La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía para pacientes y usuarios de la sanidad, un documento que tiene por objetivo responder las dudas de los ciudadanos en relación a cómo se tratan sus datos personales por parte de centros, administraciones y profesionales sanitarios. En este post de Conversia resumimos el contenido de la guía.

Una guía para que los usuarios de la sanidad conozcan sus derechos

Tal y como se explica en la introducción de la Guía para pacientes y usuarios de la sanidad, a lo largo de nuestra vida todos acabamos siendo usuarios del sistema sanitario, de manera que nuestros datos más sensibles van a ser tratados por médicos, sanitarios, centros de salud y hospitales, ya sea en la sanidad pública como en la privada.

Los profesionales sanitarios han pasado de escribir informes a mano y organizar rudimentariamente los historiales en carpetas y archivadores a utilizar bases de datos en sistemas informáticos que permiten acceder a la misma información por parte de distintos profesionales, así como realizar estudios, identificar riesgos o desarrollar la medicina preventiva.

Todos estos datos deben ser tratados correctamente por parte de los profesionales sanitarios y por este motivo la AEPD ha publicado este documento. En una primera parte, la guía aborda cuestiones generales de la normativa de protección de datos que se aplican a los tratamientos de datos de salud y recoge los derechos que tienen los pacientes y usuarios de la sanidad en relación con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Por lo que hace referencia a la segunda parte, la guía resuelve aquellas dudas planteadas con mayor frecuencia a la AEPD en materia de protección de datos de salud.

La guía forma parte de las actuaciones del Plan estratégico de la AEPD, que la recoge como parte de los instrumentos preventivos para dar a conocer y fomentar el cumplimiento de los derechos que tienen los ciudadanos respecto al tratamiento de sus datos personales. Próximamente, la Agencia también publicará un Plan de inspección sectorial de oficio del sector sociosanitario.

Aspectos generales de los datos de salud y la historia clínica

Los datos personales relativos a la salud son considerados como datos sensibles, especialmente protegidos y como una categoría especial de datos personales. Se definen como aquellos “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. También son datos de salud los datos genéticos, es decir aquellos relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

La historia clínica comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de profesionales que han intervenido en ellos, e incorpora la información que se considera trascendental para el conocimiento del estado de salud del paciente. Se establece que el responsable del tratamiento de los datos que forman parte de la historia clínica es el médico o el centro sanitario, público o privado. Éstos tienen la obligación de elaborarla, custodiarla e implantar las medidas de seguridad necesarias para que no se extravíe o sea accedida por terceros.

No es necesario que el médico o el centro sanitario solicite el consentimiento a los pacientes para la recogida y utilización de datos personales y de salud siempre que se vayan a utilizar para los fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. Tampoco es necesario si el tratamiento de datos se efectúa por razones de interés público en el ámbito de la salud pública o si el tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física o cuando lo solicite un órgano judicial. Las personas que traten los datos deben ser profesionales sujetos a la obligación de secreto profesional, o que estén bajo su responsabilidad. Sí que se deberá pedir el consentimiento en el caso de que el profesional (por ejemplo odontólogo o fisioterapeuta) quieran enviar publicidad al paciente.

Derecho de información para el tratamiento de datos de salud

A pesar de que generalmente no debe solicitarse el consentimiento del paciente para el tratamiento de sus datos personales, sí que es obligatorio que sea informado de:

  • La identidad y los datos de contacto del responsable del tratamiento de los datos.
  • Los datos de contacto del delegado de protección de datos.
  • Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
  • Los destinatarios o las categorías de destinatarios de los datos personales.
  • La intención del responsable de transferir datos personales a un tercer país u organización internacional.
  • El plazo durante el cual se conservarán los datos personales.
  • El derecho del interesado a solicitar al responsable del tratamiento el acceso a los datos, su rectificación, supresión, limitación u oposición al tratamiento, así como el derecho a la portabilidad de los datos.
  • El derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
  • El derecho a presentar una reclamación ante una autoridad de control.

Principios en el tratamiento de datos

  • Licitud, lealtad y transparencia (en relación con el interesado).
  • Limitación de la finalidad: se recogerán con fines determinados, explícitos y legítimos, y no serán usados posteriormente para finalidades incompatibles con dichos fines.
  • Minimización de datos: sólo se van a utilizar los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • Exactitud: los datos recogidos en las bases de datos sanitarias, como en todas las demás, serán exactos y, si fuera necesario, serán actualizados.
  • Limitación del plazo de conservación: mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
  • Integridad y confidencialidad: los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de dichos datos, incluida la protección contra el tratamiento y acceso no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Derechos de los paciente y usuarios de la sanidad

  • Derecho de acceso a la historia clínica: Los usuarios/pacientes tienen derecho a dirigirse al responsable del tratamiento de sus datos (médicos, centros de salud, centros sanitarios, tanto públicos como privados) para solicitar el acceso a la documentación que constituye su historia clínica, tanto electrónica como en papel. En el caso de personas fallecidas, solo se facilitará el acceso a la historia clínica a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso, el acceso de un tercero a la historia clínica tiene que estar motivada por un riesgo para su salud y se limitará a los datos que los profesionales consideren pertinentes.
  • Derecho de rectificación de la historia clínica: El interesado tiene derecho a obtener la rectificación de los datos personales que sean inexactos, aportando la documentación acreditativa del error. Si la rectificación se refiere a datos sanitarios, es el profesional sanitario el que determina si debe rectificarse el dato o no.
  • Derecho de supresión de datos de la historia clínica: En el ámbito de la sanidad, el derecho a la supresión de datos de la historia clínica está muy limitado. Solo el profesional sanitario puede determinar si se puede suprimir el dato de salud. Hay que ser conscientes que la finalidad de la historia clínica es garantizar la asistencia adecuada al paciente; pero también se utiliza con fines judiciales, epidemiológicos, de salud pública, de investigación o docencia; que están relacionados con la garantía del interés público o el cumplimiento de obligaciones legales por lo que la cancelación de los datos que forman parte de la historia clínica es excepcional.

Próximamente, en un nuevo post de Conversia resumiremos la segunda parte de la Guía para pacientes y usuarios de la sanidad, que recoge las respuestas de la AEPD a aquellas preguntas que les han planteado con mayor frecuencia en relación a la protección de datos de salud.