Hoy vamos a hablar de códigos QR, sí, esos cuadraditos ininteligibles que se leen con un Smartphone.
El tema de fondo responde a la idea de que algunos pacientes vayan con un código QR en una medalla colgada al cuello, como ocurre con la plaquita del grupo sanguíneo, y ahí vayan datos personales, como son el nombre, la dirección o teléfono y, además, información médica como qué enfermedad tienen, por ejemplo, Alzheimer, problemas cardíacos, diabetes, etc.

La idea a priori a todos nos parece bien si pensamos en un familiar, por ejemplo con Alzheimer ya que da tranquilidad saber que si se pierde quien lo encuentre va a saber quién es, cómo localizar a sus familiares y que tiene esa enfermedad.
Entonces , ¿cuál es el problema?
Unos amigos americanos me decían hace poco que en España todo se complica, que cualquier idea tiene que saltar demasiados obstáculos legales y que eso lastra el desarrollo de este país. En parte esto ocurre aquí. La idea es buena, muy buena. Si preguntáramos, a la gente casi todo el mundo diría que le parece bien, sobre todo si tiene familiares con problemas de salud importantes o está expuesta a ellos. Pero, aquí el problema, no es si es útil o no, sino de protección de datos ya que puede que la persona que encuentre al anciano utilice esos datos para otros fines. Por tanto, la problemática gira en torno al acceso a los datos y cómo se articula la cesión de los mismos a esos terceros (por ejemplo un policía o una persona caritativa), así como a la finalidad de la entrega de esa información.
Y todo el problema existe porque un código QR se puede leer con cualquier móvil Smartphone.
He comentado lo de mis amigos americanos porque a más de uno se le puede ocurrir la siguiente contrapregunta: ¿no es lo mismo si el anciano va con una tarjeta en su bolsillo en la que está escrita la información personal y sus datos médicos, que es lo que se ha hecho toda la vida? Pues sí y no, depende. Pero lo que está claro es que en esos casos, donde todo está escrito en papel, nadie se ha planteado la vulneración de la LOPD. Pero tampoco conozco que se haya planteado problema alguno por colgarse una placa con el nombre y grupo sanguíneo .
Qué dice la Agencia de Protección de Datos: Planteamiento jurídico
Esta cuestión se ha resuelto por la Agencia de Protección de Datos en un informe reciente, el 12/2013 que se puede descargar en http://bit.ly/13gIsxk y cuyas líneas de argumentación son las siguientes:
• Tiene que haber un consentimiento inequívoco y expreso por el portador de la medalla, para llevar sus datos en un código QR (donde están grabados y conservados) que puede ser accesible desde cualquier Smartphone. Esto significa que no vale con que el hijo o el cuidador le haga la medalla y se la cuelgue.
• El consentimiento del usuario de la medalla con el código QR no implica que quepa cualquier tratamiento de los datos, dado que se trata de datos de protección alta. Llevar colgada la medalla no autoriza per se a que cualquiera pueda leer/descargar los datos del código QR.
• Los datos que se contengan en la medalla han de ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades explícitas y legítimas para las que se han recogido. Además tienen que estar actualizados. Esto implica que hay que ver si la recogida de los datos personales y de historial médico son necesarios para la finalidad pretendida (por ejemplo, para que el anciano perdido pueda ser devuelto a su casa o a la residencia de ancianos parece que no es necesario el historial médico, pero sí si el portador de la medalla tiene problemas cardíacos)
• La ley 41/2002 establece que la finalidad principal de la historia clínica es “facilitar la asistencia sanitaria”. Por ello se deberán detallar las medidas de seguridad que se adoptarán para asegurar que los datos médicos sólo sean accesibles para los servicios sanitarios y no por cualquier tercero.
Cuál es la conclusión de la AGPD:
• “No existe obstáculo en la inclusión de datos personales en un código QR, siempre que, existiendo consentimiento informado del portador de la medalla en los términos indicados, sólo se incluyan en el mismo los datos estrictamente necesarios para el cumplimiento de las finalidades pretendidas, lo que dependerá de cada tipo de usuario y de enfermedad”.
• “Deberán adaptarse las medidas de seguridad que correspondan en cada caso, en los términos del Título VIII del Real Decreto 1720/2007 de 21 de diciembre”.
• “Si la finalidad es que únicamente accedan a dichos datos el personal sanitario que vaya atender al paciente en situación de emergencia o accidente, deberían implantarse medidas que no permitieran el acceso a esta información por terceros”.
Mi opinión
La argumentación de la AGPD es muy correcta y aplica la norma actualmente vigente de forma irreprochable.
Yo, además, traigo al debate otra interpretación, sobre la base de que toda ley (aún siendo imperativa) debe interpretarse de acuerdo con los otros derechos que hay en conflicto. En este caso habría de ponerse en la balanza la protección de datos personales, en un platillo, y el derecho a la salud, en el otro, a fin de determinar qué derecho (ambos constitucionales) tiene más peso. Considero que la salud y la vida humana tiene más peso que la protección de datos en un caso como el expuesto. Ello porque, desde mi perspectiva, es preferible el acceso por un tercero, aunque no sea del servicio de emergencias, a los datos de un señor para salvarle la vida, que, en aras de la protección de datos, no quepa el acceso a sus datos y se muera.
Pero reconozco que conjugar ambos derechos es difícil. Por eso sí creo, siguiendo a la AGPD, que es importante que en esa medalla no esté todo el historial médico del que habla la Ley de Autonomía del Paciente (por ejemplo los consentimientos informados o las radiografías), sino sólo aquellos datos médicos que en un momento de emergencia puedan ser relevantes.