La Ley es transversal; afecta a todos los ciudadanos, organizaciones e instituciones por igual, salvo que en su articulado sea diseñada para abordar un sector definido de la actividad humana. Si el asunto a abordar entra en la esfera de una Ley Orgánica, esta aplicación transversal es total y absoluta.

Sin embargo, no en todos los sectores la legislación sobre privacidad se puede aplicar de igual forma y se puede pretender que aplicando las mismas medidas, se obtengan los mismos resultados. Es el caso de la Sanidad.

En el desarrollo de un proyecto de ingeniería intervienen físicos, ingenieros de proceso e ingenieros de detalle. Si esto lo trasladamos al desarrollo de la normativa de protección de datos en Sanidad, el físico (el que conoce las leyes naturales), sería el jurídico que conoce la legislación a aplicar, el o los ingenieros de detalle serían los informáticos que dominan la tecnología de los sistemas de información, pero el ingeniero de proceso sería el profesional de la Sanidad, el que conoce los entresijos de la gestión sanitaria y de la Medicina, la Enfermería y demás profesiones relacionadas. Ninguno de los tres puede hacer nada sin la colaboración de los otros dos.

Si este razonamiento es correcto, y planteémoslo como hipótesis nula de este artículo, uno puede intuir que el proceso de aplicación de la legislación sobre privacidad no se puede aplicar con los mismos planteamientos procedimentales en una empresa que ha de custodiar y tratar los datos personales de básicamente tres ficheros, clientes, proveedores y personal, que en un gran hospital u organización de salud.

Haberlo pretendido así ha supuesto, en la experiencia adquirida ya en los más de quince años de aplicación efectiva de la Ley Orgánica 15/99 de Protección de Datos (LOPD) en España, que los resultados obtenidos en el mundo sanitario hayan sido bastante mediocres. Y esto no es porque hayan brotado las demandas y las sanciones de un modo exuberante, sino porque los que hemos tenido que trabajar y sufrir el duro calvario de la implantación de la LOPD, somos conscientes de que a lo más que hemos podido llegar es a aceptar a regañadientes el cumplimiento formal de la normativa, en el sentido de tener las órdenes ministeriales publicadas, los ficheros declarados a la Agencia Española de Protección de Datos y redactados (con ayuda, en su caso, de las herramientas informáticas de Protección de Datos utilizadas), los documentos de seguridad exigidos en el Reglamento de la LOPD, del que sólo algunos encargados de tratamiento son conscientes y tienen noticia.

Pero quince años de aplicación de la LOPD nos ha hecho ver que el cumplimiento de la parte formal de la Ley y determinados aspectos técnicos, sobre todo centrados en el uso de contraseñas, de backups, o de poner cerraduras en determinados armarios, no es ni de lejos suficiente para poder vivir tranquilos con la seguridad de estar cumpliendo esta normativa.

Cuando uno, al estudiar estos temas, se sumerge en el debate jurídico, a poco que le interese este asunto de la privacidad, lo considera apasionante. Es francamente aleccionador ver cómo ha evolucionado la Ley desde los años ochenta, tanto a nivel europeo como nacional, desde los primeros convenios y tratados, pasando por las primeras directivas comunitarias, la propia directiva DE 96/45 (CE), las leyes españolas LORTAD y LOPD y sus desarrollos, hasta llegar al actual Reglamento Europeo de Protección de Datos (RGPD). El viaje intelectual es motivador y supone un esfuerzo ímprobo por parte de todos los agentes sociales, para garantizar el sagrado derecho a la intimidad y a la privacidad, en un mundo en el que, como dijo una vez un alto directivo de una multinacional informática, “la privacidad ya no existe y si uno cree que la tiene es porque alguien consiente en que se lo crea”.

Cuando se planteó la aplicación de la LOPD en los centros sanitarios, la principal dificultad ha sido la propia idiosincrasia del sector, la especial sensibilidad de sus datos, la intrincada organización de servicios, unidades y gabinetes y la gran diversidad de categorías de personal a la que todos ellos contribuyen, no sólo a tratar, sino fundamentalmente a generar esos datos sensibles de carácter de salud que constituyen la miríada de información clínica que permitirá finalmente tratar, mejorar o curar las dolencias de los pacientes. Estos pacientes acuden a los centros sanitarios, no para recibir la contraprestación de un servicio, como puede ser una línea telefónica o un servicio bancario, sino para que les salven la vida o al menos, les rescaten de una penosa dolencia.

Es por ello que, una vez conseguida la experiencia de la implantación de la LOPD en los centros sanitarios, procede plantearse seriamente el diseño de un “Código de conducta” específico para servicios sanitarios, al que hace referencia Sección 5ª del Capítulo IV RGPD y que detalla el Artº 38 de la Ley Orgánica 3/2018 de Protección de datos personales y garantía de los derechos digitales. De lo contrario, pretender aplicar la norma mediante procedimientos estándar exclusivamente, puede que garantice una nueva situación de indefensión legal del personal sanitario al verse incapaz de aplicarla tal y como establece el nuevo Reglamento Europeo.

Pero hay un problema:

La situación real de los sistemas de tratamiento de datos personales en el mundo sanitario sigue navegando en la más estricta mediocridad, a tenor del informe de octubre de 2017 redactado por la Agencia Española de Protección de Datos¹. De su lectura uno concluye que los hospitales públicos están en el punto de mira de las autoridades de control. Y no es una fijación gratuita. Manejamos una información extraordinariamente sensible, de alto riesgo y gran impacto para la población y sobre todo de una complejidad colosal.

Si a esto se le añade el pequeño detalle de que Sanidad Militar no opera con independencia, sino que forma parte de un todo, que son las Fuerzas Armadas en sus múltiples escenarios (primeros, segundos, terceros y cuartos escalones y demás organismos y dependencias), uno concluye que la norma comunitaria de privacidad es virtualmente imposible de cumplir, como se pensó en su día que lo era la LOPD.

Pero eso no es cierto. Se puede lograr alcanzar unos aceptables niveles de calidad en la privacidad (no deberíamos hablar de cumplimiento legal sino de un ético respeto a la privacidad de las personas, que incluye el cumplimiento). Pero esto requiere todo un Plan Estratégico de IGESAN (y de Defensa) y, no solo unas directrices de obligado cumplimiento. Esto no es cosa de los jurídicos, para nada. Ni puede ser una maldición para los profesionales de la Sanidad, en este caso. Ni de los informáticos liándose a poner dispositivos de salvaguarda ante las vulnerabilidades de los sistemas informáticos.

Es responsabilidad de los tres, jurídicos, informáticos y —sobre todo—, usuarios, las personas responsables de tratar con la información privada de los pacientes y trabajadores día a día. Hablamos de médicos, enfermeros y resto del personal sanitario.

El Reglamento Europeo utiliza como trasfondo del nuevo paradigma que plantea, el término Inglés “accountability”, traducido a la literatura castellana de privacidad como “responsabilidad proactiva”, es decir, darse cuenta, tomar conciencia, ser conscientes de que tal y como se desarrolla la vida humana en la actualidad, la privacidad ha dejado de ser una normativa legal, para convertirse realmente en un problema ético.

Las Administraciones Públicas no han mostrado excesivo empeño en ponerse al día en este espinoso asunto o, acaso la inercia institucional es tan descomunal, que igual que cuesta frenarla, también es casi imposible acelerarla. Los que hemos trabajado en la Administración lo sabemos, pero también sabemos que, no obstante, se puede hacer.

En mi experiencia, creo que los veinte años de LOPD han asentado en la mente de nuestra gente la idea de que “esto se cumple con formularios y cosas así”. Y no es verdad. Tanto no lo es, que esos veinte años no parece que nos hayan facilitado nuestra disponibilidad para asumir el cambio casi copernicano que entraña el Reglamento Europeo.

Y estamos ante una seria situación de riesgo. El Reglamento Europeo indica en su considerando 94, artículos 35 y 36, que si un tratamiento de datos personales entraña alto riesgo para los derechos y libertades de los interesados, es preceptiva la consulta previa a la Autoridad de Control y, de no poderse neutralizar el riesgo, cabe la posibilidad de su prohibición.

Si las Administraciones Públicas no afrontan esta situación, el problema no es si vendrán y se aplicarán o no sanciones al sector sanitario, bien por la AEPD o de Europa, sino cuándo.