Ayer fui testigo de un hecho bastante preocupante.

Acudí a una consulta médica y mientras estaba siendo atendida por mi médico podía ver varios historiales de otros pacientes que estaban abiertos sobre la mesa con todos los datos visibles. Es decir, si hubiera querido, podía haber recopilado datos de salud de otras personas sin su consentimiento.

Estos datos son considerados como “datos especialmente protegidos” por afectar especialmente a la intimidad, los derechos fundamentales y las libertades públicas de las personas.

Y, por tanto, se exige una mayor protección que para el resto de datos personales.

Si trabajas en el sector sanitario esto te interesa.

Que no te pase como a mi médico.

Aquí tienes la guía definitiva para cumplir el RGPD en el sector sanitario.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos para el sector sanitario son:

¿Cómo cumplir el RGPD en centros sanitarios?

Las principales actuaciones que debes realizarse en el sector sanitario para cumplir el RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los pacientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

Pero no te preocupes, te explico paso por paso todo lo que debes hacer.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en sanidad

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

Así de sencillo.

Ni más ni menos.

En tu hospital o clínica debes responder a preguntas como:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Para ello es necesario realizar un registro de actividades de tratamiento que debes mantener actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

En el centro sanitario debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios
    • de salud ….
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

3. Evaluación de impacto

Aquí viene lo complicado.

Agárrate a la silla y ¡vamos al lío!

Además, al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

¿Te has quedado como estabas?

Resumiendo

Tu empresa de sanidad debe realizar esa Evaluación de impacto ya que trata categorías especiales de datos. Es decir, manejas datos de salud de tus pacientes.

4. Contratos con terceros

¿Facilitas datos de tus pacientes a laboratorios?

¿Tienes una empresa informática que realiza el mantenimiento de los equipos en la clínica?

¿A que sí?

Entonces cedes datos a terceros.

Y esos terceros son Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos.

Numerosas clínicas y hospitales recurren con regularidad al software de gestión de pacientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

Por ello, debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Y qué decir tiene que hay que estar seguros de que el paciente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

5. Página web

En caso de ofrecer servicios de información o asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad del centro sanitario y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tienes que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de pacientes

Esto es muy importante.

Espero que ya lo estés haciendo.

Además de actualizar la política de privacidad, en el centro sanitario debes tener el consentimiento expreso de todos tus pacientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En el centro

En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En tu entidad sanitaria debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Para facilitar el cumplimiento de este derecho los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

En cuanto al derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

8. Contratos con empleados

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En una empresa de sanidad, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con pacientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y el técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

9. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción por parte de la entidad, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

10. Nombrar un DPD

Puede ser necesario que la empresa de sanidad, por el volumen de datos que trate, designe a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Si quieres saber si vas a necesitar un DPD en tu clínica puedes leer este post que redacté hace unos meses (con más de 4.000 visitas).

Preguntas sobre tratamiento de datos de salud

Vamos a responder a las dudas más habituales planteadas en relación a la protección de los datos sanitarios.

¿Quién se considera el responsable del fichero “Historia Clínica”?

Se considera responsable de ese fichero al Hospital, Clínica o Profesional de la salud que tiene su consulta privada. Con carácter previo a la recogida de los datos personales se debe crear el fichero e inscribirlo. Si tenemos datos informatizados y datos en papel no necesitamos crear dos ficheros, basta con uno, considerado como fichero mixto y al que se aplicarán las medidas de seguridad correspondientes a cada una de las partes.

Solicitud del correo electrónico y el móvil al paciente

Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.

El uso posterior de los datos de salud sólo puede hacerse para fines históricos, estadísticos o científicos. Los datos personales recogidos no pueden usarse para ofrecer productos para curar una enfermedad o para cursos privados ya que esto se considera una infracción de la LOPD por ser opuesto a esa finalidad de asistencia sanitaria.

Cumplimiento del derecho de información en la recogida y tratamiento de datos sanitarios

En el formulario de admisión se debe informar al paciente sobre la recogida de sus datos, salvo en casos de urgencia, en los que esta información puede facilitarse posteriormente.

El texto que se utiliza normalmente para la información es:

Los datos personales recogidos serán incorporados y tratados en el fichero (indicar nombre), cuya finalidad es (describirla) y podrán ser cedidos a (indicar), además de otras cesiones previstas en la Ley. El órgano responsable del fichero es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es (indicarla).

Para tratar estos datos necesitamos igualmente el consentimiento del paciente salvo el caso establecido en la LOPD en que por razones de interés general, así lo establezca una Ley.

¿Pueden los hospitales y clínicas contratar a una empresa externa para grabar los datos en el fichero historia clínica o para destruir documentos?

Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

ejemplos proteccion de datos

Multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes. PS/00698/2010

Cesión de datos de pacientes

Otras cuestiones importantes sobre la Protección de Datos sanitarios

Aparte de los casos tratados existen otras cuestiones de especial interés en materia de Protección de Datos que afectan a datos de salud.

Debemos tener en cuenta que sólo los profesionales sanitarios o quienes les representen están facultados para recabar estos datos de salud.

Cuando un paciente facilita sus datos a un profesional sanitario para que éste elabore su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre el uso que se va a dar a esos datos. El paciente debe ser informado de modo claro, conciso e inequívoco que sus datos van a ser almacenados en un fichero, de la finalidad para la que se recogen y de los destinatarios de los mismos.

Así mismo, el paciente puede ejercer los derechos de acceso, rectificación, cancelación y oposición, y para poder hacerlo deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.

Ficheros que contienen datos de pacientes con VIH

Actualmente existe un fichero nacional, que depende del Ministerio de Sanidad en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada, por lo que los médicos han de advertir de que tienen un paciente enfermo de SIDA, esta información se remite a las delegaciones provinciales, que la trasladan a las autoridades autonómicas, que a su vez realizan las actualizaciones del fichero y lo envían al Ministerio de Sanidad.

Los médicos tienen obligación de avisar al paciente de que existe este fichero, que incluye su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.

El propósito de creación de este fichero es el interés general, para llevar un control de esta enfermedad.

Ficheros con datos sobre donaciones

Existe un fichero de donaciones, en el que se almacenan el nombre, apellidos, dirección y resultados de los análisis del donante. La finalidad de hacer este registro es la de terner acceso a los resultados y poder comunicar al paciente la siguiente cita.

El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requerimientos técnicos y requisitos mínimos de la hemodonación y bancos de sangre, regula en su artículo 29 el control de estos datos.

Los datos se guardarán durante un plazo no superior a 5 años, sin embargo, si se estima que hay posibilidad de contagio de enfermedades infecciosas se mantendrán indefinidamente.

Los datos genéticos y biométricos

Plantillas

Aquí te dejo todos los documentos que necesitarás para adaptar tu centro sanitario a la normativa de Protección de Datos.

Sanciones

Esta es la parte más peliaguda.

No te lo tomes a la ligera.

Las sanciones por el incumplimiento del RGPD son duras y podrían ascender al 4% de la facturación anual a nivel mundial o a 20 millones de euros (la cuantía que sea mayor). La sanción puede imponerse aunque no haya pérdida de datos en sí. Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas.

Las sanciones se interpondrán teniendo en cuenta:

  • naturaleza, gravedad y duración de la infracción,
  • número de interesados afectados,
  • nivel de los daños y perjuicios que hayan sufrido,
  • intencionalidad o negligencia en la infracción, y
  • medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

¿Te ha quedado claro?

Pues espero que comiences cuanto antes a adaptar tu centro médico a la ley de Protección de Datos.

¿Necesitas cumplir la LOPD?

Guía de Protección de datos en Sanidad
4.8 (95.65%) 23 votos
    1. Buenas tardes Montse,
      El Hospital puede dar información del paciente a los familiares con el consentimiento de aquel, salvo que no esté en condiciones de dar su consentimiento, en cuyo cayo se facilitará la información a los familiares directos que lo acrediten. Muchas gracias por leer nuestro blog y por tu consulta

  1. En un hospital privado me he realizado una resonancia magnética con mi seguro privado. Y la mutua de accidente (sufrí un accidente de trabajo.,Y mi mutua solo me manda reposo). Por lo que me realice la prueba con mi seguro privado. Reclamo los resultados el hospital y este se los envío? ?que debo hacer? Que pasa con mi protección de datos yo no autorice que le pasarán los resultados a la mutua. Gracias.

    1. Buenas tardes Yurena,
      Los Hospitales pueden pasar datos de los pacientes a las Mutuas de Accidentes de trabajo ya que existe habilitación legal para hacerlo pero solo para cumplir las finalidades encomendadas. Gracias por leer el blog y por tu consulta

  2. Mi pregunta es más por curiosidad, ya que se me ocurrió hace unos días.

    La semana pasada operaron a mi esposa en un hospital privado.
    Como la cirugía iba a ser larga me ofrecieron dejar mi número de teléfono para no tener que estar en la sala de espera toda la mañana, y luego me mandaron un mensaje al finalizar la operación avisándome de que mi mujer ya estaba en la habitación.

    No tuve que firmar nada ni me informaron de nada relacionado con protección de datos, simplemente me ofrecieron avisarme, me pidieron el número y lo anotaron en un papelito.

    Mi duda es ¿tendría cabida aquí la LOPD?, es decir, ¿por el hecho de pedirme y anotar mi número de teléfono tendría que haber firmado algo, o como no di mi nombre ni ningún dato más no haría falta?

    Muchas gracias!

    1. Buenas tardes Roberto,

      En este caso que me comenta, el número de teléfono por sí solo no se considera un dato de carácter personal. Según la AEPD, desde el punto de vista de la protección de datos personales, el número de teléfono constituirá un dato de carácter personal cuanto resulte adscrito al concreto titular del mismo, o se asocie a datos identificativos adicionales como pueden ser la dirección y esta se almacene con el número llamante. Gracias por leer el blog y por su consulta

  3. Han publicado en una revista médica mi historia clínica, sin mi consentimiento, con mi descripción, y patología física y sicológica, puedo denunciar ?

    1. Buenas tardes Luisa,

      El caso que me comenta puede denunciarlo ante la AEPD ya que los datos de salud no pueden facilitarse ni mucho menos publicarse sin el consentimiento expreso del afectado. Gracias por leer el blog y por su consulta

  4. Buenas tardes,

    Estoy montando una empresa y a los clientes se les va a hacer un test de bienvenida tipo suele usted hacer la compra… una de las preguntas consiste en elegir que enfermedades tienen tipo diabetes, hipertensión… Si en la base de datos en vez de aparecer la enfermedad pusiera tipo1, tipo 2… según las enfermedades que elija el usuario me valdría con el nivel básico o tendría que poner el nivel alto? Un saludo

    1. Buenas tardes David,

      Para que esos datos no se consideren de nivel alto no debe poder relacionarse la enfermedad directamente con el nombre y apellidos o dni de una persona. Gracias por leer el blog y por tu consulta

      1. Hola,

        Entonces si los datos los recojo en el tipo test, ahí si aparecería la enfermedad, pero los guardo en la base de datos de tal forma que no aparezca esa enfermedad podría ponerlo como nivel bajo no? Gracias por la respuesta

  5. Hola, que un profesional sanitario revele que he sido paciente suyo ¿vulnera mi derecho a la intimidad?

    1. Buenos días mabelza,

      Los profesionales sanitarios están obligados a guardar secreto sobre los datos de sus pacientes por lo que no pueden revelar estos datos sin consentimiento expreso del paciente. Gracias por leer el blog y por tu consulta

  6. En la empresa hay Una mutua de Trabajo que en el ejercicio de prevención de riesgos laborales encomendado hace las revisiones médicas, la empresa como tal no guarda registro ni datos, ¿La mutua debe recoger el consentimiento informado tácito para tratar esas revisiones voluntarias de los trabajadores? ¿Debe informar a la Empresa del fichero declarado de estos datos?

    1. Buenos días Abigail,

      La Mutua debe firmar con la empresa el contrato de acceso a datos por terceros para garantizar la confidencialidad de esos datos personales a los que accede. No necesita el consentimiento de los trabajadores. Gracias por leer el blog y por tu consulta

  7. Buenos días:
    Soy psicopedagoga y recabo, respecto de mis clientes menores de edad, determinados datos incluso de salud; los padres firman el consentimiento para el tratamiento de los datos.
    Tengo dos dudas:
    1.- Cuando derivo al menor a otros profesionales (por ejemplo, un optometrista, o un logopeda), les envío información del menor.
    2.- En ocasiones los padres me solicitan que envíe la infromación y resultados de pruebas de su hijos al tutor del centro escolar.

    Entiendo que son comunicaciones de datos en ambos casos, tanto si hablamos de datos de salud como de los meramente personales.
    ¿Que precauciones debo tomar? ¿es necesario el consentimiento de los padres? ¿podría recabarlo con alguna clausula genérica en la primera entrevista cuando friman el consentimiento para el tratamiento de los datos?, ¿el consentimiento debería ser de ambos padres o basta con el de uno de ellos?
    Muchas gracias.

  8. Buenas tardes,
    Mi pregunta es ,una mutua puede dar datos de mi enfermedad o patología a la empresa sin mi consentimiento al no estar de baja laboral y sino los puede dar la.mutua tendría alguna responsabilidad y me tendría que dar algún tipo de indemnización.

    1. Buenos días Joaquín,
      La mutua en ningún caso puede facilitar datos de salud a la empresa, esto es denunciable ante la AEPD. Para solicitar indemnización debes acudir a los tribunales pero te aconsejo que lo consultes con un abogado. Gracias por leer el blog y por tu consulta

  9. Buenos días:
    no acabo de entender el alcance sobre la utilización del móvil y la asistencia sanitaria (Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.).
    ¿Esto quiere decir que en un medio poco seguro como es el teléfono se pueden facilitar datos de salud (resultados de exploraciones, diagnósticos, tratamientos, …)?
    Gracias

    1. Buenas tardes Jose,

      Hay centros y profesionales médicos que sí envían datos de salud por teléfono pero no debería hacerse. Estos son datos especialmente protegidos y la AEPD indica que no deben utilizarse esos medios para comunicar esos datos. Gracias por leer el blog y por tu consulta

  10. Buenos días, he solicitado a la Mutua la reducción de jornada para el cuidado de un menor por enfermedad grave en virtud del RD 1148/2011.
    Esto ha sido denegado por la Mutua y en la resolución enviada a la empresa (a nombre genérico de la empresa, no a nadie en particular) aparece el texto:
    “No persistir la necesidad de tratamiento medico del cáncer o no ser necesario su cuidado directo, continuo y permanente del menor”.
    Mi consulta es: es legal que aparezca esta información en un documento que cualquiera puede leer o viola la ley de protección de datos?
    Gracias y saludos

    1. Buenos días Mónica,
      La Mutua no puede enviar datos de salud sin tu consentimiento por lo que supone una infracción de la LOPD y puedes denunciarlo. Gracias por leer el blog y por tu consulta


Comments are closed.