Responsabilitat del tractament i cessió de dades a l'àmbit sanitari


Manuel Castilleja Toscano     22/04/2024


TRACTAMENT DE DADES A L'ÀMBIT SANITARI

1. Responsabilitat pel que fa al tractament de dades de pacients derivats d'un Centre Sanitari a un altre

Per determinar la condició de Responsable o Encarregat del tractament per part d'un Centre Sanitari que rep dades de pacients (fitxa de pacients, informes mèdics, etc.) d'un altre Centre, com a resultat d'una prestació d'assistència sanitària, analitzarem els articles següents de:

  • GDPR:
    • Art. 4.7: defineix al responsable del tractament com, “la persona física o jurídica, autoritat pública, servei o altre organisme que, sol o juntament amb altres, determina els fins i mitjans del tractament (...)”.
    • Art. 4.8: defineix l'encarregat del tractament com, “la persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament”.
    • Art. 28.3: exigeix l'existència d'un contracte o un altre acte jurídic d'acord amb el dret de la Unió o dels Estats membres que vinculi l'encarregat respecte del responsable, i entre les estipulacions que ha de contenir aquest contracte s'estableix que “l'encarregat tractarà les dades personals únicament seguint instruccions documentades del responsable (…)".
  • Llei 41/2002 bàsica reguladora de l'autonomia del pacient i de drets i obligacions en matèria d'informació i documentació clínica:
    • Art. 14.2: disposa que “cada centre arxivarà les històries clíniques dels seus pacients, sigui quin sigui el suport paper, audiovisual, informàtic o d'un altre tipus en què constin, de manera que en quedin garantides la seguretat, la conservació correcta i la recuperació de la informació”.
    • Art. 17.1: estableix que “els centres sanitaris tenen l'obligació de conservar la documentació clínica en condicions que en garanteixin el correcte manteniment i seguretat, encara que no necessàriament en el suport original, per a la deguda assistència al pacient durant el temps adequat a cada cas i, com a mínim, cinc anys comptats des de la data de l'alta de cada procés assistencial”.

De l'anàlisi d'aquests articles podem concloure que:

  • El criteri que determina la condició de responsable del tractament és donat per la potestat de determinar els fins i els mitjans del tractament, mentre que l'encarregat ha de limitar la seva actuació a seguir les instruccions del responsable.
  • Juntament amb el possible tractament que pogués derivar-se de la relació jurídica existent entre el Centre que presta el servei i l'entitat que ho sol·licita (ja es tracti d'un altre centre sanitari o d'una asseguradora), la Llei 41/2002 imposa el Centre al qual es deriva al pacient i presta l'assistència sanitària, l'obligació del tractament de les dades personals que s'hagin d'incorporar a la història clínica del pacient, excedint òbviament aquest tractament de “les instruccions del responsable del tractament (centre que sol·licita el servei)”.
  • Donades aquestes circumstàncies, el centre a què es deriva el pacient es considera responsable del tractament per la impossibilitat d'aplicar l'article 28 del GDPR.

2. Licitud i requisits per a la comunicació de dades personals des d'un Centre Privat Concertat a qualsevol Servei Públic de Salut

Per determinar si cal o no el consentiment del pacient per integrar les dades sanitàries incorporades a una única història clínica al sistema informàtic d'un Servei Públic de Salut, com a resultat d'una assistència privada prestada al Centre Concertat, analitzarem els següents articles de:

  • GDPR:
    • Art. 6.1.e: pel que fa a la base jurídica que pot legitimar un tractament de dades, disposa que aquest seria lícit quan “sigui necessari per complir una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament”.
    • Art. 9.2.h: pel que fa a l'aixecament de la prohibició del tractament de dades de categoria especial, disposa que seria lícit quan “sigui necessari per a fins de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d'assistència o tractament de tipus sanitari o social, o gestió dels sistemes i serveis d'assistència sanitària i social, sobre la base del dret de la Unió o dels Estats membres o en virtut d'un contracte amb un professional sanitari i sense perjudici de les condicions i garanties previstes a l'apartat 3”.
  • Llei 41/2002 bàsica reguladora de l'autonomia del pacient i de drets i obligacions en matèria d'informació i documentació clínica:
    • Art. 14.1: pel que fa a la màxima integració de la història clínica, disposa que “la història clínica comprèn el conjunt dels documents relatius als processos assistencials de cada pacient, amb la identificació dels metges i dels altres professionals que hi han intervingut, a fi d'obtenir la màxima integració possible de la documentació clínica de cada pacient, almenys, a l'àmbit de cada centre”.
    • Art. 15.2: pel que fa a la finalitat de la història clínica disposa que “La història clínica tindrà com a finalitat principal facilitar l'assistència sanitària, deixant constància de totes aquelles dades que, sota criteri mèdic, permetin el coneixement veraç i actualitzat de l'estat de salut”.
    • Art. 17.4: estableix que “la gestió de la història clínica pels centres amb pacients hospitalitzats, o pels que atenguin un nombre suficient de pacients sota qualsevol altra modalitat assistencial, segons el criteri dels serveis de salut, es realitzarà a través de la unitat de admissió i documentació clínica, encarregada d'integrar en un sol fitxer les històries clíniques. La custòdia de les esmentades històries clíniques estarà sota la responsabilitat de la direcció del centre sanitari”.
    • Art. 17.5: estableix que “els professionals sanitaris que desenvolupin la seva activitat de manera individual són responsables de la gestió i de la custòdia de la documentació assistencial que generin”.
  • Llei 16/2003 de cohesió i qualitat del Sistema Nacional de Salut:
    • Art. 56: disposa en el paràgraf primer que “per tal que els ciutadans rebin la millor atenció sanitària possible a qualsevol centre o servei del Sistema Nacional de Salut, el Ministeri de Sanitat i Consum coordinarà els mecanismes d'intercanvi electrònic d'informació clínica i de salut individual , prèviament acordats amb les comunitats autònomes, per permetre tant a l'interessat com als professionals que participen en l'assistència sanitària l'accés a la història clínica en els termes estrictament necessaris per garantir la qualitat d'aquesta assistència i la confidencialitat i la integritat de la informació, qualsevol que fos l'Administració que la proporcioni”.
    • Art. 15.2: pel que fa a la finalitat de la història clínica disposa que "La història clínica tindrà com a finalitat principal facilitar l'assistència sanitària, deixant constància de totes aquelles dades que, sota criteri mèdic, permetin el coneixement veraç i actualitzat de l'estat de salut".
  • Llei 14/1986 General de Sanitat:
    • Art. 44.1: assenyala que “totes les estructures i serveis públics al servei de la salut integraran el Sistema Nacional de Salut”.
    • Art. 44.2: assenyala que "el sistema nacional de salut és el conjunt dels serveis de salut de l'Administració de l'Estat i dels serveis de salut de les comunitats autònomes en els termes que estableix aquesta Llei".
    • Art. 45: assenyala queel Sistema Nacional de Salut integra totes les funcions i prestacions sanitàries que, d'acord amb el que preveu aquesta Llei, són responsabilitat dels poders públics per al compliment degut del dret a la protecció de la salut”.
    • Art. 90: habilita la celebració de concerts amb entitats sanitàries per a la prestació de servei, quan assenyala “que les administracions públiques sanitàries, en l'àmbit de les seves respectives competències, podran establir concerts per a la prestació de serveis sanitaris amb mitjans aliens a elles”.

De l'anàlisi d'aquests articles podem concloure que:

  • Encara que no formen part integrant del sistema Nacional de Salut, els Centres Privats Concertats desenvolupen accions assistencials directament vinculades amb el sistema, podent fins i tot entendre's que aquestes constitueixen, quan sigui objecte de concert, serveis propis del Sistema esmentat.
  • No cal consentiment de l'interessat per dur a terme la cessió:
    • La incorporació a la història clínica electrònica de les dades originades com a conseqüència d'una assistència prestada al pacient en el marc del concert que un Centre Privat mantingui amb un Servei Públic de Salut constituiria una cessió de dades que resultaria conforme amb el GDPR per trobar-se emparada a l'article 56 de la Llei 16/2003.
    • L'aixecament de la prohibició de la cessió de les dades relatives a la salut dels pacients del Centre Privat al Servei Públic estaria emparat que la cessió seria necessària per a diagnòstic mèdic, prestació d'assistència o tractament de tipus sanitari, o gestió dels sistemes i serveis d'assistència sanitària, sobre la base d'una Llei.