La Agencia Española de Protección de Datos (AEPD) con el fin de facilitar información y orientación relativa al tratamiento de datos de salud, ha elaborado una guía para profesionales del sector sanitario cuyos principales destinatarios son los que desempeñen su actividad a título individual.

Conceptos Básicos: Datos de Salud, Responsable y Encargado del Tratamiento

¿Qué tipo de datos trata un profesional sanitario y qué protección requieren?

Los profesionales sanitarios pueden tratar datos identificativos y de contacto de los pacientes como por ejemplo, nombre, dirección, teléfono, DNI, etc… y, los relacionados con la salud, que sean necesarios para cumplir con la finalidad de prestarle la asistencia sanitaria relacionada con el servicio prestado.

También pueden tratarse datos identificativos de familiares como en el caso de menores, información relativa a los progenitores; o en el caso de personas con su capacidad limitada, referencia a datos de salud de estos como en el caso de enfermedades hereditarias u otros antecedentes familiares médicamente relevantes.

Son datos de salud cualquier información que ofrezca una visión sobre su situación médica o estado de salud, ya sea en el presente, pasado o futuro.

Conforme a lo establecido en el RGPD, los datos de salud se encuentran dentro de las “categorías especiales de datos”, también conocidos como datos sensibles.

Estos datos merecen una protección reforzada y sólo se podrán almacenar, transmitir o revelar, bajo ciertas condiciones y con determinadas garantías. Además, deberán adoptarse especiales medidas de privacidad, seguridad y gestión de brechas de datos, así como los procedimientos que garanticen un elevado nivel de protección, adecuado a los riesgos que existen en relación con los derechos de las personas.

¿Quién es el responsable de los tratamientos de datos que se realizan?

El responsable del tratamiento es la figura quién decide acerca de qué datos se van a obtener, finalidad y con qué medios se van a gestionar y proteger. Por lo tanto, un responsable puede ser:

• Entidad Pública (hospital o centro de salud)
• Entidad Privada (hospital o clínica)
• Profesional a título individual

El criterio para determinar quién es responsable o corresponsable del tratamiento es el de identificar quién toma las decisiones sobre los fines del tratamiento y los medios del mismo.

Si contrato la prestación de ciertos servicios con un tercero, como la gestión de las Historias Clínicas ¿en qué condiciones puedo acceder a datos personales y de salud?

Cuando se contrata la prestación de un servicio que conlleva el tratamiento de datos personales, a ese tercero se le denomina Encargado del Tratamiento.

La relación con el mismo debe realizarse mediante un contrato que ha de constar por escrito, incluso en formato electrónico, debiendo reunir su contenido unos requisitos.

Legitimación para el tratamiento de los datos

¿Es necesario que el médico o el centro sanitario solicite el consentimiento a los pacientes para tratar sus datos personales? ¿O podría ampararse en otras bases legítimas?

Hay que diferenciar dos tipos de consentimiento:

• Consentimiento informado que se rige por la legislación sanitaria
• Consentimiento para el tratamiento de datos personales que se rige por la normativa de protección de datos

Atendiendo a este último, generalmente, no es necesario solicitar el consentimiento al paciente para tratar sus datos personales en el ámbito de la atención sanitaria. Por ejemplo:

– Cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base de la legislación correspondiente o en virtud de un contrato con un profesional sanitario.

Los datos deberán ser tratados por profesionales sujetos al secreto profesional o por alguien que esté bajo su responsabilidad.

– Siempre que el tratamiento de los datos sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento. Por ejemplo, en caso de accidente o emergencia, cuando haya pérdida de consciencia del interesado. 

– Cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o que los datos se requieran judicialmente.

– Si el tratamiento de ciertos datos es necesario por razones de interés público en el ámbito de la salud pública, en los términos establecidos en la ley, como control de enfermedades transmisibles, epidemias, amenazas transfronterizas, etc.

– Cuando se realice con fines de investigación científica, de archivo en interés público o estadísticos, en los términos establecidos en la ley.

Sí será necesario informarle de determinados aspectos, entre otros, de los siguientes:

-Identidad y datos de contacto del responsable;

-datos de contacto del delegado de protección de datos, cuando éste exista;

-fines del tratamiento de los datos (asistencia sanitaria, investigación, etc.) y su base legítima (prestación de asistencia sanitaria, protección de intereses vitales, etc.);

-destinatarios a quienes serán entregados sus datos; plazo de conservación de los mismos;

-posibilidad de ejercitar los derechos reconocidos en la normativa de protección de datos o de presentar reclamación ante la agencia de protección de datos que corresponda.

Y si, además, los datos no se han obtenido del propio interesado, es preciso informarle de las fuentes y las categorías de datos suyos que han sido recopilados hasta el momento.

Con el fin de evitar confusiones respecto a la toma de decisiones sobre los derechos de autonomía del paciente y sobre el tratamiento de sus datos personales la información relacionada con estos últimos debería facilitarse de forma diferenciada y posterior a la que se haya facilitado respecto a la toma de decisiones sobre la autonomía del paciente.

Si se trata de menores de edad ¿a partir de cuándo pueden prestar el consentimiento por ellos mismos para el tratamiento de sus datos (coordinación Ley 3/2018 y Ley 41/2002)?

El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.

¿Pueden tratarse luego los datos con finalidades distintas a la asistencia sanitaria?

La ley permite en ciertos casos el tratamiento de datos incorporados a una historia clínica con otros fines. Por ejemplo, con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, aunque la regla general en estos casos será la separación de los datos identificativos y los clínico-asistenciales.

Tratamiento de los datos de los profesionales sanitarios:

¿Puede constar el nombre y apellido de los profesionales en las tarjetas identificativas?

¿Puede constar identificado un profesional sanitario en una reclamación hecha por un paciente para que intervenga como testigo?

Estaría justificado y sería proporcional que constara la identificación del profesional en una tarjeta identificativa claramente visible para el paciente, ya que puede ser necesario para éste conocer la identidad de la persona que le está prestando el servicio.

Podría constar identificado un profesional sanitario a propósito de una reclamación hecha por un paciente, ya que existiría un interés legítimo en el tratamiento de estos datos o dicho tratamiento podría justificarse por el ejercicio del derecho a la tutela judicial mediante la presentación de una reclamación.

¿Quién y cuándo se puede acceder a la Historia Clínica?

Acceso a la HC por parte de profesionales sanitarios

¿A qué datos pueden acceder los profesionales sanitarios?

La finalidad de la historia clínica es fundamentalmente asistencial. Puede acceder a la historia clínica el profesional sanitario o el equipo directamente implicado en la asistencia al paciente o aquellos que sean consultados por éste con la finalidad de mejorar la atención terapéutica.

En todo caso, el acceso estará limitado únicamente a los datos que sean precisos y, si no fuera necesario conocer la identidad del paciente, no se deberá acceder a la misma.

¿Pueden acceder a las HC los residentes?

El profesional residente puede acceder a los datos de la HC en los términos antes descritos, esto es, cuando sea necesario por razón de la atención sanitaria que está prestando. Los residentes tienen la consideración de profesional sanitario mientras dure su vinculación con el centro.

¿Puede accederse a la HC desde centros sociosanitarios?

Los profesionales sanitarios en centros sociosanitarios también deben poder acceder a las HC de los pacientes que están tratando, para poder prestar una correcta asistencia sanitaria.

¿Y desde centros privados concertados?

Los profesionales sanitarios de centros privados concertados deben poder acceder, si es necesario para prestar la atención sanitaria a un paciente derivado a ese centro, pero con acceso limitado a los datos necesarios para cumplir la función que le haya sido encomendada. Para ello deberán arbitrarse las medidas oportunas de manera que el centro de destino tenga conocimiento actualizado del estado de salud del paciente.

¿Podrá accederse por parte de los miembros de un Comité de Ética Asistencial?

Los miembros de estos Comités (algunos de los cuales pueden no ser profesionales sanitarios) accederán a la información que sea estrictamente precisa para emitir la correspondiente opinión ética que sea sometida a su consideración.

Han de estar obligados por deber de secreto o firmar un acuerdo de confidencialidad. Solo cuando sea precisa la identificación para poder emitir el informe u opinión correspondiente, se accederá a ella.

¿Pueden acceder las empresas prestadoras de servicios a pacientes?

Las empresas proveedoras de servicios/equipos a los pacientes en domicilio tendrán acceso a los datos estrictamente necesarios para el cumplimiento de sus funciones. Como encargados del tratamiento, están obligados a cumplir con la normativa de protección de datos y solo utilizarán dichos datos siguiendo las instrucciones del responsable.

Acceso por personal administrativo y de gestión

El personal de gestión y administrativo solo puede acceder a los datos de la HC necesarios para el ejercicio de sus funciones.

Acceso por Inspección/Evaluación/Acreditación

El personal con funciones de inspección, evaluación, acreditación y planificación tiene acceso a las HC en la medida necesaria para cumplir sus funciones (acreditación de la calidad de la asistencia, respeto a los derechos de los pacientes u otras obligaciones del centro en relación con los pacientes o la administración sanitaria).

Acceso con fines docentes

Los estudiantes cuando resulte necesario para su actividad docente o para la realización de prácticas, deberían tener un acceso limitado con un perfil de estudiante.

Para la realización de trabajos fin de grado y fin de máster la regla general debe ser el acceso a datos disociados (separados los datos identificativos de los datos clínicos).

Acceso con fines de salud pública y epidemiológicos

El acceso a la HC con estos fines se debe llevar a cabo, separando los datos de identificación personal de los de carácter clínico asistencial, salvo que el paciente haya proporcionado el consentimiento para no separarlos.

Acceso con fines de investigación

Como regla general, se ha de hacer a datos disociados (separados los identificativos de los clínicos).

Acceso con fines judiciales

Se le proporcionarán a ésta los datos que solicite en el proceso correspondiente, pudiendo darse el acceso a datos no disociados cuando considere imprescindible la unificación de datos identificativos y clínico-asistenciales.

Acceso por autoridades administrativas

Las autoridades administrativas sólo pueden obtener datos de la HC cuando cuenten con el consentimiento del titular o así esté previsto en una norma legal de manera específica.