Protección de datos sanitarios

Guía Lopdgdd/Rgpd en Sanidad 2021

Los datos relativos a la salud como la historia clínica están considerados como información sensible, por lo que están especialmente protegidos. Por ello, los hospitales, ambulatorios, clínicas o centros médicos están obligados a cumplir ciertas exigencias especiales en cuanto al tratamiento de la información médica de sus pacientes. En este artículo profundizamos sobre la protección de datos sanitarios para el cumplimiento del RGPD y la LOPDGDD.

Aspectos generales de la historia clínica

En el momento en que una persona acude por primera vez a un hospital o centro de atención sanitaria para tratar cualquier enfermedad o problema de salud, se crea la llamada historia clínica.

La historia clínica es un documento médico-legal que surge del contacto entre paciente y médico y que recoge toda la información relativa a la salud o tratamientos del paciente, con el objetivo de que éste pueda recibir una atención personalizada y adaptada a su estado de salud.

La historia clínica incluye una gran cantidad de información relacionada con el paciente, entre la que se encuentra:

  • Registro de ingresos
  • Hoja clínico-estadística
  • Informes de urgencia
  • Exploraciones físicas
  • Exploraciones complementarias
  • Órdenes médicas
  • Interconsultas
  • Informes de anestesias
  • Informes de quirófano
  • Informes de evolución del parto
  • Tratamientos
  • Evolución del estado del paciente
  • Informes sobre anatomía patológica
  • Cuidados de enfermería
  • Tratamientos terapéuticos
  • Antecedentes familiares
  • Registros de alta
  • Etc.

El acceso a la historia clínica del paciente está exclusivamente limitado al personal médico encargado del tratamiento del paciente. Por tanto, ninguna otra persona, aunque se trate de familiares o se actúe de buena fe, podrán acceder a ella.

Pilares fundamentales de la protección de datos para sanitarios

Ente los principales pilares de la protección de datos en sanidad está el respeto de la confidencialidad de los datos médicos, la obtención de consentimiento por parte del paciente o el tratamiento de datos de acuerdo al RGPD, la LOPDGDD y la Ley de autonomía del paciente.

Proteccion datos sanidad para sanitarios

La confidencialidad con el paciente

Los hospitales y centros médicos deben respetar la ley de confidencialidad del paciente, o mejor dicho, lo estipulado en la Ley 41/2002 de autonomía del paciente, la cual señala lo siguiente:

Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada en la Ley.

El consentimiento del paciente

La Ley de autonomía del paciente también hace referencia al consentimiento informado. Se define como el derecho que todo paciente tiene a recibir la información adecuada relativa a una actuación médica sobre su persona, para así poder decidir libremente si se somete a ella o no. Para que este consentimiento se considere otorgado, se ha de formalizar por escrito.

El objetivo es que las actuaciones médicas sobre los pacientes se rijan por los requisitos de información, comprensión y voluntariedad.

El consentimiento no será necesario en aquellos casos en los que se solicite los datos personales de los pacientes para diagnóstico médico, medicina preventiva, prestación de asistencia, o evaluación de las capacidades del trabajador.

Tampoco lo será cuando la recogida de datos se realice por razones de interés público, por ejemplo para garantizar la calidad de la asistencia sanitaria, o para la protección frente a amenazas graves para la salud pública.

El tratamiento de los datos

El centro sanitario público o privado que trate al paciente y que tenga su historia clínica ejercerá como responsable del tratamiento de los datos. Como tal, tienen la obligación de implantar las medidas técnicas y organizativas necesarias para su correcta custodia, así como evitar que la información se extravíe o caiga en manos de terceros no autorizados.

La ley de protección de datos sanitarios señala que el tratamiento debe hacerse según los siguientes principios:

  • Transparencia, licitud y lealtad.
  • Limitación de la finalidad, esto es, se recogerán con fines concretos y explícitos y no se usarán posteriormente con otras finalidades.
  • Minimización de los datos. Se limitará el uso de los datos del paciente a aquellos que sean pertinentes, adecuados y limitados a las necesidades para el cumplimiento de la finalidad.
  • Exactitud. Los datos han de ser exactos, veraces y estar actualizados.
  • Limitación del plazo de conservación al cumplimiento del fin para el que fueron recabados
  • Integridad y confidencialidad. Se protegerán los datos frente a la pérdida, destrucción, acceso no autorizado o daño accidental.

Informar al cliente sobre sus datos

Uno de los requisitos para la protección de datos médicos es brindar la adecuada información al paciente. En concreto, cualquier centro médico debe informar a sus pacientes acerca de:

  • Identidad del responsable del tratamiento o sus representantes.
  • Datos de contacto del Delegado de Protección de Datos (en caso de haberlo).
  • Finalidad y base jurídica del tratamiento.
  • Destinatarios de los datos.
  • La cesión de los datos a terceros países u organizaciones internacionales.
  • Plazo de conservación de los datos. Solo se han de guardar el tiempo necesario para garantizar la correcta asistencia de los pacientes, un mínimo de cinco años.
  • Cómo ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Derecho a revocar el consentimiento.
  • Derecho a presentar una reclamación ante la autoridad de control (Agencia Española de Protección de Datos).

¿Qué datos se recogen?

Las bases de datos sanitarias cuentan con dos tipos de datos:

  • Por un lado, datos identificativos de los pacientes, como el nombre y apellidos, DNI, dirección o número de tarjeta sanitaria.
  • Por otro, datos relativos a la salud, como diagnósticos, tratamientos, operaciones, medicamentos, alergias, antecedentes familiares, etc.

Estas dos categorías de datos conforman lo que se denomina como historia clínica.

¿Alguna característica especial para datos sanitarios?

Las menciones del RGPD en sanidad establecen que los datos médicos forman parte de las categorías especiales de datos, es decir, que son datos sensibles. Pero, ¿qué significa esto?

Datos sensibles

Los datos relativos a la salud, al igual que los referentes a la raza, orientación sexual o creencias religiosas, están considerados por el RGPD y la LOPDGDD como datos personales sensibles.

Desde la publicación del RGPD esta información es considerada como una categoría especial de datos, la de los datos especialmente protegidos.

Nadie está obligado a revelar estos datos sobre su persona, y solo se pueden tratar bajo consentimiento expreso y por escrito del afectado. Además, las entidades que traten estas categorías especiales de datos, sobre todo si lo hacen a gran escala, han de realizar una evaluación de impacto y contar con un Delegado de Protección de Datos.

¿Qué medidas hay que tomar con la LOPDGDD / RGPD?

Las principales actuaciones que debes realizarse para la protección de datos sanitarios son:

Pasos cumplir ley lopd rgpd en sanidad

Registro de actividades de tratamiento

En primer lugar es necesario que analices qué tipo de datos manejas y qué cantidad. Para cumplir con la protección de datos sanitarios en tu hospital o clínica debes responder a preguntas como:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Por eso debes realizar un registro de actividades de tratamiento y mantenerlo actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

Análisis de riesgos

En el centro sanitario debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:

  • Tipo de tratamiento:
    • ¿Dónde se almacenan los datos?
    • ¿Durante cuánto tiempo?
    • ¿En un archivo o en una base de datos?
    • ¿En qué equipos?
  • Naturaleza de los datos,
    • Identificativos
    • Bancarios
    • De salud ….
  • el número de interesados afectados;
    • 2.000
    • 6.000
    • 50.000…

Una vez realizado este análisis, es importante que apliques unas medidas de seguridad avanzadas para de impedir o bloquear los ataques informáticos actuales. Si cifras los datos, por ejemplo, no debes usar sistemas de cifrado obsoletos.

Evaluación de impacto

Para cumplir con la protección de datos en sanidad, los hospitales han de realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que que se dediquen a la elaboración de perfiles, y en base a esos perfiles tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente.
  • Entidades que traten a gran escala categorías especiales de datos, o datos personales relativos a condenas e infracciones penales.
  • Empresas que observen sistemáticamente a gran escala una zona de acceso público.

Resumiendo, una clínica u hospital debe realizar esa Evaluación de impacto ya que trata categorías especiales de datos. Es decir, maneja datos de salud de sus pacientes.

Esta evaluación de impacto NO será necesaria si el tratamiento lo realiza un solo médico u profesional de la salud, ya que se considera que no es un tratamiento a gran escala.

Contratos con terceros

¿Facilitas datos de tus pacientes a laboratorios?

¿Tienes una empresa informática que realiza el mantenimiento de los equipos en la clínica?

Entonces cedes datos a terceros.

Y esos terceros son Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una relación de esas empresas externas que te prestan algún servicio y asegurar que también cumplan la normativa de Protección de Datos.

Numerosas clínicas y hospitales recurren con regularidad al software de gestión de pacientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

Por ello, debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD.

Y qué decir tiene que hay que estar seguros de que el paciente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

Página web del hospital o centro médico

En caso de ofrecer servicios de información o asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

¿Necesitas cumplir la normativa vigente?

Solicita varios presupuestos

 

Consentimiento de pacientes

La normativa relativa a protección de datos sanitarios exige que consentimiento debe ser expreso y puede solicitarse de dos formas:

  • En la web: cuando el propio cliente/paciente pone sus datos personales en la página web, es necesario que exista siempre una casilla desmarcada por defecto donde pueda aceptar esa política de privacidad.
  • En el centro. En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:
    • Quién es el responsable del tratamiento,
    • Para qué se van a usar los datos,
    • Si se van a ceder a terceros y
    • El medio para ejercer sus derechos ARCO.

Con el RGPD los clientes serán mucho más conscientes de qué información tienen las empresas de ellos y para qué la usan. Por eso, es esencial que se les notifique cualquier cambio que vayas a realizar. Por ejemplo, enviándoles emails o publicando alguna entrada en la página web y difundiéndola posteriormente por redes sociales, para generar más confianza.

Derechos de los usuarios

Los pacientes, como titulares de los datos personales, tienen reconocidos una serie de derechos por el RGPD. Estos derechos son:

  • Acceso a los propios datos personales;
  • Rectificación si los datos son incorrectos;
  • Supresión (derecho al olvido) si los datos se manejan ilegalmente o ya no son necesarios para la finalidad para la que se recogieron;
  • Limitación del tratamiento;
  • Portabilidad de los datos;
  • Oposición a que se utilicen posteriormente con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos.
  • A que no se usen para tomar decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En tu entidad sanitaria debes establecer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben especificarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Los datos personales deben ser almacenados y administrados en un formato ordenado, para que sean fáciles de utilizar y compartir. De esta forma se facilita el cumplimiento de este derecho.

En cuanto al derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

Contratos con empleados

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Y, por supuesto, están obligados a cumplir las medidas de seguridad para garantizar la protección de los datos personales que la empresa adopte.

En una empresa de sanidad, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con pacientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y el técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento en cuanto a la protección de datos sanitarios es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción por parte de la entidad, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Y debes notificar a las autoridades ese incidente de seguridad en un plazo máximo de 72 horas, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Es importante recordar que existirán atenuantes a las sanciones si puedes demostrar a las autoridades y a los clientes que estás haciendo todo lo posible para cumplir con la ley.

Nombrar un DPD

Puede ser necesario que la empresa de sanidad, por el volumen de datos que trate, designe a un profesional con la cualificación necesaria en esta materia para supervisar el cumplimiento de la ley en los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

El nombramiento del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes. Con ello se cumple el deber de información exigido en el RGPD.

El DPO podrá ser una persona de la plantilla de la empresa o contratarse de forma externa con una empresa que ofrezca el servicio.

La ley sobre protección de datos sanitarios señala que la figura del Delegado de Protección de Datos no será necesaria en aquellas clínicas donde los profesionales sanitarios ejerzan su profesión a título individual.

¿Qué derechos tengo sobre los datos?

Ya hemos visto que la ley de protección de datos en sanidad otorga a los pacientes los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. Pero veamos cómo se aplican algunos de los más importantes.

Acceso a la historia clínica

Los pacientes de hospitales, centros de salud y centros sanitarios, tanto públicos como privados, tiene derecho a solicitar al responsable del tratamiento el acceso a su historia clínica. Este acceso debe otorgarse en un plazo de un mes y, si es posible, por los mismos medios por la que fue recabada.

Datos historial medico

Rectificación de la historia clínica

El paciente tiene derecho a solicitar que el responsable del tratamiento rectifique aquellos datos personales inexactos o incompletos. Para ello, ha de aportar documentación que acredite dicho error.

En cuanto a la rectificación de datos sanitarios, será el médico o profesional sanitario el que determine si se han de rectificar o no.

Supresión de datos de la historia clínica

La cuestión de la supresión de datos de la historia clínica es algo más compleja. Sobre todo cuando estos datos se usan con fines de diagnóstico médico, medicina preventiva, evaluación de las capacidades del trabajador, prestación de asistencia sanitaria, etc. También cuando estos datos se emplean para la mejora de la calidad de los servicios de asistencia sanitaria o la prevención de amenazas graves para la salud pública.

Por ello, la supresión de los datos de la historia clínica tiene un carácter excepcional, y solo podrá ser efectuada si lo determina un profesional sanitario.

Sanciones por incumplimiento en el RGPD

Las sanciones RGPD para médicos se aplican en función de diversos criterios:

  • Naturaleza, gravedad y duración de la infracción,
  • Número de interesados afectados,
  • Nivel de los daños y perjuicios que hayan sufrido,
  • Intencionalidad o negligencia en la infracción, y
  • Medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

En base a estos criterios se puede distinguir entre infracciones leves, graves o muy graves:

  • Infracciones leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € a 20.000.000

Cumplir con la ley de protección de datos en centros sanitarios es fundamental para vitar este tipo de sanciones.

Ejemplos

Hay diversos ejemplos de sanciones por no cumplir la protección de datos en hospitales.

Un ejemplo de ello es un caso ocurrido en 2014, cuando un médico de un hospital privado de Madrid fue sancionado con 5.000 euros por la AEPD por extraviar las imágenes de la operación a un paciente.

También está el ejemplo de la multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes.

Hay que tener en cuenta que desde la entrada en vigor del RGPD las exigencias son más estrictas y las sanciones han aumentado y se han recrudecido.

Modelos y plantillas

Aquí te dejo todos los documentos que necesitarás para adaptar tu centro sanitario a la normativa de Protección de Datos.

Preguntas frecuentes

Vamos a responder a las dudas más habituales planteadas en relación a la protección de los datos sanitarios.

¿Quién es el responsable del fichero en el sector de la salud?

Se considera responsable de ese fichero al Hospital, Clínica o Profesional de la salud que tiene su consulta privada. Con carácter previo a la recogida de los datos personales se debe crear el fichero e inscribirlo. Si tenemos datos informatizados y datos en papel no necesitamos crear dos ficheros, basta con uno, considerado como fichero mixto y al que se aplicarán las medidas de seguridad correspondientes a cada una de las partes.

¿Dónde encontrar especialistas en RGPD para hospitales?

Para encontrar especialistas en RGPD para hospitales hay que acudir a consultorías de protección de datos.

En Grupo Atico34 contamos con más de 12 años de experiencia ofreciendo nuestros servicios a hospitales, centros de salud y profesionales del sector sanitario.

Hay que valorar que contar con expertos en protección de datos en la red hospitalaria es fundamental ya que estas entidades tratan datos relacionados con la salud, que son categorías especiales de datos.

¿Los datos de mi historia clínica están seguros?

La protección de datos de la historia clínica es fundamental. Por ello, los hospitales y centros de salud públicos y privados, así como los profesionales que trabajan en ellos, están obligados a adoptar las medidas técnicas y organizativas pertinentes para garantizar la seguridad e integridad de los datos. Estas medidas se han de evaluar periódicamente para determinar su idoneidad, teniendo en cuenta factores como el estado de la técnica, la naturaleza y el contexto de aplicación, o los posibles riesgos para los pacientes,

¿Quién puede acceder a mi historial clínico?

El acceso al historial clínico está limitado exclusivamente al personal sanitario implicado en el tratamiento del paciente. El acceso por parte de otras personas sin consentimiento, ya sean otros médicos o familiares, está prohibido aunque se haga con buenas intenciones.

¿Se pueden ceder los datos entre diferentes entidades?

Solo en aquellos casos en los que exista legitimación para ello. Por ejemplo, si un usuario de la sanidad privada acude a consulta con la tarjeta de la aseguradora, el médico ha de facilitar a esta entidad la información necesaria para el abono de la prestación correspondiente.

¿Puedo preguntar datos de salud a mis empleados o ver su historial clínico o analíticas de la mutua?

No. El acceso del empleador a la historia clínica del paciente está prohibido.

En el caso de las mutuas, la única información que se facilitará al empleador es si el trabajador resulta APTO o NO APTO, pero no se le informará sobre los detalles de las pruebas médicas de los empleados.

¿Qué información debe de llevar la baja que le doy a la empresa?

Un parte de baja debe constar de la siguiente información:

  • Datos personales del trabajador
  • Fecha de la baja
  • Contingencia causante de la baja
  • Código de diagnóstico
  • Código de ocupación del trabajador
  • Duración estimada de la baja
  • Si se trata de una recaída y, en su caso, la fecha original de la contingencia
  • Fecha en que se realizará el siguiente reconocimiento

¿Me tienen que pedir mi consentimiento cuando acudo al médico?

No. La normativa de protección de datos sanitarios señala que el médico está legitimado para la prestación de asistencia sanitaria sin necesidad de solicitar consentimiento. Sin embargo, en caso de que no se haya informado previamente al paciente, deberá brindarle información sobre el responsable del tratamiento, finalidad, legitimación, plazo de conservación de datos, cesión de datos a terceros, ejercicio de sus derechos, etc.

¿Puedo solicitar mi historial clínico?

Sí. El centro médico ha de facilitar una copia del historial médico al paciente en un plazo de un mes (aunque este plazo se podría ampliar) y de forma totalmente gratuita. Asimismo, se puede solicitar la historia clínica de familiares fallecidos, a no ser que estos se hayan opuesto a ello en vida.

¿Puede acceder cualquier médico o sanitario a mi historial clínico?

No, solo aquellos que tienen legitimación para ello. Por ejemplo, aquellos implicados en el tratamiento del paciente, o en casos de interés público por razones de salud pública.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.