Protección de datos sanitarios

Guía Lopdgdd/Rgpd en Sanidad 2021

Los datos relativos a la salud como la historia clínica están considerados como información sensible, por lo que están especialmente protegidos. Por ello, los hospitales, ambulatorios, clínicas o centros médicos están obligados a cumplir ciertas exigencias especiales en cuanto al tratamiento de la información médica de sus pacientes. En este artículo profundizamos sobre la protección de datos sanitarios para el cumplimiento del RGPD y la LOPDGDD.

Aspectos generales de la historia clínica

En el momento en que una persona acude por primera vez a un hospital o centro de atención sanitaria para tratar cualquier enfermedad o problema de salud, se crea la llamada historia clínica.

La historia clínica es un documento médico-legal que surge del contacto entre paciente y médico y que recoge toda la información relativa a la salud o tratamientos del paciente, con el objetivo de que éste pueda recibir una atención personalizada y adaptada a su estado de salud.

La historia clínica incluye una gran cantidad de información relacionada con el paciente, entre la que se encuentra:

  • Registro de ingresos
  • Hoja clínico-estadística
  • Informes de urgencia
  • Exploraciones físicas
  • Exploraciones complementarias
  • Órdenes médicas
  • Interconsultas
  • Informes de anestesias
  • Informes de quirófano
  • Informes de evolución del parto
  • Tratamientos
  • Evolución del estado del paciente
  • Informes sobre anatomía patológica
  • Cuidados de enfermería
  • Tratamientos terapéuticos
  • Antecedentes familiares
  • Registros de alta
  • Etc.

El acceso a la historia clínica del paciente está exclusivamente limitado al personal médico encargado del tratamiento del paciente. Por tanto, ninguna otra persona, aunque se trate de familiares o se actúe de buena fe, podrán acceder a ella.

Pilares fundamentales de la protección de datos para sanitarios

Ente los principales pilares de la protección de datos sanitarios está el respeto de la confidencialidad de los datos médicos, la obtención de consentimiento por parte del paciente o el tratamiento de datos de acuerdo al RGPD, la LOPDGDD y la Ley de autonomía del paciente.

Proteccion datos sanidad para sanitarios

La confidencialidad con el paciente

Los hospitales y centros médicos deben respetar la ley de confidencialidad del paciente, o mejor dicho, lo estipulado en la Ley 41/2002 de autonomía del paciente, la cual señala lo siguiente:

Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada en la Ley.

El consentimiento del paciente

La Ley de autonomía del paciente también hace referencia al consentimiento informado. Se define como el derecho que todo paciente tiene a recibir la información adecuada relativa a una actuación médica sobre su persona, para así poder decidir libremente si se somete a ella o no. Para que este consentimiento se considere otorgado, se ha de formalizar por escrito.

El objetivo es que las actuaciones médicas sobre los pacientes se rijan por los requisitos de información, comprensión y voluntariedad.

El consentimiento no será necesario en aquellos casos en los que se solicite los datos personales de los pacientes para diagnóstico médico, medicina preventiva, prestación de asistencia, o evaluación de las capacidades del trabajador.

Tampoco lo será cuando la recogida de datos se realice por razones de interés público, por ejemplo para garantizar la calidad de la asistencia sanitaria, o para la protección frente a amenazas graves para la salud pública.

El tratamiento de los datos

El centro sanitario público o privado que trate al paciente y que tenga su historia clínica ejercerá como responsable del tratamiento de los datos. Como tal, tienen la obligación de implantar las medidas técnicas y organizativas necesarias para su correcta custodia, así como evitar que la información se extravíe o caiga en manos de terceros no autorizados.

La ley de protección de datos sanitarios señala que el tratamiento debe hacerse según los siguientes principios:

  • Transparencia, licitud y lealtad.
  • Limitación de la finalidad, esto es, se recogerán con fines concretos y explícitos y no se usarán posteriormente con otras finalidades.
  • Minimización de los datos. Se limitará el uso de los datos del paciente a aquellos que sean pertinentes, adecuados y limitados a las necesidades para el cumplimiento de la finalidad.
  • Exactitud. Los datos han de ser exactos, veraces y estar actualizados.
  • Limitación del plazo de conservación al cumplimiento del fin para el que fueron recabados
  • Integridad y confidencialidad. Se protegerán los datos frente a la pérdida, destrucción, acceso no autorizado o daño accidental.

Informar al cliente sobre sus datos

Uno de los requisitos para la protección de datos médicos es brindar la adecuada información al paciente. En concreto, cualquier centro médico debe informar a sus pacientes acerca de:

  • Identidad del responsable del tratamiento o sus representantes.
  • Datos de contacto del Delegado de Protección de Datos (en caso de haberlo).
  • Finalidad y base jurídica del tratamiento.
  • Destinatarios de los datos.
  • La cesión de los datos a terceros países u organizaciones internacionales.
  • Plazo de conservación de los datos. Solo se han de guardar el tiempo necesario para garantizar la correcta asistencia de los pacientes, un mínimo de cinco años.
  • Cómo ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Derecho a revocar el consentimiento.
  • Derecho a presentar una reclamación ante la autoridad de control (Agencia Española de Protección de Datos).

¿Qué datos se recogen?

Las bases de datos sanitarias cuentan con dos tipos de datos:

  • Por un lado, datos identificativos de los pacientes, como el nombre y apellidos, DNI, dirección o número de tarjeta sanitaria.
  • Por otro, datos relativos a la salud, como diagnósticos, tratamientos, operaciones, medicamentos, alergias, antecedentes familiares, etc.

Estas dos categorías de datos conforman lo que se denomina como historia clínica.

¿Alguna característica especial para datos sanitarios?

Las menciones del RGPD en sanidad establecen que los datos médicos forman parte de las categorías especiales de datos, es decir, que son datos sensibles. Pero, ¿qué significa esto?

Datos sensibles

Los datos relativos a la salud, al igual que los referentes a la raza, orientación sexual o creencias religiosas, están considerados por el RGPD y la LOPDGDD como datos personales sensibles.

Desde la publicación del RGPD esta información es considerada como una categoría especial de datos, la de los datos especialmente protegidos.

Nadie está obligado a revelar estos datos sobre su persona, y solo se pueden tratar bajo consentimiento expreso y por escrito del afectado. Además, las entidades que traten estas categorías especiales de datos, sobre todo si lo hacen a gran escala, han de realizar una evaluación de impacto y contar con un Delegado de Protección de Datos.

¿Qué medidas hay que tomar con la LOPDGDD / RGPD?

Las principales actuaciones que debes realizarse para la protección de datos sanitarios son:

Pasos cumplir ley lopd rgpd en sanidad

Registro de actividades de tratamiento

En primer lugar es necesario que analices qué tipo de datos manejas y qué cantidad. Para cumplir con la protección de datos sanitarios en tu hospital o clínica debes responder a preguntas como:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Por eso debes realizar un registro de actividades de tratamiento y mantenerlo actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

Análisis de riesgos

En el centro sanitario debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:

  • Tipo de tratamiento:
    • ¿Dónde se almacenan los datos?
    • ¿Durante cuánto tiempo?
    • ¿En un archivo o en una base de datos?
    • ¿En qué equipos?
  • Naturaleza de los datos,
    • Identificativos
    • Bancarios
    • De salud ….
  • el número de interesados afectados;
    • 2.000
    • 6.000
    • 50.000…

Una vez realizado este análisis, es importante que apliques unas medidas de seguridad avanzadas para de impedir o bloquear los ataques informáticos actuales. Si cifras los datos, por ejemplo, no debes usar sistemas de cifrado obsoletos.

Evaluación de impacto

Para cumplir con la protección de datos en sanidad, los hospitales han de realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que que se dediquen a la elaboración de perfiles, y en base a esos perfiles tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente.
  • Entidades que traten a gran escala categorías especiales de datos, o datos personales relativos a condenas e infracciones penales.
  • Empresas que observen sistemáticamente a gran escala una zona de acceso público.

Resumiendo, una clínica u hospital debe realizar esa Evaluación de impacto ya que trata categorías especiales de datos. Es decir, maneja datos de salud de sus pacientes.

Esta evaluación de impacto NO será necesaria si el tratamiento lo realiza un solo médico u profesional de la salud, ya que se considera que no es un tratamiento a gran escala.

Contratos con terceros

¿Facilitas datos de tus pacientes a laboratorios?

¿Tienes una empresa informática que realiza el mantenimiento de los equipos en la clínica?

Entonces cedes datos a terceros.

Y esos terceros son Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una relación de esas empresas externas que te prestan algún servicio y asegurar que también cumplan la normativa de Protección de Datos.

Numerosas clínicas y hospitales recurren con regularidad al software de gestión de pacientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

Por ello, debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD.

Y qué decir tiene que hay que estar seguros de que el paciente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

Página web del hospital o centro médico

En caso de ofrecer servicios de información o asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

¿Necesitas cumplir la normativa vigente?

Solicita varios presupuestos

 

Consentimiento de pacientes

La normativa relativa a protección de datos sanitarios exige que consentimiento debe ser expreso y puede solicitarse de dos formas:

  • En la web: cuando el propio cliente/paciente pone sus datos personales en la página web, es necesario que exista siempre una casilla desmarcada por defecto donde pueda aceptar esa política de privacidad.
  • En el centro. En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:
    • Quién es el responsable del tratamiento,
    • Para qué se van a usar los datos,
    • Si se van a ceder a terceros y
    • El medio para ejercer sus derechos ARCO.

Con el RGPD los clientes serán mucho más conscientes de qué información tienen las empresas de ellos y para qué la usan. Por eso, es esencial que se les notifique cualquier cambio que vayas a realizar. Por ejemplo, enviándoles emails o publicando alguna entrada en la página web y difundiéndola posteriormente por redes sociales, para generar más confianza.

Derechos de los usuarios

Los pacientes, como titulares de los datos personales, tienen reconocidos una serie de derechos por el RGPD. Estos derechos son:

  • Acceso a los propios datos personales;
  • Rectificación si los datos son incorrectos;
  • Supresión (derecho al olvido) si los datos se manejan ilegalmente o ya no son necesarios para la finalidad para la que se recogieron;
  • Limitación del tratamiento;
  • Portabilidad de los datos;
  • Oposición a que se utilicen posteriormente con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos.
  • A que no se usen para tomar decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En tu entidad sanitaria debes establecer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben especificarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Los datos personales deben ser almacenados y administrados en un formato ordenado, para que sean fáciles de utilizar y compartir. De esta forma se facilita el cumplimiento de este derecho.

En cuanto al derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

Contratos con empleados

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Y, por supuesto, están obligados a cumplir las medidas de seguridad para garantizar la protección de los datos personales que la empresa adopte.

En una empresa de sanidad, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con pacientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y el técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento en cuanto a la protección de datos sanitarios es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción por parte de la entidad, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Y debes notificar a las autoridades ese incidente de seguridad en un plazo máximo de 72 horas, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Es importante recordar que existirán atenuantes a las sanciones si puedes demostrar a las autoridades y a los clientes que estás haciendo todo lo posible para cumplir con la ley.

Nombrar un DPD

Puede ser necesario que la empresa de sanidad, por el volumen de datos que trate, designe a un profesional con la cualificación necesaria en esta materia para supervisar el cumplimiento de la ley en los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

El nombramiento del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes. Con ello se cumple el deber de información exigido en el RGPD.

El DPO podrá ser una persona de la plantilla de la empresa o contratarse de forma externa con una empresa que ofrezca el servicio.

La ley sobre protección de datos sanitarios señala que la figura del Delegado de Protección de Datos no será necesaria en aquellas clínicas donde los profesionales sanitarios ejerzan su profesión a título individual.

Sanciones por incumplimiento en el RGPD

Las sanciones RGPD para médicos se aplican en función de diversos criterios:

  • Naturaleza, gravedad y duración de la infracción,
  • Número de interesados afectados,
  • Nivel de los daños y perjuicios que hayan sufrido,
  • Intencionalidad o negligencia en la infracción, y
  • Medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

En base a estos criterios se puede distinguir entre infracciones leves, graves o muy graves:

  • Infracciones leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € a 20.000.000

Cumplir con la ley de protección de datos en centros sanitarios es fundamental para vitar este tipo de sanciones.

Ejemplos

Hay diversos ejemplos de sanciones por no cumplir la protección de datos en hospitales.

Un ejemplo de ello es un caso ocurrido en 2014, cuando un médico de un hospital privado de Madrid fue sancionado con 5.000 euros por la AEPD por extraviar las imágenes de la operación a un paciente.

También está el ejemplo de la multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes.

Hay que tener en cuenta que desde la entrada en vigor del RGPD las exigencias son más estrictas y las sanciones han aumentado y se han recrudecido.

Modelos y plantillas

Aquí te dejo todos los documentos que necesitarás para adaptar tu centro sanitario a la normativa de Protección de Datos.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.