Conforme al Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, RLOPD en adelante, datos de carácter personal lo son cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Mientras que datos de carácter personal relacionados con la salud lo son las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

Los profesionales médicos que tienen su consulta privada y recaban datos personales de sus pacientes deben elaborar un documento de seguridad en donde se recojan las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana, del medio físico o natural.

Dado que los profesionales médicos en la prestación de sus servicios de asistencia sanitaria recaban datos de salud, que son datos especialmente protegidos por el RLOPD con un nivel de seguridad alto, deberán proceder a cumplir, conforme a su documento de seguridad, la medida de carácter técnico conocida como registro de accesos en caso de tratamiento automatizado. Si el tratamiento no es automatizado, como el resultante de la llevanza de un fichero alfabetizado de fichas de pacientes manuales, deberá establecerse mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.

Resulta, pues, que el profesional médico autónomo que tiene una consulta privada en donde son dos los usuarios que acceden a la aplicación informática que contiene los datos personales y de salud de los pacientes deberá, con periocidad al menos mensual, elaborar un informe donde se recojan las revisiones realizadas a la información de control registrada por la aplicación informática y especificar los problemas detectados. En teoría, en el acceso por los usuarios a la aplicación informática que recoge los datos de los pacientes deberá registrar, en cada intento de acceso, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

De esta forma, este profesional médico autónomo que tiene una consulta modesta con un solo empleado con acceso autorizado al fichero de pacientes debe cumplir con esta complicada medida de seguridad de índole técnico. También debe cumplir con dicha medida el profesional médico autónomo que ha constituido una sociedad mercantil para operar en el mercado, aunque sea el único usuario que accede al programa informático de gestión de datos de los pacientes. Ello es así, porque a ambos profesionales no se les aplica la excepción del artículo 103.6 del RLOPD que les eximiría de cumplir con el registro de accesos. Para que opere dicha excepción deben concurrir las siguientes circunstancias:

a) Que el responsable del fichero o tratamiento sea una persona física.

b) Que el responsable del fichero o tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

Uno de los principales problemas con que se encuentra el profesional médico autónomo para cumplir con el registro de accesos automatizado es que la aplicación informática con la que recaba los datos de carácter personal, entre ellos los datos de salud de los pacientes, no tiene funcionalidades para cumplir con las medidas de seguridad de nivel alto que impone el RLOPD. Muchos de los Software de gestión sanitaria comercializados con anterioridad a la entrada en vigor del RLOPD no contemplan el cumplimiento técnico de la normativa de protección de datos de carácter personal, lo que implica que deberían de ser retirados del mercado o adaptarse a la norma. Conforme a la Disposición adicional única del RLOPD, los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar las medidas de seguridad descritas en la norma reglamentaria.

La conclusión práctica que se alcanza es que el RLOPD recoge medidas de seguridad que están totalmente al margen de los problemas y de la realidad en la que operan muchos profesionales autónomos y empresas. El resultado que se consigue es el incumplimiento generalizado de la norma porque no es sensible a la forma de trabajar, al tiempo y a los medios disponibles por los responsables de los ficheros o tratamientos.