La protección de datos personales y, en particular, de los datos de salud, es una cuestión de suma importancia en la sociedad actual. La creciente digitalización de la información médica y el acceso a estos datos por parte de diferentes entidades plantea numerosas preguntas sobre la privacidad y la confidencialidad de los pacientes. Este artículo pretende abordar una cuestión específica dentro de este ámbito: ¿puede un centro hospitalario otorgar información sobre un paciente? Para responder a esta pregunta, se analizarán varios aspectos clave, incluyendo la protección de datos y datos de salud, las circunstancias bajo las cuales un hospital puede informar sobre el ingreso de un paciente, y las particularidades en el caso de menores de edad e incapaces. Además, se discutirá la posibilidad de informar a terceros, incluidas las autoridades policiales, y las posibles consecuencias de hacerlo sin la debida autorización.
Protección de Datos y Datos de Salud
En España, la protección de datos personales está regulada principalmente por el Reglamento General de Protección de Datos (RGPD en adelante) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD en adelante). En ambas normativas los datos de salud son considerados una categoría especial de datos personales debido a su naturaleza sensible y su potencial para afectar a la privacidad y la dignidad del individuo.
El RGPD establece que los datos de salud, al ser datos especialmente sensibles, requieren un nivel de protección elevado. Por ello, el tratamiento de estos datos solo es lícito bajo ciertas condiciones específicas, como el consentimiento explícito del interesado, la necesidad para la protección de intereses vitales del mismo, o el cumplimiento de obligaciones y ejercicio de derechos específicos en el ámbito laboral, la seguridad social y la protección social, entre otros.
Por otro lado, la LOPDGDD complementa y desarrolla el RGPD en el contexto español, especificando, entre otros aspectos, cómo deben ser tratados los datos de salud. Esta ley subraya la necesidad de adoptar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo que implica el tratamiento de datos de salud.
¿Cuándo Puede un Hospital Informar Sobre mi Ingreso?
La información sobre el ingreso de un paciente en un centro hospitalario se considera un dato de salud y, por tanto, está sujeta a las restricciones y salvaguardas mencionadas anteriormente. En general, un hospital solo puede informar sobre el ingreso de un paciente bajo ciertas circunstancias.
En primer lugar, cuando sea el propio paciente quien otorgue el consentimiento para hacerlo. Dicho consentimiento habrá de ser libre, específico, informado e inequívoco. Asimismo, en situaciones de emergencia donde el paciente no puede otorgar su consentimiento y la divulgación de la información fuere necesaria para proteger los intereses vitales del paciente, el hospital podrá informar sobre su ingreso. Esto pudiera ser el caso, por ejemplo, de un paciente que ingresara inconsciente.
Por otro lado, existen ciertos casos donde la ley exige a los hospitales informar sobre el ingreso de un paciente, por ejemplo, en caso de enfermedades contagiosas como ocurrió durante la pandemia del Covid 19 cuando se debían notificar los ingresos a las autoridades sanitarias. En caso de que un juez lo requiera deberá el hospital igualmente proporcionar la información solicitada.
Caso de los menores de edad e incapaces
El tratamiento de datos de salud de los menores de edad y personas incapaces tienen ciertas particularidades especificas debido a la necesidad de proteger los intereses de estos grupos considerados vulnerables.
En el caso de los menores de edad, se habrá de distinguir entre quienes sean menores de 14 años y quienes no. Para los menores de 14 años, el consentimiento para el tratamiento de sus datos de salud habrá de ser otorgado por los padres o tutores legales, mientras que, a partir de dicha edad, los menores pueden consentir por sí mismos. Sin embargo, en este último caso, la opinión de los progenitores o tutores legales puede seguir siendo relevante en función del grado de madurez del menor, así como la naturaleza de la información.
En el caso de las personas con la capacidad modificada judicialmente, la tutela recae en los responsables legales. Estos, tiene la obligación de actuar en el mejor interés del incapaz, y, por tanto, deben dar el consentimiento para el tratamiento y la divulgación de los datos de salud del mismo cuando así fuere requerido.
Informar del ingreso de un paciente a un tercero.
La divulgación de la información sobre el ingreso de un paciente a terceros (familiares, amigos, empleadores, etc.) sin el consentimiento del paciente es, en principio, una violación de la privacidad del mismo. Sin embargo, existen algunas excepciones y circunstancias que pueden justificar tal divulgación.
En primer lugar, tal y como hemos aludido de forma previa existen circunstancias de emergencia, en las que los hospitales pueden informar a los familiares directos sobre el ingreso de un paciente de considerar que esto es lo que mejor se adecua a los intereses del mismo. Estos casos son sumamente restrictivos debiéndose realizar de forma exclusiva cuando sea absolutamente necesario.
En estos casos, solo se deberá proporcionar información referida a la propia situación del ingreso y no al estado de salud o la atención médica realizada al paciente. Exclusivamente, de necesitar un paciente un tratamiento específico de forma urgente se habrá de informar y solicitar la autorización de los familiares. En aquellos casos en los que se trate de pacientes que ingresen inconscientes, en el momento en el que estos recuperen la consciencia y se encuentren capacitados para otorgar el consentimiento se les deberá requerir que lo hagan.
Informar de un ingreso a las Fuerzas y Cuerpos de Seguridad del Estado.
En determinadas circunstancias un hospital podrá informar a las Fuerzas y Cuerpos de Seguridad del Estado sobre el ingreso de un paciente. Por ejemplo, en aquellos casos en los que de la situación del ingreso se pueda derivar la posible existencia de un delito grave, los hospitales están obligados a notificar a la policía. Sería el caos de un paciente que ingreso con heridas de bala o heridas que sugieren violencia doméstica.
Asimismo, en aquellos casos en los que existiera una orden judicial que lo avalara, el hospital está obligado a proporcionar la información solicitada. En estos casos, los datos revelados deberán ser exclusivamente aquellos a los que habilite la orden judicial, no pudiendo el hospital aportar más datos de los estrictamente necesarios.
Consecuencias de informar de un ingreso sin autorización.
La divulgación no autorizada de la información sobre el ingreso de un paciente puede tener graves consecuencias legales y éticas para el hospital y el personal involucrado.
EL RGPD y la LOPDGDD prevén sanciones significativas para las entidades que infrinjan la normativa de protección de datos entre las que se incluyen cuantiosas multas. Asimismo, el propio paciente podrá interponer una demanda por daños y perjuicios de considerar que la divulgación no autorizada le hubiera causado un daño.
Ambas situaciones traen graves consecuencias tanto para el hospital como para el personal implicado ya que el primer puede sufrir un grave daño en su reputación y erosionar la confianza de los pacientes en la institución, y el segundo puede enfrentarse a sanciones disciplinarias, incluida la posible pérdida de su licencia para ejercer.
Conclusiones
La protección de los datos de salud es una responsabilidad crítica para los centros hospitalarios en España, regulada por el RGPD y la LOPDGDD. La información sobre el ingreso de un paciente es un dato de salud y, por tanto, está sujeta a estrictas normas de confidencialidad. Un hospital solo puede informar sobre el ingreso de un paciente bajo circunstancias específicas, tales como el consentimiento del paciente, la necesidad de proteger los intereses vitales del paciente, obligaciones legales, o el cumplimiento de una orden judicial.
En el caso de menores de edad y personas incapaces, el consentimiento debe ser proporcionado por los padres, tutores o responsables legales. La divulgación de la información a terceros sin el consentimiento adecuado puede resultar en sanciones legales, responsabilidades civiles, consecuencias éticas y profesionales, y daño a la reputación del hospital.
Por lo tanto, es fundamental que los centros hospitalarios adopten todas las medidas necesarias para garantizar la protección de los datos de salud de sus pacientes y asegurar que cualquier divulgación de información se realice de conformidad con las normativas aplicables. La confianza de los pacientes en el sistema de salud depende en gran medida de la capacidad de las instituciones para proteger su privacidad y respetar su derecho a la confidencialidad.
