La ley de protección de datos médicos es una obligación fundamental para todos los centros sanitarios. La información médica, que incluye diagnósticos, historiales clínicos, resultados de pruebas y tratamientos, es uno de los tipos de datos personales más sensibles que existen, y por ello, es clave que esta información se maneje de forma segura y confidencial, garantizando la protección de la salud.
Desde WeOk, te ofrecemos un artículo donde comentaremos los aspectos más importantes de la protección de datos sanitarios.
Resumen de la ley de protección de datos médicos
La ley de protección de datos médicos está basada en el Reglamento General de Protección de Datos (RGPD) y en la Ley Orgánica de Protección de Datos (LOPDGDD). Sin embargo, en la Ley de Autonomía del Paciente también se regulan aspectos concretos sobre la protección de los datos sanitarios de los pacientes. Estas leyes tratan de garantizar que los datos personales se tratan de forma lícita y transparente. Puesto que estos datos tienen un carácter más sensible que la mayoría, las obligaciones relativas a ellos son más estrictas que en otros casos, con lo que están especialmente protegidos.
Hay tres aspectos fundamentales que los centros sanitarios deben tener en cuenta al tratar los datos personales de los pacientes:
Quién es el responsable del tratamiento en centros sanitarios
La ley de protección de datos médicos determina que el responsable del tratamiento en centros sanitarios es el médico cuando actúe como profesional individual, por ejemplo, en una consulta privada, o el propio centro sanitario, ya sea público o privado.
Esto quiere decir que el responsable del tratamiento es la persona que realiza la historia clínica y la custodia, por lo que también es la persona que tiene la obligación de poner en práctica medidas de seguridad para proteger dichos datos.
Información al paciente
La ley de protección de datos médicos también determina que el responsable del tratamiento deberá cumplir el deber de informar al paciente sobre todo lo relativo al tratamiento, incluyendo información sobre:
- la existencia del tratamiento.
- la finalidad del tratamiento.
- los destinatarios de los datos.
- los datos del responsable del tratamiento.
- el plazo de conservación de los datos.
- la posibilidad del ejercicio de sus derechos.
Legitimación para el tratamiento de los datos
La ley de protección de datos médicos establece las distintas bases que legitiman el tratamiento de los datos, es decir, que el tratamiento es lícito cuando:
- se recaba el consentimiento de protección de datos del titular.
- el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona, cuando el interesado no tenga capacidad para dar su consentimiento.
- el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento sanitario o social, o gestión de los sistemas y servicios de asistencia social y sanitaria.
- el tratamiento sea necesario por interés público relacionado con la salud pública.
- el tratamiento tenga como finalidad la investigación científica, o estadística.
- el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los datos hayan sido reclamados por vía judicial.
Obligaciones de los centros sanitarios según la ley de protección de datos médicos
La ley de protección de datos médicos establece una serie de obligaciones para garantizar la seguridad de los datos de la salud de los pacientes, asegurando su confidencialidad, integridad y disponibilidad, y protegiendo los derechos de los interesados.
Llevar un registro de actividades de tratamiento
Al tratarse de datos relativos a la salud, los responsables del tratamiento están obligados a llevar un registro de actividades del tratamiento, independientemente del tamaño de la empresa. Este registro debe contener, como mínimo, la siguiente información:
- datos del responsable del tratamiento, y en el caso de que los haya, del corresponsable, representante, y delegado de protección de datos.
- finalidad del tratamiento.
- descripción de las categorías de los datos y de los interesados.
- categorías de los destinatarios.
- si las hay, las transferencias internacionales de datos y la documentación de garantías.
- descripción de las medidas de seguridad implementadas.
Realizar análisis de riesgos y evaluación de impacto
Antes de realizar cualquier tratamiento de datos, es necesario llevar a cabo un análisis de riesgos en protección de datos, para identificar los posibles problemas que puedan surgir en el proceso. Además, como se trata de datos especialmente protegidos, también es necesario realizar una evaluación de impacto de protección de datos. Estas dos herramientas sirven para determinar las medidas de seguridad que se deben implementar para reducir o eliminar los riesgos encontrados.
Cesión de datos a terceros
En caso de que los datos sean cedidos a terceros, la ley de protección de datos médicos determina que el responsable del tratamiento debe comunicárselo al paciente, y además, debe cumplir los siguientes requisitos:
- definir, en un contrato por escrito, la regulación del tratamiento por cuenta de un tercero, que será el encargado del tratamiento.
- garantizar que el encargado solo tratará los datos según sus instrucciones.
- comprobar que los datos no se usen para fines diferentes a los establecidos en el contrato, si se comuniquen a otras personas.
- excepciones:
- que la comunicación de los datos sea para prevenir, diagnosticar o asistir a los afectados a los que se refieren.
- en el caso de las mutuas y compañías de seguros, los datos se pueden comunicar de acuerdo al principio de calidad y solo para elaborar la factura del gasto sanitario.
Garantizar la confidencialidad de los empleados
Otra de las obligaciones que determina la ley de protección de datos médicos es que todos los empleados que tengan acceso a los datos de los pacientes, deben cumplir con el deber de confidencialidad, es decir, no pueden compartir, difundir, ni hacer públicos los datos.
Designar un Delegado de Protección de Datos (DPO)
Según el artículo 34.1 letra l de la LOPDGDD, los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes están obligados a designar un Delegado de Protección de Datos (DPO), que puede ser interno, es decir, un empleado del centro sanitario, o externo, por ejemplo, contratado a través de una consultoría.
Notificar brechas de seguridad
En el caso de que se produzca una brecha de seguridad, se debe notificar tanto a los interesados como a la Asociación Española de Protección de Datos (AEPD) en el plazo de 72 horas desde que se tiene constancia de la brecha. Además, también se debe informar de las medidas que se tomarán para solucionarla.
Plazos de conservación de los datos médicos
El plazo de conservación de datos sanitarios es de al menos cinco años desde el alta de cada proceso asistencial. Es decir, cuando un paciente recibe el alta o deja de asistir al centro sanitario, los datos no se pueden eliminar, sino que se deben conservar, como mínimo, 5 años. Sin embargo, los datos sí se pueden bloquear para que no sean tratados.
Página web del centro sanitario
En el caso de que el centro sanitario tenga una página web, esta debe incluir el aviso legal, la política de privacidad, y la política de cookies.
Tus derechos relativos a tus datos de salud
El RGPD, la LOPDGDD, y la ley de protección de datos médicos recogen una serie de derechos de protección de datos denominados los derechos ARCOPOL o derechos ARSULIPO, que incluyen los derechos de acceso a la historia clínica, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Derecho de acceso a la historia clínica
Los pacientes titulares de los datos tienen derecho a solicitar al responsable del tratamiento el acceso a su historia clínica. Este acceso debe darse en el plazo de un mes y, siempre que sea posible, a través del mismo medio por el que se recogió la solicitud.
Descubre la ley de protección de datos médicos con WeOk
La ley de protección de datos médicos es clave para garantizar la privacidad de los pacientes, por lo que no debería verse solo como una cuestión legal, sino también ética. Además, puesto que los datos cada vez están más digitalizados, esta protección es cada vez más importante.
Desde WeOk, te ofrecemos nuestras herramientas y nuestro asesoramiento experto en la ley de protección de datos médicos. Si quieres más información, no dudes en consultarnos. ¡Te asesoramos!
