Protección de datos sanitarios

La denominada Ley de confidencialidad del paciente es un precepto integrado dentro de la mencionada Ley de Autonomía del Paciente. Esta ley determina que:
“Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada en la Ley”.

Es necesario diferenciar entre el consentimiento informado para una actuación sanitaria, que se rige por la legislación sanitaria, y el consentimiento para el tratamiento de los datos personales, incluidos los de salud, al que es aplicable la normativa de protección de datos.

El consentimiento informado se define como la conformidad del paciente para que tenga lugar una actuación que afecta a su salud después de haber sido debidamente informado en pleno uso de sus facultades de forma libre, voluntaria y consciente.

El tratamiento de los datos personales se realiza por cuenta del responsable del tratamiento (RT), siendo el profesional o centro sanitario que decide acerca de qué datos se van a obtener, con qué fines se van a tratar y con qué medios se van a gestionar y proteger.

Un RT puede ser un profesional a título individual o una entidad tanto pública como privada. El profesional sanitario será RT cuando ofrece los servicios sanitarios a título individual y una entidad será RT cuando contrata a un profesional sanitario por cuenta ajena.

La información sobre el tratamiento de datos personales del paciente se debe facilitar de forma diferenciada y posteriormente a la información relativa al consentimiento informado. Este documento debe incluir:

• Datos identificativos del responsable del tratamiento.
• Datos de contacto del Delegado de Protección de Datos.
• Finalidad y base de legitimación del tratamiento.
• Destinatarios de los datos.
• Posibles cesiones de datos a terceros y las transferencias internacionales.
• Plazo de conservación de los datos. La Ley de Autonomía del Paciente establece un mínimo de cinco años de conservación de la historia clínica.
• Derechos del paciente y como ejercerlos: acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
• Derecho a revocar el consentimiento.
• Derecho a presentar una reclamación ante la Agencia Española de Protección de Datos.

Los profesionales sanitarios pueden tratar datos identificativos y de contacto de los pacientes: nombre, dirección, teléfono, DNI, etc. También pueden tratarse datos identificativos de familiares, como la información relativa a los progenitores en el caso de menores o de personas con su capacidad limitada

En el ámbito de la sanidad se recogerán principalmente los datos relacionados con la salud que sean necesarios para cumplir con la finalidad de prestar el servicio de asistencia sanitaria. Estos datos de los pacientes consisten en cualquier información que ofrezca una visión sobre su situación médica o estado de salud presente, pasado o futuro, incluyendo la prestación misma de estos servicios.

El RGPD impone nuevas obligaciones, precisa el alcance de otras y, sobre todo, exige que se pueda demostrar el cumplimiento de las mismas (“principio de responsabilidad proactiva”). En todo caso, con carácter general ha de tenerse en cuenta que:

• Es necesario realizar una gestión del riesgo que los tratamientos suponen para los derechos y libertades de los interesados. Para ello, se ha de tener en cuenta, entre otras circunstancias, la naturaleza, el alcance, el contexto y los fines en que se realiza el tratamiento de los datos.
• Con el fin de reducir los riesgos, es necesario adoptar medidas y garantías adecuadas y proporcionales a dichos riesgos, en particular, implementar políticas de protección de datos, medidas organizativas, protocolos de protección de datos desde el diseño y por defecto, así como medidas de seguridad.
• Cuando las operaciones de tratamiento supongan un alto riesgo para los derechos y libertades, se ha de llevar a cabo una evaluación de impacto de protección de datos (EIPD).
• Hay que disponer de un registro de actividades de tratamiento (RAT) y, en el caso de entidades públicas, ha de ser público y estar accesible por medios electrónicos.
• Hay que nombrar a un delegado de protección de datos (DPD), en los casos que sea obligatorio.
• El RT ha de gestionar las brechas de datos personales para dar cumplimiento a los artículos 33 y 34 del RGPD.
• En cumplimiento de la obligación de transparencia, la información al interesado sobre el tratamiento de sus datos deberá proporcionarse tanto en los casos en que los datos se obtengan directamente de él como si, por el contrario, se hubiesen recibido por otras vías.

El responsable ha de mantener un Registro de Actividades de Tratamiento (RAT) en el que debe incluirse la siguiente información de cada una de las actividades de tratamiento que lleve a cabo:

• Datos identificativos del responsable del tratamiento.
• Datos de contacto del Delegado de Protección de Datos.
• Finalidad y base de legitimación del tratamiento.
• Las categorías de interesados.
• Las categorías de datos.
• Las entidades a las que se ceden los datos y las transferencias internacionales.
• Los plazos de conservación.
• Las medidas técnicas y organizativas.

El RAT debe constar por escrito y, en su caso, en soporte electrónico, y estará a disposición de la Agencia Española de Protección de Datos o, si el responsable fuera una entidad pública, de la autoridad de control competente. Sin embargo, en el caso de las entidades públicas el inventario con los tratamientos de datos personales deberá hacerse público y estar accesible por medios electrónicos

Previamente a la realización de cada tratamiento de datos personales se debe realizar un análisis de riesgos que identifique las amenazas y las medidas de seguridad que deban implantarse para minimizar el impacto en los derechos y libertades de los interesados.

Entre los factores de riesgo que hay que tener en cuenta están:

• Los derivados de la naturaleza del tratamiento, como sistemas de monitorización remota, telediagnóstico, toma de decisiones automatizadas, etc.
• El ámbito y la extensión, como abarcar gran parte de la población, colectivos vulnerables, datos genéticos, menores, etc.
• El contexto, como brechas en el entorno sanitario, sensibilidad social, etc.
• Los fines directos y colaterales, como perfilado, decisiones automatizadas sin intervención humanas, etc.

Cuando en el análisis de riesgos se determine que el tratamiento supone un alto riesgo para los derechos y libertades de los afectados debe realizarse una evaluación de impacto sobre la protección de datos (EIPD). En tratamientos en el ámbito de la sanidad es obligatorio realizar la EIPD cuando dichos tratamientos se llevan a cabo a gran escala, como los tratamientos realizados por hospitales. La AEPD indica además, que el tratamiento realizado por un profesional médico como consulta particular nunca se considerará a gran escala.

Las cesiones de datos a terceros consisten en la comunicación de datos entre entidades o profesionales sanitarios para garantizar la correcta prestación del servicio. Para que se realice la cesión de los datos personales conforme a la legalidad será necesario informar al paciente, pues éste debe legitimar con su consentimiento el tratamiento de datos por cuenta del Responsable. Para ello se deberá suscribir un contrato entre el Responsable de tratamiento y el Encargado con el siguiente contenido:

• El contrato debe ser por escrito. Debe identificar claramente quien es el Responsable de tratamiento (RT) y el Encargado de tratamiento (ET).
• El ET prestará el servicio y realizará el tratamiento de datos siguiendo las instrucciones del RT.
• El tratamiento de datos se realizará únicamente con la finalidad establecida en el contrato de encargado de tratamiento.
• No se comunicarán los datos a terceros sin haber obtenido previamente el consentimiento para la posterior cesión.
• El ET debe garantizar que las medidas de seguridad implantadas son equivalentes a las aplicadas por el RT.

Los empleados deben garantizar la confidencialidad de los datos de los pacientes. En el caso de que se entregarán datos de un tercero sin previo consentimiento del titular de los datos, se estaría vulnerando el deber de confidencialidad. En consecuencia, tanto la institución como el profesional podrían incurrir en responsabilidad, que puede ser administrativa, civil y/o penal.

En el caso del profesional que realice su actividad en un centro sanitario, se le podrá imponer una sanción disciplinaria. Además, la vulneración del deber de confidencialidad que supone el acceso injustificado a la HC es contemplada en la mayor parte de los códigos deontológicos de las profesiones sanitarias como falta grave o muy grave, acarreando consecuencias que llegan hasta la inhabilitación profesional.

Por otro lado, el acceso indebido a la historia clínica puede dar lugar al deber de abonar a la víctima una indemnización de carácter civil, cuya cantidad dependerá de la valoración de los Tribunales.

La designación de un Delegado de Protección de Datos (DPD o DPO (Data Protection Officer) por sus siglas en inglés) es obligatoria cuando el tratamiento de los datos lo lleve a cabo una autoridad u organismo público y cuando se trate de centros sanitarios legalmente obligados al mantenimiento de las historias clínicas. Por tanto, los centros de salud y sanitarios públicos y privados han de disponer obligatoriamente de un DPD.

Quedan exonerados de la obligación de disponer de DPD los profesionales de la salud que ejerzan su actividad de manera privada a título individual, en cuyo caso no será necesario el nombramiento.

La AEPD puede imponer sanciones a los profesionales sanitarios que no cumplan con la normativa de protección de datos. Estas pueden variar en función de la gravedad de la sanción. Al realizar tratamientos de datos a gran escala y por lo tanto de un mayor volumen de datos de salud es más probable que las sanciones sean más cuantiosas dentro del rango de la infracción cometida.
Las sanciones en función de su gravedad se recogen en los artículos 72, 73 y 74 de la LOPDGDD cuyos importes son:

• Leves: hasta 40.000€
• Graves: desde 40.001€ a 300.000€
• Muy graves: desde 300.001€ a 20 millones de euros o el 4% del volumen de facturación anual.