Ayer fui testigo de un hecho bastante preocupante. Acudí a una consulta médica y mientras estaba siendo atendida por mi médico podía ver varios historiales de otros pacientes que estaban abiertos sobre la mesa con todos los datos visibles. Es decir, si hubiera querido, podía haber recopilado datos de salud de otras personas sin su consentimiento.

Los datos de salud, junto con datos sobre ideología, afiliación sindical, religión, creencias, origen racial, vida sexual y comisión de delitos penales o administrativos, son considerados por la LOPD como “datos especialmente protegidos” por afectar especialmente a la intimidad, los derechos fundamentales y las libertades públicas de las personas y, por tanto, se exige una mayor protección que para el resto de datos personales. Estos datos sólo podrán ser recogidos, tratados y cedidos por razones de interés público, cuando lo establezca expresamente una ley o con el consentimiento previo y manifiesto del interesado.

Preguntas sobre tratamiento de datos de salud

Vamos a responder a las dudas más habituales que nos surgen en relación a la protección de nuestros datos sanitarios.

¿Quién se considera el responsable del fichero “Historia Clínica”?

Se considera responsable de ese fichero al Hospital, Clínica o Profesional de la salud que tiene su consulta privada. Con carácter previo a la recogida de los datos personales se debe crear el fichero e inscribirlo. Si tenemos datos informatizados y datos en papel no necesitamos crear dos ficheros, basta con uno, considerado como fichero mixto y al que se aplicarán las medidas de seguridad correspondientes a cada una de las partes.

Solicitud del correo electrónico y el móvil al paciente

Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.

El uso posterior de los datos de salud sólo puede hacerse para fines históricos, estadísticos o científicos. Los datos personales recogidos no pueden usarse para ofrecer productos para curar una enfermedad o para cursos privados ya que esto se considera una infracción de la LOPD por ser opuesto a esa finalidad de asistencia sanitaria.

¿Eres un profesional de la salud?

Cumplimiento del derecho de información en la recogida y tratamiento de datos sanitarios

En el formulario de admisión se debe informar al paciente sobre la recogida de sus datos, salvo en casos de urgencia, en los que esta información puede facilitarse posteriormente.

El texto que se utiliza normalmente para la información es:

Los datos personales recogidos serán incorporados y tratados en el fichero (indicar nombre), cuya finalidad es (describirla) y podrán ser cedidos a (indicar), además de otras cesiones previstas en la Ley. El órgano responsable del fichero es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es (indicarla).

Para tratar estos datos necesitamos igualmente el consentimiento del paciente salvo el caso establecido en la LOPD en que por razones de interés general, así lo establezca una Ley.

¿Pueden los hospitales y clínicas contratar a una empresa externa para grabar los datos en el fichero historia clínica o para destruir documentos?

Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

ejemplos proteccion de datos

Multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes. PS/00698/2010

Cesión de datos de pacientes

Otras cuestiones importantes sobre la Protección de Datos sanitarios

Aparte de los casos tratados existen otras cuestiones de especial interés en materia de Protección de Datos que afectan a datos de salud.

Debemos tener en cuenta que sólo los profesionales sanitarios o quienes les representen están facultados para recabar estos datos de salud.

Cuando un paciente facilita sus datos a un profesional sanitario para que éste elabore su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre el uso que se va a dar a esos datos. El paciente debe ser informado de modo claro, conciso e inequívoco que sus datos van a ser almacenados en un fichero, de la finalidad para la que se recogen y de los destinatarios de los mismos.

Así mismo, el paciente puede ejercer los derechos de acceso, rectificación, cancelación y oposición, y para poder hacerlo deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.

Ficheros que contienen datos de pacientes con VIH

Actualmente existe un fichero nacional, que depende del Ministerio de Sanidad en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada, por lo que los médicos han de advertir de que tienen un paciente enfermo de SIDA, esta información se remite a las delegaciones provinciales, que la trasladan a las autoridades autonómicas, que a su vez realizan las actualizaciones del fichero y lo envían al Ministerio de Sanidad.

Los médicos tienen obligación de avisar al paciente de que existe este fichero, que incluye su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.

El propósito de creación de este fichero es el interés general, para llevar un control de esta enfermedad.

Ficheros con datos sobre donaciones

Existe un fichero de donaciones, en el que se almacenan el nombre, apellidos, dirección y resultados de los análisis del donante. La finalidad de hacer este registro es la de terner acceso a los resultados y poder comunicar al paciente la siguiente cita.

El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requerimientos técnicos y requisitos mínimos de la hemodonación y bancos de sangre, regula en su artículo 29 el control de estos datos.

Los datos se guardarán durante un plazo no superior a 5 años, sin embargo, si se estima que hay posibilidad de contagio de enfermedades infecciosas se mantendrán indefinidamente.

Los datos genéticos y biométricos

¿Necesitas cumplir la LOPD?

10 Preguntas frecuentes sobre protección de datos de salud
4.8 (95.24%) 21 votos
    1. Buenas tardes Montse,
      El Hospital puede dar información del paciente a los familiares con el consentimiento de aquel, salvo que no esté en condiciones de dar su consentimiento, en cuyo cayo se facilitará la información a los familiares directos que lo acrediten. Muchas gracias por leer nuestro blog y por tu consulta

  1. En un hospital privado me he realizado una resonancia magnética con mi seguro privado. Y la mutua de accidente (sufrí un accidente de trabajo.,Y mi mutua solo me manda reposo). Por lo que me realice la prueba con mi seguro privado. Reclamo los resultados el hospital y este se los envío? ?que debo hacer? Que pasa con mi protección de datos yo no autorice que le pasarán los resultados a la mutua. Gracias.

    1. Buenas tardes Yurena,
      Los Hospitales pueden pasar datos de los pacientes a las Mutuas de Accidentes de trabajo ya que existe habilitación legal para hacerlo pero solo para cumplir las finalidades encomendadas. Gracias por leer el blog y por tu consulta

  2. Mi pregunta es más por curiosidad, ya que se me ocurrió hace unos días.

    La semana pasada operaron a mi esposa en un hospital privado.
    Como la cirugía iba a ser larga me ofrecieron dejar mi número de teléfono para no tener que estar en la sala de espera toda la mañana, y luego me mandaron un mensaje al finalizar la operación avisándome de que mi mujer ya estaba en la habitación.

    No tuve que firmar nada ni me informaron de nada relacionado con protección de datos, simplemente me ofrecieron avisarme, me pidieron el número y lo anotaron en un papelito.

    Mi duda es ¿tendría cabida aquí la LOPD?, es decir, ¿por el hecho de pedirme y anotar mi número de teléfono tendría que haber firmado algo, o como no di mi nombre ni ningún dato más no haría falta?

    Muchas gracias!

    1. Buenas tardes Roberto,

      En este caso que me comenta, el número de teléfono por sí solo no se considera un dato de carácter personal. Según la AEPD, desde el punto de vista de la protección de datos personales, el número de teléfono constituirá un dato de carácter personal cuanto resulte adscrito al concreto titular del mismo, o se asocie a datos identificativos adicionales como pueden ser la dirección y esta se almacene con el número llamante. Gracias por leer el blog y por su consulta

  3. Han publicado en una revista médica mi historia clínica, sin mi consentimiento, con mi descripción, y patología física y sicológica, puedo denunciar ?

    1. Buenas tardes Luisa,

      El caso que me comenta puede denunciarlo ante la AEPD ya que los datos de salud no pueden facilitarse ni mucho menos publicarse sin el consentimiento expreso del afectado. Gracias por leer el blog y por su consulta

  4. Buenas tardes,

    Estoy montando una empresa y a los clientes se les va a hacer un test de bienvenida tipo suele usted hacer la compra… una de las preguntas consiste en elegir que enfermedades tienen tipo diabetes, hipertensión… Si en la base de datos en vez de aparecer la enfermedad pusiera tipo1, tipo 2… según las enfermedades que elija el usuario me valdría con el nivel básico o tendría que poner el nivel alto? Un saludo

    1. Buenas tardes David,

      Para que esos datos no se consideren de nivel alto no debe poder relacionarse la enfermedad directamente con el nombre y apellidos o dni de una persona. Gracias por leer el blog y por tu consulta

      1. Hola,

        Entonces si los datos los recojo en el tipo test, ahí si aparecería la enfermedad, pero los guardo en la base de datos de tal forma que no aparezca esa enfermedad podría ponerlo como nivel bajo no? Gracias por la respuesta

  5. Hola, que un profesional sanitario revele que he sido paciente suyo ¿vulnera mi derecho a la intimidad?

    1. Buenos días mabelza,

      Los profesionales sanitarios están obligados a guardar secreto sobre los datos de sus pacientes por lo que no pueden revelar estos datos sin consentimiento expreso del paciente. Gracias por leer el blog y por tu consulta

  6. En la empresa hay Una mutua de Trabajo que en el ejercicio de prevención de riesgos laborales encomendado hace las revisiones médicas, la empresa como tal no guarda registro ni datos, ¿La mutua debe recoger el consentimiento informado tácito para tratar esas revisiones voluntarias de los trabajadores? ¿Debe informar a la Empresa del fichero declarado de estos datos?

    1. Buenos días Abigail,

      La Mutua debe firmar con la empresa el contrato de acceso a datos por terceros para garantizar la confidencialidad de esos datos personales a los que accede. No necesita el consentimiento de los trabajadores. Gracias por leer el blog y por tu consulta

  7. Buenos días:
    Soy psicopedagoga y recabo, respecto de mis clientes menores de edad, determinados datos incluso de salud; los padres firman el consentimiento para el tratamiento de los datos.
    Tengo dos dudas:
    1.- Cuando derivo al menor a otros profesionales (por ejemplo, un optometrista, o un logopeda), les envío información del menor.
    2.- En ocasiones los padres me solicitan que envíe la infromación y resultados de pruebas de su hijos al tutor del centro escolar.

    Entiendo que son comunicaciones de datos en ambos casos, tanto si hablamos de datos de salud como de los meramente personales.
    ¿Que precauciones debo tomar? ¿es necesario el consentimiento de los padres? ¿podría recabarlo con alguna clausula genérica en la primera entrevista cuando friman el consentimiento para el tratamiento de los datos?, ¿el consentimiento debería ser de ambos padres o basta con el de uno de ellos?
    Muchas gracias.

  8. Buenas tardes,
    Mi pregunta es ,una mutua puede dar datos de mi enfermedad o patología a la empresa sin mi consentimiento al no estar de baja laboral y sino los puede dar la.mutua tendría alguna responsabilidad y me tendría que dar algún tipo de indemnización.

    1. Buenos días Joaquín,
      La mutua en ningún caso puede facilitar datos de salud a la empresa, esto es denunciable ante la AEPD. Para solicitar indemnización debes acudir a los tribunales pero te aconsejo que lo consultes con un abogado. Gracias por leer el blog y por tu consulta

  9. Buenos días:
    no acabo de entender el alcance sobre la utilización del móvil y la asistencia sanitaria (Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.).
    ¿Esto quiere decir que en un medio poco seguro como es el teléfono se pueden facilitar datos de salud (resultados de exploraciones, diagnósticos, tratamientos, …)?
    Gracias

    1. Buenas tardes Jose,

      Hay centros y profesionales médicos que sí envían datos de salud por teléfono pero no debería hacerse. Estos son datos especialmente protegidos y la AEPD indica que no deben utilizarse esos medios para comunicar esos datos. Gracias por leer el blog y por tu consulta

  10. Buenos días, he solicitado a la Mutua la reducción de jornada para el cuidado de un menor por enfermedad grave en virtud del RD 1148/2011.
    Esto ha sido denegado por la Mutua y en la resolución enviada a la empresa (a nombre genérico de la empresa, no a nadie en particular) aparece el texto:
    “No persistir la necesidad de tratamiento medico del cáncer o no ser necesario su cuidado directo, continuo y permanente del menor”.
    Mi consulta es: es legal que aparezca esta información en un documento que cualquiera puede leer o viola la ley de protección de datos?
    Gracias y saludos

    1. Buenos días Mónica,
      La Mutua no puede enviar datos de salud sin tu consentimiento por lo que supone una infracción de la LOPD y puedes denunciarlo. Gracias por leer el blog y por tu consulta


Comments are closed.