Protección de datos en sanidad

Incluido en la revista Ocronos. Vol. VI. Nº 10–Octubre 2023. Pág. Inicial: Vol. VI; nº 10: 113

Autor principal (primer firmante): Mónica Herrero Lombardía

Fecha recepción: 10/09/2023

Fecha aceptación: 07/10/2023

Ref.: Ocronos. 2023;6(10): 113

Autora: Mónica Herrero Lombardia

Categoría: auxiliar administrativo (SESPA)

Introducción

Podemos empezar diciendo que todos los datos relativos a la salud incluida la historia clínica está considerados como información sensible, por lo que están especialmente protegidos. Por ello, los hospitales, ambulatorios, clínicas y centros médicos están obligados a cumplir con la ley en todo el relacionado al tratamiento de la información médica de sus pacientes.

Publica TFG cuadrado 1200 x 1200

En este asunto profundizamos sobre la protección de datos sanitarios para el buen cumplimiento del RGPD y la LOPDGDD.

  1. Aspectos generales de la historia clínica
  2. Pilares fundamentales de la protección de datos para sanitarios
  3. La confidencialidad con el paciente
  4. El consentimiento del paciente
  5. El tratamiento de los datos
  6. Informar al cliente sobre sus datos
  7. ¿Qué datos se recogen?
    1. Datos sensibles
  8. ¿Qué medidas hay que tomar con la LOPDGDD / RGPD?
    1. Registro de actividades de tratamiento
    1. Análisis de riesgos
    1. Evaluación de impacto
    1. Notificar brechas de seguridad
    1. Derechos de los usuarios
    1. Deberes de los usuarios
  9. Sanciones por incumplimiento en el RGPD

En el momento en que una persona acude por primera vez a un hospital o centro de atención sanitaria para tratar cualquier enfermedad o problema de salud, se crea la llamada historia clínica.

Aspectos generales de la historia clínica

La historia clínica: es un documento medicolegal que surge del contacto entre paciente y médico, recoge toda la información relativa a la salud y tratamientos del paciente, con el objetivo de que éste pueda recibir una atención personalizada, adaptada a su estado de salud.

En la a historia clínica se incluye una gran cantidad de información del paciente, necesario tanto para los médicos que lo traten como para el propio paciente, en ella encontramos:

  • Registro de ingresos, y altas, Informes de haber estado en consulta de urgencia, exploraciones físicas, ordenes médicas, interconsultas,
  • Encontramos todos los informes de las distintas consultas e intervenciones anestesias, de quirófano, de evolución del parto etc…
  • En cuanto a los tratamientos podemos ver la evolución del estado del paciente, cuidados de Enfermería, tratamientos terapéuticos, alergias
  • Antecedentes familiares registrando en la historia cualquier dato que sea importante para los diagnósticos y diferentes tratamientos médicos.

El acceso a la historia clínica del paciente está exclusivamente limitado al personal médico encargado del tratamiento del paciente. Por tanto, ninguna otra persona, aunque se trate de familiares o se actúe de buena fe, podrán acceder a ella.

Pilares fundamentales de la protección de datos para sanitarios

Los pilares fundamentales de la protección de datos para sanitarios:

  • Confidencialidad de los datos médicos, la obtención de consentimiento por parte del paciente o el tratamiento de datos de acuerdo con el RGPD, la LOPDGDD y la Ley de autonomía del paciente. Los hospitales y centros médicos deben respetar lo estipulado en la ley de confidencialidad del paciente, ”Ley 41/2002 de autonomía del paciente”, la cual señala lo siguiente:
  • “Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada en la Ley.”
  • Consentimiento informado. Podemos definirlo como el derecho, que todo paciente tiene, a recibir la información adecuada relativa a una actuación médica sobre su persona, para así poder decidir libremente si se somete a un tratamiento o cualquier tipo de pruebas médicas. Este consentimiento se considera aprobado cuando se haya realizado por escrito. El objetivo del consentimiento es que las actuaciones médicas se guíen por la información, comprensión y voluntariedad. Este consentimiento por escrito no es necesario cuando lo que se solicita son los datos personales de los pacientes para un diagnóstico médico, medicina preventiva, prestación de asistencia, o evaluación de las capacidades del trabajador y tampoco lo será cuando la recogida de datos se realice por razones de interés público, por ejemplo, para garantizar la calidad de la asistencia sanitaria, o para la protección frente a amenazas graves para la salud pública, como pandemias….
  • El tratamiento de los datos todo centro sanitario público o privado que trate a una persona como paciente será responsable del tratamiento de los datos, de la historia clínica personal. Por lo que tienen la obligación de implantar todas las medidas técnicas y organizativas necesarias para su correcta custodia, así como evitar que la información se pierda o caiga en manos de terceros no autorizados, la ley de protección de datos sanitarios se señala que el tratamiento de toda la información debe hacerse según los siguientes principios:
  • Licitud y lealtad Transparencia.
  • Limitación de la finalidad, es decir, se recogerán con fines concretos y explícitos y no se usarán posteriormente con otras finalidades.
  • Se limitará el uso de los datos del paciente a aquellos que sean pertinentes, adecuados y limitados a las necesidades para el cumplimiento de la finalidad.
  • Todos los datos deben ser exactos, veraces y estar actualizados.
  • Implantar un límite de 5 años mínimo, de conservación para poder cumplir con el fin para el que fueron recabados
  • Integridad y confidencialidad. Se protegerán los datos frente a la pérdida, destrucción, acceso no autorizado o daño accidental.
  • Información al paciente sobre sus datos, algunos de los derechos que cualquier paciente, en cuanto a la protección de sus datos médicos, tiene son:
  • el paciente puede exigir conocer la identidad del responsable del tratamiento de sus datos.
  • Datos de contacto del Delegado de Protección de Datos (en caso de haberlo).
  • Finalidad y base jurídica del tratamiento.
  • Destinatarios de los datos.
  • La cesión de los datos a terceros países u organizaciones internacionales.
  • Plazo de conservación de los datos. Solo se han de guardar el tiempo necesario para garantizar la correcta asistencia de los pacientes, un mínimo de cinco años.
  • Cómo ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Derecho a revocar el consentimiento.
  • Derecho a presentar una reclamación ante la autoridad de control (Agencia Española de Protección de Datos).

¿Qué datos se recogen?

  • Los datos personales que se recogen en las bases de datos sanitarios son comunes a todos los pacientes cuentan con dos tipos de datos:
  • Por un lado, datos identificativos de los pacientes, como el nombre y apellidos, DNI, dirección, número de tarjeta sanitaria.
  • Por otro lado, están los datos relativos a la salud, como diagnósticos, tratamientos, operaciones, medicamentos, alergias, antecedentes familiares, etc.

¿Qué medidas hay que tomar con la LOPDGDD / RGPD?

  • Las menciones del RGPD en sanidad establecen que los datos médicos forman parte de las categorías especiales de datos, es decir, que son datos sensibles. Lo que significa que todos los datos relativos a la salud, al igual que los referentes a la raza, orientación sexual creencias religiosas y cualquier tipo de dato personal están considerados por el RGPD y la LOPDGDD como datos personales sensibles., especialmente protegidos. Nadie está obligado a revelar estos datos sobre su persona, y solo se pueden tratar bajo consentimiento expreso y por escrito del afectado. Además, las entidades que traten estas categorías especiales de datos, sobre todo si lo hacen a gran escala, han de realizar una evaluación de impacto y contar con un Delegado de Protección de Datos.

Las principales actuaciones que se deben realizar para una buena protección de datos sanitarios son:

publica-articulo-revista-ocronos
  • Registro de actividades de tratamiento: Es necesario analizar los datos que utilizamos, para así cumplir con la ley de protección de datos sanitarios haciéndonos preguntas como:
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si podemos ceder esos datos a terceros e incluso transferirlos fuera de nuestro país. El registro de actividades de tratamiento debemos mantenerlo actualizado en todo momento ya que este documento nos lo pueden pedir en caso de tener alguna inspección por la AEPD. Es válido en formato electrónico, y también por escrito.
  • Un buen Análisis de riesgo, es necesario en todo centro sanitario, y sobre todo si valoramos las posibles consecuencias del tratamiento que le damos a los datos para ello es conveniente tener en cuenta, entre otras cuestiones:
  • Tipo de tratamiento:
  • ¿Dónde se almacenan los datos?
  • ¿Durante cuánto tiempo?
  • ¿En un archivo o en una base de datos?
  • ¿En qué equipos?
  • Naturaleza de los datos
  • Identificativos
  • Bancarios
  • De salud….
  • Es importante saber número de interesados afectados, para poder hacer una buena evaluación sobre el impacto de la implantación de la ley por ejemplo realizando una estadística según el número de afectados….

A nivel informático es importante tener una buena protección para impedir y bloquear los ataques informáticos actuales.

El cifrado es uno de los métodos de protección de datos más útiles para evitar las brechas en las organizaciones sanitarias. Al cifrar los datos en tránsito y en reposo, los proveedores de atención médica y los socios comerciales hacen que sea más difícil que los atacantes descifren la información del paciente, incluso si obtienen acceso a los datos. Para cifrar datos es conveniente tener sistemas informáticos actualizados en todo momento y hacer análisis de datos que permitan examinar fuentes para encontrar tendencias, llegar a conclusiones e identificar oportunidades basadas en ellos. Se ha aplicado en numerosos sectores y áreas convirtiéndose en una opción casi imprescindible para estas.

Por último, es importante que todos los usuarios sepan, los derechos y deberes, que tienen que cumplir, como ejemplo, los que se rigen en Asturias

  • DERECHOS Y DEBERES DE LOS USUARIOS Y PACIENTES

DERECHOS

  • Derecho a la intimidad y a la confidencialidad.
  • Derecho a la información asistencial. En particular, Si la asistencia sanitaria recibida por el paciente forma parte de un proyecto de investigación, deberá ser informado de ello, de forma anticipada, y requerirá su consentimiento expreso.
  • Derecho a la autonomía de decisión para:
  • Solicitar y otorgar consentimiento informado.
  • Libre elección entre las opciones que le presente el responsable médico de su caso y a rechazar el tratamiento.
  • Libre elección de profesional de la salud y a una segunda opinión médica.
  • Disponer de los tejidos y muestras biológicas que provienen de biopsias o extracciones durante su proceso asistencial, y a rechazar su uso o conservación fuera dicho proceso.
  • Rechazar la participación en procedimientos experimentales.
  • Instrucciones previas, de acuerdo con las normas específicas que las regulan.
  • Derecho a la información epidemiológica, concretamente a recibir información sobre los riesgos sanitarios para su salud.
  • Derecho al acceso a la información específica sobre derechos, deberes, servicios y programas del Sistema Sanitario Público.
  • Derecho a la transparencia en la información, en concreto, derecho a conocer:
  • Los tiempos de acceso e información sobre listas de espera, resultados asistenciales de cada centro o servicio e indicadores de calidad.
  • Los planes y programas anuales y plurianuales, así como su grado de cumplimiento y resultados.
  • Derecho al acompañamiento de los pacientes, con especial consideración hacia menores, personas con discapacidad, deterioro cognitivo severo, mujeres en el momento del parto, personas con enfermedades mentales graves y personas en el proceso final de su vida.
  • Derechos relacionados con la documentación sanitaria. Los pacientes tienen derecho a que quede constancia por escrito de todo su proceso, a acceder a su historia clínica y a obtener los informes y resultados de las exploraciones sobre su estado de salud o enfermedad incluidos en ella.
  • Derechos específicos de grupos especiales de población: menores, mayores dependientes, pacientes en el final de la vida, pacientes diagnosticados de enfermedades raras o de baja incidencia y personas pertenecientes a grupos de riesgo. En todos los casos se garantizará el acceso, en igualdad de condiciones, a las instalaciones y servicios sanitarios, de acuerdo con los principios de normalización, accesibilidad universal, diseño para todos y transversalidad.
  • Derechos específicos de la infancia y la adolescencia, en concreto, los centros dispondrán de una estructura separada de los servicios de adultos y una dotación adecuada de equipamiento. Tendrán derecho a seguir con el aprendizaje escolar durante su estancia hospitalaria y a recibir una información adaptada que les permita participar de manera activa en su proceso.
  • Derecho a formular sugerencias y quejas, así como a recibir respuesta por escrito.
  • Derechos relacionados con la prestación de servicios sanitarios y la humanización de la atención por el Sistema Sanitario Público del Principado como:
  • Continuidad asistencial entre todos los niveles asistenciales.
  • Incorporación a la asistencia de las innovaciones científicas que hayan demostrado ser coste efectivas.
  • Obtener medicamentos y productos sanitarios, según evidencia científica y admitida en el catálogo de prestaciones del Sistema Nacional de Salud (SNS).
  • Obtener información y educación adecuada sobre hábitos y estilos de vida saludables.
  • Recibir asistencia sanitaria dentro de los plazos máximos legalmente establecidos.
  • La eliminación de barreras físicas, funcionales y de comunicación, en el acceso a la atención sanitaria.
  • Además, se tendrá derecho a:
  • Que se le asigne facultativo responsable de su proceso y se identifiquen responsables de su seguimiento y plan de cuidados.
  • Recibir una atención y cuidados basados en la calidez y la empatía.
  • Respetar los valores y creencias de las personas.
  • Conocer e identificar a las personas responsables de su asistencia.
  • Elaborar un plan personalizado de parto.

DEBERES

  • Tratar con consideración y respeto al personal que cuida de su salud, cumplir las normas de funcionamiento y convivencia.
  • Utilizar y cuidar las instalaciones contribuyendo a su conservación y favoreciendo su habitabilidad y el confort de otros usuarios y pacientes.
  • Facilitar sus datos identificativos y los relativos a su estado físico y psíquico.
  • Firmar el alta voluntaria o documento pertinente, en los casos de no aceptación del tratamiento.
  • Aceptar el alta cuando finalice su proceso asistencial.
  • Toda esta información estará disponible en el portal de transparencia de la Consejería competente en materia de Sanidad y en cada centro asistencial.

Sanciones por incumplimiento en el RGPD

  • INCUMPLIMIENTO DE LAS LEY Y SANCIONES

La consecuencia de no cumplir con las leyes es la aplicación de una sanción, esto significa que el incumplimiento tiene un efecto, generalmente negativo, para el infractor de la norma (persona que no respeta la norma), las posibilidades incluyen un apercibimiento, una prohibición temporal o definitiva del tratamiento y una multa de hasta 20 millones de euros o un 4   del volumen de negocio total anual mundial.

Existen tres tipos de infracciones y sanciones aplicables por el tratamiento de datos personales en el sector público: infracciones muy graves, infracciones graves, infracciones leves

No se pueden sancionar: cuando se incumple una norma moral, no hay un castigo, a menos que coincida con una norma jurídica. Por ejemplo, no ser amable con una persona mayor no tiene una sanción jurídica (como una multa). Pero robar no solo es una falta moral, sino que además tiene un castigo.

El Órgano sancionador en España es el órgano encargado de hacer las investigaciones e imponer las sanciones LOPD y RGPD es la AEPD (Agencia Española de Protección de Datos), la cual puede designar a personal competente para la investigación.

Se puede decir que:

  • Las infracciones leves tienen aparejada una sanción de multa de entre 900 y 40.000 €.
  • Las infracciones graves tienen aparejada una sanción de multa de entre 40.001 y 300.000 €.
  • Las infracciones muy graves tienen aparejada una sanción de multa de entre 300.001 y 600.000 €.

Bibliografía

Normativa básica de referencia

  1. Ley 7/2019, de 29 de marzo, de Salud. Comunidad Autónoma del Principado de Asturias.
  2. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  3. Ley 14/1986, de 25 de abril, General de Sanidad. Constitución española
  4. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Publicado en: «BOE» núm. 294, de 06/12/2018. Entrada en vigor: 07/12/2018 Departamento: Jefatura del Estado Referencia:  BOE-A-2018-16673 Permalink ELI: https://www.boe.es/eli/es/lo/2018/12/05/ 3/con Seleccionar redacción: Última actualización publicada el 09/05/2023