21 Marzo, 2019

Después de recibir diversas consultas por parte de nuestros socios y familiares en materia de protección de datos dentro de centros sanitarios, sobre todo a raíz de la aprobación de la nueva normativa comunitaria hemos decidido escribir este post en el cual explicamos las preguntas más frecuentes que les pueden surgir.

¿Cuanto tiempo tienen que conservar los datos de paciente?

¿Pueden acceder los familiares a la historia clínica?

¿Es necesario siempre recabar el consentimiento para tratar este tipo de datos?

Si te ves abrumado, no te preocupes, en la siguientes apartados te lo explicaremos de una manera sistemática y de fácil comprensión.

Datos de carácter personal relativos a la salud

Todo paciente tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud.

La protección de Datos personales es un derecho fundamental recogido en el artículo 18.4 de la Constitución Española y regulado por el Reglamento Europeo de Protección de Datos (RGPD), la LOPD y su reglamento de desarrollo.

Esta normativa afecta a los profesionales que operan en el sector sanitario, a las clínicas, a los hospitales, a los centros médicos y a las instituciones sanitarias.

En este caso en particular, la normativa en protección de datos se complementa con la Ley de Autonomía del Paciente 41/2002, de 14 de noviembre, la cual se encarga de regular los derechos y las obligaciones en materia de información y documentación clínica en la que se regula su historial;

Pero primer hay que dejar claro que se entiende por historia clínica y por datos de salud.

Historia Clínica

Es el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y evolución clínica de un paciente a lo largo de su proceso asistencial.

Datos relativos a la salud

El RGPD los define de la siguiente manera :

Por lo tanto cualquier información relativa, a título de ejemplo:

Por lo trascendental que puede tener este tipo de datos para la privacidad del interesado, el RGPD, da a este tipo de datos el adjetivo de Especialmente Protegidos, lo cual hace que se deban cumplir una serie de condiciones adicionales para su tratamiento conforme a la normativa.

Los principios fundamentales que deben formalizar los responsables de los datos para el cumplimiento de la normativa son los siguientes:

Consentimiento

La principal bases legal para el tratamiento de este tipo de datos la encontramos en el artículo 9 del RGPD y es el consentimiento.

Según la nueva normativa europea, este deberá ser:

Calidad de los datos

Se recogerá los datos de los pacientes siempre que sean adecuados, veraces y pertinentes.

La información sanitaria, de acuerdo con el artículo 4.7 de la LOPD, no puede recopilarse de forma desleal, fraudulenta o ilícita.

La recogida y el tratamiento de datos de salud persiguen una finalidad principal muy clara plasmada en la propia finalidad de la historia clínica: garantizar una asistencia adecuada al paciente.

La información trascendental para la asistencia sanitaria ha de contar, como mínimo, con los siguientes datos:

Información

Los pacientes deben ser informados  en todo momento de:

Es obligatorio en cada centro sanitario la existencia de una hoja de información al paciente en la que le solicita su autorización para el tratamiento de sus datos.

En ella se recoge, entre otros datos:

Confidencialidad

El secreto profesional es de obligatorio cumplimiento por el personal que tenga acceso a los datos del paciente. Incluso cuando la relación que vincule a las partes haya finalizado. Se obliga a los centros médicos a adoptar las medidas necesarias para garantizar la confidencialidad y el procedimiento legal de acceso.

Nuevas medidas del RGPD

Medidas organizativas y de seguridad.

La nueva normativa ya no establece las medidas de seguridad por niveles, si no que prevé que se apliquen medidas en función del riesgo que puedan ocurrir en el tratamiento de los datos

Por lo tanto, atendiendo a esto, en el caso del tratamiento de datos de salud el nivel del riesgo es enorme, por lo que habrá que diseñar una medidas organizativas y de seguridad conforme a dicho riesgo.

Evaluación de Impacto

La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

Asimismo, las medidas de seguridad y los protocolos que se deban llevar a cabo han de plasmarse en un Documento de Seguridad. Dicho documento deberá estar siempre a disposición de la Agencia Española de Protección de Datos para su consulta si así lo requiriera.

Registro de las actividades de tratamiento

Los responsables y los encargados están obligados ( siempre en los casos de tratamientos de datos de salud, genéticos o biométricos con independencia de emplear o no a más o menos de 250 personas ), a mantener un registro de las actividades de tratamiento que realicen.

Este registro debe de contener al menos los siguientes datos:

Delegado de Protección de Datos

Se deberá contar con un Delegado de protección de Datos, ya que así lo exige la nueva normativa comunitaria.

Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes tendrán que tener nombrado un DPO y comunicar dicho nombramiento a la AEPD

Comunicación de los datos

Es habitual, que los datos se comuniquen entre entidades para el mejor tratamiento del paciente.

En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permita esta transmisión.

El responsable del fichero deberá cumplir determinados requisitos:

Excepción

La única excepción a este consentimiento se establece en el caso de que la comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia sanitaria de los afectados a los que se refieren.

Mutuas y compañías de seguro

En el caso particular y excepcional de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario.

Facilitar los derechos ARCO

Los pacientes podrán ejercitar libremente su derecho de acceso, rectificación, cancelación y oposición de su historia clínica.

Para ello, el responsable deberá colaborar con ellos, facilitarles un informe o, en su defecto, una copia del mismo.

No obstante, el procedimiento para el ejercicio de estos derechos debe hacerse siempre respetando unos plazos y unas pautas tanto para ejercerlos, como para facilitarlos.

Notificación del mantenimiento de los ficheros a la AEPD

Siempre que se proceda a la creación, modificación o cancelación de un fichero que contenga datos personales, se deberá notificar a la Agencia Española de Protección de Datos (AEPD) para llevar a cabo su inscripción en el Registro General de Protección de Datos .

Por último, en el caso de alta del fichero, la inscripción en el registro ha de realizarse con anterioridad a su uso. La notificación no conlleva coste económico alguno. Simplemente implica el compromiso por parte del responsable de que el fichero declarado para su inscripción cumple con todas las exigencias legales.

Preguntas frecuentes

¿Cuánto tiempo se deben conservar los datos de los pacientes?

Se establece un plazo de conservación de al menos cinco años contados desde el alta de cada proceso asistencial.

Por tanto, cuando un paciente reciba el alta o por cualquier motivo deje de asistir a la clínica, no se puede proceder a eliminar sus datos ya que existe una obligación de custodia de la historia clínica.

Igualmente ocurriría en el caso de que el paciente solicitara la cancelación de sus datos. Estos no podrían ser cancelados , si no quedarían debidamente bloqueados.

Responsabilidad civil

El Código Civil establece un plazo de quince años para poder llevar a cabo una acción por responsabilidad civil, plazo que computa desde que el reclamante tiene conocimiento del daño.

No obstante, a efectos prácticos, este plazo se incrementa en quince años más ya que si el daño se conoce justo antes de que venzan los primeros quince, automáticamente se prorrogará por otros quince años más.

¿Puede el hospital comunicar los datos a las mutuas?

Sí, puesto que existe habilitación legal para ello. Siempre de acuerdo al principio de calidad y respecto a las funciones encomendadas.

¿Quién puede acceder a los datos médicos?

Sólo puede tener acceso el personal directamente implicado en la atención del paciente.

¿Pueden familiares y allegados tener acceso a ellos?

En cuanto a familiares y allegados, se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Se puede utilizar los datos de los pacientes para hacer estudios?

Como regla general, se debe contar con el consentimiento expreso del paciente. Para contar con ese consentimiento, se le habría de informar de que sus datos se van a utilizar para fines de investigación.

Otra opción consistiría en separar los datos identificativos de los datos médicos, es decir, proceder a una anonimización de los datos, para que a través de los mismos no pudiera ser identificado

Ejemplos de sanciones de la AEPD a centros médicos

El incumplimiento de estos preceptos fundamentales implica sanciones económicas.

Cabe destacar que con la aplicación de la nueva regulación las multas van en función de la vulneración de la norma, pudiendo llegar hasta los 10.000.000 € o el 4% de la facturación global anual.

Como causas leves destacan:

Causas graves serían:

Como causas muy graves se tipifican, por ejemplo:

Casos reales

Sanción a un médico de Gijón

Fue a causa de arrojar a la vía pública envases de biopsias con datos personales, la multa que la AEPD le impuso fue de 60.101 euros, ya que cometió una infracción tipificada como muy grave por la LOPD.

Apertura de expediente a un Hospital por infracción

La causa que motivó a la AEPD para abrir un expediente a un Hospital de Inca, fue la filtración de datos personales de pacientes.

Sanción de 6.000 euros a un Centro Médico

Un Centro Médico de Cartagena fue sancionado por la AEPD con la cifra de 6.000 por hacer uso de los datos personales de un cliente de la empresa con la cual se habia fusionado.

La AEPD denuncia a Sanidad

Un Hospital de Cuenca fue apercibido por ceder datos personales e historiales médicos de los pacientes a una clínica privada,sin cifrar la información, pese a tratarse de datos especialmente protegidos, la multa ascendió a un total de 40.001 euros.

Cumplir con la normativa en tu clínica en 9 pasos

En resumen, para el cumplimiento con los requisitos dictados por la normativa de protección de datos en materia sanitaria, los centros han de cumplir los siguientes puntos:

  1. Los datos recogidos son siempre pertinentes y veraces.
  2. El paciente siempre es informado y tiene acceso libre a sus datos.
  3. Realizar una evaluación de impacto y mantener un registro de las actividades de tratamiento
  4. Nombrar un Delegado de Protección de Datos
  5. Cifrar los datos y guardarlos bajo estrictas medidas de seguridad.
  6. Guardar secreto profesional en todo caso.
  7. En caso de cesión de datos a terceras partes y se debe firmar un contrato que establezca el uso determinado y definido de los datos cedidos.
  8. Facilitar los derechos ARCO respetando los plazos establecidos.
  9. Inscripción y actualización de los ficheros en la AEPD. (Hasta el 25 de mayo de 2018)

Si necesitas cualquier documento o tienes dudas sobre el cumplimiento de la normativa, desde ABACCO te ofrecemos si te haces soci@ su servicio de orientación y asesoramiento jurídico.

Print Friendly, PDF & Email

Me gusta esto: