Miguel_Ortego
Privacy, Data & Cybersecurity

No siempre se necesita el consentimiento para tratar datos de salud

El consentimiento es una de las bases de licitud del Reglamento General de Protección de Datos Personales («RGPD») para el tratamiento de datos (art. 6.1.a) RGPD), pero no siempre tenemos que solicitarlo cuando vayamos a tratar datos personales, aunque éstos sean «sensibles» como es el caso de los datos de salud. Esto ya lo sabíamos, pero la Agencia Española de Protección e Datos tiene publicada una «mini guía» en este sentido enfocada a que los pacientes y profesionales sanitarios, para que conozcan cuáles son sus derechos en este campo y qué pueden y no pueden hacer con sus datos o los de los pacientes. Algo que, en tiempos de pandemia, se vuelve más importante aún si cabe.

Al margen de las normas sectoriales en materia sanitaria, que regulan cuestiones como los derechos y obligaciones de los pacientes; como, por ejemplo, el derecho a la autonomía de paciente, las cuestiones de protección de datos inundan cualquier trámite sanitario, especialmente cuando se trata de la «historia clínica». Vamos a explicar lo básico en este sentido para aterrizar esta materia.

La historia clínica

Los datos personales de salud forman parte de la categoría de datos sensibles (art. 9 RGPD) y por tanto, no se pueden tratar salvo que se cumpla alguna de las excepciones del art. 9.2 RGPD.

En la historia clínica se recogen numerosos datos personales, pero ¿cuáles son estrictamente datos personales y cuáles no? Sin entrar en detalle, «datos personales son «toda información sobre una persona física identificada o identificable (‘el interesado’)». En particular los «datos relativos a la salud» que se definen como: «los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud». En este sentidle están incluidos los «datos genéticos» («aquellos datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona»).

En resumen, existen dos tipos de datos en una historia clínica: (1) los que identifican a la persona (nombre, apellidos, teléfono…) y (2) los datos «de salud» (pruebas diagnósticas, cirugías, medicamentos, antecedentes, etc.). Siguiendo este razonamiento, podemos definir la «historia clínica» como «el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial». A efectos de la protección de datos personales, el responsable del tratamiento de los datos de la historía clínica es el médico o el centro sanitario.

El paciente puede acceder en cualquier momento a su historia clínica (tanto en papel como electrónicamente), así como el conocimiento de qué datos está tratando y para qué. Entre otras cuestiones, este derecho conlleva que el paciente pueda: (1) obtener una copia de los datos personales objeto de tratamiento; (2) conocer los fines y categorías de datos que se tratan; (3) conocer quienes son los destinatarios de sus datos, en caso de que se comuniquen; (4) saber durante qué plazo se conservarán; (5) y, en fin, el resto de derechos generales de la normativa (supresión, acceso, presentar una reclamación ante la AEPD, etc.).

Muy importante en este sentido es que el acceso a la historia clínica no puede realizarse en perjuicio del derecho a la confidencialidad que terceras personas tiene sobre los datos que puedan constar en la historia clínica. Esto conlleva que los profesionales pueden oponerse a que se acceda a sus anotaciones subjetivas en la historia del paciente. Salvo que una ley lo permita expresamente, el derecho de acceso no incluye la identificación de los profesionales sanitarios que acceden a la historia clínica

En el caso de personas fallecidas, solo se facilitará el acceso a la historia clínica a personas vinculadas por lazos familiares cercanos, acreditados, y salvo que el fallecido lo hubiese prohibido. No se facilitará información que afecte a la intimidad del fallecido o a las anotaciones subjetivas de los profesionales, ni aquellos que perjudiquen a terceros.

¿Cuándo necesito el consentimiento del paciente para tratar los datos personales?

Debemos partir de la base de que el consentimiento del paciente para el tratamiento de datos personales es necesario. Esto lo tiene que recabar el responsable del tratamiento. Ahora bien, hay una serie de casos que eximen al médico y/o centro médico de solicitar y, aún así, pueden tratar los datos. Estos son:

1.- Si los datos personales se van a utilizar para fines de medicina preventiva/laboral, o evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. La base de licitud la encontramos en los arts. 6.1.b) y 6.1.c) RGP.

2.- Cuando los datos deban ser tratados por razones de interés público en el ámbito de la salud pública. Por ejemplo, para actuar frente a amenazas como el COVID-19. O para garantizar niveles de seguridad y calidad de la asistencia sanitaria y de los medicamentos. Esto está permitido en virtud del art. 6.1.e) RGPD.

3.- Para la protección de intereses vitales del interesado o de otra persona física (si el interesado no está capacitado). Por ejemplo, en aquellos casos en los que llega un paciente inconsciente y con un cuadro clínico que requiere intervención inmediata, se puede acceder a la historia clínica (tras consultar sus datos identificativos en su cartera de mano, si hace falta) en virtud del art. 6.1.d) RGPD.

Ahora bien. Todos estos casos se entiende que quien accede es un profesional medico y que, por tanto, está sujeto al deber de secreto profesional. En defecto de esto, lo anterior no operaria tal cual.

Derechos del paciente

El paciente tiene derecho a solicitar una copia de la historia clínica. También tiene derecho a la información para el tratamiento de datos de salud. Los extremos sobre los que tiene que recibir esta información son: (1) la identidad y los datos de contacto del responsable; (2) los datos de contacto de delegado de protección de datos, en su caso, y siempre si es obligatorio (recordemos que las administraciones públicas-como es el caso de los hospitales públicos-deben contar siempre con un DPO; (3) los fines del tratamiento de los datos y la base jurídica para tratarlos; (4) los datos del destinatario o las categorías de destinatarios de los datos personales, en su caso; (5) si el responsable transferirá los datos fuera del EEE; (6) el plazo durante el que se conservarán los datos del paciente (los datos de la historia clínica se conservarán el tiempo necesario para prestar atención al paciente, y, como mínimo, cinco años-algunas CC.AA. han modificado este plazo); (7) el derecho a solicitar del responsable el acceso a datos personales relativos al interesado, su rectificación, supresión, limitación del tratamiento, oposición, así como la portabilidad de los datos (sin perjuicio de las limitaciones que por interés público puedan tener estos derechos); (8) derecho a retirar el consentimiento en cualquier momento; (9) presentar una reclamación ante la AEPD; (10) información al paciente sobre si está obligado a que sus datos sean recopilados-incluso comunicados a terceros-para la prestación del servicio y si su negativa a ello implica que no se le pueda atender; (11) información acerca de la existencia de perfilado o segmentación (sistemas de toma de decisiones automatizadas); e (12) información acerca de los cambios en los fines que tenía el tratamiento de sus datos cuando se recabaron.

La información ha de ser concisa, clara, breve y adaptada al perfil de persona que se informa. No es lo mismo un niño o anciano, que un joven en plenitud de sus facultades; o pacientes con más formación que otros. Si se obtienen los datos de terceros, hay que comunicárselo al interesado antes de su uso (arts. 13 y 14 RGPD).

Cuando un paciente solicita el ejercicio de un derecho, este debe ser atendido por el responsable no más tarde de un mes prorrogable por otro mes (como máximo dos meses en total) y el responsable tiene la obligación de permitir el acceso a sus datos del interesado a menos que se acredite que es imposible. Si los datos se recopilaron y trataron electrónicamente, también así se deberán facilitar al paciente. Todo ejercicio de estos derechos será gratuito salvo alguno que requiera, por la insistencia del paciente, del cobro de los gastos de gestión.

¿Cómo se garantiza la seguridad de los datos de la historia clínica?

Los responsables del tratamiento de datos de salud están obligados a aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

Además, solo deben acceder a la historia clínica el responsable del tratamiento o, en suceso, el encargado (la persona que gestiona el programa informático y da soporte técnico). El facultativo que accede ilícitamente a datos de salud puede incurrir en un delito de descubrimiento y revelación de secretos (penado con uno a cuatro años de prisión).

Imagen: ElMontonero

50 Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *