La historia clínica incluye datos personales de diferente procedencia, no solo de los pacientes, por lo que la normativa de protección de datos es de aplicación, tanto para el propio centro sanitario como para los médicos y otros profesionales sanitarios o administrativos que puedan tener acceso a ella. En este artículo revisamos los principales aspectos sobre historia clínica y protección de datos.
En este artículo hablamos de:
¿Qué normativas regulan la protección de los datos del paciente?
Las normativas que regulan la protección de datos de la historia clínica son el RGPD y la LOPDGDD, puesto que los datos de una historia clínica son datos de carácter personal y, como hemos dicho en la introducción, no solo proceden del paciente, sino también de otros interesados que tienen acceso a este documento en el desarrollo de la atención médica.
Historia clínica y protección de datos: Aspectos clave de la normativa
En otros artículos ya os hemos hablado de diferentes cuestiones sobre la protección de datos médicos y cómo deben cumplir los centros sanitarios la normativa de protección de datos; en los siguientes puntos revisaremos otros aspectos clave de la ley de protección de datos sobre la historia clínica.
¿Cuáles son los datos de la historia clínica?
La información y datos personales que debe recoger una historia clínica están regulados en la Ley de Autonomía del Paciente, que define esta historia como:
El conjunto de documentos que contiene los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial.
Atendiendo a lo anterior, podemos clasificar los datos personales de la historia clínica en dos tipos:
- Datos personales identificativos: Nombre, DNI, número de la tarjeta sanitaria, número de historia clínica, dirección, teléfono, etc.
- Datos personales relativos a la salud: Entre estos datos se incluyen el estado de salud, los antecedentes familiares, las pruebas diagnósticas y sus resultados, cirugías, tratamientos, etc.
Además de estos datos personales relativos al propio paciente, en la historia clínica también aparecen otros datos personales como valoraciones médicas, así como datos identificativos de otros profesionales sanitarios que hayan tratado al paciente.
¿Quién es el responsable del tratamiento?
De acuerdo a la Guía para pacientes y usuarios de la Sanidad de la AEPD, el responsable del tratamiento de los datos personales de la historia clínica es el médico o el centro sanitario (público o privado) donde se atiende al paciente.
Tanto el médico como el centro sanitario son quienes van a elaborar la historia clínica y, por tanto, quienes deben guardarla y garantizar que no tengan acceso a la misma terceros no autorizados.
Hay que señalar que los centros sanitarios en los que se guarden historias clínicas, nombrar un Delegado de Protección de Datos es obligatorio, tal y como recoge el artículo 34 de la LOPDGDD. En el caso del DPO, este podrá designarse tanto a nivel interno, nombrando a un empleado con conocimientos y formación en protección de datos, como contratarse a través de un servicio externo.
Legitimación del tratamiento
Respecto a la legitimación del tratamiento de datos, médicos y centros sanitarios no necesitan recabar el consentimiento de los pacientes para recoger y tratar los datos personales que forman parte de la historia clínica, cuando dichos datos se van a usar con las siguientes finalidades:
- Medicina preventiva o laboral
- Evaluación de la capacidad laboral del trabajador
- Diagnóstico médico
- Prestación de asistencia o tratamiento de tipo sanitario o social
- Gestión de los sistemas de asistencia sanitaria y social
- Por razones de interés público en el ámbito de la salud pública
- Para proteger intereses vitales del paciente o de otra persona física, cuando el interesado no esté capacitado física o jurídicamente para dar su consentimiento
- Cuando lo solicite un órgano judicial
Medidas de seguridad
El responsable del tratamiento y los encargados del tratamiento (por ejemplo, los laboratorios donde se envían los análisis de sangre) deben implementar las medidas técnicas y organizativas necesarias para garantizar la seguridad y privacidad de las historias clínicas.
Por lo tanto, el centro sanitario y sus profesionales sanitarios, así como el resto de empleados que puedan tener acceso a las historias clínicas o parte de los datos personales de los pacientes, deberán respetar y aplicar las medidas de seguridad implementadas para garantizar la integridad, confidencialidad y disponibilidad de los datos e información personal de los pacientes.
Las medidas de seguridad deberán implementarse de acuerdo a las conclusiones del informe de análisis de riesgos y evaluación de impacto realizado sobre los tratamientos de datos.
Serían medidas de seguridad adecuadas para la protección de datos de la historia clínica, por ejemplo, el cifrado de las bases de datos de los pacientes, el uso de contraseñas individualizadas para cada empleado con acceso al sistema informático del centro, limitación de acceso a las historias clínicas de los pacientes asignados a cada médico, el uso de soluciones de seguridad como antivirus, sistema de detección de intrusiones, hacer copias de seguridad, etc.
Plazo de conservación de la historia clínica
Tal y como recogemos en nuestra entrada sobre conservación y acceso a historiales clínicos, el plazo mínimo de conservación de la historia clínica es de 5 años, contados desde el momento que se recibió el alta, si bien hay que tener en cuenta que hay algunos datos médicos que deben conservarse por períodos de tiempo más amplios e incluso datos que no pueden ser destruidos, como son los relativos al nacimiento y los resultados que determinen la filiación.
Derechos del paciente sobre los datos de su historia clínica
Si bien, como hemos visto en puntos anteriores, para elaborar y tratar los datos personales de la historia clínica, los médicos o los centros de salud no necesitan el consentimiento de los pacientes, sí que deberán, por un lado, informar sobre el tratamiento de los datos y, por otro lado, atender los derechos que estos pueden ejercer sobres datos.
- Información: Se deberá informar a los pacientes de:
- La identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante
- Los datos de contacto del Delegado de Protección de Datos (DPO)
- La finalidad del tratamiento y la base jurídica del mismo
- Los destinatarios o las categorías de destinatarios de los datos personales
- Si se van a producir transferencias internacionales de los datos
- El plazo de conservación de la historia clínica
- Los derechos de los pacientes respecto a sus datos
- Derecho a presentar una reclamación ante la AEPD
- Si la comunicación de los datos personales es un requisito legal o contractual y las consecuencias de no facilitarlos
- Si los datos serán empleados para decisiones automatizadas, incluida la elaboración de perfiles
- Acceso: Los pacientes pueden solicitar el acceso a su historia clínica y los datos que contiene, dirigiendo su solicitud al responsable del tratamiento. Ahora bien, este derecho no puede ejercerse en perjuicio del derecho de terceras personas, cuyos datos puedan figurar en la historia clínica, por lo que esta información puede eliminarse de la copia facilitada al paciente de sus datos.
- Rectificación: Los pacientes pueden solicitar la rectificación de información errónea en su historia clínica, pero cuando esta se refiere a datos sanitarios, será el médico quien determine si esa información debe o no rectificarse.
- Supresión: Si bien, los pacientes tienen derecho a solicitar la supresión de los datos de su historia clínica, este derecho está muy limitado en lo que respecta a los datos sanitarios, puesto que hay diferentes bases legitimadoras que permiten el tratamiento de estos datos sin necesidad de contar con el consentimiento del paciente (como vimos más arriba). De manera que solo el médico puede decidir si se suprime un dato de salud.
¿Quién puede pedir datos médicos?
Aparte del propio paciente al ejercer su derecho de acceso y los profesionales sanitarios relacionados con su tratamiento, solo podrán pedir datos médicos aquellos terceros legitimados o autorizados por el propio paciente o la ley.
Acceso de terceros a los datos de una historia clínica
De acuerdo a la normativa de protección de datos e historia clínica, solo podrán acceder terceros a la historia clínica de un paciente cuando dicho acceso esté legitimado en una de las bases jurídicas que vimos más arriba, por ejemplo, cuando un médico consulta la opinión de otro médico sobre diagnóstico de un paciente o cuando se deriva al paciente a un especialista.
En ningún caso, los médicos que no estén directamente relacionados con el tratamiento de dicho paciente, podrán acceder a la historia clínica de este sin autorización. Dicho esto, puede que te preguntes «¿cómo saber quién ha accedido a mi historia clínica?», porque quieras saber qué otros médicos o profesionales sanitarios han podido verla. La respuesta es que no puedes saberlo, puesto que aquí el derecho de acceso se limita solo a los datos e información personal que contiene tu historia clínica sobre ti, pero no se incluye la información personal de terceros que hayan podido acceder a ella.
Finalmente, es posible ceder datos de salud a otras entidades diferentes a la entidad donde se hayan recogido y tratado, siempre y cuando exista una base jurídica legitimadora que lo justifique. Es el caso de las clínicas privadas y las aseguradoras, el médico de la primera podrá ceder determinados datos sobre el paciente para que la segunda abone la prestación sanitaria realizada.
En definitiva, la historia clínica contiene datos personales que deben ser protegidos siguiendo lo dispuesto por la normativa de protección de datos y los responsables del tratamiento (médicos y/o centros sanitarios) deben garantizar la seguridad y confidencialidad de la información que contiene.