EL Reglamento de protección de datos en el ámbito sanitario

El Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD).

El RGPD por sus siglas en español (Reglamento General de Protección de Datos) es el instrumento legal comunitario que regula la protección de los datos personales de los ciudadanos que viven en la Unión Europea.

Además del reglamento, existe normativa de desarrollo nacional (el RD 5/2018 de 27 de julio y el proyecto de Ley Orgánica de Protección de Datos) para regular algunos aspectos como el procedimiento de instrucción ante incumplimientos y los plazos de prescripción de sanciones, entre otras materias.

El RGPD afecta a todos los profesionales que operan en el sector sanitario y su correcta aplicación es incluso más compleja que en otros ámbitos ya que el tipo de datos que tratan son especialmente sensibles, los datos relativos a la salud.

¿Cuáles son los tratamientos de datos habituales en el sector sanitario?

1. Historia clínica, en la que se registran y tratan todos los datos relativos a la salud de los pacientes.
2. Fiscal y contable, relativo a los datos de facturación de los pacientes y de los proveedores.
3. Incidencias, fichero en el que se registren incidencias relativas a los derechos de los pacientes, de los trabajadores y colaboradores.
4. Nóminas, personal y recursos humanos.
5. De videovigilancia.
6. Organizativo, en el caso de que, para la prestación del servicio, la consulta esté organizada a través de una sociedad, comunidad de bienes o sociedad civil, donde se incluyan los datos de los socios, poderes de representación, etc.
7. Tratamientos relacionados con actividades comerciales relativas a productos sanitarios.
8. Cualquier otro que pudiera crear el establecimiento sanitario.

El RGPD define en su artículo 4.15 como datos personales relacionados con la salud aquellos “relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Teniendo en cuenta así mismo la Ley de Autonomía del Paciente 41/2002 de 14 de noviembre, especialmente su artículo 2, la información y documentación clínica necesaria para la prestación de servicios sanitarios adquiere el nivel más alto de protección legal del ordenamiento nacional y europeo.

¿Qué implicaciones tiene el RGPD en la prestación de servicios sanitarios?

Las principales exigencias legales que deben cumplir los responsables de los datos para el cumplimiento de este Reglamento en el ámbito sanitario serían:

1. El artículo 30 del RGPD establece la obligación de llevar, a nivel interno, un registro actualizado de los diferentes tratamientos de datos del centro sanitario.
2. En lo relativo a la base legal para el tratamiento de este tipo de datos, el artículo 9 del RGPD establece que el consentimiento del paciente deberá ser explícito, específico para cada tratamiento, libre e informado. En cuanto a la edad mínima para otorgar consentimiento, se reduce desde los 14 a los 13 años. Por debajo de esa edad, el consentimiento se debe recabar de los progenitores o tutores legales del menor.
3. El artículo 31.1 c) del RGPD recoge la preceptiva incorporación de un Delegado de Protección de Datos (en adelante DPO), con autonomía en el ejercicio de sus funciones y la formación adecuada para el desempeño de dichas funciones. La obligación emana del tratamiento masivo de datos de carácter sensible que se produce en los hospitales y centros de salud.
4. En virtud del artículo 35.2 del RGPD, se debe contar con Evaluaciones de Impacto en la Protección de Datos de cada tratamiento de alto riesgo, entre los que se incluyen aquellos datos relativos a la salud. La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).
5. Es habitual que los datos se comuniquen entre entidades para el mejor tratamiento del paciente. En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permite esta transmisión con su consentimiento explícito. Dicha comunicación de datos a terceros deberá regularse contractualmente, delimitando las obligaciones del tercero (encargado del tratamiento), que deberá cumplir las mismas medidas de seguridad que la entidad cesionaria (responsable del tratamiento).
6. En el caso particular de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse, en virtud de ser un tratamiento necesario para la ejecución de un contrato en el que el interesado es parte, y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario. Eso sí, solo los datos que resulten adecuados, pertinentes y no excesivos para determinar el importe de dicha asistencia sanitaria y atendiendo al artículo 24 del GDPR, habrá que suscribir un contrato de cesión de datos entre la Aseguradora y el Centro Sanitario o Profesional Privado.

Algunas de las principales recomendaciones para el sector sanitario que ha emitido la Agencia Española de Protección de Datos son:

1. El profesional debe acreditar que ha recabado el consentimiento explícito e informado del paciente para tratar sus datos personales. Dicho consentimiento explícito es necesario además para comunicar su presencia y ubicación en el hospital a las personas, familiares o no, que pregunten por ello.
2. Se considera conveniente elaborar y situar en lugar visible, al menos en las áreas de admisión y urgencias, carteles informativos sobre la identificación del responsable del fichero, el modo de ejercitar sus derechos y de la dirección o departamento al que deben dirigirse para ello.
3. Todos los hospitales deberían establecer normas internas que obliguen a la confidencialidad de los datos, tanto al personal del hospital como a todo aquel que pueda tener acceso a los datos de los pacientes como médicos residentes, estudiantes o personal externo.
4. Establecer un registro de incidencias donde se documente cualquier “violación” de seguridad de los datos personales y las respuestas a dichos incidentes.
5. Crear un control de acceso a historiales clínicos de pacientes, con perfiles con contraseña para cada facultativo. Se recomienda el establecimiento de alertas de confidencialidad que se muestren al usuario del sistema cuando acceda a los datos de un paciente que no tiene asignado. Además, es indicativo de una mayor cultura de cumplimiento el conservar registro documentado de acciones y accesos a historiales de pacientes y cualquier otro dato relativo a la salud del mismo.
6. Todas las comunicaciones de datos de salud que se realicen a través de redes públicas de telecomunicaciones se deben efectuar utilizando un medio robusto de cifrado o utilizando otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
7. Cada dos años se recomienda realizar auditorías de las medidas de seguridad sobre los ficheros de datos personales que permita detectar deficiencias en dichas medidas y corregirlas antes de que se produzca un incidente.
8. Deben implantarse medidas para el traslado de documentación médica en papel fuera del hospital que eviten que la historia clínica sea accedida o modificada durante el traslado, tales como sobres cerrados con procedimiento de notificación de recepción por parte de los centros de destino, o bien que fuese trasladada por personal específico que se encargue de su custodia ininterrumpida. Asimismo, se deben establecer mecanismos de comprobación de la integridad de la historia clínica en papel.

Adicionalmente, como se ha mencionado anteriormente, se está tramitando en el Congreso de los Diputados un Proyecto de Ley Orgánica de Protección de Datos (en adelante ALOPD) que adapta el marco regulatorio español al europeo. Entre las novedades que recoge, las que mayor impacto suponen para el sector sanitario son:

1. En relación con los datos de una persona fallecida, el ALOPD en su artículo 3 establece que los herederos de esta que acrediten tal condición mediante cualquier medio válido conforme a Derecho, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. Esta facultad solo puede ser limitada cuando la persona fallecida lo prohíba expresamente o por disposición legal. En caso de que el fallecido sea menor o incapacitado, será su representante legal o el Ministerio Fiscal a instancia de persona física o jurídica interesada quienes puedan ejercer los derechos de rectificación o supresión de sus datos.
2. En virtud del art. 23 del ALOPD, cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, éste deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la Agencia Española de Protección de Datos. Actualmente sólo existe el fichero denominado Lista Robinson como sistema de exclusión, que está gestionado por la Asociación Española de Economía Digital. Además, quienes pretendan realizar comunicaciones comerciales, deberán previamente consultar los citados sistemas de exclusión publicitaria.

Con esta nueva normativa las exigencias necesarias de adaptación en materia de protección de datos ofrecen una gran oportunidad a los centros sanitarios para actualizar sus sistemas de información, medidas de seguridad, así como la revisión de sus protocolos en beneficio de la confianza de sus pacientes quienes verán mejor protegida su intimidad y confidencialidad de sus datos. Y al final, la confianza de los clientes -pacientes-, tanto por la fidelidad como por su posición de prescriptores del servicio, es uno de los pilares de la competitividad actualmente por lo que adecuarse también supone una ventaja competitiva.

Autor: Jesús Cordero González.

Fuentes

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.

Agencia Española de Protección de Datos (AEPD). Plan sectorial de Sanidad. Memoria Anual de 2017 de la Agencia Española de Protección de Datos.

AEPD: Guía para la gestión y notificación de brechas de seguridad.

ICOMEM. Guía Práctica del Ilustre Colegio Oficial de Médicos de Madrid para el cumplimiento de la normativa sobre Protección de Datos.

INCIBE. Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario.