Confidencialidad médica y seguridad

Con harta frecuencia, se presenta el derecho fundamental a la protección de datos como una suerte de imperativo categórico. Esto suele coincidir en más de una ocasión con esfuerzos de interpretación de escasa entidad, muy apegados a la literalidad de la ley, a la vez que profundamente alejados de la realidad de las cosas. Todos los derechos sin excepción están sujetos a limitaciones salvo el derecho fundamental a la vida, cuya naturaleza lo erige en precondición del entero sistema de derechos fundamentales. De hecho, en más de una ocasión pueden existir intereses constitucionales de rango aparente menor, pero cuya esencialidad les hace ser prevalentes.

En lo que a la protección de datos personales se refiere, ha sido más que habitual el mantener a lo largo de su historia interpretaciones profundamente planas. En esencia, es un derecho cuya urdimbre constitucional es particularmente sencilla: si un sujeto trata un dato de una persona identificada o identificable, se activa el mecanismo que determina la aplicación de la Ley Orgánica de Protección de Datos (LOPD). Y es bueno que así sea: el problema se produce cuando esta suerte de sencillo mecanismo de botijo se traslada a niveles más profundos.

En la práctica, esta mecánica aplicativa favorece dos tentaciones. La primera de ellas es la de no atender a los elementos cualitativos del tratamiento. Y ello hace que usos absolutamente banales de los datos se vean sujetos a obligaciones complejas en materia de cumplimiento normativo y, lo que es más grave, a que usos absolutamente necesarios puedan no realizarse ante el temor reverencial que despierta una legislación gravosa, aplicada en más de una ocasión con cierto rigor ejemplarizante. Además, el derecho fundamental a la protección de datos ejerce una suerte de atracción gravitatoria particularmente nociva sobre otros derechos del artículo 18 de la Constitución, rebajando las expectativas de protección del ciudadano frente a los poderes del Estado. La segunda, el indudable exceso regulatorio del reglamento de desarrollo de la LOPD (que en muchos casos invade el espacio reservado a la ley) ofrece oportunidades para interpretaciones acomodaticias.

Todo ello conduce a un efecto peculiar que podríamos denominar de desprotección de datos que se combina con otro efecto, que podríamos latinizar como 'horror data', o efecto paralizante del responsable a la hora de decidir ciertos tratamientos. Fruto de este estado de cosas es el de la pérdida de intimidad en las comunicaciones, ya que la entrada en juego de la protección de datos rebaja el marco tuitivo, la insostenible situación de inseguridad en materia de videovigilancia, o ese modo de preocuparse por los menores por un lado y admitir a la vez el consentimiento como elemento legitimador de tratamientos de los centros escolares en herramientas sociales.

Pero donde con mayor crudeza se manifiestan estas incoherencias es en la configuración e interpretación del tratamiento de los llamados datos especialmente protegidos, o datos sensibles, en el lenguaje coloquial. El marco normativo de los artículos 7, 8 y 11 es peligrosamente sencillo. Un dato de salud podrá ser tratado, y sobre todo cedido, cuando expresamente lo consienta el afectado o se cuente con una habilitación legal. Esta habilitación la contiene la propia LOPD que, además de aquilatar el perfil profesional de quienes materialmente acceden a los datos, sitúa el interés del paciente, el riesgo vital o la concurrencia de crisis epidemiológicas como excepciones a la regla general. En origen, esto tiene su razón de ser, evitar la discriminación. Sin embargo, en un contexto de 'big data', el concepto de dato sensible, a pesar de que se mantenga, resulta no ya desbordado sino ineficiente si nos obstinamos en mantener una visión de túnel, plana, pacata y cuantitativa en esta materia.

Y apostar por una visión más profunda y cualitativa nos puede conducir a resultados paradójicos. Hace pocos días, el Dr. Julio Mayol, en un debate en FIDE, afirmaba que, desde el punto de vista de una determinada investigación, el dato de salud más relevante era el 'código postal', al que desde luego no se le aplican las severas restricciones de la LOPD para este tipo de datos. Pero, del mismo modo, la regulación debe ponderar otros intereses y ceder cuando resulte necesario.

¿Cuántos muertos evitaríamos en accidentes causados por conductores inhabilitados? ¿Cuántos accidentes de trabajo vinculados a fármacos?

En este sentido, las conclusiones de la investigación del vuelo Germanwings solicitando un mayor control médico de los pilotos resultan poco tranquilizadoras, en particular en lo atinente a la solicitud de que "se alcance un 'mejor equilibrio' entre el mantenimiento del secreto médico y la seguridad pública". Si partimos de que no existe un derecho fundamental a la seguridad aérea, a la navegación segura, o a la seguridad vial en sentido estricto, concluiremos que cabría esperar una reforma normativa para habilitar cesiones de datos desde el ámbito de la salud a las compañías aéreas.

¿Esperamos a que en junio se apruebe el reglamento general de protección de datos y ver si cuela? ¿Esperamos a que los estados miembros ejerzan después de junio la potestad de desarrollar parcialmente ese reglamento? Y en ese caso, ¿cuánto tiempo?, ¿un año o quizá dos? ¿En esta legislatura o en la del 26 de junio? Y mientras eso sucede, no piense el lector en aviones, baje a la tierra. ¿Cuántos muertos evitaríamos en accidentes causados por conductores inhabilitados? ¿Cuántos accidentes de trabajo vinculados al consumo de fármacos?

Cada vez que se ha mantenido que existe base jurídica para permitir las cesiones de datos de salud cuando el afectado puede poner en peligro la vida de terceros con motivo de la conducción, las críticas públicas o privadas han sido poco menos que furibundas. Al parecer, mantener esta tesis cercena de raíz alguna sacrosanta libertad. Y, además, resulta manifiestamente contraria a la postura mantenida, por ejemplo, en el Informe núm. 0438/2012 de la Agencia Española de Protección de Datos. Este concluye que, a falta de una norma con rango de ley que ampare la comunicación de datos de una historia clínica para la retirada del permiso de conducción, la cesión solamente sería conforme a lo establecido en la LOPD en caso de que se hubiera obtenido el consentimiento expreso del interesado. O lo que es lo mismo, que solo si el piloto lo quiere informamos a la compañía.

Esta es una de esas situaciones en las que se requiere de un enfoque abierto, cualitativo. Para empezar, podría partirse del propio artículo 7.6 LOPD para legitimar esa cesión de datos. Este dispone que podrán ser objeto de tratamiento los datos de salud cuando sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento. Esta incapacidad 'física' podría concurrir en casos de trastornos psicológicos y/o psiquiátricos graves.

No obstante, la cuestión puede abordarse desde otros puntos de vista. Parece evidente que la conducción temeraria de una persona incapacitada pone en peligro la vida de las personas, lo que nos lleva desde la perspectiva del riesgo al artículo 15 de la Constitución española (CE). Podríamos también enmarcar la seguridad vial en el ámbito del artículo 17 CE, que reconoce el derecho de toda persona a la seguridad. Ciertamente, toda la dogmática en torno a este artículo se ha centrado más en la detención que en cualquier otra cosa. Pero su despliegue en el caso que nos ocupa parece razonable. En este rastrear principios constitucionales, conviene detenerse en el artículo 43 CE, que, al reconocer el derecho a la protección de la salud, nos debería hacer reflexionar si entre los valores ínsitos en la Carta Magna podría encontrar acomodo la idea de una acción coactiva del Estado, ciertamente limitadora del derecho fundamental a la protección de datos pero ordenada a preservar la salud del conductor y de los terceros concernidos. Y deberíamos redondear el argumento considerando el fundamento constitucional de la acción que se atribuye al Gobierno, y en concreto de las Fuerzas y Cuerpos de Seguridad, a las que se encomienda la vigilancia del tráfico y la garantía de la seguridad vial.

La Agencia Española de Protección de Datos no encontró demasiados obstáculos para eludir el deber de información por los abogados en la recogida de datos cuando se trata de garantizar la tutela judicial efectiva. Y en la práctica, eso supone ni más ni menos que eludir un elemento del contenido esencial del derecho fundamental a la protección de datos según la STC 292/2000. Y lo que es más importante, ¿cómo puede consentir el demandado cuando el elemento esencial de la demanda tiene que ver con su salud? Es obvio que no se dará ni una sola de las circunstancias prevista en la LOPD, ya que no hay una norma con rango de ley que ampare el tratamiento.

Ni por los médicos españoles, ni desde el sistema de salud, se cederá un solo dato a la Dirección General de Tráfico sin una reforma legislativa o una toma de posición del regulador. Y lo mismo cabe decir de las compañías aéreas. Mientras, es probable que muera gente, y sus homicidas serán personas a las que se prohibió conducir y prefirieron no comunicarlo o actuar como si nada, ya que la autoridad no lo sabe. Matarán o morirán amparados en la impunidad que confiere una inadecuada aplicación del derecho fundamental a la protección de datos, por duro y crudo que resulte escribirlo así.

* Ricard Martínez, jefe del Servicio de Transparencia de la Diputación de Valencia. Presidente de la Asociación Profesional Española de la Privacidad. Colabora con distintas universidades como docente en estudios de grado. Ha desarrollado responsabilidades de Data Protection Officer en la Universitat de València y ha sido responsable del Área de Estudios de la Agencia Española de Protección de Datos. Doctor en Derecho por la Universitat de València. Miembro del consejo académico de FIDE.