Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Telemedicina y datos de salud

El RGPD establece en su artículo 9 apartado 1 una relación de datos que se engloban en una categoría especial de datos personales. Dentro de esa categoría especial de datos personales se encuentran los datos relativos a la salud, que incluyen las informaciones concernientes a la salud pasada, presente y futura, física o mental de un individuo. 

En particular, los datos relativos a la salud del interesado comprenden:

  • Todo número, símbolo o dato asignado a una persona que la identifique de manera unívoca a efectos sanitarios.
  • Toda información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria o con ocasión de la prestación de tal asistencia, de acuerdo con lo previsto en la Directiva 2011/24/UE del Parlamento Europeo y del Consejo.
  • Toda información relativa a una enfermedad o al riesgo de padecerla, el historial médico, el tratamiento clínico, el estado fisiológico del interesado, los antecedentes familiares, hábitos de vida, alimentación y consumo, consumo y abuso de alcohol y drogas, etc.
  • Toda información obtenida de exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas.

Los interesados tienen derecho a acceder a la información personal recogida que le concierna y a ejercer dicho derecho con facilidad y a intervalos razonables con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho a acceder a datos relativos a su salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.

El RGPD dispone que el responsable del tratamiento debe estar facultado para facilitar al interesado el acceso remoto a un sistema seguro de acceso directo a sus datos personales. El responsable empleará medidas razonables para verificar la identidad de los interesados que soliciten el acceso, en particular en el contexto de los servicios e identificadores en línea. 

Si no es posible habilitar un sistema seguro de acceso directo se podrá enviar la información solicitada por correo electrónico. La información será encriptada o protegida mediante una contraseña segura que solo conocerá el interesado. Para garantizar la seguridad, primero envíen la información protegida y en otro correo electrónico o por SMS la contraseña de acceso.

Si tampoco es posible el envió de la información por vía telemática, se le facilitará al interesado en un formato automatizado, como un CD o una memoria USB, igualmente encriptados y protegidos por una contraseña segura. 

Nada impide que la copia se le entregue al interesado en formato no automatizado, o sea, en papel, si bien no es la opción más recomendable. En cualquiera de los casos, deben asegurarse de la recepción de la información por el destinatario mediante el oportuno acuse de recibo.  

Si trata una gran cantidad de información, el responsable del tratamiento podrá requerir al interesado para que especifique la información a que se refiere su solicitud. También podrá cobrarle un canon razonable en función del coste administrativo afrontado para facilitar la información.

El plazo legal para facilitar el acceso a la información es de UN MES a contar desde la recepción de la solicitud. Dicho plazo podrá prorrogarse DOS MESES MÁS cuando sea necesario por la complejidad y el número de solicitudes a tramitar. El responsable del tratamiento informará al interesado sobre la necesidad de prorrogar el plazo legal, indicando los motivos de la dilación. Si no da curso a la solicitud del interesado y éste no es informado de las razones de la no actuación, podrá presentar reclamación ante la autoridad de control y ejercitar las acciones judiciales correspondientes a los daños causados.

Los interesados también tienen derecho a conocer y a que se le comuniquen, en particular, los fines de las actividades de tratamiento, los destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos, cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento.

Con la pandemia se ha generalizado la telemedicina o prestación de servicios médicos a distancia, que incluyen procedimientos administrativos, diagnósticos, tratamientos, etc. utilizando para ello equipos de telecomunicaciones interactivas con equipamiento de audio y video. 

El responsable del tratamiento está obligado a implementar las medidas de seguridad necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Es imprescindible un análisis de riesgo de las actividades de tratamiento a fin de establecer qué medidas de seguridad debe aplicar y cómo hacerlo. 

No solo el paciente puede acceder a sus datos personales. El personal que se ocupa de las tareas de administración y gestión de los centros sanitarios también puede acceder, pero sólo a los datos de la historia clínica relacionados con dichas funciones. El mismo acceso limitado tendrán los facultativos y profesionales asistenciales implicados en el diagnóstico o tratamiento del paciente. 

El personal al servicio de la Administración sanitaria que ejerce funciones de inspección puede acceder a las historias clínicas a fin de comprobar la calidad de la asistencia, el cumplimiento de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes o la Administración sanitaria. El personal de la Administración garantizará la confidencialidad de la información a la que tengan acceso. 

Fuente:

Sánchez-Caro, Javier y Abellán, Fernando, Telemedicina y Protección de Datos Sanitarios, Edit. El Partal, Granada, 2002

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual