Tratamiento de datos de pacientes y usuarios de la sanidad

Resumen de la guía de la AEPD relativa a los datos de los pacientes y usuarios de la sanidad

El mes de noviembre del 2019 la Agencia Española de Protección de Datos (AEPD) publicó la “Guía para pacientes y usuarios de la sanidad”, un documento que da respuesta a las cuestiones más frecuentes sobre cómo son tratados los datos personales en los centros sanitarios.

El presente artículo pretende dar una rápida información de lo que nos transmite dicho documento.

CONCEPTOS GENERALES

La guía aborda, en primer lugar, cuestiones generales de la normativa de protección de datos definiendo que se entiende por:

• Dato personal: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (art. 4.1 GDPR).
• Datos relativos a la salud: los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud (art. 4.15 GDPR).
• Historia clínica (HC): conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial (art.3 LAP).

Llegando a la conclusión que los datos personales existentes en las bases de datos sanitarias son de dos tipos:

• Datos identificativos: los que identifican a la persona, tales como un nombre y apellidos, dirección, teléfono, DNI, número de tarjeta sanitaria, etc.
• Historia clínica (datos especiales): toda la información acerca de su estado de salud, tales como pruebas diagnósticas, cirugías, medicamentos, antecedentes familiares, etc.

Los responsables del tratamiento (RT) de los datos de salud de los pacientes podrán ser, según quien determine los fines y los medios de tratamiento, médicos, centros de salud o centros sanitarios, tanto si son públicos como privados.

LEGITIMACIÓN DEL TRATAMIENTO

En el segundo punto de la guía se trata la legitimación para el tratamiento de datos de salud (art. 6 GDPR). El consentimiento debe ser explícito del interesado, pero en algunas circunstancias no es necesario su consentimiento, esto puede suceder cuando el tratamiento es necesario:

• Para fines de medicina preventiva o laboral (art. 6.1.b GDPR para las entidades aseguradoras de salud privadas y art. 6.1.c GDPR para la sanidad pública, y art. 9.2.h GDPR privadas y púlicas).
• Por razones de interés público en el ámbito de la salud pública (art. 6.1.e GDPR y art. 9.2.i GDPR).
• Para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento, o cuando lo solicite un órgano judicial (art. 6.1.d GDPR y art. 9.2.c GDPR).

Las personas que traten los datos de salud deben ser profesionales sujetos a la obligación de secreto profesional, o que estén tratando los datos bajo su responsabilidad. Los profesionales sanitarios que accedan ilícitamente a datos de salud pueden incurrir en un delito de descubrimiento y revelación de secretos, previsto y penado en el Código Penal.

La guía también incorpora los aspectos necesarios para cumplir con el derecho de información de los pacientes, obligando al RT a facilitar la información requerida en el art. 13 del GDPR y, cuando los datos personales se hayan obtenido de terceros (mutua, aseguradora, etc.) se añadirá a la información antes referida, el origen de los datos (art. 14 GDPR).

Otro de los temas que incorpora la guía son los principios relativos al tratamiento de los datos en el ámbito sanitario (art. 5 GDPR): licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación e integridad y confidencialidad.

DERECHOS DEL INTERESADO

Los últimos apartados de la guía se dedican a los derechos de los interesados. Donde se tratan cuestiones comunes, similares a las reconocidas para el ejercicio de cualquier derecho de tipo personal, así como las especialidades de los derechos más importantes: acceso, rectificación y supresión.

Las cuestiones comunes más importantes son:

• Atención: atender los derechos salvo imposibilidad de identificar al interesado.
• Identificación del interesado: solicitar información adicional para garantizar su identificación.
• Plazo: máximo de un mes, prorrogable por 2 meses más.
• Medios electrónicos: preferencia por estos medios en la respuesta, salvo manifestación en contrario.
• Gratuidad: ejercicio gratuito salvo peticiones infundadas o excesivas (art. 12.5 GDPR).

En cuanto a las cuestiones específicas de cada derecho, se destacan:

• Derecho de acceso: el acceso a la HC puede realizarse directamente por el paciente o a través de sus representantes legales o voluntarios, a través de la correspondiente autorización.

En caso de fallecimiento del paciente, se facilitará el acceso a su HC a las personas vinculadas a él por razones familiares o, de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite.

El derecho de acceso no abarca necesariamente la totalidad de los datos o documentos que integran la HC. Existen límites legales a la entrega de documentos de la HC (art. 18.3 LAP).

Tampoco se permite al paciente saber qué personas del centro o institución sanitaria han podido utilizar su HC. Y además ese derecho no se puede extenderse sobre las anotaciones subjetivas.

• Derecho de rectificación: los pacientes/usuarios pueden rectificar de sus historias clínicas los datos personales inexactos en las mismas condiciones en los que se ejercita ante cualquier petición de este tipo. Si los datos que se quieren rectificar afectan a datos sanitarios, es el profesional sanitario el que determina si debe rectificar el dato o no.
• Derecho de supresión: en el ámbito de la sanidad ese derecho está muy limitado. Solo el profesional sanitario puede determinar si se puede suprimir el dato de salud.

PREGUNTAS FRECUENTES

La guía finaliza con una serie de preguntas y respuestas que suelen surgir en este ámbito. Destacar:

• Tanto los médicos que ejercen la medicina privada como los centros sanitarios públicos y privados están obligados a aplicar medidas técnicas y organizativas apropiadas.
• Solo pueden acceder al HC quien lo precise necesario para el ejercicio de su trabajo.
• Se pueden ceder los datos de la HC siempre que los datos clínicos puedan separarse de los identificativos. Si no es posible la disociación, la cesión será legítima siempre que el paciente haya dado su consentimiento por escrito. Y a falta de consentimiento, los datos de salud solo podrán ser cedidos a un tercero cuando una Ley así lo disponga.
• Los datos de salud recogidos en la revisión de prevención de riesgos laborales no se pueden facilitar al empleador. Solo podrá ser informado si el trabajador es APTO o NO APTO para el trabajo.
• Debería evitarse facilitar información telefónica a un paciente sobre su estado de salud o el resultado de las pruebas realizadas ya que puede existir el riesgo de estar facilitando esta información a un tercero.

NORMATIVA RELACIONADA

GDPR: Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

LAP: Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP).

AEPD: Guía para pacientes y usuarios de la Sanidad, 14 de noviembre de 2019.

AEPD: Decálogo de protección de datos, de octubre 2019, para el personal sanitario y administrativo.