Protección de Datos sanitarios y médicos (LOPDGDD y RGPD)

La protección de datos sanitarios es una obligación fundamental para cualquier centro sanitario, público o privado, puesto que en su actividad diaria tratan con datos relativos a la salud, datos considerados de categorías especiales y, por tanto, que deben tener una mayor protección. En esta guía repasamos los aspectos clave de la ley de protección de datos en sanidad y sus principales obligaciones.

Ley de protección de datos sanitarios (Actualizada 2023)

Cuando hablamos de la ley de protección de datos sanitarios, en realidad nos estamos refiriendo tanto al RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales) como la Ley de Autonomía del Paciente, que establece sus propios requisitos respecto a la confidencialidad de los datos médicos y la protección de datos sanitarios.

Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada en la Ley.

¿Qué tipos de datos se tratan en centros sanitarios?

Los datos personales que se tratan en los centros sanitarios son de dos tipos:

• Datos identificativos (como el nombre y apellidos, DNI, dirección, teléfono, número de la tarjeta sanitaria, etc.)
• Toda la información relativa al estado de salud de la persona (pruebas diagnósticas, medicamentos tomados, antecedentes familiares, alergias, cirugías pasadas, etc.).

El RGPD en sanidad define los datos relativos a la salud como «los datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».

Así mismo, también se consideran datos de salud o datos personales de un paciente los datos genéticos que proporcionen una información única sobre la fisiología o la salud de una persona, que hayan sido obtenidos del análisis de una muestra biológica.

Tanto datos identificativos como datos relativos a la salud se incluyen en la denominada «historia clínica», en la que también figurarán datos de terceros, es decir, de los profesionales sanitarios o sociosanitarios que hayan podido intervenir en la atención o tratamiento del paciente.

Entre la información personal relativa al paciente que contiene la historia clínica, encontramos:

• Documentación referida a la hoja clínico-estadística
• Autorización de ingreso
• Informe de urgencia
• Exploración física
• Evolución
• Órdenes médicas
• Hoja de interconsulta
• Informes de exploración complementaria
• Consentimiento informado
• Informe de anestesia
• Informe de quirófano o de registro del parto
• Dosier de anatomía patológica
• Evolución y planificación de cuidados de enfermería
• Aplicación terapéutica de enfermería

Contacta con nosotros y solicita INFO sobre el cumplimiento de la ley de protección de datos en centros sanitarios.

Aspectos fundamentales de la ley de protección de datos sanitarios

En lo que respecta a la aplicación de la LOPD en sanidad, es imprescindible señalar los cuatro pilares fundamentales que cualquier centro médico, hospitalario o sanitario debe tener presentes para poder realizar los tratamientos de datos personales necesarios para el desempeño de la actividad sanitaria de manera adecuada y de acuerdo a la normativa.

Confidencialidad del paciente

La confidencialidad de los datos sanitarios y su salvaguarda es el pilar fundamental de la ley de protección de datos médicos, puesto que, bajo ningún concepto, se deben revelar datos médicos de las personas (más allá de las excepciones contempladas en la ley y en las instancias en las que se puede dar información de pacientes a familiares).

No solo se trata de que los profesionales sanitarios cumplan con el deber de guardar el secreto profesional, durante y después de la relación entre profesional y paciente, sino también de adoptar las medidas necesarias para garantizar la confidencialidad de los datos relativos a la salud y el procedimiento legal de acceso a dichos datos.

¿Quién es el responsable del tratamiento en centros sanitarios?

La ley de protección de datos sanitarios establece que el responsable del tratamiento de los datos personales que forman parte de la historia clínica es el médico o el centro sanitario (público o privado). En el caso del médico, será el responsable del tratamiento cuando ejerza como profesional individual (por ejemplo, cuando tiene una consulta privada).

Es decir, que el responsable del tratamiento es aquella persona jurídica o física que realiza la historia clínica y la custodia y, que, por tanto, tiene la obligación de implementar las medidas de seguridad necesarias para garantizar su confidencialidad y su disponibilidad.

Informar al paciente

Para cumplir con el RGPD y la LOPD en sanidad, el centro sanitario, como responsable del tratamiento, tiene que cumplir con el deber de informar a los pacientes sobre todo lo relativo al tratamiento de sus datos:

• Existencia del tratamiento de datos
• Finalidad del mismo
• Posibles destinatarios de la información
• Identidad y dirección del responsable del mantenimiento del mismo
• Posibilidad del ejercicio de sus derechos
• Plazo de conservación de los datos

Esta información puede entregarse como un documento aparte o como un anexo junto a otra documentación médica, y siempre que se vaya a efectuar un nuevo tratamiento de datos.

Consentimiento y legitimación para el tratamiento de datos

En este punto cabe señalar que no debemos confundir el consentimiento informado del que habla la Ley de Autonomía del Paciente, relativo a la información sobre el tratamiento médico, con el consentimiento RGPD o consentimiento expreso para el tratamiento de datos personales.

En cuanto a la legitimación para el tratamiento de datos personales relativos a la salud, la ley de protección de datos sanitarios establece que, aparte del consentimiento, también se podrán tratar estos datos sin recabar este cuando:

• El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base de una ley o de un contrato.
• El tratamiento sea necesario para proteger intereses vitales del interesado u otra persona, cuando el interesado no esté capacitado para dar su consentimiento.
• Sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o los datos hayan sido reclamados por vía judicial.
• Es necesario por razones de interés público en el ámbito de la salud pública.
• Tenga fines de investigación científica, de archivo en interés público o estadísticos.

Que no sea necesario recabar el consentimiento del paciente para el tratamiento de sus datos en esos supuestos, no implica que no se deba informarle sobre ello.

Obligaciones LOPDGDD / RGPD en sanidad

La aplicación de la LOPDGDD y el RGPD en sanidad implica el cumplimiento de una serie de obligaciones para responsables y encargados del tratamiento, cuyo fin es garantizar la seguridad y la confidencialidad de los datos personales que manejan. Algunas de estas obligaciones son específicas al tratar datos de categorías especiales, como son los datos relativos a la salud.

Registro de actividades de tratamiento

Los responsables y los encargados están obligados siempre en los casos de tratamientos de datos de salud, genéticos o biométricos, con independencia de emplear o no a más o menos de 250 personas, a mantener un registro de las actividades de tratamiento que realicen. Este registro debe de contener al menos los siguientes datos:

• Identificación y datos de contacto del responsable, corresponsable, representante y delegado de protección de datos
• Fines del tratamiento
• Descripción de categorías de interesados y datos
• Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales)
• Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos
• Descripción de las medidas de seguridad adoptadas

Análisis de riesgos y evaluación de impacto

Con carácter previo a cualquier tratamiento de datos personales, es necesario realizar un análisis de riesgos que permita determinar las amenazas que pueden derivarse de dicho tratamiento y el nivel de riesgo si estas se materializan para los derechos y libertades de los interesados.

Al tratarse de datos especialmente protegidos, también será necesario realizar la correspondiente evaluación de impacto.

Tanto del análisis de riesgos como de la evaluación de impacto se obtendrá un informe, que servirá para determinar qué medidas técnicas y organizativas es necesario implementar para garantizar la seguridad y privacidad de datos. Estas medidas tienen como fin minimizar la posibilidad de que las amenazas se materialicen y, en caso de que lo hagan, reducir el impacto negativo en los derechos y libertades de los interesados afectados.

Cesión de datos a terceros

Es habitual que los datos se comuniquen entre entidades para el mejor tratamiento del paciente. En estos casos de cesión de datos a terceros, la ley de protección de datos del paciente establece que este deberá tener constancia de ello, ya que será él quien permita esta transmisión. El responsable del tratamiento deberá cumplir determinados requisitos:

• Definir en un contrato escrito la regulación del tratamiento de datos por cuenta de un tercero, este tercero será el encargado del tratamiento
• Establecer que ese tercero únicamente tratará los datos conforme a sus instrucciones dadas
• Comprobar que los datos no serán utilizados con fines distintos a los determinados en el contrato, ni serán comunicados a otras personas
• El encargado del tratamiento deberá cumplir con las mismas medidas de seguridad que las que cumpla el responsable del tratamiento
• La única excepción a este consentimiento se establece en el caso de que la comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia sanitaria de los afectados a los que se refieren.
• Mutuas y compañías de seguro. En el caso particular y excepcional de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario.

Confidencialidad de los empleados

Los empleados del centro sanitario que tengan acceso a datos personales de los pacientes, incluidos los de salud, deben mantener la debida confidencialidad, y no solo nos referimos a cumplir con el deber de confidencialidad recogido en la Ley de Autonomía del Paciente que citamos más arriba, sino también en lo relativo a la ley de protección de datos sanitarios.

Se puede reforzar este deber incluyendo una cláusula sobre la confidencialidad en protección de datos en los contratos de los empleados.

Designación de un DPO

Los centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes deben designar un Delegado de Protección de Datos (DPO), ya que así lo recoge el artículo 34 de la LOPDGDD, siendo una de las actividades obligadas a tener esta figura.

El DPO puede designarse tanto de manera interna, es decir, puedo serlo un empleado del centro sanitario, siempre y cuando tenga conocimientos suficientes sobre la materia y la normativa de protección de datos. O contratarse un DPO externo, por ejemplo, a través de los servicios de una consultoría de protección de datos.

En cualquier caso, el DPO debe tener completa independencia y contar con los recursos necesarios para poder desempeñar todas sus funciones de acuerdo a la ley.

La única excepción al Delegado de Protección Datos obligatorio es para los profesionales sanitarios que ejerzan su actividad de manera privada y a título individual, si bien, podrán designarlo de manera voluntaria.

Notificar brechas de seguridad

En el caso de un incidente de seguridad que pueda exponer los datos de los interesados, será necesario notificar dicha brecha de seguridad tanto a la AEPD como a los propios interesados cuyos datos hayan podido verse afectados. Para esta notificación hay un plazo máximo de 72 horas, a contar desde el momento en que se tuvo constancia del incidente.

Junto a la notificación del incidente, también se informará de las medidas correctoras adoptadas para poner fin al mismo.

Plazos de conservación de los datos médicos

El plazo de conservación de datos sanitarios es de al menos cinco años contados desde el alta de cada proceso asistencial.

Por tanto, cuando un paciente reciba el alta o por cualquier motivo deje de asistir a la clínica, no se puede proceder a eliminar sus datos, aunque estos sí pueden ser bloqueados, es decir, no podrían ser tratados con ningún otro fin. Consulta más información sobre el plazo de conservación de datos personales.

Aparte de esto, hay que tener en cuenta que algunas leyes autonómicas establecen diferentes plazos de conservación para la historia clínica.

Y que el Código Civil establece un plazo de quince años para poder llevar a cabo una acción por responsabilidad civil, plazo que computa desde que el reclamante tiene conocimiento del daño. No obstante, a efectos prácticos, este plazo se incrementa en quince años más, ya que si el daño se conoce justo antes de que venzan los primeros quince, automáticamente se prorrogará por otros quince años más.

Página web del centro sanitario

Si el centro sanitario cuenta con una página web, esta deberá incluir los siguientes textos legales:

• Aviso legal
• Política de privacidad
• Política de cookies

Además de cumplir con otros requisitos de la normativa de protección de datos respecto a páginas web, como es la obtención del consentimiento expreso en formularios y uso de cookies.

Gestión de los derechos de los pacientes

Los pacientes pueden ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición) en materia de protección de datos, pero cabe señalar que por la naturaleza de las historias clínicas, la gestión de estos derechos puede variar, en especial en los siguientes derechos:

• Acceso a la historia clínica: Los pacientes de hospitales, centros de salud y centros sanitarios, tanto públicos como privados, tiene derecho a solicitar al responsable del tratamiento el acceso a su historia clínica. Este acceso debe otorgarse en un plazo de un mes y, si es posible, por los mismos medios por la que fue recabada.
• Rectificación de la historia clínica: El paciente tiene derecho a solicitar que el responsable del tratamiento rectifique aquellos datos personales inexactos o incompletos. Para ello, ha de aportar documentación que acredite dicho error. En cuanto a la rectificación de datos sanitarios, será el médico o profesional sanitario el que determine si se han de rectificar o no.
• Supresión de datos de la historia clínica: La cuestión de la supresión de datos de la historia clínica es algo más compleja. Sobre todo cuando estos datos se usan con fines de diagnóstico médico, medicina preventiva, evaluación de las capacidades del trabajador, prestación de asistencia sanitaria, etc. También cuando estos datos se emplean para la mejora de la calidad de los servicios de asistencia sanitaria o la prevención de amenazas graves para la salud pública. Por ello, la supresión de los datos de la historia clínica tiene un carácter excepcional, y solo podrá ser efectuada si lo determina un profesional sanitario.

Sanciones por vulnerar la ley de protección de datos sanitarios

Vulnerar la protección de datos en centros sanitarios puede ser sancionado por la AEPD. La cuantía de las sanciones dependerá de la gravedad de la infracción cometida, estableciendo la LOPDGDD los siguientes niveles:

• Infracciones leves: multas de hasta 40.000 euros (art. 74)
• Infracciones graves: multas de 40.001 euros a 300.000 euros (art. 73)
• Infracciones muy graves: multas de 300.001 euros a 20 millones de euros o el 4% de la facturación anual (art. 72)

A continuación vemos algunos ejemplos reales de centros médicos y hospitales que ya han sido objeto de denuncia por protección de datos por parte de la AEPD.

• Sanción a un médico de Gijón: Fue a causa de arrojar a la vía pública envases de biopsias con datos personales, la multa que la AEPD le impuso fue de 60.101 euros, ya que cometió una infracción tipificada como muy grave por la LOPD.
• Apertura de expediente a un Hospital por infracción: La causa que motivó a la AEPD para abrir un expediente a un Hospital de Inca, fue la filtración de datos personales de pacientes.
• Sanción de 6.000 euros a un Centro Médico: Un Centro Médico de Cartagena fue sancionado por la AEPD con la cifra de 6.000 euros por hacer uso de los datos personales de un cliente de la empresa con la cual se había fusionado.
• La AEPD denuncia a Sanidad: Un Hospital de Cuenca fue apercibido por ceder datos personales e historiales médicos de los pacientes a una clínica privada sin cifrar la información, pese a tratarse de datos especialmente protegidos. La multa ascendió a un total de 40.001 euros.

Los datos médicos requieren especial protección. Grupo Atico34 puede ayudarte

Como ya has visto, la protección de datos en centros sanitarios es un tema complejo y que requiere de ayuda profesional. Contar con un equipo especializado en protección de datos es fundamental para cumplir la normativa en tu centro médico y evitar sanciones.

En Grupo Atico34 ponemos a tu disposición un equipo de profesionales con amplia formación y experiencia en la protección de datos sanitarios. Nuestros abogados y asesores te guiarán a lo largo de todo el proceso de implantación de medidas y garantizan que tu centro médico se adapte a la ley en muy poco tiempo.