Ayer fui testigo de un hecho bastante preocupante.
Acudí a una consulta médica y mientras estaba siendo atendida por mi médico podía ver varios historiales de otros pacientes que estaban abiertos sobre la mesa con todos los datos visibles. Es decir, si hubiera querido, podía haber recopilado datos de salud de otras personas sin su consentimiento.
Estos datos son considerados como «datos especialmente protegidos» por afectar especialmente a la intimidad, los derechos fundamentales y las libertades públicas de las personas.
Y, por tanto, se exige una mayor protección que para el resto de datos personales.
Si trabajas en el sector sanitario esto te interesa.
Que no te pase como a mi médico.
Aquí tienes la guía definitiva para cumplir el RGPD en el sector sanitario.
Normativa de Protección de Datos
Las normas que regulan la Protección de Datos para el sector sanitario son:
- RGPD (vigente a partir del 25 de mayo en toda Europa)
- LOPDGDD (España)
- Nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (aprobada en diciembre de 2018)
- Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
- Ley 41/2002, de Autonomía del Paciente.
¿Cómo cumplir el RGPD en centros sanitarios?
Las principales actuaciones que debes realizarse en el sector sanitario para cumplir el RGPD son:
- Realizar un Registro de actividades de tratamiento
- Elaborar un análisis de riesgos
- Realizar una Evaluación de impacto
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los pacientes
- Facilitar los derechos de los usuarios
- Firmar los contratos con los empleados
- Nombrar un DPD
¿Te parece mucho?
No te preocupes, te explico paso por paso todo lo que debes hacer.
1. Registro de actividades de tratamiento
En primer lugar es necesario que analices qué tipo de datos manejas y qué cantidad.
Así de sencillo.
Ni más ni menos.
En tu hospital o clínica debes responder a preguntas como:
- Tipo de datos que recopilas
- Finalidad del tratamiento
- Política de almacenamiento de esos datos
- Si cedes esos datos o los transfieres fuera de nuestro país
- Medios de tratamiento
Por eso debes realizar un registro de actividades de tratamiento y mantenerlo actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.
2. Análisis de riesgos
En el centro sanitario debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,
- el tipo de tratamiento:
- ¿dónde se almacenan los datos?
- ¿durante cuánto tiempo?
- ¿en un archivo o en una base de datos?
- ¿en qué equipos?
- la naturaleza de los datos,
- identificativos
- bancarios
- de salud ….
- el número de interesados afectados;
- 2.000
- 6.000
- 50.000 …
Una vez realizado este análisis, es importante que apliques unas medidas de seguridad avanzadas para de impedir o bloquear los ataques informáticos actuales. Si cifras los datos, por ejemplo, no debes usar sistemas de cifrado obsoletos.
3. Evaluación de impacto
Aquí viene lo complicado.
Agárrate a la silla y ¡vamos al lío!
Además, al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.
Las principales empresas que deberán realizar esta evaluación de impacto son:
- Empresas que que se dediquen a la elaboración de perfiles, y en base a esos perfiles tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente.
- Entidades que traten a gran escala categorías especiales de datos, o datos personales relativos a condenas e infracciones penales.
- Empresas que observen sistemáticamente a gran escala una zona de acceso público.
¿Te has quedado como estabas?
Resumiendo
Tu empresa de sanidad debe realizar esa Evaluación de impacto ya que trata categorías especiales de datos. Es decir, manejas datos de salud de tus pacientes.
4. Contratos con terceros
¿Facilitas datos de tus pacientes a laboratorios?
¿Tienes una empresa informática que realiza el mantenimiento de los equipos en la clínica?
¿A que sí?
Entonces cedes datos a terceros.
Y esos terceros son Encargados de tratamiento.
Así que, además de tener un registro de actividades de tratamiento, debes disponer de una relación de esas empresas externas que te prestan algún servicio y asegurar que también cumplan la normativa de Protección de Datos.
Numerosas clínicas y hospitales recurren con regularidad al software de gestión de pacientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.
Por ello, debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD.
Y qué decir tiene que hay que estar seguros de que el paciente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.
5. Página web
En caso de ofrecer servicios de información o asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
- Nombre del propietario
- CIF / NIF
- Dirección
- Nº de inscripción en el Registro mercantil
Debes poner un enlace visible a este texto desde cualquier página de la web.
Política de privacidad
Es importante revisar la política de privacidad del centro sanitario y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
- ¿Dónde se utilizan esos datos?
- ¿Se está haciendo con el consentimiento de los usuarios?
- ¿Tiene fines comerciales?
- ¿Se realizan cesiones a terceros o transferencias internacionales?
Así, al solicitar los datos personales del cliente, en el formulario tienes que informar expresamente de:
- que se van a tratar los datos que se le piden,
- finalidad,
- destinatario o destinatarios de aquella información,
- datos identificativos del responsable del tratamiento de los datos y
- medios por los que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.
Una cookie es un archivo informático diminuto que trabaja para las marcas facilitándoles información de patrones de comportamiento y gustos.
Las cookies pueden recoger información de varios tipos:
- direcciones y contraseñas,
- datos personales,
- nuestra dirección de IP,
- sistema operativo de nuestro equipo,
- navegador que utilizamos,
- páginas que hemos visitado anteriormente, etc.
Posteriormente esta información es utilizada para mostrarnos publicidad que pueda ser de nuestro interés según nuestro perfil de usuario o para enviarnos información vía email relacionada con las páginas que hemos visitado.
Si tu web incluye algo de esto, debes cumplir con la ley de cookies (LSSI).
Tienes que elaborar un texto en el que informes sobre las cookies utilizadas en la página, su finalidad y duración. También debes dar la opción al usuario si quiere o no permitir ese uso de cookies o cambiar la configuración de las mismas.
6. Consentimiento de pacientes
Esto es muy importante.
Espero que ya lo estés haciendo.
Además de actualizar la política de privacidad, en el centro sanitario debes tener el consentimiento de todos tus pacientes para poder tratar sus datos.
Este consentimiento puede solicitarse de dos formas:
En la web
Cuando el propio cliente/paciente pone sus datos personales en la página web, es necesario que exista siempre una casilla desmarcada por defecto donde pueda aceptar esa política de privacidad.
En el centro
En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:
- quién es el responsable del tratamiento,
- para qué se van a usar los datos,
- si se van a ceder a terceros y
- el medio para ejercer sus derechos ARCO.
Con el RGPD los clientes serán mucho más conscientes de qué información tienen las empresas de ellos y para qué la usan. Por eso, es esencial que se les notifique cualquier cambio que vayas a realizar. Por ejemplo, enviándoles emails o publicando alguna entrada en la página web y difundiéndola posteriormente por redes sociales, para generar más confianza.
7. Derechos de los usuarios
Los clientes o pacientes, como dueños de los datos personales, tienen reconocidos una serie de derechos por el RGPD. Estos derechos son:
- acceso a los propios datos personales;
- rectificación si los datos son incorrectos;
- supresión (derecho al olvido) si los datos se manejan ilegalmente o ya no son necesarios para la finalidad para la que se recogieron;
- limitación del tratamiento;
- portabilidad de los datos;
- oposición a que se utilicen posteriormente con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
- a que no se usen para tomar decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
En tu entidad sanitaria debes establecer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben especificarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.
El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Los datos personales deben ser almacenados y administrados en un formato ordenado, para que sean fáciles de utilizar y compartir. De esta forma se facilita el cumplimiento de este derecho.
En cuanto al derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.
8. Contratos con empleados
Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Y, por supuesto, están obligados a cumplir las medidas de seguridad para garantizar la protección de los datos personales que la empresa adopte.
En una empresa de sanidad, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con pacientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y el técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.
9. Notificar brechas de seguridad
Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.
En el caso de que se dé una situación de ciberataque o infracción por parte de la entidad, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Y debes notificar a las autoridades ese incidente de seguridad en un plazo máximo de 72 horas, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Es importante recordar que existirán atenuantes a las sanciones si puedes demostrar a las autoridades y a los clientes que estás haciendo todo lo posible para cumplir con la ley.
10. Nombrar un DPD
Puede ser necesario que la empresa de sanidad, por el volumen de datos que trate, designe a un profesional con la cualificación necesaria en esta materia para supervisar el cumplimiento de la ley en los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).
El nombramiento del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes. Con ello se cumple el deber de información exigido en el RGPD.
El DPO podrá ser una persona de la plantilla de la empresa o contratarse de forma externa con una empresa que ofrezca el servicio.
Si quieres saber si vas a necesitar un DPD en tu clínica puedes leer este post que redacté hace unos meses (con más de 4.000 visitas).
Preguntas sobre tratamiento de datos de salud
Vamos a responder a las dudas más habituales planteadas en relación a la protección de los datos sanitarios.
¿Quién se considera el responsable del fichero «Historia Clínica»?
Se considera responsable de ese fichero al Hospital, Clínica o Profesional de la salud que tiene su consulta privada. Con carácter previo a la recogida de los datos personales se debe crear el fichero e inscribirlo. Si tenemos datos informatizados y datos en papel no necesitamos crear dos ficheros, basta con uno, considerado como fichero mixto y al que se aplicarán las medidas de seguridad correspondientes a cada una de las partes.
Solicitud del correo electrónico y el móvil al paciente
Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.
El uso posterior de los datos de salud sólo puede hacerse para fines históricos, estadísticos o científicos. Los datos personales recogidos no pueden usarse para ofrecer productos para curar una enfermedad o para cursos privados ya que esto se considera una infracción de la LOPD por ser opuesto a esa finalidad de asistencia sanitaria.
Cumplimiento del derecho de información en la recogida y tratamiento de datos médicos de las personas
En el formulario de admisión se debe informar al paciente sobre la recogida de sus datos, salvo en casos de urgencia, en los que esta información puede facilitarse posteriormente.
El texto que se utiliza normalmente para la información es:
Los datos personales recogidos serán incorporados y tratados en el fichero (indicar nombre), cuya finalidad es (describirla) y podrán ser cedidos a (indicar), además de otras cesiones previstas en la Ley. El órgano responsable del fichero es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es (indicarla).
Para tratar estos datos necesitamos igualmente el consentimiento del paciente salvo el caso establecido en la LOPD en que por razones de interés general, así lo establezca una Ley.
¿Pueden los hospitales y clínicas contratar a una empresa externa para grabar los datos en el fichero historia clínica o para destruir documentos?
Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

Multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes. PS/00698/2010
Cesión de datos de pacientes
Otras cuestiones importantes sobre la Protección de Datos médicos
Aparte de los casos tratados existen otras cuestiones de especial interés en materia de Protección de Datos que afectan a datos de salud.
Debemos tener en cuenta que sólo los profesionales sanitarios o quienes les representen están facultados para recabar estos datos de salud.
Cuando un paciente facilita sus datos a un profesional sanitario para que éste elabore su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre el uso que se va a dar a esos datos. El paciente debe ser informado de modo claro, conciso e inequívoco que sus datos van a ser almacenados en un fichero, de la finalidad para la que se recogen y de los destinatarios de los mismos.
Así mismo, el paciente puede ejercer los derechos de acceso, rectificación, cancelación y oposición, y para poder hacerlo deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.
Ficheros que contienen datos de pacientes con VIH
Actualmente existe un fichero nacional, que depende del Ministerio de Sanidad en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada, por lo que los médicos han de advertir de que tienen un paciente enfermo de SIDA, esta información se remite a las delegaciones provinciales, que la trasladan a las autoridades autonómicas, que a su vez realizan las actualizaciones del fichero y lo envían al Ministerio de Sanidad.
Los médicos tienen obligación de avisar al paciente de que existe este fichero, que incluye su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.
El propósito de creación de este fichero es el interés general, para llevar un control de esta enfermedad.
Ficheros con datos sobre donaciones
Existe un fichero de donaciones, en el que se almacenan el nombre, apellidos, dirección y resultados de los análisis del donante. La finalidad de hacer este registro es la de terner acceso a los resultados y poder comunicar al paciente la siguiente cita.
El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requerimientos técnicos y requisitos mínimos de la hemodonación y bancos de sangre, regula en su artículo 29 el control de estos datos.
Los datos se guardarán durante un plazo no superior a 5 años, sin embargo, si se estima que hay posibilidad de contagio de enfermedades infecciosas se mantendrán indefinidamente.
Los datos genéticos y biométricos
¿Qué son y para qué se utilizan los datos genéticos?
Los datos recopilados de análisis genéticos, a personas determinadas, permiten prever, con un cierto grado de fiabilidad, la salud genética de esas personas, posibilitando la prevención de enfermedades físicas o mentales que puedan aparecer en el futuro.
Junto a esta ventaja incuestionable, la información que se consigue con estas pruebas conlleva cuatro características básicas, que pueden poner en cuestión los beneficios de su conocimiento:
- la íntima relación entre los datos genéticos y la persona a la que hacen referencia (huella genética),
- la permanencia inalterable de dicha información a lo largo de toda la vida de la persona,
- su correspondencia con la disposición genética de terceras personas (familiares), y
- su efectividad para determinar la propensión a contraer enfermedades concretas por el sujeto o por su descendencia.
El conocimiento y publicación no autorizada de los resultados de los exámenes genéticos pueden originar, en virtud de las características anteriores, a impedimentos de discriminación social, laboral, etc. También puede originar graves rivalidades familiares, cuando la divulgación de esos datos choque con aspectos de la intimidad que otros integrantes de la familia pretenden que se mantenga en secreto, lo que debe tenerse muy en cuenta para no vulnerar derechos fundamentales que gozan de una especial protección jurídica.
Confidencialidad
Estas singularidades obligan a tener un especial cuidado con la confidencialidad de este tipo específico de datos. Se debe garantizar que, al igual que para brindarse a cualquier exploración genética se requiere la obtención previa del consentimiento libre y totalmente informado, para poder acceder a estos datos se exigirá reglamentariamente una idéntica autorización explícita, y por escrito, de la persona afectada, con el fin de acatar minuciosamente el deber de secreto que conlleva la recogida de este tipo de datos.
En dicho escrito deberá indicarse, en forma inequívoca, tanto la persona o personas autorizadas para acceder a los datos como la finalidad para la que van a ser utilizados. Se entenderá como acto ilícito y opuesto al secreto profesional, cualquier otra cesión, así como la utilización de dicha información para un fin distinto al específicamente otorgado.
¿Qué son los datos biométricos?
Los datos biométricos se definen como aquellos rasgos físicos, biológicos o de comportamiento de un individuo que lo identifican como único del resto de la población. Los sistemas informáticos en los que se valora algún dato biométrico, como parte de la tarea de identificación y/o autentificación de un sujeto, se conocen como sistemas de seguridad biométrica o simplemente sistemas biométricos.
Algunos ejemplos de este tipo de datos son:
- Huellas dactilares
- Geometría de la mano
- Análisis del iris y de retina
- Venas del reverso de la mano
- Facciones
- Patrón de voz
- Firma manuscrita
- Dinámica de tecleo
- Cadencia del paso al caminar
- Análisis gestual
Por definición y por su propia naturaleza, los datos biométricos son datos personales, sin embargo, la interrogante que surge es la siguiente cuestión.
¿Cuál es la aplicación de las leyes de protección de datos personales con respecto a los datos biométricos?
En nuestro país, la Agencia Española de Protección de Datos (AEPD) ha tratado los datos biométricos en varios de sus dictámenes. Y los delimita como “(…) todos aquellos aspectos físicos que, a través un análisis técnico, facultan para diferenciar las particularidades que confluyen respecto de dichos aspectos y que, debido a que es imposible la coincidencia de dichos rasgos en dos individuos, una vez tratados, ayudan a identificar al individuo en cuestión. Así, se utilizan para tales fines las huellas digitales, el iris del ojo, la voz, etc.”
Con la normativa existente en la actualidad, cualquier método de creación de firma electrónica que reúna datos biométricos, deberá tener en cuenta especialmente lo siguiente:
- Obtener el consentimiento indiscutible del firmante para el tratamiento de los datos, con carácter previo a su recopilación.
- Implementar medidas de seguridad de nivel básico sobre estos datos biométricos recogidos.
- Cumplir con el resto de obligaciones previstas en el RGPD.
El nuevo Reglamento europeo de Protección de Datos establece una regulación expresa de los datos biométricos, y con carácter particular dispone que cualquier sistema que tenga previsto recoger esos datos deberá, previamente a su uso real, realizar una Evaluación de Impacto en la Protección de Datos. En otras palabras, deberá efectuarse un estudio previo a la implementación del sistema en el que se evalúen los peligros para la privacidad sobre el mismo. Así como las conclusiones y normas aplicadas al sistema, una vez analizados los riesgos.
Recomendaciones de la UE sobre Protección de datos de salud
El 28 de marzo de 2019 la UE ha aprobado un documento con nuevas Recomendaciones sobre Protección de datos de salud. Y cada Estado miembro debe adaptarlas a su ordenamiento jurídico interno.
Las recomendaciones son aplicables a profesionales y centros sanitarios, tanto públicos como privados. También a entidades que usan los datos sanitarios para crear soluciones médicas digitales, para el Big data o el desarrollo de aplicaciones de salud.
Muchas de esas recomendaciones son similares a las establecidas en el RGPD pero se explica con más detalle el tratamiento de datos de salud e incluye mayores exigencias.
Datos genéticos
En estas recomendaciones de la UE se indica que los datos genéticos únicamente pueden recogerse:
- cumpliendo unas garantías adecuadas para su protección,
- si una ley exige su recogida o
- cuando el interesado ha dado su consentimiento expreso.
En caso de que esos datos se usen para el tratamiento o diagnóstico de pacientes, medicina preventiva o investigación científica, solo deben tratarse con esos fines.
Igualmente se pide a los Estados miembros que regulen específicamente y establezcan las medidas de seguridad adecuadas en casos de uso de los datos genéticos en el ámbito de los seguros, el empleo o las investigaciones o procesos judiciales.
Compartir datos con fines secundarios
Para compartir datos de salud con fines distintos a los sanitarios se exige que solo podrá hacerse cuando los responsables dispongan de la adecuada autorización legal. El consentimiento del paciente no es suficiente para legitimar ese acceso.
En este caso, postura es mucho más restrictiva que la establecida en el RGPD, que permite a terceros no relacionados con la prestación de servicios médicos el acceso a esos datos sanitarios siempre que cumplan las obligaciones previstas en esta normativa.
Investigación científica
Las recomendaciones de la UE establecen que debe evaluarse la necesidad de realizar esa investigación científica según los riesgos que puedan derivarse para el afectado o sus familiares si van a manejarse datos genéticos.
Para poder utilizar los datos sanitarios con fines de investigación es necesario el consentimiento del afectado para lo que debe facilitársele información clara y transparente sobre el proyecto científico para el que se van a utilizar. Se permite usar esos datos de salud para investigaciones científicas sin el consentimiento del afectado solo cuando esté permitido por una ley.
Dispositivos móviles
A través de los móviles pueden recogerse datos sobre la salud física o mental de las personas que deben protegerse igual que cualquier otro dato de salud. Se incluyen aquellas aplicaciones que controlan la actividad física, peso, frecuencia cardíaca,etc.
Hoy en día existen en el mercado numerosas aplicaciones de salud y deportes y con estas recomendaciones deberán aplicar mayores medidas de protección para esos datos, como una autentificación fiable y el cifrado de los datos para su transmisión.
Plantillas
Aquí te dejo todos los documentos que necesitarás para adaptar tu centro sanitario a la normativa de Protección de Datos.

- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones
Esta es la parte más peliaguda.
No te lo tomes a la ligera.
Las sanciones del RGPD a médicos por el incumplimiento de la normativa de protección de datos son duras y podrían ascender al 4% de la facturación anual a nivel mundial o a 20 millones de euros (la cuantía que sea mayor). La sanción puede imponerse aunque no haya pérdida de datos en sí. Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas.
Las sanciones a médicos por incumplir el RGPD se interpondrán teniendo en cuenta:
- naturaleza, gravedad y duración de la infracción,
- número de interesados afectados,
- nivel de los daños y perjuicios que hayan sufrido,
- intencionalidad o negligencia en la infracción, y
- medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.
Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.
En definitiva, las sanciones del RGPD a médicos y doctores no son ninguna broma. Un ejemplo de ello es un caso ocurrido en 2014, cuando un médico de un hospital privado de Madrid fue sancionado con 5.000 euros por la AEPD por extraviar las imágenes de la operación a un paciente.
El tribunal consideró que se había denegado además el derecho de acceso del cliente a sus dato protegidos. Por ello, a pesar de considerar que no existió voluntariedad infractora por parte del médico, incurrió en una falta de diligencia grave.
Este caso ha sentado un procedente, al considerar que las imágenes de operaciones forman parte del historial clínico, aunque dichas imágenes solo hayan sido recogidas con fines de investigación.
¿Te ha quedado claro?
Pues espero que comiences cuanto antes a adaptar tu centro médico a la ley de Protección de Datos.
Puede un hospital dar información a familiares del paciente? Gracias
Buenas tardes Montse,
El Hospital puede dar información del paciente a los familiares con el consentimiento de aquel, salvo que no esté en condiciones de dar su consentimiento, en cuyo cayo se facilitará la información a los familiares directos que lo acrediten. Muchas gracias por leer nuestro blog y por tu consulta
En un hospital privado me he realizado una resonancia magnética con mi seguro privado. Y la mutua de accidente (sufrí un accidente de trabajo.,Y mi mutua solo me manda reposo). Por lo que me realice la prueba con mi seguro privado. Reclamo los resultados el hospital y este se los envío? ?que debo hacer? Que pasa con mi protección de datos yo no autorice que le pasarán los resultados a la mutua. Gracias.
Buenas tardes Yurena,
Los Hospitales pueden pasar datos de los pacientes a las Mutuas de Accidentes de trabajo ya que existe habilitación legal para hacerlo pero solo para cumplir las finalidades encomendadas. Gracias por leer el blog y por tu consulta
Mi pregunta es más por curiosidad, ya que se me ocurrió hace unos días.
La semana pasada operaron a mi esposa en un hospital privado.
Como la cirugía iba a ser larga me ofrecieron dejar mi número de teléfono para no tener que estar en la sala de espera toda la mañana, y luego me mandaron un mensaje al finalizar la operación avisándome de que mi mujer ya estaba en la habitación.
No tuve que firmar nada ni me informaron de nada relacionado con protección de datos, simplemente me ofrecieron avisarme, me pidieron el número y lo anotaron en un papelito.
Mi duda es ¿tendría cabida aquí la LOPD?, es decir, ¿por el hecho de pedirme y anotar mi número de teléfono tendría que haber firmado algo, o como no di mi nombre ni ningún dato más no haría falta?
Muchas gracias!
Buenas tardes Roberto,
En este caso que me comenta, el número de teléfono por sí solo no se considera un dato de carácter personal. Según la AEPD, desde el punto de vista de la protección de datos personales, el número de teléfono constituirá un dato de carácter personal cuanto resulte adscrito al concreto titular del mismo, o se asocie a datos identificativos adicionales como pueden ser la dirección y esta se almacene con el número llamante. Gracias por leer el blog y por su consulta
Muchas gracias por su aclaración Ana, y enhorabuena por su blog.
Han publicado en una revista médica mi historia clínica, sin mi consentimiento, con mi descripción, y patología física y sicológica, puedo denunciar ?
Buenas tardes Luisa,
El caso que me comenta puede denunciarlo ante la AEPD ya que los datos de salud no pueden facilitarse ni mucho menos publicarse sin el consentimiento expreso del afectado. Gracias por leer el blog y por su consulta
Buenas tardes,
Estoy montando una empresa y a los clientes se les va a hacer un test de bienvenida tipo suele usted hacer la compra… una de las preguntas consiste en elegir que enfermedades tienen tipo diabetes, hipertensión… Si en la base de datos en vez de aparecer la enfermedad pusiera tipo1, tipo 2… según las enfermedades que elija el usuario me valdría con el nivel básico o tendría que poner el nivel alto? Un saludo
Buenas tardes David,
Para que esos datos no se consideren de nivel alto no debe poder relacionarse la enfermedad directamente con el nombre y apellidos o dni de una persona. Gracias por leer el blog y por tu consulta
Hola,
Entonces si los datos los recojo en el tipo test, ahí si aparecería la enfermedad, pero los guardo en la base de datos de tal forma que no aparezca esa enfermedad podría ponerlo como nivel bajo no? Gracias por la respuesta
Hola, que un profesional sanitario revele que he sido paciente suyo ¿vulnera mi derecho a la intimidad?
Buenos días mabelza,
Los profesionales sanitarios están obligados a guardar secreto sobre los datos de sus pacientes por lo que no pueden revelar estos datos sin consentimiento expreso del paciente. Gracias por leer el blog y por tu consulta
En la empresa hay Una mutua de Trabajo que en el ejercicio de prevención de riesgos laborales encomendado hace las revisiones médicas, la empresa como tal no guarda registro ni datos, ¿La mutua debe recoger el consentimiento informado tácito para tratar esas revisiones voluntarias de los trabajadores? ¿Debe informar a la Empresa del fichero declarado de estos datos?
Buenos días Abigail,
La Mutua debe firmar con la empresa el contrato de acceso a datos por terceros para garantizar la confidencialidad de esos datos personales a los que accede. No necesita el consentimiento de los trabajadores. Gracias por leer el blog y por tu consulta
Buenos días:
Soy psicopedagoga y recabo, respecto de mis clientes menores de edad, determinados datos incluso de salud; los padres firman el consentimiento para el tratamiento de los datos.
Tengo dos dudas:
1.- Cuando derivo al menor a otros profesionales (por ejemplo, un optometrista, o un logopeda), les envío información del menor.
2.- En ocasiones los padres me solicitan que envíe la infromación y resultados de pruebas de su hijos al tutor del centro escolar.
Entiendo que son comunicaciones de datos en ambos casos, tanto si hablamos de datos de salud como de los meramente personales.
¿Que precauciones debo tomar? ¿es necesario el consentimiento de los padres? ¿podría recabarlo con alguna clausula genérica en la primera entrevista cuando friman el consentimiento para el tratamiento de los datos?, ¿el consentimiento debería ser de ambos padres o basta con el de uno de ellos?
Muchas gracias.
Buenas tardes,
Mi pregunta es ,una mutua puede dar datos de mi enfermedad o patología a la empresa sin mi consentimiento al no estar de baja laboral y sino los puede dar la.mutua tendría alguna responsabilidad y me tendría que dar algún tipo de indemnización.
Buenos días Joaquín,
La mutua en ningún caso puede facilitar datos de salud a la empresa, esto es denunciable ante la AEPD. Para solicitar indemnización debes acudir a los tribunales pero te aconsejo que lo consultes con un abogado. Gracias por leer el blog y por tu consulta
Buenos días:
no acabo de entender el alcance sobre la utilización del móvil y la asistencia sanitaria (Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.).
¿Esto quiere decir que en un medio poco seguro como es el teléfono se pueden facilitar datos de salud (resultados de exploraciones, diagnósticos, tratamientos, …)?
Gracias
Buenas tardes Jose,
Hay centros y profesionales médicos que sí envían datos de salud por teléfono pero no debería hacerse. Estos son datos especialmente protegidos y la AEPD indica que no deben utilizarse esos medios para comunicar esos datos. Gracias por leer el blog y por tu consulta
Muchas gracias por la aportación, poco a poco las empresas nos damos cuenta de la importancia que le tenemos que dar a la LOPD. Gracias por compartir tus conocimientos con nosotros
Muchas gracias a vosotros por leer el blog, me alegra saber que es útil.
Buenos días, he solicitado a la Mutua la reducción de jornada para el cuidado de un menor por enfermedad grave en virtud del RD 1148/2011.
Esto ha sido denegado por la Mutua y en la resolución enviada a la empresa (a nombre genérico de la empresa, no a nadie en particular) aparece el texto:
«No persistir la necesidad de tratamiento medico del cáncer o no ser necesario su cuidado directo, continuo y permanente del menor».
Mi consulta es: es legal que aparezca esta información en un documento que cualquiera puede leer o viola la ley de protección de datos?
Gracias y saludos
Buenos días Mónica,
La Mutua no puede enviar datos de salud sin tu consentimiento por lo que supone una infracción de la LOPD y puedes denunciarlo. Gracias por leer el blog y por tu consulta
Soy funcionario. Por convenio rural mi compañia medica me permite asistir a medicos de atencion primaria de la seguridad social en mi localiadad. El de cabecera me remite a urgencias hospitalarias de la seguridad social, con visto bueno de mi compañia. Para que el hospital facture a la compañía, y esta se haga cargo de los gastos, mi compañía me pide el informe de la atención en el hospital. Pero son datos personales medico-paciente que considero vulneran la ley.
Podrías confirmármelo. Y en qué artículo
Gracias
Buenos días, la ley permita ceder los datos médicos a las compañías de seguros siguiendo el principio de calidad (es decir, los datos debes ser los adecuados y no excesivos para la finalidad concreta) y solo para facturar el gasto sanitario.
saludos. Mi hermano y yo nacimos en la clínica privada de pamplona, en octubre del 1960 y noviembre del año 1961. pues se dedicaba a los partos.
la clínica se cerro hace varios años y ahora se han iniciado unas obras de tabicacion de ventanas de dicha clínica, por ello he pedido nuestros informes como pacientes, de mi madre y de mi hermano. lo he solicitado por el juzgado, pero me responde el juzgado que no es posible su recuperación. ¿Por qué ? ¿me ampara la ley de protección de datos aunque sean informes de 1960 y 1961? espero su respuesta y como puedo pedir dichos archivos médicos.?
¿Puedo pedir a un centro de salud privado, que borre los resultados de un análisis, de hace un año? cabe decir, que los resultados no presentan un peligro o daño, xa mi salud. Es decir, fueron buenos, pero no deseo que figuren ahí, para que otros especialistas puedan verlos.
¿ cuanto tiempo debe pasar, si es preciso un margen?
gracias…
Buenos días Silvia, los datos personales por ley deben guardarse al menos durante 5 años por si existe algún problema legal. Y en sanidad, cada Comunidad autónoma tiene sus propios plazos y normalmente son superiores a los 5 años.
Buenas tardes Ana,
La mutua laboral me ha estado tratando mediante rehabilitación sobre una caída del trabajo y también me realizaron varias pruebas de diagnóstico tales como resonancias, ecografías y un electromiograma. Dado que al final ellos se desentendieron del problema y tuve que recurrir a la seguridad social, puedo exigirles que borren todos los datos relativos a ese incidente así como las pruebas que realizaron. Muchas gracias por tu magnífico blog
Buenos días Jose Ramón, puedes solicitar a la mutua que no trate esos datos pero no que los borre ya que los datos deben conservarse un mínimo de cinco años por si son necesarios en casos de reclamaciones legales. Esos datos tendrán que conservarlos cifrados o anonimizados.
Buenas tardes, Puede un subinspector sanitario entrar en mi historia clínica sin yo estar de alta laboral y/o de baja médica ?
Hace unos años diagnosticaron un tumor a mi marido y el subinspector médico entró en muchas ocasiones a mi historia clínica sin yo estar de baja laboral. Tuve que solicitar los accesos ilegitimados via judicial, por esto tengo la lista de todos los profesionales sanitarios o no que han accedido a mi historia clínica y si tomaba algún tipo de medicación.
Es legal ?
Buenas tardes Antonia, en principio ese subinspector médico no tendría ningún motivo para acceder a su historial médico por lo que no sería legal.
Muchas gracias Ana por su estupendo blog y por su respuesta.
Lo más serio y triste es que la persona que ha entrado a mi historia clínica, además de ser subinspectora de sanidad es prima directa mía y entró 61 veces, la que más dolió, el día de mi aniversario justo un día después de morir mi marido.
Ni se dignó a llamarme nunca o visitarme y vivimos en el mismo pueblo, muy pequeño ( unos 3.500 hab. )
Tengo indicios de que ha comentado datos, ciertos o no ya que por suerte tengo muy buena salud y nada que esconder pero el daño que puede haberme hecho es incalculable.
Hola buenas tardes, mi consulta es sencilla porque me causa extrañeza a la vez…..
Mi padre fue ingresado en Cuidados Paliativos hace cosa de 50 dias mas o menos, está incapacitado totalmente de sus funciones, y mi madre, que está pasando todas las tardes con él desde que ha ingresado, una enfermera se niega a darle la informacion por telefono de como está, en caso de que no pueda ir, logicamente pregunta…. Siendo la mujer y estando mi padre incapacitado totalmente de sus funciones… no tiene derecho a recibir la informacion de simplemente, como está? muchas gracias de antemano y Felices Fiestas
Buenos días Jose Antonio, por supuesto que pueden facilitar la información médica a los familiares directos cuando el paciente está incapacitado. Si no lo hacen, podría denunciarse ante la AEPD.
muchas gracias por ser tan clara, pediré hablar con el jefe de planta para que «preparen» mejor a sus trabajadores
Hola
Los centros de reconocimiento: permisos de conducir, armas, etc, están sujetos a la misma normativa? Se consideran historias clínicas aunque no haya un tratamiento médico en los centros de conductores etc?
Gracias
Buenos días Javier, estos centros de reconocimiento manejan datos de salud por lo que deben cumplir los mismos requisitos exigidos a cualquier clínica.
Ayer solicit parte de lesiones por una agresion contra mi persona y en dicho informe aparecen mis antecedentes medicos y psiquiatricos.Puedo solucitar respeto y confidencialidad?
Buenos días Mónica, en el parte de lesiones no deben aparecer otros datos médicos por lo que puedes denunciar ante la AEPD. Te dejo el modelo de denuncia: https://ayudaleyprotecciondatos.es/modelo-denuncia-ante-aepd/