PROTECCIÓN DE DATOS EN EL ÁMBITO SANITARIO
¿Cómo afecta la protección de datos a la actividad del personal del ámbito sanitario?
«quedan prohibidos el tratamiento de datos personales (…) y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.”
Al respecto, el apartado 2 del citado precepto, a la hora de establecer excepciones a dicha prohibición, concreta que:
«el apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado.”
En relación a esta cuestión, la normativa estatal se ha pronunciado manteniendo y reforzando dicha prohibición, estableciendo que ni siquiera el consentimiento explícito del afectado habilitaría al tratamiento de estos datos considerados de categoría especial; concretamente, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (en adelante LOPDGDD), en el artículo 9 contempla que:
«1. A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos (…)..”
La razón esgrimida para el mantenimiento y refuerzo de esta prohibición, según el mismo texto legal, es la de evitar situaciones discriminatorias, que pudieran ocasionarse por el tratamiento de estos datos de categoría especial.
Sin perjuicio de lo anterior, dicho tratamiento no siempre estará prohibido y como no podría ser de otro modo, la propia LOPDGDD antes mencionada, contempla en el artículo 9.2 de la misma, excepciones que habilitan el tratamiento de esta tipología de datos relativos a la salud:
«2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad (tratamiento por razones de interés público esencial, fines de medicina preventiva o laboral, así como por razón de interés público en el ámbito de la salud pública).”
«En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.”
¿Qué normas con rango de ley, en la actualidad, habilitan el tratamiento de datos de salud?
En este sentido, la disposición adicional decimoséptima de la ley citada con anterioridad, relativa al tratamiento de datos de salud, especifica que normas con rango de ley amparan y legitiman el uso de esta categoría especial de datos, resaltando entre estas normas, en el supuesto del personal sanitario, las siguientes:
A) La Ley 14/1986, de 25 de abril, General de Sanidad.
C) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
D) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.
E) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.
G) La Ley 33/2011, de 4 de octubre, General de Salud Pública.
En el resto de apartados de esta disposición adicional, se contemplan los supuestos de leyes, referentes a cuestiones como PRL, sector seguro, etc.
Al margen de lo anterior, en el ámbito de la investigación biomédica, debemos resaltar que el consentimiento del titular de los datos si es considerado título habilitante para el tratamiento de los mismos, aunque para ello sea necesario el cumplimiento de ciertas particularidades.
¿Qué supone la figura del Delegado de Protección de Datos en el ámbito sanitario?
Entre las novedades más importantes que introduce el RGPD encontramos la obligatoriedad de designar un Delegado de Protección de Datos (en adelante DPD), en aquellos supuestos contemplados como tal en la norma.
En sentido, en el ámbito sanitario, resulta obligada la designación del DPD, al tratar datos considerados de categoría especial, como es el dato de salud. Sin embargo, la propia LOPDGDD contempla la excepción a dicha obligatoriedad en el caso de tratarse de profesionales que ejerzan su actividad a título individual.
La regulación completa y concreta de esta materia, la encontramos en el art. 35 del RGPD y en el art. 34.1 l) de la LOPDGDD.
Particularidades de la Protección de Datos en el ámbito sanitario:
A) Las tarjetas identificativas de los trabajadores ¿Pueden incluir nombre, apellidos y DNI?
En este caso, como en todo lo concerniente a la protección de datos, nos encontramos con la necesaria ponderación entre dos derechos protegibles:
- El derecho a la intimidad o privado del empleado sanitario con respecto a sus datos de carácter personal.
- El derecho a la información que asiste a los pacientes.
Aunque no existe unanimidad a la hora de establecer un criterio único, parece que lo más acertado en la práctica es optar por la inclusión del nombre y apellidos, así como el cargo en la tarjeta identificativa, prevaleciendo el derecho a ser informado del paciente (art. 13 del RGPD), resultando base legitimadora suficiente para dicho tratamiento el art. 6.1 b) del RGPD (“relación contractual”).
B) Acceso y contenido del historial clínico:
En primer lugar, con respecto al acceso por parte del propio paciente (titular de los datos), el contenido de la historia clínica abarca todo lo contemplado en la misma, incluido las anotaciones subjetivas del profesional implicado. Sin embargo, debemos señalar que, en base al art. 18.3 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, se reserva al profesional el derecho a oponerse a tal acceso ejercitado por el paciente en relación a las anotaciones subjetivas del informe clínico.
En segundo lugar, en relación al acceso al historial clínico por parte de familiares, herederos o vinculados de hecho al paciente, resulta una cuestión controvertida máximo después de la publicación de la LOPDGDD. Así esta norma reconoce el derecho de estos sujetos mencionados con anterioridad a acceder, así como solicitar la supresión o rectificación de los datos relativos a sus familiares fallecidos. No obstante, dicho acceso se encuentra sometido al cumplimiento de ciertos requisitos:
- Que sea acreditada la condición de heredero, familiar o vinculado de hecho.
- Se justifique la necesidad de acceso a los datos contenidos en el historial clínico (finalidad).
- El titular de los datos no lo haya prohibido expresamente.
- Sean suprimidas las anotaciones subjetivas de profesionales contenidas en el historial clínico, así como datos que perjudiquen a terceros o que pertenezcan a la intimidad del paciente (art. 18. 4 de la Ley 41/2002).
Publicado el 27 de Agosto de 2021
Por María González
Responsable del Departamento Jurídico