Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Telemedicina y datos de salud

El RGPD establece en su artículo 9, apartado 1, una relación de datos que se clasifican como categorías especiales de datos personales. Dentro de esa categoría se incluyen los datos relativos a la salud, que incluyen las informaciones concernientes a la salud pasada, presente y futura, física y mental de las personas. 

En particular, los datos relativos a la salud del interesado comprenden:

  • Todo número, símbolo o dato asignado a una persona que la identifique de manera unívoca a efectos sanitarios, como número de historia clínica o identificadores biométricos.
  • Toda información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria o con ocasión de la prestación de tal asistencia, de acuerdo con lo previsto en la Directiva 2011/24/UE del Parlamento Europeo y del Consejo, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza.
  • Toda información relativa a una enfermedad o al riesgo de padecerla, el historial médico, el tratamiento clínico, el estado fisiológico del interesado, los antecedentes familiares, los hábitos de vida, alimentación y consumo, el consumo y abuso de alcohol y drogas, así como datos derivados de apps de salud que monitorizan parámetros vitales.
  • Toda información obtenida de exámenes o pruebas de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas.

El interesado, es decir, el paciente, tiene derecho a acceder a la información personal recogida que le concierna y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento, conforme al artículo 15 del RGPD. 

El RGPD dispone que el responsable del tratamiento debe estar facultado para facilitar al interesado el acceso remoto a un sistema seguro de acceso directo a sus datos personales, como plataformas sanitarias seguras. El responsable empleará medidas razonables para verificar la identidad de los interesados que soliciten el acceso, en particular en el contexto de los servicios e identificadores en línea, utilizando métodos como autenticación de dos factores o verificación biométrica no invasiva, alineándose con las recomendaciones de la AEPD sobre ciberseguridad en salud.

Si no es posible habilitar un sistema seguro de acceso directo, se podrá enviar la información solicitada por correo electrónico. La información será encriptada o protegida mediante una contraseña segura, que solo conocerá el interesado. Para garantizar la seguridad, se recomienda enviar primero la información protegida y, en un canal separado (como otro correo electrónico o SMS), la contraseña de acceso.

Si tampoco es posible el envío de la información por vía telemática, se le facilitará al interesado en un formato automatizado legible por máquina, como un CD, una memoria USB o un archivo descargable, igualmente encriptados y protegidos por una contraseña segura, cumpliendo con los principios de integridad y confidencialidad del artículo 5 del RGPD.

Nada impide que la copia se entregue al interesado en un formato no automatizado, es decir, en papel. Para demostrar la recepción de la información por parte del destinatario, asegúrense de que firme un acuse de recibo, lo cual permitirá documentar el cumplimiento y evitarle posibles reclamaciones.

Si trata una gran cantidad de información, el responsable del tratamiento podrá requerir al interesado para que especifique la información a que se refiere su solicitud. Además, podrá cobrarle un canon razonable en función de los costes administrativos afrontados para facilitar la información, las copias adicionales o las transmisiones, pero no por la primera copia, que será gratuita.

El plazo legal para facilitar el acceso a la información es de UN MES a contar desde la recepción de la solicitud. Dicho plazo podrá prorrogarse DOS MESES MÁS cuando sea necesario por la complejidad y el número de solicitudes a tramitar. El responsable del tratamiento informará al interesado sobre la necesidad de prorrogar el plazo legal, indicando los motivos de la dilación. Si no da curso a la solicitud del interesado, y este no es informado de las razones de la no actuación, podrá presentar reclamación ante la autoridad de control y ejercitar las acciones judiciales correspondientes a los daños causados con base en el artículo 79 del RGPD.

Derecho de información 

Los interesados tienen derecho a conocer, de manera clara y accesible, la identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante; los datos de contacto del delegado de protección de datos; los fines de las actividades de tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento; los destinatarios o las categorías de destinatarios de los datos personales; la intención del responsable de transferir los datos a un tercer país u organización internacional, junto con las garantías adecuadas; la lógica implícita en todo tratamiento automatizado de datos personales y, cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento para el interesado. Además, se le informará sobre el plazo durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho plazo; la existencia de los derechos de acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad de los datos; y el derecho a presentar una reclamación ante la autoridad de control en caso de disconformidad con el tratamiento realizado (arts. 13 y 14 del RGPD).

Tras la pandemia, se ha generalizado la telemedicina o prestación de servicios médicos a distancia, que incluye procedimientos administrativos, diagnósticos, tratamientos y seguimiento, utilizando para ello equipos de telecomunicaciones interactivos con equipamiento de audio, vídeo y herramientas de IA para análisis predictivos. En este contexto, el responsable del tratamiento está obligado a implementar medidas técnicas y organizativas adecuadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales, de acuerdo con el artículo 32 del RGPD.

Además del paciente, pueden acceder a su información el personal encargado de la administración y gestión del centro sanitario, pero solo a los datos de la historia clínica necesarios para esas tareas. Del mismo modo, los facultativos y demás profesionales asistenciales implicados en el diagnóstico o tratamiento del paciente solo accederán a los datos estrictamente necesarios para realizar su trabajo. El sistema de información deberá registrar todos los accesos que se realicen.

El personal al servicio de la Administración sanitaria que ejerce funciones de inspección, auditoría o control puede acceder a las historias clínicas para comprobar la calidad de la asistencia, el cumplimiento de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes o la Administración sanitaria. Dicho personal garantizará la confidencialidad de la información a la que tenga acceso, sujetándose a sanciones administrativas y penales en caso de incumplimiento, y debiendo justificar cada acceso.

Fuente

Sánchez-Caro, Javier y Abellán, Fernando, Telemedicina y Protección de Datos Sanitarios, Edit. El Partal, Granada, 2002

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es