Principales obligaciones del sector sanitario: ley de protección de datos médicos
La implicación de las nuevas tecnologías en el ámbito sanitario ha supuesto una modificación sustancial en la forma de entender el tratamiento y la recogida de los datos de carácter personal.
En este sentido, la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPD-GDD) han supuesto un reforzamiento de las denominadas categorías especiales de datos de entre los que se encuentra, entre otros, los datos de salud que han de tratarse necesariamente por los profesionales médicos para la prestación de sus servicios.
A lo largo del presente artículo y desde nuestra asesoría jurídica de protección de datos, vamos a analizar las características principales de la protección de datos de salud y las obligaciones más relevantes para el sector sanitario.
1. Ley de protección de datos médicos. Base de legitimación para el tratamiento de datos de salud
Entendemos, a la luz de lo recogido en el RGPD, por “Datos de salud” aquellos datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia.
En este sentido, tal y como se recoge en el Considerando 35 del RGPD en lo relativo a la ley de protección de datos médicos, se engloba a “todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro”.
2. Base de legitimación para el tratamiento de categorías especiales de datos y concretamente, datos de salud
El RGPD, en su artículo 9, recoge que:
“Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.
Por lo tanto, la normativa determina que, por regla general, está prohibido todo tratamiento que implique categorías de datos especiales. No obstante, no resultaría lógico que la ley inhabilitara de esa forma el tratamiento de esta tipología de datos dada su relevancia.
Por ello, el apartado 2 establece las excepciones aplicables a esta regla general. Dentro de los diferentes supuestos, podemos destacar que el tratamiento será lícito cuando:
- Exista un consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados.
- El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. Esto es, si un interesado acude a un centro médico para proceder al diagnostico médico, no sería necesario y no tendría mucho sentido que el centro solicite el consentimiento para el tratamiento de datos de salud ya que el tratamiento se encuentra implícito en el propio servicio.
Asimismo, la LOPD-GDD establece que se podrá realizar el tratamiento cuando este fundado en un norma de Derecho español y matiza que, en particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.
En todo momento se deberá proceder a informar a los interesados del tratamiento de conformidad con lo establecido en el artículo 13 del RGPD.
3. Protección de datos médicos y derecho de acceso a los historiales clínicos
Los interesados y los profesionales deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento, tal y como se recoge en el Considerando 63 del RGPD. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.
Ley de protección de datos médicos: interesados y los profesionales deben tener derecho a acceder a los datos personales recogidos que le conciernan
El derecho de acceso a los historiales clínicos se encuentra recogido en la normativa sobre autonomía del paciente y establece que:
- Los profesionales asistenciales y el personal sanitario debidamente acreditado del centro tienen el derecho de acceso a la historia clínica del interesado como instrumento fundamental y garantía para su adecuada asistencia.
- Asimismo, como resulta obvio, también establece el derecho del paciente al acceso a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Este derecho no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas.
4. Plazos de conservación de los historiales clínicos
Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.
No obstante, los datos de la historia clínica relacionados con el nacimiento del paciente, incluidos los resultados de las pruebas biométricas, médicas o analíticas que en su caso resulten necesarias para determinar el vínculo de filiación con la madre, no se destruirán, trasladándose una vez conocido el fallecimiento del paciente, a los archivos definitivos de la Administración correspondiente, donde se conservarán con las debidas medidas de seguridad a los efectos de la legislación de protección de datos.
Es muy relevante analizar las diferentes normativas autonómicas ya que los plazos de conservación varían en función del lugar donde nos encontremos, por ejemplo, en Galicia, el plazo de conservación de algunos datos contenidos en el historial clínico se deberán conservar de forma indefinida.
5. El Delegado de Protección de Datos
La obligación de designación de un Delegado de Protección de Datos ( DPO) de acuerdo a los criterios del RGPD, deberá cumplirse cuando:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
Sin embargo, el legislador español ha decidido ampliar de forma considerable la obligación de nombramiento de un DPO y ha optado porque los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes sean sujetos obligados. La normativa matiza que se encuentran excluidos del nombramiento de un DPO, siguiendo los criterios emanados por la GT29, los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
Si desea saber mas acerca del DPO, le sugerimos la lectura de: “El DPO en el proyecto de ley de protección de datos de carácter personal” y “El delegado de protección de datos como novedad del nuevo RGPD“
Además de las obligaciones expuestas en los apartados anteriores, la Ley de Protección de Datos Médicos establece que los prestadores de servicios sanitarios deberán proceder a cumplir los demás preceptos establecidos en la normativa tales como, por ejemplo, la llevanza de un Registro de Actividades del tratamiento y evaluar si es necesario realizar una evaluación de impacto sobre determinados tratamientos .
Si es un profesional de la salud o necesita asesoramiento para su clínica o centro médico, le animamos a contactar con nuestra consultoría en protección de datos para que podamos asesorarle en cualquier aspecto relacionado con la ley de protección de datos médicos.
