Santiago Appdemecum| 24-06-2022

La Agencia Española de Protección de Datos (AEPD) acaba de publicar un documento titulado “Guía para profesionales del sector sanitario”, que ofrece una ayuda relevante para responder a muchas de las dudas que se pueden suscitar en el manejo cotidiano de los datos clínicos y en los sistemas de información de las organizaciones sanitarias.

El documento, de 25 páginas, se ha elaborado siguiendo la recomendación del Reglamento General de Protección de Datos de la Unión Europea (RGPD), que sugiere a las autoridades nacionales de Protección de Datos que promuevan la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en esta materia.

El interés que tiene este asunto para la sanidad es evidente. Por una parte, el trabajo clínico e investigador se basa -y depende- de los sistemas que permitan la recogida y el acceso a conjuntos de datos descriptivos de la salud de los pacientes, desde el resultado de un análisis hasta la historia clínica digital. Pero, por otra, las normativas europea y española exigen garantías de que el uso de los datos en general, y los sanitarios muy en particular, se haga de forma adecuada y salvaguardando derechos relevantes de sus propietarios, como la intimidad, la seguridad y la integridad.

Como recuerda la AEPD en la presentación de este trabajo, los datos de salud tienen la condición de categoría especial y, por tanto, cuentan con un régimen reforzado de protección. En 2021 se registraron ante la Agencia 680 reclamaciones vinculadas a la sanidad, lo que representa un 75% más que en 2020 (año crítico en la pandemia).

Una de las virtudes de esta guía es que está dirigida directamente a los profesionales sanitarios que desempeñen su actividad a título individual o también en organizaciones sanitarias. Diríamos que sirve tanto para quien ejerce en una consulta propia, como para el que forma parte de un equipo clínico más amplio. No es un compendio de recomendaciones para los gestores de los sistemas o los responsables de las áreas de informática, sino que toma como línea conductora todo aquello que se puede suscitar en el espacio asistencial.

La guía describe en primer lugar qué se debe entender por datos de salud, y cuál es la normativa jurídica por la que se regulan, los niveles de responsabilidad, y las figuras representativas encargadas de su tratamiento en la denominación del RGPD.

Así, se recuerda que los profesionales sanitarios manejan tanto datos identificativos y de filiación de los pacientes (como nombre, dirección, teléfono, DNI, etc.), como los que estrictamente están relacionados con la salud, y que todos ellos han de tener la legitimidad de origen de ser estrictamente los necesarios para cumplir con la finalidad de prestarle la asistencia sanitaria debida. También pueden tratarse datos identificativos de familiares, como en el caso de menores o progenitores, o los que en ocasiones hacen referencia a aspectos como las enfermedades hereditarias o los antecedentes familiares médicamente relevantes.

El responsable del tratamiento de esos datos será quien decida acerca de qué datos se van a obtener, con qué fines se van a tratar, y con qué medios se van a gestionar y proteger. Puede ser una entidad pública (hospital o centro de salud público), privada (hospital o clínica), o un profesional a título individual. Este será responsable del tratamiento cuando ofrezca los servicios sanitarios a título individual, y lo será la entidad que lo contrae cuando trabaje por cuenta ajena.

La guía afirma que, generalmente, no es necesario solicitar el consentimiento al paciente para tratar sus datos personales en el ámbito de la atención sanitaria, dado que los supuestos que legalmente están previstos para no sustanciar un consentimiento explícito son muy amplios (como en el caso de su utilización para el diagnóstico o el tratamiento médico, esencia del trabajo de profesional sanitario). Sí se considera necesario, no obstante, que el paciente conozca quién es el responsable de la salvaguarda de sus datos, incluso el modo de acceder al delegado de protección de datos. Si, además, los datos no se han obtenido del propio interesado, es preciso informarle de las fuentes de las que se han recopilado.

El caso de la historia clínica.

Un capítulo central de esta guía lo constituye todo lo relativo a la historia clínica, y a las reglas legales que rigen el modo en el que se debe acceder a ella.

Se recuerda que el acceso a la historia clínica está limitado: no cualquier profesional y ante cualquier circunstancia puede acceder. Tanto el personal sanitario como otros profesionales pueden disponer de ella únicamente para el desempeño de sus funciones, sin que puedan revelar a terceros los datos a los que tienen acceso. Las posibilidades para acceder a los datos de la historia clínica son distintas según el tipo de función profesional y de la finalidad que tenga ese eventual acceso. Precisamente sobre este particular, la guía detalla ejemplos y responde a preguntas concretas.

Otro de los capítulos de la guía se refiere a las obligaciones de los profesionales a la luz del RGPD. Con carácter general, el profesional sigue teniendo las mismas obligaciones que con la anterior regulación: asegurarse de que el tratamiento de los datos sea lícito, informar al paciente de sus derechos y de que se va a proceder al tratamiento de sus datos, y respetar el deber de confidencialidad. Pero además, el RGPD impone algunas nuevas obligaciones de gestión de los procedimientos, y exige que se pueda demostrar el cumplimiento de los mismos (mediante el “principio de responsabilidad proactiva”).

Derechos de los pacientes.

No podía faltar un capítulo dedicado a la gestión de los derechos de los pacientes respecto al tratamiento de sus datos. La guía recuerda que el RGPD regula como derechos de los afectados el de obtener confirmación del tratamiento de sus datos, saber si los mismos están siendo o no objeto del tratamiento y, en caso afirmativo, acceder a ellos. Sin embargo, en el ámbito sanitario, estos derechos se concretan más específicamente en la ley de autonomía del paciente y en la legislación autonómica sobre la materia, que se aplican como leyes especiales con carácter preferente al Reglamento. Conforme a dichas normativas, pueden entenderse algunas limitaciones, como la imposibilidad de rectificar o suprimir datos de la historia, y otros tendrán escasa aplicación, como el derecho de oposición.

Otros capítulos se refieren a asuntos como la gestión de la cesión de datos a terceros, la gestión de las instalaciones dedicadas a la custodia de los datos, o la posición jurídica de los profesionales que prestan servicio en instituciones sanitarias.

 

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Share This
Abrir chat
1
Hola,
¿En qué podemos ayudarte?