La semana pasada explicábamos en este mismo blog de Conversia, que la Agencia Española de Protección de Datos (AEPD) ha publicado la Guía para pacientes y usuarios de la sanidad con el fin de  responder las dudas de los ciudadanos en relación a cómo se tratan sus datos personales por parte de centros, administraciones y profesionales sanitarios. En el post de Conversia de hoy, explicamos las opiniones de la AEPD en preguntas concretas planteadas por los usuarios.

¿Puede acceder a nuestros datos cualquier médico o personal sanitario?

La Guía para pacientes y usuarios de la sanidad de la AEPD incluye un apartado con Preguntas Frecuentes en las que se da respuesta a aquellas dudas planteadas por los ciudadanos. De esta manera, la Agencia muestra las opiniones de los expertos en un tema tan delicado como es el de la protección de datos personales en el sector sanitario.

Una de las primeras preguntas que la Agencia responde en la guía es si cualquier médico o personal sanitario puede acceder a nuestra historia clínica, a lo que la AEPD responde que no. Solo se puede acceder cuando existe una justificación para ello: consulta médica, gestión de los servicios sanitarios o sociales, citas médicas, razones de interés público en el ámbito de la salud pública, etc.

Explican que el Responsable (normalmente el médico, el centro sanitario o la administración sanitaria) y el Encargado del Tratamiento (como, por ejemplo, los prestadores de servicios externos, como los que realizan análisis de sangre y otras pruebas que se han contratado con terceras entidades) deben tomar las medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo sus instrucciones. Cuando un profesional sanitario accede a una historia clínica debe hacerlo porque es necesario para realizar su trabajo. No es lícito que acceda por curiosidad, o para facilitar información de un paciente a un conocido. En este sentido, se explica que se ha sancionado a Servicios de Salud por no poner las medidas de seguridad adecuadas para evitar que un profesional accediera a la historia clínica de forma indebida. Además, señalan que el profesional sanitario puede incurrir en un delito de descubrimiento y revelación de secretos, previsto y penado en el Código Penal.

Otra de las cuestiones planteadas es si se puede facilitar información telefónica a un paciente sobre su estado de salud o el resultado de las pruebas realizadas. La AEPD opina que, en principio, existiría el riesgo de estar facilitando información a un tercero y, por tanto, por motivos de seguridad debería evitarse. Se podría hacer si se tiene la seguridad de que quien solicita la información es el titular de la misma, es decir, si existe un protocolo de identificación del solicitante de la información, por ejemplo comprobando que el número de teléfono desde el que llama coincide con el que facilitó previamente al profesional.

¿Qué tipo de información deben contener los partes de baja laboral?

La guía también recoge algunas preguntas relacionadas con el ámbito laboral. Una de ellas es si  se puede informar al empleador acerca de los datos de salud de sus empleados cuando acuden a la revisión de prevención de riesgos laborales. En este sentido, la AEPD contesta que no, ya que la única información que se debe facilitar al empleador es si el trabajador es apto o no apto para el trabajo que está realizando, o si es apto y necesita alguna adaptación.

Otra duda que se plantea es qué tipo de información deben contener los partes de baja. La Agencia opina que el parte médico de baja debe recoger los datos personales del trabajador y, además, la fecha de la baja, la contingencia causante, el código de diagnóstico, el código nacional de ocupación del trabajador, la duración estimada del proceso y, en su caso, la aclaración de que el proceso es recaída de uno anterior, así como, en este caso, la fecha de la baja del proceso que lo origina. Asimismo, debe constar la fecha en que se realizará el siguiente reconocimiento médico.

Finalmente, en el ámbito laboral, también se pregunta si pueden emitirse justificantes de asistencia sanitaria a personas que no son el propio paciente para justificar ausencias laborales. La Autoridad responde que sí, ya que el acompañante tiene un interés legítimo para ese tratamiento y debe acreditar la vinculación con el paciente. Sin embargo, el contenido del justificante debe cumplir el principio de minimización de datos, incluyendo el nombre y apellidos del paciente, fecha/hora ingreso, y días de ingreso aproximados, sin especificar la enfermedad padecida ni la unidad de ingreso ni el tipo de cirugía.

¿El centro hospitalario puede informar de un ingreso?

En el apartado de preguntas y respuestas también se incluyen algunas relacionadas con el ámbito familiar. Una de ellas es si los padres que ostentan la patria potestad pueden acceder a la historia clínica de sus hijos menores con edad entre 14 y 18 años. La AEPD opina que sí, ya que el Código Civil establece que la patria potestad se ejerce en beneficio de los hijos menores de edad y que los padres tienen que velar por ellos, de manera que el acceso a la información sanitaria es fundamental para hacerlo. Sin embargo, la Agencia recuerda que este derecho está limitado  a las personas que ostentan la patria potestad, no a otros familiares.

Otra de las cuestiones planteadas es si el centro hospitalario puede informar de un ingreso y la ubicación. En este sentido, la guía recoge que no, ya que debe pedirse el consentimiento al paciente o, en caso de no estar capacitado, a sus familiares. Para evitar situaciones conflictivas es muy importante que esta información se facilite de forma destacada y haciendo comprender al paciente sus consecuencias prácticas.

La Guía recoge más preguntas y respuestas y se pueden consultar desde el siguiente enlace.

Descubre más noticias sobre opiniones en materia de protección de datos en este blog de Conversia.