APDCAT

This post is also available in: English

La Autoridad Catalana de Protección de Datos (APDCAT) ha publicado recientemente la “Guía de protección de datos para pacientes y usuarios de los servicios de salud”, con el objetivo de ofrecer tanto a pacientes como a usuarios una información clara y sencilla sobre el tratamiento de datos en el ámbito sanitario. En la situación actual de pandemia causada por el Covid-19, el tratamiento de datos de salud ha adquirido mucha actualidad y relevancia, de manera que la publicación de esta Guía tiene especial trascendencia. Los datos de salud constituyen categorías especiales de datos (artículo 9 del  RGPD) y los pacientes se consideran un colectivo vulnerable en el momento del tratamiento de datos, por lo que es esencial la salvaguarda e información de los derechos de los interesados.

La Guía aborda de manera exhaustiva los aspectos generales de la protección de datos en el ámbito sanitario. A continuación, les exponemos las cuestiones más relevantes:

Sobre la historia clínica:

La historia clínica es el conjunto de documentos relativos al proceso asistencial de cada paciente, que incluye información sobre el estado de salud pasado, presente y futuro.

  • El centro médico, médico, mutua… son responsables del tratamiento de los datos contenidos en la historia clínica y deben custodiar, conservar y proteger la información contenida. No obstante, el titular de los datos personales siempre es el paciente.
  • La historia clínica se puede utilizar mientras dura la atención sanitaria al paciente. En todo caso, se establecen diferentes plazos de conservación de los datos contenidos en ella (cinco o quince años, o incluso plazo superior), tras los cuales la información y documentos deberán ser eliminados de forma segura.
  • Cuando un centro o profesional cesa en su actividad, se debe garantizar el acceso a las historias clínicas que custodia.

Sobre los derechos de los pacientes sobre sus datos personales:

Los pacientes tienen, sobre sus datos médicos, los derechos que el RGPD confiere a todo interesado: derecho de información, acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento de los datos personales. En la Guía, la APDCAT resalta ciertos aspectos a tener en cuenta en el contexto específico del sector sanitario.

  • El paciente tiene derecho a ser informado sobre el tratamiento de sus datos personales. No será necesario informar al paciente en cada visita, siempre que en la primera consulta se hubiera otorgado la información correspondiente y no se modifique la finalidad, responsable u otras circunstancias relacionadas con el tratamiento.
  • Es necesario diferenciar entre el consentimiento informado y el derecho de información previsto en la legislación de protección de datos. Mientras que el primero hace referencia a la obtención del consentimiento del paciente para la realización de diferentes intervenciones médicas, el segundo se refiere al derecho de todo paciente a ser informado de cómo son tratados sus datos personales. Independientemente del consentimiento prestado para ser tratado médicamente y de la base legítima que justifique el tratamiento de datos, se debe explicar al paciente cómo se utilizarán sus datos.”
  • Los pacientes tienen derecho a acceder a su historia clínica en cualquier momento y a obtener copia de los datos y documentos incluidos. Cuando hay información sobre nuestra salud en la historia clínica de otra persona, también es posible acceder a esta información (por ejemplo, información sobre los hijos en la historia clínica de la madre).
  • Es posible la exclusión de cierta información del derecho de acceso a la historia clínica en interés del paciente o terceras personas. Por ejemplo, se puede limitar el acceso del paciente a anotaciones subjetivas que el médico haya incluido en la historia y también cuando concurra alguna necesidad terapéutica.
  • Toda persona tiene derecho a solicitar que se modifiquen aquellos datos erróneos y a que, en determinados casos, se suprima una información o dato personal. No obstante, en el ámbito sanitario, antes de proceder a la supresión o modificación de datos clínico-asistenciales, los centros sanitarios deberán analizar las circunstancias de cada caso desde la perspectiva del criterio médico e interés terapéutico.
  • El interesado tiene derecho a recibir los datos personales que le incumban y a transmitirlos a otro responsable cuando el tratamiento se basa en el consentimiento o en la ejecución de un contrato, y cuando la información está automatizada (derecho a la portabilidad, artículo 20 del RGPD). En todo caso, esta posibilidad no se prevé para los datos obtenidos por los centros y servicios de la red de salud pública en la prestación de asistencia sanitaria, ya que el tratamiento se enmarca en una actividad de interés público.
  • Un paciente puede ejercer su derecho de oposición y solicitar que sus datos no se utilicen para ciertos fines, que solamente puedan acceder a sus datos profesionales de su centro asistencias… En este supuesto, el responsable finalizará el tratamiento, salvo que se acrediten motivos legítimos que deban prevalecer.

Sobre la confidencialidad de los datos del paciente:

Los datos personales que un paciente comunica en el contexto de asistencia sanitaria son confidenciales y los profesionales que intervengan en el tratamiento deben mantener la confidencialidad y no difundir la información con personas o entidades ajenas. En particular, los profesionales de la salud están sujetos al secreto profesional, obligación que solo pueden romper en los supuestos legales específicamente previstos (por ejemplo, cuando se da el deber de denuncia).

La normativa permite que se comuniquen datos de salud a las personas vinculadas al paciente que lo acompañan en el proceso asistencial, excepto que el paciente se oponga.

Sobre la base legítima del tratamiento de los datos:

La base jurídica para la obtención y tratamiento de datos en el ámbito sanitario puede ser el consentimiento expreso del paciente u otra base legítima recogida en el artículo 6 del RGPD. En todo caso, como ya se ha avanzado, la asistencia prestada en centros sanitarios de la red pública constituye una actividad de interés público, de manera que se pueden tratar los datos sin necesidad de obtener el consentimiento.

Asimismo, cuando se trata de datos de salud, es necesario que concurra alguna de las condiciones establecidas en el artículo 9.2 del RGPD, ya que constituye tratamiento de categorías especiales de datos personales.

Sobre las finalidades del tratamiento:

La Guía enumera las finalidades para las que se tratan los datos personales en el ámbito sanitario: (i) finalidades asistenciales; (ii) finalidades de administración y gestión de servicios; (iii) finalidades epidemiológicas y de salud pública; (iv) finalidades de inspección sanitaria; (v) finalidades de investigación en salud y (vi) finalidades docentes.

En relación con el tratamiento para fines epidemiológicos o de salud pública, especialmente relevante en la situación actual, la APDCAT manifiesta lo siguiente:

  • Se debe evitar identificar a las personas afectadas, salvo que sea necesario para la prevención de peligro para la salud pública o cuando los pacientes hayan consentido.
  • Cuando los profesionales detecten casos relacionados con enfermedades de declaración obligatoria o brotes epidémicos, existe la obligación de comunicarlo a las autoridades sanitarias. Asimismo, es lícito que las autoridades traten los datos de salud de las personas, aún sin su consentimiento, cuando ello sea necesario por motivos de interés público.
  • Es adecuado el uso de apps o webs de obtención y tratamiento de datos de los ciudadanos para controlar la situación de pandemia, siempre que estos instrumentos cumplan la normativa de protección de datos y ofrezcan garantías adecuadas para salvaguardar los derechos.

En el contexto de tratamiento de datos personales con fines asistenciales, la Guía menciona el uso de inteligencia artificial (IA) para el diagnóstico médico, reconociendo que el uso de esta tecnología es cada vez más habitual en el ámbito de la salud. Dado que la IA implica un tratamiento extenso de datos personales, se concluye que la anonimización y el principio de minimización de datos (artículo 5 del RGPD) son esenciales.

Para más información sobre la Guía de la APDCAT, pueden consultarla directamente aquí.

Autora: Ainhoa Rey

This post is also available in: English

Autores:

Prácticas

10 artículos



ainhoa.rey@cuatrecasas.com