Guía para el tratamiento de datos personales

en el ámbito sanitario

Datos de carácter personal relativos a la salud

Todo paciente tiene derecho a que quede constancia, por escrito o en el soporte técnico más
adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el
servicio de salud.

La protección de Datos personales es un derecho fundamental recogido en el artículo 18.4 de la

Constitución Española y regulado por el Reglamento Europeo de Protección de Datos (RGPD), la
LOPD y su reglamento de desarrollo.

Esta normativa afecta a los profesionales que operan en el sector sanitario, a las clínicas, a los
hospitales, a los centros médicos y a las instituciones sanitarias.

En este caso en particular, la normativa en protección de datos se complementa con la Ley de

Autonomía del Paciente 41/2002, de 14 de noviembre, la cual se encarga de regular los derechos
y las obligaciones en materia de información y documentación clínica en la que se regula su
historial;
 Pero primer hay que
dejar claro que se
entiende por historia
clínica y por datos de
salud.

Historia Clínica

Es el conjunto de
documentos que
contienen los datos,
valoraciones e
informaciones de
cualquier índole sobre la
situación y evolución
clínica de un paciente a lo
largo de su proceso
asistencial.

Datos relativos a la salud

El RGPD los define de la siguiente manera:

Datos personales relativos a la salud física o mental de una persona física, incluida la
prestación de servicios de atención sanitaria, que revelen información sobre su estado de
salud

Por lo tanto cualquier información relativa, a título de ejemplo:

a una enfermedad,
una discapacidad,
el riesgo de padecer enfermedades,

el historial médico,
el tratamiento clínico o el estado ksiológico o biomédico del interesado,
independientemente de su fuente, por ejemplo, un médico u otro profesional
sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.
Por lo trascendental que puede tener este tipo de datos para la privacidad del interesado,
el RGPD, da a este tipo de datos el adjetivo de Especialmente Protegidos, lo cual hace que se
deban cumplir una serie de condiciones adicionales para su tratamiento conforme a la
normativa.

Los principios fundamentales que deben formalizar los responsables de los datos para
el cumplimiento de la normativa son los siguientes:

Consentimiento

La principal bases legal para el tratamiento de este tipo de datos la encontramos en el

artículo 9 del RGPD y es el consentimiento.

Según la nueva normativa europea, este deberá ser:

Explícito
Recogido por escrito

Calidad de los datos

Se recogerá los datos de los pacientes siempre que sean adecuados, veraces y
pertinentes.

La información sanitaria, de acuerdo con el artículo 4.7 de la LOPD, no puede recopilarse

de forma desleal, fraudulenta o ilícita.

La recogida y el tratamiento de datos de salud persiguen una finalidad principal

muy clara plasmada en la propia finalidad de la historia clínica: garantizar una asistencia
adecuada al paciente.

La información trascendental para la asistencia sanitaria ha de contar, como mínimo,

con los siguientes datos:

Documentación referida a la hoja clínico-

estadística Autorización de ingreso
Informe de urgencia Exploración física Evolución
Órdenes médicas Hoja de interconsulta
Informes de exploración complementaria Consentimiento informado
Informe de anestesia
Informe de quirófano o de registro del parto Dosier de anatomía patológica
Evolución y planificación de cuidados de enfermería Aplicación
terapéutica de enfermería
Información
Los pacientes deben ser informados en todo momento de:

Existencia de estos ficheros

Finalidad del mismo
Posibles destinatarios de la información
Identidad y dirección del responsable del mantenimiento del mismo

Posibilidad del ejercicio de sus derechos

Es obligatorio en cada centro sanitario la existencia de una hoja de información al paciente

en la que le solicita su autorización para el tratamiento de sus datos.

En ella se recoge, entre otros datos:

Nombre del profesional y del centro donde ha sido atendido el

paciente Propósitos de la petición
Expresa conformidad de publicación del caso clínico en publicaciones científicas
dirigidas a profesionales de la salud
Nombre del paciente
Documento de identidad o pasaporte y su krma autorizando expresamente que se
utilicen los datos de su historia clínica en las condiciones que se describen en el informe.

Confidencialidad
El secreto profesional es de obligatorio cumplimiento por el personal que tenga acceso a los datos del
paciente. Incluso cuando la relación que vincule a las partes haya finalizado. Se obliga a los centros
médicos a adoptar las medidas necesarias para garantizar la confidencialidad y el procedimiento legal de
acceso.
Nuevas medidas del RGPD

Medidas organizativas y
de seguridad
La nueva normativa ya no establece
las medidas de seguridad por niveles,
si no que prevé que se apliquen
medidas en función del riesgo que
puedan ocurrir en el tratamiento de
los datos

Por lo tanto, atendiendo a esto, en el

caso del tratamiento de datos de salud
el nivel del riesgo es enorme, por lo
que habrá que diseñar unas medidas
organizativas y de seguridad conforme a dicho riesgo.

Evaluación de Impacto
La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los
responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos
(minimizar la probabilidad de su materialización y las consecuencias negativas para los
interesados).

Asimismo, las medidas de seguridad y los protocolos que se deban llevar a cabo han de
plasmarse en un Documento de Seguridad. Dicho documento deberá estar siempre a
disposición de la Agencia Española de Protección de Datos para su consulta si así lo
requiriera.
Registro de las actividades de tratamiento
Los responsables y los encargados están obligados (siempre en los casos de tratamientos
de datos de salud, genéticos o biométricos con independencia de emplear o no a más o
menos de 250 personas), a mantener un registro de las actividades de tratamiento que
realicen.

Este registro debe de contener al menos los siguientes datos:

Identificación y datos de contacto de responsable, corresponsable,

representante y delegado de protección de datos.
Fines del tratamiento.
Descripción de categorías de interesados y datos.
Categorías de destinatarios existentes o previstos (inclusive en terceros países u
organizaciones internacionales).
Transferencias internacionales de datos y documentación de garantías para
transferencias de datos internacionales exceptuadas sobre base de intereses
legítimos imperiosos.

Delegado de Protección de Datos

Se deberá contar con un Delegado de protección de Datos, ya que así lo exige la
nueva normativa comunitaria.

Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas

de los pacientes tendrán que tener nombrado un DPO y comunicar dicho
nombramiento a la AEPD

Comunicación de los datos

Es habitual, que los datos se comuniquen entre entidades para el mejor tratamiento
del paciente.

En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permita
esta transmisión.
El responsable del fichero deberá cumplir determinados requisitos:

Definir en un contrato escrito la regulación del tratamiento de datos por cuenta de un

tercero,
Establecer que ese tercero (únicamente tratará los datos conforme a sus
instrucciones. Comprobar que los datos no serán utilizados con fines distintos a los
determinados en el contrato, ni serán comunicados a otras personas.
El tercero deberá cumplir con las mismas medidas de seguridad que las que
cumpla el responsable del fichero.

Excepción
La única excepción a este consentimiento se establece en el caso de que la
comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia
sanitaria de los afectados a los que se refieren.

Mutuas y compañías de seguro

En el caso particular y excepcional de las mutuas y de las compañías de seguros, los

datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente
para llevar a cabo la elaboración de la factura del gasto sanitario.

Facilitar los derechos ARCO

Los pacientes podrán ejercitar libremente su derecho de acceso, rectificación, cancelación
y oposición de su historia clínica.

Para ello, el responsable deberá colaborar con ellos, facilitarles un informe o, en su defecto, una
copia del mismo.

No obstante, el procedimiento para el ejercicio de estos derechos debe hacerse siempre

respetando unos plazos y unas pautas tanto para ejercerlos, como para facilitarlos.
Notificación del mantenimiento de los ficheros a
la AEPD
Siempre que se proceda a la creación, modificación o cancelación de un fichero que
contenga datos personales, se deberá notificar a la Agencia Española de Protección de Datos
(AEPD) para llevar a cabo su inscripción en el Registro General de Protección de Datos .

Por último, en el caso de alta del fichero, la inscripción en el registro ha de

realizarse con anterioridad a su uso. La notificación no conlleva coste económico
alguno. Simplemente implica el compromiso por parte del responsable de que el
fichero declarado para su inscripción cumple con todas las exigencias legales.

Preguntas frecuentes

¿Cuánto tiempo se deben conservar los datos de

los pacientes?
Se establece un plazo de conservación de al menos cinco años contados desde el alta de cada
proceso asistencial.

Por tanto, cuando un paciente reciba el alta o por cualquier motivo deje de asistir a la clínica, no
se puede proceder a eliminar sus datos ya que existe una obligación de custodia de la historia
clínica.

Igualmente ocurriría en el caso de que el paciente solicitara la cancelación de sus datos. Estos
no podrían ser cancelados, si no quedarían debidamente bloqueados.

Responsabilidad civil
El Código Civil establece un plazo de quince años para poder llevar a cabo una acción por
responsabilidad civil, plazo que computa desde que el reclamante tiene conocimiento del
daño.

No obstante, a efectos prácticos, este plazo se incrementa en quince años más ya que si el daño
se conoce justo antes de que venzan los primeros quince, automáticamente se prorrogará por
otros quince años más.
 ¿Puede el hospital
comunicar los datos
a las mutuas?
Sí, puesto que existe habilitación
legal para ello. Siempre de acuerdo al
principio de calidad y respecto a las
funciones encomendadas.

¿Quién puede
acceder a los datos
médicos?
Sólo puede tener acceso el personal
directamente implicado en la atención

del paciente.

¿Pueden familiares y allegados tener acceso a ellos?

En cuanto a familiares y allegados, se les podrá facilitar la información siempre que acrediten
un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya
manifestado expresamente su voluntad de lo contrario.

¿Se puede utilizar los datos de los pacientes para

hacer estudios?
Como regla general, se debe contar con el consentimiento expreso del paciente. Para contar
con ese consentimiento, se le habría de informar de que sus datos se van a utilizar para fines de
investigación.

Otra opción consistiría en separar los datos identificativos de los datos médicos, es decir,
proceder a una anonimización de los datos, para que a través de los mismos no pudiera ser
identificado
Ejemplos de sanciones de la
AEPD a centros médicos
El incumplimiento de estos preceptos fundamentales implica sanciones económicas.

Cabe destacar que con la aplicación de la nueva regulación las multas van en función de la
vulneración de la norma, pudiendo llegar hasta los 10.000.000 € o el 4% de la facturación
global anual.

Como causas leves destacan:

La no inscripción del fichero de datos personales en el Registro General de Protección de

Datos
No proporcionar la información necesaria a los pacientes a los que se les está solicitando
los datos o la de incumplir el deber de secreto.

Causas graves serían:

Incumplir la finalidad de los datos para los que se han recogido

Proceder a la recogida de datos de carácter personal sin recabar el consentimiento
expreso de las personas afectadas
Mantener los ficheros que contengan datos personales sin las debidas condiciones de
seguridad.

Como causas muy graves se tipifican, por ejemplo:

El no atender de forma sistemática el ejercicio de los derechos de acceso, rectificación,

cancelación u oposición.
La comunicación o cesión de los datos de carácter personal, más allá de los casos en que
estén permitidas
La omisión de forma sistemática del deber legal de notificación de la inclusión de datos
personales en un fichero.
Casos reales
Sanción a un médico de Gijón
Fue a causa de arrojar a la vía pública envases de biopsias con datos personales, la multa que la
AEPD le impuso fue de 60.101 euros, ya que cometió una infracción tipificada como muy grave
por la LOPD.

Apertura de expediente a un Hospital por infracción

La causa que motivó a la AEPD para abrir un expediente a un Hospital de Inca, fue la filtración
de datos personales de pacientes.

Sanción de 6.000 euros a un Centro Médico

Un Centro Médico de Cartagena fue sancionado por la AEPD con la cifra de 6.000 por hacer
uso de los datos personales de un cliente de la empresa con la cual se había fusionado.

La AEPD denuncia a Sanidad

Un Hospital de Cuenca fue apercibido por ceder datos personales e historiales médicos de los
pacientes a una clínica privada, sin cifrar la información, pese a tratarse de datos especialmente
protegidos, la multa ascendió a un total de 40.001 euros.

Guías específicas para ….

Psicólogos
Fisioterapeutas
Nutricionistas
Clínica dental
Cumplir con la normativa en tu
clínica en 9 pasos
En resumen, para el cumplimiento con los requisitos dictados por la normativa de protección
de datos en materia sanitaria, los centros han de cumplir los siguientes puntos:

1. Los datos recogidos son siempre pertinentes y veraces.

2. El paciente siempre es informado y tiene acceso libre a sus datos.
3. Realizar una evaluación de impacto y mantener un registro de las actividades de
tratamiento
4. Nombrar un Delegado de Protección de Datos
5. Cifrar los datos y guardarlos bajo estrictas medidas de seguridad.
6. Guardar secreto profesional en todo caso.
7. En caso de cesión de datos a terceras partes y se debe krmar un contrato que establezca
el uso determinado y deknido de los datos cedidos.
8. Facilitar los derechos ARCO respetando los plazos establecidos.
9. Inscripción y actualización de los fcheros en la AEPD. (Hasta el 25 de mayo de 2018)

Por último, hay que destacar que la información recogida en esta guía puede ampliarse
consultando otros elementos relacionados de interés como cuáles son tus derechos como
paciente.