Así, en España se han tasado las medidas de seguridad tanto para los ficheros en soporte papel como para los automatizados, aspecto que no ha sido regulado, por ejemplo en Suecia o Reino Unido, cuya normativa se limita a exigir la implementación de las medidas técnicas y organizativas que sean adecuadas para proteger los datos personales tratados, teniendo en cuenta el estado de la técnica, el coste de la aplicación de las medidas, los riesgos a los que el tratamiento de datos está expuesto y la sensibilidad de los datos tratados.
Esta divergencia en las legislaciones afecta, asimismo, a la implementación de otras normas que tienen consecuencias directas en el tratami
ento de datos de carácter personal. Nos referimos a la propuesta de Directiva relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza y al proyecto de dictamen que ha emitido el Supervisor Europeo de Protección de Datos sobre tal propuesta, ya que según manifiesta esta Entidad, el intercambio más frecuente de datos relativos a la salud, el aumento de la distancia entre las personas y los organismos implicados, y las distintas legislaciones nacionales sobre protección de datos, suscitan cuestiones relacionadas con la seguridad de los datos y la seguridad jurídica.
En primer lugar, manifiesta el Supervisor Europeo de Protección de Datos que no existe definición expresa en el ámbito de la Unión Europea sobre los datos relativos a la salud. En nuestra legislación, el reciente Reglamento que desarrolla la Ley Orgánica de Protección de Datos ha definido este tipo de datos como las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo, especificando que se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.
Por otro lado, se refiere el Supervisor a la divergencia que existe en las legislaciones en lo que se refiere a la seguridad, ya que no existe una definición de “nivel adecuado de seguridad” y esto podría generar problemas dado que un hospital de un Estado miembro podría verse obligado por la normativa de protección de datos a adoptar una serie de medidas que no deben ser aplicadas en otro Estado miembro, lo que podría repercutir en el intercambio transfronterizo de datos, ya que no es posible garantizar que los datos gocen de un mismo nivel de protección entre los distintos países de la UE.
La Directiva exige que el Estado emisor informe, en este caso al paciente, sobre la transmisión de sus datos de salud a otro Estado y que vele por que la transmisión de los datos se haga de manera segura, al tiempo que el Estado receptor debe velar por una recepción segura y por tratar los datos de carácter personal conforme a su legislación. De manera que en la actualidad, con las distintas regulaciones que existen en torno a las medidas de seguridad en los Estados miembros, resulta complicado el cumplimiento de la normativa.
Por tanto, tal como manifiesta el Supervisor Europeo de Protección de Datos, es necesario que se produzca una armonización de la seguridad en los países de la Unión Europea, para garantizar que la asistencia transfronteriza respeta todos los principios de confidencialidad e intimidad que rigen la asistencia sanitaria y garantizar el buen funcionamiento del mercado interior.
Publicado en Redacción Médica el jueves 2 de junio de 2009. Número 1038. Año V.