¿Quién tiene legitimación para tratar los datos personales en la asistencia sanitaria ?

Hace 15 días hablamos de datos en el ámbito asistencial y su concepto. Hoy a fin de contestar a las consultas de otros profesionales sanitarios y no sanitarios – avanzamos un poco más.

¿Quién debe solicitar el consentimiento para el tratamiento de los datos o cómo hacerlo ; o que hacer en el caso de menores ?

El tratamiento de datos personales – incluidos los de salud – es cualquier operación que podamos realizar con los datos: recogida, utilizarlos para prestar un servicio, el acceso a los datos; su extracción, conexión o intercomunicación o cesión a un 3º, la publicación de los datos, su conservación, modificación o supresión.

¿Debe el profesional sanitario solicitar consentimiento a los pacientes para el tratamiento de sus datos personales?

Debemos diferenciar el – Consentimiento Informado para una actuación sanitaria (CI) – que se rige por la normativa básica sanitaria – Ley 41/2002 – del consentimiento para el tratamiento de los datos personales – al que le son aplicables la normativa general de protección de datos.
Únicamente hablaremos de estos últimos. El tratamiento de los datos de un paciente puede basarse en dicho consentimiento como en otras causas prevista en una ley.

1.-Por ejemplo – cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, un diagnóstico médico, la prestación de asistencia o tratamiento sanitario o social gestión de los sistemas y servicios de asistencia sanitaria o de servicios sociales, sobre la base de la legislación correspondiente o en virtud de un contrato con un profesional sanitario. Los datos deberán ser tratados por profesionales sujetos al secreto profesional o por alguien que esté bajo su responsabilidad.

Ello incluye los estudiantes en prácticas. Debemos recordar que el concepto de secreto médico – es una obligación compartida por el equipo asistencial e incluye a todos sus miembros – sean o no profesionales sanitarios.

Aquí cabrían tratamientos de datos que se realizan cuando se presta asistencia sanitaria por parte de centros o de profesionales sanitarios públicos o privados, incluidos los socio sanitarios. También abarca las actuaciones en materia de salud laboral conforme a la normativa de prevención de riesgos laborales con un acceso limitado por parte del empresario sobre la aptitud o no del trabajador.

2.- Siempre que el tratamiento de los datos sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado física o jurídicamente para dar su consentimiento. Ejemplo: un accidente o emergencia cuando haya pérdida de consciencia del interesado.

3.- Cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o que los datos se requieran judicialmente.

Por tanto, pueden tratarse datos de salud a propósito de un procedimiento judicial en el que dichos datos sean precisos (reclamación por negligencia médica o para la modificación de la capacidad de la persona), pero también para formular reclamaciones ante órganos administrativos u otros órganos no jurisdiccionales (arbitraje o mediación).

4.- Si el tratamiento de ciertos datos es necesario por razones de interés público en el ámbito de la salud pública, en los términos establecidos en la ley, como control de las emisiones, epidemias, amenazas transfronterizas etc. Recuerden el Covid – 19¡

5.- Cuando se realice con fines de investigación científica de archivo en interés público o estadísticos en los términos que se establecen en la ley.

En lo expuesto en los epígrafes anteriores pueden tratarse los datos de salud sin necesidad de consentimiento del interesado. Aunque será necesario informarle de determinados aspectos (por parte del profesional sanitario del hospital público o del servicio de salud correspondiente etc); entre otros de los siguientes: identidad y datos del contacto del responsable; datos de contacto del delegado de Protección de Datos cuando éste exista; fines del tratamiento de los datos asistencia sanitaria investigación u otros y su base legítima (prestación de asistencia sanitaria, protección intereses vitales, etc); destinatarios a quienes serán entregados los datos; plazo de conservación de los mismos; posibilidad de ejercitar los derechos reconocidos normativa de Protección de Datos o de presentar reclamación ante la Agencia de Protección de Datos que corresponda. Y sí; además, los datos no se han obtenido del propio interesado es preciso informarle de las fuentes y las categorías de datos suyos que han sido recopilados hasta el momento.

¿Cómo podemos informar al paciente de que sus datos están siendo recopilados? visualmente mediante señales o infografías, verbalmente en procesos de atención telefónica o por escrito. En todo caso es fundamental que la información sea veraz de fácil lectura y comprensión aquí les dejo una guía modelo de cláusula informativa de la AEPD.

Respecto a la información que se facilita al paciente – la Ley 41/2002 de Autonomía del Paciente incluye un capítulo sobre el respeto a la autonomía que contiene una serie de informaciones garantías y derechos que tiene el paciente desde la perspectiva sanitaria y también señala que con carácter general el tratamiento de la información de esta perspectiva sanitaria se basa en su consentimiento.

Sin embargo, en lo que se refiere al tratamiento de los datos personales del paciente puede haber legitimaciones distintas de su consentimiento para el tratamiento de sus datos e informaciones específicas sobre los mismos. Por ello, con el fin de evitar confusiones respecto a la toma de decisiones sobre los derechos de autonomía del paciente y sobre todo sus datos personales: la información relacionada con estos últimos debería facilitarse de forma diferenciada y posterior a la que se haya facilitado respecto a la toma de decisiones sobre la autonomía del paciente.

En otras actuaciones, como puede ser el envío de publicidad, o el ofrecimiento de servicios no programados ( ejemplo: revisión dental en una clínica que ya fui atendido) o similares debe buscarse una legitimación específica como puede ser el consentimiento o también el interés legítimo del profesional sanitario de la clínica siempre que se le haya informado sobre esta posibilidad, esté dentro de las expectativas razonables del paciente recibir la publicidad y garantizar que puede oponerse a su recepción en cualquier momento.

Los menores de edad y a partir de cuándo pueden prestar consentimiento ellos mismos para el tratamiento de sus datos

El tratamiento de los datos de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años (art. 7 Ley 3/2018).

El consentimiento para las actuaciones sanitarias que lo exijan debe ser informado y por escrito. Ya hemos comentado que para el tratamiento de datos personales con la finalidad de prestar asistencia sanitaria no es preciso solicitar el consentimiento del paciente, pero sí es obligatorio informarle sobre el responsable del tratamiento la posibilidad de ejercer sus derechos, las finalidades del tratamiento y todas las informaciones exigidas en el art. 13 Reglamento General de Protección de Datos. Si se facilitase esa información por escrito, es recomendable que vayan separadas la hoja de consentimiento (CI) dirigida al paciente – de la hoja de información referida al tratamiento de sus datos personales.

¿Pueden tratarse los datos con finalidades distintas a la asistencia sanitaria?

Si los datos se han recabado en el marco de asistencia sanitaria y se han incorporado a la historia clínica (HC) su finalidad principal será la de facilitar dicha asistencia sanitaria.

No obstante, la ley permite en ciertos casos el tratamiento de datos incorporados a una HC con otros fines: judiciales, epidemiológicos, de salud pública, de investigación o de docencia.
La regla general en estos casos será la separación de los datos identificativos del clínico asistenciales – en otro post trataremos este aspecto en el acceso a la HC.

El tratamiento posterior de los datos con fines de investigación científica incluida la investigación de salud podrá llevarse a cabo conforme lo establecido en la norma sectorial basado en el análisis que el propio responsable ha de realizar con relación a la compatibilidad de fines y la aplicación de las necesarias medidas y garantías para la aplicación del principio de minimización.

En particular para la utilización de datos en materia de investigación de salud debe tenerse en cuenta lo previsto en la propia Ley 3/2018 Orgánica de Protección de Datos – Disposición Adicional 17º.

^{Fuente de la información AEPD
Imagen Freepik}

Datos de salud y su uso por profesionales sanitarios

En el último Congreso de Juristas de Salud hubo una pléyade de comunicaciones en relación con la protección de datos y su uso por profesionales sanitarios (PS) – y las conclusiones a que llegamos los asistentes fue el total desconocimiento del PS en estas cuestiones. Ello lo tratamos en ¿«Como saltarse la ley sin enterarse»?

Sin embargo – la protección de datos es una de las cuestiones más sensibles y que más quebraderos de cabeza están causando a los PS desde diversas ópticas : responsabilidad profesional y laboral disciplinaria.   

El Reglamento General de Protección de Datos (PD) de la Unión Europea – incluye entre las funciones de las autoridades de PD – el promover la sensibilización de los responsables del tratamiento sobre sus obligaciones en la citada materia, función que entre otros aspectos incluye el de facilitar guías prácticas orientadoras que faciliten el uso de los datos sin incurrir en infracciones de la normativa sobre PD.  

La Agencia Española de Protección de Datos (AEPD) ha actuado en consecuencia en relación con el tratamiento de datos de salud dada la relevancia de estos al tener la condición de categoría especial de datos y régimen reforzado de protección. Por ello debe destacarse en la web de la AEPD un espacio dedicado a sanidad.

La Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos (LOPD) y el Reglamento General de Protección de Datos (RGPD) son complejos para los PS, por ello el presente post.

¿Qué datos trata un profesional sanitario?

En general los datos que trata un PS son los identificativos (nombre, apellido, dirección, DNI, etc.) y los de salud necesarios para el fin para el que presta su asistencia.

Puede darse que también trate datos de familiares directos o vinculados y/o menores o tutelados, información sobre los progenitores; datos de salud referentes a enfermedades hereditarias – u otros datos que se consideren relevantes médicamente.  

Además de lo anterior, aquellos datos ´que el PS considere útiles y necesarios para elaborar un diagnóstico y tratar al paciente. Ejemplo de estos últimos serían costumbres alimentarias, hábitos, entorno geográfico, laboral, actividades de ocio o deportes, etc.

Tiene la categoría de datos de salud la información relativa a la situación médica o estado de salud de un paciente – con independencia de la referencia temporal. Lo anterior incluye la prestación de servicios de atención sanitaria (cualquier que sea su procedencia).

Ejemplo de lo anterior sería valoraciones de cualquier índole sobre la evolución clínica de una patología, pruebas clínicas y sus resultados; número de identificación de un paciente o simbología o códigos que permitan lo anterior; información sobre pruebas de imagen, sustancias corporales o muestras genéticas o biológicas.

Informaciones relativas o refrentes a una discapacidad, riesgos de padecer patologías, entre otras y en el caso de personas con capacidad cognitiva limitada y sometidos a tutela y /o menores – los datos facilitados por sus familiares.

Fuente de los datos

Los datos pueden obtenerse de diversas fuentes: desde el propio PS, un centro asistencial, un wearable o dispositivo digital, entre otros…     

Es relevante la cuestión de los wearables / dispositivos digitales; pues son cada vez más inteligentes y por ello incrementan los datos que registran. Si en el año 2019 había alrededor de 500.000 dispositivos médicos, de los cuales estaban conectados el 48%. En el 2025, se estima que este porcentaje llegue al 68%.

Los datos de salud merecen la condición jurídica de “categorías especiales de datos” otramente llamados datos sensibles ; por ello gozan legislativamente de una protección reforzada y solo podrán tratar (almacenar, trasladar o dar a conocer) bajo condiciones muy estrictas y con garantías reforzadas.

Además de lo anterior, deberán garantizarse medidas de privacidad /protección reforzada en consonancia con los derechos de la persona.

Los ciberataques que están padeciendo las instituciones sanitarias, dan idea de golosos que son lo datos de salud. En este sentido – deben pensar Uds. que, en una Historia Clínica, se contiene la historia de una vida y de ella se extrae información que no se puede obtener de ningún otro modo.

Ciberataques y datos sanitarios

Durante 2021, el sector sanitario español fue el tercero más atacado por detrás de Canadá y Alemania. Además, en el primer trimestre de 2022 los organismos de la sanidad pública en España sufrieron 38 incidentes de ciberseguridad con un nivel de peligrosidad muy alto, según indica el Centro Nacional de Inteligencia (CNI).

Uno de los factores que hacen atractivo al sector de la salud son las características de los datos que maneja ya que son muy sensibles.

Cuando un organismo sanitario sufre una fuga de datos se ve sometido a una presión mucho mayor que otros sectores como, por ejemplo, la Administración Pública. No son solo datos sobre la salud de los pacientes, sino también aquellos relacionados con los proyectos de investigación, es decir, documentos sujetos a la propiedad intelectual y el desarrollo de patentes.

Lo anterior da idea de lo importante que es el manejo exquisito y cuidadoso – con observancia de la ley por parte del PS.

Dentro de unos días entraremos a ¿Quién puede acceder a la historia Clínica y en qué condiciones?  

Imagen de RAWPIXEL.com