¡Pide presupuesto en 2 min! ✓
SanidadSectores

Guía para el tratamiento de datos personales en el ámbito sanitario

10 Mins read

Después de recibir diversas consultas por parte de nuestros clientes en relación a sus obligaciones en materia de protección de datos dentro de centros sanitarios, sobre todo a raíz de la aprobación de la nueva normativa comunitaria hemos decidido escribir este post en el cual explicamos las preguntas más frecuentes que les pueden surgir.

¿Cuanto tiempo tienen que conservar los datos de paciente?¿Pueden acceder los familiares a la historia clínica?¿Es necesario siempre recabar el consentimiento para tratar este tipo de datos?

Si te ves abrumado, no te preocupes, en la siguientes apartados te lo explicaremos de una manera sistemática y de fácil comprensión.

Datos de carácter personal relativos a la salud

Todo paciente tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud.

La protección de Datos personales es un derecho fundamental recogido en el artículo 18.4 de la Constitución Española y regulado por el Reglamento Europeo de Protección de Datos (RGPD), y la LOPDGDD.

Esta normativa afecta a los profesionales que operan en el sector sanitario, a las clínicas, a los hospitales, a los centros médicos y a las instituciones sanitarias.

como cumplir la normativa en una clinica

En este caso en particular, la normativa en protección de datos se complementa con la Ley de Autonomía del Paciente 41/2002, de 14 de noviembre, la cual se encarga de regular los derechos y las obligaciones en materia de información y documentación clínica en la que se regula su historial;

Pero primer hay que dejar claro que se entiende por historia clínica y por datos de salud.

 

cumplir lopd centros sanitarios

 

Historia Clínica

Es el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y evolución clínica de un paciente a lo largo de su proceso asistencial.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Datos relativos a la salud

El RGPD los define de la siguiente manera :

  • Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud

Por lo tanto cualquier información relativa, a título de ejemplo:

  • a una enfermedad
  • una discapacidad
  • el riesgo de padecer enfermedades
  • el historial medico del paciente
  • el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo, un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.

Por lo trascendental que puede tener este tipo de datos para la privacidad del interesado, el RGPD, da a este tipo de datos el adjetivo de Especialmente Protegidos, lo cual hace que se deban cumplir una serie de condiciones adicionales para su tratamiento conforme a la normativa.

Los principios fundamentales que deben formalizar los responsables de los datos para el cumplimiento de la normativa son los siguientes:

Consentimiento

La principal bases legal para el tratamiento de este tipo de datos la encontramos en el artículo 9 del RGPD y es el consentimiento.

Según la nueva normativa europea, este deberá ser:

  • Explícito
  • Recogido por escrito

Calidad de los datos

Se recogerá los datos de los pacientes siempre que sean adecuados, veraces y pertinentes.

La información sanitaria no puede recopilarse de forma desleal, fraudulenta o ilícita.

La recogida y el tratamiento de datos de salud persiguen una finalidad principal muy clara plasmada en la propia finalidad de la historia clínica: garantizar una asistencia adecuada al paciente.

La información trascendental para la asistencia sanitaria ha de contar, como mínimo, con los siguientes datos:

  • Documentación referida a la hoja clínico-estadística
  • Autorización de ingreso
  • Informe de urgencia
  • Exploración física
  • Evolución
  • Órdenes médicas
  • Hoja de interconsulta
  • Informes de exploración complementaria
  • Consentimiento informado
  • Informe de anestesia
  • Informe de quirófano o de registro del parto
  • Dosier de anatomía patológica
  • Evolución y planificación de cuidados de enfermería
  • Aplicación terapéutica de enfermería

Información

Los pacientes deben ser informados  en todo momento de:

  • Existencia de estos ficheros
  • Finalidad del mismo
  • Posibles destinatarios de la información
  • Identidad y dirección del responsable del mantenimiento del mismo
  • Posibilidad del ejercicio de sus derechos

Es obligatorio en cada centro sanitario la existencia de una hoja de información al paciente en la que le solicita su autorización para el tratamiento de sus datos.

En ella se recoge, entre otros datos:

  • Nombre del profesional y del centro donde ha sido atendido el paciente
  • Propósitos de la petición
  • Expresa conformidad de publicación del caso clínico en publicaciones científicas dirigidas a profesionales de la salud
  • Nombre del paciente
  • Documento de identidad o pasaporte y su firma autorizando expresamente que se utilicen los datos de su historia clínica en las condiciones que se describen en el informe.

Confidencialidad

El secreto profesional es de obligatorio cumplimiento por el personal que tenga acceso a los datos del paciente. Incluso cuando la relación que vincule a las partes haya finalizado. Se obliga a los centros médicos a adoptar las medidas necesarias para garantizar la confidencialidad y el procedimiento legal de acceso.

Nuevas medidas del RGPD

Medidas organizativas y de seguridad

La nueva normativa ya no establece las medidas de seguridad por niveles, si no que prevé que se apliquen medidas en función del riesgo que puedan ocurrir en el tratamiento de los datos

Por lo tanto, atendiendo a esto, en el caso del tratamiento de datos de salud el nivel del riesgo es enorme, por lo que habrá que diseñar una medidas organizativas y de seguridad conforme a dicho riesgo.

Evaluación de Impacto

La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

Asimismo, las medidas de seguridad y los protocolos que se deban llevar a cabo han de plasmarse en un Documento de Seguridad. Dicho documento deberá estar siempre a disposición de la Agencia Española de Protección de Datos para su consulta si así lo requiriera.

Registro de las actividades de tratamiento

Los responsables y los encargados están obligados ( siempre en los casos de tratamientos de datos de salud, genéticos o biométricos con independencia de emplear o no a más o menos de 250 personas ), a mantener un registro de las actividades de tratamiento que realicen.

Este registro debe de contener al menos los siguientes datos:

  • Identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos.
  • Fines del tratamiento.
  • Descripción de categorías de interesados y datos.
  • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales).
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.

Delegado de Protección de Datos

Se deberá contar con un Delegado de protección de Datos, ya que así lo exige la nueva normativa comunitaria.

Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes tendrán que tener nombrado un DPO y comunicar dicho nombramiento a la AEPD

Comunicación de los datos

Es habitual, que los datos se comuniquen entre entidades para el mejor tratamiento del paciente.

En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permita esta transmisión.

El responsable del fichero deberá cumplir determinados requisitos:

  • Definir en un contrato escrito la regulación del tratamiento de datos por cuenta de un tercero,
  • Establecer que ese tercero ( únicamente tratará los datos conforme a sus  instrucciones.
  • Comprobar que los datos no serán utilizados con fines distintos a los determinados en el contrato, ni serán comunicados a otras personas.
  • El tercero deberá cumplir con las mismas medidas de seguridad que las que cumpla el responsable del fichero.

Excepción

La única excepción a este consentimiento se establece en el caso de que la comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia sanitaria de los afectados a los que se refieren.

Mutuas y compañías de seguro

En el caso particular y excepcional de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario.

Facilitar los derechos ARCO

Los pacientes podrán ejercitar libremente su derecho de acceso, rectificación, cancelación y oposición de su historia clínica.

Para ello, el responsable deberá colaborar con ellos, facilitarles un informe o, en su defecto, una copia del mismo.

No obstante, el procedimiento para el ejercicio de estos derechos debe hacerse siempre respetando unos plazos y unas pautas tanto para ejercerlos, como para facilitarlos.

Preguntas frecuentes relativas a la LOPD en centros sanitarios

¿Cuánto tiempo se deben conservar los datos de los pacientes?

Se establece un plazo de conservación de al menos cinco años contados desde el alta de cada proceso asistencial.

Por tanto, cuando un paciente reciba el alta o por cualquier motivo deje de asistir a la clínica, no se puede proceder a eliminar sus datos (Existen unos plazos mínimos para la conservación de datos).

Igualmente ocurriría en el caso de que el paciente solicitara la cancelación de sus datos. Estos no podrían ser cancelados , si no quedarían debidamente bloqueados.

Responsabilidad civil

El Código Civil establece un plazo de quince años para poder llevar a cabo una acción por responsabilidad civil, plazo que computa desde que el reclamante tiene conocimiento del daño.

No obstante, a efectos prácticos, este plazo se incrementa en quince años más ya que si el daño se conoce justo antes de que venzan los primeros quince, automáticamente se prorrogará por otros quince años más.

¿Puede el hospital comunicar los datos a las mutuas?

Sí, puesto que existe habilitación legal para ello. Siempre de acuerdo al principio de calidad y respecto a las funciones encomendadas.

¿Quién puede acceder a los datos médicos?

Sólo puede tener acceso el personal directamente implicado en la atención del paciente.

¿Pueden familiares y allegados tener acceso a ellos?

En cuanto a familiares y allegados, se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Se puede utilizar los datos de los pacientes para hacer estudios?

Como regla general, se debe contar con el consentimiento expreso del paciente. Para contar con ese consentimiento, se le habría de informar de que sus datos se van a utilizar para fines de investigación.

Otra opción consistiría en separar los datos identificativos de los datos médicos, es decir, proceder a una anonimización de los datos, para que a través de los mismos no pudiera ser identificado

Ejemplos de sanciones de la AEPD a centros médicos

El incumplimiento de estos preceptos fundamentales implica sanciones económicas.

Cabe destacar que con la aplicación de la nueva regulación las multas van en función de la vulneración de la norma, pudiendo llegar hasta los 10.000.000 € o el 4% de la facturación global anual.

Como causas leves destacan:

  • La no inscripción del fichero de datos personales en el Registro General de Protección de Datos
  • No proporcionar la información necesaria a los pacientes a los que se les está solicitando los datos o la de incumplir el deber de secreto.

Causas graves serían:

  • Incumplir la finalidad de los datos para los que se han recogido
  • Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas
  • Mantener los ficheros que contengan datos personales sin las debidas condiciones de seguridad.

Como causas muy graves se tipifican, por ejemplo:

  • El no atender de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
  • La comunicación o cesión de los datos de carácter personal, más allá de los casos en que estén permitidas
  • La omisión de forma sistemática del deber legal de notificación de la inclusión de datos personales en un fichero.

Casos reales

Sanción a un médico de Gijón

Fue a causa de arrojar a la vía pública envases de biopsias con datos personales, la multa que la AEPD le impuso fue de 60.101 euros, ya que cometió una infracción tipificada como muy grave por la LOPD.

Apertura de expediente a un Hospital por infracción

La causa que motivó a la AEPD para abrir un expediente a un Hospital de Inca, fue la filtración de datos personales de pacientes.

Sanción de 6.000 euros a un Centro Médico

Un Centro Médico de Cartagena fue sancionado por la AEPD con la cifra de 6.000 por hacer uso de los datos personales de un cliente de la empresa con la cual se habia fusionado.

La AEPD denuncia a Sanidad

Un Hospital de Cuenca fue apercibido por ceder datos personales e historiales médicos de los pacientes a una clínica privada,sin cifrar la información, pese a tratarse de datos especialmente protegidos, la multa ascendió a un total de 40.001 euros.

Guías específicas para ….

Cumplir con la normativa en tu clínica en 8 pasos

En resumen, para el cumplimiento con los requisitos dictados por la normativa de protección de datos en materia sanitaria, los centros han de cumplir los siguientes puntos:

  1. Los datos recogidos son siempre pertinentes y veraces.
  2. El paciente siempre es informado y tiene acceso libre a sus datos.
  3. Realizar una evaluación de impacto y mantener un registro de las actividades de tratamiento
  4. Nombrar un Delegado de Protección de Datos
  5. Cifrar los datos y guardarlos bajo estrictas medidas de seguridad.
  6. Guardar secreto profesional en todo caso.
  7. En caso de cesión de datos a terceras partes y se debe firmar un contrato que establezca el uso determinado y definido de los datos cedidos.
  8. Facilitar los derechos ARCO respetando los plazos establecidos.

LOPD en centros sanitarios

Por último, hay que destacar que la información recogida en esta guía puede ampliarse consultando otros elementos relacionados de interés como cuáles son tus derechos como paciente.

Si necesitas cualquier documento o tienes dudas sobre el cumplimiento de la normativa, desde Grupo Ático34, tlfno. 91 489 64 19, te ayudamos en lo que necesites.

Related posts
Nuevas tecnologiasSanidad

Hispabot COVID-19: Resuelve tus dudas sobre el Coronavirus

6 Mins read
A finales de marzo, el Gobierno encomendó al Ministerio de Asuntos Económicos y Transformación Digital la elaboración de medidas para facilitar la…
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
Sanidad

La 'app' de Madrid contra el coronavirus ¿Es seguro dar mi móvil y todos mis datos?

5 Mins read
La Comunidad de Madrid ha lanzado CoronaMadrid.com, una aplicación web para luchar contra el coronavirus a través del autodignóstico de los ciudadanos….

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.