Durante los últimos años estamos presenciando una transformación completa en todo lo referente a los usos y funciones de la historia clínica. Ésta ha pasado de ser un documento de uso casi exclusivo del médico responsable de la asistencia del paciente y que se utiliza también en los hospitales públicos para la docencia y la investigación, a ser un documento de prueba en tareas de gestión, planificación, control de calidad asistencial y jurídico-legal.

En paralelo se ha producido un cambio revolucionario en los sistemas de información, lo que ha ampliado considerablemente la posibilidad de acceso a la información clínica. A lo anterior hay que añadir que cada vez es más frecuente que se externalicen servicios tanto asistenciales como de archivo y esto conlleva la cesión de información a terceros para la gestión de los servicios externalizados.

Por todo ello se ha hecho indispensable la elaboración de una legislación que, directa o indirectamente, afecta a la historia clínica y cuyo objetivo es mejorar la seguridad.

La historia clínica es un elemento imprescindible para la actividad asistencial, docente e investigadora. La Ley 41/2002 (15-11-02), básica reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica, define la historia clínica como “el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial“; lo que incluye, según el artículo 14.1, “el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en el proceso y cuyo objetivo es obtener la máxima integración posible de la documentación clínica de cada paciente, al menos en el ámbito de cada centro”. Esta ley trata todo lo referente a la documentación clínica generada en los centros asistenciales y regula los derechos y obligaciones de los pacientes, usuarios y profesionales, así como de los centros y servicios sanitarios, públicos y privados, en materia de autonomía del paciente y de información y documentación clínica.

Además de la Ley 41/2002, existe otra legislación y normativa asociada, incluyendo toda aquella que se deriva de la necesidad de asegurar la confidencialidad y seguridad de los datos tras la incorporación de las nuevas tecnologías en el área de la documentación clínica. Así, la Ley Orgánica 15/1999 (13-12-99), de Protección de datos de Carácter Personal (LOPD), adapta la Directiva 95/46/CE (24-10-95) del Parlamento Europeo y del Consejo de la Unión Europea, relativa a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta Ley Orgánica define que las funciones de la Agencia de Protección de Datos, en relación con sus específicas competencias, serán ejercidas por los órganos correspondientes de cada Comunidad Autónoma. Por ello, se ha aprobado una normativa específica que desarrolla la norma básica estatal en varias Comunidades Autónomas:

• Comunidad de Madrid: Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal.

• Comunidad Catalana: Ley del Parlamento de Cataluña 5/2002, de 19 de abril, de creación de la Agencia Catalana de Protección de Datos.

• Comunidad Vasca: Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de creación de la Agencia Vasca de Protección de Datos.

Por último, el Real Decreto 1720/2007 (21-12-07) aprueba el Reglamento que desarrolla la Ley Orgánica 15/1999.

El soporte de los documentos que integran la historia clínica puede ser papel, o material audiovisual o informático. Hasta la aparición de la Ley 41/2002 se cuestionaba la validez de las historias clínicas en otro soporte que no fuera papel; debido a que el artículo 10.11 de la Ley General de Sanidad exigía, como derecho del paciente, la “constancia por escrito” de su proceso. La Ley 41/2002 contempla la posibilidad de que la historia clínica se almacene y gestione en otros soportes, imponiendo que cada centro archive las historias clínicas de sus pacientes, cualquiera que sea el soporte (papel, audiovisual, informático o de otro tipo), de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información”. La LOPD regula la protección de la información almacenada en ficheros automatizados y no automatizados, tanto en el sector público como en el privado, y califica los datos relativos a la salud de los ciudadanos como datos especialmente protegidos; estableciendo un régimen singularmente riguroso para su obtención, custodia y eventual cesión y exigiendo el establecimiento de medidas de seguridad de nivel alto, además de las de nivel básico y medio, para los ficheros de este tipo.

Dentro de los principios de la protección de datos que desarrolla la LOPD, el primero es el principio de calidad de los datos; según el cual, los datos de carácter personal sólo se podrán recoger y someter a tratamiento cuando éstos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que se hayan obtenido. La Ley 41/2002 concreta (en los artículos 14.1 y 15.2) cuáles son los datos que deben constar en la historia clínica.

Según la LOPD, los datos de carácter personal no podrán usarse para finalidades incompatibles con aquellas para las que fueron recogidos; no considerando incompatible su tratamiento para fines históricos, estadísticos o científicos. Puesto que la finalidad de la historia clínica es fundamentalmente garantizar una asistencia adecuada al paciente, se considera uso legítimo el acceso con fines epidemiológicos, de salud pública, de investigación o de docencia.

La legislación obliga a preservar los datos de identificación personal separados de los de carácter clínico-asistencial con objeto de asegurar el anonimato. Aunque, aparentemente, este aspecto de la ley no plantea grandes problemas en el caso de las historias clínicas informatizadas, es muy difícil cumplirlo cuando el soporte de la historia es el papel. Esto se debe a que el número de documentos generados es muy alto y, para evitar errores de identificación y garantizar la calidad de su asistencia, es necesario que el paciente esté perfectamente identificado en cada uno de los documentos. La eliminación de los datos identificativos del paciente en cada uno de los documentos requiere recursos inmensos,  este es pues un aspecto de la ley de difícil aplicación. Hay que tener en cuenta que la LOPD es una ley general, mientras que la garantía de seguridad y confidencialidad de la historia clínica necesita una legislación específica, porque la primera seguridad que necesitan los pacientes y los profesionales es que no se produzcan errores de identificación.

En su artículo 9.2 el Reglamento RD 1720/2007 establece “la Agencia Española de Protección de Datos” o, en su defecto, que las autoridades de control de las comunidades autónomas puedan acordar el mantenimiento íntegro de determinados datos, debido a su valor histórico, estadístico o científico.

Toda la legislación existente prohíbe de forma estricta la recogida de datos por medios fraudulentos, desleales o ilícitos; establece que los datos sean exactos y puestos al día y que sean almacenados de forma que permitan el ejercicio del derecho de acceso. Esto no quiere decir que en la historia clínica deban incorporarse todos los datos sino sólo aquellos considerados trascendentales para el conocimiento veraz y actualizado del estado de salud del paciente. Además, esta incorporación debe realizarse con criterios de unidad y de integración, con objeto de facilitar a los facultativos el mejor y más oportuno conocimiento de los datos de un determinado paciente en cada proceso asistencial.

Con respecto al tiempo que deben conservarse los datos, no existe un reglamento específico que marque unas pautas; aunque, según la LOP, “los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados”, La Ley 41/2002 establece la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial. Algunas Comunidades Autónomas amplían el plazo, regulando incluso la conservación indefinida de las historias clínicas de los fallecidos.

No resultaría muy difícil definir qué información, en qué soporte y durante cuánto tiempo hay que conservarla para fines asistenciales, docentes e investigadores; sin embargo hay un inconveniente importante, que es la obligatoriedad de conservación a efectos judiciales porque a priori no podemos saber qué datos pueden ser de interés en un procedimiento judicial transcurridos quince años desde que se produjeron los hechos. En este sentido convendría definir claramente un marco normativo mas preciso, sea cual sea.

Es necesario definir quién es el responsable del fichero de historias clínicas, porque él será el encargado de declarar los ficheros, de garantizar los derechos de acceso, rectificación y cancelación, y quien responda ante posibles infracciones en este ámbito. La LOPD señala que “el responsable del fichero será la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento”. El Reglamento RD 1720/2007 añade que “el responsable puede actuar sólo o conjuntamente con otros, pudiendo ser también responsables entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados”. La ley 41/2002 responsabiliza a la dirección del centro sanitario de la custodia de las historias clínicas. La gestión de la historia se realizará a través de los Servicios de Admisión y Documentación en aquellos centros con pacientes hospitalizados, o que atiendan a un número suficiente de pacientes bajo cualquier otra modalidad asistencial. Estos servicios son, además, responsables de integrar en un solo archivo las historias clínicas. En el caso de profesionales sanitarios que desarrollan su actividad de manera individual, la gestión y custodia de la historia es responsabilidad de ellos.

En su artículo 12, la LOPD también establece la figura del encargado del tratamiento del fichero; permitiendo el acceso a los datos por cuenta de terceros y sin consentimiento del interesado cuando dicho acceso sea necesario para la prestación de un servicio.

El objetivo fundamental de la protección de datos es la seguridad, que es la garantía de la integridad, disponibilidad y confidencialidad de los datos. La LOPD establece que el responsable del fichero, y, en su caso el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural, deberán aplicarse todas las medidas de índole física para proteger la documentación de incendios, humedades y actos vandálicos; además de todas las medidas reglamentadas para proteger la confidencialidad. Así, se considera infracción grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin guardar todas las condiciones de seguridad que, por vía reglamentaria, se hayan establecido para cada caso. Esta ley define, como se ha mencionado, unas medidas de seguridad de nivel alto, además, de las de nivel básico y medio.

En los últimos años se ha desarrollado un amplio pero pausado proceso de informatización de las historias clínicas; incluso los nuevos hospitales sólo trabajan con la historia clínica electrónica. Aún así, son muchos los centros sanitarios públicos y privados y las consultas de profesionales individuales en los que la historia clínica se encuentra en soporte papel.

La LOPD también hace referencia al tratamiento de datos personales no automatizados, es decir, en soporte papel. Son los llamados ficheros manuales estructurados. El Reglamento de desarrollo de la LOPD define el fichero no automatizado como “un conjunto de datos de carácter personal, organizado de forma no automatizada y estructurado”. Existen criterios específicos, relativos a personas, para acceder, sin esfuerzos desproporcionados, a los datos personales; tanto para el fichero centralizado como para el descentralizado o el repartido de forma funcional o geográfica.

Las medidas de seguridad aplicables a ficheros y tratamientos automatizados y no automatizados están recogidas en el Título VIII del mencionado Reglamento. Estas medidas deben estar recogidas en lo que el Reglamento denomina “documento de seguridad” y cuyas características están definidas. Entre otros aspectos este reglamento debe contener las medidas, normas y procedimientos de actuación encaminados a garantizar el nivel de seguridad exigido; debe contener además las funciones y obligaciones del personal; la notificación, gestión y respuesta de las incidencias; las medidas de aplicación para el transporte de soportes y documentos así como para la destrucción de los mismos; y la identificación del responsable de seguridad.

Las medidas de seguridad aplicables a ficheros automatizados y no automatizados y diferenciadas en niveles básicos, medio y alto son las siguientes:

Funciones y obligaciones del personal. Deben estar perfectamente definidas en el documento de seguridad. El responsable del fichero adoptará las medidas necesarias para que todo el personal las conozca, y dará a conocer las consecuencias en que el personal puede incurrir en caso de incumplimiento.

Registro de incidencias. Debe existir un registro en el que conste el tipo de incidencias, sus características y las medidas correctoras aplicadas.

Control de acceso. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles, y de los accesos autorizados para cada uno de ellos. A este respecto la Recomendación 2/2004 (30.-7-04) de la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) sobre custodia, archivo y seguridad de los datos de carácter personal de las historias clínicas no informatizadas establece que se deberá mantener un registro de entrada/salida de historias clínicas, el cual permita conocer el código de la historia, la fecha del acceso, el destinatario y la fecha de la devolución.

Gestión de soportes y documentos. Los soportes y documentos que contengan datos de carácter personal deberán permitir la identificación del tipo de información que contienen y poder ser inventariados; sólo deberán ser accesibles al personal autorizado Las medidas también regulan cómo debe hacerse la salida de soportes y documentos, el traslado de documentación y su destrucción o borrado.

Criterios de archivo. Estos criterios deben garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento así como su acceso, rectificación y cancelación. En el caso de las historias clínicas, como se ha mencionado, los criterios básicos de archivo están contenidos en la Ley 41/2002, según la cual cada centro archivará las historias clínicas de sus pacientes y será responsable de su custodia.

Dispositivos de almacenamiento. Se debe disponer de mecanismos que obstaculicen la apertura de los ficheros. Si no es posible, el responsable del fichero adoptará medidas que impidan el acceso a personas no autorizadas.

Custodia de los soportes. Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, sea cual sea el tipo de soporte.

Custodia por terceros. El acceso a datos por cuenta de terceros viene regulado, en el artículo 12 de la LOPD, como una posibilidad de acceder a los datos cuando dicho acceso sea necesario para la prestación de servicios por parte de un tercero al responsable del fichero. La particularidad de este tipo de acceso es que no tiene la consideración de comunicación o cesión de datos, no siendo necesario por tanto el consentimiento de los afectados para que pueda materializarse. La realización del tratamiento por parte del tercero deberá estar regulada en un contrato en el que se recogerán las condiciones e instrucciones fijadas por el responsable del fichero para la prestación del servicio, la finalidad del tratamiento y la imposibilidad de la comunicación de los datos a otras personas distintas del prestador. Se estipularán igualmente las medidas de seguridad que el tercero deberá implantar en el sistema de tratamiento que utilice para la prestación del servicio.

Externalización de archivos. En relación a la gestión de la historia clínica no informatizada, en la actualidad, se está extendiendo la práctica de externalizar el tratamiento de las historias clínicas. En ese caso, quienes custodian los archivos son entidades privadas, con personalidad jurídica distinta de la del responsable de las historias clínicas. Estas empresas, según hemos visto, no pueden subcontratar el almacenamiento de las historias clínicas. Según está recogido en el Reglamento RD 1720/2007, el documento de seguridad deberá contener la identificación de los ficheros, o tratamientos que se traten en concepto de encargado, con referencia expresa al contrato o documento que regula las condiciones del encargo, así como la identificación del responsable y del periodo de vigencia del encargo. El artículo 108 del mismo Reglamento estipula que cuando la documentación no se encuentre archivada en los dispositivos de almacenamiento, por encontrarse en proceso de revisión o tramitación, la persona que se encuentre a cargo de la misma deberá custodiarla e impedir su acceso a las personas no autorizadas.

Identificación y autenticación. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. Si se utilizan contraseñas, éstas deben asignarse, distribuirse y almacenarse de forma que se garantice su confidencialidad e integridad y, además, deben ser cambiadas con periodicidad no superior a un año.

Copias de respaldo y recuperación. Se deben realizar, como mínimo semanalmente, copias de respaldo y establecer procedimientos de recuperación de datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Responsable de seguridad. Esta figura se regula en los artículos 95 y 109 del Reglamento. Puede haber uno o varios responsables, encargados de coordinar y controlar las medidas de seguridad aplicables al fichero. La existencia de esta figura no exonera de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento.

Auditoría. Se llevará a cabo una auditoría al menos cada dos años, y siempre que se realicen modificaciones sustanciales en el sistema de información. Puede ser externa o interna. Los informes de la auditoria serán analizados por el responsable de seguridad, quien hará llegar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas.

Gestión de soportes y documentos. Debe existir un registro de la entrada y salida de soportes, en el que figure el tipo de soporte o documento, el tipo de información que contiene, la fecha y hora, el emisor o receptor, la forma de envío y la persona responsable de la recepción o la entrega, la cual debe estar debidamente autorizada.

Identificación y autenticación. Se establece un mecanismo que limite el número de intentos reiterados de acceso no autorizados.

Control de acceso físico. Sólo el personal autorizado puede tener acceso al lugar donde se encuentren los equipos físicos que dan soporte a los sistemas de información.

Registro de incidencias. Supone el registro de la realización de procedimientos de recuperación de datos, de la persona que ejecuta la recuperación y de los datos restaurados y grabados manualmente. Los procedimientos de recuperación se deben ejecutar con autorización del responsable del fichero.

Almacenamiento de la información. Debe hacerse en armarios, archivadores u otros elementos situados en áreas en las que el acceso esté protegido con puertas dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Estas áreas permanecerán cerradas cuando no se precise el acceso a los documentos del fichero. La Recomendación 2/2004 de la APDCM añade que “se deberá contar con los medios de seguridad necesarios que eviten los riesgos que se puedan producir como consecuencia de incidencias fortuitas o intencionadas tales como incendios, fugas de agua, o cualquier otra circunstancia que pueda dañar el fichero”. Para ello se deben instalar detectores y extintores de incendios, armarios ignífugos, etc. También se debe prever la posibilidad de acceso en situaciones urgentes (bomberos, servicios de emergencia y policía). El personal de limpieza o mantenimiento debe acceder sólo dentro de los horarios de trabajo del personal propio del archivo.

Copia o reproducción. Sólo se realizarán copias bajo el control del personal autorizado en el documento de seguridad. La destrucción de las copias se hará de forma que se evite el acceso o recuperación posterior de la información contenida en las mismas.

Acceso a la documentación. El acceso se limitará al personal autorizado y se establecerán los mecanismos que permitan identificar los accesos en los casos de documentos que puedan ser utilizados por múltiples usuarios. En su artículo 16, la ley 41/2002 establece que los profesionales del centro que realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica completa, como instrumento fundamental para su adecuada asistencia. El personal de administración y gestión de los centros e instituciones sanitarias sólo podrá acceder a los datos de la historia clínica relacionados con sus propias funciones. La Recomendación 2/2004 de la APDCM establece que en la Unidad de Admisión y Documentación Clínica del centro sanitario debería constar una relación detallada de todo el personal con posibilidad de acceso a las historias clínicas. Dicha relación debe hacerse de forma nominativa y por perfiles profesionales, diferenciando entre el personal profesional sanitario y el personal administrativo y definiendo qué documentos son accesibles a ambos tipos de personal. A estos efectos, se recomienda que toda la documentación clínica que forma parte del contenido de la historia clínica se archive separadamente de toda la documentación administrativa. Siempre hay documentos clínicos que necesitan ser consultados por las unidades de facturación, para validar la existencia de una actividad o de un determinado consumo. En estos casos, lo razonable es que el personal autorizado de los Servicios de Documentación acceda a la historia y sea el responsable de validar la información.

Traslado de documentación. Cuando se realizan traslados físicos de documentación se aplicarán las medidas necesarias para impedir el acceso o manipulación de la información objeto del traslado.

Gestión y distribución de soportes. Los soportes se identifican con un sistema de etiquetado sólo comprensible para los usuarios autorizados. La distribución y transporte de los soportes se hará cifrando los datos que contengan. También se cifrarán los datos de los dispositivos portátiles cuando se encuentren fuera de las instalaciones bajo control del responsable del fichero.

Copias de respaldo y recuperación. Debe existir una copia de respaldo de los datos y de los procedimientos de recuperación en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan.

Registro de accesos. De cada intento de acceso se registran los datos (identificación del usuario, fecha y hora, fichero accedido, y si el acceso ha sido autorizado o denegado), que se conservarán al menos durante dos años. El responsable de seguridad controlará esta información y elaborará un informe mensual. Ese informe no será necesario si el responsable del fichero o del tratamiento es una persona física que garantice que únicamente él tiene acceso a los datos personales.

Telecomunicaciones. La transmisión de datos a través de redes públicas o de redes inalámbricas debe ser cifrada.

Además, de las medidas de seguridad, la legislación de protección de datos también recoge el deber de secreto profesional. De manera que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional con respecto a esos datos y al deber de guardarlos. Esta obligación subsistirá aún después de finalizadas las relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

El derecho de acceso a la historia clínica se encuentra desarrollado en la Ley 41/2002. Se reconoce el derecho de acceso a la historia clínica por parte del paciente y los posibles accesos por parte de terceras personas. El paciente tiene el derecho de acceso a la documentación de la historia clínica y obtener copia de los datos que figuran en ella. Para ello, los centros sanitarios regularán el procedimiento que garantice ese derecho. La ley limita el derecho de acceso del paciente a la documentación de la historia clínica exclusivamente cuando va en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en la historia y están recogidos en interés terapéutico del paciente. La ley no va en perjuicio del derecho de los profesionales participantes en la elaboración de las historias, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas.

En cuanto al derecho de rectificación y cancelación de las historias clínicas, la LOPD, como vimos anteriormente, establece la cancelación cuando los datos hayan dejado de ser necesarios. Sin embargo, la Ley 41/2002, en su art. 17.1, establece la conservación de la documentación clínica para la debida asistencia al paciente, a efectos judiciales o por razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud.

En su artículo 18.4, la Ley 41/2002 regula “el acceso de los familiares a la historia clínica de los pacientes fallecidos a las personas vinculadas a él por razones familiares o de hecho, salvo que el fallecido lo hubiera prohibido expresamente y así se acredite”. En cualquier caso, el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros.

Ya se ha hecho referencia al control de acceso a la historia clínica por parte de los profesionales sanitarios y por el personal de gestión. En relación con el personal de inspección el artículo 16.5 de la Ley 41/2002 dice: “el personal que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria”

En su artículo 11 la LOPD establece que “los datos de carácter personal ... sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Sin embargo, esta norma general no se aplicará cuando exista una Ley que prevea la posibilidad de cesión de los datos.

La Ley 41/2002 establece que el acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia obliga a preservar los datos personales de identificación del paciente, separados de los de carácter clínico-asistencial; de manera que, como regla general, quede asegurado el anonimato de los datos, salvo que el propio paciente haya dado su consentimiento para no separarlos. A este respecto la LOPD establece que el acceso se realice según la legislación sanitaria estatal o autonómica.

Cuando exista una investigación judicial en curso se establece que, cuando  la autoridad judicial lo considere imprescindible, se unificarán los datos identificativos de los pacientes con los clínicos asistenciales.

Este supuesto no está contemplado específicamente en la Ley 41/2002. La LOPD establece que la recogida y tratamiento de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad para fines policiales, sin consentimiento de las personas afectadas, está limitada a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.