Regulación de Productos Sanitarios

LEGISLACIÓN

Del director de la Agencia de Protección de Datos el día 21 de septiembre de 2001

El día 21 de septiembre de 2001 el Presidente del Consejo General y el Asesor Jurídico mantuvieron una larga reunión con el Director de la Agencia de Protección de Datos (APD). Lo tratado puede resumirse como sigue:

I. Ficheros de Colegiados. Se efectúa una clara distinción entre los ficheros automatizados y los ficheros no automatizados.

1.1 Ficheros no automatizados. La APD interpreta que la Disposición Adicional Primera de la Ley de Protección de Datos ("ficheros preexistentes"), en la que se establece un plazo transitorio para adaptar los ficheros a la Ley y comunicarlos a la APD de doce años a contar desde el día 24 de octubre de 1995, se aplica tanto a los ficheros preexistentes como a todos los de nueva creación. En consecuencia, hasta el día 24 de octubre del año 2007 no será obligatorio proceder a la inscripción de los ficheros no automatizados. Ello no obstante, el plazo transitorio no se aplica a los derechos de acceso, oposición, rectificación o cancelación de los datos, que son exigibles en todo momento.

Medidas de seguridad: La APD mantiene que en tanto en cuanto no se dicten las disposiciones necesarias en relación con las medidas de seguridad específicas para ficheros no automatizadas, no existirá obligación de implantar medidas específicas salvo aquéllas que la lógica y la prudencia exijan para evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos (art.9 LPD). Entre las medidas aconsejables se encuentran tener los datos bajo llave o disponer de copia de los mismos en un lugar seguro, entre otras.

1.2 Ficheros automatizados. En la reunión se insistió, sobre todo, en la necesidad de implantar medidas de seguridad, tanto de índole técnica como organizativa, a todos los ficheros automatizados. Aquéllos que sean de nueva creación deberán tenerlas desde el mismo momento en el que se creen, mientras que aquéllos que se encontraran en funcionamiento a la entrada en vigor del Real Decreto 994/1999 (26 de junio de 1999) dispondrán de un plazo de tres años, esto es, hasta el día 26 de junio de 2002 (Resolución de 22 de junio de 2001 de la Subsecretaría del Ministerio de Justicia en relación con el Acuerdo del Consejo de Ministros de 22 de junio de 2001).

En la reunión se hizo mucho hincapié por el Director de APD en las medidas de seguridad de carácter organizativo. A su juicio éstas son las que más se incumplen, dado que las técnicas deben, con carácter general, estar incorporadas en los diferentes programas. Así, a título de ejemplo, se comentó que de nada sirve tener restringido mediante contraseñas el acceso al fichero a determinadas personas de la consulta si resulta que la pantalla del ordenador está orientada de forma que cualquier persona pueda verla.

Inspecciones: Con carácter general, la APD no está efectuando inspecciones de oficio en consultas privadas, lo que no obsta para que, en caso de denuncia se investiguen los ficheros de los colegiados denunciados.

Finalmente, se comentó que debe efectuarse especial atención a la cesión de los datos y al consentimiento necesario. Los datos únicamente pueden darse al interesado salvo que éste hubiera consentido expresamente que se dieran a otras personas. Se comentó a título anecdótico que una conducta, al parecer habitual, como es dar los datos de un paciente a su cónyuge u otro familiar, está claramente prohibida salvo que conste consentimiento expreso del paciente (advirtiéndose que la existencia de consentimiento expreso debe ser acreditada por el dentista).

II. Ficheros de los Colegiados. Los datos de colegiados contenidos en los ficheros colegiales sólo se consideran fuentes accessibles al público si (i) son datos relativos únicamente al nombre, título, profesión, actividad, grado académico, o dirección del colegiado y (ii) han sido convenientemente publicados (listado escrito, libro-folleto, página web del Colegio).

Ahora bien, aún cuando se trate de fuentes accesibles al público, en opinión de la APD los datos no pueden ser cedidos salvo que conste el consentimiento del colegiado. Dicho consentimiento puede ser tácito, si bien, en tal caso, el Colegio deberá poder acreditar que él mismo ha sido solicitado. En otro caso, es decir, cuando no se disponga del consentimiento, los terceros que precisen dichos datos podrán recogerlos de las fuentes donde se hubieran publicado, pero el Colegio no podrá cederlos.

[ Volver al índice de la revista | Volver al Colegio de Málaga ]