La Agencia Española de Protección de Datos (AEPD) con el fin de facilitar información y orientación relativa al tratamiento de datos de salud, ha elaborado una guía para profesionales del sector sanitario cuyos principales destinatarios son los que desempeñen su actividad a título individual.
La Responsabilidad del Profesional Sanitario
El personal sanitario que accede a una Historia Clínica injustificadamente puede verse sujeto a distintos tipos de responsabilidad penal, disciplinaria y administrativa por protección de datos, que en algunos casos pueden darse, incluso, de manera conjunta.
Este tipo de accesos está sancionado en el Código Penal como delito de descubrimiento y revelación de secretos.
En el caso del profesional que realice su actividad en un centro sanitario, se le podrá imponer una sanción disciplinaria.
Si se accede sin el consentimiento del paciente, o sin que concurra alguna de las finalidades protegidas por la ley, ese acceso ya es indebido y susceptible de conllevar consecuencias graves para el profesional. Sin perjuicio de que si, además, la información indebidamente consultada es revelada a terceros, las consecuencias legales serán todavía más graves.
En todo caso debe tenerse en cuenta que este tipo de conductas inciden también en las obligaciones relacionadas con la notificación de brechas de seguridad a las autoridades de protección de datos y, en su caso, la comunicación a los propios interesados.
Obligaciones en el tratamiento de datos de salud
¿En qué medida el Reglamento General de Protección de Datos impone nuevas obligaciones? La Guía para profesionales del sector sanitario establece que:
Es necesario realizar una gestión del riesgo que los tratamientos, tanto automatizados como no automatizados.
Con el fin de minimizar los riesgos, es necesario adoptar en los tratamientos y en su implementación las medidas y garantías que sean necesarias.
Cuando las operaciones de tratamiento supongan un alto riesgo para los derechos y libertades, se ha de llevar a cabo una evaluación de impacto.
Hay que disponer de un registro de actividades de tratamiento (RAT).
Hay que nombrar a un Delegado de Protección de Datos (DPD), en los casos que sea obligatorio.
El responsable ha de gestionar las brechas de datos personales para ser capaz de, al menos, notificar a la autoridad de control aquellas que constituyan un riesgo para los derechos y libertades y comunicar a los afectados aquellas que supongan alto riesgo.
En cumplimiento de la obligación de transparencia, la información al interesado sobre el tratamiento de sus datos deberá proporcionarse tanto en los casos en que los datos se obtengan directamente de la persona afectada como si, por el contrario, se hubiesen recibido por otras vías.
¿Hay que nombrar un Delegado de Protección de Datos (DPD)?
La guía para profesionales del sector sanitarios establece una serie de:
Recomendaciones:
Cuando se trate de profesionales sanitarios que ejercen su actividad a título individual, éstos podrían instar a sus respectivos colegios profesionales que le presten los servicios de DPD en el caso el que lo designen voluntariamente, para facilitarles el cumplimiento de la normativa de protección de datos.
Obligaciones:
Los responsables de los centros sanitarios, públicos y privados respaldarán al DPD en el desempeño de las funciones que tienen asignadas, facilitarán los recursos necesarios para su desempeño, el acceso a los datos personales y a las operaciones de tratamiento, y garantizarán que informen al más alto nivel de la organización y la formación necesaria para el mantenimiento de sus conocimientos especializados.
Velar y adoptar las medidas adecuadas para que el DPD ejerza sus funciones en ausencia de conflictos de intereses y con total independencia.
No despedir ni sancionar al DPD por el ejercicio de sus funciones.
¿Cuándo tengo que hacer una evaluación de impacto?
La evaluación de impacto para la protección de datos (EIPD) es una obligación del responsable cuando, en el marco de la gestión del riesgo, se determine que el tratamiento suponga un alto riesgo para los derechos y libertades de los afectados.
¿En qué casos hay que publicar el Registro de Actividades de Tratamiento (RAT) y de qué modo?
En el caso de las entidades públicas el inventario con los tratamientos de datos personales deberá hacerse público y estar accesible por medios electrónicos (por ej., a través de la página web).
Medidas básicas de seguridad en el uso de dispositivos informáticos (control de accesos, gestión de claves, cambio contraseñas, envío de documentación clínica de forma cifrada; uso de tablets y otros dispositivos por parte de los profesionales, etc.).
La Guía para profesionales del sector sanitario establece unos ejemplos de estas medidas a implantar en tratamientos de datos de salud serían:
identificar los soportes utilizando sistemas de etiquetado comprensibles y con significado, que permitan a los usuarios con acceso autorizado identificar su contenido y dificulten la identificación al resto;
codificar los datos en la distribución de soportes para que dicha información no sea accesible o manipulada durante su transporte;
cifrar los contenidos de dispositivos portátiles cuando se encuentren fuera de las instalaciones, como memorias USB, y en la transmisión de datos a través de redes electrónicas (por ej. su envío por correo electrónico);
conservar una copia de respaldo de los datos y de los procedimientos de su recuperación en un lugar diferente a aquel en que se encuentren los equipos informáticos que los tratan;
guardar, como mínimo, de cada intento de acceso la identificación del usuario, fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado;
cambiar las contraseñas que sirvan de mecanismo de autenticación como mínimo una vez al año y almacenarlas de forma confidencial. El uso de gestores de contraseñas facilita la posibilidad de recordar y mantener de forma segura contraseñas distintas y seguras en distintos servicios, así como cambiarlas periódicamente.
Formación continua del personal.
Gestión de los derechos de los pacientes respecto al tratamiento de sus datos
¿Cuáles son estos derechos?
El Reglamento General de Protección de Datos regula como derechos de los afectados el de obtener confirmación del tratamiento de datos sobre si los mismos están siendo o no objeto del tratamiento.
Asimismo regula los derechos de rectificación, supresión, oposición, limitación del tratamiento, portabilidad y a no ser objeto de decisiones individuales automatizadas.
Sin embargo, en el ámbito sanitario, estos derechos se concretan en relación con la historia clínica en la ley de autonomía del paciente y en la legislación autonómica sobre la materia, que se aplican como leyes especiales con carácter preferente al Reglamento.
En el caso de menores de edad ¿Quién ejercita estos derechos? ¿Y si los progenitores están separados o divorciados?
La Guía para profesionales del sector sanitario viene a explicar que a partir de los 14 años se le debe reconocer a un menor al menos el derecho a acceder a su historia clínica.
Los padres y madres podrán acceder también a la historia clínica de sus hijos e hijas hasta la mayoría de edad, ya que son titulares de la patria potestad y tienen la obligación de velar por ellos.
Si los padres se encuentran separados o divorciados y ambos tienen el ejercicio de la patria potestad, ambos deben estar informados y deciden sobre la salud de sus hijos y, en consecuencia, tienen acceso a su HC.
¿A qué tiene derecho de acceso el paciente respecto de su HC? ¿Qué ocurre si se le entregan datos de un tercero?
Conforme a la normativa estatal sanitaria (Ley de Autonomía del Paciente), el paciente tiene derecho a acceder a la documentación de su propia HC y a los datos que constan en ella. En cambio, la normativa de protección de datos no reconoce el derecho de acceso a documentos concretos de la HC, sino a obtener confirmación de si se están tratando o no sus datos personales, y en caso afirmativo, derecho de acceso a los mismos mediante copia y a determinada información.
No obstante, el derecho de acceso del paciente no incluye datos de terceras personas que consten en la HC en interés terapéutico del paciente, ni a las anotaciones subjetivas de los profesionales
sanitarios, que se hayan opuesto a ello.
¿En qué casos procede la rectificación de la HC si lo solicita el paciente?
El paciente tiene derecho a que se rectifiquen sus datos personales inexactos.
En el caso de rectificación de datos clínicos, será el facultativo que esté a cargo del paciente quien determinará si procede dicha rectificación conforme a los criterios sanitarios aplicables
¿Debe atenderse una solicitud de supresión de datos de la HC?
La supresión de datos de la HC está muy restringida, puesto que ésta tiene como finalidad principal garantizar una correcta atención sanitaria al paciente.
Por ello, cuando se trate de datos sin relevancia para la asistencia sanitaria deberían poder suprimirse tales datos.
Si se ha eliminado incorrectamente documentación clínica ¿Cuál sería el tratamiento idóneo? ¿Hay que comunicarlo a la Agencia Española de Protección de Datos (AEPD) o, en su caso, a la Autoridad Autonómica competente?
Además de que se incumple la obligación de conservación de la historia clínica, en la medida en que esta documentación contenga datos personales nos podríamos encontrar en situaciones de brechas sobre la confidencialidad.
El profesional sanitario debe evaluar el riesgo que la brecha pueda suponer para las personas afectadas. Si existe tal riesgo, deberá notificarla a la AEPD, y también comunicarla a las personas afectadas si el riesgo es alto.
Gestión de situaciones que pueden implicar comunicación de datos a terceros
¿Cómo llamar a los pacientes en las consultas?
Toda persona tiene derecho a que se respete su intimidad en el ámbito de la salud, incluido el carácter confidencial de los datos referentes a su salud. Por ello, para llamar a pacientes en las
consultas deberá hacerse de manera que no se utilicen datos identificativos, como el nombre y apellidos (asignación de un código o número al paciente, utilización del nombre de pila al llamar por voz en un entorno que solo van a escucharlos los pacientes de la misma consulta, etc.).
¿Cómo gestionar la información en mostradores de admisión para que no sea accesible al resto de pacientes que esperan?
Deben adoptarse medidas que permitan salvaguardar la intimidad del paciente y la confidencialidad de la información relativa a su salud. Por ejemplo, estableciendo la necesaria separación entre el paciente que está siendo atendido y el que espera; zonas separadas de admisión y salas de espera en la medida de lo posible, etc. El profesional encargado de la admisión deberá igualmente gestionar y comunicar la información de manera que no sea accesible a otros pacientes.
¿Qué información debe prestarse para cancelar o posponer una cita por teléfono y cómo comprobar la identidad del interesado?
La Guía para profesionales del sector sanitario establece que para evitar la comunicación a terceros de datos de salud de una persona (sin su consentimiento) o la eliminación de dichos datos con el consiguiente perjuicio, deben establecerse mecanismos de identificación de la persona, para comprobar que se corresponde con el interesado (solicitando varios datos de identificación del paciente, nombre, DNI, número de tarjeta sanitaria, teléfono, etc., comprobando que coinciden con los que constan en la base de datos del centro).
Adicionalmente, y partiendo de que es el interesado el que llama, preferentemente debería ser quien facilite la información sobre la cita que quiere posponer o cancelar.
Si es el centro el que llama, deberá hacerlo al teléfono o teléfonos facilitados por el propio paciente, informando en el momento inicial en que se recojan los datos de contacto de que se podrán utilizar esos números con tales finalidades.
En cualquier caso, deberá facilitarse la mínima información posible para identificar la cita (día, hora, centro, unidad), evitando hacer referencia a las posibles causas por las que se concertó dicha cita (por ejemplo, no mencionar síntomas, enfermedad, tratamientos, etc.).
¿Qué información se puede dar cuando se llama a un hospital preguntando por un posible ingreso de una persona y/o la habitación en la que se encuentra y no se ha podido obtener el consentimiento del paciente?
No puede darse información sobre el ingreso de una persona y/o habitación en la que se encuentra si no se ha obtenido su consentimiento . Si el paciente no se encuentra en condiciones de prestar el consentimiento (no está capacitado física o jurídicamente para hacerlo; por ejemplo, porque se encuentra inconsciente o es un menor de corta edad), podrán consentir los familiares.
No obstante, en situaciones excepcionales, tales como pacientes que ingresan en urgencias (cuyo consentimiento se recabará cuando sean trasladados a planta), pacientes inconscientes o
personas desaparecidas, se podrá facilitar dicha información, pues la presencia de familiares o allegados puede ser esencial para la debida atención del paciente.
En estos casos, únicamente se proporcionará información acerca de si la persona se encuentra en urgencias o ingresada y el número de habitación, sin indicar datos de salud o la atención
médica prestada.
Gestión de los justificantes de asistencia de los acompañantes de pacientes ingresados ¿es necesario contar con el consentimiento del paciente? ¿debe comprobarse el parentesco?
La Guía para profesionales del sector sanitario establece que no es necesario el consentimiento del paciente, puesto que el acompañante tiene un interés legítimo en obtener dicho justificante. Tendrá que justificar la vinculación/parentesco con el
paciente.
La información que contenga el justificante debe ser la mínima imprescindible para la finalidad que tiene que cumplir (identificación del paciente, fecha/hora ingreso; duración del ingreso), sin que puedan incluirse datos que permitan identificar la causa que lo provocó (tipo de enfermedad, unidad de ingreso…).
Gestión de seguridad de los recintos
La Guía para profesionales del sector sanitario identifica varias consultas sobre la seguridad de los recintos:
¿Se pueden colocar cámaras de video vigilancia en los pasillos de consultas o salas de espera?
Sí, ya que la captación de imágenes por cámaras de videovigilancia está dirigida a aumentar y garantizar la seguridad tanto de las instalaciones
como de los usuarios y pacientes.
¿Es contrario a la normativa de protección de datos que el personal de seguridad de un centro sanitario solicite identificarse a personas que puedan resultar sospechosas?
No. El personal de seguridad tiene entre sus funciones efectuar controles de identidad para la protección del centro y de las personas. La negativa a exhibir la identificación facultará al vigilante de seguridad a impedir a los usuarios el acceso al centro o a ordenarles su abandono.