Protección de Datos por profesionales de la salud

2415

A todos nos preocupa que nuestros datos personales circulen por ahí sin saber muy bien quién tiene acceso a ellos y, si hablamos de datos de salud, aún más. Por este motivo me he puesto en contacto con Laura Rodríguez Gutiérrez, Fisioterapeuta –Nº COL Madrid 8309 y Terapeuta PNI clínica, para que me explique un poco mejor su experiencia como profesional de la salud en este tema de Protección de Datos. Esto es lo que muy amablemente Laura me ha contado.

La Ley de Protección de Datos en el ámbito sanitario

Cada uno de nosotros, en mayor o menor medida, hemos sido usuarios de algún servicio sanitario en cualquiera de sus campos de actuación; desde la sanidad pública a cualquier otro servicio o especialidad clínica en el sector privado; medicina general o especializada, nutrición, podología, fisioterapia, psicología, odontología….

Ahora bien, si preguntara cuántos de nosotros hemos sido informados sobre la Ley de Protección de Datos a través de un documento de Consentimiento Informado para su gestión, creo que nos sorprenderíamos al averiguar que muchos usuarios de los servicios sanitarios ni siquiera son conscientes de este derecho amparado por ley.

¿Qué es la Protección de Datos?

La Protección de Datos es un Derecho Fundamental desarrollado a partir del artículo 18.4 de la Constitución Española. Este derecho se refiere a la facultad de disposición y control sobre los datos personales que autoriza a las personas físicas para consentir el conocimiento y tratamiento de sus datos por terceros. De esta forma es la persona física la única facultada para disponer lo que se puede hacer con sus datos de carácter personal.

Datos de salud: protección especial

En nuestro país la legislación vigente es la Ley General de Sanidad de 25 de abril de 1986 y la Ley 41/ 2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de derechos y obligaciones en materia de información y documentación clínica. A ello debemos añadir las normativas autonómicas.

La regulación en materia de protección de datos de carácter personal se constituye por la Ley Orgánica 15/1999, de 13 de diciembre.

Esta ley orgánica nace por la necesidad de proteger y gestionar con un carácter riguroso, datos tan sensibles como los que conciernen a nuestro estado de salud física y mental, así como datos personales como domicilio, DNI e incluso en ocasiones, datos fiscales.

Obligaciones del personal sanitario

Por ello, el personal sanitario, está obligado por ley a ofrecer a todos sus pacientes un Consentimiento Informado en el que se aclara en qué consiste esta ley y cómo se gestionaran todos los datos que se manejen en su consulta, así como el derecho que tiene el usuario a darlos de baja cuando lo desee.

Entre los datos que se gestionan desde esta Ley, están como hemos indicado, los de “Carácter personal” (cualquier información que identifique o haga posible identificar a una persona física) y los “Datos de Salud”. Estos últimos son más ambiguos ya que no están definidos por ley pero si se ha llegado a un consenso enmarcando en esta categoría cualquier información sobre la salud actual y pasada, informes médicos y hábitos (alcoholismo, drogadicción, conductas sexuales, aspectos psico-patológicos) que el paciente perciba como de carácter “sensible e intimo”

Esta ley se aplica a todos los profesionales sanitarios, sea cual sea su disciplina, al igual que el secreto profesional que estaría muy vinculado a este tema. También están obligadas a su cumplimiento, instituciones, clínicas y hospitales que generen historiales clínicos.

Requisitos de la Protección de Datos de salud

Los profesionales para poder cumplir con esta Ley deben de aplicarla con unos principios determinados;

  • Principio de Calidad de datos: donde sólo se recoja aquella información necesaria y relativa a la consulta actual
  • Principio de Información y Consentimiento: por el que el paciente ha de ser informado de la existencia de esta ley y de sus derechos al respecto así de cómo se gestionara la información recogida en la consulta. Esta información ha de ser registrada en unos ficheros que a su vez han de ser dados de alta en la Agencia Española de Protección de Datos.
  • Principio de Seguridad: no todos los datos, son igual de sensibles en su recogida. Hay datos que requieren más atención que otros, como pueden ser datos de información fiscal o de carácter personal al que el paciente le de especial importancia. Para ello hay 3 niveles de gestión; alto, medio y básico.
  • Principio de confidencialidad: el profesional está obligado al secreto profesional sobre cualquier dato recogido en consulta.
  • Principio de comunicación de datos: si se requiere que la información registrada sea compartida por circunstancias muy específicas, el usuario ha de ser informado y firmar un consentimiento al respecto.

El incumplimiento de lo que hasta ahora ha sido mencionado sería sancionable.

Así bien, a partir de ahora como usuario espero que sepa un poco más sobre este derecho del que dispone por Ley y de gran importancia para gestionar información tan sensible como la que atañe a nuestra salud y datos personales. Debe exigirlo en cualquier servicio sanitario al que asista, público y/o privado.

También confío, que otros compañeros sanitarios, que realizan sus servicios y cumplen con este deber, estén de acuerdo conmigo que en la práctica diaria manejamos mucha información sensible de pacientes para los que somos unos totales desconocidos y confían en nosotros compartiendo su intimidad. Qué menos que hacerles este proceso mucho más fácil mostrándoles que todo lo que compartan con nosotros será respetado y tratado como la “Ley Ordena”.

Cesión de datos de salud

Al igual que en casi todos los sectores, en el campo de la salud también existe la subcontratación. Así, cuando un odontólogo encarga una pieza dental a un protésico, o si un médico pide a un laboratorio un análisis de uno de sus pacientes o manda a éste a hacerse una radiografía.

En estos casos habrá siempre un movimiento de datos necesarios para realizar la actuación encomendada, y según la Ley Orgánica de Protección de Datos (LOPD), habrá que determinar si se trata de datos personales y, si es así, el profesional que recibe el encargo actuará sobre esos datos como responsable del fichero o encargado del tratamiento.

La AEPD establece que el profesional que recibe el encargo de este tipo de trabajos se considera responsable del fichero en el momento en que mantenga contacto directo con el afectado, ya sea facturándole directamente o en el caso de que necesite disponer de información personal del paciente para garantizar una actuación adecuada.

En este caso, la cesión de los datos por parte del primer profesional al segundo, debe legitimarse bien con el consentimiento expreso de los afectados o en una Ley, dado que tratándose de datos de salud resulta aplicable el artículo 7.3 de la LOPD.

Acceso a datos por cuenta de terceros

Por el contrario, si el protésico o analista no tienen ningún tipo de relación con los pacientes, realizan los trabajos por encargo y las facturas emitidas no implican un vínculo personal con el paciente, en estos casos estamos ante una prestación de servicios por cuenta de terceros, es decir, un encargado del tratamiento., detallado en el artículo 3 g) de la LOPD y en el artículo 5.1 i) Reglamento de desarrollo de la LOPD señalando que:

Encargado del tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo, que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

En cualquier caso hay que añadir que en ambos casos existe un tratamiento de datos de salud, que requiere implantar medidas de seguridad de nivel alto, medidas que se deberán implantar tanto si se procede como responsable del fichero o como encargado del tratamiento.

Además si se da una relación de encargado del tratamiento, ésta deberá de precisarse por escrito haciendo constar los extremos previstos en el artículo 12 de la LOPD y los de los artículos 20 a 22 del Reglamento.

Protección de Datos por profesionales de la salud
4.7 (93.33%) 6 votos

8 Comentarios

  1. Muy buenos días de viernes,
    Parcialmente de acuerdo aunque puedo remitirte a recientes RD que regulan los conciertos sanitarios de nuestro sector y en ellos se establece todo lo contrario. Es decir, aplica el art. 12. No deja de ser otra incoherencia más ……..
    Saludos,

    • Gracias por tu comentario Edgard.
      Este post se basa en el Informe Jurídico enlazado, y nunca está de más recordar que la sección correspondiente de la web de la AEPD se encabeza con este aviso:

      Es un objetivo de la Agencia Española de Protección de Datos atender todas las cuestiones que se plantean relacionadas con el derecho a la protección de datos, y en este sentido, se emiten los informes jurídicos que se publican en esta sección de la página web.
      No obstante, debe significarse que dichos informes no tienen carácter vinculante y no prejuzgan el criterio del Director de la Agencia en el ejercicio de sus funciones, entre las que la Ley no prevé la evacuación de consultas vinculantes.

  2. Que los informes no tienen carácter vinculante, vale. Pero sus indicaciones de algo servirán, digo yo, y si no ¿para qué los publican?

  3. Estimado Jesús,

    aprovechando este artículo, me gustaría preguntarte sobre los partes de accidente que la Mutua envía al encargado de Prevención y Riesgos Laborales de una empresa. Este parte contiene el tipo de lesión (esguince de tobillo, lesión en el codo, rotura de muñeca,…). Al encargado de prevención le llega un aviso de accidente a su correo. Después éste, con sus claves de acceso se descarga el parte (que almacena durante cuatro años). Luego realiza una investigación sobre el accidente, y pasa los datos al departamento de Personal (supongo que para rellenar el formulario del sistema Delta). La conservación de este documento supondría la inscripción de un fichero en la agencia de protección de datos, pero ¿cuál sería su seguridad al tratar este dato de salud? ¿La ley de prevención o alguna otra eximiría de aplicar una seguridad alta al fichero? ¿Es legal todo este trasvase y acceso a esta información entre el personal de la empresa?

    Muchas gracias por la atención.

    Un saludo cordial.

  4. Jesús,

    gracias de nuevo, pero en ese artículo no se trata el tema del parte de accidentes (sí el de certificados de aptitud), a no ser que el primer caso tenga algo que ver con información Médicis (por el tipo de lesión especificado). De ser así, ¿sólo el personal sanitario de la empresa podría acceder a dicha información? ¿Podría pasarse a RRHH para rellenar el formulario Delta pero sin indicar el tipo de lesión? ¿Es información de nivel alto de seguridad?
    Por otro lado, personal sanitario sería un doctor, pero no la persona encargada en la empresa de la prevención, ¿verdad?

    Gracias de nuevo.

    Un saludo cordial.

    • Ángel: es que la ley trata sobre cuestiones generales, no puede ir analizando cada uno de los casos posibles, que pueden ser infinitos.
      Independientemente de certificados de aptitud, partes médicos o el papel que sea, la tesis es que cada parte sólo ha de conocer aquellos datos que sean necesarios para el desenvolvimiento de su actividad. Los servicios médicos necesitarán lógicamente toda la información, la empresa sólo la calificación de apto o no apto, y el posible tiempo de baja.
      Por tanto, en la empresa no se crea un fichero nuevo, es información incluida en el fichero de trabajadores, y su nivel sigue siendo bajo, porque aunque sean datos de salud, su finalidad no es sanitaria (de la misma forma que los datos económicos de la nómina no lo convierten en nivel medio, ni los posibles datos de afiliación sindical en nivel alto).

  5. Jesús,

    efectivamente estoy de acuerdo contigo, en que en este caso RRHH sólo debería saber que existe baja laboral, y tal vez por lesión que impide las actividades, pero no por la enfermedad o lesión en cuestión. Esto último me parece más un dato que afecta directamente a la intimidad. El caso aquí es que esta información llega al encargado de prevención, con el tipo de lesión, porque debe hacer una investigación del accidente, propia de sus labores. Pero esta información luego se deriva a RRHH, aquí veo el problema. Por otro lado, en nuestro caso sí vamos a inscribir un fichero de prevención, con los datos de los certificados de aptitud, consentimientos, citas del reconocimiento, volantes, y partes de accidente. Es por esto por lo que, conteniendo dicha información de tipo de lesión, me planteaba el nivel de seguridad del fichero. Con este dato de salud apuntaría a alto, pero por estar dicha labor amparada por la ley de prevención y riesgos, podría quedarse en baja. Aquí está mi dilema.

    Gracias de nuevo por tus rápidas respuestas.

    Un saludo cordial.

Dejar respuesta