Su regulación se limita a garantizar que los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados, tratados y cedidos cuando por razones de interés general así lo disponga una ley o el afectado consienta en ello expresamente. Se prevé que las instituciones y centros sanitarios públicos y privados y los profesionales correspondientes puedan proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan, o sean tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad; por último, en lo que respecta a la comunicación de datos, se establece la necesidad de contar con el consentimiento previo del interesado para que los datos de carácter personal objeto de tratamiento informatizado puedan ser cedidos a un tercero, siempre y cuando se trate del cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, aunque se prescinde del consentimiento del afectado en el caso de que la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero, o para realizar los estudios epidemiológicos.
Esta regulación contenida en la Ley Orgánica de Protección de Datos de Carácter Personal citada se complementa con otras normas de nuestro ordenamiento jurídico, como el Código Penal, la Ley Básica de Autonomía del Paciente y de Derechos y Obligaciones en materia de información y Documentación Clínica, los Códigos de Ética y Deontología Médica, que también se ocupan de la protección de los datos sanitarios, al prever la imposición de penas para el delito de revelación de secretos, la protección de la intimidad del paciente, el secreto profesional o la imposición de sanciones por la infracción del deber de confidencialidad.
Por ello aún cuando el próximo reglamento parece que regulará y definirá el “Dato de Salud”, en cuanto a lo que queda por regular acerca de la protección de datos sobre el paciente, debe constatarse, la insuficiencia de nuestra legislación, basada en la simple mención a los principios sanitarios contenidos en la legislación estatal y autonómica sobre sanidad para complementar las normas que regulan la protección de datos de carácter personal, así como la insuficiencia del rango de las normas reglamentarias que, aprovechando lo anterior, se vienen dictando para llenar esta laguna.
Quizás lo deseable sería la aprobación de un auténtico estatuto del dato sanitario, con rango de ley orgánica, en vista de que su contenido tendrá necesariamente que comprender las tensiones entre los derechos fundamentales a la información y a la intimidad.