Sanid. mil. 2019; 75 (1) 5 EDITORIAL El desafío de la privacidad en Sanidad Sanid. mil. 2019; 75 (1): 5-6, ISSN: 1887-8571 La Ley es transversal; afecta a todos los ciudadanos, organi-zaciones e instituciones por igual, salvo que en su articulado sea diseñada para abordar un sector definido de la actividad huma-na. Si el asunto a abordar entra en la esfera de una Ley Orgánica, esta aplicación transversal es total y absoluta. Sin embargo, no en todos los sectores la legislación sobre pri-vacidad se puede aplicar de igual forma y se puede pretender que aplicando las mismas medidas, se obtengan los mismos resulta-dos. Es el caso de la Sanidad. En el desarrollo de un proyecto de ingeniería intervienen físicos, ingenieros de proceso e ingenieros de detalle. Si esto lo trasladamos al desarrollo de la normativa de protección de datos en Sanidad, el físico (el que conoce las leyes naturales), sería el jurídico que conoce la legislación a aplicar, el o los ingenieros de detalle serían los informáticos que dominan la tecnología de los sistemas de información, pero el ingeniero de proceso sería el profesional de la Sanidad, el que conoce los entresijos de la gestión sanitaria y de la Medicina, la Enfermería y demás profe-siones relacionadas. Ninguno de los tres puede hacer nada sin la colaboración de los otros dos. Si este razonamiento es correcto, y planteémoslo como hi-pótesis nula de este artículo, uno puede intuir que el proceso de aplicación de la legislación sobre privacidad no se puede aplicar con los mismos planteamientos procedimentales en una empresa que ha de custodiar y tratar los datos personales de básicamente tres ficheros, clientes, proveedores y personal, que en un gran hospital u organización de salud. Haberlo pretendido así ha supuesto, en la experiencia adqui-rida ya en los más de quince años de aplicación efectiva de la Ley Orgánica 15/99 de Protección de Datos (LOPD) en Espa-ña, que los resultados obtenidos en el mundo sanitario hayan sido bastante mediocres. Y esto no es porque hayan brotado las demandas y las sanciones de un modo exuberante, sino porque los que hemos tenido que trabajar y sufrir el duro calvario de la implantación de la LOPD, somos conscientes de que a lo más que hemos podido llegar es a aceptar a regañadientes el cumpli-miento formal de la normativa, en el sentido de tener las órdenes ministeriales publicadas, los ficheros declarados a la Agencia Es-pañola de Protección de Datos y redactados (con ayuda, en su caso, de las herramientas informáticas de Protección de Datos utilizadas), los documentos de seguridad exigidos en el Regla-mento de la LOPD, del que sólo algunos encargados de trata-miento son conscientes y tienen noticia. Pero quince años de aplicación de la LOPD nos ha hecho ver que el cumplimiento de la parte formal de la Ley y determinados aspectos técnicos, sobre todo centrados en el uso de contraseñas, de backups, o de poner cerraduras en determinados armarios, no es ni de lejos suficiente para poder vivir tranquilos con la seguri-dad de estar cumpliendo esta normativa. Cuando uno, al estudiar estos temas, se sumerge en el debate jurídico, a poco que le interese este asunto de la privacidad, lo considera apasionante. Es francamente aleccionador ver cómo ha evolucionado la Ley desde los años ochenta, tanto a nivel europeo como nacional, desde los primeros convenios y trata-dos, pasando por las primeras directivas comunitarias, la propia directiva DE 96/45 (CE), las leyes españolas LORTAD y LOPD y sus desarrollos, hasta llegar al actual Reglamento Europeo de Protección de Datos (RGPD). El viaje intelectual es motivador y supone un esfuerzo ímprobo por parte de todos los agentes sociales, para garantizar el sagrado derecho a la intimidad y a la privacidad, en un mundo en el que, como dijo una vez un alto directivo de una multinacional informática, “la privacidad ya no existe y si uno cree que la tiene es porque alguien consiente en que se lo crea”. Cuando se planteó la aplicación de la LOPD en los centros sanitarios, la principal dificultad ha sido la propia idiosincrasia del sector, la especial sensibilidad de sus datos, la intrincada or-ganización de servicios, unidades y gabinetes y la gran diversi-dad de categorías de personal a la que todos ellos contribuyen, no sólo a tratar, sino fundamentalmente a generar esos datos sensibles de carácter de salud que constituyen la miríada de información clínica que permitirá finalmente tratar, mejorar o curar las dolencias de los pacientes. Estos pacientes acuden a los centros sanitarios, no para recibir la contraprestación de un servicio, como puede ser una línea telefónica o un servicio ban-cario, sino para que les salven la vida o al menos, les rescaten de una penosa dolencia. Es por ello que, una vez conseguida la experiencia de la im-plantación de la LOPD en los centros sanitarios, procede plan-tearse seriamente el diseño de un “Código de conducta” especí-fico para servicios sanitarios, al que hace referencia Sección 5ª del Capítulo IV RGPD y que detalla el Artº 38 de la Ley Orgá-nica 3/2018 de Protección de datos personales y garantía de los derechos digitales. De lo contrario, pretender aplicar la norma mediante procedimientos estándar exclusivamente, puede que garantice una nueva situación de indefensión legal del personal sanitario al verse incapaz de aplicarla tal y como establece el nue-vo Reglamento Europeo. Pero hay un problema: La situación real de los sistemas de tratamiento de datos per-sonales en el mundo sanitario sigue navegando en la más estricta mediocridad, a tenor del informe de octubre de 2017 redactado por la Agencia Española de Protección de Datos(1). De su lectura uno concluye que los hospitales públicos están en el punto de mira de las autoridades de control. Y no es una fijación gratuita. Manejamos una información extraordinariamente sensible, de alto riesgo y gran impacto para la población y sobre todo de una complejidad colosal. (1) Agencia Española de Protección de Datos: Plan de Inspección sectorial de doi: 10.4321/S1887-85712019000100001 oficio en Hospitales Públicos, Octubre de 2017.
RSM_75-1
To see the actual publication please follow the link above