✔ La AEPD elaboró una guía sobre el Tratamiento de datos personales de los pacientes. En ella se detallan los aspectos relativos a la información que deben recibir los pacientes, la legitimación del tratamiento y el desarrollo del ejercicio de derechos de los interesados.

El tratamiento de datos personales de los pacientes es considerado como tratamiento de datos sensibles, especialmente protegidos, y, tras la publicación del RGPD, como una categoría especial de datos personales. Los «datos relativos a la salud» se definen como: «Los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».

Toda esta información personal y de salud constituye la denominada «historia clínica», que define la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP) como: «El conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial».

La historia clínica comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro sanitario.

Legitimación para el tratamiento de datos de salud

No es necesario que el médico o el centro sanitario solicite el consentimiento a los pacientes para la recogida, utilización y tratamiento de datos personales de los pacientes si se van a utilizar para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. (La base de legitimación para este tratamiento de datos está establecida en el artículo 6.1.b) del RGPD para las entidades aseguradoras de salud privadas, y en el artículo 6.1.c) del mismo Reglamento para la sanidad pública).

Tampoco es necesario si el tratamiento de datos se efectúa por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la  inspección de reclamaciones de los ciudadanos. (La base de legitimación está establecida en el artículo 6.1.e) del RGPD).

También se pueden tratar los datos de salud sin solicitar el consentimiento cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento, o cuando lo solicite un órgano judicial. (La base de legitimación está establecida en el artículo 6.1.d) del RGPD).

Derecho de información para el tratamiento de datos de salud

Para el tratamiento de datos personales de los pacientes, generalmente, cuando un usuario acude al médico o al centro sanitario, público o privado, no tienen que pedir el consentimiento al paciente para el tratamiento de sus datos personales, puesto que casi siempre acude para que le presten asistencia sanitaria, pero sí es obligatorio que sea informado de lo siguiente:

  • La identidad y los datos de contacto del responsable.

  • Los datos de contacto del delegado de protección de datos.

  • Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.

  • Los destinatarios o las categorías de destinatarios de los datos personales.

  • La intención del responsable de transferir datos personales a un tercer país u organización internacional.

  • El plazo durante el cual se conservarán los datos personales.

  • El derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos

  • El derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

  • El derecho a presentar una reclamación ante una autoridad de control. Estas reclamaciones se presentarán en la Agencia Española de Protección de Datos.

  • Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.

  • La existencia de decisiones automatizadas, es decir, tomadas mediante procesos informáticos sin intervención humana, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o le afecten significativamente de modo similar.

⛔️ ¿Todavía NO sabes como proteger correctamente los datos de tu empresa o negocio?

✔️ Si aún dudas, ¡estás en el sitio correcto! El «Grupo Adaptalia» te resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía. Somos especialistas en 【PROTECCIÓN DE DATOS | LSSI | COMPLIANCE PENAL | LPBC-F】
✔️ Nuestra «Consultoría en Protección de Datos» es la solución perfecta para que nada te inquiete. Nuestras herramientas y servicios se adaptan completamente a tus necesidades.

Cuestiones comunes al ejercicio de los derechos

El tratamiento de datos personales de los pacientes exige algunas cuestiones para tener en cuenta respecto al ejercicio de derechos:

  • Obligación de atender los derechos a menos que se acredite la imposibilidad de identificar al interesado.

  • Plazo: un mes prorrogable por dos meses más, según la complejidad y número de solicitudes.

  • Respuesta por medios electrónicos si el derecho se ejercitó por dichos medios, salvo que el interesado manifieste lo contrario.

  • Si no se tramita la solicitud: obligación de informar en un mes acerca de las razones y la posibilidad de acudir a la autoridad de control o los órganos judiciales.

  • Gratuidad salvo en caso de solicitudes “manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo”, en que será posible:

    • Cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada.
    • Negarse a actuar respecto de la solicitud.
    • Se considera repetitivo el acceso por periodos inferiores a seis meses, salvo que haya una causa que lo justifique. (p.e. menos pruebas o días…).
  • Posibilidad de solicitar información adicional para garantizar la identificación del solicitante ya que los derechos son personalísimos.

Guía para el tratamiento de datos personales en el ámbito sanitario

Agencia Española de Protección de Datos, Guía para pacientes y usuarios de la Sanidad – Guía PDF de la AEPD

▸Estimado lector, ¡¡gracias por su tiempo!!

Si te gustó este contenido quizás te interese…

Tratamiento de datos de los drones
Drones y protección de datos
Tratamiento de datos con cámaras on board
Tratamiento de datos con cámaras de abordo
Sistemas de exclusión publicitaria en la LOPDGDD
Sistemas de exclusión publicitaria en la LOPDGDD