Tractament de dades de pacients i usuaris de la sanitat


Maite Morera Fontanet     12/03/2020


Resum de la guia de l'AEPD relativa a les dades dels pacients i usuaris de la sanitat

El mes de novembre del 2019 l'Agència Espanyola de Protecció de Dades (AEPD) va publicar la “Guía para pacientes y usuarios de la sanidad”, un document que dona resposta a les qüestions més freqüents sobre com són tractades les dades personals als centres sanitaris.

El present article pretén donar una ràpida informació del que ens transmet dit document.



CONCEPTES GENERALS

La guia aborda, en primer lloc, qüestions generals de la normativa de protecció de dades definint que s'entén per:

  • Dada personal: tota informació sobre una persona física identificada o identificable («l'interessat»); es considerarà persona física identificable tota persona identitat de la qual pot determinar-se, directa o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d'identificació, dades de localizació, un identificador en línia o un o varis elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social de dita persona (art. 4.1 GDPR).

  • Dades relatives a la salut: les dades personals relatives a la salut física o mental d'una persona física, incluida la prestació de serveis d'atenció sanitària, que revelen informació sobre el seu estat de salut (art. 4.15 GDPR).

  • Història clínica (HC): conjunt de documents que contenen les dades, valoracions i informacions de qualsevol índole sobre la situació i l'evolució clínica d'un pacient al llarg del procés assistencial (art.3 LAP).

Arribant a la conclusió que les dades personals existents a les bases de dades sanitàries són de dos tipus:

  • Dades identificatives: les que identifiquen a la persona, tals com un nom i cognoms, direcció, telèfon, DNI, número de targeta sanitària, etc.

  • Història clínica (dades especials): tota la información sobre el seu estat de salut, tals com proves diagnòstiques, cirurgies, medicaments, antecedents familiars, etc.

Els responsables del tractament (RT) de les dades de salut dels pacients podran ser, segons qui determini els fins i els mitjans de tractament, metges, centres de salut o centres sanitaris, tant si són públics com privats.



LEGITIMACIÓ DEL TRACTAMENT

En el segon punt de la guia es tracta la legitimació pel tractament de dades de salut (art. 6 GDPR). El consentiment ha de ser explícit de l'interessat, però en algunes circumstàncies no és necessari el seu consentiment, això pot succeir quan el tractament és necessari:

  • Per a fins de medicina preventiva o laboral (art. 6.1.b GDPR per a les entitats asseguradores de salut privades i art. 6.1.c GDPR per la sanitat pública, i art. 9.2.h GDPR privades i públiques).

  • Per raons d'interès públic a l'àmbit de la salut pública (art. 6.1.e GDPR i art. 9.2.i GDPR).

  • Per protegir interessos vitals de l'interessat o d'una altra persona física, en el supost que l'interessat no estigui capacitat, física o jurídicament, per a donar el seu consentiment, o quan ho sol·liciti un òrgan judicial (art. 6.1.d GDPR i art. 9.2.c GDPR).

Les persones que tractin les dades de salut han de ser professionals subjectes a l'obligació de secret professional, o que estiguin tractant les dades baix la seva responsabilitat. Els professionals sanitaris que accedeixin il·lícitament a dades de salut poden incórrer en un delicte de descobriment i revelació de secrets, previst i penat al Codi Penal.

La guia també incorpora els aspectes necessaris per complir amb el dret d'informació dels pacients, obligant al RT a facilitar la informació requerida a l'art. 13 del GDPR i, quan les dades personals s'hagin obtingut de tercers (mutua, asseguradora, etc.), s'afegirà a la informació abans referida, l'origen de les dades (art. 14 GDPR).

Un altre dels temes que incorpora la guia són els principis relatius al tractament de les dades en l'àmbit sanitari (art. 5 GDPR): licitut, lealtat i transparència; limitació de la finalitat; minimització de dades; exactitut; limitació del termini de conservació i integritat i confidencialitat.



DRETS DE L'INTERESSAT

Els últims apartats de la guia es dediquen als drets dels interessats. On es tractin qüestions comunes, similars a las reconegudes per l'exercici de qualsevol dret de tipus personal, així com les especialitats dels drets més importants: accés, rectificació i supressió.

Les qüestions comuns més importants són:

  • Atenció: atendre els drets excepte impossibilitat d'identificar a l'interessat.
  • Identificació de l'interessat: sol·licitar informació addicional per garantitzar la seva identificació.

  • Termini: màxim d'un mes, prorrogable per 2 mesos més.

  • Mitjans electrònics: preferència per aquests mitjans en la resposta, excepte manifestació en contrari.

  • Gratuïtat: exercici gratuït excepte peticions infundades o excessives (art. 12.5 GDPR).

Pel que fa les qüestions específiques de cada dret, es destaquen:

  • Dret d'accés: l'accés a la HC pot realitzar-se directament pel pacient o a través dels seus representants legals o voluntaris, a través de la corresponent autorització.

En cas de mort del pacient, es facilitarà l'accés a la seva HC a les persones vinculades a ell per raons familiars o, de fet, excepte que el mort ho hagi prohibit expressament i així s'acrediti.

El dret d'accés no abarca necessàriament la totalitat de les dades o documents que integren la HC. Existeixen límits legals a l'entrega de documents de la HC (art. 18.3 LAP).

Tampoc es permet al pacient saber quines persones del centre o institució sanitària han pogut utilitzar la seva HC. I a més aquest dret no es pot estendre sobre les anotacions subjectives.

  • Dret de rectificació: els pacients/usuaris poden rectificar de les seves històries clíniques les dades personals innexactes en les mateixes condicions en els quals s'exercita davant de qualsevol petició d'aquest tipus. Si les dades que es volen rectificar afecten dades sanitàries, és el professional sanitari el que determina si ha de rectificar la dada o no.

  • Dret de supressió: en l'àmbit de la sanitat aquest dret està molt limitat. Només el professional sanitari pot determinar si es pot suprimir la dada de salut.



PREGUNTES FREQÜENTS

La guia finalitza amb una sèrie de preguntes i respostes que solen sorgir en aquest àmbit. Destacar:

  • Tant els metges que exerceixen la medicina privada com els centres sanitaris públics i privats estan obligats a aplicar mesures tècniques i organitzatives apropiades.

  • Només poden accedir a la HC qui ho precisi necessari per a l'exercici de la seva feina.

  • Es poden cedir les dades de la HC sempre que les dades clíniques puguin separar-se dels identificatius. Si no és possible la dissociació, la cessió serà legítima sempre que el pacient hagi donat el seu consentiment per escrit. I a falta de consentiment, les dades de salut només podran ser cedits a un tercer quan una llei així ho disposi.

  • Les dades de salut recollits en la revisió de prevenció de riscos laborals no es poden facilitar a l'empresari. Només podrà ser informat si el treballador és APTE o NO APTE per al treball.

  • S'hauria d'evitar facilitar informació telefònica a un pacient sobre el seu estat de salut o el resultat de les proves realitzades ja que pot existir el risc d'estar facilitant aquesta informació a un tercer.



NORMATIVA RELACIONADA

GDPR: Reglament (UE) 2016/679, de 27 d'abril de 2016, relatiu a la protecció de les persones físíques en el que respecta al tractament de dades personals i a la lliure circulació d'aquestes dades

LAP: Ley 41/2002, de 14 de novembre, bàsica reguladora de l'autonomia del pacient i de drets i obligacions en matèria d'informació i documentació clínica (LAP).

AEPD: Guía para pacientes y usuarios de la Sanidad, de 14 de novembre de 2019.

AEPD: Decálogo de protección de datos, d'octubre de 2019, pel personal sanitari i administratiu.