23 enero 2020
El tratamiento de los datos de los pacientes y usuarios de la sanidad ha supuesto siempre un auténtico quebradero de cabeza para los profesionales sanitarios y una preocupación constante para los pacientes y usuarios sobre quién tiene acceso a sus datos, cómo se custodian, etc. Si a eso, se une la necesidad por parte de las familias de conocer el estado de un paciente que no pueda dar su consentimiento para habilitar el derecho de información, el cóctel es explosivo. Por ello la Agencia Española de Protección de Datos ha publicado una guía muy esperada y a la vez necesaria, dado el carácter sensible o especial del tratamiento de datos de salud, que contempla estos aspectos.
En esta guía, la AEPD da respuesta a cuestiones generales de la normativa de protección de datos en los centros sanitarios que se aplican a los tratamientos efectuados por los profesionales sanitarios, y que se complementan con las normas sectoriales sanitarias, como la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica (LAP). Algunos de los principales puntos que trata la AEPD en esta guía son los siguientes:
Por un lado, el consentimiento NO es necesario para recoger y usar datos personales en el tratamiento de datos de salud. Existen diversas bases legitimadoras que amparan el tratamiento de datos de salud como la ejecución de un contrato, en el caso de tratamiento de datos de aseguradoras privadas (art. 6.1.b) RGPD); una obligación legal (art. 6.1.c) RGPD) para el tratamiento de datos por la sanidad pública; interés público (art. 6.1.e) RGPD) para la protección frente a amenazas transfronterizas graves para la salud entre otras, y, por último, se menciona la legitimación basada en proteger los intereses vitales del interesado o de otra persona física (art. 6.1.d) RGPD), por ejemplo, en los casos en los que el paciente no está capacitado para dar el consentimiento.
Es obligatorio informar al paciente de todas las disposiciones requeridas por la normativa vigente en protección de datos. Igual que en otros casos, se permite informar al paciente por capas, es decir, en un primer momento se proporciona la información mínima, con una remisión a la política de privacidad en la página web, incluso a un folleto donde encontrar la totalidad de la información.
Los principios de protección de datos aplicados al tratamiento de datos de salud no varían con respecto al tratamiento de datos personales ordinarios. No obstante, en esta categoría especial de datos, hay que tener especial cuidado con principios tales como la exactitud de datos, así como la actualización de los mismos en los casos en los que sea necesario. Pues, la falta de exactitud o actualización en el Historial Clínico de una persona puede dar lugar a errores irreparables. Por ejemplo, pensemos en que un paciente es alérgico a un determinado medicamento, que le es administrado por falta de actualización en los datos de su Historial Clínico.
El paciente tiene derecho de acceso, rectificación y supresión del Historial Clínico, eso sí, con ciertas limitaciones.
Por ejemplo, la LAP limita el acceso de los pacientes a su Historial Clínico en algunos casos. Tampoco pueden ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en él recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso, la reserva de sus anotaciones subjetivas.
En cuanto al derecho de rectificación/supresión de la historia clínica, hay que decir que se encuentra muy limitado. Y será solo el personal sanitario el que determinará si se puede suprimir/rectificar o no el dato medico (si es dato personal y no terapéutico no nos encontramos ante tanta limitación).
En este sentido, hay que tener en cuenta que la finalidad fundamental de la historia clínica es garantizar la asistencia adecuada al paciente; pero también se utiliza con fines judiciales, epidemiológicos, de salud pública, de investigación o docencia, que están relacionados con la garantía del interés público o el cumplimiento de obligaciones legales, por lo que la cancelación de los datos que forman parte de la historia clínica es excepcional.
En base a lo anterior, queda claro que este tipo de categoría especial de datos requiere de un tratamiento específico con algunas restricciones y limitaciones a las de un tratamiento ordinario, siendo la comunicación de datos uno de los temas más controvertidos, tal y como se exponía anteriormente. Para dar respuesta a muchas de las cuestiones se debe tener en cuenta tanto la LAP como la normativa de protección de datos vigente.
En el siguiente esquema se recogen las situaciones más habituales ante la demanda de información sobre un paciente:
En conclusión, la AEPD deja claro de un lado que el acceso por parte del personal sanitario al historial clínico de cualquier paciente debe ser muy restrictivo y limitado (pudiendo dar lugar no solo a una infracción de protección de datos sino a un delito de descubrimiento y revelación de secretos previsto en el código penal). Y de otro, que las comunicaciones de datos a terceros debe ser siempre efectuada en base a una causa legitimadora (en muchos casos podemos apoyarnos por la LAP), tal y como se ha establecido en el esquema precedente.
Comentarios
No hay comentarios