Sobre la protección de datos personales

Recientemente, la Sociedad Española de Anatomía Patológica (SEAP) recibió una solicitud procedente de una sociedad hermana de otro país, en la que se requería enviar un anuncio de una actividad científica a todos los socios de la SEAP. Para ello, los organizadores solicitaban un listado de socios, incluyendo direcciones de correo postal.

Otro caso relacionado con la cesión de datos personales, se planteó a principios de 2003, cuando la SEAP realizó una consulta a la Agencia de Protección de Datos (APD) para poder «incluir en una publicación de la Revista Española de Patología, un listado de socios que se encuentren activos en la Sociedad». La respuesta a esta consulta se resume en la siguiente frase, extraída de la carta recibida de la APD: «Sólo será posible la publicación de los datos indicados si, con carácter previo, se recaba el consentimiento del interesado, que habrá de ser libre, específico, informado e inequívoco, conforme exige el artículo 3.h) de la Ley. Este consentimiento podrá recabarse mediante un escrito dirigido a los socios cuyos datos pretendan publicarse, indicando con claridad y precisión la cesión que va a ser realizada, así como la finalidad de la misma, concediendo un periodo de tiempo lo suficientemente amplio para que el interesado pueda oponerse a la publicación de los datos que pretenden.»

La actual legislación sobre protección de datos personales gira en torno al Real Decreto 994/1999 y la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Independientemente de las disposiciones vigentes para cada Comunidad Autónoma, principalmente aquellas que disponen de Agencia Autonómica de Protección de Datos (Cataluña, Madrid y País Vasco), la norma común a todo el estado español es la obligatoriedad de solicitar permiso a cada uno de los usuarios inscritos en una base de datos (en nuestro caso, la base de datos de socios de la SEAP) antes de poder hacer público algún dato o cederlo a terceros, incluso sin ser datos especialmente protegidos.

Incluir listados de socios en la Revista Española de Patología, aunque sólo sea el nombre y apellidos de cada socio, es considerado una cesión de datos de carácter personal, definida como «Toda revelación de datos efectuada a persona distinta al interesado».

La única cesión de datos que tiene autorizada la Revista Española de Patología es con la empresa distribuidora de cada número, a través de un contrato de confidencialidad.

La experiencia nos ha demostrado que no es práctico solicitar a cada socio su permiso para publicar sus datos en los listados de socios de la Revista, pues en los intentos anteriores dirigidos a este fin, el número de repuestas recibidas, autorizando o no esa cesión, fue escaso. Además generaríamos una circulación excesiva de mensajes y cartas de autorización cada vez que los organizadores de un curso o congreso solicitasen la cesión de listados de socios.

Por ello, es posible que la única opción práctica, para evitar la cesión de datos a terceros, sea la difusión de eventos desde la secretaría de la sociedad, en el caso de correspondencia en papel, o a través de los servidores web y de correo electrónico de la propia SEAP.

Probablemente la legislación actual es demasiado restrictiva, y es probable que en un corto plazo de tiempo se modifique en sus aspectos menos prácticos.

Pero la mencionada legislación es mucho más restrictiva en lo referente a datos especialmente protegidos, como son los datos de salud y, en este sentido, no es previsible que existan cambios a medio plazo. Por ello, solicitamos especial atención a los autores para que eviten cualquier identificación posible de pacientes en los manuscritos enviados para su publicación en esta revista. Nuestra recomendación práctica, en este sentido, es no incluir iniciales de pacientes, fechas concretas, números de historia, números de muestra del centro (habitualmente presentes en las fotografías macroscópicas), ni cualquier otro dato que permita la identificación, de alguna forma, de los pacientes. Debe prestarse especial atención a las imágenes radiológicas o ecográficas, en las que inadvertidamente podemos dejar sin ocultar esos datos de identificación. Afortunadamente, el uso generalizado de fotografía digital, permite utilizar programas de retoque de imágenes para ocultar esa información.

Posiblemente resulte beneficioso para las sociedades científicas establecer un reglamento interno para el uso de datos personales de socios y de datos de enfermos en sus actividades científicas, que no sólo constituya un texto de referencia, sino que recoja posibles soluciones a los aspectos confusos o poco prácticos de la legislación española sobre protección de datos.

Marcial García Rojo