Ley de Protección de Datos en Sanidad - Guía Recomendada para Médicos
Ley de Protección de Datos en Sanidad - Guía Recomendada para Médicos
Ley de Protección de Datos en Sanidad - Guía Recomendada para Médicos
en el ámbito sanitario
Todo paciente tiene derecho a que quede constancia, por escrito o en el soporte técnico más
adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el
servicio de salud.
Esta normativa afecta a los profesionales que operan en el sector sanitario, a las clínicas, a los
hospitales, a los centros médicos y a las instituciones sanitarias.
Historia Clínica
Es el conjunto de
documentos que
contienen los datos,
valoraciones e
informaciones de
cualquier índole sobre la
situación y evolución
clínica de un paciente a lo
largo de su proceso
asistencial.
Datos personales relativos a la salud física o mental de una persona física, incluida la
prestación de servicios de atención sanitaria, que revelen información sobre su estado de
salud
a una enfermedad,
una discapacidad,
el riesgo de padecer enfermedades,
el historial médico,
el tratamiento clínico o el estado ksiológico o biomédico del interesado,
independientemente de su fuente, por ejemplo, un médico u otro profesional
sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.
Por lo trascendental que puede tener este tipo de datos para la privacidad del interesado,
el RGPD, da a este tipo de datos el adjetivo de Especialmente Protegidos, lo cual hace que se
deban cumplir una serie de condiciones adicionales para su tratamiento conforme a la
normativa.
Los principios fundamentales que deben formalizar los responsables de los datos para
el cumplimiento de la normativa son los siguientes:
Consentimiento
Explícito
Recogido por escrito
Confidencialidad
El secreto profesional es de obligatorio cumplimiento por el personal que tenga acceso a los datos del
paciente. Incluso cuando la relación que vincule a las partes haya finalizado. Se obliga a los centros
médicos a adoptar las medidas necesarias para garantizar la confidencialidad y el procedimiento legal de
acceso.
Nuevas medidas del RGPD
Medidas organizativas y
de seguridad
La nueva normativa ya no establece
las medidas de seguridad por niveles,
si no que prevé que se apliquen
medidas en función del riesgo que
puedan ocurrir en el tratamiento de
los datos
Evaluación de Impacto
La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los
responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos
(minimizar la probabilidad de su materialización y las consecuencias negativas para los
interesados).
Asimismo, las medidas de seguridad y los protocolos que se deban llevar a cabo han de
plasmarse en un Documento de Seguridad. Dicho documento deberá estar siempre a
disposición de la Agencia Española de Protección de Datos para su consulta si así lo
requiriera.
Registro de las actividades de tratamiento
Los responsables y los encargados están obligados (siempre en los casos de tratamientos
de datos de salud, genéticos o biométricos con independencia de emplear o no a más o
menos de 250 personas), a mantener un registro de las actividades de tratamiento que
realicen.
En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permita
esta transmisión.
El responsable del fichero deberá cumplir determinados requisitos:
Excepción
La única excepción a este consentimiento se establece en el caso de que la
comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia
sanitaria de los afectados a los que se refieren.
Para ello, el responsable deberá colaborar con ellos, facilitarles un informe o, en su defecto, una
copia del mismo.
Preguntas frecuentes
Por tanto, cuando un paciente reciba el alta o por cualquier motivo deje de asistir a la clínica, no
se puede proceder a eliminar sus datos ya que existe una obligación de custodia de la historia
clínica.
Igualmente ocurriría en el caso de que el paciente solicitara la cancelación de sus datos. Estos
no podrían ser cancelados, si no quedarían debidamente bloqueados.
Responsabilidad civil
El Código Civil establece un plazo de quince años para poder llevar a cabo una acción por
responsabilidad civil, plazo que computa desde que el reclamante tiene conocimiento del
daño.
No obstante, a efectos prácticos, este plazo se incrementa en quince años más ya que si el daño
se conoce justo antes de que venzan los primeros quince, automáticamente se prorrogará por
otros quince años más.
¿Puede el hospital
comunicar los datos
a las mutuas?
Sí, puesto que existe habilitación
legal para ello. Siempre de acuerdo al
principio de calidad y respecto a las
funciones encomendadas.
¿Quién puede
acceder a los datos
médicos?
Sólo puede tener acceso el personal
directamente implicado en la atención
del paciente.
Otra opción consistiría en separar los datos identificativos de los datos médicos, es decir,
proceder a una anonimización de los datos, para que a través de los mismos no pudiera ser
identificado
Ejemplos de sanciones de la
AEPD a centros médicos
El incumplimiento de estos preceptos fundamentales implica sanciones económicas.
Cabe destacar que con la aplicación de la nueva regulación las multas van en función de la
vulneración de la norma, pudiendo llegar hasta los 10.000.000 € o el 4% de la facturación
global anual.
Por último, hay que destacar que la información recogida en esta guía puede ampliarse
consultando otros elementos relacionados de interés como cuáles son tus derechos como
paciente.