incluir el tratamiento de
los datos sobre la salud por parte de los centros sanitarios privados que sí aparecen
contemplados, por contra en el art. 8 de la LOPD. En nuestra opinión la cuestión
tampoco se soluciona con la remisión a la legislación sanitaria estatal y autonómica
pues, al menos la estatal no regula de forma particular el consentimiento para el
tratamiento de datos sanitarios. Lo más lógico parece entender que se pueden recabar

14
Persona que no está determinada pero podrían ser las que aparecen en el art. 16 de la Ley 41/2002,
SÁNCHEZ CARO, Javier y ABELLÁN, Fernando, Datos sobre salud y..., ob., cit., pág. 32.
15
Así lo afirma LUCAS MURILLO DE LA CUEVA, Pablo, “La publicidad de los archivos judiciales y
la confidencialidad de los datos sanitarios”, VII Congreso Nacional de Derecho Sanitario, Madrid,
octubre de 2000, Fund. Mapfre Medicina, 2001, pá.g. 80.
16
SÁNCHEZ CARO, J Y ABELLÁN, F., Datos sobre salud…, ob. cit., pág. 34.

12
datos sanitarios al margen del consentimiento entendiendo la presencia del interesado en
los centros sanitarios asume como necesaria y, por tanto, participa de un consentimiento
implícito, la entrega de los datos precisos para cumplir con la prestación asistencial. La
finalidad de la prestación asistencial acaba imponiéndose a todas las demás. Lo que
parece fuera de toda duda es la obligación en cualquier caso de satisfacer el derecho a la
información del interesado con el fin de conocer todos los derechos que le asisten en
materia de protección de datos y poder continuar ejerciendo el dominio sobre los
mismos.

Con todos los supuestos de la prestación del consentimiento podemos concluir

algo que ya señalábamos al principio y es que los argumentos sanitarios acaban
imponiéndose en razón de su propia finalidad, aunque con la observancia de todos los
derechos de la persona. Eso significa que, por una parte, podría entenderse que el art. 8
habilita el tratamiento de datos sobre la salud en los centros públicos y privados y ese
contexto legitima el tratamiento sin que se precise la prestación del consentimiento
salvaguardada la voluntad de consentir del paciente por su acercamiento voluntario a
recibir prestación sanitaria. Por otra parte se aplicarían las reglas de la prestación del
consentimiento expreso y por escrito del art. 7.3 de la LOPD cuando se recojan datos
sobre la salud fuera del contexto de la prestación sanitaria y deban por ello también
extremarse sus garantías17. Por lo que respecta al art. 7.6 los supuestos en los que se
pueden recabar datos sobre la salud prescindiendo del consentimiento son interpretados
de manera tan amplia que podemos afirmar que prácticamente toda actuación en el
ámbito de la sanidad por los profesionales correspondientes se encuentra amparada por
este artículo con lo que no se precisa el consentimiento expreso.

Para completar las condiciones del consentimiento hay que referirse al art. 3
donde se define como “toda manifestación de voluntad libre, inequívoca, e informada
mediante la que el interesado consiente el tratamiento de datos personales que le
conciernen”. Por parte de la Ley 41/2002 hay que señalar que al aludir en el art. 2.2 a la
necesidad de recabar el previo consentimiento para proceder a toda actuación en el
ámbito de la sanidad sin especificar nada más puede quedar incluido también el
tratamiento de datos sobre la salud. Si embargo, la definición en el art. 3 de

17
Piénsese en la recogida de datos sobre la salud que pueden realizar las compañías de seguros, o las
empresas para realizar una selección de personal, etc.

13
consentimiento parece centrarlo a mi modo de ver más en un tratamiento sanitario que
en un tratamiento de datos sobre la salud18,

De acuerdo con la definición vista de tratamiento el primer momento del mismo

es la recogida de los datos y esta es la primera operación para la que debe solicitarse el
consentimiento. Como la manifestación de voluntad que refleja el consentimiento, por
definición, ha de ser informada habrá que establecer una conexión directa entre la
recogida de datos personales con consentimiento del titular y la información pertinente,
esto es, entre los arts sobre el consentimiento y el 5, sobre el derecho de información,
todos ellos de la LOPD. Pues bien el art. 5 de la LOPD establece con carácter general
los aspectos acerca de los que hay que informar al interesado-paciente; entre los que se
encuentran la existencia de un fichero, la finalidad de la recogida de esos datos y los
destinatarios de la información, del carácter obligatorio o no de las respuestas a las
preguntas planteadas, de las consecuencias de la obtención de los datos o la negativa a
suministrarlos, de la posibilidad del ejercicio de los derechos de acceso, rectificación y
cancelación y de la identidad y dirección del responsable del tratamiento. Bien en
algunos de esos casos y dado que la prestación asistencial es un conjunto de asistencias
resulta obvia la información y además un riguroso cumplimiento de la ley podría
obstaculizar y ralentizar el tratamiento del paciente con lo que el motivo principal de
salvaguardar la salud del paciente que justifica la recogida de datos perdería su finalidad
principal. Además, el propio art. 5 exime de la obligación de informar en algunos de sus
apartados cuando si del contexto o por la naturaleza de los datos solicitados se deduce
claramente la necesidad de su recogida. Pero en una explicación lineal y lógica de la ley
y dando respuesta en el terreno de la sanidad a la necesidad de la información
tendríamos que informar sobre la existencia de la historia clínica como fichero de datos
sobre la salud, la finalidad de la recogida resulta obvia y está señalada en el art. 15.2 de
la Ley 41/2002 y es facilitar la asistencia sanitaria, y los destinatarios de la información.

4.2 La cesión o comunicación de datos sobre la salud.

18
El art. 3 de la Ley 41/2002 define el consentimiento informado como “la conformidad libre, voluntaria
y consciente de un paciente, manifestada en el pleno uso de sus facultades después de recibir la
información adecuada, para que tenga lugar una actuación que afecta a su salud”. La regulación más
detallada del consentimiento que a continuación efectúan los arts. 8, 9 y 10 centrándolo en el ámbito de la
salud parece reforzar esta opinión.

14
 Queda un último apartado en relación con la prestación del consentimiento. La
cesión aparece definida en el art. 3.i) de la LOD como “toda revelación de datos
realizada a una persona distinta del interesado”. El art. 11 de la LOPD relativo a la
cesión de datos señala que los datos de carácter personal solo podrán comunicarse a un
tercero para el cumplimiento de fines directamente relacionados con las funciones del
cedente y del cesionario, con el previo consentimiento de la persona. La prestación del
consentimiento se excepciona en determinados supuestos, en concreto cuando la
comunicación deba efectuarse a los jueces y tribunales, o para los datos sanitarios
cuando sea necesaria para solucionar una urgencia que requiera acceder a un fichero o
para realizar los estudios epidemiológicos en los términos establecidos en la legislación
estatal o autonómica, o cuando se realice entre Administraciones Públicas para fines
históricos, estadísticos o científicos. Es decir, la cesión de datos sobre la salud al
margen del consentimiento está prevista expresamente en los casos en que medie un
interés particular que será el interés del paciente en recibir asistencia sanitaria o en caso
de existir un interés social o universal centrado en los estudios epidemiológicos, aunque
también pueden cederse datos sobre la salud al margen del consentimiento en los otros
dos supuestos generales. La Ley 41/2002 recoge en el art. 16 diversos supuestos de
cesión de datos sobre la salud como una forma de acceso a la historia clínica por parte
de sujetos distintos del interesado. En principio, el acceso de los profesionales que
atienden al paciente a la historia clínica del art. no puede contemplarse como una
cesión de datos pues el conocimiento de los datos sobre la salud contenidos en la
historia clínica forma parte de la finalidad asistencial de ésta. Tampoco a mi juicio el
acceso del respeto del personal sanitario a la historia clínica. Si constituye una cesión
según el art. 16.3 “el acceso a la historia clínica con fines judiciales, epidemiológicos,
de salud pública, de investigación o de docencia, que se rige por lo dispuesto en la Ley
de protección de datos y en la Ley General de Sanidad. En este caso se preservará el
anonimato de los interesados separando la identificación personal del paciente de la
información aportada salvo en los supuestos de investigación judicial en los que se
considere imprescindible mantener los datos perfectamente identificados. La cesión con
fines epidemiológicos, de salud pública o de investigación parece primar el interés
universal que conlleva toda historia clínica y que motiva en este caso la entrega de datos
sobre la salud aunque con la misma obligación de mantener el anonimato de los
interesados. La cesión analizada se completa con la obligación de conservar la
documentación clínica a efectos judiciales, epidemiológicos, de investigación o de

15
organización y funcionamiento del Sistema Nacional de Salud, tal y como recoge el art.
17.2 de la Ley 41/2002.

Queda algún supuesto más de cesión o comunicación de datos especialmente

importante y que la Ley 41/2002 no ha previsto por lo que habrá que estar a las
disposiciones de la Ley 15/1999, como por ejemplo la cesión de datos sobre la salud a
las Fuerzas y Cuerpos de Seguridad del Estado. El art. 22.3 de la LOPD permite el
tratamiento de datos de salud y del resto de los datos de los arts. 7.2 y 7.3 LOPD
“exclusivamente en los supuestos en que sea absolutamente necesario para los fines de
una investigación concreta, sin perjuicio del control de la legalidad de la actuación
administrativa o de la obligación de resolver las pretensiones formuladas en su caso por
los interesados que corresponden a los órganos jurisdiccionales”. En realidad el
precepto permite la cesión de datos sobre la salud tanto de los ficheros públicos como
privados a las fuerzas y cuerpos de seguridad del Estado. En este sentido parece
aconsejable un control judicial tal y como recomienda la Agencia de la Comunidad de
Madrid a través de la Recomendación 2/2004, con el fin de mantener protegidos los
derechos del interesado.

Por último un caso de cesión sin consentimiento del interesado se contempla en

el art. 21.1 de la LOPD que permite la cesión de datos entre Administraciones Públicas
que desarrollen idénticas competencias sobre las mismas materias, caso de cesiones
entre diferentes centros de salud u hospitales, tanto dentro de una Comunidad
Autónoma o entre diferentes comunidades, o entre las Consejerías de Sanidad y los
centros de salud.

5. Los principios de la protección de datos de la LOPD y sus

particularidades en la Ley 41/2002.
5.1 El principio de confidencialidad.
Probablemente si tuviéramos que destacar un principio fundamental del
tratamiento de los datos sobre la salud correspondería ese honor al principio de
confidencialidad que ha sido destacado especialmente en el documento sobre los
Principios Éticos de la Sanidad en la Sociedad de la Información relacionándolo con el
consentimiento informado del interesado para el tratamiento de los datos sobre la salud,
estableciendo la confidencialidad como el elemento esencial que le convence para la

16
entrega de datos tan sensibles como los datos sobre la salud. En realidad la
confidencialidad se basa en una confianza personal con el médico y en una confianza
en sus posibilidades de tratamiento Junto a ello la confidencialidad se preserva
limitando el acceso a los datos solamente a los profesionales que realizan el tratamiento
médico y los terceros legítimamente autorizados para ello y fijando las características
del secreto médico. Es decir, refuerzan el principio de confidencialidad los siguientes
elementos: el consentimiento para el tratamiento de datos sobre la salud que ya se
convierte en un elemento vertebrador del mismo, la limitación personal al acceso para
preservar la confidencialidad y la obligación de guardar el secreto médico como
particularidad del secreto profesional en el ámbito sanitario. Pues bien la LOPD regula
en su art. 10 el secreto profesional del responsable del tratamiento y de todos los que
intervengan en él, subsistiendo esta obligación aun después de finalizada su relación con
ellos. La Ley 41/2002 alude en varios momentos a la confidencialidad de los datos, a la
limitación al acceso para preservarla y al secreto médico. En primer lugar el art. 2.7
eleva a principio básico de la Ley la necesidad de guardar la reserva debida para la
persona que elabore o tenga acceso a la información y a la documentación clínica, lo
cual amplía la obligación de secreto para toda persona relacionada con la historia
clínica. En segundo lugar, la confidencialidad de los datos vertebra el derecho a la
intimidad del art. 7.1, según el cual “toda persona tiene derecho a que se respete el
carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a
ellos sin previa autorización amparada por la Ley”, obligando a los centros, en el
apartado segundo al centro sanitario a adoptar las medidas necesarias para garantizar la
confidencialidad y el procedimiento legal de acceso. También todo el art. 16 regula el
acceso a la historia clínica por parte de todo el personal interesado en ella auque desde
distintas perspectivas y el art. 16.2 obliga a cada centro a que establezca los métodos
que posibiliten el acceso a la historia clínica por los profesionales que le asisten. Más
adelante el art. 16.6 vuelve a incidir en el secreto profesional al que se somete el
personal que accede a la historia clínica en el ejercicio de sus funciones. Por su parte la
Ley 8/2000, de Castilla-La Mancha reconoce en su art. 4.1.f) que el interesado tiene
derecho “a la confidencialidad de toda la información relacionada con su proceso y
estancia en centros sanitarios públicos y privados”.

17
 5.2. El principio de adecuación y pertinencia.
Los apartados del art. 4 de la LOPD recogen los principios de la calidad de los
datos que en el sector de la sanidad requieren algunas matizaciones que ha efectuado la
Ley 41/2002:

En primer lugar el art. 4.1 de la LOPD exige que los datos sean adecuados,
pertinentes y no excesivos en relación con las finalidades para las que se hayan
recabado. La recogida y el tratamiento de datos sanitarios persiguen una finalidad
principal muy clara plasmada en la propia finalidad de la historia clínica que es según
el art. 16.1 de la Ley 41 “garantizar una asistencia adecuada al paciente. Esta finalidad
determina a su vez la pertinencia y adecuación de los datos que recoja. Así lo señala el
art. 15 cuyo apartado 2 reincide en el fin principal de la historia clínica que es facilitar
la asistencia sanitaria para lo cual según el apartado primero incorporará “la
información que se considere trascendental para el conocimiento veraz y actualizado del
estado de salud del paciente”. La legislación sanitaria añade a la pertinencia y
adecuación de los datos el calificativo de trascendental que refuerza la relación y la
conservación de los mismos con las funciones que motivan su recogida y su
mantenimiento, característica que será valorada por el profesional de la medicina. Ahora
bien, con independencia de la valoración que realice el profesional médico respecto de
la información trascendental para la asistencia sanitaria la ley recoge un contenido
mínimo 19 referido a:
- La documentación referida a la hoja clínico-estadística.
- La autorización de ingreso
- El informe de urgencia
- La anamnesis y la exploración física.
- La evolución
- Las órdenes médicas.
- La hoja de interconsulta.
- Los informes de exploración complementaria.
- El consentimiento informado.
- El informe de anestesia.

19
Para CRIADO DEL RIO, Mª Teresa, el contenido de la historia clínica debe ser completo, ordenado y
actualizado, inteligible, respetuoso, rectificado y aclarado, vera y en el soporte documental adecuado,
Aspectos médico-legales de la historia clínica, Colex, 1999, pág. 51 y ss.

18
 - El informe de quirófano o de registro del parto.
- El informe de anatomía patológica.
- La evolución y planificación de cuidados de enfermería.
- La aplicación terapéutica de enfermería.

Por otro lado cualquier otro fichero que recoja datos sanitarios podrá ser objeto
de valoración la pertinencia de los datos recogidos en función de su finalidad
manifestada ya en la disposición de creación del fichero, siendo este extremo una
garantía para el interesado que podrá valorar el cumplimiento del art. 4.1 y 4.2 de la
LOPD.

5.3. El principio de exactitud

El art. 4.3 de la LOPD señala que los datos han de ser exactos y puestos al día de
forma que respondan con veracidad a la situación real del interesado, obligación que en
el terreno de la sanidad resulta especialmente importante en atención al interés vital que
tiene el interesado en adecuar las informaciones incluidas en su historia clínica con su
realidad. Recuérdese que el interesado tiene el deber antes mencionada de aportar datos
de forma verdadera y leal. Esa necesidad de mantener los datos de forma actualizada
cobra especial interés en el apartado siguiente del precepto que señala la obligación que
corresponde al responsable del fichero acerca de la rectificación, cancelación y
sustitución de los datos incompletos o inexactos por los correctos. La Ley 41/2002 se
refiere en varios de sus preceptos a la necesidad de mantener los datos en buen estado.
El art. 14.2 alude a la obligación de cada centro de archivar las historias clínicas con
independencia del soporte para que “queden garantizadas su seguridad, su correcta
conservación y la recuperación de la información. Corresponderá a las
Administraciones Sanitarias, según el art. 14.3, establecer los mecanismos que
garanticen la autenticidad del contenido de la historia clínica y los cambios operados en
ella. Por otro lado, en el art. 17.1 atribuye el cuidado de la documentación clínica a los
centros sanitarios para su correcto mantenimiento y su seguridad, el art. 17.3 habla de
la responsabilidad de los profesionales sanitarios en orden a la creación y
mantenimiento de una documentación clínica ordenada y secuencial del proceso
asistencial de los pacientes, mientras que el art. 17.5 responsabiliza de todo ello a los
profesionales sanitarios que trabajen de manera individual.

19
 5.4. El principio de cancelación.
El art. 4.5 de la LOPD recoge la cancelación de los datos cuando hayan dejado
de ser necesarios o pertinentes en relación con la finalidad para la que se recogieron. La
conexión entre el mantenimiento de los datos y su finalidad presenta en el ámbito
sanitario alguna peculiaridad pues es posible que sea preciso mantener los datos
sanitarios en caso de tratamientos médicos prolongados o enfermedades crónicas en las
que nunca llega a romperse la conexión entre la finalidad y el mantenimiento del dato.
Pues bien el art. 17 de la Ley 41/2002 habla de la obligación de los centros sanitarios
de conservar la documentación clínica en condiciones que garanticen su correcto
mantenimiento y seguridad, aunque no necesariamente en soporte original, por el
periodo necesario en cada caso y establece un periodo mínimo de 5 años desde el
momento del alta del paciente. La excepción a la cancelación de los datos sanitarios la
constituye su conservación a efectos judiciales, por razones epidemiológicas, de
investigación o de organización y funcionamiento del Sistema Nacional de Salud. En
estos casos y dentro de lo posible se evita la relación de los datos con las personas
afectadas, según dice el art. 17.2.

5.5. El principio de lealtad.

La información sanitaria, de acuerdo con el art. 4.7 de la LOPD, no puede
recogerse de forma desleal, fraudulenta o ilícita, criterio de legalidad que se extiende
obviamente a la recogida de cualquier tipo de dato.

5.6. El principio de seguridad.

El principio de seguridad es una garantía de la integridad de la información, de
la disponibilidad de la misma y de su confidencialidad. Constituye un elemento
importante en orden a preservar el derecho a la protección de datos personales. La
LOPD regula en el art. 9 el principio de seguridad. Por su parte la Ley 41/2002 realiza
una completa regulación de la seguridad de las historias clínicas recogiéndola como un
deber para los centros –art. 14.2, resaltando la obligación para las administraciones
sanitarias en el art. 14.3 de establecer los mecanismos que garanticen la autenticidad de
las historias clínicas y obligando a los centros en el art, 17 a conservar la documentación
clínica en condiciones que garanticen su correcto mantenimiento y seguridad. El art.
17.6 remite especialmente en materia de seguridad al Reglamento de Medidas de
Seguridad 994/1999, de 11 de junio, que prevé para los datos sobre la salud y en general

20
para todos los denominados sensibles la aplicación, según el art. 4, de un nivel de
seguridad alto. Por parte del paciente el art. 19 de la Ley 41/2002 establece como
derecho del interesado el establecimiento por parte de los centros sanitarios de “un
mecanismo de custodia activa y diligente de las historias clínicas. Dicha custodia
permitirá la recogida, la integración, la recuperación y la comunicación de la
información sometida al principio de confidencialidad con arreglo a lo establecido en el
art. 16 de la presente Ley”.

6. Los derechos del interesado.

6.1. El derecho de acceso a la historia clínica.
La protección de los datos sanitarios se completa con el reconocimiento al
interesado de los derechos de acceso, rectificación, cancelación y oposición que
completan el sistema de garantías y forman parte del contenido esencial del derecho a la
protección de datos de carácter personal. Los tres derechos han sido objeto de desarrollo
a través del RD 1332/1994 de 20 de junio. Mediante el derecho de acceso el interesado
tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter
personal sometidos a tratamiento, el origen de los mismos y las comunicaciones
realizadas o las que se prevean. La LOPD establece un plazo temporal para ejercitar el
derecho de acceso que no podrá ser inferior a doce meses salvo que se acredite un
interés legítimo. Por su parte para corregir datos inexactos, incompletos, inadecuados,
excesivos en relación con las finalidades de recogida podrá el interesado solicitar la
rectificación o cancelación según reza el art. 16 de la LOPD. En el ejercicio de estos
derechos hay que tener presente el Real Decreto1332/1994, de desarrollo de la
LORTAD (Ley de protección de datos de 1992) y la Instrucción 1/98, de 19 de enero,
de la Agencia Española de Protección de Datos. Según el art. 11 del Real Decreto los
derechos de acceso, rectificación y cancelación son derechos personalísimos aunque
pueden ser ejercitados por el representante legal del interesado. La información sobre
los datos tras el acceso puede obtenerse mediante la visualización, el escrito, copia,
telecopia o fotocopia, certificada o no, de manera legible o inteligible, sin utilizar claves
o códigos que requiera dispositivos mecánicos específicos. Por otro lado la información
que se facilite debe contener los datos el interesado, su origen, los cesionarios y los usos
concretos y finalidad del almacenamiento. Este es el régimen general pero que en
relación con la historia clínica la Ley 41/2002 presenta algunas especificidades. El
derecho de acceso a la historia clínica tiene varios posibles titulares o finalidades: el

21
paciente, la inspección, los fines estadísticos, fines científicos o de investigación o de
otras personas. En primer lugar en el art. 18.1 se contempla el derecho de acceso para el
paciente a la documentación de la historia clínica y a obtener copia de los datos que
figuren en ella. El art. 18.1 atribuye a cada centro el procedimiento para ejercitar el
derecho de acceso y obtener la información solicitada, lo cual puede provocar una
multiplicidad de procedimientos para el acceso pero permite que cada centro regule el
procedimiento de acuerdo con sus propias características, huyendo de un formalismo en
exceso rígido. Al igual que en el caso general el derecho de acceso puede ejercitase
también por el representante legal del interesado. El derecho de acceso a la historia
clínica tiene un límite contenido en el art. 18.3 de la Ley 41/2002 al restringir el acceso
del interesado a la historia clínica cuando este puede perjudicar el derecho de terceros a
la confidencialidad en función de los datos en ella recogidos (en este caso se trata de la
limitación del derecho de una persona para proteger el ejercicio de los derechos y
libertades de otro) o en perjuicio de los derechos de los profesionales que han
intervenido en su elaboración. En este caso los profesionales médicos podrán interponer
frente al derecho de acceso del titular de los datos a sus propios datos la reserva de sus
anotaciones subjetivas. Lo que se produce es una limitación expresa al ejercicio de un
derecho que constituye parte del contenido esencial del derecho a la protección de datos.
La Ley también prevé un derecho de acceso a la historia clínica del paciente fallecido
por parte de personas vinculadas a él por motivos familiares o de hecho, salvo
prohibición expresa del fallecido. El acceso en este caso, según dice el art. 18.4, no
puede vulnerar los derechos de terceros ni la intimidad del fallecido, ni a las anotaciones
subjetivas de los profesionales. En segundo lugar se contempla el derecho de acceso
para el personal sanitario que realice funciones de gestión y administración, que solo
puede acceder a los datos de la historia clínica relacionado con sus propias funciones,
según el art. 16.4. Mientras que el personal sanitario que ejerza funciones de
inspección, evaluación, acreditación y planificación tiene acceso a la historia clínica
también en cumplimiento de sus funciones, según el art. 16.5. Recuérdese que todos
ellos en virtud del art. 16.6 están sujetos al secreto profesional. Por último, la Ley
8/2002, de Castilla-La Mancha en su art. 4.1.h) reconoce el derecho “a que exista
constancia por escrito o en soporte técnico adecuado que permita su lectura, de todo su
proceso”,

22
 6.2. El derecho de rectificación y cancelación.
El derecho de rectificación concede la corrección de los datos erróneos o
incompletos. La Ley 41/2002 no contiene ninguna especificidad respecto del derecho
de rectificación, por lo que estaremos en las reglas generales con las siguientes
apreciaciones. Le derecho de rectificación para corregir daos incompletos o inexactos
solamente se referirá a los datos personales incluidos en la historia clínica y respecto de
datos sanitarios conocidos por el interesado tales como vacunaciones, enfermedades o
aspectos no demasiados técnicos cuya veracidad el interesado desconoce y cuya
conservación en perfecto estado le corresponde al profesional médico y al centro
sanitario. Por su parte la cancelación de los datos choca con la necesidad de conservar la
historia clínica. El art. 17. 1 habla de un tiempo mínimo de 5 años contados desde la
fecha de alta del paciente. Eso no impide la corrección de los datos erróneos. Pero
existen otros intereses aparte del particular, de nuevo el interés social en la historia
clínica. En concreto, según el art. 17.2, se conservará a efectos judiciales, de acuerdo
con la legislación vigente, por razones epidemiológicas, de investigación o de
organización y funcionamiento del Sistema Nacional de Salud. El problema es que
ninguna ley regula los plazos durante los cuales se debe conservar la historia clínica
para estas finalidades.

6.3. El derecho de oposición.

El derecho de oposición no ha sido definido por la Ley de protección de datos
aunque el art. 6.4 recoge las condiciones generales de su ejercicio según las cuales
cuando no sea necesario el consentimiento del interesado para el tratamiento de los
datos de carácter personal y siempre que una ley no disponga lo contrario podrá
oponerse a su tratamiento siempre que existen motivos fundados y legítimos relativos a
una concreta situación personal. En este caso el responsable del tratamiento excluirá los
datos del mismo. En la práctica el derecho de oposición en la sanidad no tendría
ninguna eficacia en función de la propia finalidad de la asistencia sanitaria. Incluso si
llegara a ejercitarse por parte de algún interesado habría que valorar si la oposición al
tratamiento y por tanto la exclusión de los datos sobre la salud del interesado
perjudicaría la salud o la vida de la persona en cuyo caso primaría la protección de la

23
vida y quedaría relegado el derecho de protección de datos en su proyección de derecho
de oposición20.

20
Así lo ve también MARTÍN-CASALLO, J. J., “Derechos de acceso, rectificación y cancelación de los
datos sanitarios en la LOPD”, Actas del VIII Congreso Nacional de Derecho Sanitario, Fund. Mapfre
Medicina, 2001, pág. 58.

24
 BIBLIOGRAFÍA.
APDCM, Guía de protección de datos personales para Servicios Sanitarios
Públicos, Thomson-Cívitas, Madrid, 2004.
Criado del Río, Mª Teresa, Aspectos médico-legales de la historia clínica,
Colex, Madrid 1999.
Del Peso Navarro, Emilio: “La protección y la seguridad de los datos
automatizados de carácter médico”, Informática y Derecho, 1996, págs. 903 y ss.
Fernández López, Juan Manuel, “El derecho fundamental a la protección de los
datos personales. Obligaciones que derivan para el personal sanitario”, Revista de
Derecho y Salud, Extraordinario XI Congreso Derecho y Salud. Asociación de Juristas
de la Salud, vol.11, mayo 2003, Pamplona.
Laín Entralgo, P., La historia clínica (historia y teoría del relato patográfico,
Triacastela, Madrid 1998, 3ª ed.
López Domínguez, Orencio, “La información clínica. Situación actual,
conflictos y tendencias”, Cuadernos de Derecho Judicial, 1997, págs. 339 y ss.
Lucas Murillo de la Cueva, P., “La publicidad de los archivos judiciales y la
confidencialidad de los datos sanitarios”, VII Congreso Nacional de Derecho
Sanitario, Madrid, Fundación Mapfre Medicina 2001.
Martín-Casallo, J. J., Derechos de acceso, rectificación y cancelación de los
datos sanitarios en la LOPD, Actas del VIII Congreso Nacional de Derecho
Sanitario, Fundación Mapfre Medicina, 2001.
Núñez Jiménez, José Manuel “Protección de los Datos informatizados de
Carácter Médico”, Informática y Derecho, 1998, págs. 1265 y ss.
Puente Escobar, Agustín, “El tratamiento e los datos relativos a la salud, la Ley
41/2002, de 14 de noviembre”, Otrosí, septiembre 2003, núm. 50, 3ª Época.
Rodríguez Seoane, J. A., “De la intimidad genética al derecho a la protección de
datos genéticos. La protección fundamental de los datos genéticos en el Derecho
Español (A propósito de las SSTC 290/2000 y 29272000, de 30 de noviembre). Parte
II”, Derecho y Genoma Humano, núm. 17/2002.
Sánchez Carazo, Carmen y Sánchez Carazo, Juan Mª, Protección de datos
personales relativos a la salud, Agencia de Protección de Datos, Madrid 1999
Sánchez Caro, Javier, “La Ley y la informática sanitaria: Algunas cuestiones”,
Administración Sanitaria, 1999 3 (10), págs. 85 y ss.

25
 Sánchez Caro, Javier y Jesús, El médico y la intimidad, Díaz de santos, Madrid
2001.
Sánchez Caro, J., y Abellán, F., La historia clínica, Fundación Salud, 2000.
Sánchez Caro, Javier y Abellán, Fernando, Datos de salud y datos genéticos.
Su protección en la Unión Europea y en España, Comares, Granda, 2004.
Sánchez Caro, Javier y Abellán, Fernando Telemedicina y protección de datos
sanitarios. Aspectos legales y éticos, Comares, Granada 2002.
Sánchez Caro, Javier y Abellán, Fernando, Derechos y deberes de los
pacientes (Ley 41/2002, de 14 de noviembre: consentimiento informado, historia
clínica, intimidad e instrucciones previas, Fund. Salud 2000, Granada 2003.

26