UNA TESIS DE LA UNIVERSIDAD DEL PAÍS VASCO CRITICA EL DERECHO DE LA PROTECCIÓN DE DATOS SANITARIOS POR ESTAR "DETRÁS DE LA REALIDAD"

Imagine que su hijo de 14 años acude al médico y en pleno acto de rebeldía adolescente se niega a decirle por qué motivo ha acudido a la consulta. Aunque usted mismo se presente a la mañana siguiente donde el facultativo para solicitar la información, no tiene derecho a saber nada del asunto allí tratado, a no ser que presente la firma del menor. Lo contrario supondría una cesión de datos inconsentida, considerada como una infracción muy grave, que equivaldría a una sanción de entre 300.000 a 600.000 euros, ya que las personas a partir de esa edad se consideran, a efectos de la protección de datos, como adultos.

El allanamiento de la intimidad, como el de una morada, solo puede justificarse por derechos superiores de otros, tales como que de la revelación del secreto médico se extraiga un beneficio para personas indefensas. Este caso sería el de, por ejemplo, revelar que una prostituta con el VIH no usa protección alguna con sus clientes infectando a todo aquel que mantenga relaciones con ella. Pero sería una excepción a la confidencialidad de los datos sanitarios, ya que si ésta se vulnera, no solo está en peligro la intimidad, sino el ejercicio de otros derechos fundamentales, como el de la educación o el del trabajo. Precisamente, la pregunta "¿Qué consecuencias sociolaborales tendría para un paciente la filtración de que un paciente es seropositivo?" sirve de punto de partida para la tesis Los principios de la protección de datos aplicados a la sanidad, del jurista de la Universidad del País Vasco UPV/EHU Unai Aberasturi.

La respuesta a esta cuestión para Aberasturi no puede ser más fácil: es vital que la información sanitaria no se use para ninguna discriminación, por lo que hay que regular la protección de datos médicos. A estos resultados llega tras estudiar lo que dice la Ley Orgánica de Protección de Datos (LOPD) sobre este ámbito, llegando a la conclusión de que, habitualmente, el derecho de confidencialidad va por detrás de la realidad. Se deja en manos de la interpretación, de ahí que el investigador advierta de la inseguridad jurídica respecto a esta materia, y recalque la necesidad de una normativa concreta que regule los datos sanitarios.

Aun así, Aberasturi puntualiza que la LOPD otorga una protección especial a los datos de salud (artículo 7), por lo que les reconoce una salvaguarda más estricta. Bajo este régimen, se deben respetar ciertos principios, como el de finalidad, según el cual los datos no podrán emplearse para un fin distinto al que motivó su recogida. Aberasturi critica que se debería especificar a qué objetivo de todos los posibles en el sector sanitario (asistencia, investigación, entre otros) responde dicha recogida. En cuanto al principio de pertinencia, el autor de la tesis considera conveniente no recabar más datos de los necesarios, ya que el investigador suele creer que, ante la duda, es mejor que sobre información a que le falte, ya que si no podría ser perjudicial para la salud. Otra cuestión a controlar es el principio de veracidad, que implica cancelar los datos del pasado a medida que se actualizan.

LOS PERSONALES Aberasturi también opina que algunos derechos de las personas resultan conflictivos en el ámbito sanitario. Por ejemplo, el de rectificación: "Los datos sanitarios son difíciles de comprender para el ciudadano de a pie, por lo que su titular no debería corregirlos unilateralmente". El autor entiende que se trata de una labor fundamental, pero que debe llevarse a cabo en colaboración con los profesionales sanitarios. También cree que hay que mirar más con lupa el derecho de cancelación porque choca con la normativa sanitaria, que obliga a conservar la documentación clínica durante cierto tiempo. Como solución, en este caso, se debe garantizar que solo se guarden los estrictamente necesarios y que se disocia la información en la medida de lo posible.

El paciente también tiene el derecho de ser informado de un modo que pueda comprender acerca del responsable, destino y uso de sus datos personales. Pero también a que se le brinde toda la información sobre el diagnóstico, tratamiento y pronóstico de su enfermedad en un lenguaje sencillo. Además de ello, hay que darle la posibilidad de participar en las decisiones relacionadas con su tratamiento e incluso de negarse a él, después de que su doctor le explique los pros y los contras de someterse al mismo.

Comunidades de Propietarios y Proteccion de Datos

Respecto a la Protección de Datos Personales, a pesar de que su conocimiento es cada vez más generalizado (o quizá por ello), existe la percepción de que todo ese cúmulo de farragosas y tediosas obligaciones a las que compele la normativa solo atañen a empresas y organismos públicos, y que en nada “perturban” al ciudadano raso en su rutina diaria, más allá del eventual ejercicio de sus derechos ante aquellos responsables que hagan uso de sus datos. Parece que nunca nos vamos a enfrentar a ello y que todo nos toca de lejos, salvo que nos adentremos en el proceloso mundo empresarial e iniciemos ese deporte de riesgo que es crear una empresa.

Esto es así mayoritariamente, pero podemos encontrarnos en el caso de tener la fortuna de ser nombrados Presidente de nuestra Comunidad de Vecinos, y que ésta no esté adecuada a la normativa en materia de protección de datos personales, hipótesis nada desdeñable.

Aunque este problema se suele dejar en manos del Administrador, hay Comunidades de Propietarios pequeñas en las que no existe esta figura, y las cuales por supuesto también tienen la obligación de cumplir la LOPD.

Así que tanto para aquellos Presidentes de Comunidad accidentales como para Administradores de Fincas no duchos en esta materia, pasamos a exponer las principales cuestiones que plantea adecuar las Comunidades de Propietarios (en adelante CP) a la Protección de Datos en España.

Como hemos advertido, las CP están obligadas a cumplir con la legislación en materia de Protección de Datos, pues tratan datos personales – como mínimo de los propietarios de las viviendas -, y además pueden contratar con proveedores, prestadores de servicios, incorporar cámaras de videovigilancia, etc.

La AEPD ha impuesto no pocas sanciones a CP, precisamente por el desconocimiento general de la normativa, y la asimilación de usos y costumbres que atentan contra la ley pero que están ciertamente arraigados.

Cuando la Comunidad contrata los servicios de un Administrador de Fincas, éste (salvo excepciones) será Encargado de Tratamiento (tercero con acceso a datos) de los datos personales por cuenta del Responsable de Tratamiento, la CP. Esta relación debe figurar en un contrato (con independencia del contrato mercantil de prestación de servicios), que ha de contener las cláusulas establecidas en el artículo 12 de la LOPD. Se trata de un aspecto fundamental y prioritario a la hora de conseguir una correcta adecuación a la Ley, y sobre todo para delimitar responsabilidades y evitar posibles sanciones por actuaciones de terceros.

Una vez aclarados estos dos puntos, vamos a señalar las principales controversias que se plantean en la práctica, y las soluciones legales a las mismas:

Utilización de los datos personales de la CP para actividades de prospección comercial de empresas que trabajan principalmente con comunidades de propietarios.

Aquí se estarían tratando los datos personales de los propietarios con una finalidad distinta para la que fueron recabados, y comunicándose a terceros dichos datos, por lo que en ambos casos se requeriría el consentimiento de los afectados, que de no producirse podría constituir una infracción muy grave, sancionada hasta con 600.000 €.

En principio la multa recaería sobre la CP, como Responsable del Tratamiento, pero si se cuenta con los servicios de un Administrador de fincas, y está firmado el preceptivo contrato de acceso de datos por cuenta de terceros citado anteriormente, la responsabilidad podría afectar a dicho Administrador si queda acreditada la existencia de un incumplimiento del contrato en el tratamiento y utilización de los datos, resultando la CP eximida de tal responsabilidad.

Publicación de datos de propietarios morosos en el tablón anuncios de la comunidad.

Es éste un supuesto bastante habitual sobre el que se ha pronunciado la AEPD en varias ocasiones. Siempre que se produzca esa publicación, habría una comunicación de datos personales, esto es, una revelación a persona distinta del interesado, la cual requiere el consentimiento del afectado, si bien será posible la cesión no consentida de los datos en caso de que la misma se encuentre fundamentada en lo establecido por una norma con rango de Ley (artículo 11.2.a LOPD).

Así lo manifiesta la Agencia en su Informe Jurídico 0548/2009, que entiende que este supuesto se encuentra amparado por la Ley de Propiedad Horizontal, que en su artículo 16.2 establece que la convocatoria de la Junta de Propietarios “contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2”, lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos.

Además, el artículo 9.1 h) señala la obligación de los propietarios de comunicar “el domicilio en España a efectos de citaciones y notificaciones de toda índole relacionadas con la comunidad (…) Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto”.
En consecuencia, siempre que la publicación obedezca al hecho de que la convocatoria de la Junta no haya podido ser notificada a alguno de los propietarios en su domicilio, la cesión que implica la publicación de la convocatoria en el tablón de anuncios se encontrará amparada por el artículo 11.2.a) de la LOPD.

Cesión de datos a vecinos por la Comunidad de propietarios para el control de gestión de las cuentas

La AEPD sigue el criterio indicado en el apartado anterior, y en su Informe 2009/0333 afirma que estaríamos ante otro caso de cesión de datos sin el consentimiento del interesado pero amparado por la Ley, y por tanto que excepciona la prestación del consentimiento, de acuerdo al artículo 11.2.a) de la LOPD. En esta ocasión, el precepto legal es el artículo 20 de la citada LPH, que enumera entre las obligaciones del Administrador las de “actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad”.

Por tanto, la Ley establece que la documentación de la comunidad estará “a disposición” de los titulares, siendo lícita la transmisión de los datos cuando la finalidad que justifique la comunicación de dicha documentación a los propietarios solicitantes se encuentre amparada por la Ley de Propiedad Horizontal.

En definitiva, las obligaciones que impone la LOPD y su Reglamento son de plena aplicación para las CP, que tienen la necesidad de adaptarse a las mismas de forma imperiosa, pues por la naturaleza de la actividad que desarrollan se encuentran expuestas permanentemente a situaciones de riesgo que pueden dar lugar a gravosas sanciones, que con una correcta adecuación a la Ley y la asunción de una serie de pautas disminuirían considerablemente.