Resumen de la Guía para profesionales del sector sanitario


Manuel Castilleja Toscano     27/06/2022

La AEPD ha publicado una Guía para profesionales del sector sanitario en la que se abordan diversas cuestiones, como quién está legitimado para acceder a la historia clínica y en qué casos, conceptos básicos de datos personales relativos a la salud o la responsabilidad y obligaciones derivadas de estos tratamientos, así como la gestión de los derechos de los pacientes o de las situaciones que puedan implicar comunicación a terceros.

La Guía aclara las dudas más habituales que suelen surgir a los profesionales sanitarios en la prestación de sus servicios a título individual o en el desempeño de sus funciones en consultas, centros sanitarios, hospitales, clínicas, etc.

Documento original AEPD: https://www.aepd.es/es/documento/guia-profesionales-sector-sanitario.pdf

A continuación, resumimos la información más relevante de dicha guía conservando el mismo índice para una mejor localización de su contenido con el documento original.

ÍNDICE

1. Conceptos básicos: datos de salud, responsable y encargado del tratamiento

2. Legitimación para el tratamiento de datos

3. ¿Quién y cuándo se puede acceder a la historia clínica?

4. La responsabilidad del profesional sanitario

5. Obligaciones en el tratamiento de datos de salud

6. Gestión de los derechos de los pacientes respecto al tratamiento de sus datos

7. Gestión de situaciones que pueden implicar comunicación de datos a terceros

8. Gestión de seguridad de los recintos

9. La posición jurídica de los profesionales que prestan servicios en hospitales o clínicas

1. CONCEPTOS BÁSICOS: DATOS DE SALUD, RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

1.1. ¿Qué tipo de datos trata un profesional sanitario y qué protección requieren?

Los profesionales sanitarios pueden tratar datos identificativos y de contacto de los pacientes (nombre, dirección, teléfono, DNI, etc.) y, principalmente, los relacionados con la salud, que sean necesarios para cumplir con la finalidad de prestarle la asistencia sanitaria relacionada con el servicio prestado, elaborar el diagnóstico y tratar al paciente. También pueden tratarse también datos identificativos de familiares como en el caso de menores, información relativa a los progenitores.

Entre estos datos pueden señalarse, a modo de ejemplo, los datos relativos a costumbres alimentarias, al entorno geográfico, hábitos de los pacientes, viajes o la actividad física o deportes que practica.

Son datos de salud cualquier información que ofrezca una visión sobre su situación médica o estado de salud (presente, pasada o futura), incluida la prestación de servicios de atención sanitaria. Por ejemplo:

  • valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial o que permitan adquirir o ampliar conocimientos sobre su estado de salud física o mental, o la forma de preservarla, cuidarla, mejorarla o recuperarla (pruebas diagnósticas, medicación, etc.);
  • el número o símbolo asignado a una persona a efectos de identificación sanitaria (número de Historia Clínica);
  • la información procedente de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas;
  • la información relativa a una enfermedad, a una discapacidad, al riesgo de padecer enfermedades, los datos facilitados por los familiares en los casos de menores o personas con capacidad cognitiva limitada, etc.

Los datos de salud, además de la información facilitada por el paciente, pueden proceder de muy diversas fuentes, un profesional sanitario, un hospital o un dispositivo médico, entre otros.

Los datos de salud se encuentran dentro de las “categorías especiales de datos”, son datos sensibles, por lo que merecen una protección reforzada y sólo se podrán tratar bajo ciertas condiciones y con determinadas garantías, en particular de protección de datos desde el diseño y por defecto, seguridad y gestión de brechas de datos, en definitiva, medidas que garanticen un elevado nivel de protección, adecuado a los riesgos que su tratamiento supone para los pacientes.

1.2. ¿Quién es el responsable de los tratamientos de datos que se realizan?

El responsable del tratamiento (RT) es quien decide acerca de qué datos se van a obtener, con qué fines se van a tratar y con qué medios se van a gestionar y proteger. Puede ser tanto una entidad pública (hospital o centro de salud público) como privada (hospital/ clínica), o un profesional a título individual. Entre las responsabilidades que se podrían dar encontraríamos:

  • El profesional sanitario será RT cuando ofrece los servicios sanitarios a título individual.
  • Una entidad será RT cuando contrata a un profesional sanitario por cuenta ajena.
    • Una entidad será ET (encargado del tratamiento) cuando haya sido contratada por un RT para prestarle servicios de tratamientos sanitarios de forma específica.
      En este caso, el RT tiene la obligación de ser diligente en seleccionar un ET que ofrezca las necesarias garantías de cumplimiento. La relación con el mismo debe realizarse mediante un contrato conforme al artículo 28 del RGPD.
  • Cuando un conjunto de profesionales trabaje en régimen cooperativo, podrán ser:
    • RT (responsables) respectivos del tratamiento que realicen sobre los pacientes; o
    • CT (corresponsables) de los tratamientos que formen parte de dicho régimen.
      El criterio relevante para determinar quién es RT o CT del tratamiento es el de identificar quién toma las decisiones sobre los fines y los medios del mismo.

2. LEGITIMACIÓN PARA EL TRATAMIENTO DE LOS DATOS

2.1. ¿Es necesario que el médico o el centro sanitario solicite el consentimiento a los pacientes para tratar sus datos personales?

No se precisa solicitar el consentimiento al paciente para tratar sus datos personales en el ámbito de la atención sanitaria cuando el tratamiento se realice:

  • Con fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base de la legislación correspondiente o en virtud de un contrato con un profesional sanitario. Los datos deberán ser tratados por profesionales sujetos al secreto profesional o por alguien que esté bajo su responsabilidad (art. 6.1.b RGPD para las entidades aseguradoras de salud privadas y art. 6.1.c RGPD para la sanidad pública, y la exención para el tratamiento de los datos relativos a la salud el art. 9.2.h RGPD privadas y públicas).
    Aquí cabrían los tratamientos de datos que se realizan cuando se presta asistencia sanitaria por parte de centros o de profesionales sanitarios públicos o privados, incluida la asistencia prestada en el ámbito sociosanitario. También se incluyen las actuaciones en materia de salud laboral (conforme a la normativa de prevención de riesgos laborales), con un acceso limitado por parte del empresario (aptitud o no de la persona trabajadora).
  • Para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento. Por ejemplo, en caso de accidente o emergencia, cuando haya pérdida de consciencia del interesado (art. 6.1.d RGPD y la exención para el tratamiento de los datos relativos a la salud del art. 9.2.c RGPD).
  • Para la formulación, el ejercicio o la defensa de reclamaciones o que los datos se requieran judicialmente.
    Por tanto, pueden tratarse datos de salud a propósito de un procedimiento judicial en el que dichos datos sean precisos (por ejemplo, reclamaciones por negligencia médica, procesos de modificación de la capacidad, etc.), pero también para formular reclamaciones ante órganos administrativos u otros órganos no jurisdiccionales (arbitraje o mediación) (art. 6.1.f RGPD y la exención para el tratamiento de los datos relativos a la salud del art. 9.2.f RGPD).
  • Por razones de interés público en el ámbito de la salud pública, en los términos establecidos en la ley, como control de enfermedades transmisibles, epidemias, amenazas transfronterizas, etc. (art. 6.1.e RGPD y la exención para el tratamiento de los datos relativos a la salud del art. 9.2.i RGPD).
  • Con fines de investigación científica, de archivo en interés público o estadísticos, en los términos establecidos en la ley (art. 6.1. RGPD y la exención para el tratamiento de los datos relativos a la salud del art. 9.2.j RGPD).

Para fines distintos de los descritos se deberá buscar una legitimación específica como puede ser el consentimiento o el interés legítimo del profesional sanitario o de la clínica, como en el caso de envío de publicidad sobre otros servicios o el ofrecimiento de servicios no programados, por ejemplo, una clínica dental que contacta a un paciente después de haberle prestado el servicio para el que asistió a ese centro con el fin de recomendarle que vuelva a dicho centro para hacerle una revisión, siempre que se haya informado sobre esta posibilidad, esté dentro de las expectativas razonables del paciente recibir dicha publicidad y garantizar que puede oponerse a su recepción en cualquier momento.

Pese a no precisar el consentimiento del paciente sí será necesario facilitarle toda la información sobre el tratamiento de sus datos personales conforme a los artículos 12, 13 y/o 14 del RGPD. Esta información se puede facilitar visualmente mediante señales o carteles, verbalmente en procesos de atención telefónica (la grabación de llamada facilitará la prueba) o por escrito (en este caso también quedará constancia de que ha sido informado). Es fundamental en todo caso que la información sea veraz, de fácil lectura y comprensión.

Es necesario diferenciar entre el “consentimiento informado” para una actuación sanitaria, que se rige por la legislación sanitaria, y el “consentimiento para el tratamiento de los datos personales”, incluidos los de salud, al que es aplicable la normativa de protección de datos, cuando esta fuese la base legitimadora. Con el fin de evitar confusiones respecto a la toma de decisiones sobre los derechos de autonomía del paciente y sobre el tratamiento de sus datos personales la información relacionada con estos últimos debería facilitarse de forma diferenciada y posterior a la que se haya facilitado respecto a la toma de decisiones sobre la autonomía del paciente.

2.2. ¿A partir de cuándo pueden prestar los menores el consentimiento por ellos mismos para el tratamiento de sus datos (coordinación Ley 3/2018 y Ley 41/2002)?

El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años. El consentimiento para las actuaciones sanitarias que lo exijan debe ser informado y por escrito. En este caso, para el tratamiento de datos personales con la finalidad de prestar asistencia sanitaria, no es necesario solicitar el consentimiento del paciente, pero si es obligatorio facilitarle toda la información sobre el tratamiento de sus datos personales conforme a los artículos 12, 13 y/o 14 del RGPD. Si se facilitase esa información por escrito, es recomendable que vayan separadas la hoja del consentimiento sanitario dirigida al paciente de la hoja de información referida al tratamiento de sus datos personales.

2.3. ¿Pueden tratarse luego los datos con finalidades distintas a la asistencia sanitaria?

Si los datos se han recabado en el marco de la asistencia sanitaria y se han incorporado a una Historia Clínica (HC), su finalidad principal será la de facilitar dicha asistencia sanitaria. No obstante, la ley permite en ciertos casos el tratamiento de datos incorporados a una HC con otros fines. Por ejemplo, con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, aunque la regla general en estos casos será la separación de los datos identificativos y los clínico-asistenciales (véase apartado de acceso a la HC).

El tratamiento posterior de los datos con fines de investigación científica (incluida la investigación en salud) podrá llevarse a cabo conforme a lo establecido en la normativa sectorial, basado en el análisis que propio RT ha de realizar con relación a la compatibilidad de fines y en la aplicación de las necesarias medidas y garantías para cumplir el principio de minimización. En particular, para la utilización de datos en materia de investigación en salud debe tenerse en cuenta lo previsto en la propia LOPDGDD en su disposición adicional 17ª. Más información en AEPD áreas de actuación/salud.

2.4. ¿Puede constar el nombre y apellido de los profesionales en las tarjetas identificativas? ¿Puede constar identificado un profesional sanitario en una reclamación hecha por un paciente para que intervenga como testigo?

Estaría justificado y sería proporcional que constara la identificación del profesional en una tarjeta identificativa claramente visible para el paciente, ya que puede ser necesario para éste conocer la identidad de la persona que le está prestando el servicio. Por ejemplo, para que el paciente pueda identificar al profesional que le ha atendido, y de este modo cerciorarse de que no ha habido confusiones.

Por otra parte, sí podría constar identificado un profesional sanitario a propósito de una reclamación hecha por un paciente, ya que existiría un interés legítimo en el tratamiento de estos datos o dicho tratamiento podría justificarse por el ejercicio del derecho a la tutela judicial mediante la presentación de una reclamación y también puede suceder que la identificación del profesional esta recogida como una obligación en la normativa aplicable en las distintas comunidades autónomas.

3. ¿QUIÉN Y CUÁNDO SE PUEDE ACCEDER A LA HC?

El acceso a la HC con el propósito de una atención eficaz y eficiente para la salud, especialmente en casos de emergencia vital, nunca puede limitarse con la excusa del cumplimiento de la normativa de protección de datos. Por otro lado, el RT tiene la obligación de adoptar las políticas de control de acceso, de registro y trazabilidad de dichos accesos y de auditoría (automatizada y manual) de los registros para prevenir, detectar y corregir con diligencia cualquier abuso que se pueda producir.

El acceso a la historia clínica está limitado, no cualquier profesional y ante cualquier circunstancia puede acceder. Tanto el personal sanitario como otros profesionales pueden acceder a ella únicamente para el desempeño de sus funciones, sin que puedan revelar a terceros los datos a los que tienen acceso. Las posibilidades para acceder a los datos de la HC son distintas según el tipo de función profesional y de la finalidad del acceso a dichos datos.

3.1. Acceso a la HC por parte de profesionales sanitarios

  • ¿A qué datos pueden acceder?

Únicamente a los que sean precisos y, si no fuera necesario conocer la identidad del paciente, no se deberá acceder a la misma. Puede acceder a la HC el profesional sanitario o el equipo directamente implicado en la asistencia al paciente o aquellos que sean consultados por éste con la finalidad de mejorar la atención terapéutica. En todo caso, el acceso estará limitado.

  • ¿Pueden acceder a las HC los residentes?

Sí, en los términos antes descritos, esto es, cuando sea necesario por razón de la atención sanitaria que está prestando. Los residentes tienen la consideración de profesional sanitario mientras dure su vinculación con el centro.

  • ¿Puede accederse a la HC desde centros sociosanitarios?

Los profesionales sanitarios en centros sociosanitarios también deben poder acceder a las HC de los pacientes que están tratando, para poder prestar una correcta asistencia sanitaria.

  • ¿Y desde centros privados concertados?

Los profesionales sanitarios de centros privados concertados deben poder acceder, si es necesario para prestar la atención sanitaria a un paciente derivado a ese centro, pero con acceso limitado a los datos necesarios para cumplir la función que le haya sido encomendada. Para ello deberán arbitrarse las medidas oportunas de manera que el centro de destino tenga conocimiento actualizado del estado de salud del paciente.

  • ¿Podrá accederse por parte de los miembros de un Comité de Ética Asistencial?

Los miembros de estos Comités (algunos de los cuales pueden no ser profesionales sanitarios) accederán a la información que sea estrictamente precisa para emitir la correspondiente opinión ética que sea sometida a su consideración. Han de estar obligados por deber de secreto o firmar un acuerdo de confidencialidad. Solo cuando sea precisa la identificación para poder emitir el informe u opinión correspondiente, se accederá a ella.

  • ¿Pueden acceder las empresas prestadoras de servicios a pacientes?

Las empresas proveedoras de servicios/equipos a los pacientes en domicilio tendrán acceso a los datos estrictamente necesarios para el cumplimiento de sus funciones. Como ET, están obligados a cumplir con la normativa de protección de datos y solo utilizarán dichos datos siguiendo las instrucciones del responsable.

3.2. Acceso por personal administrativo y de gestión

El personal de gestión y administrativo solo puede acceder a los datos de la HC necesarios para el ejercicio de sus funciones. En esta situación se encuentra, en general, el personal de administración y servicios (servicio de admisión, personal encargado de atención al paciente, gestión de citas, gestión administrativa y de personal del centro, informática…), así como los cargos de dirección de un centro. Todo el personal que acceda a los datos de una HC en el ejercicio de sus funciones está sujeto al deber de secreto.

3.3. Acceso por inspección/evaluación/ acreditación

El personal con funciones de inspección, evaluación, acreditación y planificación tiene acceso a las HC en la medida necesaria para cumplir sus funciones (acreditación de la calidad de la asistencia, respeto a los derechos de los pacientes u otras obligaciones del centro en relación con los pacientes o la administración sanitaria). Un inspector/a sanitario/a podría, por ejemplo, acceder a la HC de pacientes para comprobar el proceso asistencial realizado por los profesionales que los hubiesen tratado. Este acceso está igualmente sujeto al deber de secreto.

3.4. Acceso con fines docentes

Los estudiantes, cuando resulte necesario para su actividad docente o para la realización de prácticas, deberían tener un acceso limitado con un perfil de estudiante (como en cuanto al tiempo de acceso, funciones que puede desempeñar -modo consulta-, etc.). Solo deben acceder, con la oportuna autorización, a aquellos datos necesarios para su correcta formación y han de firmar el correspondiente compromiso de confidencialidad.

Para la realización de trabajos fin de grado y fin de máster la regla general debe ser el acceso a datos disociados (separados los datos identificativos de los datos clínicos).

El profesional sanitario puede utilizar los datos clínicos de pacientes con fines docentes siempre que no sea posible la identificación del paciente. Esto implica no sólo la separación entre datos identificativos y clínicos, sino también evitar su utilización en la medida de lo posible cuando, por las características del caso concreto, sea fácilmente identificable la persona de que se trata (por ejemplo, casos con trascendencia pública, casos raros que padezcan pocas personas y/o en lugares geográficamente pequeños, etc.). Esto mismo se aplicará cuando se quieran utilizar algunos datos en congresos, conferencias y similares. Para que se puedan utilizar datos en los que el paciente es identificable es necesario su consentimiento expreso.

3.5. Acceso con fines de salud pública y epidemiológicos

El acceso a la HC con estos fines se debe llevar a cabo, separando los datos de identificación personal de los de carácter clínico asistencial, salvo que el paciente haya proporcionado el consentimiento para no separarlos.

Aun así, en este ámbito, podría accederse a los datos identificativos por razones de interés público, como cuando exista un riesgo o peligro grave para la salud de la población (por ejemplo, ante amenazas transfronterizas graves para la salud, control de epidemias, enfermedades transmisibles, etc.). Esto podría darse también para la incorporación de datos identificativos de pacientes en un registro de cáncer de una comunidad autónoma. En estos casos, deberán aplicarse garantías específicas, como que la persona que accede esté sujeta al secreto profesional, la Administración deba motivar la solicitud de acceso y otros principios de protección de datos como la minimización de datos.

3.6. Acceso con fines de investigación

Como regla general, se debe hacer con datos disociados (separados los identificativos de los clínicos) y con las garantías adicionales que se establecen en la disposición adicional 17ª.2 de la LOPDGDD.

Podrán utilizarse datos de salud de personas identificadas para investigar, si se cuenta con su consentimiento, que puede ser amplio, solicitándose para áreas generales vinculadas a una determinada especialidad o servicio (ámbito del cáncer, ginecológico o de la reproducción...). También cuando el consentimiento se hubiera dado anteriormente para una determinada investigación y se quiera volver a utilizar los datos para una nueva investigación en un área relacionada con la anterior.

Estas reglas también serán aplicables a la investigación en salud pública y epidemiológica. Si bien las autoridades con competencia en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin necesidad de consentimiento de los interesados en situaciones de excepcional relevancia y gravedad para la salud pública.

Cuando sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.

El RGPD y la LOPDGDD establecen criterios más flexibles que la legislación anterior para promover la investigación sanitaria. Más información en AEPD áreas de actuación/salud.

3.7. Acceso con fines judiciales

Cuando se solicite el acceso a una HC por parte de la autoridad judicial, se le proporcionarán a ésta los datos que solicite en el proceso correspondiente, pudiendo darse el acceso a datos no disociados cuando considere imprescindible la unificación de datos identificativos y clínico-asistenciales.

No obstante, sólo debe darse acceso a los datos imprescindibles para el caso de que se trate, evitando comunicar otros datos del propio sujeto o de terceros que no sean relevantes para el caso. A estos efectos, el órgano judicial debería tener en cuenta la necesidad o no de conocer datos que obren en la HC y que no tengan relación directa con el asunto a resolver. Así, por ejemplo, si se trata de un procedimiento de responsabilidad por una cirugía para reducción de estómago, ninguna relevancia tiene el hecho de que el mismo paciente se sometió a una intervención de vasectomía 12 años atrás. En resumen, deberá ponderarse, por parte de la autoridad judicial, la pertinencia o, por el contrario, la inconveniencia, de acceder e incorporar en el expediente judicial la HC completa de una persona.

3.8. Acceso por autoridades administrativas

Al margen del acceso con fines epidemiológicos o de salud pública a los que se refiere la legislación sanitaria, las autoridades administrativas (DGT, AEAT) sólo pueden obtener datos de la HC cuando cuenten con el consentimiento del titular o así esté previsto en una ley de manera específica, de no contar con ninguna de estas bases jurídicas en el caso de que se requiera el acceso a la HC, será necesario eliminar la identificación de su titular.

4. LA RESPONSABILIDAD DEL PROFESIONAL SANITARIO

Independientemente de las obligaciones del RT, el personal sanitario que accede a una HC injustificadamente puede verse sujeto a distintos tipos de responsabilidad penal, disciplinaria y administrativa por protección de datos, que en algunos casos pueden darse, incluso, de manera conjunta (por ejemplo, la indemnización a la víctima es concurrente con otras sanciones).

En primer lugar, este tipo de accesos está sancionado en el Código Penal (CP) como delito de descubrimiento y revelación de secretos. El CP prevé penas de hasta cinco años de prisión, según los casos, a las que se suman penas de multa, suspensión o inhabilitación. Por otro lado, cuando no tengan la suficiente gravedad para ser delito, estas conductas se podrán castigar con una sanción administrativa. En el caso de las entidades públicas, dicha sanción podrá consistir en el apercibimiento a la administración o entidad pública y, en su caso, se dará publicidad de la infracción cometida. Si se trata de centros privados, se aplicarán las correspondientes sanciones previstas en la normativa de protección de datos (entre ellas, la imposición de multas).

En el caso del profesional que realice su actividad en un centro sanitario, se le podrá imponer una sanción disciplinaria. Además, la vulneración del deber de confidencialidad que supone el acceso injustificado a la HC es contemplada en la mayor parte de los códigos deontológicos de las profesiones sanitarias como falta grave o muy grave, acarreando consecuencias que llegan hasta la inhabilitación profesional.

Por otro lado, el acceso indebido a la historia clínica puede dar lugar al deber de abonar a la víctima una indemnización de carácter civil, cuya cantidad dependerá de la valoración de los Tribunales.

Es importante recordar que la responsabilidad por el acceso indebido a los datos de la HC surge, no sólo por la revelación a terceros de los datos conocidos a propósito del acceso a la misma, sino que el profesional sanitario puede enfrentarse a todas o alguna de las consecuencias descritas simplemente con el mero acceso injustificado a la HC, incluidas las penas de prisión. Es decir, si se accede sin el consentimiento del paciente, o sin que concurra alguna de las finalidades protegidas por la ley (entre ellas, la más habitual, la prestación de asistencia sanitaria, que determina la consulta de los datos precisos para efectuarla), ese acceso ya es indebido y susceptible de conllevar consecuencias graves para el profesional. Sin perjuicio de que si, además, la información indebidamente consultada es revelada a terceros, las consecuencias legales serán todavía más graves.

Este tipo de conductas inciden también en las obligaciones relacionadas con la notificación de brechas de seguridad a las autoridades de protección de datos y, en su caso, la comunicación a los propios interesados. Otras brechas notificadas con frecuencia en el ámbito sanitario son el envío de documentación con datos de salud o datos genéticos a destinatarios incorrectos, la destrucción sin garantías de confidencialidad de soportes de datos, o el extravío de muestras biológicas que permitan identificar al paciente.

Otro motivo de brecha es los Ciberincidentes de tipo ransomware, que pueden cifrar datos personales y sistemas informáticos, afectando a la disponibilidad de los datos y de los medios para tratarlos. En muchas ocasiones se produce también la exfiltración de los datos personales, lo que afecta a la confidencialidad. Estos incidentes suelen ir acompañados de intentos de extorsión tanto al profesional sanitario como a los pacientes afectados por la brecha.

La aplicación de medidas de seguridad preventivas específicamente destinadas a evitar este tipo de incidentes y disponer de sistemas de respaldo, no solo de los datos, sino también de los servicios, es vital para minimizar el riesgo sobre las personas afectadas y dar cumplimiento a las obligaciones del Reglamento.

5. OBLIGACIONES EN EL TRATAMIENTO DE DATOS DE SALUD

5.1. ¿En qué medida el RGPD impone nuevas obligaciones?

El RGPD impone nuevas obligaciones, precisa el alcance de otras y, sobre todo, exige que se pueda demostrar el cumplimiento de las mismas (“principio de responsabilidad proactiva”). En todo caso, con carácter general ha de tenerse en cuenta que:

  • Es necesario realizar una gestión del riesgo que los tratamientos suponen para los derechos y libertades de los interesados. Para ello, se ha de tener en cuenta, entre otras circunstancias, la naturaleza, el alcance, el contexto y los fines en que se realiza el tratamiento de los datos.
  • Con el fin de reducir los riesgos, es necesario adoptar medidas y garantías adecuadas y proporcionales a dichos riesgos, en particular, implementar políticas de protección de datos, medidas organizativas, de protección de datos desde el diseño y por defecto, así como medidas de seguridad.
  • Cuando las operaciones de tratamiento supongan un alto riesgo para los derechos y libertades, se ha de llevar a cabo una evaluación de impacto de protección de datos (EIPD).
  • Hay que disponer de un registro de actividades de tratamiento (RAT) y, en el caso de entidades públicas, ha de ser público y estar accesible por medios electrónicos.
  • Hay que nombrar a un delegado de protección de datos (DPD), en los casos que sea obligatorio.
  • El RT ha de gestionar las brechas de datos personales para dar cumplimiento a los artículos 33 y 34 del RGPD.
  • En cumplimiento de la obligación de transparencia, la información al interesado sobre el tratamiento de sus datos deberá proporcionarse tanto en los casos en que los datos se obtengan directamente de él como si, por el contrario, se hubiesen recibido por otras vías.

5.2. ¿Hay que nombrar un DPD?

La designación de un DPD es obligatoria cuando el tratamiento de los datos lo lleve a cabo una autoridad u organismo público y cuando se trate de centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ya sea como responsable o encargado del tratamiento. Por tanto, los centros de salud y sanitarios públicos y privados han de disponer obligatoriamente de un DPD. No obstante, quedan exonerados de esta obligación los profesionales de la salud que ejerzan su actividad de manera privada a título individual.

Dependiendo de la estructura y organización de los organismos de salud públicos y de los centros sanitarios privados, se podrá designar como DPD a alguien del propio organismo o centro, o a profesionales o entidades externas a los mismos. También podrá designarse un único DPD para varios RT o ET.

En cualquier caso, el DPD deberá tener los conocimientos jurídicos, de gestión y técnico/científicos necesarios para informar, asesorar y supervisar al RT o ET en el cumplimiento de la normativa de protección de datos y salud de los tratamientos concretos que se lleven a cabo, además debe contar con otras cualidades personales, como la de integridad y un alto grado de ética profesional.

Cuando se designe un único DPD para todos, o varios, centros sanitarios de un sistema de salud o de un grupo sanitario, es fundamental que esté fácilmente accesible desde cada centro para los interesados y la autoridad de control, así como también para los integrantes de los centros sanitarios.

Recomendaciones:

  • Cuando se trate de profesionales sanitarios que ejercen su actividad a título individual, éstos podrían instar a sus respectivos colegios profesionales que le presten los servicios de DPD en el caso el que lo designen voluntariamente, para facilitarles el cumplimiento de la normativa de protección de datos.

Obligaciones:

  • Los responsables de los centros sanitarios, públicos y privados respaldarán al DPD en el desempeño de las funciones que tienen asignadas, facilitarán los recursos necesarios para su desempeño, el acceso a los datos personales y a las operaciones de tratamiento, y garantizarán que informen al más alto nivel de la organización y la formación necesaria para el mantenimiento de sus conocimientos especializados.
  • Velar y adoptar las medidas adecuadas para que el DPD ejerza sus funciones en ausencia de conflictos de intereses y con total independencia.
  • No despedir ni sancionar al DPD por el ejercicio de sus funciones.

5.3. ¿Cuándo se debe llevar a cabo una EIPD?

La EIPD es una obligación del RT cuando, en el marco de la gestión del riesgo, se determine que el tratamiento suponga un alto riesgo para los derechos y libertades de los afectados. En tratamientos sanitarios es obligatorio realizar la EIPD cuando dichos tratamientos se llevan a cabo a gran escala. Hay que tener en cuenta, que el tratamiento realizado por un profesional médico como consulta particular nunca se considerará a gran escala.

El DPD asesorará en la realización de la EIPD y supervisará su aplicación cuando hubiese sido nombrado. En caso de que no sea posible gestionar un alto riesgo, cabe la opción de presentar una Consulta Previa a la AEPD.

5.4. ¿En qué casos hay que publicar el registro de actividades de tratamiento (RAT) y de qué modo?

El RT y el ET han de mantener un RAT conforme a lo regulado en el art. 30 RGPD y 31 de la LOPDGDD. El RAT ha constar por escrito y, en su caso, en soporte electrónico, y estará a disposición de la Agencia de Protección de Datos o, si el responsable fuera una entidad pública, de la autoridad de control competente. Sin embargo, en el caso de las entidades públicas (incluyendo las fundaciones públicas) el inventario (art. 31 LOPDGDD) con los tratamientos de datos personales deberá hacerse público y estar accesible por medios electrónicos (por ejemplo, a través de la respectiva página web).

5.5. Medidas básicas de seguridad en el uso de dispositivos informáticos

Se deben adoptar medidas que garanticen un nivel de seguridad adecuado a los riesgos, que incluya entre otros, la capacidad de garantizar la confidencialidad o de restaurar la disponibilidad y acceso a los datos en caso de incidente. En particular, y debido a su impacto, el responsable, asesorado por su DPD, ha de ser consciente de qué brechas de datos personales se están produciendo en el contexto de sus tratamientos, para adecuar las medidas y garantías a adoptar.

Ejemplos de estas medidas a implantar en tratamientos de datos de salud serían:

  • Identificar los soportes utilizando sistemas de etiquetado comprensibles y con significado, que permitan a los usuarios con acceso autorizado identificar su contenido y dificulten la identificación al resto.
  • Codificar los datos en la distribución de soportes para que no sean accesibles o manipulados durante su transporte.
  • Cifrar los contenidos de dispositivos portátiles cuando se encuentren fuera de las instalaciones, y en la transmisión de datos a través de redes electrónicas.
  • Conservar una copia de respaldo de los datos y de los procedimientos de su recuperación en un lugar diferente a aquel en que se encuentren los equipos informáticos que los tratan.
  • Guardar, como mínimo, de cada intento de acceso la identificación del usuario, fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
  • Cambiar las contraseñas que sirvan de mecanismo de autenticación como mínimo una vez al año y almacenarlas de forma confidencial. El uso de gestores de contraseñas facilita la posibilidad de recordar y mantener de forma segura contraseñas distintas y seguras en distintos servicios, así como cambiarlas periódicamente.
  • Formación continua del personal.

Deben evitarse conductas tales como:

  • Facilitar el acceso a cualquier persona no apagando el ordenador.
  • Compartir claves y contraseñas.
  • Enviar información sanitaria mediante correos electrónicos o red pública abiertas, salvo que los datos se hayan cifrado.
  • Crear ficheros propios con datos personales de pacientes.

El empleo de medidas de seguridad para la gestión del riesgo no suple el incumplimiento en el tratamiento de los principios y derechos establecidos en el RGPD, en particular, la falta de una legitimación del tratamiento.

5.6. ¿Es recomendable el uso de redes sociales y otros servicios similares para la gestión de citas o comunicaciones con los pacientes?

En estos casos se debe tener en cuenta que tienen vinculado un tratamiento adicional por parte de un tercero. Por lo tanto, el RT ha de ofrecer siempre medios alternativos de comunicación.

El tratamiento será lícito si la finalidad es la prestación de la asistencia sanitaria o social y se refiere únicamente a datos personales que el interesado haya aportado o que se utilicen dentro de esa relación (por ejemplo, el número de teléfono). Por tanto, el RT no podrá utilizar las RRSS del paciente, pero sí su número de teléfono para notificarle o recordarle alguna cita u otra particularidad, siendo indiferente cuál sea la aplicación concreta utilizada, siempre que sea a través del teléfono (mediante una llamada o un mensaje de texto o instantáneo) y tal comunicación no llegue simultáneamente a personas no autorizadas (por ejemplo, si se utiliza una aplicación como WhatsApp u otras aplicaciones de mensajería similares, hay que asegurarse de que el mensaje se ha dirigido únicamente al paciente, y no a un grupo del que el paciente forma parte, aunque tengamos acceso al mencionado grupo).

Ahora bien, el tratamiento de datos personales que se hiciera a través de aplicaciones de mensajería instantánea está sujeto a los principios de protección de datos y el RT tiene un grado de responsabilidad específico en la selección de los mismos, incluida la diligencia necesaria en la elección de los canales de comunicación más apropiados. En particular, en su empleo se ha de aplicar el principio de minimización de datos, revelando por estos cauces la mínima información necesaria. Además, ha de tenerse en cuenta que por la propia naturaleza de la relación clínica es posible que los contenidos de algunos mensajes transmitidos a través de esas aplicaciones contengan datos relativos a la salud, por lo que han de ser los propios RT los que valoren la conveniencia de utilizarlas desde la perspectiva de la protección de datos, atendiendo por ejemplo a si disponen de un sistema de contraseñas débil o fuerte, siendo sencillo suplantar al usuario, o de si se cifran los mensajes o no. A la vista de las debilidades de unos u otros sistemas, por la ausencia de medidas de seguridad aceptables, es probable que no sea aconsejable la comunicación con el paciente a través de estos medios, especialmente cuando se trate de datos sensibles.

Además, en los casos que se utilicen este tipo de aplicaciones, se debe comprobar si el uso de las mismas puede comportar que se estén llevando a cabo transferencias de datos personales a un tercer país (TID), y si es así que se cuenta con la habilitación legal necesaria para hacerlas, es decir decisión de adecuación (at. 45 RGPD), garantías adecuadas (art. 46 RGPD y recomendaciones 1/2020 CEPD) o de manera excepcional, pero no como norma general, alguna de las excepciones contempladas en el art. 49 del RGPD (consentimiento, contrato…).

6. GESTIÓN DE LOS DERECHOS DE LOS PACIENTES RESPECTO AL TRATAMIENTO DE SUS DATOS

6.1. ¿Cuáles son estos derechos?

El RGPD regula como derechos de los afectados el de obtener confirmación del tratamiento de datos sobre si los mismos están siendo o no objeto del tratamiento y, en caso afirmativo, acceder a ellos. Asimismo, regula los derechos de rectificación, supresión, oposición, limitación del tratamiento, portabilidad y a no ser objeto de decisiones individuales automatizadas incluida la elaboración de perfiles.

Además, también se le debe notificar la destrucción, pérdida o alteración accidental o ilícita de sus datos personales, o la comunicación o acceso no autorizado, si esa violación supone un riesgo grave para sus derechos.

Sin embargo, en el ámbito sanitario, estos derechos se concretan en relación con la HC en la ley de autonomía del paciente y en la legislación autonómica sobre la materia, que se aplican como leyes especiales con carácter preferente al RGPD y, conforme a dicha normativa pueden ser objeto de algunas limitaciones (como la posibilidad de rectificar o suprimir datos de la HC); y otros tendrán escasa aplicación (como el derecho de oposición).

En general, estas limitaciones son consecuencia de la ley de autonomía del paciente, que obliga a conservar toda le información necesaria para conocer el estado de salud del paciente con el fin de garantizar la asistencia sanitaria. Lo que implica que dichos derechos puedan limitarse o modularse conforme a los criterios de los profesionales sanitarios que permitan garantizar la finalidad de ser necesarios para una adecuada asistencia sanitaria a los pacientes.

Y también porque la conservación de la historia clínica es necesaria para el cumplimiento de obligaciones legales, como es la de atender los requerimientos de los jueces, y por razones de interés público como la epidemiología o la evaluación de la calidad de la asistencia sanitaria, entre otras. En todo caso la limitación de los derechos debe explicarse motivadamente a quienes los hayan ejercitado.

6.2. En el caso de menores de edad ¿Quién ejercita estos derechos? ¿Y si los progenitores están separados o divorciados?

A partir de los 14 años se le debe reconocer a un menor al menos el derecho a acceder a su HC, pues tiene derecho a estar informado de los asuntos que le conciernen. Esta información es básica para que pueda ejercer sus derechos a ser escuchado y a que su opinión sea tenida en cuenta en función de su edad y madurez.

Pero los padres y madres podrán acceder también a la historia clínica de sus hijos e hijas hasta la mayoría de edad, ya que son titulares de la patria potestad y tienen la obligación de velar por ellos y pueden intervenir en este ámbito para cumplir con sus deberes de cuidado y asistencia. Esto no lo podrán hacer correctamente si no pueden conocer la información relativa a la salud de sus hijos.

Si los padres se encuentran separados o divorciados y ambos tienen el ejercicio de la patria potestad (aunque la guarda y custodia se le haya atribuido a uno solo de ellos), ambos deben estar informados y deciden sobre la salud de sus hijos y, en consecuencia, tienen acceso a su HC.

6.3. ¿A qué tiene derecho de acceso el paciente respecto de su HC? ¿Qué ocurre si se le entregan datos de un tercero?

Conforme a la normativa estatal sanitaria (Ley de Autonomía del Paciente), el paciente tiene derecho a acceder a la documentación de su propia HC ya los datos que constan en ella. En cambio, la normativa de protección de datos no reconoce el derecho de acceso a documentos concretos de la HC, sino a obtener confirmación de si se están tratando o no sus datos personales, y en caso afirmativo, derecho de acceso a los mismos mediante copia y a determinada información conforme al artículo 15 del RGPD.

No obstante, el derecho de acceso del paciente no incluye datos de terceras personas que consten en la HC en interés terapéutico del paciente, ni a las anotaciones subjetivas de los profesionales sanitarios, que se hayan opuesto a ello.

En el caso de que se entregaran datos de un tercero, se estaría vulnerando el deber de confidencialidad. En consecuencia, tanto la institución como el profesional podrían incurrir en responsabilidad, que puede ser administrativa (multa en el caso de institución privada o del profesional, apercibimiento en el caso e institución pública, disciplinaria para el profesional...), civil (si se ha causado un daño al tercero, éste podría tener derecho a una compensación a cargo de la institución y/o del profesional sanitario) y penal (multa o pena de prisión por revelar o ceder a terceros los datos de salud vulnerando la intimidad del paciente).

El paciente tiene derecho a conocer los accesos que se han producido a su HC (cuántos accesos, finalidad del acceso, etc.). Pero, a día de hoy, ni la normativa sobre protección de datos, ni la normativa estatal sanitaria reconocen expresamente que este derecho incluya la identificación (nombre y apellidos) de los profesionales que han accedido a la HC de un paciente (aunque podrían conocerse estos datos a propósito de una investigación judicial en curso por sospecha de acceso indebido). No obstante, algunas normas autonómicas sí reconocen la posibilidad de conocer la identidad de quién ha accedido, como Navarra y Extremadura, en cuyo caso el paciente podrá también solicitar estos datos cuando ejercite su derecho de acceso. En cualquier caso, la administración o centro sanitario tiene la obligación de implantar las medidas de seguridad necesarias para controlar y, en su caso impedir, el acceso a la HC por parte de personas no autorizadas.

6.4. ¿En qué casos procede la rectificación de la HC si lo solicita el paciente?

El paciente tiene derecho a que se rectifiquen sus datos personales inexactos (mediante documentación acreditativa del error), por ejemplo, domicilio inexacto, apellido erróneo, etc.); y a que se completen sus datos personales incompletos, teniendo en cuenta los fines del tratamiento. En el caso de rectificación de datos clínicos, será el facultativo que esté a cargo del paciente quien determinará si procede dicha rectificación conforme a los criterios sanitarios aplicables.

6.5. ¿Debe atenderse una solicitud de supresión de datos de la HC?

La supresión de datos de la HC está muy restringida, puesto que ésta tiene como finalidad principal garantizar una correcta atención sanitaria al paciente. Las HC pueden cumplir también otras funciones secundarias de interés general (en salud pública, epidemiología, investigación, etc.). De ahí que el contenido de la HC no pueda quedar únicamente en manos del propio paciente. Es el profesional sanitario quien decide si procede o no suprimir un dato de la HC, en función de su trascendencia clínica. Por ello, cuando se trate de datos sin relevancia para la asistencia sanitaria (como datos relativos a cómo se produjo un accidente de tráfico que haya requerido asistencia médica y que no tengan trascendencia sanitaria), deberían poder suprimirse tales datos.

En caso de personas fallecidas, las personas vinculadas a las mismas por razones familiares o de hecho, así como sus herederos podrán dirigirse al RT o ET al objeto de solicitar la supresión de los datos personales de aquella, salvo que la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. También lo podrán solicitar las personas o instituciones a las que el fallecido hubiese designado expresamente para ello con arreglo a las instrucciones recibidas.

Si la persona fallecida es un menor, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada. En caso de fallecimiento de personas con discapacidad, igual que los menores y, además, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

6.6. Si se ha eliminado incorrectamente documentación clínica ¿Cuál sería el tratamiento idóneo? ¿Hay que comunicarlo a la AEPD o, en su caso, a la Autoridad Autonómica competente?

Además de que se incumple la obligación de conservación de la HC, en la medida en que esta documentación contenga datos personales nos podríamos encontrar en situaciones de brechas sobre la confidencialidad, disponibilidad o integridad de la HC, de donde se puede derivar la correspondiente responsabilidad legal (sanción, indemnización, etc.,). De forma no exhaustiva, algunos ejemplos de brechas de datos personales son:

  • La destrucción accidental o pérdida de datos personales, total o parcial. Supone una brecha de disponibilidad y/o integridad si no existe otra copia recuperable de los datos.
  • La destrucción incorrecta o incompleta de datos personales cuando debían ser eliminados, supone una brecha de confidencialidad dado que terceros no autorizados podrían acceder a esos datos.
  • Ciberincidentes de tipo ransomware que provocan el cifrado de datos personales y sistemas de información impidiendo su tratamiento suponen una brecha de disponibilidad. Si, además, previamente al cifrado se ha producido exfiltración de los datos personales, supondrán también una brecha de confidencialidad.
  • La alteración indebida o no autorizada de datos personales (por ejemplo, que un tercero altere o falsee el resultado de una prueba diagnóstica) supone una brecha de integridad.

En todos estos casos el profesional sanitario debe evaluar el riesgo que la brecha pueda suponer para los pacientes. Si existe tal riesgo, deberá notificarla a la AEPD, y también comunicarla a las personas afectadas si el riesgo es alto.

7. GESTIÓN DE SITUACIONES QUE PUEDEN IMPLICAR COMUNICACIÓN DE DATOS A TERCEROS

7.1. ¿Cómo llamar a los pacientes en las consultas?

Deberá hacerse de manera que no se utilicen datos identificativos (como el nombre y apellidos) sino algún otro sistema proporcional a la difusión pública que se haga de los datos de salud (asignación de un código o número al paciente en el caso de utilizar monitores en los que se muestran pacientes de distintas consultas, utilización del nombre de pila al llamar por voz en un entorno que solo van a escucharlos los pacientes de la misma consulta, etc.).

7.2. ¿Cómo gestionar la información en mostradores de admisión para no ser accesible al resto de personas?

Por ejemplo, estableciendo la necesaria separación entre el paciente que está siendo atendido y el que espera; zonas separadas de admisión y salas de espera en la medida de lo posible, etc. El profesional encargado de la admisión deberá igualmente gestionar y comunicar la información de manera que no sea accesible a otros pacientes.

7.3. ¿Qué información debe prestarse para cancelar o posponer una cita por teléfono y cómo comprobar la identidad del interesado?

Para evitar la comunicación a terceros de datos de salud de una persona, sin su consentimiento, o la eliminación de dichos datos con el consiguiente perjuicio, deben establecerse mecanismos de identificación de la persona, para comprobar que se corresponde con el interesado, solicitando varios datos de identificación, nombre, DNI, número de tarjeta sanitaria, teléfono, etc., y comprobando que coinciden con los que constan en la base de datos del centro. Adicionalmente, y partiendo de que es el interesado el que llama, preferentemente debería ser quien facilite la información sobre la cita que quiere posponer o cancelar.

Si es el centro el que llama, deberá hacerlo al teléfono o teléfonos facilitados por el propio paciente, informando en el momento inicial en que se recojan los datos de contacto de que se podrán utilizar esos números con tales finalidades.

En cualquier caso, deberá facilitarse la mínima información posible para identificar la cita (día, hora, centro, unidad), evitando hacer referencia a las posibles causas por las que se concertó dicha cita (por ejemplo, no mencionar síntomas, enfermedad, tratamientos, etc.).

7.4. ¿Qué información se puede facilitar cuando se llama a un hospital preguntando por un posible ingreso de una persona y/o la habitación en la que se encuentra y no se ha podido obtener el consentimiento del paciente?

No puede darse información sobre el ingreso de una persona y/o habitación en la que se encuentra si no se ha obtenido su consentimiento para facilitar dicha información. Si el paciente no se encuentra en condiciones de prestar el consentimiento (no está capacitado física o jurídicamente para hacerlo), podrán consentir los familiares. En cualquier caso, es importante que al paciente (o a los familiares) se les informe convenientemente sobre esta cuestión y sus consecuencias, antes de que presten el consentimiento.

No obstante, en situaciones excepcionales, tales como pacientes que ingresan en urgencias (cuyo consentimiento se recabará cuando sean trasladados a planta), pacientes inconscientes o personas desaparecidas, se podrá facilitar dicha información sin necesidad de consentimiento, pues la presencia de familiares o allegados puede ser esencial para la debida atención del paciente. En estos casos, únicamente se proporcionará información acerca de si la persona se encuentra en urgencias o ingresada y el número de habitación, sin indicar datos de salud o la atención médica prestada.

7.5. Gestión de los justificantes de asistencia de los acompañantes de pacientes ingresados ¿es necesario contar con el consentimiento del paciente? ¿debe comprobarse el parentesco?

No es necesario el consentimiento del paciente, puesto que el acompañante tiene un interés legítimo en obtener dicho justificante. Tendrá que justificar la vinculación/parentesco con el paciente.

En cualquier caso, la información que contenga el justificante debe ser la mínima imprescindible para la finalidad que tiene que cumplir (identificación del paciente, fecha/hora ingreso; duración del ingreso), sin que puedan incluirse datos que permitan identificar la causa que lo provocó (tipo de enfermedad, unidad de ingreso…).

8. GESTIÓN DE SEGURIDAD DE LOS RECINTOS

8.1. ¿Se pueden colocar cámaras de videovigilancia en los pasillos de consultas o salas de espera?

Sí, ya que la captación de imágenes por cámaras de videovigilancia en esos establecimientos abiertos al público está dirigida a aumentar y garantizar la seguridad tanto de las instalaciones como de los usuarios y pacientes.

Las cámaras sólo podrán captar esas zonas comunes, pero no estarán orientadas a las consultas, para evitar grabar su interior. Además, debe prestarse especial consideración a que han de instalarse, en los distintos accesos a esas zonas videovigiladas y, en lugar visible, uno o varios carteles informativos en los que se advierte de que se accede a una zona videovigilada. El cartel indicará de forma clara que se están tratando datos personales, la identidad del responsable, la posibilidad de ejercitar derechos y una referencia a dónde obtener más información.

En el caso de que dichas cámaras se quieran emplear con fines distintos a la seguridad, tales como control laboral, deberá informarse previamente a los profesionales y a los representantes sindicales.

8.2. ¿Es contrario a la normativa de protección de datos que el personal de seguridad de un centro sanitario solicite la identificación de personas que puedan resultar sospechosas?

No. El personal de seguridad tiene entre sus funciones efectuar controles de identidad para la protección del centro y de las personas que puedan encontrarse en el mismo, sin que en ningún caso pueda retener la documentación personal. La negativa a exhibir la identificación facultará al vigilante de seguridad a impedir a los usuarios el acceso al centro o a ordenarles su abandono.

9. LA POSICIÓN JURÍDICA DE LOS PROFESIONALES QUE PRESTAN SERVICIOS EN HOSPITALES O CLÍNICAS

Respecto de los criterios sobre la responsabilidad del tratamiento de datos de pacientes en los casos en los que el profesional sanitario es el que toma todas las decisiones sobre la atención a los mismos y al tratamiento de sus datos, aunque preste la asistencia sanitaria en un hospital, nos encontramos con tres supuestos:

  • Profesional sanitario que toma todas las decisiones sobre la atención sanitaria de sus pacientes, incluyendo el tratamiento de sus datos personales, prestando sus servicios en un centro sanitario, mediante el alquiler de una consulta, en este caso, el profesional sanitario es el RT ya que es quien decide sobre los fines y medios del tratamiento, y se le atribuyen como tal todas las obligaciones derivadas del RGPD en relación con el tratamiento efectuado.
  • Profesional sanitario que, si bien toma todas las decisiones sobre la atención sanitaria de los pacientes, se encuentra contratado para ello por el centro sanitario, en este caso, donde los pacientes son del centro sanitario, el profesional sanitario es un empleado. Por tanto, el centro, como RT, es quien tiene encomendadas todas las obligaciones del RGPD y será el responsable de suministrar instrucciones a su empleado sobre cómo debe actuar.
    Un ejemplo de ello lo encontramos en el PS/00391/2020 dirigido contra IDCQ HOSPITALES Y SANIDAD, S.L.U. que finalmente se archivó. Se reclamó por el profesional sanitario contra el centro de salud donde había prestado servicios, reclamándoles copia de la HC de los pacientes que había atendido durante la vigencia de su contrato. Dado que el contrato no era laboral, sino mercantil, consideraba que “la titularidad de los datos personales de las HC de los pacientes que he atendido en dicho centro hospitalario no puede mantenerse en el sistema informático del reclamado y deben ser custodiados y almacenados por él, dado que el reclamado me considera empresario autónomo”. Sin embargo, tras una práctica de prueba muy minuciosa durante la instrucción del procedimiento, se constató que el reclamante no cumplía requisito alguno para poder ser considerado RT, al no decidir ni sobre los fines ni sobre los medios del tratamiento.
  • En raras ocasiones nos encontramos con un tercer supuesto donde la relación jurídica entre el profesional sanitario y el centro se desdibuja. En tales ocasiones acontece que el profesional sanitario atiende a sus propios pacientes en una consulta del centro, que compagina con la atención a los pacientes pertenecientes al centro sanitario, en estos casos habrá que determinar respecto de qué pacientes el personal sanitario o el centro de salud respectivamente son RT o si comparten la determinación de los fines /o los medios del tratamiento, en cuyo caso nos encontraríamos ante un supuesto de corresponsabilidad.
    Para dilucidar en todos estos supuestos quién es el responsable en cuanto al tratamiento de los datos personales, se ha de atender al caso concreto y al concepto funcional de RT, tal y como deviene del Informe 0064/2020 del Gabinete Jurídico de la AEPD que, analizando las Directrices 07/2020 del Comité Europeo de Protección de Datos sobre los conceptos de responsable y encargado del tratamiento, afirma que el RGPD “reitera que se trata de conceptos funcionales, que tienen por objeto asignar responsabilidades de acuerdo con los roles reales de las partes (apartado 12), lo que implica que en la mayoría de los supuestos deba atenderse a las circunstancias del caso concreto atendiendo a sus actividades reales en lugar de la designación formal de un actor como “responsable” o “encargado” (por ejemplo, en un contrato), así como de conceptos autónomos, cuya interpretación debe realizarse al amparo de la normativa europea sobre protección de datos personales (apartado 13), y teniendo en cuenta (apartado 24) que la necesidad de una evaluación fáctica también significa que el papel de un RT no se deriva de la naturaleza de una entidad que está tratando datos sino de sus actividades concretas en un contexto específico…”.
    No obstante, debemos matizar que en el ámbito público el RT será siempre la autoridad sanitaria, pues es quien tiene encomendadas por la normativa las competencias sanitarias, lo que le exige determinar los fines y medios del tratamiento.

En las consultas formuladas por los DPD del ámbito sanitario en la reunión celebrada con ellos en 2019, se planteó una duda sobre la posición jurídica, como RT o ET de un laboratorio de pruebas diagnósticas. El criterio de la AEPD fue que el laboratorio de análisis clínico que presta un servicio de asistencia sanitaria a través de pruebas funcionales o de laboratorio que ayudan al diagnóstico médico y prevención de la enfermedad, ha de ser considerado un centro sanitario y responsable del tratamiento de datos personales de los pacientes, derivado de los análisis clínicos que haya efectuado.