Conoce Atico34 - Solicita presupuesto
SanidadSectores

Ley de Protección de Datos sanitarios 2022: Tratamiento y confidencialidad de los datos médicos

Como cualquier otra entidad que trata datos personales, los centros sanitarios están obligados a cumplir con la normativa de protección de datos, sobre todo teniendo en cuenta que los datos relativos a la salud están especialmente protegidos. En esta guía sobre protección de datos en centros sanitarios vamos a revisar los aspectos clave de la Ley de Protección de Datos sanitarios 2021 – 2022 y sus principales obligaciones.

¿Qué normativas regulan la protección de datos del paciente?

La normativa de protección de datos sanitarios está recogida tanto en el RGPD (Reglamento General de Protección de Datos) como en la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales). Esta normativa afecta a los profesionales que operan en el sector sanitario, a las clínicas, los hospitales, los centros de salud y cualquier otra institución sanitaria.

Así mismo, también se debe tener en cuenta la Ley de Autonomía del Paciente, que establece la confidencialidad de los datos médicos:

Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada en la Ley.

cumplir lopdgdd centros sanitarios

¿Qué tipos de datos existen en las bases de datos sanitarias?

Los datos que existen en las bases de datos sanitarias o datos médicos personales son de dos tipos:

  • Datos identificativos (como el nombre y apellidos, DNI, dirección, teléfono, número de la tarjeta sanitaria, etc.)
  • Toda la información relativa al estado de salud de la persona (pruebas diagnósticas, medicamentos tomados, antecedentes familiares, alergias, cirugías pasadas, etc.).

En materia de sanidad, el RGPD define los datos relativos a la salud como «los datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».

Así mismo, también se consideran datos de salud o datos personales de un paciente los datos genéticos que proporcionen una información única sobre la fisiología o la salud de una persona, que hayan sido obtenidos del análisis de una muestra biológica.

Tanto datos identificativos como datos relativos a la salud se incluyen en la denominada «historia clínica», en la que también figurarán datos de terceros, es decir, de los profesionales sanitarios o sociosanitarios que hayan podido intervenir en la atención o tratamiento del paciente.

Entre la información personal relativa al paciente que contiene la historia clínica, encontramos:

  • Documentación referida a la hoja clínico-estadística
  • Autorización de ingreso
  • Informe de urgencia
  • Exploración física
  • Evolución
  • Órdenes médicas
  • Hoja de interconsulta
  • Informes de exploración complementaria
  • Consentimiento informado
  • Informe de anestesia
  • Informe de quirófano o de registro del parto
  • Dosier de anatomía patológica
  • Evolución y planificación de cuidados de enfermería
  • Aplicación terapéutica de enfermería

tarifas proteccion datos

Aspectos fundamentales de la protección de datos sanitarios

A continuación repasamos los aspectos fundamentales de la protección de datos médicos, tanto en lo concerniente a los propios profesionales sanitarios, como en lo que establece la ley de protección de datos para pacientes:

– Confidencialidad del paciente

El secreto profesional es de obligatorio cumplimiento por el personal que tenga acceso a los datos del paciente. Incluso cuando la relación que vincule a las partes haya finalizado. La ley de confidencialidad de los datos del paciente obliga a los centros médicos a adoptar las medidas necesarias para garantizar la confidencialidad de los datos relativos a la salud y el procedimiento legal de acceso.

– Informar al paciente

La ley de protección de datos sanitarios contempla el deber de informar a los pacientes:

  • Existencia del tratamiento de datos
  • Finalidad del mismo
  • Posibles destinatarios de la información
  • Identidad y dirección del responsable del mantenimiento del mismo
  • Posibilidad del ejercicio de sus derechos
  • Plazo de conservación de los datos

Es obligatorio en cada centro sanitario la existencia de una hoja de información al paciente en la que le solicita su autorización para el tratamiento de sus datos. Se recomienda que esta hoja se dé aparte de la hoja de consentimiento informado relativo al tratamiento del paciente.

En ella se recoge, entre otros datos:

  • Nombre del profesional y del centro donde ha sido atendido el paciente
  • Propósitos de la petición
  • Expresa conformidad de publicación del caso clínico en publicaciones científicas dirigidas a profesionales de la salud
  • Nombre del paciente
  • Documento de identidad o pasaporte y su firma autorizando expresamente que se utilicen los datos de su historia clínica en las condiciones que se describen en el informe

– Consentimiento y legitimación para el tratamiento de datos

En este punto cabe señalar que no debemos confundir el consentimiento informado del que habla la Ley de Autonomía del Paciente, relativo a la información sobre el tratamiento médico, con el consentimiento RGPD o consentimiento expreso para el tratamiento de datos personales.

En cuanto a la legitimación para el tratamiento de datos personales relativos a la salud, la ley de protección de datos en sanidad establece que, aparte del consentimiento, también se podrán tratar estos datos sin recabar este cuando:

  • El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base de una ley o de un contrato.
  • El tratamiento sea necesario para proteger intereses vitales del interesado u otra persona, cuando el interesado no esté capacitado para dar su consentimiento.
  • Sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o los datos hayan sido reclamados por vía judicial.
  • Es necesario por razones de interés público en el ámbito de la salud pública.
  • Tenga fines de investigación científica, de archivo en interés público o estadísticos.

Que no sea necesario recabar el consentimiento del paciente para el tratamiento de sus datos en esos supuestos, no implica que no se deba informarle sobre ello.

– ¿Quién es el responsable del tratamiento en centros sanitarios?

Esta es una duda recurrente sobre la propiedad de la historia clínica, pero la ley de protección de datos médicos no contempla este concepto, sino que establece quién es el responsable del tratamiento, que es quien tiene la obligación de elaborar la historia, custodiarla e implementar las medidas de seguridad necesarias para garantizar su confidencialidad y su disponibilidad.

El RGPD y la LOPD sobre datos médicos establecen que el responsable del tratamiento de los datos personales que forman parte de la historia clínica es el médico o el centro sanitario (público o privado). En el caso del médico, será el responsable del tratamiento cuando ejerza como profesional individual (por ejemplo, cuando tiene una consulta privada).

tratamiento de datos personales en el ambito sanitario

Obligaciones RGPD/LOPDGDD para el tratamiento de datos sanitarios

La ley de protección de datos personales de la salud establece una serie de obligaciones que responsables y encargados del tratamiento deben cumplir para garantizar la seguridad y confidencialidad de los datos personales que manejan. Algunas de estas obligaciones son específicas al tratar datos de categorías especiales, como son los datos relativos a la salud.

nuevas medidas del rgpd datos sanitarios

– Registro de actividades de tratamiento

Los responsables y los encargados están obligados siempre en los casos de tratamientos de datos de salud, genéticos o biométricos, con independencia de emplear o no a más o menos de 250 personas, a mantener un registro de las actividades de tratamiento que realicen. Este registro debe de contener al menos los siguientes datos:

  • Identificación y datos de contacto del responsable, corresponsable, representante y delegado de protección de datos
  • Fines del tratamiento
  • Descripción de categorías de interesados y datos
  • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales)
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos

– Análisis de riesgos y evaluación de impacto

Con carácter previo a cualquier tratamiento de datos personales, es necesario realizar un análisis de riesgos que permita determinar las amenazas que pueden derivarse de dicho tratamiento y el nivel de riesgo si estas se materializan para los derechos y libertades de los interesados.

Al tratarse de datos especialmente protegidos, también será necesario realizar la correspondiente evaluación de impacto.

Tanto del análisis de riesgos como de la evaluación de impacto se obtendrá un informe, que servirá para determinar qué medidas técnicas y organizativas es necesario implementar para garantizar la seguridad y privacidad de datos. Estas medidas tienen como fin minimizar la posibilidad de que las amenazas se materialicen y, en caso de que lo hagan, reducir el impacto negativo en los derechos y libertades de los interesados afectados.

– Cesión de datos a terceros

Es habitual que los datos se comuniquen entre entidades para el mejor tratamiento del paciente. En estos casos de cesión de datos a terceros, la ley de protección de datos del paciente establece que este deberá tener constancia de ello, ya que será él quien permita esta transmisión. El responsable del tratamiento deberá cumplir determinados requisitos:

  • Definir en un contrato escrito la regulación del tratamiento de datos por cuenta de un tercero, este tercero será el encargado del tratamiento
  • Establecer que ese tercero únicamente tratará los datos conforme a sus instrucciones dadas
  • Comprobar que los datos no serán utilizados con fines distintos a los determinados en el contrato, ni serán comunicados a otras personas
  • El encargado del tratamiento deberá cumplir con las mismas medidas de seguridad que las que cumpla el responsable del tratamiento
  • La única excepción a este consentimiento se establece en el caso de que la comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia sanitaria de los afectados a los que se refieren.
  • Mutuas y compañías de seguro. En el caso particular y excepcional de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario.

– Confidencialidad de los empleados

Los empleados del centro sanitario que tengan acceso a datos personales de los pacientes, incluidos los de salud, deben mantener la debida confidencialidad, y no solo nos referimos a cumplir con el deber de confidencialidad recogido en la Ley de Autonomía del Paciente que citamos más arriba, sino también en lo relativo a la ley de protección de datos médicos.

Se puede reforzar este deber, incluyendo una cláusula sobre la confidencialidad en protección de datos en los contratos de los empleados.

– Designación de un DPO

Los centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes deben designar un Delegado de Protección de Datos (DPO), ya que así lo exige la normativa europea.

El DPO puede designarse tanto de manera interna, es decir, puedo serlo un empleado del centro sanitario, siempre y cuando tenga conocimientos suficientes sobre la materia y la normativa de protección de datos. O contratarse un DPO externo, por ejemplo, a través de los servicios de una consultoría de protección de datos.

En cualquier caso, el DPO debe tener completa independencia y contar con los recursos necesarios para poder desempeñar todas sus funciones de acuerdo a la ley.

La única excepción a la obligación del Delegado de Protección Datos es para los profesionales sanitarios que ejerzan su actividad de manera privada y a título individual, si bien, podrán designarlo de manera voluntaria.

  • Notificar brechas de seguridad

En el caso de un incidente de seguridad que pueda exponer los datos de los interesados, será necesario notificar dicha brecha de seguridad tanto a la AEPD como a los propios interesados cuyos datos hayan podido verse afectados. Para esta notificación hay un plazo máximo de 72 horas, a contar desde el momento en que se tuvo constancia del incidente.

  • Página web del centro sanitario

Si el centro sanitario cuenta con una página web, esta deberá incluir los siguientes textos legales:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Además de cumplir con otros requisitos de la normativa de protección de datos respecto a páginas web, como es la obtención del consentimiento expreso en formularios y uso de cookies.

Gestión de los derechos de los pacientes

Es obligación del responsable del tratamiento, es decir, del centro sanitario o del profesional sanitario, garantizar los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición) de los pacientes, para lo que deberán facilitar una vía para su ejercicio y responder a sus solicitudes.

Al tratarse de datos médicos y de la historia clínica, hay algunas consideraciones especiales que se deben tener en cuenta respecto a los siguientes derechos:

  • Acceso a la historia clínica: Los pacientes tienen derecho a solicitar una copia de su historia clínica, ahora bien, si en esta constan datos de terceros o valoraciones personales de los sanitarios, esta información deberá suprimirse. Así mismo, el paciente tampoco puede saber quién ha tenido acceso a su historia clínica.
  • Rectificación de la historia clínica: Si bien el paciente puede solicitar que se rectifiquen aquellos datos personales erróneos o incompletos, en lo que respecta a los datos de salud, será el profesional sanitario quién determine si esos datos han de ser o no rectificados.
  • Supresión de datos de la historia clínica: En el caso de la supresión de datos de una historia clínica, solo podrá efectuarse cuando lo determine un profesional sanitario, puesto que los datos relativos a la salud del paciente pueden tener que conservarse por diferentes motivos.

LOPD en centros sanitarios

Quién puede acceder a la historia clínica, es una de las dudas más recurrentes en la protección de datos en centros sanitarios. Solo pueden acceder a la historia clínica de un paciente, el personal sanitario y otros profesionales (como puede ser el personal administrativo) en desempeño de sus funciones.

Así, pueden acceder a una historia clínica, siempre y cuando estén legitimados para ello, es decir, sea necesario para la atención sanitaria del paciente o existan otras circunstancias contempladas en la ley:

  • Médicos y otros profesionales sanitarios y sociosanitarios, incluidos residentes.
  • Miembros del Comité de Ética Asistencial, que solo podrán acceder a la información estrictamente necesaria para emitir su opinión ética.
  • Empresas proveedoras de equipos o servicios a pacientes en sus domicilios, que solo tendrán acceso a los datos estrictamente necesarios para cumplir sus funciones.
  • Personal administrativo en el ejercicio de sus funciones.
  • Estudiantes de la rama sanitaria y sociosanitaria para la realización de la actividad docente o prácticas, que solo podrán acceder a aquellos datos estrictamente necesarios para su formación. En estos casos, los datos deberán estar disociados. Y en el caso en que se usen datos que puedan permitir la identificación del paciente, este debe dar previamente su consentimiento expreso.
  • Autoridad judicial en el proceso de una investigación.
  • Centros sanitarios privados a los que se traslade un paciente de un centro público.

Sanciones por vulnerar la protección de datos sanitarios

Vulnerar la protección de datos en centros sanitarios puede ser sancionado por la AEPD. La cuantía de las sanciones dependerá de la gravedad de la infracción cometida, estableciendo la LOPDGDD los siguientes niveles:

  • Infracciones leves: multas de hasta 40.000 euros (art. 74)
  • Infracciones graves: multas de 40.001 euros a 300.000 euros (art. 73)
  • Infracciones muy graves: multas de 300.001 euros a 20 millones de euros o el 4% de la facturación anual (art. 72)

A continuación vemos algunos ejemplos reales de centros médicos y hospitales que ya han sido objeto de denuncia por protección de datos por parte de la AEPD.

Los datos médicos requieren especial protección ¿necesitas ayuda profesional?

Como ya has visto, la protección de datos en centros sanitarios es un tema complejo y que requiere de ayuda profesional. Contar con un equipo especializado en protección de datos es fundamental para cumplir la normativa en tu centro médico y evitar sanciones.

tarifas proteccion datos autonomos

En Grupo Atico34 ponemos a tu disposición un equipo de profesionales con amplia formación y experiencia en la protección de datos sanitarios. Nuestros abogados y asesores te guiarán a lo largo de todo el proceso de implantación de medidas y garantizan que tu centro médico se adapte a la ley en muy poco tiempo.

Dudas sobre el tratamiento de datos personales en el ambito sanitario

Preguntas frecuentes sobre protección de datos sanitarios

¿Cuánto tiempo se deben conservar los datos personales de un paciente?

El plazo de conservación de datos sanitarios es de al menos cinco años contados desde el alta de cada proceso asistencial.

Por tanto, cuando un paciente reciba el alta o por cualquier motivo deje de asistir a la clínica, no se puede proceder a eliminar sus datos, aunque estos sí pueden ser bloqueados, es decir, no podrían ser tratados con ningún otro fin. Consulta más información sobre el plazo de conservación de datos personales.

Aparte de esto, hay que tener en cuenta que algunas leyes autonómicas establecen diferentes plazos de conservación para la historia clínica. Y que el Código Civil establece un plazo de quince años para poder llevar a cabo una acción por responsabilidad civil, plazo que computa desde que el reclamante tiene conocimiento del daño.

No obstante, a efectos prácticos, este plazo se incrementa en quince años más, ya que si el daño se conoce justo antes de que venzan los primeros quince, automáticamente se prorrogará por otros quince años más.

¿Puede el hospital comunicar los datos de pacientes a las mutuas?

La ley de protección de datos en centros sanitarios permite que el hospital o centro sanitario comunique datos de pacientes las mutuas, siempre de acuerdo al principio de calidad de los datos y respeto a las funciones encomendadas.

¿Se puede dar información de pacientes a familiares?

Se puede dar información de pacientes a familiares siempre y cuando estos acrediten tanto su identidad y parentesco como un interés legítimo para ello y el paciente no haya manifestado expresamente lo contrario.

También se podrá informar a los familiares del ingreso de un paciente y su número de habitación en caso de que el paciente llegue inconsciente, si bien, no se les facilitará información médica hasta que el paciente haya podido dar su consentimiento.

¿Puede cualquier médico o sanitario acceder a mi historia clínica?

No, solo pueden acceder a la historia clínica aquellos médicos o personal sanitario que estén legitimados para ello, bien porque están implicados en el tratamiento del paciente o bien por alguna de las causas que ya citamos más arriba (como por ejemplo, el interés público o por razones de salud pública).

¿Se puede utilizar los datos de los pacientes para hacer estudios?

Como regla general, se debe contar con el consentimiento inequívoco del paciente. Para contar con ese consentimiento, se le habría de informar de que sus datos se van a utilizar para fines de investigación.

Otra opción consistiría en separar los datos identificativos de los datos médicos, es decir, proceder a una anonimización de los datos, para que a través de los mismos no pudiera ser identificado

¿Puede la empresa preguntar datos de salud a sus empleados o acceder a su historial clínico en la mutua?

La empresa no puede preguntar datos de salud a sus empleados o pedir el acceso a su historia clínica a la mutua o servicio de vigilancia de la salud encargado de realizar los reconocimientos médicos. La única información a la que puede tener acceso la empresa es al informe de Apto o No Apto del reconocimiento para el desempeño de sus obligaciones laborales, sin entrar en más detalles.

Hasta aquí los aspectos fundamentales relativos a la protección de datos en centros sanitarios, si tienes dudas o necesitas ayuda para adaptar tu centro de salud o clínica a la normativa de protección de datos, no dudes en ponerte en contacto con Grupo Atico34, nuestros profesionales te ayudarán a cumplir con todas las obligaciones contempladas en la ley.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.

2 Comments

Comments are closed.