¡Pide presupuesto en 2 min! ✓
SanidadSectores

Ley de Protección de Datos sanitarios 2021: Tratamiento y confidencialidad de los datos médicos

11 Mins read

Después de recibir diversas consultas por parte de nuestros clientes en relación a sus obligaciones en materia de protección de datos en centros sanitarios, sobre todo a raíz de la aprobación de la nueva normativa comunitaria hemos decidido escribir este post en el cual explicamos las preguntas más frecuentes que les pueden surgir.

¿Cuánto tiempo tienen que conservar los datos del paciente? ¿Pueden acceder los familiares a la historia clínica?¿Es necesario siempre recabar el consentimiento para tratar este tipo de datos?
Si te ves abrumado, no te preocupes, en los siguientes apartados te lo explicaremos de una manera sistemática y de fácil comprensión.

Los datos relativos a la salud

Todo paciente tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud, sobre sus datos médicos personales.

La protección de Datos personales es un derecho fundamental recogido en el artículo 18.4 de la Constitución Española y regulado por el Reglamento Europeo de Protección de Datos (RGPD), y la Ley de protección de datos (LOPDGDD).

Esta normativa afecta a los profesionales que operan en el sector sanitario, a las clínicas, a los hospitales, a los centros médicos y a las instituciones sanitarias.

tratamiento de datos personales en el ambito sanitario

En este caso en particular, la normativa en protección de datos se complementa con la Ley de Autonomía del Paciente 41/2002, de 14 de noviembre.  La ley de protección de datos médicos se encarga de regular los derechos y las obligaciones en materia de información y documentación clínica en la que se regula su historial;

Pero primer hay que dejar claro que se entiende por historia clínica y por datos de salud.

cumplir lopdgdd centros sanitarios

Historia Clínica

Es el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y evolución clínica de un paciente a lo largo de su proceso asistencial.

El RGPD los define de la siguiente manera:

  • Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud

Por lo tanto cualquier información relativa, a título de ejemplo:

  • a una enfermedad
  • una discapacidad
  • el riesgo de padecer enfermedades
  • el historial médico del paciente
  • el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo, un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.

Por lo trascendental que puede tener este tipo de datos para la privacidad del interesado, el RGPD, da a este tipo de datos el adjetivo de Especialmente Protegidos, lo cual hace que se deban cumplir una serie de condiciones adicionales para su tratamiento conforme a la normativa.

tarifas proteccion datos autonomos

Principios fundamentales del tratamiento de los Datos médicos según el RGPD

Los principios fundamentales para la protección de datos médicos son los siguientes:

Confidencialidad de los datos médicos

El secreto profesional es de obligatorio cumplimiento por el personal que tenga acceso a los datos del paciente. Incluso cuando la relación que vincule a las partes haya finalizado. La ley de confidencialidad del paciente obliga a los centros médicos a adoptar las medidas necesarias para garantizar la confidencialidad de los datos relativos a la salud y el procedimiento legal de acceso.

Calidad de los datos

Se podrán recoger datos personales de un paciente, siempre que sean adecuados, veraces y pertinentes.

La información sanitaria no puede recopilarse de forma desleal, fraudulenta o ilícita.

La recogida y el tratamiento de datos de salud persiguen una finalidad principal muy clara plasmada en la propia finalidad de la historia clínica: garantizar una asistencia adecuada al paciente.

La información trascendental para la asistencia sanitaria ha de contar, como mínimo, con los siguientes datos:

  • Documentación referida a la hoja clínico-estadística
  • Autorización de ingreso
  • Informe de urgencia
  • Exploración física
  • Evolución
  • Órdenes médicas
  • Hoja de interconsulta
  • Informes de exploración complementaria
  • Consentimiento informado
  • Informe de anestesia
  • Informe de quirófano o de registro del parto
  • Dosier de anatomía patológica
  • Evolución y planificación de cuidados de enfermería
  • Aplicación terapéutica de enfermería

Consentimiento por parte del paciente

La principal base legal para el tratamiento de los datos médicos de una persona la encontramos en el artículo 9 del RGPD y es el consentimiento.

Según la nueva normativa europea, este deberá ser:

  • Explícito
  • Recogido por escrito

Por tanto, está totalmente prohibido el uso de datos personales sin consentimiento.

Dar cumplida información al paciente sobre el tratamiento de su información sanitaria

La ley de protección de datos en el ámbito sanitario contempla el deber de información a los pacientes:

  • Existencia de estos ficheros
  • Finalidad del mismo
  • Posibles destinatarios de la información
  • Identidad y dirección del responsable del mantenimiento del mismo
  • Posibilidad del ejercicio de sus derechos

Es obligatorio en cada centro sanitario la existencia de una hoja de información al paciente en la que le solicita su autorización para el tratamiento de sus datos.

En ella se recoge, entre otros datos:

  • Nombre del profesional y del centro donde ha sido atendido el paciente
  • Propósitos de la petición
  • Expresa conformidad de publicación del caso clínico en publicaciones científicas dirigidas a profesionales de la salud
  • Nombre del paciente
  • Documento de identidad o pasaporte y su firma autorizando expresamente que se utilicen los datos de su historia clínica en las condiciones que se describen en el informe.

nuevas medidas del rgpd datos sanitarios

Medidas del RGPD en relación al ámbito sanitario

  • Medidas organizativas y de seguridad: La nueva normativa ya no establece las medidas de seguridad por niveles, sino que prevé que se apliquen medidas en función del riesgo que puedan ocurrir en el tratamiento de los datos. En el caso del tratamiento de datos de salud el nivel del riesgo es enorme, por lo que habrá que diseñar unas medidas organizativas y de seguridad conforme a dicho riesgo.
  • Evaluación de Impacto: La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).
  • Registro de las actividades de tratamiento: Los responsables y los encargados están obligados siempre en los casos de tratamientos de datos de salud, genéticos o biométricos con independencia de emplear o no a más o menos de 250 personas, a mantener un registro de las actividades de tratamiento que realicen. Este registro debe de contener al menos los siguientes datos:
    • Identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos.
    • Fines del tratamiento.
    • Descripción de categorías de interesados y datos.
    • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales).
    • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
  • Nombrar un Delegado de Protección de Datos: Se deberá contar con un Delegado de protección de Datos, ya que así lo exige la nueva normativa comunitaria. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes tendrán que tener nombrado un Delegado de Protección de datos y comunicar dicho nombramiento a la AEPD.
  • Comunicación de los datos. Es habitual que los datos se comuniquen entre entidades para el mejor tratamiento del paciente. En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permita esta transmisión. El responsable del fichero deberá cumplir determinados requisitos:
    • Definir en un contrato escrito la regulación del tratamiento de datos por cuenta de un tercero,
    • Establecer que ese tercero ( únicamente tratará los datos conforme a sus  instrucciones.
    • Comprobar que los datos no serán utilizados con fines distintos a los determinados en el contrato, ni serán comunicados a otras personas.
    • El tercero deberá cumplir con las mismas medidas de seguridad que las que cumpla el responsable del fichero.
    • *Excepción: La única excepción a este consentimiento se establece en el caso de que la comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia sanitaria de los afectados a los que se refieren.
    • *Mutuas y compañías de seguro. En el caso particular y excepcional de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario.
  • Facilitar los derechos ARCO: Los pacientes podrán ejercer libremente sus derechos ARCO de acceso, rectificación, cancelación y oposición de su historia clínica. Para ello, el responsable deberá colaborar con ellos, facilitarles un informe o, en su defecto, una copia del mismo.

E-book

Guía LOPDGDD

ebook guia lopdgdd

¿Cómo Cumplir con la Ley de Protección de Datos en clínicas y centros sanitarios? 8 pasos

Para el cumplimiento con los requisitos dictados por la ley de protección de datos sanitarios, los centros han de cumplir los siguientes puntos:

  1. Los datos recogidos son siempre pertinentes y veraces.
  2. El paciente siempre es informado y tiene acceso libre a sus datos.
  3. Realizar una evaluación de impacto y mantener un registro de las actividades de tratamiento
  4. Nombrar un Delegado de Protección de Datos
  5. Cifrar los datos y guardarlos bajo estrictas medidas de seguridad.
  6. Guardar secreto profesional en todo caso.
  7. En caso de cesión de datos a terceras partes y se debe firmar un contrato que establezca el uso determinado y definido de los datos cedidos.
  8. Facilitar los derechos ARCO respetando los plazos establecidos.

LOPD en centros sanitarios

Los datos médicos requieren especial protección ¿necesitas ayuda profesional?

Como ya has visto, la protección de datos de salud es un tema complejo y que requiere de ayuda profesional. Contar con un equipo especializado en protección de datos es fundamental para cumplir la normativa en tu centro médico y evitar sanciones.

En Atico34 trabajamos con todo tipo de centros de salud

En Grupo Atico34 ponemos a tu disposición un equipo de profesionales con amplia formación y experiencia en la protección de datos sanitarios. Nuestros abogados y asesores te guiarán a lo largo de todo el proceso de implantación de medidas y garantizan que tu centro médico se adapte a la ley en muy poco tiempo.

Contacta ahora con nuestro departamento comercial

Ahora la protección de datos en hospitales y centros sanitarios es más importante que nunca.

Seguro que tienes dudas sobre cómo cumplir la normativa.

No te preocupes, contacta ahora con nuestro departamento comercial, cuéntanos tu caso y pide presupuesto sin compromiso.

Ejemplos de sanciones de la AEPD a centros médicos (casos reales)

El incumplimiento de la protección de datos en el ámbito sanitario implica sanciones económicas.

Cabe destacar que con la aplicación de la nueva regulación las multas van en función de la vulneración de la norma, pudiendo llegar hasta los 20.000.000 € o el 4% de la facturación global anual.

Como causas leves destacan:

  • La no inscripción del fichero de datos personales en el Registro General de Protección de Datos
  • No proporcionar la información necesaria a los pacientes a los que se les está solicitando los datos o la de incumplir el deber de secreto.

Causas graves serían:

  • Incumplir la finalidad de los datos para los que se han recogido
  • Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas
  • Mantener los ficheros que contengan datos personales sin las debidas condiciones de seguridad.

Como causas muy graves se tipifican, por ejemplo:

  • El no atender de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
  • La comunicación o cesión datos a terceros de carácter personal, más allá de los casos en que estén permitidas
  • La omisión de forma sistemática del deber legal de notificación de la inclusión de datos personales en un fichero.

A continuación vemos algunos ejemplos reales de centros médicos y hospitales que ya han sido objetos de denuncia por protección de datos por parte de la AEPD.

Evita sanciones en tu centro sanitario

¿Quieres evitar el pasar a engrosar la lista de centros sanitarios sancionados por la AEPD? El cumplimiento de la LOPD en sanidad es más sencillo de lo que parece, siempre y cuando cuentes con un equipo de profesionales a tu lado.

En Grupo Atico34 ofrecemos nuestros servicios a la mejor relación calidad/precio. Ponte en contacto con nosotros y descubre por qué somos la empresa de protección de datos líder en España.

Dudas sobre el tratamiento de datos personales en el ambito sanitario

Preguntas frecuentes sobre LOPD/RGPD en centros sanitarios

¿Cuánto tiempo se deben conservar los datos de los pacientes?

El plazo de conservación de datos de un paciente en un hospital es de al menos cinco años contados desde el alta de cada proceso asistencial.

Por tanto, cuando un paciente reciba el alta o por cualquier motivo deje de asistir a la clínica, no se puede proceder a eliminar sus datos. Consulta más información sobre el plazo de conservación de datos personales.

Igualmente ocurriría en el caso de que el paciente solicitara la cancelación de sus datos. Estos no podrían ser cancelados, si no quedarían debidamente bloqueados.

El Código Civil establece un plazo de quince años para poder llevar a cabo una acción por responsabilidad civil, plazo que computa desde que el reclamante tiene conocimiento del daño.

No obstante, a efectos prácticos, este plazo se incrementa en quince años más, ya que si el daño se conoce justo antes de que venzan los primeros quince, automáticamente se prorrogará por otros quince años más.

¿Puede el hospital comunicar los datos de pacientes a las mutuas?

La ley de protección de datos para pacientes lo permite, por tanto existe habilitación legal para ello. Siempre de acuerdo al principio de calidad y respecto a las funciones encomendadas.

¿Quién puede acceder a los datos médicos?

Solo puede tener acceso el personal directamente implicado en la atención del paciente.

¿Pueden familiares y allegados tener acceso a ellos?

En cuanto a familiares y allegados, se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Se puede utilizar los datos de los pacientes para hacer estudios?

Como regla general, se debe contar con el consentimiento inequívoco del paciente. Para contar con ese consentimiento, se le habría de informar de que sus datos se van a utilizar para fines de investigación.

Otra opción consistiría en separar los datos identificativos de los datos médicos, es decir, proceder a una anonimización de los datos, para que a través de los mismos no pudiera ser identificado

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Si necesitas cualquier documento o tienes dudas sobre el cumplimiento de la ley de protección de datos en sanidad, desde Grupo Ático34, tlfno. 91 489 64 19, te ayudamos en lo que necesites.

Related posts
ProfesionalesSectores

Protección de datos y administración de fincas 2021

10 Mins read
Son muchas las comunidades de propietarios que prefieren delegar la administración y gestión de la comunidad a un administrador de fincas y…
Sanidad

Así funciona el consentimiento informado para la vacunación

5 Mins read
Entre las dudas que rodean la vacunación con AstraZeneca, la más relevante actualmente en España es cómo funciona el consentimiento informado para…
AsociacionesSectores

Protección de datos en hermandades: Aplicación y cumplimiento

9 Mins read
La Ley de Protección de Datos no es algo que solo afecte a empresas, en realidad, cualquier entidad que maneje datos personales…

2 Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.