PROTECCIÓN DE DATOS DE LOS PACIENTES Y USUARIOS EN EL SISTEMA SANITARIO – DATOS DE SALUD (1ª PARTE)
Aprovechando la reciente Guía publicada por la AEPD para Pacientes y Usuarios de la Sanidad, vamos a elaborar un par de pequeños artículos, en aras a aclarar nuestros derechos como pacientes y usuarios del sistema sanitario, frente al tratamiento de nuestros datos personales de salud por parte de médicos, sanitarios, centros de salud y hospitales (Públicos y Privados).
¿QUÉ ES UN DATO DE SALUD?
Los datos de salud son: “los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria que revelen información sobre su estado de salud, así como los datos genéticos”.
Todos estos dos datos personales relativos a la salud son considerados como datos sensibles especialmente protegidos, y por ello, de categoría especial conforme al RGPD.
Por tanto, los datos que contienen las bases de datos sanitarias son de dos tipos:
- Los que identifican a la persona.
- Todos aquellos acerca de su estado de salud, como por ejemplo resultados de pruebas médicas, diagnósticos, cirugías, medicamentos, etc. Todos ellos a grandes rasgos constituyen la historia clínica.
¿QUIÉN ES EL RESPONSABLE DEL TRATAMIENTO DE LOS DATOS DE LA HISTORIA CLÍNICA?
Se establece que el responsable del tratamiento de los datos que forman parte de la historia clínica es el médico o el centro sanitario, público o privado. Éstos tienen la obligación de elaborarla, custodiarla e implantar las medidas de seguridad necesarias para que no se extravíe o sea accedida por terceros.
¿TIENE EL MÉDICO O CENTRO SANITARIO QUE PEDIR EL CONSENTIMIENTO AL PACIENTE PARA RECOGER Y USAR SUS DATOS PERSONALES?
No, no es necesario que el médico o el centro sanitario solicite el consentimiento a los pacientes para la recogida y utilización de datos personales y de salud, si se van a utilizar para:
- Fines de medicina preventiva o laboral.
- Evaluación de la capacidad laboral del trabajador.
- Diagnóstico médico.
- Prestación de asistencia o tratamiento de tipo sanitario o social.
- Gestión de los sistemas y servicios de asistencia sanitaria y social.
(Base de legitimación en el Artículo 6.1.b) del RGPD para las entidades aseguradoras de salud privadas, y en el Artículo 6.1.c) del mismo Reglamento para la sanidad pública).
Tampoco es necesario si el tratamiento de datos se efectúa por razones de interés público en el ámbito de la salud pública. (Base de legitimación en el artículo 6.1.e) del RGPD).
También se pueden tratar los datos de salud sin solicitar el consentimiento cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. (Base de legitimación en el artículo 6.1.d) del RGPD).
Las personas que traten los datos deben ser profesionales sujetos a la obligación de secreto profesional, o que estén bajo su responsabilidad.
Se deberá pedir el consentimiento, por ejemplo, en el caso de que el odontólogo o el fisioterapeuta nos quieran enviar publicidad.
¿TIENE DERECHO A SER INFORMADO SOBRE EL TRATAMIENTO DE SUS DATOS?
Sí, es obligatorio ser informado de lo siguiente:
- La identidad y los datos de contacto del responsable y, en su caso, de su representante.
- Los datos de contacto del delegado de protección de datos. Obligatorio: hospitales (tanto públicos como privados), centros de salud, centros de atención especializada, clínicas, etc. No tienen que tener un delegado de protección de datos las consultas privadas de un profesional sanitario.
- Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento. (1) Fines: prestar asistencia sanitaria, investigación, docencia… (2) La base jurídica: consentimiento, contrato, ejercicio de una potestad pública, proteger intereses vitales de una persona.
- Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.
- La intención del responsable de transferir datos personales a un tercer país u organización internacional.
- El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo. Los datos de la historia clínica se conservarán mientras sean necesarios para garantizar la adecuada asistencia sanitaria de los pacientes y, como mínimo, cinco años. Algunas leyes autonómicas han ampliado este plazo mínimo.
- El derecho a: (1) Solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos. (2) Retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. (3) Presentar una reclamación ante una autoridad de control.
- Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.
- La existencia de decisiones automatizadas, tomadas mediante procesos informáticos sin intervención humana, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o le afecten significativamente de modo similar.
- Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información aclaratoria.
Finalmente, toda esta información ha de ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Puede hacerse por capas, es decir, una información de lo fundamental y una remisión a la página web, a un folleto, etc. para conocer la totalidad de la información.
Cuando los datos personales se obtienen de un tercero hay que informar al titular de los datos, a la mayor brevedad posible, de los mismos apartados reseñados, así como del origen de sus datos.
+ INFO: https://www.lexdigitalabogados.com/#CONTACTO
Guía completa de la AEPD: https://www.aepd.es/media/guias/guia-pacientes-usuarios-sanidad.pdf
Hola, me pregunto si un test PCR es un dato de salud / parte del historial clínico. ¿Si mi jefe llamara a un laboratorio/clínica y solicitar información sobre si me hice la prueba? ¿Estaría el laboratorio infringiendo mi derecho a privacidad?
Un saludo