Seleccionar página

DATOS PERSONALES EN EL ÁMBITO SANITARIO.

por | Abr 16, 2019 | blog, Datos de salud- RGPD, datos sensibles RGPD | 1 Comentario

datos de salud RGPD

DATOS PERSONALES EN EL AMBITO SANITARIO

Uno de los pilares fundamentales en el Reglamento Europeo de Protección de Datos (RGDP), como ya hemos comentado, es el consentimiento de los interesados como forma de legitimar el tratamiento de sus datos personales.

Un campo en el que el consentimiento informado toma especial importancia es el sanitario puesto que trabajan no solo con datos personales habituales, sino con lo que se conoce como información sensible.

GDPR: su impacto en los tratamientos de datos de salud

El GDPR afecta a todos los profesionales que operan en el sector sanitario, y su correcta aplicación es incluso mayor que en otros ámbitos, ya que el tipo de datos que tratan son especialmente sensibles: los datos de salud.

El Reglamento define como datos personales relacionados con la salud aquellos

“relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”


artículo 4.15

En esta definición el matiz novedoso es que ahora también se incluye como datos de salud la información o datos relativos a la prestación de servicios de atención sanitaria que revelen información sobre el estado de salud de una persona.

Historia Clínica

Es el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y evolución clínica de un paciente a lo largo de su proceso asistencial.

Datos relativos a la salud

Cualquier información relativa, a título de ejemplo:

  • a una enfermedad,
  • una discapacidad,
  • el riesgo de padecer enfermedades,
  • el historial médico,
  • el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo, un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.

Por lo trascendental que puede tener este tipo de datos para la privacidad del interesado, el RGPD, da a este tipo de datos el adjetivo de Especialmente Protegidos, lo cual hace que se deban cumplir una serie de condiciones adicionales para su tratamiento conforme a la normativa.

Médicos que tratan la salud

GDPR: consejos para cumplir en hospitales y clínicas

Los principios fundamentales que deben formalizar los responsables de los datos para el cumplimiento de la normativa son los siguientes:

Consentimiento

La principal bases legal para el tratamiento de este tipo de datos la encontramos en el artículo 9 del RGPD y es el consentimiento.

Según la normativa, este deberá ser:

  • Explícito
  • Recogido por escrito

Fuera del consentimiento, la legislación únicamente permite tratar los datos enmarcados en esta categoría especial, cuando concurra alguna de las siguientes circunstancias:

  • Cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física en caso de que el interesado no esté capacitado para dar su consentimiento.
  • Cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social en virtud de un contrato con un profesional sanitario.
  • Cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública.

Calidad de los datos

Se recogerán los datos de los pacientes siempre que sean adecuados, veraces y pertinentes.

La información sanitaria, de acuerdo con el artículo 4.7 de la LOPD, no puede recopilarse de forma desleal, fraudulenta o ilícita.

La recogida y el tratamiento de datos de salud persiguen una finalidad principal muy clara plasmada en la propia finalidad de la historia clínica: garantizar una asistencia adecuada al paciente.

La información trascendental para la asistencia sanitaria ha de contar, como mínimo, con los siguientes datos:

  • Documentación referida a la hoja clínico-estadística
  • Autorización de ingreso
  • Informe de urgencia
  • Exploración física
  • Evolución
  • Órdenes médicas
  • Hoja de interconsulta
  • Informes de exploración complementaria
  • Consentimiento informado
  • Informe de anestesia
  • Informe de quirófano o de registro del parto
  • Dosier de anatomía patológica
  • Evolución y planificación de cuidados de enfermería
  • Aplicación terapéutica de enfermería
tecnología y salud

Información

Los pacientes deben ser informados  en todo momento de:

  • Existencia de estos ficheros
  • Finalidad del mismo
  • Posibles destinatarios de la información
  • Identidad y dirección del responsable del mantenimiento del mismo
  • Posibilidad del ejercicio de sus derechos

Es obligatorio en cada centro sanitario la existencia de una hoja de información al paciente en la que le solicita su autorización para el tratamiento de sus datos.

En ella se recoge, entre otros datos:

  • Nombre del profesional y del centro donde ha sido atendido el paciente
  • Propósitos de la petición
  • Expresa conformidad de publicación del caso clínico en publicaciones científicas dirigidas a profesionales de la salud
  • Nombre del paciente
  • Documento de identidad o pasaporte y su firma autorizando expresamente que se utilicen los datos de su historia clínica en las condiciones que se describen en el informe.
Con el GDPR aumenta el nivel de información que todos los usuarios deben recibir de los responsables del tratamiento de sus datos.

En este sentido, la información facilitada debe contener como mínimo los siguientes detalles: 

  • Los datos de contacto del Delegado de Protección de Datos cuando este sea designado.
  • La base jurídica o legitimación para el tratamiento.
  • El plazo o los criterios de conservación de la información.
  • La existencia de decisiones automatizadas o elaboración de perfiles.
  • La previsión de transferencias a terceros países.
  • El derecho a presentar una reclamación ante la Autoridad de Control.

Recomendamos que la información exigida se incorpore lo antes posible a la que en la actualidad se proporciona, realizándose una adaptación progresiva.

Confidencialidad

El secreto profesional es de obligatorio cumplimiento por el personal que tenga acceso a los datos del paciente. Incluso cuando la relación que vincule a las partes haya finalizado.

Se obliga a los centros médicos a adoptar las medidas necesarias para garantizar la confidencialidad y el procedimiento legal de acceso.

Comunicación de los datos

Es habitual, que los datos se comuniquen entre entidades para el mejor tratamiento del paciente.

En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permita esta transmisión.

El responsable del fichero deberá cumplir determinados requisitos:

  • Definir en un contrato escrito la regulación del tratamiento de datos por cuenta de un tercero,
  • Establecer que ese tercero únicamente tratará los datos conforme a sus  instrucciones.
  • Comprobar que los datos no serán utilizados con fines distintos a los determinados en el contrato, ni serán comunicados a otras personas.
  • El tercero deberá cumplir con las mismas medidas de seguridad que las que cumpla el responsable del fichero.

consentimiento explícito

¿Quién puede acceder a los datos médicos?

Sólo puede tener acceso el personal directamente implicado en la atención del paciente.

¿Pueden familiares y allegados tener acceso a ellos?

En cuanto a familiares y allegados, se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y, siempre y cuando, el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Se puede utilizar los datos de los pacientes para hacer estudios?

Como regla general, se debe contar con el consentimiento expreso del paciente.

Para contar con ese consentimiento, se le habría de informar de que sus datos se van a utilizar para fines de investigación.

Otra opción consistiría en separar los datos identificativos de los datos médicos, es decir, proceder a una anonimización de los datos, para que a través de los mismos no pudiera ser identificado.

Mutuas y compañías de seguro

En el caso particular y excepcional de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario.

DPD SALUD

Delegado de Protección de Datos

La incorporación de un Delegado de Protección de Datos es obligatoria para los responsables o encargados que cuenten, entre sus actividades principales, los tratamientos a gran escala de datos sensibles, así como para las Administraciones públicas, entre otros supuestos.

El Delegado de Protección de Datos deberá tener autonomía en el ejercicio de sus funciones, las cuales podrá desarrollar a tiempo total o parcial, en este último caso, siempre y cuando no surjan conflictos de intereses.



Medidas organizativas y de seguridad

La nueva normativa ya no establece las medidas de seguridad por niveles, si no que prevé que se apliquen medidas en función del riesgo que puedan ocurrir en el tratamiento de los datos.

Por lo tanto, atendiendo a esto, en el caso del tratamiento de datos de salud el nivel del riesgo es enorme, por lo que habrá que diseñar unas medidas organizativas y de seguridad conforme a dicho riesgo.



Evaluación de Impacto

Dentro de las medidas de responsabilidad activa exigidas, se encuentra la Evaluación de Impacto, siendo obligatoria para procesamientos de alto riesgo, en los que se incluyen los datos de salud.

La Evaluación de Impacto debe realizarla el centro hospitalario responsable del tratamiento, que es por tanto el responsable de su elaboración antes del tratamiento, aunque debe contar con el asesoramiento del Delegado de Protección de Datos.

La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

Registro de las actividades de tratamiento

Los responsables y los encargados están obligados (siempre en los casos de tratamientos de datos de salud, genéticos o biométricos) a mantener un registro de las actividades de tratamiento que realicen.

Este registro debe de contener al menos los siguientes datos:

  • Identificación y datos de contacto del responsable, corresponsable, representante y delegado de protección de datos.
  • Fines del tratamiento.
  • Descripción de categorías de interesados y datos.
  • Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales).
  • Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
DERECHOS DE LOS INTERESADOS SALUD


Facilitar los derechos

Los pacientes podrán ejercitar libremente sus derecho de acceso, rectificación, cancelación, oposición, limitación y portabilidad de su historia clínica.

Para ello, el responsable deberá colaborar con ellos, facilitarles un informe o, en su defecto, una copia del mismo.

¿Cuánto tiempo se deben conservar los datos de los pacientes?

Se establece un plazo de conservación de al menos cinco años contados desde el alta de cada proceso asistencial.

Por tanto, cuando un paciente reciba el alta o por cualquier motivo deje de asistir a la clínica, no se puede proceder a eliminar sus datos ya que existe una obligación de custodia de la historia clínica.

Igualmente ocurriría en el caso de que el paciente solicitara la cancelación de sus datos. Estos no podrían ser cancelados, si no que quedarían debidamente bloqueados.

¿Es  aplicable  el  ENS  a  los  Hospitales  públicos?

Si  el  Hospital, o Centro Asistencial  posee  la  consideración  de  entidad  de derecho  público  (vinculada  o  dependiente,  de  la  Administración  General  del  Estado,  de  las Comunidades Autónomas o de las Entidades Locales), le será de plena  aplicación lo dispuesto en el ENS en aquellas actividades que no desarrolle en régimen de derecho privado.

lupa con info

Cumplir con la normativa en 8 pasos

En resumen, para el cumplimiento con los requisitos dictados por la normativa de protección de datos en materia sanitaria, los centros han de cumplir los siguientes puntos:

  1. Los datos recogidos son siempre pertinentes y veraces.
  2. El paciente siempre es informado y tiene acceso libre a sus datos.
  3. Realizar una evaluación de impacto y mantener un registro de las actividades de tratamiento
  4. Nombrar un Delegado de Protección de Datos
  5. Cifrar los datos y guardarlos bajo estrictas medidas de seguridad.
  6. Guardar secreto profesional en todo caso.
  7. En caso de cesión de datos a terceros, se debe firmar un contrato que establezca el uso determinado y definido de los datos cedidos.
  8. Facilitar los derechos ARCOPL respetando los plazos establecidos.

Conclusión

Aunque el RGPD introduce importantes novedades, algunos analistas consideran que su impacto no será tan oneroso como en principio se suponía; aun así, las organizaciones que procesan datos de salud tendrán que revisar en profundidad sus políticas, procedimientos y prácticas existentes para asegurar el cumplimiento.

Si tienes dudas, puedes ponerte en contacto con nosotros a través del correo electrónico: protecciondatoscertificado@gmail.com o llámanos al 96 291 50 25.

logo gestiona abogados

https://protecciondatoscertificado.es/contratacion-online/

  1. destruccion certificada de documentos
    destruccion certificada de documentos el 6 abril, 2020 a las 2:08 pm

    Súper importante asegurar que los datos se traten correctamente, sobre todo en esta clase de espacios. Son muchos los datos de caracter personal que los hospitales archivan

    Responder

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *