Resum de la Guia per a professionals del sector sanitari


Manuel Castilleja Toscano     29/06/2022

L'AEPD ha publicat una Guia per a professionals del sector sanitari on s'aborden diverses qüestions, com qui està legitimat per accedir a la història clínica i en quins casos, conceptes bàsics de dades personals relatives a la salut o la responsabilitat i obligacions derivades de aquests tractaments, així com la gestió dels drets dels pacients o de les situacions que puguin implicar comunicació a tercers.

La Guia aclareix els dubtes més habituals que solen sorgir als professionals sanitaris en la prestació dels seus serveis a títol individual o en l'exercici de les seves funcions a consultes, centres sanitaris, hospitals, clíniques, etc.

Document original AEPD: https://www.aepd.es/es/documento/guia-profesionales-sector-sanitario.pdf

A continuació, resumim la informació més rellevant de la guia esmentada conservant el mateix índex per a una millor localització del contingut amb el document original.

ÍNDEX

1. Conceptes bàsics: dades de salut, responsable i encarregat del tractament

2. Legitimació per al tractament de dades

3. Qui i quan es pot accedir a la història clínica?

4. La responsabilitat del professional sanitari

5. Obligacions en el tractament de dades de salut

6. Gestió dels drets dels pacients respecte al tractament de les vostres dades

7. Gestió de situacions que poden implicar comunicació de dades a tercers

8. Gestió de seguretat dels recintes

9. La posició jurídica dels professionals que presten serveis a hospitals o clíniques

1. CONCEPTES BÀSICS: DADES DE SALUT, RESPONSABLE I ENCARREGAT DEL TRACTAMENT

1.1. Quina mena de dades tracta un professional sanitari i quina protecció requereixen?

Els professionals sanitaris poden tractar dades identificatives i de contacte dels pacients (nom, adreça, telèfon, DNI, etc.) i, principalment, les relacionades amb la salut, que siguin necessàries per complir amb la finalitat de prestar-vos l'assistència sanitària relacionada amb el servei prestat, elaborar-ne el diagnòstic i tractar el pacient. També es poden tractar també dades identificatives de familiars com en el cas de menors, informació relativa als progenitors.

Entre aquestes dades es poden assenyalar, a tall d'exemple, les dades relatives a costums alimentaris, a l'entorn geogràfic, hàbits dels pacients, viatges o activitat física o esports que practica.

Són dades de salut qualsevol informació que ofereixi una visió sobre la situació mèdica o l'estat de salut (present, passada o futura), inclosa la prestació de serveis d'atenció sanitària. Per exemple:

  • valoracions i informacions de qualsevol índole sobre la situació i l'evolució clínica d'un pacient al llarg del procés assistencial o que permetin adquirir o ampliar coneixements sobre el seu estat de salut física o mental, o la manera de preservar-la, tenir-ne cura, millorar-la o recuperar-la ( proves diagnòstiques, medicació, etc.);
  • el número o símbol assignat a una persona a efectes d'identificació sanitària (nombre d'Història Clínica);
  • la informació procedent de proves o exàmens duna part del cos o duna substància corporal, inclosa la procedent de dades genètiques i mostres biològiques;
  • la informació relativa a una malaltia, a una discapacitat, al risc de patir malalties, les dades facilitades pels familiars en els casos de menors o persones amb capacitat cognitiva limitada, etc.

Les dades de salut, a més de la informació facilitada pel pacient, poden procedir de fonts molt diverses, un professional sanitari, un hospital o un dispositiu mèdic, entre d'altres.

Les dades de salut es troben dins de les “categories especials de dades”, són dades sensibles, per la qual cosa mereixen una protecció reforçada i només es podran tractar sota certes condicions i amb determinades garanties, en particular de protecció de dades des del disseny i per defecte, seguretat i gestió de bretxes de dades, en definitiva, mesures que garanteixin un elevat nivell de protecció, adequat als riscos que el tractament suposa per als pacients.

1.2. Qui és el responsable dels tractaments de dades que es fan?

El responsable del tractament (RT) és qui decideix sobre quines dades s'obtindran, amb quins fins es tractaran i amb quins mitjans es gestionaran i protegiran. Pot ser tant una entitat pública (hospital o centre de salut públic) com a privada (hospital/clínica), o un professional a títol individual. Entre les responsabilitats que es podrien donar trobaríem:

  • El professional sanitari serà RT quan ofereix els serveis sanitaris a títol individual.
  • Una entitat serà RT quan contracta un professional sanitari per compte d'altri.
    • Una entitat serà ET (encarregat del tractament) quan hagi estat contractada per un RT per prestar serveis de tractaments sanitaris de forma específica.
      En aquest cas, l'RT té l'obligació de ser diligent a seleccionar un ET que ofereixi les garanties de compliment necessàries. La relació amb aquest s'ha de fer mitjançant un contracte d'acord amb l'article 28 del RGPD.
  • Quan un conjunt de professionals treballi en règim cooperatiu, podran ser:
    • RT (responsables) respectius del tractament que facin sobre els pacients; o
    • CT (corresponsables) dels tractaments que formin part del règim esmentat.
      El criteri rellevant per determinar qui és RT o CT del tractament és identificar qui pren les decisions sobre les finalitats i els mitjans del mateix.

2. LEGITIMACIÓ PER AL TRACTAMENT DE LES DADES

2.1. És necessari que el metge o el centre sanitari sol·liciti el consentiment als pacients per tractar les dades personals?

No cal sol·licitar el consentiment al pacient per tractar les vostres dades personals en l'àmbit de l'atenció sanitària quan el tractament es realitzi:

  • Amb finalitats de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d'assistència o tractament de tipus sanitari o social, o gestió dels sistemes i serveis d'assistència sanitària i social, sobre la base de la legislació corresponent o en virtut d´un contracte amb un professional sanitari. Les dades han de ser tractades per professionals subjectes al secret professional o per algú que estigui sota la seva responsabilitat (art. 6.1.b RGPD per a les entitats asseguradores de salut privades i art. 6.1.c RGPD per a la sanitat pública, i l'exempció per al tractament de les dades relatives a la salut (art. 9.2.h RGPD privades i públiques).
    Aquí hi cabrien els tractaments de dades que es realitzen quan es presta assistència sanitària per part de centres o de professionals sanitaris públics o privats, inclosa l'assistència prestada a l'àmbit sociosanitari. També s'hi inclouen les actuacions en matèria de salut laboral (conforme a la normativa de prevenció de riscos laborals), amb un accés limitat per part de l'empresari (aptitud o no de la persona treballadora).
  • Per protegir interessos vitals de l'interessat o duna altra persona física, en cas que l'interessat no estigui capacitat, físicament o jurídicament, per donar el seu consentiment. Per exemple, en cas d'accident o emergència, quan hi hagi pèrdua de consciència de l'interessat (art. 6.1.d RGPD i exempció per al tractament de les dades relatives a la salut de l'art. 9.2.c RGPD).
  • Per a la formulació, l'exercici o la defensa de reclamacions o que les dades es requereixin judicialment.
    Per tant, es poden tractar dades de salut a propòsit d'un procediment judicial en què aquestes dades siguin necessàries (per exemple, reclamacions per negligència mèdica, processos de modificació de la capacitat, etc.), però també per formular reclamacions davant d'òrgans administratius o altres òrgans no jurisdiccionals (arbitratge o mediació) (art. 6.1.f RGPD i l'exempció per al tractament de les dades relatives a la salut de l'art. 9.2.f RGPD).
  • Per raons d'interès públic en l'àmbit de la salut pública, en els termes establerts a la llei, com ara control de malalties transmissibles, epidèmies, amenaces transfrontereres, etc. (art. 6.1.e RGPD i l'exempció per al tractament de les dades relatives a la salut de l'art. 9.2.i RGPD).
  • Amb finalitats de recerca científica, d'arxiu en interès públic o estadístics, en els termes establerts a la llei (art. 6.1. RGPD i l'exempció per al tractament de les dades relatives a la salut de l'art. 9.2.j RGPD).

Per a fins diferents dels descrits cal buscar una legitimació específica com ara el consentiment o l'interès legítim del professional sanitari o de la clínica, com en el cas d'enviament de publicitat sobre altres serveis o l'oferiment de serveis no programats, per exemple , una clínica dental que contacta a un pacient després d'haver-li prestat el servei per al qual va assistir a aquest centre per tal de recomanar-li que torni a aquest centre per fer-li una revisió, sempre que s'hagi informat sobre aquesta possibilitat, estigui dins de les expectatives raonables del pacient rebre aquesta publicitat i garantir que es pot oposar a la seva recepció en qualsevol moment.

Tot i no precisar el consentiment del pacient sí que caldrà facilitar-li tota la informació sobre el tractament de les seves dades personals d'acord amb els articles 12, 13 i/o 14 del RGPD. Aquesta informació es pot facilitar visualment mitjançant senyals o cartells, verbalment en processos d'atenció telefònica (la gravació de trucada facilitarà la prova) o per escrit (en aquest cas també quedarà constància que ha estat informat). És fonamental en tot cas que la informació sigui veraç, de fàcil lectura i comprensió.

Cal diferenciar entre el “consentiment informat” per a una actuació sanitària, que es regeix per la legislació sanitària, i el “consentiment per al tractament de les dades personals”, incloses les de salut, al qual és aplicable la normativa de protecció de dades , quan aquesta fos la base legitimadora. Per tal d'evitar confusions respecte a la presa de decisions sobre els drets d'autonomia del pacient i sobre el tractament de les dades personals, la informació relacionada amb aquests últims s'hauria de facilitar de forma diferenciada i posterior a la que s'hagi facilitat respecte a la presa decisions sobre l'autonomia del pacient.

2.2. A partir de quan els menors poden prestar el consentiment per ells mateixos per al tractament de les seves dades (coordinació Llei 3/2018 i Llei 41/2002)?

El tractament de les dades personals d'un menor d'edat només es pot fundar en el consentiment quan sigui més gran de 14 anys. El consentiment per a les actuacions sanitàries que ho exigeixin ha de ser informat i per escrit. En aquest cas, per al tractament de dades personals amb la finalitat de prestar assistència sanitària, no cal sol·licitar el consentiment del pacient, però si és obligatori facilitar-vos tota la informació sobre el tractament de les vostres dades personals d'acord amb els articles 12, 13 i /o 14 del RGPD. Si es facilités aquesta informació per escrit, és recomanable que vagin separats el full del consentiment sanitari adreçat al pacient del full d'informació referit al tractament de les vostres dades personals.

2.3. Les dades es poden tractar amb finalitats diferents de l'assistència sanitària?

Si les dades s'han demanat en el marc de l'assistència sanitària i s'han incorporat a una Història Clínica (HC), la finalitat principal serà facilitar aquesta assistència sanitària. Això no obstant, la llei permet en certs casos el tractament de dades incorporades a una HC amb altres fins. Per exemple, amb finalitats judicials, epidemiològiques, de salut pública, de recerca o de docència, encara que la regla general en aquests casos serà la separació de les dades identificatives i les clínico-assistencials (vegeu apartat d'accés a l'HC).

El tractament posterior de les dades amb finalitats de recerca científica (inclosa la recerca en salut) podrà dur-se a terme d'acord amb el que estableix la normativa sectorial, basat en l'anàlisi que propi RT ha de realitzar amb relació a la compatibilitat de fins i en l'aplicació de les mesures i garanties necessàries per complir el principi de minimització. En particular, per a la utilització de dades en matèria de recerca en salut s'ha de tenir en compte el que preveu la mateixa LOPDGDD en la seva disposició addicional 17ª. Més informació a AEPD àrees d'actuació/salut.

2.4. Pot constar el nom i cognom dels professionals a les targetes identificatives? Pot constar identificat un professional sanitari en una reclamació feta per un pacient perquè hi intervingui com a testimoni?

Estaria justificat i seria proporcional que constés la identificació del professional en una targeta identificativa clarament visible per al pacient, ja que pot ser necessari per a aquest conèixer la identitat de la persona que li presta el servei. Per exemple, perquè el pacient pugui identificar el professional que l'ha atès, i així assegurar-se que no hi ha hagut confusions.

D'altra banda, sí que podria constar identificat un professional sanitari a propòsit d'una reclamació feta per un pacient, ja que existiria un interès legítim en el tractament d'aquestes dades o aquest tractament podria justificar-se per l'exercici del dret a la tutela judicial mitjançant la presentació d'una reclamació i també pot succeir que la identificació del professional aquesta recollida com una obligació a la normativa aplicable a les diferents comunitats autònomes.

3. QUI I QUAN ES POT ACCEDIR A LA HC?

L'accés a la HC amb el propòsit d'una atenció eficaç i eficient per a la salut, especialment en casos d'emergència vital, mai no es pot limitar amb l'excusa del compliment de la normativa de protecció de dades. D'altra banda, l'RT té l'obligació d'adoptar les polítiques de control d'accés, de registre i traçabilitat dels accessos d''auditoria (automatitzada i manual) dels registres per prevenir, detectar i corregir amb diligència qualsevol abús que es pugui produir .

L'accés a la història clínica està limitat, no qualsevol professional i davant de qualsevol circumstància hi pot accedir. Tant el personal sanitari com altres professionals hi poden accedir únicament per a l'exercici de les seves funcions, sense que puguin revelar a tercers les dades a què tenen accés. Les possibilitats per accedir a les dades de l'HC són diferents segons el tipus de funció professional i la finalitat de l'accés a aquestes dades.

3.1. Accés a la HC per part de professionals sanitaris

  • A quines dades poden accedir?

Únicament als que siguin necessaris i, si no cal conèixer la identitat del pacient, no s'hi haurà d'accedir. Podeu accedir a la HC el professional sanitari o l'equip directament implicat en l'assistència al pacient o aquells que siguin consultats per aquest amb la finalitat de millorar l'atenció terapèutica. En tot cas, l'accés serà limitat.

  • Poden accedir a les HC els residents?

Sí, en els termes abans descrits, és a dir, quan calgui per raó de l'atenció sanitària que està prestant. Els residents tenen la consideració de professional sanitari mentre duri la vinculació amb el centre.

  • Es pot accedir a la HC des de centres sociosanitaris?

Els professionals sanitaris a centres sociosanitaris també han de poder accedir a les HC dels pacients que estan tractant, per poder prestar una correcta assistència sanitària.

  • I des de centres privats concertats?

Els professionals sanitaris de centres privats concertats han de poder accedir-hi, si escau per prestar l'atenció sanitària a un pacient derivat a aquest centre, però amb accés limitat a les dades necessàries per complir la funció que li hagi estat encomanada. Per això s'han d'arbitrar les mesures oportunes de manera que el centre de destinació tingui coneixement actualitzat de l'estat de salut del pacient.

  • Els membres d'un Comitè d'Ètica Assistencial podran accedir-hi?

Els membres d'aquests Comitès (alguns dels quals poden no ser professionals sanitaris) accediran a la informació que sigui estrictament necessària per emetre la opinió ètica corresponent que sigui sotmesa a la seva consideració. Han d'estar obligats per deure secret o signar un acord de confidencialitat. Només quan sigui necessària la identificació per poder emetre l'informe o opinió corresponent, s'hi accedirà.

  • Poden accedir les empreses prestadores de serveis a pacients?

Les empreses proveïdores de serveis/equips als pacients a domicili tindran accés a les dades estrictament necessàries per al compliment de les seves funcions. Com a ET, estan obligats a complir amb la normativa de protecció de dades i només utilitzaran aquestes dades seguint les instruccions del responsable.

3.2. Accés per personal administratiu i de gestió

El personal de gestió i administratiu només pot accedir a les dades de la HC necessàries per a l'exercici de les seves funcions. En aquesta situació es troba, en general, el personal d'administració i serveis (servei d'admissió, personal encarregat d'atenció al pacient, gestió de cites, gestió administrativa i personal del centre, informàtica…), així com els càrrecs de direcció de un centre. Tot el personal que accedeixi a les dades d'una HC en l'exercici de les seves funcions està subjecte al deure de secret.

3.3. Accés per inspecció/avaluació/acreditació

El personal amb funcions d'inspecció, avaluació, acreditació i planificació té accés a les HC en la mesura necessària per complir les seves funcions (acreditació de la qualitat de l'assistència, respecte als drets dels pacients o altres obligacions del centre en relació amb els pacients o l'administració sanitària). Un inspector/a sanitari/ària podria, per exemple, accedir a l'HC de pacients per comprovar el procés assistencial realitzat pels professionals que els haguessin tractat. Aquest accés està igualment subjecte al deure secret.

3.4. Accés amb fins docents

Els estudiants, quan sigui necessari per a la seva activitat docent o per a la realització de pràctiques, haurien de tenir un accés limitat amb un perfil d'estudiant (com pel que fa al temps d'accés, funcions que pot exercir -manera consulta-, etc.). Només han d'accedir, amb l'autorització oportuna, a les dades necessàries per a la correcta formació i han de signar el compromís de confidencialitat corresponent.

Per a la realització de treballs fi de grau i fi de màster, la regla general ha de ser l'accés a dades dissociades (separades les dades identificatives de les dades clíniques).

El professional sanitari pot utilitzar les dades clíniques de pacients amb fins docents sempre que no sigui possible la identificació del pacient. Això implica no només la separació entre dades identificatives i clíniques, sinó també evitar-ne la utilització en la mesura del possible quan, per les característiques del cas concret, sigui fàcilment identificable la persona de què es tracta (per exemple, casos amb transcendència pública, casos rars que pateixin poques persones i/o en llocs geogràficament petits, etc.). Això mateix s'aplicarà quan es vulguin utilitzar algunes dades a congressos, conferències i similars. Perquè es puguin utilitzar dades en què el pacient és identificable cal el seu consentiment exprés.

3.5. Accés amb fins de salut pública i epidemiològics

L'accés a la HC amb aquests fins s'ha de dur a terme, separant les dades d'identificació personal de les de caràcter clínic assistencial, llevat que el pacient hagi proporcionat el consentiment per no separar-les.

Tot i així, en aquest àmbit, es podria accedir a les dades identificatives per raons d'interès públic, com quan hi hagi un risc o perill greu per a la salut de la població (per exemple, davant d'amenaces transfrontereres greus per a la salut, control d'epidèmies, malalties transmissibles, etc.). Això també podria donar-se per a la incorporació de dades identificatives de pacients en un registre de càncer d'una comunitat autònoma. En aquests casos, s'han d'aplicar garanties específiques, com que la persona que hi accedeix estigui subjecta al secret professional, l'Administració hagi de motivar la sol·licitud d'accés i altres principis de protecció de dades com ara la minimització de dades.

3.6. Accés amb finalitats de recerca

Com a regla general, s'ha de fer amb dades dissociades (separats els identificatius dels clínics) i amb les garanties addicionals que s'estableixen a la disposició addicional 17ª.2 de la LOPDGDD.

Podran utilitzar-se dades de salut de persones identificades per investigar, si es compta amb el seu consentiment, que pot ser ampli, sol·licitant-se per a àrees generals vinculades a una determinada especialitat o servei (àmbit del càncer, ginecològic o de la reproducció...). També quan el consentiment s'hagués donat anteriorment per a una investigació determinada i es vulgui tornar a utilitzar les dades per a una nova investigació en una àrea relacionada amb l'anterior.

Aquestes regles també seran aplicables a la investigació en salut pública i epidemiològica. Tot i que les autoritats amb competència en vigilància de la salut pública podran dur a terme estudis científics sense necessitat de consentiment dels interessats en situacions d'excepcional rellevància i gravetat per a la salut pública.

Quan sigui necessari per a la prevenció d'un risc o perill greu per a la salut de la població, les administracions sanitàries a què fa referència la Llei 33/2011, General de Salut Pública, podran accedir a les dades identificatives dels pacients per raons epidemiològiques o de protecció de la salut pública. L'accés l'ha de fer, en tot cas, un professional sanitari subjecte al secret professional o una altra persona subjecta, així mateix, a una obligació equivalent de secret, prèvia motivació per part de l'Administració que sol·liciti l'accés a les dades.

El RGPD i la LOPDGDD estableixen criteris més flexibles que la legislació anterior per promoure la investigació sanitària. Més informació a AEPD àrees d'actuació/salut.

3.7. Accés amb fins judicials

Quan se sol·liciti l'accés a una HC per part de l'autoritat judicial, se li proporcionaran les dades que sol·liciti en el procés corresponent, podent donar-se l'accés a dades no dissociades quan consideri imprescindible la unificació de dades identificatives i clínico-assistencials.

Això no obstant, només s'ha de donar accés a les dades imprescindibles per al cas que es tracti, evitant comunicar altres dades del propi subjecte o de tercers que no siguin rellevants per al cas. A aquests efectes, l'òrgan judicial hauria de tenir en compte la necessitat o no de conèixer dades que obrin a l'HC i que no tinguin relació directa amb l'assumpte a resoldre. Així, per exemple, si es tracta d'un procediment de responsabilitat per una cirurgia per reducció d'estómac, cap rellevància no té el fet que el mateix pacient es va sotmetre a una intervenció de vasectomia 12 anys enrere. En resum, s'haurà de ponderar, per part de l'autoritat judicial, la pertinència o, per contra, la inconveniència, d'accedir i incorporar a l'expedient judicial l'HC completa d'una persona.

3.8. Accés per autoritats administratives

Al marge de l'accés amb fins epidemiològics o de salut pública a què fa referència la legislació sanitària, les autoritats administratives (DGT, AEAT) només poden obtenir dades de la HC quan comptin amb el consentiment del titular o així estigui previst en una llei de manera específica, de no comptar amb cap daquestes bases jurídiques en el cas que es requereixi l'accés a la HC, caldrà eliminar la identificació del seu titular.

4. LA RESPONSABILITAT DEL PROFESSIONAL SANITARI

Independentment de les obligacions del RT, el personal sanitari que accedeix a una HC injustificadament es pot veure subjecte a diferents tipus de responsabilitat penal, disciplinària i administrativa per protecció de dades, que en alguns casos poden donar-se, fins i tot, de manera conjunta (per exemple, la indemnització a la víctima és concurrent amb altres sancions).

En primer lloc, aquest tipus d'accessos està sancionat al Codi Penal (CP) com a delicte de descobriment i revelació de secrets. El CP preveu penes de fins a cinc anys de presó, segons els casos, a què se sumen penes de multa, suspensió o inhabilitació. D'altra banda, quan no tinguin prou gravetat per ser delicte, aquestes conductes es poden castigar amb una sanció administrativa. En el cas de les entitats públiques, aquesta sanció pot consistir en l'advertència a l'administració o entitat pública i, si s'escau, s'ha de donar publicitat de la infracció comesa. Si es tracta de centres privats, s'aplicaran les corresponents sancions previstes a la normativa de protecció de dades (entre elles, la imposició de multes).

En el cas del professional que realitzi la seva activitat en un centre sanitari, se li podrà imposar una sanció disciplinària. A més, la vulneració del deure de confidencialitat que suposa l'accés injustificat a l'HC és contemplada en la major part dels codis deontològics de les professions sanitàries com a falta greu o molt greu, implicant conseqüències que arriben fins a la inhabilitació professional.

D'altra banda, l'accés indegut a la història clínica pot donar lloc al deure d'abonar a la víctima una indemnització de caràcter civil, la quantitat de la qual dependrà de la valoració dels tribunals.

És important recordar que la responsabilitat per l'accés indegut a les dades de la HC sorgeix, no només per la revelació a tercers de les dades conegudes a propòsit de l'accés a aquesta, sinó que el professional sanitari pot enfrontar-se a totes o alguna de les conseqüències descrites simplement amb el mer accés injustificat a la HC, incloses les penes de presó. És a dir, si s'hi accedeix sense el consentiment del pacient, o sense que hi concorri alguna de les finalitats protegides per la llei (entre elles, la més habitual, la prestació d'assistència sanitària, que determina la consulta de les dades necessàries per efectuar-la), aquest accés ja és indegut i susceptible de comportar conseqüències greus per al professional. Sense perjudici que si, a més, la informació consultada indegudament és revelada a tercers, les conseqüències legals seran encara més greus.

Aquest tipus de conductes incideixen també en les obligacions relacionades amb la notificació de bretxes de seguretat a les autoritats de protecció de dades i, si escau, la comunicació als mateixos interessats. Altres bretxes notificades amb freqüència a l'àmbit sanitari són l'enviament de documentació amb dades de salut o dades genètiques a destinataris incorrectes, la destrucció sense garanties de confidencialitat de suports de dades, o la pèrdua de mostres biològiques que permetin identificar el pacient.

Un altre motiu de bretxa és els Ciberincidents de tipus ransomware, que poden xifrar dades personals i sistemes informàtics, afectant la disponibilitat de les dades i dels mitjans per tractar-les. Moltes vegades es produeix també l'exfiltració de les dades personals, cosa que afecta la confidencialitat. Aquests incidents solen anar acompanyats d'intents d'extorsió tant al professional sanitari com als pacients afectats per la bretxa.

L'aplicació de mesures de seguretat preventives específicament destinades a evitar aquest tipus d'incidents i disposar de sistemes de suport, no només de les dades, sinó també dels serveis, és vital per minimitzar el risc sobre les persones afectades i donar compliment a les obligacions del Reglament.

5. OBLIGACIONS EN EL TRACTAMENT DE DADES DE SALUT

5.1. En quina mesura el RGPD imposa noves obligacions?

El RGPD imposa noves obligacions, necessita l'abast d'altres i, sobretot, exigeix que se'n pugui demostrar el compliment (“principi de responsabilitat proactiva”). En tot cas, amb caràcter general cal tenir en compte que:

  • Cal fer una gestió del risc que els tractaments suposen per als drets i les llibertats dels interessats. Per fer-ho, cal tenir en compte, entre altres circumstàncies, la naturalesa, l'abast, el context i els fins en què es realitza el tractament de les dades.
  • Per tal de reduir els riscos, cal adoptar mesures i garanties adequades i proporcionals a aquests riscos, en particular, implementar polítiques de protecció de dades, mesures organitzatives, de protecció de dades des del disseny i per defecte, així com mesures de seguretat .
  • Quan les operacions de tractament suposin un alt risc per als drets i les llibertats, s'ha de dur a terme una avaluació d'impacte de protecció de dades (EIPD).
  • Cal disposar d'un registre d'activitats de tractament (RAT) i, en el cas d'entitats públiques, ha de ser públic i estar accessible per mitjans electrònics.
  • Cal nomenar un delegat de protecció de dades (DPD), en els casos que sigui obligatori.
  • El RT ha de gestionar les bretxes de dades personals per donar compliment als articles 33 i 34 del RGPD.
  • En compliment de l'obligació de transparència, la informació a l'interessat sobre el tractament de les vostres dades s'haurà de proporcionar tant en els casos en què les dades se n'obtinguin directament com si, per contra, s'haguessin rebut per altres vies.

5.2. Cal anomenar un DPD?

La designació d'un DPD és obligatòria quan el tractament de les dades el dugui a terme una autoritat o un organisme públic i quan es tracti de centres sanitaris obligats legalment al manteniment de les històries clíniques dels pacients, ja sigui com a responsable o encarregat del tractament. Per tant, els centres de salut i els sanitaris públics i privats han de disposar obligatòriament d'un DPD. Això no obstant, queden exonerats d'aquesta obligació els professionals de la salut que exerceixin la seva activitat de manera privada a títol individual.

Depenent de l'estructura i l'organització dels organismes de salut públics i dels centres sanitaris privats, es podrà designar com a DPD algú del propi organisme o centre, o professionals o entitats externes a aquests. També es pot designar un únic DPD per a diversos RT o ET.

En qualsevol cas, el DPD haurà de tenir els coneixements jurídics, de gestió i tècnic/científics necessaris per informar, assessorar i supervisar el RT o ET en el compliment de la normativa de protecció de dades i salut dels tractaments concrets que es duguin a terme , a més, ha de comptar amb altres qualitats personals, com la d'integritat i un alt grau d'ètica professional.

Quan es designi un únic DPD per a tots, o diversos centres sanitaris d'un sistema de salut o d'un grup sanitari, és fonamental que estigui fàcilment accessible des de cada centre per als interessats i l'autoritat de control, així com també per als integrants de els centres sanitaris.

Recomanacions:

  • Quan es tracti de professionals sanitaris que exerceixen la seva activitat a títol individual, aquests podrien instar els seus respectius col·legis professionals que li prestin els serveis de DPD en el cas que ho designin voluntàriament, per facilitar-los el compliment de la normativa de protecció de dades.

Obligacions:

  • Els responsables dels centres sanitaris, públics i privats donaran suport al DPD en l'exercici de les funcions que tenen assignades, facilitaran els recursos necessaris per al seu exercici, l'accés a les dades personals i les operacions de tractament, i garantiran que informin el més alt nivell de l'organització i la formació necessària per al manteniment dels seus coneixements especialitzats.
  • Vetllar i adoptar les mesures adequades perquè el DPD exerceixi les funcions en absència de conflictes d'interessos i amb total independència.
  • No acomiadar ni sancionar el DPD per l'exercici de les seves funcions.

5.3. Quan s'ha de fer una EIPD?

L'EIPD és una obligació del RT quan, en el marc de la gestió del risc, es determini que el tractament suposi un alt risc per als drets i les llibertats dels afectats. En tractaments sanitaris és obligatori fer l'EIPD quan aquests tractaments es duen a terme a gran escala. Cal tenir en compte, que el tractament realitzat per un professional mèdic com a consulta particular mai no es considerarà a gran escala.

El DPD assessorarà en la realització de l'EIPD i en supervisarà l'aplicació quan hagi estat nomenat. En cas que no sigui possible gestionar un risc alt, cal l'opció de presentar una Consulta Prèvia a l'AEPD.

5.4. En quins casos cal publicar el registre d'activitats de tractament (RAT) i com?

El RT i l'ET han de mantenir un RAT d'acord amb el que regula l'art. 30 RGPD i 31 de la LOPDGDD. El RAT ha de constar per escrit i, si escau, en suport electrònic, i estarà a disposició de l'Agència de Protecció de Dades o, si el responsable fos una entitat pública, de l'autoritat de control competent. Tot i això, en el cas de les entitats públiques (incloent-hi les fundacions públiques) l'inventari (art. 31 LOPDGDD) amb els tractaments de dades personals haurà de fer-se públic i estar accessible per mitjans electrònics (per exemple, a través de la respectiva pàgina web ).

5.5. Mesures bàsiques de seguretat en l'ús de dispositius informàtics

S'han d'adoptar mesures que garanteixin un nivell de seguretat adequat als riscos, que inclogui entre d'altres, la capacitat de garantir la confidencialitat o de restaurar la disponibilitat i l'accés a les dades en cas d'incident. En particular, ia causa del seu impacte, el responsable, assessorat pel seu DPD, ha de ser conscient de quines bretxes de dades personals s'estan produint en el context dels seus tractaments, per adequar les mesures i les garanties a adoptar.

Exemples d'aquestes mesures a implantar en tractaments de dades de salut serien:

  • Identificar els suports utilitzant sistemes d'etiquetatge comprensibles i amb significat, que permetin als usuaris amb accés autoritzat identificar-ne el contingut i dificultin la identificació a la resta.
  • Codificar les dades en la distribució de suports perquè no siguin accessibles o manipulades durant el transport.
  • Xifrar els continguts de dispositius portàtils quan es trobin fora de les instal·lacions, i en la transmissió de dades a través de xarxes electròniques.
  • Conservar una còpia de suport de les dades i dels procediments de la seva recuperació en un lloc diferent d'aquell en què es trobin els equips informàtics que els tracten.
  • Guardar, com a mínim, de cada intent d'accés la identificació de l'usuari, la data i l'hora en què es va realitzar, el fitxer accedit, el tipus d'accés i si ha estat autoritzat o denegat.
  • Canviar les contrasenyes que serveixin de mecanisme d'autenticació com a mínim una vegada a l'any i emmagatzemar-les de manera confidencial. L'ús de gestors de contrasenyes facilita la possibilitat de recordar i mantenir de manera segura contrasenyes diferents i segures en diferents serveis, així com canviar-les periòdicament.
  • Formació continuada del personal.

S'han d'evitar conductes com:

  • Facilitar l'accés a qualsevol persona sense apagar l'ordinador.
  • Compartir claus i contrasenyes.
  • Enviar informació sanitària mitjançant correus electrònics o xarxa pública obertes, llevat que les dades s'hagin xifrat.
  • Crear fitxers propis amb dades personals de pacients.

L'ús de mesures de seguretat per a la gestió del risc no supleix l'incompliment en el tractament dels principis i drets establerts al RGPD, en particular, la manca d'una legitimació del tractament.

5.6. És recomanable utilitzar xarxes socials i altres serveis similars per a la gestió de cites o comunicacions amb els pacients?

En aquests casos cal tenir en compte que tenen un tractament addicional vinculat per part d'un tercer. Per tant, el RT sempre ha d'oferir mitjans alternatius de comunicació.

El tractament serà lícit si la finalitat és la prestació de l'assistència sanitària o social i només es refereix a dades personals que l'interessat hagi aportat o que s'utilitzin dins d'aquesta relació (per exemple, el número de telèfon). Per tant, el RT no podrà utilitzar les RRSS del pacient, però sí el seu número de telèfon per notificar-li o recordar alguna cita o una altra particularitat, sent indiferent quina sigui l'aplicació concreta utilitzada, sempre que sigui a través del telèfon (mitjançant una trucada o un missatge de text o instantani) i aquesta comunicació no arribi simultàniament a persones no autoritzades (per exemple, si s'utilitza una aplicació com WhatsApp o altres aplicacions de missatgeria similars, cal assegurar-se que el missatge s'ha dirigit únicament al pacient, i no a un grup del qual el pacient en forma part, encara que tinguem accés a l'esmentat grup).

Ara bé, el tractament de dades personals que es fes a través d'aplicacions de missatgeria instantània està subjecte als principis de protecció de dades i el RT té un grau de responsabilitat específic en la seva selecció, inclosa la diligència necessària a l'elecció dels canals de comunicació més apropiats. En particular, a la seva utilització s'ha d'aplicar el principi de minimització de dades, revelant per aquestes vies la mínima informació necessària. A més, cal tenir en compte que per la pròpia naturalesa de la relació clínica és possible que els continguts d'alguns missatges transmesos a través d'aquestes aplicacions continguin dades relatives a la salut, per la qual cosa han de ser els mateixos RT els que valorin la conveniència d'utilitzar-les des de la perspectiva de la protecció de dades, atenent per exemple si disposen d'un sistema de contrasenyes feble o fort, i és senzill suplantar l'usuari, o si es xifren els missatges o no. En vista de les debilitats d'uns sistemes o d'altres, per l'absència de mesures de seguretat acceptables, és probable que no sigui aconsellable la comunicació amb el pacient a través d'aquests mitjans, especialment quan es tracti de dades sensibles.

A més, en els casos que s'utilitzin aquest tipus d'aplicacions, cal comprovar si l'ús pot comportar que s'estiguin duent a terme transferències de dades personals a un tercer país (TID), i si és així que es compta amb l'habilitació legal necessària per fer-les, és a dir decisió d'adequació (at. 45 RGPD), garanties adequades (art. 46 RGPD i recomanacions 1/2020 CEPD) o de manera excepcional, però no com a norma general, alguna de les excepcions contemplades a l'art. 49 del RGPD (consentiment, contracte…).

6. GESTIÓ DELS DRETS DELS PACIENTS RESPECTE AL TRACTAMENT DE LES SEVES DADES

6.1. Quins són aquests drets?

El RGPD regula com a drets dels afectats obtenir confirmació del tractament de dades sobre si aquestes estan sent o no objecte del tractament i, en cas afirmatiu, accedir-hi. Així mateix, regula els drets de rectificació, supressió, oposició, limitació del tractament, portabilitat i a no ser objecte de decisions individuals automatitzades inclosa l'elaboració de perfils.

A més, també se us ha de notificar la destrucció, pèrdua o alteració accidental o il·lícita de les vostres dades personals, o la comunicació o accés no autoritzat, si aquesta violació suposa un risc greu per als seus drets.

No obstant això, en l'àmbit sanitari, aquests drets es concreten en relació amb la HC a la llei d'autonomia del pacient i a la legislació autonòmica sobre la matèria, que s'apliquen com a lleis especials amb caràcter preferent al RGPD i, d'acord amb aquesta normativa poden ser objecte d'algunes limitacions (com la possibilitat de rectificar o suprimir dades de l'HC); i d'altres tindran escassa aplicació (com el dret d'oposició).

En general, aquestes limitacions són conseqüència de la llei d'autonomia del pacient, que obliga a conservar tota la informació necessària per conèixer l'estat de salut del pacient per tal de garantir l'assistència sanitària. Això implica que aquests drets es puguin limitar o modular d'acord amb els criteris dels professionals sanitaris que permetin garantir la finalitat de ser necessaris per a una adequada assistència sanitària als pacients.

I també perquè la conservació de la història clínica és necessària per complir obligacions legals, com és la d'atendre els requeriments dels jutges, i per raons d'interès públic com l'epidemiologia o l'avaluació de la qualitat de l'assistència sanitària, entre altres. En tot cas, la limitació dels drets s'ha d'explicar motivadament als qui els hagin exercitat.

6.2. En cas de menors d'edat Qui exercita aquests drets? I si els progenitors estan separats o divorciats?

A partir dels 14 anys se li ha de reconèixer a un menor almenys el dret a accedir al seu HC, ja que té dret a estar informat dels assumptes que li concerneixen. Aquesta informació és bàsica perquè pugui exercir els seus drets a ser escoltats i que la seva opinió sigui tinguda en compte en funció de la seva edat i maduresa.

Però els pares i mares també podran accedir a la història clínica dels seus fills i filles fins a la majoria d'edat, ja que són titulars de la pàtria potestat i tenen l'obligació de vetllar per ells i poden intervenir en aquest àmbit per complir els seus deures de cura i assistència. Això no ho podran fer correctament si no poden conèixer la informació relativa a la salut dels fills.

Si els pares es troben separats o divorciats i tots dos tenen l'exercici de la pàtria potestat (tot i que la guarda i custòdia se li hagi atribuït a un sol), tots dos han d'estar informats i decideixen sobre la salut dels seus fills i, en conseqüència , tenen accés al seu HC.

6.3. A què té dret d'accés el pacient respecte de l'HC? Què passa si s'entreguen dades d'un tercer?

D'acord amb la normativa estatal sanitària (Llei d'Autonomia del Pacient), el pacient té dret a accedir a la documentació de la seva pròpia HC i a les dades que hi consten. En canvi, la normativa de protecció de dades no reconeix el dret d'accés a documents concrets de l'HC, sinó a obtenir confirmació de si s'estan tractant o no les dades personals, i en cas afirmatiu, dret d'accés a aquestes mitjançant còpia ia determinada informació d'acord amb l'article 15 del RGPD.

Això no obstant, el dret d'accés del pacient no inclou dades de terceres persones que constin a l'HC en interès terapèutic del pacient, ni a les anotacions subjectives dels professionals sanitaris, que s'hi hagin oposat.

En cas que es lliuressin dades d'un tercer, s'estaria vulnerant el deure de confidencialitat. Per tant, tant la institució com el professional podrien incórrer en responsabilitat, que pot ser administrativa (multa en el cas d'institució privada o del professional, advertència en el cas i institució pública, disciplinària per al professional...), civil (si s'ha causat un dany al tercer, aquest podria tenir dret a una compensació a càrrec de la institució i/o del professional sanitari) i penal (multa o pena de presó per revelar o cedir a tercers les dades de salut vulnerant la intimitat del pacient ).

El pacient té dret a conèixer els accessos que s'han produït al vostre HC (quants accessos, finalitat de l'accés, etc.). Però, a dia d'avui, ni la normativa sobre protecció de dades, ni la normativa estatal sanitària reconeixen expressament que aquest dret inclogui la identificació (nom i cognoms) dels professionals que han accedit a l'HC d'un pacient (tot i que es podrien conèixer aquests dades a propòsit d'una investigació judicial en curs per sospita d'accés indegut). No obstant això, algunes normes autonòmiques sí que reconeixen la possibilitat de conèixer la identitat de qui ha accedit, com ara Navarra i Extremadura, i en aquest cas el pacient també podrà sol·licitar aquestes dades quan exerciti el seu dret d'accés. En qualsevol cas, l'administració o centre sanitari té l'obligació d'implantar les mesures de seguretat necessàries per controlar i, si escau impedir, l'accés a la HC per part de persones no autoritzades.

6.4. En quins casos és procedent la rectificació de la HC si ho sol·licita el pacient?

El pacient té dret que es rectifiquin les dades personals inexactes (mitjançant documentació acreditativa de l'error), per exemple, domicili inexacte, cognom erroni, etc.); i que es completin les seves dades personals incompletes, tenint en compte les finalitats del tractament. En el cas de rectificació de dades clíniques, serà el facultatiu que estigui a càrrec del pacient qui determinarà si escau aquesta rectificació conforme als criteris sanitaris aplicables.

6.5. S'ha d'atendre una sol·licitud de supressió de dades de l'HC?

La supressió de dades de la HC està molt restringida, ja que aquesta té com a finalitat principal garantir una atenció sanitària correcta al pacient. Les HC també poden complir altres funcions secundàries d'interès general (en salut pública, epidemiologia, investigació, etc.). Per això el contingut de la HC no pot quedar únicament en mans del propi pacient. És el professional sanitari qui decideix si cal o no suprimir una dada de la HC, en funció de la seva transcendència clínica. Per això, quan es tracti de dades sense rellevància per a l'assistència sanitària (com dades relatives a com es va produir un accident de trànsit que hagi requerit assistència mèdica i que no tinguin transcendència sanitària), s'haurien de poder suprimir aquestes dades.

En cas de persones mortes, les persones que hi estiguin vinculades per raons familiars o de fet, així com els seus hereus podran adreçar-se al RT o ET a fi de sol·licitar la supressió de les dades personals d'aquella, llevat que la persona morta ho hagi prohibit expressament o així ho estableixi una llei. També ho poden sol·licitar les persones o institucions a qui el difunt hagi designat expressament per fer-ho d'acord amb les instruccions rebudes.

Si la persona morta és un menor, aquestes facultats també les poden exercir els seus representants legals o, en el marc de les seves competències, el Ministeri Fiscal, que pot actuar d'ofici o a instància de qualsevol persona física o jurídica interessada. En cas de mort de persones amb discapacitat, igual que els menors i, a més, pels qui hagin estat designats per a l'exercici de funcions de suport, si aquestes facultats s'entenen compreses en les mesures de suport prestades pel designat.

6.6. Si s'ha eliminat incorrectament documentació clínica, quin seria el tractament idoni? Cal comunicar-ho a l'AEPD o, si escau, a l'Autoritat Autonòmica competent?

A més que s'incompleix l'obligació de conservació de l'HC, en la mesura que aquesta documentació contingui dades personals ens podríem trobar en situacions de bretxes sobre la confidencialitat, disponibilitat o integritat de l'HC, d'on es pot derivar la responsabilitat legal corresponent (sanció, indemnització, etc.,). De manera no exhaustiva, alguns exemples de bretxes de dades personals són:

  • La destrucció accidental o pèrdua de dades personals, total o parcial. Suposa una bretxa de disponibilitat i/o integritat si no hi ha una altra còpia recuperable de les dades.
  • La destrucció incorrecta o incompleta de dades personals quan havien de ser eliminades suposa una bretxa de confidencialitat atès que tercers no autoritzats podrien accedir a aquestes dades.
  • Ciberincidents de tipus ransomware que provoquen el xifratge de dades personals i sistemes d'informació impedint-ne el tractament suposen una bretxa de disponibilitat. Si, a més, prèviament al xifratge s'ha produït una exfiltració de les dades personals, suposaran també una bretxa de confidencialitat.
  • L'alteració indeguda o no autoritzada de dades personals (per exemple, que un tercer alteri o falsegi el resultat d'una prova diagnòstica) suposa una bretxa d'integritat.

En tots aquests casos, el professional sanitari ha d'avaluar el risc que la bretxa pugui suposar per als pacients. Si hi ha aquest risc, haurà de notificar-la a l'AEPD, i també comunicar-la a les persones afectades si el risc és alt.

7. GESTIÓ DE SITUACIONS QUE PODEN IMPLICAR COMUNICACIÓ DE DADES A TERCERS

7.1.

Com trucar als pacients a les consultes?

S'haurà de fer de manera que no s'utilitzin dades identificatives (com el nom i cognoms) sinó algun altre sistema proporcional a la difusió pública que es faci de les dades de salut (assignació d'un codi o número al pacient en el cas d'utilitzar monitors a els que es mostren pacients de diferents consultes, utilització del nom de pila en trucar per veu en un entorn que només els escoltaran els pacients de la mateixa consulta, etc.).

7.2. Com gestionar la informació a taulells d'admissió per no ser accessible a la resta de persones?

Per exemple, establint la separació necessària entre el pacient que està sent atès i el que espera; zones separades d'admissió i sales d'espera tant com sigui possible, etc. El professional encarregat de l'admissió també ha de gestionar i comunicar la informació de manera que no sigui accessible a altres pacients.

7.3. Quina informació cal prestar per cancel·lar o posposar una cita per telèfon i com comprovar la identitat de l'interessat?

Per evitar la comunicació a tercers de dades de salut d'una persona, sense el consentiment, o l'eliminació de les dades amb el consegüent perjudici, cal establir mecanismes d'identificació de la persona, per comprovar que es correspon amb l'interessat, sol·licitant diverses dades d'identificació, nom, DNI, número de targeta sanitària, telèfon, etc., i comprovant que coincideixen amb els que consten a la base de dades del centre. Addicionalment, i partint que és l'interessat qui truca, preferentment hauria de ser qui faciliti la informació sobre la cita que vol posposar o cancel·lar.

Si és el centre el que truca, ho haurà de fer al telèfon o telèfons facilitats pel mateix pacient, informant en el moment inicial en què es recullin les dades de contacte que es podran utilitzar aquests números amb aquestes finalitats.

En qualsevol cas, caldrà facilitar la mínima informació possible per identificar la cita (dia, hora, centre, unitat), evitant fer referència a les possibles causes per les quals es va concertar aquesta cita (per exemple, no esmentar símptomes, malaltia, tractaments, etc.).

7.4. Quina informació es pot facilitar quan es truca a un hospital preguntant per un possible ingrés d'una persona i/o l'habitació on es troba i no s'ha pogut obtenir el consentiment del pacient?

No es pot donar informació sobre l'ingrés d'una persona i/o habitació on es troba si no se n'ha obtingut el consentiment per facilitar aquesta informació. Si el pacient no es troba en condicions de prestar el consentiment (no està capacitat físicament o jurídicament per fer-ho), podran consentir els familiars. En qualsevol cas, és important que al pacient (o als familiars) se'ls informi convenientment sobre aquesta qüestió i les seves conseqüències, abans que prestin el consentiment.

No obstant això, en situacions excepcionals, com ara pacients que ingressen a urgències (el consentiment de les quals es demanarà quan siguin traslladats a planta), pacients inconscients o persones desaparegudes, es podrà facilitar aquesta informació sense necessitat de consentiment, ja que la presència de familiars o familiars pot ser essencial per a la deguda atenció del pacient. En aquests casos, únicament es proporcionarà informació sobre si la persona es troba a urgències o ingressada i al número d'habitació, sense indicar dades de salut o l'atenció mèdica prestada.

7.5. Gestió dels justificants d'assistència dels acompanyants de pacients ingressats, cal comptar amb el consentiment del pacient? s'ha de comprovar el parentiu?

No cal el consentiment del pacient, ja que l'acompanyant té un interès legítim a obtenir aquest justificant. Haurà de justificar la vinculació/parentiu amb el pacient.

En qualsevol cas, la informació que contingui el justificant ha de ser la mínima imprescindible per a la finalitat que ha de complir (identificació del pacient, data/hora ingrés; durada de l'ingrés), sense que es puguin incloure dades que permetin identificar la causa que el va provocar (tipus de malaltia, unitat d'ingrés…).

8. GESTIÓ DE SEGURETAT DELS RECINTES

8.1. Es poden col·locar càmeres de videovigilància als passadissos de consultes o sales d'espera?

Sí, ja que la captació d'imatges per càmeres de videovigilància en aquests establiments oberts al públic està adreçada a augmentar i garantir la seguretat tant de les instal·lacions com dels usuaris i dels pacients.

Les càmeres només podran captar aquestes zones comunes, però no estaran orientades a les consultes, per evitar gravar-ne l'interior. A més, s'ha de prestar una consideració especial al fet que s'han d'instal·lar, en els diferents accessos a aquestes zones videovigilades i, en lloc visible, un o diversos cartells informatius en què s'adverteix que s'accedeix a una zona videovigilada. El cartell indicarà clarament que s'estan tractant dades personals, la identitat del responsable, la possibilitat d'exercir drets i una referència on obtenir més informació.

En cas que aquestes cambres es vulguin emprar amb fins diferents de la seguretat, com ara control laboral, s'ha d'informar prèviament els professionals i els representants sindicals.

8.2. És contrari a la normativa de protecció de dades que el personal de seguretat d'un centre sanitari demani la identificació de persones que puguin resultar sospitoses?

No. El personal de seguretat té entre les seves funcions efectuar controls d'identitat per a la protecció del centre i de les persones que s'hi puguin trobar, sense que en cap cas pugui retenir la documentació personal. La negativa a exhibir la identificació facultarà el vigilant de seguretat a impedir als usuaris l'accés al centre o ordenar-los el seu abandonament.

9. LA POSICIÓ JURÍDICA DELS PROFESSIONALS QUE PRESTEN SERVEIS A HOSPITALS O CLÍNIQUES

Respecte dels criteris sobre la responsabilitat del tractament de dades de pacients en els casos en què el professional sanitari és el que pren totes les decisions sobre l'atenció als mateixos i al tractament de les seves dades, encara que presti l'assistència sanitària a un hospital , ens trobem amb tres supòsits:

  • Professional sanitari que pren totes les decisions sobre l'atenció sanitària dels seus pacients, incloent-hi el tractament de les dades personals, prestant els seus serveis en un centre sanitari, mitjançant el lloguer d'una consulta, en aquest cas, el professional sanitari és el RT ja que és qui decideix sobre els fins i els mitjans del tractament, i se li atribueixen com a tal totes les obligacions derivades del RGPD en relació amb el tractament efectuat.
  • Professional sanitari que, si bé pren totes les decisions sobre l'atenció sanitària dels pacients, està contractat pel centre sanitari, en aquest cas, on els pacients són del centre sanitari, el professional sanitari és un empleat. Per tant, el centre, com a RT, és qui té encomanades totes les obligacions del RGPD i serà el responsable de subministrar instruccions al seu empleat sobre com ha d'actuar.
    Un exemple d'això el trobem al PS/00391/2020 dirigit contra IDCQ HOSPITALS I SANITAT, S.L.U. que finalment es va arxivar. Es va reclamar pel professional sanitari contra el centre de salut on havia prestat serveis, reclamant-los còpia de l'HC dels pacients que havia atès durant la vigència del contracte. Atès que el contracte no era laboral, sinó mercantil, considerava que “la titularitat de les dades personals de les HC dels pacients que he atès en aquest centre hospitalari no es pot mantenir en el sistema informàtic del reclamat i han de ser custodiades i emmagatzemades per ell , atès que el reclamat em considera empresari autònom”. No obstant això, després d'una pràctica de prova molt minuciosa durant la instrucció del procediment, es va constatar que el reclamant no complia cap requisit per poder ser considerat RT, en no decidir ni sobre les finalitats ni sobre els mitjans del tractament.
  • En poques ocasions ens trobem amb un tercer supòsit on la relació jurídica entre el professional sanitari i el centre es desdibuixa. En aquestes ocasions esdevé que el professional sanitari atén els seus propis pacients en una consulta del centre, que compagina amb l'atenció els pacients pertanyents al centre sanitari; en aquests casos caldrà determinar respecte de quins pacients el personal sanitari o el centre de salut respectivament són RT o si comparteixen la determinació dels fins/o els mitjans del tractament, i en aquest cas ens trobaríem davant d'un supòsit de corresponsabilitat.
    Per dilucidar en tots aquests supòsits qui n'és el responsable quant al tractament de les dades personals, cal atendre el cas concret i el concepte funcional de RT, tal com esdevé de l'Informe 0064/2020 del Gabinet Jurídic de l'AEPD que, analitzant les Directrius 07/2020 del Comitè Europeu de Protecció de Dades sobre els conceptes de responsable i encarregat del tractament, afirma que el RGPD “reitera que es tracta de conceptes funcionals, que tenen per objecte assignar responsabilitats d'acord amb els rols reals de les parts (apartat 12), cosa que implica que en la majoria dels supòsits s'hagi d'atendre les circumstàncies del cas concret atenent les seves activitats reals en lloc de la designació formal d'un actor com a “responsable” o “encarregat” (per exemple, en un contracte), així com de conceptes autònoms, la interpretació dels quals s'ha de fer a l'empara de la normativa europea sobre protecció de dades personals (apartat 13), i tenint en compte (apartat 24) que la necessitat d'una avaluació fàctica també significa que el paper d'un RT no es deriva de la naturalesa d'una entitat que tracta dades sinó de les seves activitats concretes en un context específic…”.
    Això no obstant, hem de matisar que en l'àmbit públic l'RT serà sempre l'autoritat sanitària, ja que és qui té encomanades per la normativa les competències sanitàries, cosa que li exigeix ??determinar els fins i els mitjans del tractament.

A les consultes formulades pels DPD de l'àmbit sanitari a la reunió celebrada amb ells el 2019, es va plantejar un dubte sobre la posició jurídica, com ara RT o ET d'un laboratori de proves diagnòstiques. El criteri de l'AEPD va ser que el laboratori d'anàlisi clínica que presta un servei d'assistència sanitària a través de proves funcionals o de laboratori que ajuden al diagnòstic mèdic i la prevenció de la malaltia, ha de ser considerat un centre sanitari i responsable del tractament de dades personals dels pacients, derivat de les anàlisis clíniques que hagi efectuat.