Ayer fui testigo de un hecho bastante preocupante. Acudí a una consulta médica y mientras estaba siendo atendida por mi médico podía ver varios historiales de otros pacientes que estaban abiertos sobre la mesa con todos los datos visibles. Es decir, si hubiera querido, podía haber recopilado datos de salud de otras personas sin su consentimiento.
Los datos de salud, junto con datos sobre ideología, afiliación sindical, religión, creencias, origen racial, vida sexual y comisión de delitos penales o administrativos, son considerados por la LOPD como “datos especialmente protegidos” por afectar especialmente a la intimidad, los derechos fundamentales y las libertades públicas de las personas y, por tanto, se exige una mayor protección que para el resto de datos personales. Estos datos sólo podrán ser recogidos, tratados y cedidos por razones de interés público, cuando lo establezca expresamente una ley o con el consentimiento previo y manifiesto del interesado.
- Preguntas sobre tratamiento de datos de salud
- ¿Quién se considera el responsable del fichero “Historia Clínica”?
- Solicitud del correo electrónico y el móvil al paciente
- Cumplimiento del derecho de información en la recogida y tratamiento de datos sanitarios
- ¿Pueden los hospitales y clínicas contratar a una empresa externa para grabar los datos en el fichero historia clínica o para destruir documentos?
- Cesión de datos de pacientes
- ¿El hospital puede ceder datos de pacientes a la Policia?
- ¿Un centro privado puede entregar los datos de los pacientes a un Inspector de Sanidad?
- ¿Un Hospital puede comunicar datos de pacientes a las Mutuas de Accidentes de Trabajo? ¿Y a las empresas de seguros para las coberturas médicas?
- Fotografiar a un recién nacido el hospital para entregarles la foto a los padres
- Obtener datos de menores para hacer un estudio sobre el consumo de tabaco sin el consentimiento de los padres
- Facilitar datos de salud de un paciente y de sus hijos a la Comisión de Tutela del Menor
- ¿Deben los hospitales y clínicas cumplir con los requisitos de la LOPD en caso de instalación de cámaras de videovigilancia?
- Otras cuestiones importantes sobre la Protección de Datos sanitarios
Preguntas sobre tratamiento de datos de salud
Vamos a responder a las dudas más habituales que nos surgen en relación a la protección de nuestros datos sanitarios.
¿Quién se considera el responsable del fichero “Historia Clínica”?
Se considera responsable de ese fichero al Hospital, Clínica o Profesional de la salud que tiene su consulta privada. Con carácter previo a la recogida de los datos personales se debe crear el fichero e inscribirlo. Si tenemos datos informatizados y datos en papel no necesitamos crear dos ficheros, basta con uno, considerado como fichero mixto y al que se aplicarán las medidas de seguridad correspondientes a cada una de las partes.
Solicitud del correo electrónico y el móvil al paciente
Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.
El uso posterior de los datos de salud sólo puede hacerse para fines históricos, estadísticos o científicos. Los datos personales recogidos no pueden usarse para ofrecer productos para curar una enfermedad o para cursos privados ya que esto se considera una infracción de la LOPD por ser opuesto a esa finalidad de asistencia sanitaria.
Cumplimiento del derecho de información en la recogida y tratamiento de datos sanitarios
En el formulario de admisión se debe informar al paciente sobre la recogida de sus datos, salvo en casos de urgencia, en los que esta información puede facilitarse posteriormente.
El texto que se utiliza normalmente para la información es:
Los datos personales recogidos serán incorporados y tratados en el fichero (indicar nombre), cuya finalidad es (describirla) y podrán ser cedidos a (indicar), además de otras cesiones previstas en la Ley. El órgano responsable del fichero es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es (indicarla).
Para tratar estos datos necesitamos igualmente el consentimiento del paciente salvo el caso establecido en la LOPD en que por razones de interés general, así lo establezca una Ley.
¿Pueden los hospitales y clínicas contratar a una empresa externa para grabar los datos en el fichero historia clínica o para destruir documentos?
Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.
Multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes. PS/00698/2010
Cesión de datos de pacientes
¿El hospital puede ceder datos de pacientes a la Policia?
Esos datos pueden cederse sin necesidad de consentimiento siempre que la solicitud sea motivada con el fundamento de la prevención de un peligro real, castigo de infracciones penales o para una investigación concreta.
¿Un centro privado puede entregar los datos de los pacientes a un Inspector de Sanidad?
La respuesta es sí, pero esos datos facilitados deben adaptarse al principio de calidad, o lo que es lo mismo, deben ser adecuados, pertinentes y no excesivos en relación a la finalidad concreta.
¿Un Hospital puede comunicar datos de pacientes a las Mutuas de Accidentes de Trabajo? ¿Y a las empresas de seguros para las coberturas médicas?
En el caso de las Mutuas existe autorización legal para hacerlo pero únicamente para realizar las finalidades encomendadas.
A las compañías de seguros pueden comunicarse de acuerdo al principio de calidad y sólo para la facturación del gasto sanitario.
Cesión de datos de un paciente a un centro privado para efectuar una prueba
Esta comunicación puede hacerse, pero siempre informando al paciente. Así, la AEPD ha sancionado por comunicar datos de pacientes ha centros sanitarios que han cedido datos de sus pacientes a otros centros sin protegerlos mediante cifrado o sin comunicárselo debidamente a los pacientes.
¿Pueden notificarse datos personales de heridos y el centro de hospitalización a la Comisión de Investigación de Accidentes Aéreos?
Según la Ley de Seguridad Aérea, puede hacerse sólamente para las funciones de investigación.
¿El Hospital podría ceder los datos de familiares de una persona fallecida a una Funeraria?
Estos datos no pueden cederse excepto cuando exista consentimiento previo de los familiares.
Fotografiar a un recién nacido el hospital para entregarles la foto a los padres
En este caso estamos ante un dato de carácter personal que es la imagen del bebé y, por tanto, se exige el consentimiento de los padres mediante la firma del correspondiente documento. Si la clínica va a guardar esa foto, debe crear el fichero específico para ello.
Obtener datos de menores para hacer un estudio sobre el consumo de tabaco sin el consentimiento de los padres
La Ley de Protección de Datos excluye la necesidad de obtener el consentimiento para el tratamiento de datos personales cuando se realice por las Administraciones Públicas o si lo establece una ley. En este caso existe una ley sobre estudios epidemiológicos y prevención de enfermedades que permite recabar esos datos sin el consentimiento.
Facilitar datos de salud de un paciente y de sus hijos a la Comisión de Tutela del Menor
Esto puede hacerse siempre que esté habilitado por una ley. Existe una ley que regula los derechos de la infancia y la adolescencia que permite realizar esta comunicación para el conocimiento y valoración de la situación sociofamiliar del menor.
¿Deben los hospitales y clínicas cumplir con los requisitos de la LOPD en caso de instalación de cámaras de videovigilancia?
Por supuesto, deben cumplir los requisitos de inscripción del fichero de videovigilancia, cumplir el principio de proporcionalidad y de información mediante un cartel distintivo de la existencia de esas cámaras.
Otras cuestiones importantes sobre la Protección de Datos sanitarios
Aparte de los casos tratados existen otras cuestiones de especial interés en materia de Protección de Datos que afectan a datos de salud.
Debemos tener en cuenta que sólo los profesionales sanitarios o quienes les representen están facultados para recabar estos datos de salud.
Cuando un paciente facilita sus datos a un profesional sanitario para que éste elabore su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre el uso que se va a dar a esos datos. El paciente debe ser informado de modo claro, conciso e inequívoco que sus datos van a ser almacenados en un fichero, de la finalidad para la que se recogen y de los destinatarios de los mismos.
Así mismo, el paciente puede ejercer los derechos de acceso, rectificación, cancelación y oposición, y para poder hacerlo deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.
Ficheros que contienen datos de pacientes con VIH
Actualmente existe un fichero nacional, que depende del Ministerio de Sanidad en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada, por lo que los médicos han de advertir de que tienen un paciente enfermo de SIDA, esta información se remite a las delegaciones provinciales, que la trasladan a las autoridades autonómicas, que a su vez realizan las actualizaciones del fichero y lo envían al Ministerio de Sanidad.
Los médicos tienen obligación de avisar al paciente de que existe este fichero, que incluye su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.
El propósito de creación de este fichero es el interés general, para llevar un control de esta enfermedad.
Ficheros con datos sobre donaciones
Existe un fichero de donaciones, en el que se almacenan el nombre, apellidos, dirección y resultados de los análisis del donante. La finalidad de hacer este registro es la de terner acceso a los resultados y poder comunicar al paciente la siguiente cita.
El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requerimientos técnicos y requisitos mínimos de la hemodonación y bancos de sangre, regula en su artículo 29 el control de estos datos.
Los datos se guardarán durante un plazo no superior a 5 años, sin embargo, si se estima que hay posibilidad de contagio de enfermedades infecciosas se mantendrán indefinidamente.
Los datos genéticos y biométricos
¿Qué son y para qué se utilizan los datos genéticos?
Los datos recopilados de análisis genéticos, a personas determinadas, permiten prever, con un cierto grado de fiabilidad, la salud genética de esas personas, posibilitando la prevención de enfermedades físicas o mentales que puedan aparecer en el futuro.
Junto a esta ventaja incuestionable, la información que se consigue con estas pruebas conlleva cuatro características básicas, que pueden poner en cuestión los beneficios de su conocimiento:
- la íntima relación entre los datos genéticos y la persona a la que hacen referencia (huella genética),
- la permanencia inalterable de dicha información a lo largo de toda la vida de la persona,
- su correspondencia con la disposición genética de terceras personas (familiares), y
- su efectividad para determinar la propensión a contraer enfermedades concretas por el sujeto o por su descendencia.
El conocimiento y publicación no autorizada de los resultados de los exámenes genéticos pueden originar, en virtud de las características anteriores, a impedimentos de discriminación social, laboral, etc. También puede originar graves rivalidades familiares, cuando la divulgación de esos datos choque con aspectos de la intimidad que otros integrantes de la familia pretenden que se mantenga en secreto, lo que debe tenerse muy en cuenta para no vulnerar derechos fundamentales que gozan de una especial protección jurídica.
Estas singularidades obligan a tener un especial cuidado con la confidencialidad de este tipo específico de datos. Se debe garantizar que, al igual que para brindarse a cualquier exploración genética se requiere la obtención previa del consentimiento libre y totalmente informado, para poder acceder a estos datos se exigirá reglamentariamente una idéntica autorización explícita, y por escrito, de la persona afectada, con el fin de acatar minuciosamente el deber de secreto que conlleva la recogida de este tipo de datos.
En dicho escrito deberá indicarse, en forma inequívoca, tanto la persona o personas autorizadas para acceder a los datos como la finalidad para la que van a ser utilizados. Se entenderá como acto ilícito y opuesto al secreto profesional, cualquier otra cesión, así como la utilización de dicha información para un fin distinto al específicamente otorgado.
¿Qué son los datos biométricos?
Los datos biométricos se definen como aquellos rasgos físicos, biológicos o de comportamiento de un individuo que lo identifican como único del resto de la población. Los sistemas informáticos en los que se valora algún dato biométrico, como parte de la tarea de identificación y/o autentificación de un sujeto, se conocen como sistemas de seguridad biométrica o simplemente sistemas biométricos.
Algunos ejemplos de este tipo de datos son:
- Huellas dactilares
- Geometría de la mano
- Análisis del iris y de retina
- Venas del reverso de la mano
- Facciones
- Patrón de voz
- Firma manuscrita
- Dinámica de tecleo
- Cadencia del paso al caminar
- Análisis gestual
Por definición y por su propia naturaleza, los datos biométricos son datos personales, sin embargo, la interrogante que surge es la siguiente:
¿Cuál es la aplicación de las leyes de protección de datos personales con respecto a los datos biométricos?
En nuestro país, la Agencia Española de Protección de Datos (AEPD) ha tratado los datos biométricos en varios de sus dictámenes y los delimita como “(…) todos aquellos aspectos físicos que, a través un análisis técnico, facultan para diferenciar las particularidades que confluyen respecto de dichos aspectos y que, debido a que es imposible la coincidencia de dichos rasgos en dos individuos, una vez tratados, ayudan a identificar al individuo en cuestión. Así, se utilizan para tales fines las huellas digitales, el iris del ojo, la voz, etc.”
Con la normativa existente en la actualidad, cualquier método de creación de firma electrónica que reúna datos biométricos, deberá tener en cuenta especialmente lo siguiente:
- Obtener el consentimiento indiscutible del firmante para el tratamiento de los datos, con carácter previo a su recopilación.
- Implementar medidas de seguridad de nivel básico sobre estos datos biométricos recogidos.
- Cumplir con el resto de obligaciones previstas en la LOPD: inscribir ficheros, firmar contratos con proveedores de servicio, etc.
El nuevo Reglamento europeo de Protección de Datos establece una regulación expresa de los datos biométricos, y con carácter particular dispone que cualquier sistema que tenga previsto recoger esos datos deberá, previamente a su uso real, realizar una Evaluación de Impacto en la Protección de Datos; en otras palabras, deberá efectuarse un estudio previo a la implementación del sistema en el que se evalúen los peligros para la privacidad sobre el mismo, así como las conclusiones y normas aplicadas al sistema, una vez analizados los riesgos.
Puede un hospital dar información a familiares del paciente? Gracias
Buenas tardes Montse,
El Hospital puede dar información del paciente a los familiares con el consentimiento de aquel, salvo que no esté en condiciones de dar su consentimiento, en cuyo cayo se facilitará la información a los familiares directos que lo acrediten. Muchas gracias por leer nuestro blog y por tu consulta
En un hospital privado me he realizado una resonancia magnética con mi seguro privado. Y la mutua de accidente (sufrí un accidente de trabajo.,Y mi mutua solo me manda reposo). Por lo que me realice la prueba con mi seguro privado. Reclamo los resultados el hospital y este se los envío? ?que debo hacer? Que pasa con mi protección de datos yo no autorice que le pasarán los resultados a la mutua. Gracias.
Buenas tardes Yurena,
Los Hospitales pueden pasar datos de los pacientes a las Mutuas de Accidentes de trabajo ya que existe habilitación legal para hacerlo pero solo para cumplir las finalidades encomendadas. Gracias por leer el blog y por tu consulta
Mi pregunta es más por curiosidad, ya que se me ocurrió hace unos días.
La semana pasada operaron a mi esposa en un hospital privado.
Como la cirugía iba a ser larga me ofrecieron dejar mi número de teléfono para no tener que estar en la sala de espera toda la mañana, y luego me mandaron un mensaje al finalizar la operación avisándome de que mi mujer ya estaba en la habitación.
No tuve que firmar nada ni me informaron de nada relacionado con protección de datos, simplemente me ofrecieron avisarme, me pidieron el número y lo anotaron en un papelito.
Mi duda es ¿tendría cabida aquí la LOPD?, es decir, ¿por el hecho de pedirme y anotar mi número de teléfono tendría que haber firmado algo, o como no di mi nombre ni ningún dato más no haría falta?
Muchas gracias!
Buenas tardes Roberto,
En este caso que me comenta, el número de teléfono por sí solo no se considera un dato de carácter personal. Según la AEPD, desde el punto de vista de la protección de datos personales, el número de teléfono constituirá un dato de carácter personal cuanto resulte adscrito al concreto titular del mismo, o se asocie a datos identificativos adicionales como pueden ser la dirección y esta se almacene con el número llamante. Gracias por leer el blog y por su consulta
Muchas gracias por su aclaración Ana, y enhorabuena por su blog.
Han publicado en una revista médica mi historia clínica, sin mi consentimiento, con mi descripción, y patología física y sicológica, puedo denunciar ?
Buenas tardes Luisa,
El caso que me comenta puede denunciarlo ante la AEPD ya que los datos de salud no pueden facilitarse ni mucho menos publicarse sin el consentimiento expreso del afectado. Gracias por leer el blog y por su consulta
Buenas tardes,
Estoy montando una empresa y a los clientes se les va a hacer un test de bienvenida tipo suele usted hacer la compra… una de las preguntas consiste en elegir que enfermedades tienen tipo diabetes, hipertensión… Si en la base de datos en vez de aparecer la enfermedad pusiera tipo1, tipo 2… según las enfermedades que elija el usuario me valdría con el nivel básico o tendría que poner el nivel alto? Un saludo
Buenas tardes David,
Para que esos datos no se consideren de nivel alto no debe poder relacionarse la enfermedad directamente con el nombre y apellidos o dni de una persona. Gracias por leer el blog y por tu consulta
Hola,
Entonces si los datos los recojo en el tipo test, ahí si aparecería la enfermedad, pero los guardo en la base de datos de tal forma que no aparezca esa enfermedad podría ponerlo como nivel bajo no? Gracias por la respuesta
Hola, que un profesional sanitario revele que he sido paciente suyo ¿vulnera mi derecho a la intimidad?
Buenos días mabelza,
Los profesionales sanitarios están obligados a guardar secreto sobre los datos de sus pacientes por lo que no pueden revelar estos datos sin consentimiento expreso del paciente. Gracias por leer el blog y por tu consulta
En la empresa hay Una mutua de Trabajo que en el ejercicio de prevención de riesgos laborales encomendado hace las revisiones médicas, la empresa como tal no guarda registro ni datos, ¿La mutua debe recoger el consentimiento informado tácito para tratar esas revisiones voluntarias de los trabajadores? ¿Debe informar a la Empresa del fichero declarado de estos datos?
Buenos días Abigail,
La Mutua debe firmar con la empresa el contrato de acceso a datos por terceros para garantizar la confidencialidad de esos datos personales a los que accede. No necesita el consentimiento de los trabajadores. Gracias por leer el blog y por tu consulta
Buenos días:
Soy psicopedagoga y recabo, respecto de mis clientes menores de edad, determinados datos incluso de salud; los padres firman el consentimiento para el tratamiento de los datos.
Tengo dos dudas:
1.- Cuando derivo al menor a otros profesionales (por ejemplo, un optometrista, o un logopeda), les envío información del menor.
2.- En ocasiones los padres me solicitan que envíe la infromación y resultados de pruebas de su hijos al tutor del centro escolar.
Entiendo que son comunicaciones de datos en ambos casos, tanto si hablamos de datos de salud como de los meramente personales.
¿Que precauciones debo tomar? ¿es necesario el consentimiento de los padres? ¿podría recabarlo con alguna clausula genérica en la primera entrevista cuando friman el consentimiento para el tratamiento de los datos?, ¿el consentimiento debería ser de ambos padres o basta con el de uno de ellos?
Muchas gracias.
Buenas tardes,
Mi pregunta es ,una mutua puede dar datos de mi enfermedad o patología a la empresa sin mi consentimiento al no estar de baja laboral y sino los puede dar la.mutua tendría alguna responsabilidad y me tendría que dar algún tipo de indemnización.
Buenos días Joaquín,
La mutua en ningún caso puede facilitar datos de salud a la empresa, esto es denunciable ante la AEPD. Para solicitar indemnización debes acudir a los tribunales pero te aconsejo que lo consultes con un abogado. Gracias por leer el blog y por tu consulta
Buenos días:
no acabo de entender el alcance sobre la utilización del móvil y la asistencia sanitaria (Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.).
¿Esto quiere decir que en un medio poco seguro como es el teléfono se pueden facilitar datos de salud (resultados de exploraciones, diagnósticos, tratamientos, …)?
Gracias
Buenas tardes Jose,
Hay centros y profesionales médicos que sí envían datos de salud por teléfono pero no debería hacerse. Estos son datos especialmente protegidos y la AEPD indica que no deben utilizarse esos medios para comunicar esos datos. Gracias por leer el blog y por tu consulta
Muchas gracias por la aportación, poco a poco las empresas nos damos cuenta de la importancia que le tenemos que dar a la LOPD. Gracias por compartir tus conocimientos con nosotros
Muchas gracias a vosotros por leer el blog, me alegra saber que es útil.
Buenos días, he solicitado a la Mutua la reducción de jornada para el cuidado de un menor por enfermedad grave en virtud del RD 1148/2011.
Esto ha sido denegado por la Mutua y en la resolución enviada a la empresa (a nombre genérico de la empresa, no a nadie en particular) aparece el texto:
“No persistir la necesidad de tratamiento medico del cáncer o no ser necesario su cuidado directo, continuo y permanente del menor”.
Mi consulta es: es legal que aparezca esta información en un documento que cualquiera puede leer o viola la ley de protección de datos?
Gracias y saludos
Buenos días Mónica,
La Mutua no puede enviar datos de salud sin tu consentimiento por lo que supone una infracción de la LOPD y puedes denunciarlo. Gracias por leer el blog y por tu consulta