Datos de salud


Los datos personales relativos a pacientes de un centro sanitario son catalogados por la normativa de protección de datos como datos sensibles especialmente protegidos, ya que son datos de salud (art. 9 RGPD). 

Este tratamiento de datos tiene muchas cuestiones a resolver como, por ejemplo, si se tiene que solicitar el consentimiento para que traten nuestros datos, si nos tienen que informar de los fines para los que se usarán estos o informarnos de quién o quiénes pueden acceder a la historia clínica, entre otras. Vamos a dar respuesta a estas y otras cuestiones, así que, empezamos.

¿Qué son los datos de salud?  

Son una de las categorías especiales de datos que recoge el Reglamento 2016/679 de 27 de abril de 2016 relativo a la protección de datos personales de las personas físicas (RGPD), tanto en el artículo 9 como en el Considerando 35 del RGPD, que recoge como datos relativos a la salud

  • todos los datos relativos al estado de salud: el estado de salud física o mental pasado, presente o futuro del paciente;
  • la información sobre la persona física recogida en su inscripción efectos de asistencia sanitaria;
  • todo número, símbolo o dato asignado a una persona física que laidentifique de manera unívoca a efectos sanitarios;
  • la información obtenida de pruebas exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos muestras biológicas;
  • cualquier información relativa, por ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estadofisiológico o biomédico del interesado.

Toda la información anterior será dato de salud independientemente de la fuente de la que provenga (un médico o profesional sanitario, un hospital, un dispositivo médico o una prueba diagnóstica).

Por tanto, los datos de salud son de dos tipos: los identificativos, es decir, nombre y apellidos, dirección, etc. y los del estado de salud, como pruebas diagnósticas o cirugías, entre otros. 

¿Qué es la historia clínica?

La historia clínica es el conjunto de documentos relativos a todos los procesos de asistencia sanitaria de cada paciente. La finalidad de la historia clínica es facilitar la asistencia sanitaria, dejando todos aquellos datos que permitan a los médicos el conocimiento veraz y actualizado del estado de salud del paciente.

¿Puede acceder cualquiera a la historia clínica?

Cuando un profesional sanitario accede a una historia clínica debe hacerlo porque es necesario para realizar su trabajo. Los responsables y encargados del tratamiento tomarán las medidas necesarias para garantizar que el que acceda y trate los datos, sólo siga sus instrucciones. Además, hay que señalar que el profesional sanitario que accede ilícitamente a datos de salud puede incurrir en un delito de descubrimiento y revelación de secretos, previsto y penado en el Código Penal.

El decálogo de protección de datos para el personal sanitario y administrativo recoge los puntos que el personal debe tener en cuenta para el tratamiento de los datos personales de los pacientes, como, por ejemplo, cerrar la sesión del ordenador al salir del despacho, no enviar datos de salud por redes públicas o cifrando los datos en caso de hacerlo o, no dejar las historias clínicas a la vista sin supervisión.

Las personas que traten los datos deben ser profesionales sujetos a la obligación de secreto profesional o que estén bajo su responsabilidad.

¿Se necesita el consentimiento para el tratamiento de los datos de salud?

Las bases jurídicas por las que se regirá el tratamiento de los datos de salud son las siguientes:

  • Para la recogida y utilización de datos personales y de salud, si se van a utilizar para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social o, gestión de los sistemas y servicios de asistencia sanitaria y social, se amparará en el art. 6.1.b) (ejecución de un contrato) si el tratamiento es realizado por entidades aseguradoras de salud privadas y el art. 6.1.c) (obligación legal) para la Sanidad Pública. Cuando el tratamiento se efectúa por razones de interés público, en el ámbito de la salud pública (por ejemplo, para la protección frente a amenazas transfronterizas graves para la salud o garantizar la calidad y seguridad de medicamentos/productos sanitarios), se amparará en el 6.1.e del RGPD (cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos).
  • Cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física, si estos no están capacitados (física o legalmente) para dar su consentimiento, en este caso la base legal será el 6.1.d RGPD (protección de intereses vitales del interesado u otra persona física).

Para el caso que el médico, fuera de estos casos, quiera utilizar los datos para otra finalidad (por ejemplo, el envío de publicidad) sí que será necesario el consentimiento del paciente (6.1.a) RGPD).

¿Cómo se debe informar al paciente?

Al paciente se le debe informar de lo siguiente:

  • la identidad del responsable del tratamiento;
  • los datos del Delegado de Protección de Datos en el caso que sea obligatorio;
  • las finalidades del tratamiento, como por ejemplo, asistencia sanitaria, investigación, videovigilancia, etc. Si la finalidad posteriormente se cambia, el responsable deberá informar al paciente con anterioridad al nuevo tratamiento;
  • la base jurídica en la que se ampara el tratamiento (consentimiento, intereses vitales, contrato, etc.);
  • los destinatarios de los datos. Por ejemplo, el caso de un médico de mutua privada que puede enviar los datos del paciente a la aseguradora para el cobro de la visita o el caso de la revisión médica por parte de la mutua de previsión, que enviará al empleador si el trabajador es apto o no apto para el ejercicio de sus funciones;
  • informar de si la comunicación de datos personales es un requisito legal o contractual y, si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;
  • si hay transferencias internacionales o no;
  • el plazo de conservación de los datos;
  • los derechos que el paciente puede ejercitar (acceso, rectificación, supresión, limitación de su tratamiento, oposición o portabilidad). Asimismo, se comunicará el derecho a retirar el consentimiento sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada y el derecho a reclamar ante la AEPD;
  • si hubiera decisiones automatizadas tomadas mediante procesos informáticos sin intervención humana, incluida la elaboración de perfiles, se deberá informar al paciente e informarle de la lógica aplicada y, que se le dé oportunidad de expresar su punto de vista y de impugnar la decisión. 

¿Qué derechos puede ejercitar el paciente?

El paciente tiene derecho a:

  • acceder a su historia clínica, pedir una copia y solicitar la información. Hay particularidades del derecho de acceso expuestas en la Ley de Autonomía del Paciente que son:
    • que el acceso del paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente (art. 18.3 de la Ley de Autonomía del paciente);
    • que los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite (art. 18.4 de la Ley de Autonomía del paciente).
  • rectificar datos inexactos o incompletos. Si la rectificación es de datos sanitarios será el profesional el que determine si debe rectificarse;
  • el derecho de supresión de datos de la historia clínica está muy limitado. Sólo el profesional sanitario puede determinar si se puede suprimir el dato de salud.

¿Quién puede acceder a la historia clínica de menores? 

Los padres con patria potestad de hijos menores de entre 14 a 18 años podrán acceder a la historia clínica ya que el acceso a la información sanitaria es fundamental para velar por los menores. Está limitado el derecho a las personas que ostentan la patria potestad, no a otros familiares. 

Con relación a los datos de los trabajadores: 

Cuando un trabajador acude a una revisión de PRL, ¿se puede informar al empleador acerca de los datos de su salud?

No, el empleador solamente deberá saber la información relativa a si es APTO o NO APTO para ejercer su trabajo o necesita alguna adaptación, nunca del resultado de las pruebas médicas efectuadas.

¿Qué información contendrán los partes de baja?

El médico que realice el parte de baja emitirá dos copias del mismo, una para el trabajador y otra para el empresario; el parte de baja médico recogerá los datos personales del trabajador, la fecha de la baja, la contingencia de la que deriva la baja, el código de diagnóstico, el código nacional de ocupación del trabajador, la duración estimada del proceso y, en su caso, la aclaración de si es recaída de uno anterior, así como, en este supuesto, la fecha de la baja del proceso que lo origina. Nunca se recogerá información relacionada con la salud del trabajador.

Y, ¿si nos solicitan información vía telefónica del estado de salud?

Por motivos de seguridad, debería evitarse dar información relativa a la salud por vía telefónica. En caso de que se dé, debería ser teniendo alguna medida de identificación del solicitante, como el solicitar su nombre y apellidos, DNI, verificar que el teléfono desde el que llama la persona sea el que tiene el profesional, el número de la tarjeta sanitaria, entre otros.

¿Necesitas más información en relación a los datos de salud? Ponte en contacto con nosotros, estaremos encantados de asesorarte y ayudarte con tu caso.