Los datos personales sanitarios, es decir, los datos personales asociados a la salud, son datos sensibles, gozan de una protección especial y constituyen una categoría especial de datos personales tras la entrada en vigor del RGPD, Reglamento General de Protección de Datos.

El RGPD define «datos personales» como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”

Los «datos personales sanitarios» se definen como: “los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Los datos genéticos son considerados datos personales asociados a la salud, siendo estos datos relativos a características genéticas heredadas o adquiridas que faciliten una información única sobre la fisiología o salud personal.

Por lo tanto, los datos personales que conforman las bases de datos de salud son de dos tipos, por un lado tenemos datos que identifican a la persona, nombre, apellidos, teléfono, dirección, DNI y por otro lado tenemos a los propios datos de salud, como medicamentos, pruebas diagnósticas efectuadas, antecedentes familiares existentes, etc.

El conjunto de estos datos de información personal y de salud conforma la historia clínica, siendo esta definida en la Ley 41/2002 de 14 de noviembre como el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial.

El responsable del tratamiento de los datos contenidos en las historia clínica es el médico o centro sanitario, teniendo la obligación de elaborarla, custodiarla e implementar las medidas de seguridad adecuadas para que no se extravíe o se produzca un acceso no permitido por terceros, teniendo el paciente derecho a solicitar una copia de su historia, así como derecho a pedir rectificación o supresión de datos, etc.

Legitimación y derecho de información para el tratamiento de datos sanitarios

Por lo general, cuando un paciente acude a un centro sanitario, ya sea público o privado, no es necesario pedir el consentimiento al paciente para el tratamiento de sus datos, ya que, casi siempre, acude de cara a recibir asistencia sanitaria, siendo necesario el conocimiento y posterior tratamiento de datos de salud para poder dar al paciente la adecuada asistencia.

Sin embargo, si es preciso cumplir con el deber de informar al paciente en relación a lo siguiente :

  • La identidad y los datos de contacto del responsable del tratamiento de datos de salud y, en su caso, de su representante.
  • Datos de contacto del delegado de protección de datos, en los supuestos en los que sea obligado contar con dicha figura. Hospitales, clínicas, centros de salud, etc, deben de contar con delegado de protección de datos, no siendo obligatorio en el caso de consultas privadas de un único profesional sanitario. Los pacientes podrán dirigirse a esta figura de cara a que atienda reclamaciones en relación al tratamiento de datos y ejercicio de derechos.
  • Los fines y base jurídica del tratamiento de datos.
  • Los destinatarios o las categorías de destinatarios de los datos personales.
  • La existencia por parte del responsable de intención de realizar una transferencia de datos a un tercer país u organización internacional.
  • El plazo de conservación de los datos, siendo el mínimo de cinco años, conservándose mientras sean necesarios para poder dar una adecuada asistencia.
  • El derecho a solicitar al responsable del tratamiento el ejercicio de derechos de acceso, rectificación, supresión, limitación, etc.
  • El derecho a retirar el consentimiento, así como el derecho a presentar una reclamación ante una autoridad de control.
  • La existencia de toma de decisiones mediante procesos informáticos sin intervención humana, es decir, decisiones automatizadas.
  • Cuando se proyecte un tratamiento ulterior de datos personales para un fin distinto al que fueron recogidos, se ha de facilitar toda información y aclaración posible, con anterioridad a dicho tratamiento ulterior, al interesado

Hospitales, clínicas, centros sanitarios han de cumplir con el RGPD

Déjate asesorar por expertos

Víctor Manuel Fernández Gómez, Redacción Equal.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.