Skip links
Nueva Guía para profesionales del sector sanitario de la AEPD. Resumen de aspectos generales

Nueva Guía para profesionales del sector sanitario de la AEPD. Resumen de aspectos generales

La AEPD ha publicado esta Guía con el fin de responder las dudas más relevantes que les pueden surgir a estos profesionales en su actividad

Este mes de junio, la AEPD ha publicado la nueva Guía para profesionales del sector sanitario, en la que trata de responder algunas de las dudas más relevantes que les pueden surgir a estos profesionales en su actividad Esta guía viene motivada porque en 2021 se registraron más de 600 reclamaciones por el mal uso de los datos personales relativos a la salud. En este post te resumimos el contenido de la guía y algunos de los puntos más relevantes que se tratan en ella.

Introducción a la Guía

Los profesionales del sector sanitario, además de tratar datos identificativos, tienen acceso a datos de salud, necesarios para cumplir con la finalidad de prestación de asistencia sanitaria. Estos datos que se encuentran dentro de la categoría de datos especiales o datos sensibles, tienen una especial protección y sólo pueden ser tratados bajo ciertas condiciones y garantías necesarias para el correcto uso de ellos.

Puntos en los que se estructura la Guía

En este apartado, hacemos un resumen de la estructura y contenido que de la guía, ¡Recuerda! Esto es solo un resumen, por lo que no entramos a valorar todos los puntos de la guía en su conjunto 1. Conceptos básicos: los datos de salud son necesarios para cumplir con la finalidad de atención sanitaria y, como datos de categoría especial, requieren una protección. Los encargados de proporcionar dicha protección son los responsables del tratamiento de los datos (entidad pública, privada o profesionales individuales) y para ello, dispondrán las medidas de seguridad y decidirán sobre los datos, su recogida y finalidad, además de seleccionar encargados –es decir, terceros que presten algún servicio al responsable- que ofrezcan las garantías de cumplimiento necesarias 2. Legitimación para el tratamiento: La guía hace una diferenciación entre dos conceptos que pueden confundiré: el consentimiento informado, una acción que se realiza muchas veces en el ámbito sanitario, en la relación con los pacientes; y el consentimiento como base legitimadora para el tratamiento de los datos. Para el último caso, la guía recuerda que, en el ámbito sanitario, normalmente los datos podrán tratarse sin consentimiento del interesado, ya que se pueden aplicar otras bases jurídicas, como es el caso del interés vital. Esto no exime, sin embargo, de la obligación de informar al paciente de que sus datos están siendo tratados y con qué fin. En el caso de los menores de edad. A partir de los 14 años, tienen derecho a consentir el tratamiento de sus datos y a ser informados sobre ello. 3. Historias clínicas: la guía facilita información sobre quiénes pueden acceder a las historias, entre ellos: profesionales sanitarios, residentes, estudiantes, centros sociosanitarios, centros privados, etc. Así como de en qué casos pueden tener acceso. Lo más fundamental de este punto es recordar que la protección de datos no pretende obstaculizar la correcta atención sanitaria. Eso sí: todo acceso debe estar correctamente justificado y limitado a lo estrictamente necesario. 4. Responsabilidad del profesional sanitario: debemos tener claro que cualquier actuación no justificada por los sanitarios puede dar lugar a responsabilidades en el ámbito penal -llegando algunas actuaciones a ser constitutivas de delito-, sanciones disciplinarias y también de carácter administrativo. La guía recuerda la importancia de una buena gestión de las brechas de seguridad y recalca el crecimiento reciente de los ciberataques. 5. Obligaciones en el tratamiento de los datos: los profesionales deben asegurarse de que el tratamiento de los datos sea lícito, que se informe al paciente de los derechos que le corresponden, que se van a tratar sus datos, y se respete el deber de confidencialidad. Se debe garantizar el principio de responsabilidad proactiva: cumplir y ser capaz de demostrarlo. 6. Derechos de los pacientes: la guía nos recuerda que el RGPD regula los derechos que existen en materia de protección de datos, si bien en el ámbito sanitario hay ciertas limitaciones sobre esos derechos, por razones de interés público, cumplimiento de obligaciones o prestación de una correcta atención. Como puntos clave:
  • Cuando se de información del paciente acerca de su historia clínica, no se debe incluir información de terceros.
  • Los menores de edad, mayores de 14 años, tienen derecho a ser informados del tratamiento de sus datos. (sin que ello implique que se deje de informar a sus padres o tutores).
  • Cualquier brecha de seguridad, como el borrado accidental de documentación, deberá ser comunicada a la AEPD, si existe un riesgo para los derechos del paciente.
7. Comunicaciones de datos a terceros: cómo llamar a los pacientes en las consultas, cómo gestionar la información para que no sea accesible para el resto de pacientes, cómo dar la información para cancelar o posponer una cita, la información que se puede dar sobre el ingreso de una persona o la gestión de los justificantes de asistencia de los acompañantes son algunos puntos que se intentan resolver en la guía. En el próximo artículo que publicaremos te daremos una serie de recomendaciones sobre estos aspectos tan cotidianos. 8. Seguridad en los centros: en cuanto a la videovigilancia, siempre que se informe de la existencia de cámaras, que se elaboren los correspondientes registros del tratamiento y que aquellas no estén orientadas hacia zonas donde se vea comprometida la intimidad de los pacientes, es lícito el uso de este sistema. La instalación de cámaras con fines distintos a los de seguridad. (como el control laboral de los trabajadores) es otro tratamiento igualmente válido, si se siguen las mismas pautas descritas 9. Posición jurídica de los profesionales sanitarios: por último, se recalca la importancia de identificar quién es el responsable del tratamiento de los datos. En cada caso, dado que es quien asume la elaboración de los registros de actividades y evaluaciones de impacto, la implantación de medidas de seguridad, la guarda y conservación de historias clínicas o la salvaguarda de los derechos de los pacientes. Esto es fundamental en el ámbito sanitario, ya que dependiendo de cómo ejerza su actividad el profesional -a título individual, como empleado, arrendando un espacio, etc.- ostentará responsabilidad o no. Puedes consultar la guía para ampliar este punto.

Continuará…

Hasta aquí nuestro resumen de la nueva guía de la AEPD. En los próximos días, seguiremos profundizando en este tema, con un post con recomendaciones de cumplimiento de esta Guía para profesionales sanitarios ¡Mantente atento! ¡Por cierto! No es la primera vez que resumimos alguno de los recursos de la AEPD. Sin ir más lejos, hace un tiempo dedicamos un artículo a su Guía sobre gestión de riesgos y EIPD, que te animamos a consultar.