1.10. Si se ceden datos codificados para investigación científica, de manera que quien los recibe no tenga acceso a información personal, ¿Deben aplicarse los principios de protección de datos de carácter personal?
Los principios de protección de los datos de carácter personal se aplican a ”cualquier información concerniente a personas físicas identificadas o identificables” (artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal -LOPD-). Una persona es identificable cuando existe cualquier elemento que permite determinar directa o indirectamente su identidad física, fisiológica, psíquica, económica, cultural o social.
Así pues, cuando un dato se desvincula de la identidad del sujeto a través de un código, y esta operación se puede realizar de manera inversa o, lo que es lo mismo, cuando subsiste la posibilidad de relacionar de nuevo el dato con la identidad, el dato es de carácter personal.
El considerando 26 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, introduce un matiz a esta afirmación, cuando prevé que sólo se aplicarán los principios de protección de datos de carácter personal si es que la vinculación del dato a la identidad se puede llevar a cabo por medios razonables, esto es, que no sean excesivamente caros o trabajosos. (Vease Carlos María Romeo Casabona, “Anonymization and Pseudonymization: The Legal Framework at European level”, en The Data Protection Directive and medical research across Europe, Ashgate, 2004). Esto es independiente de quién sea la persona que pueda realizar dicha vinculación.
Traslademos estas consideraciones a la cuestión planteada: es cierto que el investigador que trabaja con datos codificados no tiene acceso a la identidad de los sujetos y, en este sentido, podría considerarse que para él estos datos no son de carácter personal y, por consiguiente, que no se deberían aplicar los principios correspondientes. No obstante, dado que el nexo entre el dato y el sujeto se mantiene a través de un código que se puede descifrar, son aplicables los principios de protección de datos de carácter personal, entre otros, el derecho a consentir a su cesión, el derecho de acceso a toda la información de carácter personal que se obtenga, o el derecho de cancelación.
Esta interpretación puede parecer contradictoria con el artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, según el cual, el acceso a la historia clínica con fines de investigación obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos. De esta redacción puede deducirse que la simple separación de los datos (identificativos por una parte y clínico asistenciales por otra), es presupuesto suficiente para que no se exija el consentimiento del sujeto para que terceros accedan a sus datos, es decir, para que no se apliquen los principios de protección de datos de carácter personal. Sin embargo, este artículo debe interpretarse según las reglas generales de la LOPD, a la que el propio artículo se remite como norma que ha de regir estas actuaciones. Así, la exigencia de anonimato a la que se alude representa la necesidad de que la separación de los datos se realice de tal manera que la identidad no pueda conocerse en ningún caso y por ninguna persona.
Por lo que se refiere a los datos genéticos de carácter personal, el artículo 50 de la Ley de Investigación Biomédica, prevé expresamente que “sólo podrán ser utilizados con fines epidemiológicos, de salud pública, de investigación o de docencia cuando el sujeto interesado haya prestado expresamente su consentimiento, o cuando dichos datos hayan sido previamente anonimizados”. Sin embargo, excepcionalmente para en casos de interés sanitario general, se podrán utilizar datos genéticos de manera codificada sin consentimiento del sujeto, cuando lo autorice la autoridad competente, previo informe de la autoridad en materia de protección de datos, y siempre que no puedan relacionarse o asociarse con el sujeto fuente por parte de terceros”.
Así pues, cuando un dato se desvincula de la identidad del sujeto a través de un código, y esta operación se puede realizar de manera inversa o, lo que es lo mismo, cuando subsiste la posibilidad de relacionar de nuevo el dato con la identidad, el dato es de carácter personal.
El considerando 26 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, introduce un matiz a esta afirmación, cuando prevé que sólo se aplicarán los principios de protección de datos de carácter personal si es que la vinculación del dato a la identidad se puede llevar a cabo por medios razonables, esto es, que no sean excesivamente caros o trabajosos. (Vease Carlos María Romeo Casabona, “Anonymization and Pseudonymization: The Legal Framework at European level”, en The Data Protection Directive and medical research across Europe, Ashgate, 2004). Esto es independiente de quién sea la persona que pueda realizar dicha vinculación.
Traslademos estas consideraciones a la cuestión planteada: es cierto que el investigador que trabaja con datos codificados no tiene acceso a la identidad de los sujetos y, en este sentido, podría considerarse que para él estos datos no son de carácter personal y, por consiguiente, que no se deberían aplicar los principios correspondientes. No obstante, dado que el nexo entre el dato y el sujeto se mantiene a través de un código que se puede descifrar, son aplicables los principios de protección de datos de carácter personal, entre otros, el derecho a consentir a su cesión, el derecho de acceso a toda la información de carácter personal que se obtenga, o el derecho de cancelación.
Esta interpretación puede parecer contradictoria con el artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, según el cual, el acceso a la historia clínica con fines de investigación obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos. De esta redacción puede deducirse que la simple separación de los datos (identificativos por una parte y clínico asistenciales por otra), es presupuesto suficiente para que no se exija el consentimiento del sujeto para que terceros accedan a sus datos, es decir, para que no se apliquen los principios de protección de datos de carácter personal. Sin embargo, este artículo debe interpretarse según las reglas generales de la LOPD, a la que el propio artículo se remite como norma que ha de regir estas actuaciones. Así, la exigencia de anonimato a la que se alude representa la necesidad de que la separación de los datos se realice de tal manera que la identidad no pueda conocerse en ningún caso y por ninguna persona.
Por lo que se refiere a los datos genéticos de carácter personal, el artículo 50 de la Ley de Investigación Biomédica, prevé expresamente que “sólo podrán ser utilizados con fines epidemiológicos, de salud pública, de investigación o de docencia cuando el sujeto interesado haya prestado expresamente su consentimiento, o cuando dichos datos hayan sido previamente anonimizados”. Sin embargo, excepcionalmente para en casos de interés sanitario general, se podrán utilizar datos genéticos de manera codificada sin consentimiento del sujeto, cuando lo autorice la autoridad competente, previo informe de la autoridad en materia de protección de datos, y siempre que no puedan relacionarse o asociarse con el sujeto fuente por parte de terceros”.