Análisis de la Guía de la AEPD para profesionales del sector sanitario. Parte I.

La Agencia Española de Protección de Datos (AEPD) ha sido siempre particularmente proactiva en orden a facilitar información y orientaciones relativas al tratamiento de datos de salud, dada la relevancia que tienen por su condición de categorías especiales de datos, por la protección reforzada que necesitan, y porque sólo se pueden tratar bajo ciertas condiciones y con determinadas garantías.

En este sentido, es necesario destacar la elaboración de la Guía para pacientes y usuarios de la sanidad, y la reciente creación en la página web de la AEPD de un espacio dedicado específicamente a la información sanitaria con el objetivo de dar respuesta al planteamiento manifestado por representantes del sector sanitario y asociaciones de usuarios de contar con un compendio sistematizado de legislación, criterios, doctrina y precedentes en materia de salud y protección de datos.

Con el fin de dar continuidad a estas iniciativas, el pasado mes de junio, la AEPD publicaba también una nueva Guía, en este caso para profesionales de la salud, contribuyendo así a facilitar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la LOPDGDD 3/2018.

Los principales destinatarios de la Guía son todos los profesionales sanitarios que desempeñan su actividad a título individual, aunque pueden resultar también útiles en algunos aspectos para los profesionales que desarrollan su actividad en el marco de establecimientos sanitarios.

Los profesionales sanitarios principalmente tratan datos relacionados con la salud, necesarios para cumplir con la finalidad de prestar la asistencia sanitaria que corresponda; pero también pueden llegar a tratar datos identificativos e incluso, datos de salud de familiares que puedan ser útiles y necesarios para elaborar el diagnóstico y tratar al paciente. (por ejemplo, enfermedades hereditarias o antecedentes familiares que sean médicamente relevantes).

A continuación, vamos a analizar los puntos más relevantes en los que se centra la Guía:

  • LEGITIMACIÓN

En primer lugar, es necesario diferenciar entre el consentimiento informado para una actuación sanitaria (que se rige por la legislación sanitaria) y el consentimiento para el tratamiento de los datos personales, incluidos los de salud (al que es aplicable la normativa general de protección de datos).

Centrándonos en el último consentimiento mencionado, el tratamiento de los datos de los pacientes puede basarse tanto en dicho consentimiento como en otra causa prevista en una ley.

Por lo general, no será necesario solicitar el consentimiento al paciente para tratar sus datos personales en el ámbito de la atención sanitaria, por ejemplo, cuando el tratamiento:

  • es necesario para fines de medicina preventiva o laboral.
  • es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
  • es necesario para la formulación, el ejercicio o la defensa de reclamaciones o que los datos se requieran judicialmente.
  • es necesario por razones de interés público en el ámbito de la salud pública, como control de enfermedades transmisibles, epidemias, amenazas transfronterizas, etc.
  • se realice con fines de investigación científica, de archivo en interés público o estadísticos.

En estos casos pueden tratarse los datos de salud sin necesidad de contar con el consentimiento del interesado, siendo en todo caso necesario facilitar la información correspondiente en materia de protección de datos. De hecho, para evitar confusiones respecto a la toma de decisiones sobre los derechos de autonomía del paciente y sobre el tratamiento de sus datos personales, la AEPD recomienda que la información se facilite de forma diferenciada, que vayan separadas la hoja del consentimiento sanitario dirigida al paciente de la hoja de información referida al tratamiento de sus datos personales.

En cuanto al tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años, debiendo ser el consentimiento para las actuaciones sanitarias que lo exijan, informado y por escrito.

Sobre el uso de los datos de los pacientes para finalidades diferentes a la de la asistencia sanitaria, se permite en ciertos casos el tratamiento de datos incorporados a una historia clínica con otros fines. Por ejemplo, con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, aunque la regla general en estos casos será la separación de los datos identificativos y los clínico-asistenciales.

En particular, para la utilización de datos en materia de investigación en salud, se ha de tener en cuenta lo previsto en la Disposición adicional 17ª de la LOPDGDD.

Para otras actuaciones, como puede ser, por ejemplo, el envío de publicidad sobre otros servicios o el ofrecimiento de servicios no programados debe buscarse una legitimación específica como el consentimiento o el interés legítimo del profesional sanitario o de la clínica, siempre que se le haya informado sobre esta posibilidad, el hecho de recibir publicidad esté dentro de las expectativas razonables del paciente, y se le garantice que puede oponerse a su recepción en cualquier momento.

Todo esto en relación con los datos personales de los pacientes, pero también respecto del tratamiento de los datos de los profesionales sanitarios, la AEPD contesta a dos preguntas concretas:

  • ¿Puede constar el nombre y apellido de los profesionales en las tarjetas identificativas?

Se entiende justificado y proporcional que conste la identificación del profesional en una tarjeta claramente visible para el paciente, pues puede ser necesario para éste conocer la identidad de la persona que le está prestando el servicio.

  • ¿Puede constar identificado un profesional sanitario en una reclamación hecha por un paciente para que intervenga como testigo?

Se entiende en este caso que existe un interés legítimo en el tratamiento de estos datos o que dicho tratamiento se justifica por el ejercicio del derecho a la tutela judicial, incluso puede suceder que la identificación del profesional esté recogida como una obligación en la normativa aplicable en las distintas comunidades autónomas.

  • ACCESO A LA HISTORIA CLÍNICA

A este tema concreto ya hemos dedicado varios artículos en este blog (ver aquí, aquí y aquí), y como premisa hay que tener claro que  siempre se ha de partir de que el acceso a la historia clínica con el propósito de una atención eficaz y eficiente para la salud, nunca puede limitarse con la excusa del cumplimiento de la normativa de protección de datos.

Sin embargo, no cualquier profesional y ante cualquier circunstancia puede acceder a la historia clínica de los pacientes, así las posibilidades son distintas según el tipo de función profesional y de la finalidad del acceso a dichos datos:

              Los profesionales sanitarios    Puede acceder a la historia clínica el profesional sanitario o equipo implicado en la asistencia al paciente o aquellos que sean consultados por éste, para mejorar la atención terapéutica. En todo caso, el acceso estará limitado a los datos precisos y, si no fuera necesario conocer la identidad del paciente, no se deberá acceder.   Los miembros del Comité de Ética Asistencial (algunos pueden no ser profesionales sanitarios), accederán a la información que sea estrictamente precisa para emitir la correspondiente opinión ética que sea sometida a su consideración.    
  El personal administrativo y de gestión    Solo puede acceder a los datos necesarios para el ejercicio de sus funciones.
  La Inspección/ evaluación/acreditación    Un inspector/a sanitario/a podría, por ejemplo, acceder para comprobar el proceso asistencial realizado por los profesionales que los hubiesen tratado.  
      Con fines docentes  Los estudiantes cuando resulte necesario para su actividad docente o para la realización de prácticas, deben tener un acceso limitado con un perfil de estudiante, pudiendo solo acceder con la oportuna autorización, a aquellos datos necesarios para su correcta formación.   Para la realización de TFGs y TFMs la regla general debe ser el acceso a datos disociados, que no permitan la identificación del paciente.   El profesional sanitario puede utilizar los datos clínicos de pacientes con fines docentes (para impartir clases, cursos, etc.) siempre que no sea posible la identificación del paciente.
  Con fines de salud pública y epidemiológicos  La regla general en el acceso a la historia clínica con estos fines se debe llevar a cabo, separando los datos de identificación personal de los de carácter clínico asistencial, salvo que el paciente haya proporcionado el consentimiento para no separarlos.   Aun así, en este ámbito, podría accederse a los datos identificativos por razones de interés público, como cuando exista un riesgo o peligro grave para la salud de la población.  
    Con fines de investigación    Podrán utilizarse datos de salud de personas identificadas para investigar, si se cuenta con su consentimiento, incluso cuando el consentimiento se hubiera dado anteriormente para una determinada investigación y se quiera volver a utilizar los datos para una nueva investigación en un área relacionada con la anterior.  
    Con fines judiciales    Deberá ponderarse, por parte de la autoridad judicial, la pertinencia o, la inconveniencia, de acceder e incorporar en el expediente judicial la historia completa de una persona.
  Por las autoridades administrativas    Sólo pueden obtener datos de la historia clínica cuando cuenten con el consentimiento del titular o así esté previsto en una norma legal de manera específica.  

De forma independente a las obligaciones del responsable del tratamiento, el personal sanitario que accede a una historia clínica injustificadamente puede verse sujeto a distintos tipos de responsabilidad penal, disciplinaria y administrativa por protección de datos, que en algunos casos pueden darse, incluso, de manera conjunta.

  • GESTIÓN DE LOS DERECHOS DE LOS PACIENTES RESPECTO AL TRATAMIENTO DE SUS DATOS

En el ámbito sanitario, hay que especificar que los derechos se concretan en relación con la historia clínica en la Ley de autonomía del paciente y en la diferente legislación autonómica sobre la materia, que se aplican como leyes especiales con carácter preferente al RGPD.

Conforme a dicha normativa pueden ser objeto de algunas limitaciones, como puede ser la posibilidad de rectificar o suprimir datos de la historia clínica, y otros tendrán escasa aplicación, como el derecho de oposición.

En general, estas limitaciones son consecuencia de la ley de autonomía del paciente, la cual obliga a conservar toda la información necesaria para conocer el estado de salud del paciente con el fin de garantizar la asistencia sanitaria.

En el caso de menores de edad, a partir de los 14 años pueden acceder a su historia clínica, pues tienen derecho a estar informados de los asuntos que les conciernen.

Sin embargo, los padres y madres podrán acceder también a la historia clínica de sus hijos hasta la mayoría de edad, ya que son titulares de la patria potestad y tienen la obligación de velar por ellos y pueden intervenir en este ámbito para cumplir con sus deberes de cuidado y asistencia.

Si los padres están separados o divorciados y ambos tienen el ejercicio de la patria potestad, aunque la guarda y custodia se le haya atribuido a uno solo de ellos, ambos deben estar informados y deciden sobre la salud de sus hijos y, en consecuencia, tienen acceso a su historia clínica.

  • Derecho de acceso

Conforme a la Ley de Autonomía del Paciente, el paciente tiene derecho a acceder a la documentación de su propia historia clínica y a los datos que constan en ella. En cambio, la normativa de protección de datos no reconoce el derecho de acceso a documentos concretos de la historia, sino a obtener confirmación de si se están tratando o no sus datos personales, y en caso afirmativo, derecho de acceso a los mismos mediante copia y a determinada información.

No obstante, el derecho de acceso del paciente no incluye datos de terceras personas que consten en la historia clínica en interés terapéutico del paciente, ni a las anotaciones subjetivas de los profesionales sanitarios, que se hayan opuesto a ello.

El paciente tiene derecho además a conocer los accesos que se han producido a su historia, pero, actualmente, tampoco ni la normativa sobre protección de datos, ni la normativa estatal sanitaria reconocen expresamente que este derecho incluya la identificación de los profesionales que han accedido a la historia clínica de un paciente. La Guía para pacientes y usuarios de la sanidad publicada por la AEPD en noviembre de 2019, a la que hemos hecho referencia al inicio, indica que “salvo que una ley lo permita expresamente, el derecho de acceso no incluye la identificación de los profesionales sanitarios que acceden a la historia clínica”. No obstante, algunas normas autonómicas ya sí reconocen la posibilidad de conocer la identidad de quién ha accedido, como Navarra y Extremadura, en cuyo caso el paciente podrá también solicitar estos datos cuando ejercite su derecho de acceso.

  • Derecho de rectificación

El paciente tiene derecho a que se rectifiquen sus datos personales inexactos, pero en el caso de rectificación de datos clínicos, será el facultativo que esté a cargo del paciente quien determine si procede dicha rectificación conforme a los criterios sanitarios aplicables.

  • Derecho de supresión

La supresión de datos de la historia clínica está muy restringida, puesto que ésta tiene como finalidad principal garantizar una correcta atención sanitaria al paciente, de ahí que su contenido no pueda quedar únicamente en manos del propio paciente y sea el profesional sanitario quien decida si procede o no suprimir un dato en función de su trascendencia clínica.

Cuando se trate de datos sin relevancia para la asistencia sanitaria, sí deberían poder suprimirse tales datos.

En caso de que se elimine incorrectamente documentación clínica, además de incumplirse la obligación de conservación de la historia clínica, en la medida en que esta documentación contenga datos personales nos podríamos encontrar en situaciones de brechas sobre la confidencialidad, disponibilidad o integridad, de donde se puede derivar la correspondiente responsabilidad legal.

Precisamente en relación con el ejercicio de derechos a las historias clínicas, en la AEPD se reciben múltiples solicitudes de tutela de derechos sobre el acceso a dichas historias (ver aquí).

En siguientes publicaciones de este blog, continuaremos analizando esta Guía, abordando lo relativo a la posición jurídica de los profesionales que prestan servicios en hospitales o clínicas, así como lo relativo a la gestión de situaciones que pueden implicar comunicación de datos a terceros.