El RGPD establece en su artículo 9 apartado 1 una relación de datos que se engloban en una categoría especial de datos personales. Dentro de esa categoría especial de datos personales se encuentran los datos relativos a la salud, que incluyen las informaciones concernientes a la salud pasada, presente y futura, física y mental de las personas.
En particular, los datos relativos a la salud del interesado comprenden:
- Todo número, símbolo o dato asignado a una persona que la identifique de manera unívoca a efectos sanitarios.
- Toda información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria o con ocasión de la prestación de tal asistencia, de acuerdo con lo previsto en la Directiva 2011/24/UE del Parlamento Europeo y del Consejo.
- Toda información relativa a una enfermedad o al riesgo de padecerla, el historial médico, el tratamiento clínico, el estado fisiológico del interesado, los antecedentes familiares, los hábitos de vida, alimentación y consumo, el consumo y abuso de alcohol y drogas, etc.
- Toda información obtenida de exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas.
El interesados, o sea, el paciente tiene derecho a acceder a la información personal recogida que le concierna y a ejercer dicho derecho con facilidad y a intervalos razonables con el fin de conocer y verificar la licitud del tratamiento.
El RGPD dispone que el responsable del tratamiento debe estar facultado para facilitar al interesado el acceso remoto a un sistema seguro de acceso directo a sus datos personales. El responsable empleará medidas razonables para verificar la identidad de los interesados que soliciten el acceso, en particular en el contexto de los servicios e identificadores en línea.
Si no es posible habilitar un sistema seguro de acceso directo se podrá enviar la información solicitada por correo electrónico. La información será encriptada o protegida mediante una contraseña segura, que solo conocerá el interesado. Para garantizar la seguridad, primero envíen la información protegida y en otro correo electrónico o por SMS la contraseña de acceso.
Si tampoco es posible el envió de la información por vía telemática, se le facilitará al interesado en un formato automatizado, como un CD o una memoria USB, igualmente encriptados y protegidos por una contraseña segura.
Nada impide que la copia se le entregue al interesado en formato no automatizado, o sea, en papel. En cualquier caso, deben asegurarse de la recepción de la información por el destinatario mediante el oportuno acuse de recibo.
Si trata una gran cantidad de información, el responsable del tratamiento podrá requerir al interesado para que especifique la información a que se refiere su solicitud. También podrá cobrarle un canon razonable en función del coste administrativo afrontado para facilitar la información.
El plazo legal para facilitar el acceso a la información es de UN MES a contar desde la recepción de la solicitud. Dicho plazo podrá prorrogarse DOS MESES MÁS cuando sea necesario por la complejidad y el número de solicitudes a tramitar. El responsable del tratamiento informará al interesado sobre la necesidad de prorrogar el plazo legal, indicando los motivos de la dilación. Si no da curso a la solicitud del interesado, y este no es informado de las razones de la no actuación, podrá presentar reclamación ante la autoridad de control y ejercitar las acciones judiciales correspondientes a los daños causados.
Derecho de información
Los interesados tienen derecho a conocer la identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante; los datos de contacto del delegado de protección de datos; los fines de las actividades de tratamiento; los destinatarios o las categorías de destinatarios de la información; la intención del responsable de transferir los datos a un tercer país u organización internacional; la lógica implícita en todo tratamiento automático de datos personales y cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. Además, se le informará sobre la base legal que justifica el tratamiento de datos, el plazo de conservación de los datos tratados o los criterios utilizados para determinar dicho plazo; los derechos reconocidos por la normativa vigente y el derecho a presentar una reclamación ante la autoridad de control en caso de disconformidad con el tratamiento realizado.
Con la pandemia se ha generalizado la telemedicina o prestación de servicios médicos a distancia, que incluyen procedimientos administrativos, diagnósticos, tratamientos, etc. utilizando para ello equipos de telecomunicaciones interactivas con equipamiento de audio y video.
El responsable del tratamiento está obligado a implementar las medidas de seguridad necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales. Es imprescindible un análisis de riesgo de las actividades de tratamiento a fin de establecer qué medidas de seguridad debe aplicar y cómo hacerlo.
No solo el paciente puede acceder a sus datos personales. El personal que se ocupa de las tareas de administración y gestión de los centros sanitarios también puede acceder, pero sólo a los datos de la historia clínica relacionados con dichas funciones. El mismo acceso limitado tendrán los facultativos y profesionales asistenciales implicados en el diagnóstico o tratamiento del paciente.
El personal al servicio de la Administración sanitaria que ejerce funciones de inspección puede acceder a las historias clínicas a fin de comprobar la calidad de la asistencia, el cumplimiento de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes o la Administración sanitaria. El personal de la Administración garantizará la confidencialidad de la información a la que tengan acceso.
—