Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Acceso y deber de custodia de los datos de salud

Cuando uno acude como paciente a una consulta, clínica o centro sanitario, por lo general, comunica al responsable los siguientes datos de carácter personal:

  • Datos de carácter identificativo: nombre y apellidos, DNI, domicilio, correo electrónico, teléfono y número de tarjeta sanitaria o seguro médico privado.
  • Datos de salud: enfermedades, antecedentes médicos y familiares, tratamientos, intervenciones, alergias, etc.
  • Datos financieros: número de cuenta bancaria o tarjeta de crédito o débito cuando los pagos por tratamiento médico superen los 1.000 €.

Si usted es el responsable de una consulta, clínica o centro sanitario, debe saber que no es necesario solicitar el consentimiento de sus pacientes para la recogida y tratamiento de sus datos personales, siempre que estos se utilicen con fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento sanitario, o gestión de los sistemas y servicios de asistencia sanitaria y social. En estos casos, no es necesario recabar el consentimiento, ya que la base jurídica que legitima el tratamiento de dichos datos se encuentra en el artículo 6.1.b) del RGPD (cumplimiento de un contrato) para entidades privadas y en el artículo 6.1.c) para entidades públicas (cumplimiento de una obligación legal).

También es posible tratar datos de salud sin consentimiento cuando el tratamiento sea necesario para proteger intereses vitales del propio interesado o de otra persona física, si el interesado no está en condiciones físicas o jurídicas para otorgarlo (artículo 6.1.d y 9.2.c del RGPD), o cuando lo requiera un órgano judicial u otra autoridad competente.

Aunque no sea necesario recabar el consentimiento de los pacientes para tratar sus datos personales, sí es obligatorio informarles de los siguientes puntos:

  • Identidad del responsable del tratamiento y, en su caso, de sus representantes.
  • Datos de contacto del Delegado de Protección de Datos, si lo hubiere.
  • Base jurídica y finalidades del tratamiento.
  • Destinatario o categorías de destinatarios.
  • Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen.
  • Plazos o criterios de conservación.  
  • Cómo ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
  • La existencia de decisiones automatizadas, es decir, tomadas mediante procesos informáticos sin intervención humana, incluida la elaboración de perfiles, que produzcan efectos jurídicos en el interesado o le afecten significativamente.
  • Cesiones previstas y transferencias internacionales, en su caso.
  • Derecho a presentar una reclamación ante una autoridad de control.

La información ha de ser concisa, transparente, entendible y de fácil acceso, con un lenguaje claro y sencillo. Puede facilitarse por capas, es decir, una primera capa con información básica y una segunda capa ampliando la información, por ejemplo, mediante la remisión a la página web corporativa.

Derecho de información y acceso a la historia clínica

El artículo 18.1 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica dispone: «El paciente tiene derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos». Por tanto, si es responsable de un centro sanitario debe implementar un protocolo de uso y custodia de la información clínica de sus pacientes que contenga, como mínimo, los siguientes extremos:

  • Estructura y orden del contenido de la historia clínica.
  • Procedimiento de identificación de la documentación clínica.
  • Procedimiento para la cumplimentación de las historias clínicas y documentos a utilizar.
  • Conservación de la documentación clínica.
  • Responsabilidades de su conservación y utilización.
  • Confidencialidad de la historia clínica.
  • Acceso a la información de la historia clínica.
  • Medidas de seguridad técnicas y organizativas.

Sin perjuicio de las disposiciones contenidas en las normativas autonómicas, el contenido mínimo de la historia clínica, según el artículo 15 de la Ley 41/2002, será el siguiente:

  1.  La documentación relativa a la hoja clínico-estadística. 
  2.  La autorización de ingreso.
  3.  El informe de urgencia.
  4.  La anamnesis y la exploración física.
  5.  La evolución.
  6.  Las órdenes médicas.
  7.  La hoja de interconsulta.
  8.  Los informes de exploraciones complementarias.
  9.  El consentimiento informado.
  10.  El informe de anestesia.
  11.  El informe de quirófano o de registro del parto.
  12.  El informe de anatomía patológica.
  13.  La evolución y planificación de cuidados de enfermería.
  14.  La aplicación terapéutica de enfermería.
  15.  El gráfico de constantes.
  16.  El informe clínico de alta.

Los párrafos b), c), i), j), k), l), ñ) y o) solo serán exigibles en la cumplimentación de la historia clínica cuando se trate de procesos de hospitalización o así se disponga.

Cuando se trate del nacimiento de una persona, la historia clínica incorporará, además, los resultados de las pruebas biométricas, médicas o analíticas que resulten, en su caso, necesarias para determinar el vínculo de filiación con la madre.

El derecho de acceso se puede ejercer por otra persona en representación del paciente, siempre que acompañe poder suficiente.

El derecho de acceso a datos de personas fallecidas

El artículo 18, apartado 4, de la Ley 41/2002 dispone:

«Los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros».

Las residencias de mayores a menudo reciben solicitudes de familiares para acceder a las historias clínicas de residentes fallecidos. Sobre esto, la AEPD se pronunció en la Resolución 186/2021. En el caso analizado, una hija solicitó en varias ocasiones el acceso a la historia clínica de su madre fallecida, quien había estado ingresada en una residencia. La dirección del centro le denegó el acceso, argumentando que la solicitante no fue quien gestionó el ingreso, sino su hermana, y que esta se oponía a facilitar tal información.

La AEPD estimó la reclamación, recordando que, conforme al artículo 18.4 de la Ley 41/2002, los centros sanitarios deben permitir el acceso a la historia clínica de pacientes fallecidos a las personas vinculadas a ellos por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente, y así se acredite. En este caso, no constaba oposición expresa de la madre al acceso solicitado, por tanto, procedía el acceso a la historia clínica.

En casos de riesgo de enfermedad genética derivada del fallecido, es razonable que el facultativo informe a los familiares potencialmente afectados, aunque el paciente no deseara hacerlo, siempre que exista proporcionalidad entre el conocimiento de los datos y la posibilidad de prevenir la enfermedad. La especial naturaleza de los datos genéticos pudiera hacer pensar que, en realidad, los familiares acceden a información propia, de tal forma que no tendrían que sufrir limitación alguna al respecto. El Grupo de Trabajo del Artículo 29 (precursor del Comité Europeo de Protección de Datos) afirma que los datos genéticos son «información compartida», circunstancia que justifica el derecho de los familiares a acceder a los mismos cuando puedan tener repercusiones para su salud y su vida futura.

Para personas adoptadas o engendradas mediante reproducción asistida con donante, el derecho a la salud también legitima el acceso a los datos de los padres biológicos, siempre que concurra situación de peligro.

Otro supuesto particular es el relativo al dato de la enfermedad del VIH. En este caso, el derecho a la salud posibilita el acceso a dicha información por parte de la pareja, dada la alta transmisibilidad, siempre con minimización de datos y proporcionalidad.

Conservación de los datos de salud

Los centros, servicios y establecimientos sanitarios archivarán las historias clínicas de sus pacientes, cualquiera que sea su soporte, en instalaciones que garanticen la seguridad, la correcta conservación y la recuperación de la información, debiendo adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales recogidos y evitar su destrucción o su pérdida accidental, así como el acceso, alteración, comunicación o cualquier tratamiento no autorizado.

La documentación clínica se conservará a efectos judiciales y cuando existan razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud que justifiquen su conservación. En tales casos, el tratamiento se hará de forma que se evite, en lo posible, la identificación de las personas afectadas.

La Ley 41/2002, se refiere a la forma de conservación de las historias clínicas y reconoce la posibilidad de mantenerla en un soporte distinto al original. Lo aconsejable es conservar la documentación en soportes automatizados. Si la documentación está en papel siempre pueden escanearla, destruyendo el soporte original de forma segura (para saber más sobre la destrucción de forma segura haga clic aquí). El papel ocupa espacio físico y es más difícil de custodiar, por cuanto se deteriora con el tiempo, además se puede destruir en inundaciones o incendios. Por su parte, los ficheros automatizados se pueden copiar fácil y rápidamente, generando copias de seguridad o respaldo, aunque requieren medidas de seguridad. Además, con la entrada en vigor del Reglamento (UE) 2025/327, relativo al Espacio Europeo de Datos de Salud, a partir de marzo de 2025, se promueve una conservación digital interoperable para facilitar el acceso transfronterizo, con aplicación gradual hasta 2027.

El plazo mínimo de conservación de la historia clínica son cinco años desde el alta de cada proceso asistencial, de conformidad con el artículo 17.1 de la Ley 41/2002, si bien los plazos de conservación pueden variar entre las Comunidades Autónomas.

Por tanto, cuando un paciente recibe el alta médica, deja de asistir a la clínica, esta ha cerrado o el profesional sanitario se ha jubilado, no se pueden eliminar los datos de los pacientes, ya que existe una obligación de custodia de la historia clínica, cuyo incumplimiento conlleva responsabilidades.

En cuanto al derecho a la portabilidad de los datos, debemos distinguir entre centros pertenecientes a la red de salud pública y centros privados. La atención sanitaria prestada por los centros públicos no se basa en el consentimiento de los pacientes, sino en la obligación por ley a dispensar dicha atención. Por tanto, no cabe la portabilidad, aunque con el EEDS se facilita el acceso y la transferencia electrónica de datos a nivel nacional y europeo. En centros privados y mutuas, cuando el tratamiento está automatizado, la portabilidad se aplica, permitiendo al paciente recibir sus datos en formato estructurado y transferirlos a otro responsable. 

El derecho de oposición en el sector sanitario tiene particularidades: el paciente puede oponerse, por motivos personales, a que ciertos profesionales accedan a episodios específicos de salud. No obstante, este derecho puede limitarse si el centro demuestra que hay motivos legítimos imperiosos, como riesgos para la asistencia sanitaria del paciente o el funcionamiento del sistema de salud.

Más información en la web de la AEPD

La AEPD tiene un apartado específico en su página web en el que trata diversos temas relacionados con los datos de salud, que pueden encontrar haciendo clic aquí.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es