Hace algunas semanas iniciamos el análisis de la Guía para profesionales del Sector Sanitario (en adelante, la Guía), una de las últimas guías que ha publicado la Agencia Española de Protección de Datos (AEPD), con el fin de facilitar el cumplimiento por parte de los profesionales de la salud de la normativa actual en materia de protección de datos de carácter personal.
Mientras que en la primera parte del análisis nos hemos centrado en estudiar cuál es la base legitimadora del tratamiento de los datos personales de los pacientes, en quién puede acceder y cómo al historial clínico, y en la propia gestión de los derechos de los pacientes respecto al tratamiento de sus datos; dedicaremos una segunda parte a estudiar otros dos puntos de interés:
- LA POSICIÓN JURÍDICA DE LOS PROFESIONALES QUE PRESTAN SERVICIOS EN HOSPITALES O CLÍNICAS
Respecto de los criterios sobre la responsabilidad del tratamiento de datos de pacientes en los casos en los que el profesional sanitario es el que toma todas las decisiones sobre la atención a los mismos y al tratamiento de sus datos, podemos encontrar tres supuestos:
1. Que el profesional sanitario preste sus servicios en un hospital o en una clínica, arrendando una consulta, y tome todas las decisiones sobre la atención sanitaria de sus pacientes, incluyendo el tratamiento de sus datos personales.
En este caso, el profesional sanitario es el responsable del tratamiento de los datos personales de sus pacientes, ya que es quien decide sobre los fines y medios del tratamiento.
2. Que el profesional sanitario, si bien toma todas las decisiones sobre la atención sanitaria de los pacientes, se encuentra contratado para ello por el hospital o la clínica.
En este caso, los pacientes son del centro y el profesional sanitario es un empleado, por tanto, es el hospital o la clínica quien tiene encomendadas todas las obligaciones en materia de protección de datos.
Cabe aquí hacer referencia a un procedimiento iniciado por la Agencia PS/00391/2020, en el que un profesional sanitario reclamó al centro de salud donde había prestado servicios, una copia de la historia clínica de los pacientes que había atendido durante la vigencia de su contrato, al considerar que el contrato no era laboral, sino mercantil, y que por tanto la titularidad de los datos personales de las historias clínicas no podía mantenerse en el sistema informático de la clínica sino que debían ser custodiados y almacenados por el profesional.
Sin embargo, tras una práctica de prueba, se constató que el reclamante no cumplía requisito alguno para poder ser considerado responsable del tratamiento, al no decidir ni sobre los fines ni sobre los medios del tratamiento; y finalmente se archivó el procedimiento.
3. Que el profesional sanitario compagine la atención a sus propios pacientes en una consulta de la clínica u hospital, con la atención a los pacientes pertenecientes al centro sanitario.
En este supuesto la relación jurídica entre el profesional sanitario y la clínica u hospital se desdibuja y hay que determinar respecto de qué pacientes el personal sanitario o el centro de salud respectivamente son responsables del tratamiento o si comparten la determinación de los fines /o los medios del tratamiento, en cuyo caso nos encontraríamos ante un supuesto de corresponsabilidad regulado en el artículo 26 del Reglamento General Europeo de Protección de Datos (RGPD).
En cualquier caso, la Guía indica que para determinar en todos estos supuestos quién es el responsable, se ha de atender al caso concreto y al concepto funcional de responsable del tratamiento, tal y como se recoge en el Informe 0064/2020 del Gabinete Jurídico de la AEPD que, analizando las Directrices 07/2020 del Comité Europeo de Protección de Datos sobre los conceptos de responsable y encargado del tratamiento. De todas formas, matiza que en el ámbito público el responsable del tratamiento será siempre la autoridad sanitaria, que es quien tiene encomendadas por las competencias sanitarias, lo que le exige determinar los fines y medios del tratamiento.
Hace referencia la Guía en este apartado a que, dentro de las consultas formuladas por los delegados de Protección de Datos del ámbito sanitario en la reunión celebrada con ellos en 2019, se planteó una duda sobre la posición jurídica de un laboratorio de pruebas diagnósticas.
Aquí el criterio de la AEPD fue que el laboratorio ha de ser considerado un centro sanitario, definido por el artículo 3 de la Ley de Autonomía del Paciente (LAP) como, “el conjunto organizado de profesionales, instalaciones y medios técnicos que realiza actividades y presta servicios para cuidar la salud de los pacientes y usuarios”.
El artículo 17.1 de la LAP indica que “Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial”.
Por ende, ante el posible tratamiento que pudiera derivarse de la relación jurídica existente entre el laboratorio y la entidad que solicita el servicio, la LAP impone al laboratorio la obligación del tratamiento de los datos que hayan de incorporarse a la historia clínica del paciente, excediendo dicho tratamiento de las instrucciones del responsable del tratamiento, lo que determina la imposible aplicación del artículo 28 del RGPD y la imposibilidad de considerar que el laboratorio como centro sanitario, sea un mero encargado del tratamiento de la entidad sino que será responsable del tratamiento de datos personales de los pacientes, derivado de los análisis clínicos que haya efectuado.
- GESTIÓN DE SITUACIONES QUE PUEDEN IMPLICAR COMUNICACIÓN DE DATOS A TERCEROS
La Guía da respuesta a algunas de las preguntas más frecuentes con relación a la protección de datos, que se suscitan en el desempeño de las funciones de los profesionales sanitarios:
¿Cómo llamar a los pacientes en las consultas?
Toda persona tiene derecho a que se respete su intimidad, por lo que, para llamar a pacientes en las consultas no se deben utilizar datos identificativos (como el nombre y apellidos), sino algún otro sistema proporcional (asignación de un código o número al paciente en el caso de utilizar monitores en los que se muestran pacientes de distintas consultas, utilización del nombre de pila al llamar por voz en un entorno que solo van a escucharlos los pacientes de la misma consulta, etc.).
¿Cómo gestionar la información en mostradores de admisión para que no sea accesible al resto de pacientes que esperan?
El profesional encargado de la admisión deberá igualmente gestionar y comunicar la información de manera que no sea accesible a otros pacientes.
En cualquier caso, deben adoptarse medidas que permitan salvaguardar la intimidad del paciente y la confidencialidad de la información relativa a su salud, por ejemplo, estableciendo la una separación entre el paciente que está siendo atendido y el que espera o separando las zonas de admisión y las salas de espera.
¿Qué información debe prestarse para cancelar o posponer una cita por teléfono y cómo comprobar la identidad del interesado?
Con el fin de evitar la comunicación a terceros de datos de salud de una persona sin su consentimiento o la eliminación de dichos datos con el consiguiente perjuicio, deben establecerse mecanismos de identificación a los efectos de comprobar que se corresponde con el interesado ¿Cómo? Por ejemplo, solicitando varios datos de identificación del paciente, y comprobando que coinciden con los que constan en la base de datos.
Si es el interesado el que llama, debería ser quien facilite la información sobre la cita que quiere posponer o cancelar; y si es el centro el que llama, deberá hacerlo al teléfono que ha sido facilitado por el paciente, informando en el momento de la recogida de los datos de contacto de se podrá utilizar ese número para ese fin.
En cualquier caso, deberá facilitarse la mínima información posible para identificar la cita, evitando hacer referencia a las posibles causas por las que se concertó.
¿Qué información se puede dar cuando se llama a un hospital preguntando por un posible ingreso de una persona y/o la habitación en la que se encuentra y no se ha podido obtener el consentimiento del paciente?
Aquí la AEPD es clara. No puede darse información sobre el ingreso de una persona y/o habitación en la que se encuentra si no se ha obtenido su consentimiento.
En caso de que el paciente no se encuentre en condiciones de prestar el consentimiento, podrán consentir los familiares, pero es importante que tanto él como a los familiares se les informe convenientemente sobre esta cuestión y sus consecuencias, antes de que presten el consentimiento.
También podemos encontrar en situaciones excepcionales, como pacientes que ingresan en urgencias (cuyo consentimiento se recabará cuando sean trasladados a planta), pacientes inconscientes o personas desaparecidas.
En estos casos sí se podrá facilitar dicha información sin necesidad de consentimiento, pues la presencia de familiares o allegados puede ser esencial para la debida atención del paciente.
Eso sí, únicamente se proporcionará información sobre si la persona se encuentra en urgencias o ingresada y el número de habitación, sin indicar datos de salud o la atención médica prestada.
Gestión de los justificantes de asistencia de los acompañantes de pacientes ingresados ¿es necesario contar con el consentimiento del paciente? ¿debe comprobarse el parentesco?
No es necesario el consentimiento del paciente, puesto que el acompañante tiene un interés legítimo en obtener dicho justificante, teniendo que justificar la vinculación/parentesco con elpaciente.
En cualquier caso, la información que contenga el justificante debe ser la mínima imprescindible para la finalidad que tiene que cumplir (identificación del paciente, fecha/hora ingreso; duración del ingreso), sin que puedan incluirse datos que permitan identificar la causa que lo provocó.
Por último y dada la relación que existe con este apartado de la Guía, cabe traer a colación una reciente resolución sancionadora de la AEPD (ver aquí), por la que un interesado reclama a una compañía de seguros y reaseguros, haber recibido en su dirección de correo electrónico, en numerosas ocasiones y habiéndolo comunicado a la entidad sin ser solventado, autorizaciones de pruebas médicas de terceros que no conoce, incluyéndose en algunos casos el tipo de prueba diagnóstica.
La AEPD consideraba que existían indicios razonables y suficientes de que las medidas de seguridad técnicas y organizativas con las que contaba la entidad en relación con los datos de salud que sometía a tratamiento, no eran las adecuadas en el momento de producirse los accesos indebidos.
Consecuentemente, se produjo la exposición a tercera persona ajena de datos personales relativos a la salud de otros clientes/pacientes, viéndose los afectados desprovistos del control sobre sus datos personales.
Hay que añadir, además, que en relación con la categoría de datos a la que tercera persona ajena había tenido acceso, se encuentran en la categoría de datos especiales según lo dispuesto en el artículo 9 del RGPD, circunstancia que supone un riesgo añadido que se ha de valorar en el estudio de gestión de riesgos y que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de la integridad y confidencialidad de estos datos.
Queda por tanto patente que, los profesionales que tratan datos de salud deben de tener en cuenta que, en todo caso, la falta de implementación de medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado en el tratamiento de datos personales podría constituir infracción de lo dispuesto en el artículo 32 del RGPD.