Guía para pacientes y usuarios de la Sanidad de la AEPD

Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Guía para pacientes y usuarios de la Sanidad de la AEPD

Guía para pacientes y usuarios de la sanidad

Guía para pacientes y usuarios de la Sanidad de la AEPD

17 diciembre, 2019 | GDPR Legal

Durante el mes de noviembre de 2019, la Agencia Española de Protección de Datos ha publicado la Guía para pacientes y usuarios de la Sanidad, una guía esperada en la que se contienen distintas situaciones que se suceden en el sector sanitario y que están relacionadas con la privacidad.

En el presente artículo se describirán los aspectos principales, resumiendo su contenido para que el lector pueda tener una idea rápida de lo que nos transmite este nuevo documento.

Aspectos generales de los datos de salud. La Historia Clínica

Comienza la mencionada Guía recordando la definición de datos personales, que se definen como “toda información sobre una persona física identificada o identificable” y, especialmente, de datos de salud, que implica a “los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Prosigue este apartado definiendo la historia clínica como “el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial” y aclarando que en las bases de datos sanitarias podrán existir dos tipos de datos principales: los identificativos y los de salud.

Termina esta pequeña introducción refiriendo que la normativa de protección de datos no contiene el concepto de propiedad de la Historia Clínica, estableciendo, simplemente, que el Responsable del Tratamiento será el médico o centro sanitario (público o privado), que tendrán la labor de elaborarla, custodiarla e implementar las medidas de seguridad oportunas que prevengan su extravío o accesos no autorizados, y que el paciente o usuario tendrá el derecho a acceder a la misma, así como a ejercitar sus derechos en esta materia.

Legitimación para el tratamiento de datos de salud

La cuestión principal de la licitud del tratamiento de datos personales es abordada, en este caso, en las primeras hojas de la Guía, de una forma escueta, respondiendo a la pregunta directa de si ¿es necesario que el médico o el centro sanitario pida el consentimiento al paciente/usuario para recoger y usar sus datos personales?

La respuesta es taxativa, y se establece que NO será necesario el consentimiento para tratar datos “si se van a utilizar para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social”. Estaríamos, por tanto, ante la excepción de la letra h) del artículo 9.2 RGPD.

No obstante, se expone que tampoco será necesario el consentimiento para tratar datos de salud si:

  • Se efectúa por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la inspección de reclamaciones de los ciudadanos. Por tanto, letra i) del artículo 9.2 RGPD.
  • Para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento, o cuando lo solicite un órgano judicial. Letra c) del artículo 9.2 RGPD.

Derecho de información

Transmite aquí la Guía que, a pesar de no requerir el consentimiento para el tratamiento de datos por parte del médico o centro sanitario, sí que es necesario, evidentemente, cumplir con el deber de informar.

La guía, simplemente, recuerda todos los aspectos necesarios para cumplir con este deber, haciendo hincapié en que, cuando los datos personales se obtienen de un tercero, hay que informar al titular de los datos, a la mayor brevedad posible, de los mismos apartados reseñados, así como del origen de sus datos.

Principios en el tratamiento de los datos

En el apartado que la Guía dedica a este asunto, se hace una pequeña revisión de los principios que rigen la materia: Licitud, Lealtad y Transparencia; Limitación de la finalidad; Minimización de datos; Exactitud; Limitación del plazo de conservación e Integridad y Confidencialidad.

A pesar de que dichos principios ya se tienen en cuenta, con carácter general, para el tratamiento de datos personales, la Guía refleja ciertos ejemplos interesantes. A saber:

  • En cuanto a la limitación de la finalidad, si hemos consentido en la utilización de nuestros datos para fines de una concreta investigación científica (por ejemplo, cáncer de colón) se podrán utilizar para otras investigaciones oncológicas. Esta segunda utilización no se considera incompatible.
  • En cuanto a la conservación, se especifica que “la historia clínica debe conservarse durante todo el tiempo que se va a prestar asistencia sanitaria; para facilitarlo a los órganos judiciales, si lo solicitan o para efectuar estudios epidemiológicos, docencia e investigación (en este último supuesto, podrían pseudonimizarse, es decir, separar los datos identificativos del paciente de los de salud aunque puedan volver a asociarse si es necesario)”, confirmando también que los datos personales podrán mantenerse más tiempo del necesario siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Derechos

La Guía dedica un par de apartados a los derechos de los interesados, abordando las cuestiones comunes, así como las especialidades de los derechos más importantes: Acceso, Rectificación y Supresión.

Las cuestiones comunes son similares a las reconocidas para el ejercicio de derechos de cualquier tipo de dato de carácter personal. Las más importantes son:

  • Plazo: Un mes, prorrogable por 2 meses más.
  • Medios electrónicos: Preferencia por estos medios en la respuesta, salvo manifestación en contrario.
  • Gratuidad: Ejercicio gratuito salvo peticiones infundadas o excesivas.

En cuanto a las cuestiones específicas de cada derecho, se destacan:

  • Derecho de acceso: Se recoge la posibilidad de que los pacientes/usuarios accedan a sus Historias Clínicas, de la misma forma que cada persona puede solicitar el acceso a sus datos personales.

No obstante, se mencionan algunas particularidades a tener en cuenta:

    • El acceso a la Historia Clínica no puede ejercitarse en perjuicio de terceras personas, lo que implica que los facultativos que elaboran y mantienen dichas Historias Clínicas puedan (y deban) utilizar las anotaciones subjetivas como mecanismo para hacer constar todo lo que entiendan oportuno y que afecte a la privacidad de terceros, ya que dichas anotaciones “quedan fuera” del ejercicio del derecho de acceso.
    • Los accesos a Historias Clínicas de pacientes fallecidos sólo se facilitará a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso, se facilitará el acceso de un tercero a la Historia Clínica motivado por un riesgo para su salud, aunque se limitará a los datos pertinentes.
    • Salvo que una ley lo permita expresamente, el derecho de acceso no incluye la identificación de los profesionales sanitarios que acceden a la Historia Clínica.
  • Derecho de rectificación: Es un derecho que se puede solicitar en los mismos términos en los que se ejercita ante cualquier petición de este tipo. No obstante, sí que es necesario tener en cuenta que si la rectificación se refiere a datos sanitarios, es el profesional sanitario el que determina si debe rectificarse el dato o no.
  • Derecho de supresión: En el ámbito de la sanidad el derecho a la supresión de datos de la historia clínica está muy limitado siempre que esos datos se estén tratando para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social; o cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios. Solo el profesional sanitario puede determinar si se puede suprimir el dato de salud.

Preguntas frecuentes

Como viene siendo habitual, la Guía finaliza con una serie de cuestiones que suelen surgir en este ámbito y sector, y que resuelven dudas comunes interesantes.

Se pueden destacar:

1) ¿Puede acceder cualquier persona a la Historia Clínica?

No. El acceso a dicha información por parte del médico o personal del correspondiente centro sanitario deberá atender al criterio de “necesidad de conocer”, siendo que sólo podrá acceder quien lo precise para el ejercicio de su trabajo.

En este sentido, serán sancionables, como ya ha ocurrido previamente, los accesos realizados por curiosidad, para facilitar información a un conocido, etc…

Además, hay que señalar que el profesional sanitario que accede ilícitamente a datos de salud puede incurrir en un delito de descubrimiento y revelación de secretos, previsto y penado en el Código Penal.

2) ¿Se pueden ceder los datos de salud a otras entidades diferentes de las que las han recogido y tratado?

Sí, se pueden ceder si existe legitimación para ello. Un ejemplo es cuando se acude a un médico o a un centro sanitario como usuarios de la sanidad privada (con la tarjeta de la compañía aseguradora), el médico facilita a la entidad la información mínima necesaria para que abone la prestación sanitaria realizada.

3) ¿Se puede informar al empleador acerca de los datos de salud de sus empleados cuando acuden a la revisión de prevención de riesgos laborales?

No. La información que se facilita al empleador es si el trabajador es APTO o NO APTO para el trabajo, o si es Apto y necesita alguna adaptación; pero no le pueden informar de los resultados de las pruebas médicas de sus trabajadores.

4) ¿Pueden facilitar información telefónica a un paciente sobre su estado de salud o el resultado de las pruebas realizadas?

En principio, existiría el riesgo de estar facilitando información a un tercero y, por tanto, por motivos de seguridad debería evitarse. Se podría hacer si existe un protocolo de identificación del solicitante de la información, mediante la solicitud de nombre y apellidos, número de DNI, número de teléfono desde el que llama que coincida con el que facilitó al profesional, dirección de correo electrónico, número de tarjeta sanitaria, etc… Se debería tener la seguridad de que quien solicita la información es el titular de la misma.

El Equipo Govertis

Logotipo de Govertis