Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Acceso y deber de custodia de los datos de salud

Cuando uno acude como paciente a una consulta, clínica o centro sanitario, por lo general, comunica a su responsable los siguientes datos de carácter personal:

  • Datos de carácter identificativo: nombre y apellidos, DNI, domicilio, correo electrónico, teléfono y número de tarjeta sanitaria o seguro médico privado.
  • Datos de salud: enfermedades, antecedentes médicos y familiares, tratamientos, intervenciones, alergias, etc.
  • Datos financieros: número de cuenta bancaria o tarjeta de crédito o debito cuando los pagos por tratamiento médico superen los 1.000 €.

Si Ud. es el responsable de la consulta, clínica o centro sanitario ha de saber que no es necesario que solicite el consentimiento a sus pacientes para la recogida y tratamiento de los referidos datos personales, siempre y cuando los utilice para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario, o gestión de los sistemas y servicios de asistencia sanitaria y social. No es necesario recabar el consentimiento, pues la base jurídica que legitima el tratamiento de tales datos se encuentra en el artículo 6.1.b) del RGPD para las entidades privadas y en el artículo 6.1.c) para las entidades públicas. 

Igualmente, se pueden tratar los datos de salud sin solicitar el consentimiento del interesado cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona cuando esta no esté capacitada para otorgar su consentimiento, o cuando lo solicite un órgano judicial, todo ello al amparo del artículo 6.1.d) del RGPD.

Aunque no sea necesario recabar el consentimiento de los pacientes para tratar sus datos personales, sí es obligatorio informarles de los siguientes puntos:

  • Identidad del responsable del tratamiento y sus representantes.
  • Datos de contacto del Delegado de Protección de Datos, si lo hubiere.
  • Base jurídica y finalidades del tratamiento.
  • Destinatario o categorías de destinatarios.
  • Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen
  • Plazos de conservación.  
  • Cómo ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
  • La existencia de decisiones automatizadas, es decir, tomadas mediante procesos informáticos sin intervención humana, incluida la elaboración de perfiles, que produzcan efectos jurídicos en el interesado o le afecten significativamente.
  • Cesiones previstas y transferencias internacionales, en su caso.
  • Derecho a presentar una reclamación ante una autoridad de control.

La información ha de ser concisa, transparente, entendible y de fácil acceso, con un lenguaje claro y sencillo. Puede facilitarse por capas, es decir, una primera capa con información básica y una segunda capa ampliando la información, por ejemplo, mediante la remisión a la página web corporativa.

Derecho de información y acceso a la historia clínica

El artículo 18.1 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica dispone que: «El paciente tiene derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos». Por tanto, si es responsable de un centro sanitario debe tener un protocolo de uso y custodia de la información clínica de sus pacientes que contendrá, como mínimo, los siguientes extremos:

  • Estructura y orden del contenido de la historia clínica.
  • Procedimiento de identificación de la documentación clínica.
  • Procedimiento para la cumplimentación de las historias clínicas y documentos a utilizar.
  • Conservación de la documentación clínica.
  • Responsabilidades de su conservación y utilización.
  • Confidencialidad de la historia clínica.
  • Acceso a la información de la historia clínica.
  • Medidas de seguridad.

Sin perjuicio de las disposiciones contenidas en las normativas autonómicas, el contenido mínimo de la historia clínica será el siguiente:

  1.  La documentación relativa a la hoja clínico-estadística. 
  2.  La autorización de ingreso.
  3.  El informe de urgencia.
  4.  La anamnesis y la exploración física.
  5.  La evolución.
  6.  Las órdenes médicas.
  7.  La hoja de interconsulta.
  8.  Los informes de exploraciones complementarias.
  9.  El consentimiento informado.
  10.  El informe de anestesia.
  11.  El informe de quirófano o de registro del parto.
  12.  El informe de anatomía patológica.
  13.  La evolución y planificación de cuidados de enfermería.
  14.  La aplicación terapéutica de enfermería.
  15.  El gráfico de constantes.
  16.  El informe clínico de alta.

Los párrafos b), c), i), j), k), l), ñ) y o) sólo serán exigibles en la cumplimentación de la historia clínica cuando se trate de procesos de hospitalización o así se disponga.

Cuando se trate del nacimiento de una persona, la historia clínica incorporará, además, los resultados de las pruebas biométricas, médicas o analíticas que resulten, en su caso, necesarias para determinar el vínculo de filiación con la madre.

El derecho de acceso se puede ejercer por otra persona en representación del paciente, siempre que acompañe poder suficiente (notarial, por ejemplo).

El derecho de acceso a datos de personas fallecidas

El artículo 18 apartado 4 de la Ley 41/2002 dispone lo siguiente:

«Los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros».

En el caso de que exista riesgo de padecer una enfermedad derivada de la configuración genética del fallecido es razonable que el facultativo pueda informar a los familiares potencialmente afectados, aunque el paciente no deseara hacerlo, siempre que exista proporcionalidad entre el conocimiento de los datos y la posibilidad de prevenir la enfermedad. La especial naturaleza de los datos genéticos pudiera hacer pensar que, en realidad, los familiares acceden a información propia, de tal forma que no tendrían que sufrir limitación alguna al respecto. El Grupo de trabajo del Artículo 29 afirma que los datos genéticos son «información compartida», circunstancia que justifica el derecho de los familiares a acceder a los mismos cuando puedan tener repercusiones para su salud y su vida futura.

En el supuesto de los datos genéticos de personas adoptadas o que han sido engendradas mediante reproducción asistida con donante, el derecho a la salud también legitima el acceso a los datos de los padres biológicos, siempre que concurra situación de peligro.

Otro supuesto particular es el relativo al dato de la enfermedad del VIH. En este caso, el derecho a la salud posibilita el acceso a dicha información por parte de la pareja, ante el alto índice de contraer la enfermedad de aquella.

Conservación de los datos de salud

Los centros, servicios y establecimientos sanitarios archivarán las historias clínicas de sus pacientes, cualquiera que sea su soporte, en instalaciones que garanticen la seguridad, la correcta conservación y la recuperación de la información, debiendo adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales recogidos y evitar su destrucción o su pérdida accidental, así como el acceso, alteración, comunicación o cualquier tratamiento no autorizado.

La documentación clínica se conservará a efectos judiciales y cuando existan razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud que justifiquen su conservación. En tales casos, el tratamiento se hará de forma que se evite, en lo posible, la identificación de las personas afectadas.

La Ley 41/2002, se refiere a la forma de conservación de las historias clínicas y reconoce la posibilidad de mantenerla en un soporte distinto al original. Lo aconsejable es conservar la documentación en soportes automatizados. Si la documentación está en papel siempre pueden escanearla, destruyendo el soporte original de forma segura (para saber más sobre la destrucción de forma segura haga clic aquí). El papel ocupa espacio físico y es más difícil de custodiar, por cuanto se deteriora con el tiempo, además se puede destruir en inundaciones o incendios. Por su parte, los ficheros automatizados se pueden copiar fácil y rápidamente, generando copias de seguridad o respaldo. 

El plazo mínimo de conservación de la historia clínica son cinco años desde el alta de cada proceso asistencial, de conformidad con el artículo 17.1 de la Ley 41/2002, si bien los plazos de conservación pueden variar entre las Comunidades Autónomas (pueden consultar los plazos de conservación por Comunidades Autónomas haciendo clic aquí).

Así pues, cuando un paciente recibe el alta médica, o deja de asistir a la clínica, o esta ha cerrado, o el profesional sanitario se ha jubilado, no se puede proceder a eliminar los datos de los pacientes, pues existe una obligación de custodia de la historia clínica, y su incumplimiento conlleva la exigencia de responsabilidades.

En el ámbito sanitario el derecho de supresión no implica el borrado de los datos de salud, por cuanto una norma impone la obligación de conservarlos. Lo que comporta es la obligación de bloquearlos, de forma que los datos de salud del solicitante quedan fuera del circuito de trabajo ordinario, mediante medidas que impiden cualquier actividad de tratamiento.

En cuanto al derecho a la portabilidad de los datos, debemos distinguir entre centros pertenecientes a la red de salud pública y centros privados. La atención sanitaria prestada por los centros públicos no se basa en el consentimiento de los pacientes, sino en la obligación por ley a dispensar dicha atención. Por tanto, no cabe la portabilidad. En cambio, sí se puede solicitar la portabilidad a los responsables de centros sanitarios privados y mutuas que tratan los datos de forma automatizada y de acuerdo con una decisión previa del paciente que ha contratado la asistencia sanitaria. 

El derecho de oposición en el ámbito que nos ocupa también tiene matices. El paciente puede solicitar, por motivos relacionados con su situación particular, que sólo determinados profesionales tengan acceso a un episodio de salud concreto. Sin embargo, este derecho puede ser limitado, si el centro sanitario demuestra que hay razones legítimas imperiosas que deben prevalecer (por ejemplo, si puede poner en peligro la asistencia sanitaria que recibe el paciente o el buen funcionamiento del sistema de salud).

Más información en la web de la AEPD

La AEPD tiene un apartado específico en su página web en el que trata diversos temas relacionados con los datos de salud, que pueden encontrar haciendo clic aquí.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).