¿Quién tiene legitimación para tratar los datos personales en la asistencia sanitaria ?

Hace 15 días hablamos de datos en el ámbito asistencial y su concepto. Hoy a fin de contestar a las consultas de otros profesionales sanitarios y no sanitarios – avanzamos un poco más.

¿Quién debe solicitar el consentimiento para el tratamiento de los datos o cómo hacerlo ; o que hacer en el caso de menores ?

El tratamiento de datos personales – incluidos los de salud – es cualquier operación que podamos realizar con los datos: recogida, utilizarlos para prestar un servicio, el acceso a los datos; su extracción, conexión o intercomunicación o cesión a un 3º, la publicación de los datos, su conservación, modificación o supresión.

¿Debe el profesional sanitario solicitar consentimiento a los pacientes para el tratamiento de sus datos personales?

Debemos diferenciar el – Consentimiento Informado para una actuación sanitaria (CI) – que se rige por la normativa básica sanitaria – Ley 41/2002 – del consentimiento para el tratamiento de los datos personales – al que le son aplicables la normativa general de protección de datos.
Únicamente hablaremos de estos últimos. El tratamiento de los datos de un paciente puede basarse en dicho consentimiento como en otras causas prevista en una ley.

1.-Por ejemplo – cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, un diagnóstico médico, la prestación de asistencia o tratamiento sanitario o social gestión de los sistemas y servicios de asistencia sanitaria o de servicios sociales, sobre la base de la legislación correspondiente o en virtud de un contrato con un profesional sanitario. Los datos deberán ser tratados por profesionales sujetos al secreto profesional o por alguien que esté bajo su responsabilidad.

Ello incluye los estudiantes en prácticas. Debemos recordar que el concepto de secreto médico – es una obligación compartida por el equipo asistencial e incluye a todos sus miembros – sean o no profesionales sanitarios.

Aquí cabrían tratamientos de datos que se realizan cuando se presta asistencia sanitaria por parte de centros o de profesionales sanitarios públicos o privados, incluidos los socio sanitarios. También abarca las actuaciones en materia de salud laboral conforme a la normativa de prevención de riesgos laborales con un acceso limitado por parte del empresario sobre la aptitud o no del trabajador.

2.- Siempre que el tratamiento de los datos sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado física o jurídicamente para dar su consentimiento. Ejemplo: un accidente o emergencia cuando haya pérdida de consciencia del interesado.

3.- Cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o que los datos se requieran judicialmente.

Por tanto, pueden tratarse datos de salud a propósito de un procedimiento judicial en el que dichos datos sean precisos (reclamación por negligencia médica o para la modificación de la capacidad de la persona), pero también para formular reclamaciones ante órganos administrativos u otros órganos no jurisdiccionales (arbitraje o mediación).

4.- Si el tratamiento de ciertos datos es necesario por razones de interés público en el ámbito de la salud pública, en los términos establecidos en la ley, como control de las emisiones, epidemias, amenazas transfronterizas etc. Recuerden el Covid – 19¡

5.- Cuando se realice con fines de investigación científica de archivo en interés público o estadísticos en los términos que se establecen en la ley.

En lo expuesto en los epígrafes anteriores pueden tratarse los datos de salud sin necesidad de consentimiento del interesado. Aunque será necesario informarle de determinados aspectos (por parte del profesional sanitario del hospital público o del servicio de salud correspondiente etc); entre otros de los siguientes: identidad y datos del contacto del responsable; datos de contacto del delegado de Protección de Datos cuando éste exista; fines del tratamiento de los datos asistencia sanitaria investigación u otros y su base legítima (prestación de asistencia sanitaria, protección intereses vitales, etc); destinatarios a quienes serán entregados los datos; plazo de conservación de los mismos; posibilidad de ejercitar los derechos reconocidos normativa de Protección de Datos o de presentar reclamación ante la Agencia de Protección de Datos que corresponda. Y sí; además, los datos no se han obtenido del propio interesado es preciso informarle de las fuentes y las categorías de datos suyos que han sido recopilados hasta el momento.

¿Cómo podemos informar al paciente de que sus datos están siendo recopilados? visualmente mediante señales o infografías, verbalmente en procesos de atención telefónica o por escrito. En todo caso es fundamental que la información sea veraz de fácil lectura y comprensión aquí les dejo una guía modelo de cláusula informativa de la AEPD.

Respecto a la información que se facilita al paciente – la Ley 41/2002 de Autonomía del Paciente incluye un capítulo sobre el respeto a la autonomía que contiene una serie de informaciones garantías y derechos que tiene el paciente desde la perspectiva sanitaria y también señala que con carácter general el tratamiento de la información de esta perspectiva sanitaria se basa en su consentimiento.

Sin embargo, en lo que se refiere al tratamiento de los datos personales del paciente puede haber legitimaciones distintas de su consentimiento para el tratamiento de sus datos e informaciones específicas sobre los mismos. Por ello, con el fin de evitar confusiones respecto a la toma de decisiones sobre los derechos de autonomía del paciente y sobre todo sus datos personales: la información relacionada con estos últimos debería facilitarse de forma diferenciada y posterior a la que se haya facilitado respecto a la toma de decisiones sobre la autonomía del paciente.

En otras actuaciones, como puede ser el envío de publicidad, o el ofrecimiento de servicios no programados ( ejemplo: revisión dental en una clínica que ya fui atendido) o similares debe buscarse una legitimación específica como puede ser el consentimiento o también el interés legítimo del profesional sanitario de la clínica siempre que se le haya informado sobre esta posibilidad, esté dentro de las expectativas razonables del paciente recibir la publicidad y garantizar que puede oponerse a su recepción en cualquier momento.

Los menores de edad y a partir de cuándo pueden prestar consentimiento ellos mismos para el tratamiento de sus datos

El tratamiento de los datos de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años (art. 7 Ley 3/2018).

El consentimiento para las actuaciones sanitarias que lo exijan debe ser informado y por escrito. Ya hemos comentado que para el tratamiento de datos personales con la finalidad de prestar asistencia sanitaria no es preciso solicitar el consentimiento del paciente, pero sí es obligatorio informarle sobre el responsable del tratamiento la posibilidad de ejercer sus derechos, las finalidades del tratamiento y todas las informaciones exigidas en el art. 13 Reglamento General de Protección de Datos. Si se facilitase esa información por escrito, es recomendable que vayan separadas la hoja de consentimiento (CI) dirigida al paciente – de la hoja de información referida al tratamiento de sus datos personales.

¿Pueden tratarse los datos con finalidades distintas a la asistencia sanitaria?

Si los datos se han recabado en el marco de asistencia sanitaria y se han incorporado a la historia clínica (HC) su finalidad principal será la de facilitar dicha asistencia sanitaria.

No obstante, la ley permite en ciertos casos el tratamiento de datos incorporados a una HC con otros fines: judiciales, epidemiológicos, de salud pública, de investigación o de docencia.
La regla general en estos casos será la separación de los datos identificativos del clínico asistenciales – en otro post trataremos este aspecto en el acceso a la HC.

El tratamiento posterior de los datos con fines de investigación científica incluida la investigación de salud podrá llevarse a cabo conforme lo establecido en la norma sectorial basado en el análisis que el propio responsable ha de realizar con relación a la compatibilidad de fines y la aplicación de las necesarias medidas y garantías para la aplicación del principio de minimización.

En particular para la utilización de datos en materia de investigación de salud debe tenerse en cuenta lo previsto en la propia Ley 3/2018 Orgánica de Protección de Datos – Disposición Adicional 17º.

^{Fuente de la información AEPD
Imagen Freepik}

BigData en salud y trasparencia

 

El análisis de grandes volúmenes de datos, el big data, debe llevar a la sociedad a solventar problemas tanto de índole física, como es la salud personal, como económica, el bienestar financiero. El químico José María Mato, doctor en Ciencias por la Universidad de Leiden (Holanda), participó hace unos días en Como Transformar el ‘big data’ en salud dentro del ciclo de conferencias BBVA Open Mind con La Vanguardia.

Mato observó que “los datos masivos y la inteligencia artificial serán determinantes para mejorar la eficiencia de los sistemas nacionales de salud”. Se trata de utilizar toda esa información para conseguir tratamientos más eficientes. Para ello habrá que acceder a unos macrodatos, lo que deberán llevar a todas las partes implicadas (pacientes, médicos, investigadores, industria y agencias reguladoras) a “alcanzar acuerdos para acelerar el procesos de los tratamientos”.

Para Mato «el distrito en el que uno ha nacido determina la esperanza de vida.» Aunque apuntó que el sistema de salud es bastante accesible a todos en bastante igualdad. Lo que no es así es el sistema educativo. Y eso influye mucho en el estilo de vida »  En ese sentido , propuso que la educación debe mejorar a fin de acceder a todos esos instrumentos . Para el científico, el sistema público de salud «es la gran red donde está la información desde que nacimos.  Y por eso es uno de los puntos clave en la utilización del big data «

Utilizó ejemplos de datos que están fuera del sistema de salud , como son las redes  “Las redes sociales predicen muy bien cuando hay una epidemia de gripe, mejor que el registro médico”, explicó y por ello en París, “predicen el número de urgencias en sus hospitales a través de datos previos y de redes sociales. A mí no me daría ningún miedo, porque se usaran los datos colectivamente”, concluyó.

Sin embargo, otros  expertos en el tema apuntan a la metodología de la recolección de los datos y cómo se emplean estos. En este sentido desde el Observatorio de Bioética y Derecho (UB) se muestran rigurosos en cómo deben obtenerse, tratar, utilizar los datos, anticiparse a los problemas que pueden generar el entusiasmo tecnológico que genera el bigdata y proponen una revigorización de los Comités de Ética e Investigación sanitarios.

Protagonismo de los CEI

Itziar Lekuona mantiene una postura exigente y rigurosa ante el reto que la investigación con datos masivos en salud plantea a los comités de ética de la investigación. Los aspectos metodológicos, éticos y legales de cualquier proyecto de investigación en el que participen personas, o se utilicen sus muestras biológicas o datos personales, deben ser evaluados por los comités de ética de la investigación (CEI), que se articulan como mecanismos de protección de los derechos de las personas. La defensa de la dignidad a través de la salvaguardia de los datos personales en investigación se ha convertido en una tarea prioritaria para estas instancias colegiadas e interdisciplinarias.

En la investigación con big data en salud conviven distintos agentes con diversos intereses en los mismos conjuntos de datos. Aquellos datos que para el investigador principal podrían ser irrelevantes adquieren pleno sentido para el promotor, que puede ser la banca, las industrias del móvil, biotecnológica, farmacéutica o alimentaria, organizaciones filantrópicas, etc. Por ello, es preciso concretar los objetivos que se persiguen e identificar a todos los actores que van a intervenir en el tratamiento de los datos, incluidos terceros que presten servicios, pues muchas actividades de tratamiento de los datos se van a externalizar y pueden ser objeto de transferencias internacionales.

El bien común, que debería guiar la investigación, puede colisionar con intereses particulares y disfrazar de investigación nuevos nichos de mercado basado en la monetización de datos personales de salud; datos que son sensibles y que requieren especial protección.  No solo se trata de evitar el mal uso, sino el uso no deseado y desproporcionado, y frenar la tendencia a la acumulación y a la explotación de datos sin objetivos determinados.

El big data genera un entusiasmo tecnológico exacerbado que no permite la necesaria reflexión interdisciplinar para anticipar escenarios, identificar conflictos y proponer marcos de actuación y evaluación.

Por ello plantea unos requisitos para la evaluación de proyectos de investigación con datos masivos en salud, en los que a fin de evaluar adecuadamente  la investigación con big data de aquellas cuestiones que no lo son deberían implementarse decisiones ponderadas, que sospesen el impacto social de los proyectos y que no dependan exclusivamente del consentimiento informado de los interesados y de la anonimización como garantía de ello.

Los principios de transparencia y rendición de cuentas, establecidos legalmente pero poco implementados en la práctica, resultan imperativos para equilibrar la balanza en investigación. De los CEI depende decidir qué intereses promover y proteger en una sociedad de mercado que cuenta con las bazas de la investigación y la innovación. Se debe exigir a los CEI la necesaria actualización y formación en big data y en protección de datos personales. No todos deben saber de todo, pero sí deben desarrollar un lenguaje común y unos procedimientos de trabajo que permitan identificar ágilmente las verdaderas cuestiones no resueltas por las que apostar, los datos que utilizar y cómo hacerlo.

Continuar aplicando antiguas soluciones a problemas nuevos puede perjudicar seriamente la confianza en el sistema investigador y no solo al ciudadano. Desde la responsabilidad activa que incorpora el Reglamento, conviene comprobar qué tipo de tratamientos de datos plantea el proyecto y sustituir toda referencia a la anonimización en los protocolos, por cuanto estamos ante una situación de posible reidentificación.

Los CEI deben abandonar viejos conceptos completamente inútiles que generan falsas seguridades, para exigir las explicaciones oportunas desde la reidentificación como punto de partida. Por ello deben exigir a los investigadores que expliciten las políticas de privacidad por diseño y por defecto, y centrarse en la evaluación del impacto del tratamiento de datos en los derechos y las libertades de las personas participantes e implicadas que los proyectos deben acompañar.

Los CEI deben analizar cómo el proyecto va a dar cumplimiento a los principios de protección de datos y en especial al de minimización del dato. Concretar qué datos se van a utilizar, cómo y dónde se almacenan y por cuánto tiempo, quién es el responsable de coordinar el procesamiento y cuál es el objetivo que se persigue, ponderando riesgos y beneficios; también los planes para mitigar riesgos y evitar brechas de seguridad.

Concluyendo si como afirma Mato en el Big Data están la llave para la sostenibilidad del sistema de salud y como manifiesta Lekuona en la transparencia de la información debe ser el núcleo duro, es obvio que si queremos preservar nuestro actual sistema de salud debemos orientar hacia este nuevo marco jurídico que el bigdata requiere. No podemos solventar la cuestiones jurídicas que este avance tecnológico aporta basándose en un modelo obsoleto del consentimiento informado; pues es a todas luces insuficiente y anticuado ante las nuevas tecnologías digitales. Si los datos sanitarios de la red de salud son aportados por todos los pacientes en base a un principio de solidaridad a fin de contribuir a la sostenibilidad del sistema, el propio sistema de salud deberá ser quien vele por la transparencia en la información y en el uso de los datos que utilice.

 

 

 Imagen freepik